Impiego di profili di lavoro

Un profilo di lavoro è un profilo gestito che ha dati app separati dal profilo utente principale ma condivide alcune impostazioni a livello di sistema, come Wi-Fi e Bluetooth. L'obiettivo principale di un profilo di lavoro è creare un contenitore separato e sicuro per contenere i dati gestiti. L'amministratore di un profilo di lavoro ha il controllo completo su ambito, ingresso, uscita e durata dei dati. Di seguito alcune caratteristiche dei profili di lavoro:

  • Creazione. Qualsiasi app nell'utente principale può creare un profilo di lavoro. L'utente viene informato dei comportamenti del profilo di lavoro e dell'applicazione dei criteri prima della creazione.

  • Gestione. Le app note come proprietari di profili possono richiamare a livello di codice le API nella classe DevicePolicyManager per limitarne l'uso. I proprietari del profilo sono definiti durante la configurazione iniziale del profilo. I criteri esclusivi dei profili di lavoro riguardano le restrizioni delle app, l'aggiornamento e i comportamenti intenzionali.

  • Trattamento visivo. Le app, le notifiche e i widget del profilo di lavoro sono contrassegnati da badge e generalmente resi disponibili in linea con gli elementi dell'interfaccia utente (UI) dell'utente principale.

Dettagli di attuazione

I profili di lavoro vengono implementati come utenti secondari, in modo tale che le app in esecuzione nel profilo di lavoro abbiano un UID di uid = 100000 \* userid + appid . Questi profili hanno dati app separati ( /data/user/userid ), simili agli utenti primari.

AccountManagerService mantiene un elenco separato di account per ogni utente. Le differenze di account tra un utente del profilo di lavoro e un normale utente secondario includono quanto segue:

  • Il profilo di lavoro è associato all'utente padre e viene avviato con l'utente principale al momento dell'avvio.

  • Le notifiche per i profili di lavoro sono abilitate da ActivityManagerService , consentendo al profilo di lavoro di condividere lo stack di attività con l'utente principale.

  • Ulteriori servizi di sistema condivisi includono IME, servizi A11Y, Wi-Fi e NFC.

  • Le API di avvio consentono ai lanciatori di visualizzare le app contrassegnate e i widget consentiti dal profilo di lavoro accanto alle app nel profilo principale senza cambiare utente.

Segregazione dei dati

I profili di lavoro utilizzano le seguenti regole di segregazione dei dati.

App

Quando la stessa app esiste nell'utente principale e nel profilo di lavoro, le app hanno nell'ambito i propri dati separati. In genere, le app agiscono in modo indipendente e non possono comunicare direttamente con le istanze attraverso il limite profilo-utente a meno che non dispongano dell'autorizzazione INTERACT_ACROSS_PROFILES o App-ops .

Conti

Gli account nel profilo di lavoro sono univoci rispetto all'utente principale e non è possibile accedere alle credenziali attraverso il confine profilo-utente. Solo le app nel rispettivo contesto possono accedere ai rispettivi account.

Intenzioni

L'amministratore controlla se gli intenti vengono risolti all'interno o all'esterno del profilo di lavoro. Per impostazione predefinita, le app del profilo di lavoro hanno l'ambito per rimanere all'interno dell'eccezione del profilo di lavoro dell'API Device Policy.

Identificatori del dispositivo

Sui dispositivi personali con un profilo di lavoro, Android 12 o versioni successive rimuove l'accesso agli identificatori hardware del dispositivo (IMEI, MEID, numero di serie) e fornisce un ID univoco specifico per la registrazione che identifica la registrazione al profilo di lavoro per un'organizzazione specifica. È garantito che l'ID di registrazione rimanga stabile durante i ripristini di fabbrica, consentendo un monitoraggio affidabile dell'inventario dei dispositivi con profili di lavoro.

I dispositivi di proprietà personale con un profilo di lavoro devono utilizzare l'ID specifico della registrazione; I dispositivi di proprietà dell'azienda, inclusi sia il profilo di lavoro che i dispositivi completamente gestiti, possono anche scegliere di utilizzare l'ID. Per utilizzare l'ID specifico della registrazione, gli EMM devono impostare l' ID organizzazione per ogni dispositivo che gestiscono, dopodiché possono leggere l'ID specifico della registrazione su quel dispositivo e gestirlo come numero di serie. Per maggiori dettagli, fare riferimento a Miglioramenti della sicurezza e della privacy per il profilo di lavoro .

Impostazioni

L'applicazione delle impostazioni è nell'ambito del profilo di lavoro, con eccezioni per la schermata di blocco e le impostazioni di crittografia che sono nell'ambito del dispositivo e condivise tra l'utente principale e il profilo di lavoro. A parte queste eccezioni, il proprietario di un profilo non dispone dei privilegi di amministratore del dispositivo al di fuori del profilo di lavoro.

Gestione dei dispositivi sui dispositivi con un profilo di lavoro

Android 5.0 e versioni successive supportano la gestione dei dispositivi per i profili di lavoro sui dispositivi personali BYOD (Bring Your Own Device) usando la classe DevicePolicyManager . Inoltre, Android 11 ha introdotto il concetto di profili di lavoro sui dispositivi di proprietà dell'azienda. La funzionalità di gestione dei dispositivi all'interno del profilo di lavoro rimane la stessa sia per i casi di dispositivi BYOD che di proprietà dell'azienda, tuttavia i profili di lavoro sui dispositivi di proprietà dell'azienda potrebbero fornire funzionalità/politiche aggiuntive, come installSystemUpdate , setScreenCaptureDisabled e setPersonalAppsSuspended , che possono estendere l'applicazione dei criteri di amministrazione oltre il profilo di lavoro per determinati criteri a livello di dispositivo.

  • Profilo di lavoro su un dispositivo personale (BYOD): il dispositivo è un dispositivo personale e contiene un profilo di lavoro gestito da un amministratore IT associato al datore di lavoro.

  • Profilo di lavoro su un dispositivo di proprietà dell'azienda: il dispositivo è fornito/di proprietà del datore di lavoro e contiene un profilo di lavoro gestito da un amministratore IT associato al datore di lavoro. Le app possono chiamare isOrganizationOwnedDeviceWithManagedProfile() per determinare se il dispositivo è stato fornito come dispositivo di proprietà dell'organizzazione con un profilo gestito.

Per ulteriori informazioni sulla creazione del profilo di lavoro e sull'utilizzo dell'API dei criteri del dispositivo, fare riferimento a Creare un profilo di lavoro .

Proprietari del profilo

Un'app Device Policy Client (DPC) funge da proprietario del profilo quando viene creato un profilo di lavoro. L'app client DPC viene in genere fornita da un partner EMM (Enterprise Mobility Management), come Google Apps Device Policy, ed è in grado di applicare criteri se impostata come proprietario del profilo. Il profilo di lavoro ha istanze di app con badge visivamente distinte dalle istanze personali di app; il badge identifica un'app come app di lavoro. L'EMM ha il controllo solo sul profilo di lavoro (app e dati di lavoro) e non sullo spazio personale. I criteri del dispositivo vengono applicati solo al profilo di lavoro con alcune eccezioni, come l'applicazione della schermata di blocco applicabile sul dispositivo.

Esperienza utente del profilo di lavoro

Android 9 o versioni successive crea un'integrazione più stretta tra i profili di lavoro e la piattaforma Android, rendendo più facile per gli utenti mantenere separati il ​​proprio lavoro e le informazioni personali sui propri dispositivi. Le modifiche al profilo di lavoro vengono visualizzate nel programma di avvio e offrono un'esperienza utente coerente su tutti i dispositivi gestiti.

Gli utenti possono alternare il profilo di lavoro dalle impostazioni o dal menu delle impostazioni rapide. In Android 9 o versioni successive, le implementazioni del dispositivo potrebbero includere un interruttore nel piè di pagina della scheda di lavoro per consentire agli utenti di abilitare o disabilitare il profilo di lavoro. La commutazione del profilo di lavoro viene eseguita in modo asincrono e applicata a tutti i profili utente validi; questo processo è controllato dalla classe WorkModeSwitch .

Dispositivi con una barra delle applicazioni

In Android 9 o versioni successive, le modifiche all'esperienza utente del profilo di lavoro per Launcher3 aiutano gli utenti a mantenere profili personali e di lavoro separati. Il cassetto delle app fornisce una visualizzazione a schede per distinguere le app del profilo personale dalle app del profilo di lavoro. Quando gli utenti visualizzano per la prima volta la scheda del profilo di lavoro, viene loro presentata una visualizzazione didattica per aiutarli a navigare nel profilo di lavoro.

Gli utenti possono passare tra le diverse visualizzazioni del profilo utilizzando le schede del profilo o un'interfaccia utente simile nella parte superiore del cassetto delle app:


Figura 1. Visualizzazione della scheda Personale

Figura 2. Visualizzazione della scheda di lavoro, attivazione/disattivazione del profilo di lavoro

La visualizzazione a schede è implementata come parte della classe AllAppsContainerView Launcher3. Per un'implementazione di riferimento dell'indicatore del profilo a schede, fare riferimento alla classe PersonalWorkSlidingTabStrip .

Messaggio di formazione degli utenti nei dispositivi con una scheda di lavoro

Android 9 o versioni successive supporta una visualizzazione didattica che informa gli utenti sullo scopo della scheda di lavoro e su come semplificare l'accesso alle app di lavoro. Utilizzando Launcher3, è possibile visualizzare una visualizzazione didattica nella schermata della scheda di lavoro quando gli utenti aprono per la prima volta la scheda di lavoro, come mostrato di seguito:

Visione educativa

Figura 3. Vista didattica

Dispositivi senza una barra delle applicazioni

Per i lanciatori senza una barra delle app, si consiglia di continuare a posizionare i collegamenti alle app del profilo di lavoro nella cartella di lavoro.

Le implementazioni di avvio personalizzate possono utilizzare getProfiles() e getActivityList() per recuperare un elenco di app con un'icona di avvio per l'utente del profilo di lavoro.

Nei dispositivi che implementano una cartella di lavoro, gli utenti possono accedere alle app del profilo di lavoro aprendo la cartella di lavoro:


Figura 4. Cartella di lavoro chiusa

Figura 5. Cartella di lavoro aperta

Messaggio di formazione dell'utente nei dispositivi con una cartella di lavoro

Per i lanciatori senza una barra delle applicazioni, dove una cartella di lavoro contiene app di lavoro, il messaggio di formazione del profilo di lavoro potrebbe essere visualizzato sotto forma di una descrizione comando eliminabile quando l'utente apre la cartella di lavoro per la prima volta:

Descrizione comando ignorabile

Figura 3. Descrizione comando ignorabile

Convalida dell'esperienza utente del profilo di lavoro

Il modo più semplice per testare l'esperienza utente del profilo di lavoro consiste nell'impostare un profilo di lavoro utilizzando l'app Test DPC. I passaggi seguenti descrivono come configurare un profilo di lavoro su un dispositivo personale (scenario BYOD):

  1. Inizia con un dispositivo di ripristino delle impostazioni di fabbrica e completa la configurazione del profilo personale utilizzando un account Google personale o in alternativa utilizza un dispositivo con un profilo personale come punto di partenza.

  2. Installa l'app Test DPC dal Google Play Store.

  3. Apri il programma di avvio o il cassetto delle app e seleziona Configura test DPC .

  4. Segui le istruzioni sullo schermo per impostare un profilo di lavoro:


    Figura 4. Imposta il profilo di lavoro


    Figura 5. Aggiungi account


    Figura 6. Installazione completata

  5. Apri l'utilità di avvio o il cassetto delle app e verifica che la scheda di lavoro sia presente e contenga un piè di pagina del profilo di lavoro. Le implementazioni di produttori di dispositivi alternativi possono contenere una cartella di lavoro anziché una scheda di lavoro.

  6. Verifica di poter alternare il profilo di lavoro da Impostazioni rapide (o impostazioni) confermando che le app del profilo di lavoro (app con badge valigetta) siano abilitate e disabilitate come previsto. In alcune implementazioni del dispositivo, le app di lavoro potrebbero essere disattivate quando il profilo di lavoro è disabilitato mentre altre, come le implementazioni con una scheda di lavoro, potrebbero visualizzare una sovrapposizione con un messaggio che informa che il profilo di lavoro è disattivato. Le figure seguenti mostrano esempi di profili di lavoro abilitati e disabilitati su un dispositivo che implementa una scheda di lavoro:


    Figura 7. Attiva, profilo di lavoro abilitato

    Figura 8. Disattiva, profilo di lavoro disabilitato

Badge dell'app del profilo di lavoro

In Android 9 o versioni successive, per motivi di accessibilità, il colore del badge di lavoro è blu (#1A73E8) anziché arancione.