Un perfil de trabajo es un androide de usuario con propiedades especiales adicionales alrededor de la gestión y la estética visual. El objetivo principal de un perfil de trabajo es crear un espacio segregado y seguro para que residan los datos administrados (como los datos corporativos). El administrador del perfil tiene control total sobre el alcance, la entrada, la salida y la vida útil de los datos. Estas políticas ofrecen grandes poderes y, por lo tanto, recaen sobre el perfil de trabajo en lugar del administrador del dispositivo.
Creación. Cualquier aplicación del usuario principal puede crear un perfil de trabajo. Se notifica al usuario sobre los comportamientos del perfil de trabajo y la aplicación de la política antes de la creación.
Gestión. Aplicaciones conocidos como los propietarios de perfiles mediante programación pueden invocar las API en el DevicePolicyManager clase para restringir su uso. Los propietarios de los perfiles se definen en la configuración inicial del perfil. Las políticas exclusivas de los perfiles de trabajo implican restricciones de aplicaciones, capacidad de actualización y comportamientos de intención.
Tratamiento visual. Las aplicaciones, notificaciones y widgets del perfil de trabajo tienen una insignia y, por lo general, están disponibles en línea con los elementos de la interfaz de usuario (UI) del usuario principal.
Segregación de datos
Los perfiles de trabajo utilizan las siguientes reglas de segregación de datos.
Aplicaciones
Cuando existe la misma aplicación en el usuario principal y el perfil de trabajo, las aplicaciones se definen con sus propios datos separados. Por lo general, las aplicaciones actúan de forma independiente y no pueden comunicarse directamente entre sí a través del límite de perfil-usuario.
Cuentas
Las cuentas en el perfil de trabajo son exclusivas del usuario principal y no se puede acceder a las credenciales a través del límite de perfil-usuario. Solo las aplicaciones en su contexto respectivo pueden acceder a sus respectivas cuentas.
Intenciones
El administrador controla si las intenciones se resuelven dentro o fuera del perfil de trabajo. De forma predeterminada, las aplicaciones del perfil de trabajo tienen un alcance para permanecer dentro de la excepción del perfil de trabajo de la API de política de dispositivos.
Identificadores de dispositivo
En dispositivos personales con un perfil de trabajo, Android 12 o superior elimina el acceso a los identificadores de hardware del dispositivo (IMEI, MEID, número de serie) y proporciona una identificación única y específica de inscripción que identifica la inscripción del perfil de trabajo para una organización específica. Se garantiza que el ID de inscripción permanecerá estable durante los restablecimientos de fábrica, lo que permite un seguimiento confiable del inventario de dispositivos con perfiles de trabajo.
Los dispositivos de propiedad personal con un perfil de trabajo deben usar el ID específico de inscripción; Los dispositivos propiedad de la empresa, que incluyen tanto el perfil de trabajo como los dispositivos totalmente administrados, también pueden optar por usar el ID. Para su uso, los EMM deben establecer el ID de la organización para cada dispositivo que administran, después de lo cual pueden leer el ID específico de la inscripción en ese dispositivo y manejarlo como un número de serie. Para más detalles, consulte la seguridad y privacidad de mejoras perfil de trabajo .
Ajustes
La aplicación de la configuración se limita al perfil de trabajo, con excepciones para la pantalla de bloqueo y la configuración de cifrado que tienen como alcance el dispositivo y se comparten entre el usuario principal y el perfil de trabajo. Aparte de estas excepciones, el propietario de un perfil no tiene privilegios de administrador de dispositivo fuera del perfil de trabajo.
Perfiles de trabajo se implementan como un usuario secundario, de tal manera que uid = 100000 \* userid + appid . Estos perfiles tienen datos de la aplicación independiente ( /data/user/ userid ), similar a los usuarios regulares. El userid se calcula para todas las solicitudes de sistema mediante Binder.getCallingUid() , y todo el estado y las respuestas del sistema están separados por el userid de valor.
La AccountManagerService mantiene una lista separada de las cuentas de cada usuario. Las diferencias de cuenta entre un usuario de perfil de trabajo y un usuario secundario habitual incluyen lo siguiente:
El perfil de trabajo está asociado con su usuario principal y se inicia con el usuario principal en el momento del arranque.
Las notificaciones de los perfiles de trabajo están habilitados de forma
ActivityManagerService, permitiendo que el perfil de trabajo para compartir la pila actividad con el usuario principal.Los servicios adicionales del sistema compartido incluyen IME, servicios A11Y, Wi-Fi y NFC.
Las API del lanzador permiten que los lanzadores muestren aplicaciones identificadas y widgets permitidos del perfil de trabajo junto a las aplicaciones en el perfil principal sin cambiar de usuario.
Gestión de dispositivos
La administración de dispositivos empresariales Android incluye a los siguientes propietarios:
- Propietario del perfil. Diseñado para entornos de traer su propio dispositivo (BYOD).
- Propietario del dispositivo. Diseñado para entornos corporativos.
Algunas API de administración de dispositivos se utilizan para los consumidores (por ejemplo, encontrar las API de mi dispositivo), mientras que otras API están disponibles solo para los propietarios de perfiles o dispositivos.
Propietarios de perfiles
Una aplicación Device Policy Client (DPC) funciona como propietario del perfil y, por lo general, la proporciona un socio de administración de movilidad empresarial (EMM), como Google Apps Device Policy. La aplicación dueño del perfil crea un perfil de trabajo en el dispositivo mediante el envío de la ACTION_PROVISION_MANAGED_PROFILE intención. El perfil de trabajo tiene instancias de aplicaciones identificadas que son visualmente distintas de las instancias personales de aplicaciones; la insignia identifica una aplicación como una aplicación de trabajo. El EMM tiene control solo sobre el perfil de trabajo y no el espacio personal (con algunas excepciones, como hacer cumplir la pantalla de bloqueo).
Propietarios de dispositivos
El propietario del dispositivo solo se puede configurar en un dispositivo no aprovisionado, ya que el propietario debe estar aprovisionado durante la configuración inicial del dispositivo. Los ajustes rápidos siempre deben mostrar una divulgación. Los propietarios de dispositivos pueden realizar algunas tareas que los propietarios de perfiles no pueden, como:
- Limpiando datos del dispositivo.
- Desactivación de Wi-Fi o Bluetooth.
- Establecer el valor de
setGlobalSetting. - Establecer el valor de
setLockTaskPackages, que es la capacidad de AllowList paquetes que se pueden agarrar a sí mismos al primer plano. - Establecer el valor de
DISALLOW_MOUNT_PHYSICAL_MEDIA, que esFALSEpor defecto; cuando se establece enTRUE, medios físicos portátiles y adoptables no se pueden montar).
API de DevicePolicyManager
Android 5.0 o superior ofrece una mejor DevicePolicyManager con las API que soporta las corporaciones de propiedad y traer sus propios casos de uso de gestión de dispositivos (BYOD), incluyendo aplicaciones que restringen, en silencio installating certificados, y el control de perfil transversal compartir el acceso a la intención. Para empezar, utilice el dispositivo de muestra Política de cliente (DPC) aplicación BasicManagedProfile.apk . Para más detalles, consulte Construir un controlador de políticas de dispositivos .
Experiencia de usuario del perfil de trabajo
Android 9 o superior crea una integración más estrecha entre los perfiles de trabajo y la plataforma Android, lo que facilita que los usuarios mantengan su trabajo y su información personal separados en sus dispositivos. Los cambios en el perfil de trabajo aparecen en el lanzador y brindan una experiencia de usuario consistente en todos los dispositivos administrados.
Dispositivos con bandeja de aplicaciones
En Android 9 o superior, los cambios de UX del perfil de trabajo para Launcher3 ayudan a los usuarios a mantener perfiles personales y de trabajo separados. El cajón de aplicaciones proporciona una vista con pestañas para distinguir las aplicaciones de perfil personal. Cuando los usuarios ven por primera vez la pestaña del perfil de trabajo, se les presenta una vista educativa para ayudarlos a navegar por el perfil de trabajo. También pueden activar o desactivar el perfil de trabajo usando un interruptor en la pestaña de trabajo del lanzador.
Vistas de perfil con pestañas
En Android 9 o superior, un perfil de trabajo permite a los usuarios cambiar entre listas de aplicaciones personales y administradas en el cajón de aplicaciones. Vistas de la aplicación se separan en dos distintas RecyclerViews , gestionados por un ViewPager . Los usuarios pueden cambiar entre las diferentes vistas de perfil usando las pestañas de perfil en la parte superior del cajón de la aplicación, como se ilustra a continuación:
Vista de la ficha Figura 1. Personal
Figura 2. Trabajo vista de la ficha, el perfil de trabajo de palanca
La vista con pestañas se implementa como parte de la AllAppsContainerView clase Launcher3. Para una implementación de referencia del indicador del perfil de pestañas, consulte la PersonalWorkSlidingTabStrip clase.
Vista educativa
Android 9 o superior admite una vista educativa que informa a los usuarios sobre el propósito de la pestaña de trabajo y cómo pueden facilitar el acceso a las aplicaciones de trabajo. Con Launcher3, puede presentar una vista educativa en la parte inferior de la pantalla de la pestaña de trabajo cuando los usuarios abren la pestaña de trabajo por primera vez, como se muestra a continuación:
Ver la Figura 3. Educational
El punto de vista educativo se define por la BottomUserEducationView clase con la disposición controlada por work_tab_tottom_user_education_view.xml . Dentro BottomUserEducationView , la KEY_SHOWED_BOTTOM_USER_EDUCATION booleano se establece en false por defecto. Cuando el usuario cierra el punto de vista educativo, el booleano se establece en true .
Alternar para habilitar o deshabilitar perfiles de trabajo
En Android 9 o superior, los administradores de dispositivos administrados pueden presentar un interruptor en el pie de página de la pestaña de trabajo para que los usuarios habiliten o deshabiliten el perfil de trabajo. La activación y desactivación del perfil de trabajo se realiza de forma asincrónica y se aplica a todos los perfiles de usuario válidos; este proceso es controlado por el WorkModeSwitch clase. Para alternar la fuente, consulte WorkFooterContainer .
Dispositivos sin bandeja de aplicaciones
Para los lanzadores sin una bandeja de aplicaciones, continúe colocando accesos directos a las aplicaciones del perfil de trabajo en la carpeta de trabajo. Si la carpeta de trabajo no llena correctamente y aplicaciones recién instaladas no se agregan a la carpeta, aplique el siguiente cambio en el onAllAppsLoaded método en el ManagedProfileHeuristic clase:
for (LauncherActivityInfo app : apps) {
// Queue all items which should go in the work folder.
if (app.getFirstInstallTime() < Long.MAX\_VALUE) {
InstallShortcutReceiver.queueActivityInfo(app, context);
}
}
Validando cambios de UX
Para probar la implementación de UX del perfil de trabajo con la aplicación TestDPC:
En el dispositivo, instalar el TestDPC aplicación desde la tienda de Google Play.
Abrir el cajón lanzador o aplicación y seleccione Configurar TestDPC.
Siga las instrucciones en pantalla para configurar un perfil de trabajo.
Figura 4. Configuración de perfil de trabajo
Figura 5. cuentas Add
Figura 6. Configuración completaAbra el lanzador o el cajón de aplicaciones y verifique que la pestaña de trabajo esté presente y contenga un pie de página de perfil de trabajo.
Verifique que puede activar y desactivar el perfil de trabajo confirmando que el perfil de trabajo está habilitado y deshabilitado como se esperaba. Las siguientes figuras muestran ejemplos de perfiles de trabajo habilitados y deshabilitados:
Figura 7. Cambiar el, perfil de trabajo habilitado
Figura 8. Toggle off, perfil de trabajo discapacitados
Insignia de aplicación de perfil de trabajo
En Android 9 o superior, por razones de accesibilidad, el color de la insignia de trabajo es azul (# 1A73E8) en lugar de naranja.