Un profil professionnel est un profil géré qui contient des données d'application distinctes du profil utilisateur principal, mais qui partage certains paramètres système, tels que le Wi-Fi et le Bluetooth. L'objectif principal d'un profil professionnel est de créer un conteneur sécurisé et séparé pour contenir les données gérées. L'administrateur d'un profil professionnel dispose d'un contrôle total sur la portée, l'entrée, la sortie et la durée de vie des données. Voici quelques caractéristiques des profils professionnels:
Création Toutes les applications de l'utilisateur principal peuvent créer un profil professionnel. L'utilisateur est informé des comportements du profil professionnel et de l'application des règles avant la création.
Gestion Les applications appelées propriétaires de profils peuvent appeler de manière programmatique des API de la classe
DevicePolicyManager
pour limiter l'utilisation. Les propriétaires de profil sont définis lors de la configuration initiale du profil. Les règles propres aux profils professionnels incluent les restrictions d'application, la possibilité de mise à jour et les comportements d'intent.Traitement visuel : Les applications, les notifications et les widgets du profil professionnel sont associés à un badge et sont généralement mis à disposition en ligne avec les éléments d'interface utilisateur (UI) de l'utilisateur principal.
Détails de l'implémentation
Les profils professionnels sont implémentés en tant qu'utilisateurs secondaires, de sorte que les applications exécutées dans le profil professionnel aient un UID de uid = 100000 \* userid + appid
. Ces profils disposent de données d'application distinctes (/data/user/userid
), comme les utilisateurs principaux.
AccountManagerService
gère une liste distincte de comptes pour chaque utilisateur.
Voici les différences entre les comptes d'un utilisateur avec profil professionnel et d'un utilisateur secondaire standard:
Le profil professionnel est associé à son utilisateur parent et est démarré avec l'utilisateur principal au démarrage.
Les notifications pour les profils professionnels sont activées par
ActivityManagerService
, ce qui permet au profil professionnel de partager la pile d'activités avec l'utilisateur principal.Les services système partagés supplémentaires incluent l'IME, les services d'accessibilité, le Wi-Fi et le NFC.
Les API du lanceur permettent aux lanceurs d'afficher les applications avec badge et les widgets de la liste d'autorisation du profil professionnel à côté des applications du profil principal sans changer d'utilisateur.
Ségrégation des données
Les profils professionnels utilisent les règles de ségrégation des données suivantes.
Applis
Lorsque la même application existe dans le profil utilisateur principal et le profil professionnel, les applications sont limitées avec leurs propres données séparées. En général, les applications agissent de manière indépendante et ne peuvent pas communiquer directement avec les instances au-delà de la limite entre le profil et l'utilisateur, sauf si elles disposent de l'autorisation INTERACT_ACROSS_PROFILES
ou des autorisations App-ops.
Comptes
Les comptes du profil professionnel sont uniques à ceux de l'utilisateur principal, et les identifiants ne sont pas accessibles au-delà des limites de l'utilisateur du profil. Seules les applications dans leur contexte respectif peuvent accéder à leurs comptes respectifs.
Intents
L'administrateur contrôle si les intents sont résolus dans le profil professionnel ou en dehors de celui-ci. Par défaut, les applications du profil professionnel sont limitées pour rester dans l'exception de profil professionnel de l'API Device Policy.
Identifiants des appareils
Sur les appareils personnels dotés d'un profil professionnel, Android 12 ou version ultérieure supprime l'accès aux identifiants matériels de l'appareil (IMEI, MEID, numéro de série) et fournit un ID unique spécifique à l'enregistrement qui identifie l'enregistrement du profil professionnel pour une organisation spécifique. L'ID d'enregistrement reste stable lors des réinitialisations d'usine, ce qui permet de suivre de manière fiable l'inventaire des appareils avec des profils professionnels.
Les appareils personnels dotés d'un profil professionnel doivent utiliser l'ID propre à l'enregistrement. Les appareils détenus par l'entreprise, y compris les appareils disposant d'un profil professionnel et entièrement gérés, peuvent également choisir d'utiliser l'ID. Pour utiliser l'ID spécifique à l'enregistrement, les EMM doivent définir l'ID de l'organisation pour chaque appareil qu'ils gèrent. Ils peuvent ensuite lire l'ID spécifique à l'enregistrement sur cet appareil et le gérer comme un numéro de série. Pour en savoir plus, consultez Améliorations de la sécurité et de la confidentialité pour le profil professionnel.
Paramètres
L'application des paramètres est limitée au profil professionnel, à l'exception des paramètres d'écran de verrouillage et de chiffrement qui sont limités à l'appareil et partagés entre l'utilisateur principal et le profil professionnel. Hormis ces exceptions, un propriétaire de profil ne dispose pas des droits d'administrateur de l'appareil en dehors du profil professionnel.
Gérer les appareils dotés d'un profil professionnel
Android 5.0 ou version ultérieure est compatible avec la gestion des profils professionnels sur les appareils personnels BYOD (Bring Your Own Device) utilisant la classe DevicePolicyManager
. De plus, Android 11 a introduit le concept de profils professionnels sur les appareils détenus par l'entreprise. La fonctionnalité de gestion des appareils dans le profil professionnel reste la même pour les appareils BYOD et ceux détenus par l'entreprise. Toutefois, les profils professionnels sur les appareils détenus par l'entreprise peuvent fournir des fonctionnalités/règles supplémentaires, telles que installSystemUpdate
, setScreenCaptureDisabled
et setPersonalAppsSuspended
, qui peuvent étendre l'application des règles d'administration au-delà du profil professionnel pour certaines règles à l'échelle de l'appareil.
Profil professionnel sur un appareil personnel (BYOD): l'appareil est un appareil personnel et contient un profil professionnel géré par un administrateur informatique associé à l'employeur.
Profil professionnel sur un appareil détenu par l'entreprise: l'appareil est fourni ou détenu par l'employeur et contient un profil professionnel géré par un administrateur informatique associé à l'employeur. Les applications peuvent appeler
isOrganizationOwnedDeviceWithManagedProfile()
pour déterminer si l'appareil a été provisionné en tant qu'appareil appartenant à l'organisation avec un profil géré.
Pour en savoir plus sur la création de profils professionnels et l'utilisation de l'API Device Policy, consultez Créer un profil professionnel.
Propriétaires de la fiche
Une application de client de règles relatives aux appareils (DPC) fonctionne en tant que propriétaire du profil lorsqu'un profil professionnel est créé. L'application cliente DPC est généralement fournie par un partenaire de gestion de la mobilité en entreprise (EMM), tel que Google Apps Device Policy, et peut appliquer des règles lorsqu'elle est définie comme propriétaire du profil. Le profil professionnel comporte des instances d'applications avec badge qui sont visuellement distinctes des instances d'applications personnelles. Le badge identifie une application comme une application professionnelle. L'EMM ne contrôle que le profil professionnel (applications et données professionnelles), et non l'espace personnel. Les règles relatives aux appareils ne sont appliquées qu'au profil professionnel, à quelques exceptions près, par exemple en appliquant l'écran de verrouillage, qui s'applique à l'ensemble de l'appareil.
Expérience utilisateur du profil professionnel
Android 9 (ou version ultérieure) offre une intégration plus étroite entre les profils professionnels et la plate-forme Android, ce qui permet aux utilisateurs de séparer plus facilement leurs informations professionnelles de leurs informations personnelles sur leurs appareils. Les modifications apportées au profil professionnel s'affichent dans le lanceur d'applications et offrent une expérience utilisateur cohérente sur les appareils gérés.
Les utilisateurs peuvent activer ou désactiver le profil professionnel dans les paramètres ou dans le menu "Réglages rapides". Sous Android 9 ou version ultérieure, les implémentations d'appareils peuvent inclure un bouton d'activation/de désactivation dans le pied de page de l'onglet professionnel pour que les utilisateurs puissent activer ou désactiver le profil professionnel. L'activation/deactivation du profil professionnel est effectuée de manière asynchrone et appliquée à tous les profils utilisateur valides. Ce processus est contrôlé par la classe WorkModeSwitch
.
Appareils avec barre d'applications
Sous Android 9 ou version ultérieure, les modifications apportées à l'expérience utilisateur du profil professionnel pour Launcher3 aident les utilisateurs à gérer des profils personnels et professionnels distincts. Le tiroir d'applications propose une vue par onglets pour distinguer les applications du profil personnel des applications du profil professionnel. Lorsque les utilisateurs consultent l'onglet "Profil professionnel" pour la première fois, une vue pédagogique s'affiche pour les aider à naviguer dans le profil professionnel.
Les utilisateurs peuvent basculer entre les différentes vues de profil à l'aide d'onglets de profil ou d'une interface utilisateur similaire en haut du panneau des applications:
Figure 1 Vue des onglets personnels
Figure 2 Affichage de l'onglet "Professionnel", activer/désactiver le profil professionnel
La vue à onglets est implémentée dans la classe AllAppsContainerView
Launcher3. Pour une implémentation de référence de l'indicateur de profil à onglets, consultez la classe PersonalWorkSlidingTabStrip
.
Message d'information sur l'utilisateur sur les appareils avec un onglet professionnel
Android 9 ou version ultérieure est compatible avec une vue pédagogique qui informe les utilisateurs de l'objectif de l'onglet "Travail" et de la manière dont ils peuvent faciliter l'accès aux applications professionnelles. Avec Launcher3, une vue éducative peut être affichée sur l'écran de l'onglet professionnel lorsque les utilisateurs ouvrent l'onglet professionnel pour la première fois, comme illustré dans la figure:
Figure 3. Vue pédagogique
Appareils sans barre d'applications
Pour les lanceurs sans bac d'applications, nous vous recommandons de continuer à placer des raccourcis vers les applications du profil professionnel dans le dossier professionnel.
Les implémentations de lanceur personnalisées peuvent utiliser getProfiles()
et getActivityList()
pour récupérer une liste d'applications avec une icône de lanceur pour l'utilisateur du profil professionnel.
Sur les appareils qui implémentent un dossier professionnel, les utilisateurs peuvent accéder aux applications du profil professionnel en ouvrant le dossier professionnel:
Figure 4 Dossier professionnel fermé
Figure 5 : Dossier professionnel ouvert
Message d'information sur l'utilisateur sur les appareils avec un dossier professionnel
Pour les lanceurs sans bac d'applications, lorsqu'un dossier professionnel contient des applications professionnelles, le message d'information sur le profil professionnel peut s'afficher sous la forme d'une info-bulle que l'utilisateur peut ignorer lorsqu'il ouvre le dossier professionnel pour la première fois:
Figure 3. Info-bulle pouvant être fermée
Valider l'expérience utilisateur du profil professionnel
Le moyen le plus simple de tester l'expérience utilisateur du profil professionnel consiste à configurer un profil professionnel à l'aide de l'application Test DPC. Les étapes suivantes décrivent comment configurer un profil professionnel sur un appareil personnel (scénario BYOD):
Commencez avec un appareil dont la configuration d'usine a été rétablie et configurez le profil personnel à l'aide d'un compte Google personnel. Vous pouvez également utiliser un appareil avec un profil personnel comme point de départ.
Installez l'application Test DPC à partir du Google Play Store.
Ouvrez le lanceur d'applications ou le panneau des applications, puis sélectionnez Configurer l'outil DPC de test.
Suivez les instructions à l'écran pour configurer un profil professionnel:
Figure 4 Configurer un profil professionnel
Figure 5 Ajouter des comptes
Figure 6 Configuration terminéeOuvrez le lanceur d'applications ou le panneau des applications, puis vérifiez que l'onglet professionnel est présent et qu'il contient un pied de page de profil professionnel. Les implémentations d'autres fabricants d'appareils peuvent contenir un dossier de travail au lieu d'un onglet de travail.
Vérifiez que vous pouvez activer/désactiver le profil professionnel depuis les paramètres rapides (ou les paramètres) en vous assurant que les applications du profil professionnel (celles avec le badge en forme de porte-documents) sont activées et désactivées comme prévu. Dans certaines implémentations d'appareils, les applications professionnelles peuvent être grisées lorsque le profil professionnel est désactivé, tandis que d'autres, telles que les implémentations avec un onglet professionnel, peuvent afficher un message en superposition indiquant que le profil professionnel est désactivé. Les images suivantes illustrent des exemples de profils professionnels activés et désactivés sur un appareil disposant d'un onglet professionnel:
Figure 7 : Bouton activé, profil professionnel activé
Figure 8 : Désactiver, profil professionnel désactivé
Badge d'application du profil professionnel
Sous Android 9 ou version ultérieure, pour des raisons d'accessibilité, la couleur du badge professionnel est bleue (#1A73E8) au lieu de l'orange.