Impiego di profili di lavoro

Un profilo di lavoro è un profilo gestito che ha dati delle app separati dal profilo utente principale, ma condivide alcune impostazioni a livello di sistema, come Wi-Fi e Bluetooth. L'obiettivo principale di un profilo di lavoro è creare un contenitore separato e sicuro per conservare i dati gestiti. L'amministratore di un profilo di lavoro ha il controllo completo sull'ambito, l'ingresso, l'uscita e la durata dei dati. Di seguito alcune caratteristiche dei profili di lavoro:

  • Creazione. Qualsiasi app nell'utente principale può creare un profilo di lavoro. L'utente viene informato dei comportamenti del profilo di lavoro e dell'applicazione dei criteri prima della creazione.

  • Gestione. Le app note come proprietari di profili possono richiamare a livello di codice le API nella classe DevicePolicyManager per limitare l'uso. I proprietari del profilo vengono definiti durante l'impostazione iniziale del profilo. I criteri univoci per i profili di lavoro riguardano le limitazioni delle app, l'aggiornabilità e i comportamenti di intenti.

  • Trattamento visivo. Le app, le notifiche e i widget del profilo di lavoro sono contrassegnati e in genere resi disponibili in linea con gli elementi dell'interfaccia utente (UI) dell'utente principale.

Dettagli di implementazione

I profili di lavoro vengono implementati come utenti secondari, in modo tale che le app in esecuzione nel profilo di lavoro abbiano un UID di uid = 100000 \* userid + appid . Questi profili hanno dati dell'app separati ( /data/user/userid ), simili agli utenti primari.

AccountManagerService mantiene un elenco separato di account per ogni utente. Le differenze di account tra un utente del profilo di lavoro e un normale utente secondario includono quanto segue:

  • Il profilo di lavoro è associato al relativo utente padre e viene avviato con l'utente principale al momento dell'avvio.

  • Le notifiche per i profili di lavoro sono abilitate da ActivityManagerService , consentendo al profilo di lavoro di condividere lo stack di attività con l'utente principale.

  • Ulteriori servizi di sistema condivisi includono IME, servizi A11Y, Wi-Fi e NFC.

  • Le API di avvio consentono agli avviatori di visualizzare app con badge e widget consentiti dal profilo di lavoro accanto alle app nel profilo principale senza cambiare utente.

Segregazione dei dati

I profili di lavoro utilizzano le seguenti regole di segregazione dei dati.

App

Quando la stessa app esiste nell'utente principale e nel profilo di lavoro, l'ambito delle app viene definito con i propri dati segregati. In genere, le app agiscono in modo indipendente e non possono comunicare direttamente con le istanze attraverso il limite profilo-utente a meno che non dispongano dell'autorizzazione INTERACT_ACROSS_PROFILES o App-ops .

Conti

Gli account nel profilo di lavoro sono univoci rispetto all'utente principale e non è possibile accedere alle credenziali attraverso il limite dell'utente del profilo. Solo le app nel rispettivo contesto possono accedere ai rispettivi account.

Intenti

L'amministratore controlla se gli intenti vengono risolti all'interno o all'esterno del profilo di lavoro. Per impostazione predefinita, l'ambito delle app del profilo di lavoro rientra nell'eccezione del profilo di lavoro dell'API Device Policy.

Identificatori del dispositivo

Sui dispositivi personali con un profilo di lavoro, Android 12 o versioni successive rimuove l'accesso agli identificatori hardware del dispositivo (IMEI, MEID, numero di serie) e fornisce un ID univoco specifico per la registrazione che identifica la registrazione del profilo di lavoro per un'organizzazione specifica. L'ID di registrazione è garantito per rimanere stabile durante i ripristini di fabbrica, consentendo un monitoraggio affidabile dell'inventario dei dispositivi con profili di lavoro.

I dispositivi di proprietà personale con un profilo di lavoro devono utilizzare l'ID specifico della registrazione; Anche i dispositivi di proprietà dell'azienda, inclusi sia il profilo di lavoro che i dispositivi completamente gestiti, possono scegliere di utilizzare l'ID. Per utilizzare l'ID specifico della registrazione, gli EMM devono impostare l' ID organizzazione per ogni dispositivo che gestiscono, dopodiché possono leggere l'ID specifico della registrazione su quel dispositivo e gestirlo come numero di serie. Per ulteriori dettagli, fare riferimento a Miglioramenti della sicurezza e della privacy per il profilo di lavoro .

Impostazioni

L'imposizione delle impostazioni è limitata al profilo di lavoro, con eccezioni per le impostazioni di blocco schermo e crittografia che sono limitate al dispositivo e condivise tra l'utente principale e il profilo di lavoro. A parte queste eccezioni, il proprietario di un profilo non dispone dei privilegi di amministratore del dispositivo al di fuori del profilo di lavoro.

Gestione dei dispositivi sui dispositivi con un profilo di lavoro

Android 5.0 e versioni successive supportano la gestione dei dispositivi per i profili di lavoro nei dispositivi personali BYOD (Bring Your Own Device) tramite la classe DevicePolicyManager . Inoltre, Android 11 ha introdotto il concetto di profili di lavoro sui dispositivi di proprietà dell'azienda. La funzionalità di gestione dei dispositivi all'interno del profilo di lavoro rimane la stessa sia per i casi BYOD che per i dispositivi di proprietà dell'azienda, tuttavia i profili di lavoro sui dispositivi di proprietà dell'azienda potrebbero fornire funzionalità/criteri aggiuntivi, come installSystemUpdate , setScreenCaptureDisabled e setPersonalAppsSuspended , che possono estendere l'applicazione dei criteri di amministrazione oltre il profilo di lavoro per determinati criteri a livello di dispositivo.

  • Profilo di lavoro su un dispositivo personale (BYOD): il dispositivo è un dispositivo personale e contiene un profilo di lavoro gestito da un amministratore IT associato al datore di lavoro.

  • Profilo di lavoro su un dispositivo di proprietà dell'azienda: il dispositivo è fornito/di proprietà del datore di lavoro e contiene un profilo di lavoro gestito da un amministratore IT associato al datore di lavoro. Le app possono chiamare isOrganizationOwnedDeviceWithManagedProfile() per determinare se è stato eseguito il provisioning del dispositivo come dispositivo di proprietà dell'organizzazione con un profilo gestito.

Per ulteriori informazioni sulla creazione del profilo di lavoro e sull'utilizzo dell'API Device Policy, fare riferimento a Creare un profilo di lavoro .

Proprietari del profilo

Un'app Device Policy Client (DPC) funge da proprietario del profilo quando viene creato un profilo di lavoro. L'app client DPC è in genere fornita da un partner EMM (Enterprise Mobility Management), come Google Apps Device Policy, ed è in grado di applicare criteri se impostata come proprietario del profilo. Il profilo di lavoro ha istanze di app contrassegnate che sono visivamente distinte dalle istanze personali di app; il badge identifica un'app come app di lavoro. L'EMM ha il controllo solo sul profilo di lavoro (app e dati di lavoro) e non sullo spazio personale. I criteri del dispositivo vengono applicati solo al profilo di lavoro con alcune eccezioni, ad esempio l'applicazione della schermata di blocco applicabile a tutto il dispositivo.

Esperienza utente del profilo di lavoro

Android 9 o versioni successive crea un'integrazione più stretta tra i profili di lavoro e la piattaforma Android, rendendo più facile per gli utenti mantenere separate le proprie informazioni di lavoro e personali sui propri dispositivi. Le modifiche al profilo di lavoro vengono visualizzate nell'utilità di avvio e forniscono un'esperienza utente coerente su tutti i dispositivi gestiti.

Gli utenti possono attivare o disattivare il profilo di lavoro dalle impostazioni o dal menu delle impostazioni rapide. In Android 9 o versioni successive, le implementazioni del dispositivo potrebbero includere un interruttore nel piè di pagina della scheda di lavoro per consentire agli utenti di abilitare o disabilitare il profilo di lavoro. La commutazione del profilo di lavoro viene eseguita in modo asincrono e applicata a tutti i profili utente validi; questo processo è controllato dalla classe WorkModeSwitch .

Dispositivi con una barra delle applicazioni

In Android 9 o versioni successive, le modifiche all'esperienza utente del profilo di lavoro per Launcher3 aiutano gli utenti a mantenere profili personali e di lavoro separati. Il cassetto delle app fornisce una visualizzazione a schede per distinguere le app del profilo personale dalle app del profilo di lavoro. Quando gli utenti visualizzano per la prima volta la scheda del profilo di lavoro, viene loro presentata una vista didattica che li aiuta a navigare nel profilo di lavoro.

Gli utenti possono passare da una visualizzazione del profilo all'altra utilizzando le schede del profilo o un'interfaccia utente simile nella parte superiore del cassetto delle app:


Figura 1. Visualizzazione della scheda Personale

Figura 2. Visualizzazione scheda Lavoro, alternanza profilo lavoro

La visualizzazione a schede è implementata come parte della classe AllAppsContainerView Launcher3. Per un'implementazione di riferimento dell'indicatore di profilo a schede, fare riferimento alla classe PersonalWorkSlidingTabStrip .

Messaggio di formazione dell'utente nei dispositivi con una scheda di lavoro

Android 9 o versioni successive supporta una visualizzazione didattica che informa gli utenti sullo scopo della scheda di lavoro e su come possono rendere più facile l'accesso alle app di lavoro. Utilizzando Launcher3, è possibile visualizzare una vista didattica nella schermata della scheda lavoro quando gli utenti aprono per la prima volta la scheda lavoro, come mostrato di seguito:

Vista educativa

Figura 3. Vista educativa

Dispositivi senza barra delle applicazioni

Per i lanciatori senza una barra delle applicazioni, si consiglia di continuare a inserire collegamenti alle app del profilo di lavoro nella cartella di lavoro.

Le implementazioni di avvio personalizzate possono utilizzare getProfiles() e getActivityList() per recuperare un elenco di app con un'icona di avvio per l'utente del profilo di lavoro.

Nei dispositivi che implementano una cartella di lavoro, gli utenti possono accedere alle app del profilo di lavoro aprendo la cartella di lavoro:


Figura 4. Cartella di lavoro chiusa

Figura 5. Cartella di lavoro aperta

Messaggio di formazione dell'utente nei dispositivi con una cartella di lavoro

Per i lanciatori senza una barra delle applicazioni, in cui una cartella di lavoro contiene app di lavoro, il messaggio relativo alla formazione del profilo di lavoro potrebbe essere visualizzato sotto forma di descrizione comandi ignorabile quando l'utente apre la cartella di lavoro per la prima volta:

Suggerimento ignorabile

Figura 3. Descrizione comando ignorabile

Convalida dell'esperienza utente del profilo di lavoro

Il modo più semplice per testare l'esperienza utente del profilo di lavoro consiste nell'impostare un profilo di lavoro utilizzando l'app Test DPC. I passaggi seguenti descrivono come configurare un profilo di lavoro su un dispositivo personale (scenario BYOD):

  1. Inizia con un dispositivo ripristinato alle impostazioni di fabbrica e completa la configurazione del profilo personale utilizzando un account Google personale o in alternativa utilizza un dispositivo con un profilo personale come punto di partenza.

  2. Installa l'app Test DPC dal Google Play Store.

  3. Apri l'utilità di avvio o il cassetto delle app e seleziona Configura test DPC .

  4. Segui le istruzioni sullo schermo per configurare un profilo di lavoro:


    Figura 4. Configurare il profilo di lavoro


    Figura 5. Aggiungere account


    Figura 6. Installazione completata

  5. Apri l'utilità di avvio o il cassetto delle app e verifica che la scheda di lavoro sia presente e contenga un piè di pagina del profilo di lavoro. Le implementazioni alternative del produttore del dispositivo possono contenere una cartella di lavoro anziché una scheda di lavoro.

  6. Verifica di poter attivare o disattivare il profilo di lavoro dalle Impostazioni rapide (o dalle impostazioni) confermando che le app del profilo di lavoro (app con il badge della valigetta) siano abilitate e disabilitate come previsto. In alcune implementazioni del dispositivo, le app di lavoro potrebbero essere disattivate quando il profilo di lavoro è disabilitato, mentre altre, come le implementazioni con una scheda di lavoro, potrebbero visualizzare una sovrapposizione con un messaggio che informa che il profilo di lavoro è disattivato. Le seguenti figure mostrano esempi di profili di lavoro abilitati e disabilitati su un dispositivo che implementa una scheda di lavoro:


    Figura 7. Attivare, profilo di lavoro abilitato

    Figura 8. Disattiva, profilo di lavoro disabilitato

Badge dell'app del profilo di lavoro

In Android 9 o versioni successive, per motivi di accessibilità, il colore del badge di lavoro è blu (#1A73E8) anziché arancione.