Zatrudnianie profili służbowych

Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.

Profil do pracy to profil zarządzany , który ma oddzielne dane aplikacji od głównego profilu użytkownika, ale ma wspólne ustawienia systemowe, takie jak Wi-Fi i Bluetooth. Podstawowym celem profilu do pracy jest utworzenie segregowanego i bezpiecznego kontenera do przechowywania zarządzanych danych. Administrator profilu do pracy ma pełną kontrolę nad zakresem, przychodzącym, wychodzącym i czasem życia danych. Oto niektóre cechy profili do pracy:

  • Kreacja. Profil do pracy może utworzyć dowolna aplikacja użytkownika głównego. Użytkownik jest powiadamiany o zachowaniu profilu do pracy i egzekwowaniu zasad przed utworzeniem.

  • Kierownictwo. Aplikacje znane jako właściciele profili mogą programowo wywoływać interfejsy API w klasie DevicePolicyManager w celu ograniczenia użycia. Właściciele profili są definiowani podczas początkowej konfiguracji profilu. Zasady unikalne dla profili służbowych obejmują ograniczenia aplikacji, możliwość aktualizacji i zachowania intencji.

  • Leczenie wizualne. Aplikacje, powiadomienia i widżety z profilu służbowego są oznaczane plakietką i zazwyczaj udostępniane w połączeniu z elementami interfejsu użytkownika (UI) głównego użytkownika.

Szczegóły dotyczące wdrożenia

Profile do pracy są implementowane jako użytkownicy drugorzędni, więc aplikacje działające w profilu do pracy mają identyfikator UID uid = 100000 \* userid + appid . Te profile mają oddzielne dane aplikacji ( /data/user/userid ), podobnie jak użytkownicy główni.

AccountManagerService utrzymuje oddzielną listę kont dla każdego użytkownika. Różnice kont między użytkownikiem profilu do pracy a zwykłym użytkownikiem dodatkowym są następujące:

  • Profil do pracy jest powiązany z jego użytkownikiem nadrzędnym i jest uruchamiany z użytkownikiem podstawowym w czasie rozruchu.

  • Powiadomienia dla profili do pracy są włączane przez ActivityManagerService , dzięki czemu profil do pracy może współdzielić stos aktywności z głównym użytkownikiem.

  • Dodatkowe współdzielone usługi systemowe obejmują IME, usługi A11Y, Wi-Fi i NFC.

  • Interfejsy API programu uruchamiającego umożliwiają programom uruchamiającym wyświetlanie aplikacji z plakietką i dozwolonych widżetów z profilu do pracy obok aplikacji w profilu głównym bez przełączania użytkowników.

Segregacja danych

Profile do pracy korzystają z następujących reguł segregacji danych.

Aplikacje

Jeśli ta sama aplikacja istnieje w głównym profilu użytkownika i profilu służbowym, aplikacje są objęte zakresem własnych posegregowanych danych. Ogólnie aplikacje działają niezależnie i nie mogą komunikować się bezpośrednio z instancjami na granicy profilu i użytkownika, chyba że mają uprawnienie INTERACT_ACROSS_PROFILES lub App-ops .

Konta

Konta w profilu do pracy są unikatowe w stosunku do użytkownika podstawowego, a dostęp do poświadczeń nie jest możliwy poza granicami profilu i użytkownika. Tylko aplikacje w odpowiednim kontekście mają dostęp do swoich kont.

Intencje

Administrator kontroluje, czy intencje są rozwiązywane w profilu do pracy, czy poza nim. Domyślnie aplikacje z profilu do pracy są objęte zakresem wyjątku profilu do pracy w interfejsie Device Policy API.

Identyfikatory urządzeń

Na urządzeniach osobistych z profilem do pracy system Android 12 lub nowszy usuwa dostęp do identyfikatorów sprzętowych urządzenia (IMEI, MEID, numer seryjny) i zapewnia unikalny identyfikator związany z rejestracją , który identyfikuje rejestrację profilu do pracy dla określonej organizacji. Identyfikator rejestracji gwarantuje stabilność podczas przywracania ustawień fabrycznych, umożliwiając niezawodne śledzenie zapasów urządzeń z profilami do pracy.

Osobiste urządzenia z profilem do pracy muszą używać identyfikatora związanego z rejestracją. Urządzenia należące do firmy, w tym zarówno urządzenia z profilem do pracy, jak i urządzenia w pełni zarządzane, mogą również wyrazić zgodę na używanie identyfikatora. Aby użyć identyfikatora specyficznego dla rejestracji, dostawcy usług EMM muszą ustawić identyfikator organizacji dla każdego zarządzanego urządzenia, po czym mogą odczytać identyfikator specyficzny dla rejestracji na tym urządzeniu i potraktować go jako numer seryjny. Aby uzyskać więcej informacji, zapoznaj się z artykułem Udoskonalenia bezpieczeństwa i prywatności w profilu do pracy .

Ustawienia

Egzekwowanie ustawień obejmuje profil do pracy, z wyjątkami dotyczącymi ustawień ekranu blokady i szyfrowania, które są ograniczone do urządzenia i są współużytkowane przez głównego użytkownika i profil do pracy. Poza tymi wyjątkami właściciel profilu nie ma uprawnień administratora urządzenia poza profilem do pracy.

Zarządzanie urządzeniami na urządzeniach z profilem do pracy

Android 5.0 i nowsze obsługują zarządzanie urządzeniami dla profili służbowych na osobistych urządzeniach Bring Your Own Device (BYOD) przy użyciu klasy DevicePolicyManager . Dodatkowo w Androidzie 11 wprowadzono koncepcję profili do pracy na urządzeniach należących do firmy. Możliwość zarządzania urządzeniami w profilu do pracy pozostaje taka sama zarówno w przypadku urządzeń BYOD, jak i urządzeń należących do firmy, jednak profile do pracy na urządzeniach należących do firmy mogą zapewniać dodatkowe możliwości/zasady, takie jak installSystemUpdate , setScreenCaptureDisabled i setPersonalAppsSuspended , które mogą rozszerzyć egzekwowanie zasad administratora poza profilem do pracy w przypadku niektórych zasad dotyczących całego urządzenia.

  • Profil do pracy na urządzeniu osobistym (BYOD): Urządzenie jest urządzeniem osobistym i zawiera profil do pracy zarządzany przez administratora IT powiązanego z pracodawcą.

  • Profil do pracy na urządzeniu należącym do firmy: urządzenie jest dostarczone/należy do pracodawcy i zawiera profil do pracy zarządzany przez administratora IT powiązanego z pracodawcą. Aplikacje mogą wywoływać isOrganizationOwnedDeviceWithManagedProfile() , aby określić, czy urządzenie zostało udostępnione jako urządzenie należące do organizacji z zarządzanym profilem.

Więcej informacji o tworzeniu profili do pracy i korzystaniu z interfejsu API zasad urządzeń znajdziesz w artykule Tworzenie profilu do pracy .

Właściciele profili

Aplikacja Device Policy Client (DPC) działa jako właściciel profilu podczas tworzenia profilu do pracy. Aplikacja kliencka DPC jest zwykle dostarczana przez partnera do zarządzania urządzeniami mobilnymi w przedsiębiorstwie (EMM), na przykład Google Apps Device Policy, i może egzekwować zasady, jeśli zostanie ustawiona jako właściciel profilu. Profil do pracy zawiera instancje aplikacji oznaczone plakietką, które wizualnie różnią się od osobistych wystąpień aplikacji; plakietka identyfikuje aplikację jako aplikację do pracy. EMM ma kontrolę tylko nad profilem do pracy (aplikacjami do pracy i danymi), a nie nad przestrzenią osobistą. Zasady dotyczące urządzeń są wymuszane tylko w profilu do pracy, z pewnymi wyjątkami, takimi jak wymuszanie blokady ekranu, która ma zastosowanie na całym urządzeniu.

Doświadczenie użytkownika profilu służbowego

Android 9 lub nowszy zapewnia ściślejszą integrację profili służbowych z platformą Android, ułatwiając użytkownikom przechowywanie ich danych służbowych i osobistych na swoich urządzeniach. Zmiany profilu do pracy pojawiają się w programie uruchamiającym i zapewniają spójne środowisko użytkownika na zarządzanych urządzeniach.

Użytkownicy mogą przełączać profil do pracy z ustawień lub menu szybkich ustawień. W systemie Android 9 lub nowszym implementacje urządzeń mogą zawierać przełącznik w stopce karty Praca, aby użytkownicy mogli włączać lub wyłączać profil do pracy. Przełączanie profilu do pracy odbywa się asynchronicznie i jest stosowane do wszystkich prawidłowych profili użytkowników; proces ten jest kontrolowany przez klasę WorkModeSwitch .

Urządzenia z zasobnikiem aplikacji

W systemie Android 9 lub nowszym zmiany UX profilu do pracy w programie Launcher3 ułatwiają użytkownikom prowadzenie oddzielnych profili osobistych i służbowych. Szuflada aplikacji udostępnia widok z kartami, aby odróżnić aplikacje profilu osobistego od aplikacji profilu służbowego. Gdy użytkownicy po raz pierwszy przeglądają kartę profilu do pracy, widzą widok edukacyjny, który ułatwia im poruszanie się po profilu do pracy.

Użytkownicy mogą przełączać się między różnymi widokami profilu, korzystając z zakładek profilu lub podobnego interfejsu użytkownika w górnej części szuflady aplikacji:


Rysunek 1. Widok zakładki osobistej

Rysunek 2. Widok zakładki Praca, przełącznik profilu pracy

Widok z kartami jest zaimplementowany jako część klasy AllAppsContainerView Launcher3. Aby zapoznać się z referencyjną implementacją wskaźnika profilu z zakładkami, zapoznaj się z klasą PersonalWorkSlidingTabStrip .

Komunikat edukacyjny użytkownika na urządzeniach z zakładką praca

Android 9 lub nowszy obsługuje widok edukacyjny, który informuje użytkowników o celu karty Praca i o tym, jak mogą ułatwić dostęp do aplikacji do pracy. Korzystając z Launchera3, widok edukacyjny można wyświetlić na ekranie zakładki Praca, gdy użytkownicy po raz pierwszy otworzą zakładkę Praca, jak pokazano poniżej:

Widok edukacyjny

Rysunek 3. Widok edukacyjny

Urządzenia bez zasobnika aplikacji

W przypadku programów uruchamiających bez zasobnika aplikacji zaleca się dalsze umieszczanie skrótów do aplikacji profilu do pracy w folderze roboczym.

Niestandardowe implementacje programów uruchamiających mogą używać funkcji getProfiles() i getActivityList() do pobierania listy aplikacji z ikoną programu uruchamiającego dla użytkownika profilu do pracy.

Na urządzeniach z zaimplementowanym folderem do pracy użytkownicy mogą uzyskiwać dostęp do aplikacji profilu do pracy, otwierając folder do pracy:


Rysunek 4. Zamknięty folder roboczy

Rysunek 5. Otwarty folder roboczy

Wiadomość edukacyjna użytkownika na urządzeniach z folderem roboczym

W przypadku programów uruchamiających bez zasobnika aplikacji, w których folder do pracy zawiera aplikacje do pracy, komunikat edukacyjny dotyczący profilu do pracy może zostać wyświetlony w formie podpowiedzi, którą można zamknąć, gdy użytkownik otworzy folder do pracy po raz pierwszy:

Podpowiedź do odrzucenia

Rysunek 3. Podpowiedź do odrzucenia

Weryfikacja doświadczenia użytkownika profilu służbowego

Najprostszym sposobem przetestowania środowiska użytkownika profilu do pracy jest skonfigurowanie profilu do pracy za pomocą aplikacji Test DPC. Poniższe kroki opisują, jak skonfigurować profil do pracy na urządzeniu osobistym (scenariusz BYOD):

  1. Zacznij od urządzenia z przywróceniem ustawień fabrycznych i dokończ konfigurację profilu osobistego, używając osobistego konta Google lub alternatywnie użyj urządzenia z profilem osobistym jako punktem wyjścia.

  2. Zainstaluj aplikację Test DPC ze Sklepu Google Play.

  3. Otwórz program uruchamiający lub szufladę aplikacji i wybierz Skonfiguruj Testuj DPC .

  4. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby skonfigurować profil do pracy:


    Rysunek 4. Skonfiguruj profil do pracy


    Rysunek 5. Dodaj konta


    Rysunek 6. Konfiguracja zakończona

  5. Otwórz program uruchamiający lub szufladę aplikacji i sprawdź, czy karta Praca jest obecna i zawiera stopkę profilu do pracy. Alternatywne implementacje producentów urządzeń mogą zawierać folder roboczy zamiast karty roboczej.

  6. Sprawdź, czy możesz przełączyć profil do pracy z Szybkich ustawień (lub ustawień), potwierdzając, że aplikacje profilu do pracy (aplikacje z plakietką aktówki) są włączone i wyłączone zgodnie z oczekiwaniami. W niektórych implementacjach urządzeń aplikacje do pracy mogą być wyszarzone, gdy profil do pracy jest wyłączony, podczas gdy inne, takie jak implementacje z kartą Praca, mogą wyświetlać nakładkę z komunikatem informującym, że profil do pracy jest wyłączony. Poniższe rysunki przedstawiają przykłady włączonych i wyłączonych profili do pracy na urządzeniu z zaimplementowaną kartą Praca:


    Rysunek 7. Włącz, profil do pracy włączony

    Rysunek 8. Wyłącz, profil do pracy wyłączony

Plakietka aplikacji profilu służbowego

W systemie Android 9 lub nowszym ze względu na ułatwienia dostępu kolor plakietki służbowej jest niebieski (nr 1A73E8) zamiast pomarańczowego.