Anstellung von Arbeitsprofilen

Ein Arbeitsprofil ist ein Android - Benutzer mit zusätzlichen speziellen Eigenschaften um Management und visuelle Ästhetik. Das Hauptziel eines Arbeitsprofils besteht darin, einen getrennten und sicheren Bereich für verwaltete Daten (wie Unternehmensdaten) zu schaffen. Der Administrator des Profils hat die volle Kontrolle über Umfang, Ingress, Egress und Lebensdauer der Daten. Diese Richtlinien bieten große Befugnisse und fallen daher nicht auf den Geräteadministrator, sondern auf das Arbeitsprofil.

  • Schaffung. Jede App im Hauptbenutzer kann ein Arbeitsprofil erstellen. Der Benutzer wird vor der Erstellung über das Verhalten des Arbeitsprofils und die Durchsetzung von Richtlinien informiert.

  • Verwaltung. Apps als Profilbesitzer bekannt ist, kann programmatisch invoke APIs in der DevicePolicyManager Nutzungsklasse zu beschränken. Profilbesitzer werden bei der Ersteinrichtung des Profils definiert. Richtlinien für Arbeitsprofile beinhalten App-Einschränkungen, Aktualisierbarkeit und Absichtsverhalten.

  • Visuelle Behandlung. Apps, Benachrichtigungen und Widgets aus dem Arbeitsprofil werden mit einem Badge versehen und normalerweise inline mit den Elementen der Benutzeroberfläche (UI) des Hauptbenutzers verfügbar gemacht.

Datentrennung

Arbeitsprofile verwenden die folgenden Datentrennungsregeln.

Apps

Wenn dieselbe App im primären Benutzer- und Arbeitsprofil vorhanden ist, werden Apps mit ihren eigenen getrennten Daten bereichert. Im Allgemeinen agieren Apps unabhängig und können nicht direkt über die Profil-Benutzer-Grenze hinweg miteinander kommunizieren.

Konten

Konten im Arbeitsprofil sind für den primären Benutzer eindeutig, und auf die Anmeldeinformationen kann nicht über die Profil-Benutzer-Grenze hinweg zugegriffen werden. Nur Apps in ihrem jeweiligen Kontext können auf ihre jeweiligen Konten zugreifen.

Absichten

Der Administrator steuert, ob Absichten innerhalb oder außerhalb des Arbeitsprofils aufgelöst werden. Standardmäßig sind Apps aus dem Arbeitsprofil so ausgelegt, dass sie innerhalb der Arbeitsprofil-Ausnahme der Device Policy API bleiben.

Gerätekennungen

Auf privaten Geräten mit einem Arbeitsprofil entfernt Android 12 oder höher den Zugriff auf Gerätehardwarekennungen (IMEI, MEID, Seriennummer) und stellt eine eindeutige, registrierungsspezifische ID bereit, die die Arbeitsprofilregistrierung für eine bestimmte Organisation identifiziert. Die Registrierungs-ID bleibt über das Zurücksetzen auf die Werkseinstellungen hinweg garantiert stabil und ermöglicht eine zuverlässige Bestandsverfolgung von Geräten mit Arbeitsprofilen.

Persönliche Geräte mit einem Arbeitsprofil müssen die registrierungsspezifische ID verwenden; unternehmenseigene Geräte, einschließlich Arbeitsprofil und vollständig verwalteter Geräte, können sich ebenfalls für die Verwendung der ID anmelden. Zur Verwendung müssen EMMs die Organisations-ID für jedes von ihnen verwaltete Gerät festlegen. Danach können sie die registrierungsspezifische ID auf diesem Gerät lesen und als Seriennummer behandeln. Weitere Einzelheiten finden Sie unter Sicherheit und Datenschutz Verbesserungen für Arbeitsprofil .

Einstellungen

Die Durchsetzung der Einstellungen ist auf das Arbeitsprofil beschränkt, mit Ausnahme von Sperrbildschirm- und Verschlüsselungseinstellungen, die auf das Gerät beschränkt sind und zwischen dem Hauptbenutzer und dem Arbeitsprofil geteilt werden. Abgesehen von diesen Ausnahmen hat ein Profilbesitzer außerhalb des Arbeitsprofils keine Geräteadministratorberechtigungen.

Arbeitsprofile werden als Sekundär Benutzer, so dass realisiert uid = 100000 \* userid + appid . Diese Profile haben separate App - Daten ( /data/user/ userid - /data/user/ userid ), ähnlich wie bei normalen Benutzern. Die userid - Binder.getCallingUid() userid userid wird für alle Systemanforderungen berechnet Binder.getCallingUid() , und alle Systemzustand und Antworten werden von den abgetrennten userid Wert.

Das AccountManagerService - hält eine separate Liste von Konten für jeden Benutzer. Die Kontounterschiede zwischen einem Arbeitsprofilbenutzer und einem regulären sekundären Benutzer umfassen Folgendes:

  • Das Arbeitsprofil ist seinem übergeordneten Benutzer zugeordnet und wird beim Booten mit dem primären Benutzer gestartet.

  • Benachrichtigungen für Arbeitsprofile werden durch aktiviert ActivityManagerService , so dass das Arbeitsprofil der Aktivität Stapel mit dem primären Benutzer zu teilen.

  • Zu den weiteren gemeinsam genutzten Systemdiensten gehören IME, A11Y-Dienste, Wi-Fi und NFC.

  • Launcher-APIs ermöglichen es Launchern, gekennzeichnete Apps und zugelassene Widgets aus dem Arbeitsprofil neben Apps im primären Profil anzuzeigen, ohne den Benutzer zu wechseln.

Geräteverwaltung

Die Android-Enterprise-Geräteverwaltung umfasst die folgenden Eigentümer:

  • Profilinhaber. Entwickelt für Bring Your Own Device (BYOD)-Umgebungen.
  • Gerätebesitzer. Entwickelt für unternehmenspflichtige Umgebungen.

Einige Geräteverwaltungs-APIs werden für Verbraucher verwendet (z. B. APIs zum Suchen meiner Geräte), während andere APIs nur für Profil- oder Gerätebesitzer verfügbar sind.

Profilinhaber

Eine Device Policy Client (DPC)-App fungiert als Profilinhaber und wird in der Regel von einem Enterprise Mobility Management (EMM)-Partner wie Google Apps Device Policy bereitgestellt. Die Profilinhaber App erstellt ein Arbeitsprofil auf dem Gerät durch das Senden ACTION_PROVISION_MANAGED_PROFILE Absicht. Das Arbeitsprofil enthält gekennzeichnete Instanzen von Apps, die sich visuell von persönlichen Instanzen von Apps unterscheiden. Das Badge identifiziert eine App als geschäftliche App. Das EMM hat nur die Kontrolle über das Arbeitsprofil und nicht über den persönlichen Bereich (mit einigen Ausnahmen, wie z. B. dem Erzwingen des Sperrbildschirms).

Gerätebesitzer

Der Gerätebesitzer kann nur auf einem nicht bereitgestellten Gerät festgelegt werden, da der Besitzer bei der Ersteinrichtung des Geräts bereitgestellt werden muss. Schnelleinstellungen müssen immer eine Offenlegung anzeigen. Gerätebesitzer können einige Aufgaben ausführen, die Profilbesitzer nicht können, z. B.:

  • Gerätedaten löschen.
  • Deaktivieren von Wi-Fi oder Bluetooth.
  • Wenn Sie den Wert von setGlobalSetting .
  • Wenn Sie den Wert von setLockTaskPackages , die die Fähigkeit zu AllowList Pakete, die sich in den Vordergrund Stift kann.
  • Wenn Sie den Wert von DISALLOW_MOUNT_PHYSICAL_MEDIA , das ist FALSE standardmäßig; wenn gesetzt TRUE , tragbar und adoptable physische Medien nicht) montiert werden.

DevicePolicyManager-APIs

Android 5.0 oder höher bietet einen verbesserten DevicePolicyManager mit APIs , den unternehmenseigenen unterstützen und bringen Sie Ihre eigenen Gerät (BYOD) Management Anwendungsfälle, einschließlich Beschränkung Apps, geräuschlos Zertifikate Installationen für und Steuern Querprofil Absicht Zugang zu teilen. Um damit zu beginnen, verwenden Sie die Probe Device Policy Client (DPC) App BasicManagedProfile.apk . Weitere Einzelheiten finden Sie in einer Geräterichtlinie Controller bauen .

Benutzererfahrung des Arbeitsprofils

Android 9 oder höher schafft eine engere Integration zwischen Arbeitsprofilen und der Android-Plattform, wodurch es für Benutzer einfacher wird, ihre geschäftlichen und persönlichen Daten auf ihren Geräten getrennt zu halten. Änderungen des Arbeitsprofils werden im Launcher angezeigt und bieten eine konsistente Benutzererfahrung auf allen verwalteten Geräten.

Geräte mit App-Tray

In Android 9 oder höher helfen die UX-Änderungen des Arbeitsprofils für Launcher3 Benutzern, separate persönliche und Arbeitsprofile zu verwalten. Die Apps-Schublade bietet eine Registerkartenansicht, um persönliche Profil-Apps zu unterscheiden. Wenn Benutzer zum ersten Mal die Registerkarte Arbeitsprofil anzeigen, wird ihnen eine Bildungsansicht angezeigt, die ihnen die Navigation durch das Arbeitsprofil erleichtert. Sie können das Arbeitsprofil auch ein- oder ausschalten, indem sie einen Schalter auf der Registerkarte "Arbeit" des Launchers verwenden.

Profilansichten mit Registerkarten

In Android 9 oder höher ermöglicht ein Arbeitsprofil Benutzern, zwischen persönlichen und verwalteten App-Listen in der Apps-Schublade zu wechseln. App Ansichten werden in zwei getrennten RecyclerViews , von einem verwalteten ViewPager . Benutzer können zwischen den verschiedenen Profilansichten wechseln, indem sie die Profilregisterkarten oben in der App-Schublade verwenden, wie unten dargestellt:


Abbildung 1. Persönliche Tabansicht

Abbildung 2. Arbeitsregisteransicht, Arbeitsprofil Toggle

Die tabbed Ansicht wird als Teil der implementierten AllAppsContainerView Launcher3 Klasse. Für eine Referenzimplementierung der Tabbed - Profilanzeige finden Sie in der PersonalWorkSlidingTabStrip Klasse.

Bildungsansicht

Android 9 oder höher unterstützt eine Bildungsansicht, die Benutzer über den Zweck der Registerkarte "Arbeit" informiert und wie sie den Zugriff auf geschäftliche Apps erleichtern können. Mit Launcher3 können Sie beim ersten Öffnen der Arbeitsregisterkarte unten auf der Arbeitsregisterkarte eine Bildungsansicht anzeigen, wie unten gezeigt:

Bildungsansicht

Abbildung 3. Bildungs Blick

Die pädagogische Ansicht wird durch die definierte BottomUserEducationView - Klasse mit dem Layout durch kontrollierte work_tab_tottom_user_education_view.xml . Innerhalb BottomUserEducationView , die KEY_SHOWED_BOTTOM_USER_EDUCATION ist boolean gesetzt false standardmäßig aktiviert . Wenn der Benutzer die Bildungs Ansicht entlässt, wird der boolean gesetzt true .

Umschalten, um Arbeitsprofile zu aktivieren oder zu deaktivieren

In Android 9 oder höher können Administratoren verwalteter Geräte in der Fußzeile der Arbeitsregisterkarte einen Umschalter anzeigen, damit Benutzer das Arbeitsprofil aktivieren oder deaktivieren können. Das Aktivieren und Deaktivieren des Arbeitsprofils erfolgt asynchron und wird auf alle gültigen Benutzerprofile angewendet; Dieser Prozess wird durch die kontrollierte WorkModeSwitch Klasse. Für Toggle - Quelle finden Sie unter WorkFooterContainer .

Geräte ohne App-Tray

Platzieren Sie bei Startprogrammen ohne App-Tray weiterhin Verknüpfungen zu den Arbeitsprofil-Apps im Arbeitsordner. Wenn der Arbeitsordner nicht korrekt füllen und neu installierten Apps werden nicht in den Ordner hinzugefügt, gelten in der die folgende Änderung onAllAppsLoaded Methode in der ManagedProfileHeuristic Klasse:

for (LauncherActivityInfo app : apps) {
        // Queue all items which should go in the work folder.
        if (app.getFirstInstallTime() < Long.MAX\_VALUE) {
                InstallShortcutReceiver.queueActivityInfo(app, context);
        }
}

Validierung von UX-Änderungen

So testen Sie die UX-Implementierung des Arbeitsprofils mit der TestDPC-App:

  1. Auf dem Gerät installieren Sie die TestDPC App aus dem Play Store Google.

  2. Öffnen Sie das Startprogramm oder App Schublade und wählen Sie Set up TestDPC.

  3. Befolgen Sie die Anweisungen auf dem Bildschirm, um ein Arbeitsprofil einzurichten.


    Abbildung 4. Richten Sie Arbeitsprofil


    Abbildung 5. Add - Konten


    Abbildung 6. Setup abgeschlossen

  4. Öffnen Sie den Launcher oder die App-Schublade und überprüfen Sie, ob die Arbeitsregisterkarte vorhanden ist und eine Arbeitsprofil-Fußzeile enthält.

  5. Stellen Sie sicher, dass Sie das Arbeitsprofil ein- und ausschalten können, indem Sie bestätigen, dass das Arbeitsprofil wie erwartet aktiviert und deaktiviert ist. Die folgenden Abbildungen zeigen Beispiele für aktivierte und deaktivierte Arbeitsprofile:


    Abbildung 7. Toggle auf, aktiviert Arbeitsprofil

    Abbildung 8. Toggle off, Arbeitsprofil Behinderte

Abzeichen für die Arbeitsprofil-App

In Android 9 oder höher ist die Farbe des Arbeitsabzeichens aus Gründen der Barrierefreiheit blau (#1A73E8) statt orange.