Google se compromete a impulsar la igualdad racial para las comunidades afrodescendientes. Obtén información al respecto.

Emplear perfiles de trabajo

Un perfil de trabajo es un usuario de Android con propiedades especiales adicionales en torno a la gestión y la estética visual. El objetivo principal de un perfil de trabajo es crear un espacio segregado y seguro para que residan los datos administrados (como los datos corporativos). El administrador del perfil tiene control total sobre el alcance, la entrada, la salida y la duración de los datos. Estas políticas ofrecen grandes poderes y por lo tanto recaen sobre el perfil de trabajo en lugar del administrador del dispositivo.

  • Creación. Cualquier aplicación en el usuario principal puede crear un perfil de trabajo. Se notifica al usuario sobre los comportamientos del perfil de trabajo y la aplicación de políticas antes de la creación.

  • Gestión. Las aplicaciones conocidas como propietarios de perfiles pueden invocar mediante programación API en la clase DevicePolicyManager para restringir el uso. Los propietarios del perfil se definen en la configuración inicial del perfil. Las políticas exclusivas de los perfiles de trabajo implican restricciones de aplicaciones, capacidad de actualización y comportamientos de intención.

  • Tratamiento visual. Las aplicaciones, las notificaciones y los widgets del perfil de trabajo están identificados y, por lo general, están disponibles en línea con los elementos de la interfaz de usuario (IU) del usuario principal.

Segregación de datos

Los perfiles de trabajo utilizan las siguientes reglas de segregación de datos.

aplicaciones

Cuando existe la misma aplicación en el usuario principal y el perfil de trabajo, las aplicaciones se delimitan con sus propios datos segregados. Por lo general, las aplicaciones actúan de forma independiente y no pueden comunicarse directamente entre sí más allá del límite del usuario del perfil.

cuentas

Las cuentas en el perfil de trabajo son únicas desde el usuario principal y no se puede acceder a las credenciales a través del límite del usuario del perfil. Solo las aplicaciones en sus respectivos contextos pueden acceder a sus respectivas cuentas.

intenciones

El administrador controla si las intenciones se resuelven dentro o fuera del perfil de trabajo. De forma predeterminada, las aplicaciones del perfil de trabajo se limitan a permanecer dentro de la excepción del perfil de trabajo de la API de política de dispositivos.

Identificadores de dispositivos

En dispositivos personales con un perfil de trabajo, Android 12 o superior elimina el acceso a los identificadores de hardware del dispositivo (IMEI, MEID, número de serie) y proporciona una identificación única específica de inscripción que identifica la inscripción del perfil de trabajo para una organización específica. Se garantiza que la identificación de inscripción permanecerá estable después de los restablecimientos de fábrica, lo que permite un seguimiento confiable del inventario de dispositivos con perfiles de trabajo.

Los dispositivos de propiedad personal con un perfil de trabajo deben usar la identificación específica de inscripción; Los dispositivos propiedad de la empresa, incluidos el perfil de trabajo y los dispositivos totalmente administrados, también pueden optar por usar la ID. Para usar, los EMM deben establecer la ID de la organización para cada dispositivo que administran, después de lo cual pueden leer la ID específica de inscripción en ese dispositivo y manejarla como un número de serie. Para obtener más detalles, consulte Mejoras de seguridad y privacidad para el perfil de trabajo .

Ajustes

La aplicación de la configuración se limita al perfil de trabajo, con excepciones para la pantalla de bloqueo y la configuración de cifrado que se limitan al dispositivo y se comparten entre el usuario principal y el perfil de trabajo. Aparte de estas excepciones, el propietario de un perfil no tiene privilegios de administrador de dispositivos fuera del perfil de trabajo.

Los perfiles de trabajo se implementan como un usuario secundario, de modo que uid = 100000 \* userid + appid . Estos perfiles tienen datos de aplicaciones independientes ( /data/user/ userid ), similares a los de los usuarios normales. El ID de userid se calcula para todas las solicitudes del sistema mediante Binder.getCallingUid() y todo el estado del sistema y las respuestas están separados por el valor del ID de userid .

AccountManagerService mantiene una lista separada de cuentas para cada usuario. Las diferencias de cuenta entre un usuario de perfil de trabajo y un usuario secundario regular incluyen lo siguiente:

  • El perfil de trabajo está asociado con su usuario principal y se inicia con el usuario principal en el momento del arranque.

  • Las notificaciones para los perfiles de trabajo están habilitadas por ActivityManagerService , lo que permite que el perfil de trabajo comparta la pila de actividades con el usuario principal.

  • Los servicios adicionales del sistema compartido incluyen IME, servicios A11Y, Wi-Fi y NFC.

  • Las API del iniciador permiten que los iniciadores muestren aplicaciones con insignia y widgets incluidos en la lista de permitidos del perfil de trabajo junto a las aplicaciones en el perfil principal sin cambiar de usuario.

Gestión de dispositivos

La administración de dispositivos empresariales de Android incluye los siguientes propietarios:

  • Propietario del perfil. Diseñado para dispositivos personales y entornos de dispositivos de trabajo habilitados personalmente.
  • Propietario del dispositivo. Diseñado para dispositivos propiedad de la empresa sin entornos de datos personales.

Algunas API de administración de dispositivos se utilizan para consumidores (por ejemplo, las API de buscar mi dispositivo), mientras que otras API están disponibles solo para propietarios de perfiles o dispositivos.

Propietarios de perfiles

Una aplicación Device Policy Client (DPC) funciona como el propietario del perfil y, por lo general, la proporciona un socio de administración de movilidad empresarial (EMM), como Google Apps Device Policy. La aplicación del propietario del perfil crea un perfil de trabajo en el dispositivo mediante el envío de la intención ACTION_PROVISION_MANAGED_PROFILE . El perfil de trabajo tiene instancias de aplicaciones con insignia que son visualmente distintas de las instancias personales de aplicaciones; la insignia identifica una aplicación como una aplicación de trabajo. El EMM tiene control solo sobre el perfil de trabajo y no sobre el espacio personal (con algunas excepciones, como hacer cumplir la pantalla de bloqueo).

Propietarios de dispositivos

El propietario del dispositivo solo se puede configurar en un dispositivo no aprovisionado, ya que el propietario se debe aprovisionar durante la configuración inicial del dispositivo. La configuración rápida siempre debe mostrar una divulgación. Los propietarios de dispositivos pueden realizar algunas tareas que los propietarios de perfiles no pueden, como:

  • Borrado de datos del dispositivo.
  • Deshabilitar Wi-Fi o Bluetooth.
  • Establecer el valor de setGlobalSetting .
  • Establecer el valor de setLockTaskPackages , que es la capacidad de incluir paquetes en la lista de permitidos que se pueden anclar en primer plano.
  • Establecer el valor de DISALLOW_MOUNT_PHYSICAL_MEDIA , que es FALSE de forma predeterminada; cuando se establece en TRUE , no se pueden montar medios físicos portátiles y adoptables).

API de DevicePolicyManager

Android 5.0 o superior ofrece un DevicePolicyManager mejorado con API que admiten casos de uso de administración de propiedad corporativa y traiga su propio dispositivo (BYOD), incluida la restricción de aplicaciones, la instalación silenciosa de certificados y el control del acceso de intención de uso compartido entre perfiles. Para comenzar, use la aplicación de muestra Device Policy Client (DPC) BasicManagedProfile.apk . Para obtener más información, consulte Creación de un controlador de políticas de dispositivos .

Experiencia de usuario del perfil de trabajo

Android 9 o superior crea una integración más estrecha entre los perfiles de trabajo y la plataforma Android, lo que facilita que los usuarios mantengan su información personal y de trabajo separada en sus dispositivos. Los cambios en el perfil de trabajo aparecen en el iniciador y brindan una experiencia de usuario uniforme en todos los dispositivos administrados.

Dispositivos con una bandeja de aplicaciones

En Android 9 o superior, los cambios de UX del perfil de trabajo para Launcher3 ayudan a los usuarios a mantener perfiles personales y de trabajo separados. El cajón de aplicaciones proporciona una vista con pestañas para distinguir las aplicaciones de perfil personal. Cuando los usuarios ven por primera vez la pestaña del perfil de trabajo, se les presenta una vista educativa para ayudarlos a navegar por el perfil de trabajo. También pueden activar o desactivar el perfil de trabajo usando un interruptor en la pestaña de trabajo del lanzador.

Vistas de perfil con pestañas

En Android 9 o superior, un perfil de trabajo permite a los usuarios cambiar entre listas de aplicaciones personales y administradas en el cajón de aplicaciones. Las vistas de la aplicación se separan en dos RecyclerViews distintas, administradas por un ViewPager . Los usuarios pueden cambiar entre las diferentes vistas de perfil usando las pestañas de perfil en la parte superior del cajón de la aplicación, como se ilustra a continuación:


Figura 1. Vista de pestaña personal

Figura 2. Vista de la pestaña Trabajo, alternancia de perfil de trabajo

La vista con pestañas se implementa como parte de la clase AllAppsContainerView Launcher3. Para obtener una implementación de referencia del indicador de perfil con pestañas, consulte la clase PersonalWorkSlidingTabStrip .

Vista educativa

Android 9 o superior admite una vista educativa que informa a los usuarios sobre el propósito de la pestaña de trabajo y cómo pueden facilitar el acceso a las aplicaciones de trabajo. Con Launcher3, puede presentar una vista educativa en la parte inferior de la pantalla de la pestaña de trabajo cuando los usuarios abren la pestaña de trabajo por primera vez, como se muestra a continuación:

Vista educativa

Figura 3. Vista educativa

La vista educativa está definida por la clase BottomUserEducationView con el diseño controlado por work_tab_tottom_user_education_view.xml . Dentro de BottomUserEducationView , el booleano KEY_SHOWED_BOTTOM_USER_EDUCATION se establece en false de forma predeterminada. Cuando el usuario descarta la vista educativa, el valor booleano se establece en true .

Alternar para habilitar o deshabilitar los perfiles de trabajo

En Android 9 o superior, los administradores de dispositivos administrados pueden presentar un interruptor en el pie de página de la pestaña de trabajo para que los usuarios habiliten o deshabiliten el perfil de trabajo. La habilitación y deshabilitación del perfil de trabajo se realiza de forma asíncrona y se aplica a todos los perfiles de usuario válidos; este proceso está controlado por la clase WorkModeSwitch . Para cambiar la fuente, consulte WorkFooterContainer .

Dispositivos sin bandeja de aplicaciones

Para los lanzadores sin una bandeja de aplicaciones, continúe colocando accesos directos a las aplicaciones del perfil de trabajo en la carpeta de trabajo. Si la carpeta de trabajo no se completa correctamente y las aplicaciones recién instaladas no se agregan a la carpeta, aplique el siguiente cambio en el método onAllAppsLoaded en la clase ManagedProfileHeuristic :

for (LauncherActivityInfo app : apps) {
        // Queue all items which should go in the work folder.
        if (app.getFirstInstallTime() < Long.MAX\_VALUE) {
                InstallShortcutReceiver.queueActivityInfo(app, context);
        }
}

Validación de cambios de UX

Para probar la implementación de la experiencia de usuario del perfil de trabajo con la aplicación TestDPC:

  1. En el dispositivo, instale la aplicación TestDPC desde Google Play Store.

  2. Abra el iniciador o el cajón de aplicaciones y seleccione Configurar TestDPC .

  3. Siga las instrucciones en pantalla para configurar un perfil de trabajo.


    Figura 4. Configurar perfil de trabajo


    Figura 5. Agregar cuentas


    Figura 6. Configuración completa

  4. Abra el iniciador o el cajón de aplicaciones y verifique que la pestaña de trabajo esté presente y contenga un pie de página de perfil de trabajo.

  5. Verifique que puede activar y desactivar el perfil de trabajo confirmando que el perfil de trabajo está habilitado y deshabilitado como se esperaba. Las siguientes figuras muestran ejemplos de perfiles de trabajo habilitados y deshabilitados:


    Figura 7. Alternar activado, perfil de trabajo habilitado

    Figura 8. Desactivar, perfil de trabajo deshabilitado

Insignia de la aplicación de perfil de trabajo

En Android 9 o superior, por razones de accesibilidad, el color de la insignia de trabajo es azul (#1A73E8) en lugar de naranja.