Um perfil de trabalho é um perfil gerenciado que possui dados de aplicativos separados do perfil de usuário principal, mas compartilha algumas configurações de todo o sistema, como Wi-Fi e Bluetooth. O objetivo principal de um perfil de trabalho é criar um contêiner segregado e seguro para armazenar dados gerenciados. O administrador de um perfil de trabalho tem controle total sobre o escopo, a entrada, a saída e o tempo de vida dos dados. A seguir estão algumas características dos perfis de trabalho:
Criação. Qualquer aplicativo do usuário principal pode criar um perfil de trabalho. O usuário é notificado sobre comportamentos do perfil de trabalho e aplicação de políticas antes da criação.
Gerenciamento. Aplicativos conhecidos como proprietários de perfil podem invocar programaticamente APIs na classe
DevicePolicyManagerpara restringir o uso. Os proprietários do perfil são definidos na configuração inicial do perfil. Políticas exclusivas para perfis de trabalho envolvem restrições de aplicativos, capacidade de atualização e comportamentos intencionais.Tratamento visual. Aplicativos, notificações e widgets do perfil de trabalho recebem selos e normalmente são disponibilizados em linha com elementos da interface do usuário (IU) do usuário principal.
Detalhes de implementação
Os perfis de trabalho são implementados como usuários secundários, de forma que os aplicativos em execução no perfil de trabalho tenham um UID de uid = 100000 \* userid + appid . Esses perfis possuem dados de aplicativos separados ( /data/user/userid ), semelhantes aos usuários primários.
AccountManagerService mantém uma lista separada de contas para cada usuário. As diferenças de conta entre um usuário de perfil de trabalho e um usuário secundário normal incluem o seguinte:
O perfil de trabalho está associado ao usuário pai e é iniciado com o usuário principal no momento da inicialização.
As notificações para perfis de trabalho são habilitadas por
ActivityManagerService, permitindo que o perfil de trabalho compartilhe a pilha de atividades com o usuário principal.Os serviços adicionais do sistema compartilhado incluem IME, serviços A11Y, Wi-Fi e NFC.
As APIs do iniciador permitem que os iniciadores exibam aplicativos com selo e widgets permitidos do perfil de trabalho ao lado dos aplicativos no perfil principal sem trocar de usuário.
Segregação de dados
Os perfis de trabalho usam as seguintes regras de segregação de dados.
Aplicativos
Quando o mesmo aplicativo existe no usuário principal e no perfil de trabalho, os aplicativos têm como escopo seus próprios dados segregados. Geralmente, os aplicativos agem de forma independente e não podem se comunicar diretamente com instâncias além do limite perfil-usuário, a menos que tenham a permissão INTERACT_ACROSS_PROFILES ou App-ops .
Contas
As contas no perfil de trabalho são exclusivas do usuário principal e as credenciais não podem ser acessadas além do limite do usuário do perfil. Somente aplicativos em seus respectivos contextos podem acessar suas respectivas contas.
Intenções
O administrador controla se as intenções são resolvidas dentro ou fora do perfil de trabalho. Por padrão, os aplicativos do perfil de trabalho têm como escopo permanecer dentro da exceção do perfil de trabalho da API Device Policy.
Identificadores de dispositivos
Em dispositivos pessoais com perfil de trabalho, o Android 12 ou superior remove o acesso aos identificadores de hardware do dispositivo (IMEI, MEID, número de série) e fornece um ID exclusivo e específico da inscrição que identifica a inscrição do perfil de trabalho para uma organização específica. É garantido que o ID de registro permaneça estável durante as redefinições de fábrica, permitindo o rastreamento confiável do inventário de dispositivos com perfis de trabalho.
Dispositivos de propriedade pessoal com perfil de trabalho devem usar o ID específico do registro; dispositivos de propriedade da empresa, incluindo perfil de trabalho e dispositivos totalmente gerenciados, também podem optar por usar o ID. Para usar o ID específico de inscrição, os EMMs devem definir o ID da organização para cada dispositivo que gerenciam, após o qual poderão ler o ID específico de inscrição nesse dispositivo e tratá-lo como um número de série. Para obter mais detalhes, consulte Aprimoramentos de segurança e privacidade para perfil de trabalho .
Configurações
A aplicação de configurações tem como escopo o perfil de trabalho, com exceções para configurações de tela de bloqueio e criptografia que têm como escopo o dispositivo e são compartilhadas entre o usuário principal e o perfil de trabalho. Além dessas exceções, o proprietário do perfil não tem privilégios de administrador de dispositivo fora do perfil de trabalho.
Gerenciamento de dispositivos em dispositivos com perfil de trabalho
O Android 5.0 e versões posteriores oferecem suporte ao gerenciamento de dispositivos para perfis de trabalho em dispositivos pessoais Traga seu próprio dispositivo (BYOD) usando a classe DevicePolicyManager . Além disso, o Android 11 introduziu o conceito de perfis de trabalho em dispositivos da empresa. A capacidade de gerenciamento de dispositivos dentro do perfil de trabalho permanece a mesma para casos de dispositivos BYOD e de propriedade da empresa. No entanto, os perfis de trabalho em dispositivos de propriedade da empresa podem fornecer recursos/políticas adicionais, como installSystemUpdate , setScreenCaptureDisabled e setPersonalAppsSuspended , que podem estender a aplicação da política administrativa além do perfil de trabalho para determinadas políticas que abrangem todo o dispositivo.
Perfil de trabalho em um dispositivo pessoal (BYOD): o dispositivo é pessoal e contém um perfil de trabalho gerenciado por um administrador de TI associado ao empregador.
Perfil de trabalho em um dispositivo da empresa: o dispositivo é fornecido/de propriedade do empregador e contém um perfil de trabalho gerenciado por um administrador de TI associado ao empregador. Os aplicativos podem chamar
isOrganizationOwnedDeviceWithManagedProfile()para determinar se o dispositivo foi provisionado como um dispositivo de propriedade da organização com um perfil gerenciado.
Para obter mais informações sobre a criação de perfis de trabalho e o uso da API de política de dispositivos, consulte Criar um perfil de trabalho .
Proprietários de perfis
Um aplicativo Device Policy Client (DPC) funciona como proprietário do perfil quando um perfil de trabalho é criado. O aplicativo cliente DPC normalmente é fornecido por um parceiro de gerenciamento de mobilidade empresarial (EMM), como o Google Apps Device Policy, e é capaz de aplicar políticas quando definido como proprietário do perfil. O perfil de trabalho possui instâncias de aplicativos com emblemas que são visualmente distintas das instâncias pessoais de aplicativos; o selo identifica um aplicativo como um aplicativo de trabalho. O EMM tem controle apenas sobre o perfil de trabalho (aplicativos e dados de trabalho) e não sobre o espaço pessoal. As políticas do dispositivo são aplicadas apenas no perfil de trabalho, com algumas exceções, como a aplicação da tela de bloqueio que é aplicável em todo o dispositivo.
Experiência do usuário com perfil de trabalho
O Android 9 ou superior cria uma integração mais estreita entre os perfis de trabalho e a plataforma Android, tornando mais fácil para os usuários manterem suas informações profissionais e pessoais separadas em seus dispositivos. As alterações no perfil de trabalho aparecem no inicializador e proporcionam uma experiência de usuário consistente em todos os dispositivos gerenciados.
Os usuários podem alternar o perfil de trabalho nas configurações ou no menu de configurações rápidas. No Android 9 ou superior, as implementações de dispositivos podem incluir uma alternância no rodapé da guia de trabalho para que os usuários ativem ou desativem o perfil de trabalho. A alternância do perfil de trabalho é feita de forma assíncrona e aplicada a todos os perfis de usuário válidos; esse processo é controlado pela classe WorkModeSwitch .
Dispositivos com bandeja de aplicativos
No Android 9 ou superior, as alterações de UX do perfil de trabalho para o Launcher3 ajudam os usuários a manter perfis pessoais e de trabalho separados. A gaveta de aplicativos fornece uma visualização com guias para distinguir aplicativos de perfil pessoal de aplicativos de perfil de trabalho. Quando os usuários visualizam pela primeira vez a guia do perfil de trabalho, eles recebem uma visão educacional para ajudá-los a navegar pelo perfil de trabalho.
Os usuários podem alternar entre as diferentes visualizações de perfil usando guias de perfil ou interface de usuário semelhante na parte superior da gaveta do aplicativo:
Figura 1. Visualização da guia Pessoal
Figura 2. Visualização da guia Trabalho, alternância do perfil de trabalho
A visualização com guias é implementada como parte da classe AllAppsContainerView Launcher3. Para obter uma implementação de referência do indicador de perfil com guias, consulte a classe PersonalWorkSlidingTabStrip .
Mensagem de educação do usuário em dispositivos com guia de trabalho
O Android 9 ou superior oferece suporte a uma visualização educacional que informa aos usuários a finalidade da guia Trabalho e como eles podem facilitar o acesso aos aplicativos de trabalho. Usando o Launcher3, uma visualização educacional pode ser mostrada na tela da guia de trabalho quando os usuários abrem a guia de trabalho pela primeira vez, conforme mostrado abaixo:
Figura 3. Visão educacional
Dispositivos sem bandeja de aplicativos
Para iniciadores sem bandeja de aplicativos, é recomendável continuar colocando atalhos para os aplicativos do perfil de trabalho na pasta de trabalho.
As implementações de iniciador personalizado podem usar getProfiles() e getActivityList() para recuperar uma lista de aplicativos com um ícone de iniciador para o usuário do perfil de trabalho.
Em dispositivos que implementam uma pasta de trabalho, os usuários podem acessar aplicativos de perfil de trabalho abrindo a pasta de trabalho:
Figura 4. Pasta de trabalho fechada
Figura 5. Pasta de trabalho aberta
Mensagem educacional do usuário em dispositivos com uma pasta de trabalho
Para iniciadores sem bandeja de aplicativos, onde uma pasta de trabalho contém aplicativos de trabalho, a mensagem educacional do perfil de trabalho pode ser mostrada na forma de uma dica descartável quando o usuário abre a pasta de trabalho pela primeira vez:
Figura 3. Dica dispensável
Validando a experiência do usuário do perfil de trabalho
A maneira mais simples de testar a experiência do usuário do perfil de trabalho é configurar um perfil de trabalho usando o aplicativo Test DPC. As etapas a seguir descrevem como configurar um perfil de trabalho em um dispositivo pessoal (cenário BYOD):
Comece com um dispositivo com redefinição de fábrica e conclua a configuração do perfil pessoal usando uma conta pessoal do Google ou, alternativamente, use um dispositivo com um perfil pessoal como ponto de partida.
Instale o aplicativo Test DPC da Google Play Store.
Abra o iniciador ou gaveta de aplicativos e selecione Configurar teste DPC .
Siga as instruções na tela para configurar um perfil de trabalho:
Figura 4. Configurar perfil de trabalho
Figura 5. Adicionar contas
Figura 6. Configuração concluídaAbra o inicializador ou a gaveta do aplicativo e verifique se a guia de trabalho está presente e contém um rodapé do perfil de trabalho. Implementações alternativas de fabricantes de dispositivos podem conter uma pasta de trabalho em vez de uma guia de trabalho.
Verifique se você pode alternar o perfil de trabalho nas Configurações rápidas (ou configurações), confirmando se os aplicativos do perfil de trabalho (aplicativos com o emblema da pasta) estão ativados e desativados conforme esperado. Em determinadas implementações de dispositivos, os aplicativos de trabalho podem ficar esmaecidos quando o perfil de trabalho é desativado, enquanto outros, como implementações com uma guia de trabalho, podem exibir uma sobreposição com uma mensagem informando que o perfil de trabalho está desativado. As figuras a seguir mostram exemplos de perfis de trabalho habilitados e desabilitados em um dispositivo que implementa uma guia de trabalho:
Figura 7. Ativar, perfil de trabalho ativado
Figura 8. Desativar, perfil de trabalho desativado
Selo do aplicativo de perfil de trabalho
No Android 9 ou superior, por motivos de acessibilidade, a cor do crachá de trabalho é azul (#1A73E8) em vez de laranja.