Utiliser des profils professionnels

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Un profil professionnel est un profil géré qui contient des données d'application distinctes du profil utilisateur principal, mais qui partage certains paramètres système, tels que le Wi-Fi et le Bluetooth. L'objectif principal d'un profil professionnel est de créer un conteneur distinct et sécurisé pour contenir les données gérées. L'administrateur d'un profil professionnel dispose d'un contrôle total sur la portée, l'entrée, la sortie et la durée de vie des données. Voici quelques caractéristiques des profils professionnels:

• Création Toute application de l'utilisateur principal peut créer un profil professionnel. L'utilisateur est informé des comportements du profil professionnel et de l'application des règles avant de le créer.

• Gestion Les applications appelées propriétaires de profils peuvent appeler de manière programmatique les API de la classe DevicePolicyManager pour limiter l'utilisation. Les propriétaires de profil sont définis lors de la configuration initiale du profil. Les règles propres aux profils professionnels incluent les restrictions d'application, la possibilité de mise à jour et les comportements d'intent.

• Traitement visuel Les applications, les notifications et les widgets du profil professionnel sont associés à un badge et sont généralement mis à disposition en ligne avec les éléments d'interface utilisateur (UI) de l'utilisateur principal.

Détails de l'implémentation

Les profils professionnels sont implémentés en tant qu'utilisateurs secondaires, de sorte que les applications exécutées dans le profil professionnel aient un UID de uid = 100000 \* userid + appid. Ces profils disposent de données d'application distinctes (/data/user/userid), comme les utilisateurs principaux.

AccountManagerService gère une liste distincte de comptes pour chaque utilisateur. Les différences de compte entre un utilisateur de profil professionnel et un utilisateur secondaire standard sont les suivantes:

• Le profil professionnel est associé à son utilisateur parent et est lancé avec l'utilisateur principal au démarrage.

• Les notifications pour les profils professionnels sont activées par ActivityManagerService, ce qui permet au profil professionnel de partager la pile d'activités avec l'utilisateur principal.

• Les services système partagés supplémentaires incluent l'IME, les services d'accessibilité, le Wi-Fi et le NFC.

• Les API du lanceur permettent aux lanceurs d'afficher les applications avec badge et les widgets de la liste d'autorisation du profil professionnel à côté des applications du profil principal sans changer d'utilisateur.

Ségrégation des données

Les profils professionnels utilisent les règles de ségrégation des données suivantes.

Applis

Lorsqu'une même application existe dans l'utilisateur principal et le profil professionnel, les applications sont définies avec leurs propres données distinctes. En général, les applications agissent de manière indépendante et ne peuvent pas communiquer directement avec les instances au-delà de la limite entre le profil et l'utilisateur, sauf si elles disposent de l'autorisation INTERACT_ACROSS_PROFILES ou des autorisations App-ops.

Comptes

Les comptes du profil professionnel sont distincts de l'utilisateur principal, et les identifiants ne sont pas accessibles au-delà de la limite entre le profil et l'utilisateur. Seules les applications dans leur contexte respectif peuvent accéder à leurs comptes respectifs.

Intents

L'administrateur contrôle si les intents sont résolus dans le profil professionnel ou en dehors de celui-ci. Par défaut, les applications du profil professionnel sont limitées à l'exception du profil professionnel de l'API Device Policy.

Identifiants des appareils

Sur les appareils personnels avec un profil professionnel, Android 12 ou version ultérieure supprime l'accès aux identifiants matériels de l'appareil (IMEI, MEID, numéro de série) et fournit un ID d'inscription spécifique unique qui identifie l'enregistrement du profil professionnel pour une organisation spécifique. L'ID d'enregistrement reste stable lors des réinitialisations d'usine, ce qui permet de suivre de manière fiable l'inventaire des appareils avec des profils professionnels.

Les appareils personnels avec un profil professionnel doivent utiliser l'ID spécifique à l'inscription. Les appareils détenus par l'entreprise, y compris les appareils avec profil professionnel et les appareils entièrement gérés, peuvent également activer l'utilisation de l'ID. Pour utiliser l'ID spécifique à l'enregistrement, les EMM doivent définir l'ID de l'organisation pour chaque appareil qu'ils gèrent. Ils peuvent ensuite lire l'ID spécifique à l'enregistrement sur cet appareil et le gérer comme un numéro de série. Pour en savoir plus, consultez Améliorations de la sécurité et de la confidentialité pour le profil professionnel.

Paramètres

L'application des paramètres est limitée au profil professionnel, à l'exception des paramètres de l'écran de verrouillage et du chiffrement qui sont limités à l'appareil et partagés entre l'utilisateur principal et le profil professionnel. Hormis ces exceptions, un propriétaire de profil ne dispose pas des droits d'administrateur de l'appareil en dehors du profil professionnel.

Gérer les appareils dotés d'un profil professionnel

Android 5.0 et versions ultérieures prennent en charge la gestion des appareils pour les profils professionnels sur les appareils personnels BYOD (Bring Your Own Device) à l'aide de la classe DevicePolicyManager. De plus, Android 11 a introduit le concept de profil professionnel sur les appareils détenus par l'entreprise. Les fonctionnalités de gestion des appareils dans le profil professionnel restent les mêmes pour les appareils BYOD et les appareils appartenant à l'entreprise. Toutefois, les profils professionnels sur les appareils appartenant à l'entreprise peuvent fournir des fonctionnalités/des règles supplémentaires, telles que installSystemUpdate, setScreenCaptureDisabled et setPersonalAppsSuspended, qui peuvent étendre l'application des règles d'administration au-delà du profil professionnel pour certaines règles s'appliquant à tous les appareils.

• Profil professionnel sur un appareil personnel (BYOD): l'appareil est un appareil personnel et contient un profil professionnel géré par un administrateur informatique associé à l'employeur.

• Profil professionnel sur un appareil détenu par l'entreprise: l'appareil est fourni ou détenu par l'employeur et contient un profil professionnel géré par un administrateur informatique associé à l'employeur. Les applications peuvent appeler isOrganizationOwnedDeviceWithManagedProfile() pour déterminer si l'appareil a été provisionné en tant qu'appareil appartenant à une organisation avec un profil géré.

Pour en savoir plus sur la création de profils professionnels et l'utilisation de l'API Device Policy, consultez Créer un profil professionnel.

Propriétaires du profil

Une application de client de règles relatives aux appareils (DPC) fonctionne en tant que propriétaire du profil lorsqu'un profil professionnel est créé. L'application cliente DPC est généralement fournie par un partenaire EMM (Enterprise Mobility Management), tel que Google Apps Device Policy, et peut appliquer des règles lorsqu'elle est définie comme propriétaire du profil. Le profil professionnel comporte des instances d'applications avec badge qui sont visuellement distinctes des instances d'applications personnelles. Le badge identifie une application comme une application professionnelle. L'EMM ne contrôle que le profil professionnel (applications et données professionnelles), et non l'espace personnel. Les règles de l'appareil ne s'appliquent qu'au profil professionnel, à quelques exceptions près, comme l'application du verrouillage de l'écran, qui s'applique à l'ensemble de l'appareil.

Expérience utilisateur du profil professionnel

Android 9 (ou version ultérieure) améliore l'intégration entre les profils professionnels et la plate-forme Android, ce qui permet aux utilisateurs de séparer plus facilement leurs informations professionnelles de leurs informations personnelles sur leurs appareils. Les modifications apportées au profil professionnel s'affichent dans le lanceur d'applications et offrent une expérience utilisateur cohérente sur les appareils gérés.

Les utilisateurs peuvent activer ou désactiver le profil professionnel dans les paramètres ou dans le menu "Réglages rapides". Sous Android 9 ou version ultérieure, les implémentations d'appareils peuvent inclure un bouton d'activation/de désactivation dans le pied de page de l'onglet professionnel pour permettre aux utilisateurs d'activer ou de désactiver le profil professionnel. L'activation/deactivation du profil professionnel est effectuée de manière asynchrone et appliquée à tous les profils utilisateur valides. Ce processus est contrôlé par la classe WorkModeSwitch.

Appareils avec un bac d'applications

Sous Android 9 ou version ultérieure, les modifications apportées à l'expérience utilisateur du profil professionnel pour Launcher3 aident les utilisateurs à gérer des profils personnels et professionnels distincts. Le tiroir d'applications propose une vue par onglets pour distinguer les applications du profil personnel des applications du profil professionnel. Lorsque les utilisateurs consultent l'onglet du profil professionnel pour la première fois, une vue pédagogique s'affiche pour les aider à naviguer dans le profil professionnel.

Les utilisateurs peuvent basculer entre les différentes vues de profil à l'aide d'onglets de profil ou d'une interface utilisateur similaire en haut du panneau des applications:

La vue à onglets est implémentée dans la classe AllAppsContainerView Launcher3. Pour une implémentation de référence de l'indicateur de profil à onglets, consultez la classe PersonalWorkSlidingTabStrip.

Message d'information sur l'utilisateur sur les appareils avec un onglet professionnel

Android 9 ou version ultérieure est compatible avec une vue pédagogique qui informe les utilisateurs de l'objectif de l'onglet "Travail" et de la manière dont ils peuvent faciliter l'accès aux applications professionnelles. Avec Launcher3, une vue pédagogique peut s'afficher dans l'écran de l'onglet de travail lorsque les utilisateurs ouvrent l'onglet de travail pour la première fois, comme illustré ci-dessous:

Figure 3. Vue éducative

Appareils sans bac d'applications

Pour les lanceurs sans bac d'applications, il est recommandé de continuer à placer des raccourcis vers les applications du profil professionnel dans le dossier professionnel.

Les implémentations de lanceur personnalisées peuvent utiliser getProfiles() et getActivityList() pour récupérer une liste d'applications avec une icône de lanceur pour l'utilisateur du profil professionnel.

Sur les appareils qui implémentent un dossier professionnel, les utilisateurs peuvent accéder aux applications du profil professionnel en ouvrant le dossier professionnel:

Message d'information sur l'utilisateur sur les appareils avec un dossier professionnel

Pour les lanceurs sans bac d'applications, lorsqu'un dossier professionnel contient des applications professionnelles, le message d'information sur le profil professionnel peut s'afficher sous la forme d'une info-bulle que l'utilisateur peut ignorer lorsqu'il ouvre le dossier professionnel pour la première fois:

Figure 3. Info-bulle pouvant être ignorée

Valider l'expérience utilisateur du profil professionnel

Le moyen le plus simple de tester l'expérience utilisateur du profil professionnel consiste à configurer un profil professionnel à l'aide de l'application Test DPC. Les étapes suivantes décrivent comment configurer un profil professionnel sur un appareil personnel (scénario BYOD):

1. Commencez avec un appareil dont la configuration d'usine a été rétablie et configurez le profil personnel à l'aide d'un compte Google personnel. Vous pouvez également utiliser un appareil avec un profil personnel comme point de départ.

2. Installez l'application Test DPC depuis le Google Play Store.

3. Ouvrez le lanceur d'applications ou le panneau des applications, puis sélectionnez Configurer le DPC de test.

4. Suivez les instructions à l'écran pour configurer un profil professionnel:

   
   Figure 4 Configurer un profil professionnel
   
   Figure 5 Ajouter des comptes
   
   Figure 6 Configuration terminée

5. Ouvrez le lanceur d'applications ou le panneau d'applications, puis vérifiez que l'onglet professionnel est présent et qu'il contient un pied de page de profil professionnel. Les implémentations d'autres fabricants d'appareils peuvent contenir un dossier de travail au lieu d'un onglet de travail.

6. Vérifiez que vous pouvez activer/désactiver le profil professionnel depuis les paramètres rapides (ou les paramètres) en vous assurant que les applications du profil professionnel (celles avec le badge en forme de porte-documents) sont activées et désactivées comme prévu. Dans certaines implémentations d'appareils, les applications professionnelles peuvent être grisées lorsque le profil professionnel est désactivé, tandis que d'autres, telles que les implémentations avec un onglet professionnel, peuvent afficher un calque avec un message indiquant que le profil professionnel est désactivé. Les figures suivantes montrent des exemples de profils professionnels activés et désactivés sur un appareil qui implémente un onglet professionnel:

   
   Figure 7 : Bouton activé, profil professionnel activé
   
   Figure 8 : Bouton désactivé, profil professionnel désactivé

Badge de l'application du profil professionnel

Sous Android 9 ou version ultérieure, pour des raisons d'accessibilité, la couleur du badge professionnel est bleue (#1A73E8) au lieu d'orange.