העסקת פרופילי עבודה

פרופיל עסקי מהווה אנדרואיד המשתמש עם תכונות מיוחדות נוספות ברחבי ניהול אסתטי חזותי. המטרה העיקרית של פרופיל עבודה היא ליצור מרחב מופרד ומאובטח לנתונים מנוהלים (כגון נתוני חברה). למנהל הפרופיל שליטה מלאה בהיקף, כניסה, יציאה וחיים של הנתונים. מדיניות זו מציעה סמכויות גדולות ולכן נופלת על פרופיל העבודה במקום על מנהל המכשיר.

  • יצירה. כל אפליקציה במשתמש הראשי יכולה ליצור פרופיל עבודה. המשתמש מקבל הודעה על התנהגויות פרופיל העבודה ואכיפת מדיניות לפני היצירה.

  • הַנהָלָה. Apps ידוע לבעלי פרופיל יכול תוכניתי Invoke APIs של DevicePolicyManager בכיתה כדי להגביל את השימוש. בעלי פרופיל מוגדרים בהגדרת הפרופיל הראשונית. מדיניות ייחודית לפרופילים של עבודה כרוכה בהגבלות של אפליקציות, עדכנות והתנהגויות כוונה.

  • טיפול חזותי. אפליקציות, התראות ווידג'טים מפרופיל העבודה הם עם תגים ובדרך כלל הופכים לזמינים בשורה עם רכיבי ממשק משתמש (ממשק משתמש) מהמשתמש הראשי.

הפרדת נתונים

פרופילי עבודה משתמשים בכללי הפרדת הנתונים הבאים.

אפליקציות

כאשר אותה אפליקציה קיימת בפרופיל המשתמש והפרופיל הראשי, האפליקציות נכללות בנתונים מופרדים משלהן. באופן כללי, אפליקציות פועלות באופן עצמאי ואינן יכולות לתקשר ישירות זו עם זו מעבר לגבול הפרופיל-משתמש.

חשבונות

חשבונות בפרופיל העבודה הם ייחודיים מהמשתמש הראשי ואין אפשרות לגשת לאישורים מעבר לגבול הפרופיל-משתמש. רק אפליקציות בהקשר שלהן יכולות לגשת לחשבונות המתאימות שלהן.

כוונות

מנהל המערכת קובע אם הכוונות נפתרות בפרופיל העבודה או מחוצה לו. כברירת מחדל, אפליקציות מפרופיל העבודה נעות כדי להישאר בתוך פרופיל העבודה למעט ממשק ה- Device Policy.

מזהי מכשירים

במכשירים אישיים עם פרופיל עבודה, אנדרואיד 12 ומעלה מסיר גישה למזהי חומרת התקנים (IMEI, MEID, מספר סידורי) ומספק מזהה ייחודי, ספציפי לרישום, המזהה את הרשמת פרופיל העבודה לארגון ספציפי. מובטח שמזהה ההרשמה יישאר יציב בכל איפוס המפעל, ויאפשר מעקב מלאי אמין אחר מכשירים עם פרופילי עבודה.

מכשירים בבעלות אישית עם פרופיל עבודה חייבים להשתמש במזהה הספציפי לרישום; מכשירים בבעלות חברה, כולל פרופיל עבודה ומכשירים מנוהלים לחלוטין, יכולים להצטרף לשימוש גם במזהה. כדי להשתמש, EMM חייבים להגדיר את מזהה הארגון עבור כל מכשיר שהם מנהלים, ולאחר מכן הם יכולים לקרוא את המזהה הספציפי לרישום במכשיר זה ולטפל בו כמספר סידורי. לפרטים נוספים, ראה שיפורי אבטחה ופרטיות עבור פרופיל העבודה .

הגדרות

אכיפת ההגדרות נרחבת לפרופיל העבודה, למעט יוצאי מסך ומנעול הגדרות הצפנה הנכללים במכשיר ומשותפים בין המשתמש הראשי לפרופיל העבודה. מלבד חריגים אלה, לבעל פרופיל אין הרשאות מנהל התקנים מחוץ לפרופיל העבודה.

פרופילי עבודה מיושמים כמשתמש משני, כך uid = 100000 \* userid + appid . יש פרופילים אלה נתוני אפליקציה נפרדים ( /data/user/ userid ), דומים למשתמשים רגילים. userid מחושבת עבור כל הבקשות המערכת באמצעות Binder.getCallingUid() , וכל מדינה ותגובות מערכת מופרדים על ידי userid ערך.

AccountManagerService שומר רשימה נפרדת של חשבונות עבור כל משתמש. הבדלי החשבונות בין משתמש בפרופיל עבודה לבין משתמש משני רגיל כוללים את הדברים הבאים:

  • פרופיל העבודה משויך למשתמש האב שלו ומתחיל עם המשתמש הראשי בזמן האתחול.

  • הודעות עבור פרופילי עבודה מופעלות על ידי ActivityManagerService , המאפשרות לפרופיל העבודה לחלוק את ערימת הפעילות עם המשתמש העיקרי.

  • שירותי מערכת משותפים נוספים כוללים שירותי IME, A11Y, Wi-Fi ו- NFC.

  • ממשקי API של משגר מאפשרים למשגרים להציג אפליקציות עם תגים ווידג'טים מורשים מפרופיל העבודה לצד אפליקציות בפרופיל הראשי מבלי להחליף משתמשים.

ניהול מכשירים

ניהול מכשירי Android ארגוניים כולל את הבעלים הבאים:

  • בעל פרופיל. מיועד להבאת סביבות מכשיר משלך (BYOD).
  • בעל מכשיר. מיועד לסביבות בעלות אחריות.

חלק מממשקי ה- API לניהול מכשירים משמשים לצרכנים (לדוגמה, מצא את ממשקי ה- API של המכשיר שלי), בעוד שממשקי API אחרים זמינים רק לפרופיל או לבעלי מכשירים.

בעלי פרופילים

אפליקציית לקוח Device Policy (DPC) מתפקדת כבעלת הפרופיל ומסופקת בדרך כלל על ידי שותף לניהול ניידות ארגונית (EMM) כגון מדיניות מכשירים של Google Apps. אפליקציית לבעל פרופיל יוצרת פרופיל עבודה על המכשיר על ידי שליחת ACTION_PROVISION_MANAGED_PROFILE הכוונה. בפרופיל העבודה יש ​​תגים של אפליקציות הנבדלות מבחינה ויזואלית ממופעים אישיים של אפליקציות; התג מזהה אפליקציה כאפליקציית עבודה. ל- EMM יש שליטה רק על פרופיל העבודה ולא על המרחב האישי (למעט כמה יוצאים מן הכלל, כגון אכיפת מסך הנעילה).

בעלי מכשירים

ניתן להגדיר את בעל המכשיר אך ורק במכשיר שאינו מותקן, שכן יש להקצות את הבעלים במהלך הגדרת המכשיר הראשונית. הגדרות מהירות חייבות תמיד להציג גילוי נאות. בעלי מכשירים יכולים לבצע כמה משימות שבעלי פרופיל לא יכולים, כגון:

  • ניגוב נתוני המכשיר.
  • השבתת Wi-Fi או Bluetooth.
  • הגדרת הערך של setGlobalSetting .
  • הגדרת הערך של setLockTaskPackages , המהווה את יכולת חבילות allowlist כי יכול להצמיד את עצמם בחזית.
  • הגדרת הערך של DISALLOW_MOUNT_PHYSICAL_MEDIA , המהווה FALSE כברירת מחדל; כאשר מוגדר TRUE , מדיה פיזית נייד לאימוץ ולא ניתן לטעון).

ממשקי API של DevicePolicyManager

אנדרואיד 5.0 ומעלה מציע שיפור DevicePolicyManager עם APIs התומכים תאגידי בבעלות ולהביא את המכשיר שלכם (BYOD) במקרים וניהול שימוש, כוללים אפליקציות הגבלה, בשקט installating תעודות, ושליטת פרופיל צלב שיתוף גישה כוונה. כדי להתחיל, להשתמש במכשיר מדגם לקוח מדיניות (DPC) אפליקציה BasicManagedProfile.apk . לפרטים, עיין לבנות בקר מדיניות המכשיר .

חווית משתמש בפרופיל עבודה

אנדרואיד 9 ומעלה יוצר אינטגרציה הדוקה יותר בין פרופילי העבודה לפלטפורמת האנדרואיד, מה שמקל על המשתמשים לשמור על עבודתם ומידע אישי בנפרד במכשירים שלהם. שינויים בפרופיל העבודה מופיעים במפעיל המספקים חווית משתמש עקבית במכשירים מנוהלים.

מכשירים עם מגש אפליקציות

ב- Android 9 ומעלה, פרופיל העבודה UX משתנה עבור Launcher3 מסייע למשתמשים לשמור על פרופילים אישיים ועבודתיים נפרדים. מגירת האפליקציות מספקת תצוגת כרטיסיות להבחנת אפליקציות פרופיל אישי. כאשר משתמשים צופים לראשונה בכרטיסיית פרופיל העבודה, מוצגת בפניהם תצוגה חינוכית שתסייע להם לנווט בפרופיל העבודה. הם יכולים גם להפעיל או לכבות את פרופיל העבודה באמצעות מתג בכרטיסיית העבודה של המשגר.

צפיות בפרופיל בכרטיסייה

ב- Android 9 ומעלה, פרופיל עבודה מאפשר למשתמשים לעבור בין רשימות אפליקציות אישיות ומנוהלות במגירת האפליקציות. בתצוגות של אפליקציות מופרדות לשתי מובחנת RecyclerViews , מנוהל על ידי ViewPager . משתמשים יכולים לעבור בין תצוגות הפרופיל השונות באמצעות כרטיסיות פרופיל בחלק העליון של מגירת האפליקציות, כפי שמוצג להלן:


תצוגת כרטיסיית איור 1. האישית

איור 2. עבודת כרטיסיית תצוגה, פרופיל עבודת Toggle

השקפת הלשוניות מיושמת כחלק AllAppsContainerView בכיתת Launcher3. עבור יישום התייחסות של אינדיקטור פרופיל לשוניות, עיין PersonalWorkSlidingTabStrip בכיתה.

השקפה חינוכית

אנדרואיד 9 ומעלה תומך בתצוגה חינוכית המודיעה למשתמשים על מטרת כרטיסיית העבודה וכיצד הם יכולים להקל על גישה לאפליקציות עבודה. באמצעות Launcher3, תוכל להציג תצוגה חינוכית בתחתית מסך כרטיסיית העבודה כאשר משתמשים פותחים לראשונה את כרטיסיית העבודה, כפי שמוצג להלן:

השקפה חינוכית

נוף איור 3. חינוכי

ההשקפה החינוכית מוגדרת על ידי BottomUserEducationView בכיתה עם הפריסה בשליטת work_tab_tottom_user_education_view.xml . בתוך BottomUserEducationView , את KEY_SHOWED_BOTTOM_USER_EDUCATION בוליאני מוגדר false כברירת מחדל. כאשר המשתמש מבטל את תצוגת החינוך, בוליאני מוגדר true .

החלף כדי להפעיל או להשבית פרופילי עבודה

ב- Android 9 ואילך, מנהלי מכשירים מנוהלים יכולים להציג החלפה בכותרת התחתונה של כרטיסיית העבודה כדי שמשתמשים יוכלו להפעיל או להשבית את פרופיל העבודה. הפעלה והשבתה של פרופיל העבודה מתבצעת באופן אסינכרוני ומוחלת על כל פרופילי המשתמש התקפים; תהליך זה נשלט על ידי WorkModeSwitch בכיתה. עבור Toggle המקור, מתייחס WorkFooterContainer .

מכשירים ללא מגש אפליקציות

למשגרים ללא מגש אפליקציות, המשך להציב קיצורי דרך לאפליקציות פרופיל העבודה בתיקיית העבודה. אם תיקיית העבודה איננו מאכלסת נכונה אפליקציות חדשות שהותקנו איננו מתווספות אל התיקייה, להחיל את השינוי הבא onAllAppsLoaded השיטה של ManagedProfileHeuristic בכיתה:

for (LauncherActivityInfo app : apps) {
        // Queue all items which should go in the work folder.
        if (app.getFirstInstallTime() < Long.MAX\_VALUE) {
                InstallShortcutReceiver.queueActivityInfo(app, context);
        }
}

אימות שינויים ב- UX

כדי לבדוק את יישום UX של פרופיל העבודה באמצעות אפליקציית TestDPC:

  1. על המכשיר, להתקין את TestDPC האפליקציה מחנות Google Play.

  2. פתח את המגירה משגר או אפליקציה ובחר להקים TestDPC.

  3. עקוב אחר ההוראות שעל המסך כדי להגדיר פרופיל עבודה.


    איור 4. להגדיר את פרופיל העבודה


    איור 5. חשבונות הוספה


    להשלים את הגדרת איור 6.

  4. פתח את המשגר ​​או את מגירת האפליקציות וודא כי כרטיסיית העבודה קיימת ומכילה כותרת תחתונה של פרופיל העבודה.

  5. ודא שאתה יכול להפעיל ולכבות את פרופיל העבודה על ידי אישור שפרופיל העבודה מופעל ומוגבל כצפוי. האיורים הבאים מראים דוגמאות לפרופילי עבודה מופעלים ומוגבלים:


    איור 7. Toggle על פרופיל העבודה אפשרה

    איור 8. Toggle את פרופיל העבודה מושבת

תג אפליקציית פרופיל עבודה

באנדרואיד 9 ומעלה, מסיבות נגישות, צבע תג העבודה הוא כחול (#1A73E8) במקום כתום.