Un profil professionnel est un profil géré dont les données d'application sont distinctes de celles du profil utilisateur principal, mais qui partage certains paramètres système, tels que le Wi-Fi et le Bluetooth. L'objectif principal d'un profil professionnel est de créer un conteneur sécurisé et distinct pour stocker les données gérées. L'administrateur d'un profil professionnel dispose d'un contrôle total sur le champ d'application, l'entrée, la sortie et la durée de vie des données. Voici quelques caractéristiques des profils professionnels :
Création : N'importe quelle application de l'utilisateur principal peut créer un profil professionnel. L'utilisateur est informé des comportements du profil professionnel et de l'application des règles avant la création.
Gestion Les applications appelées propriétaires de profil peuvent appeler des API de manière programmatique dans la classe
DevicePolicyManagerpour en restreindre l'utilisation. Les propriétaires de profil sont définis lors de la configuration initiale du profil. Les règles propres aux profils professionnels concernent les restrictions d'applications, la mise à jour et les comportements d'intent.Traitement visuel : Les applications, les notifications et les widgets du profil professionnel sont signalés par un badge et généralement disponibles en même temps que les éléments de l'interface utilisateur (UI) de l'utilisateur principal.
Détails de l'implémentation
Les profils professionnels sont implémentés en tant qu'utilisateurs secondaires, de sorte que les applications exécutées dans le profil professionnel ont un UID de uid = 100000 \* userid + appid. Ces profils disposent de données d'application distinctes (/data/user/userid), comme les utilisateurs principaux.
AccountManagerService conserve une liste de comptes distincte pour chaque utilisateur.
Voici quelques différences entre un utilisateur d'un profil professionnel et un utilisateur secondaire standard :
Le profil professionnel est associé à son utilisateur parent et est démarré avec l'utilisateur principal au moment du démarrage.
Les notifications pour les profils professionnels sont activées par
ActivityManagerService, ce qui permet au profil professionnel de partager la pile d'activités avec l'utilisateur principal.Les services système partagés supplémentaires incluent IME, les services A11Y, le Wi-Fi et le NFC.
Les API du lanceur d'applications permettent aux lanceurs d'applications d'afficher les applications avec badge et les widgets autorisés du profil professionnel à côté des applications du profil principal, sans changer d'utilisateur.
Ségrégation des données
Les profils professionnels utilisent les règles de ségrégation des données suivantes.
Applis
Lorsqu'une même application existe dans le profil principal et le profil professionnel, les applications sont limitées à leurs propres données distinctes. En règle générale, les applications agissent de manière indépendante et ne peuvent pas communiquer directement avec les instances au-delà de la limite entre les profils et les utilisateurs, sauf si elles disposent de l'autorisation INTERACT_ACROSS_PROFILES ou des opérations d'application.
Comptes
Les comptes du profil professionnel sont différents de ceux de l'utilisateur principal, et les identifiants ne sont pas accessibles au-delà de la limite entre le profil et l'utilisateur. Seules les applications dans leur contexte respectif peuvent accéder à leurs comptes respectifs.
Intents
L'administrateur contrôle si les intents sont résolus dans ou en dehors du profil professionnel. Par défaut, les applications du profil professionnel sont limitées au profil professionnel, à l'exception de l'API Device Policy.
Identifiants des appareils
Sur les appareils personnels dotés d'un profil professionnel, Android 12 (ou version ultérieure) supprime l'accès aux identifiants matériels de l'appareil (IMEI, MEID, numéro de série) et fournit un ID d'inscription spécifique unique qui identifie l'inscription du profil professionnel pour une organisation spécifique. L'ID d'enregistrement reste stable lors des rétablissements de la configuration d'usine, ce qui permet un suivi fiable de l'inventaire des appareils dotés de profils professionnels.
Les appareils personnels dotés d'un profil professionnel doivent utiliser l'ID d'inscription spécifique. Les appareils appartenant à l'entreprise, y compris ceux dotés d'un profil professionnel et ceux entièrement gérés, peuvent également choisir d'utiliser l'ID. Pour utiliser l'ID spécifique à l'enregistrement, les EMM doivent définir l'ID de l'organisation pour chaque appareil qu'ils gèrent. Ils peuvent ensuite lire l'ID spécifique à l'enregistrement sur cet appareil et le traiter comme un numéro de série. Pour en savoir plus, consultez Améliorations de la sécurité et de la confidentialité pour le profil professionnel.
Paramètres
L'application des paramètres est limitée au profil professionnel, à l'exception des paramètres de l'écran de verrouillage et du chiffrement, qui sont limités à l'appareil et partagés entre l'utilisateur principal et le profil professionnel. Hormis ces exceptions, un propriétaire de profil ne dispose pas de droits d'administrateur de l'appareil en dehors du profil professionnel.
Gestion des appareils dotés d'un profil professionnel
Android 5.0 et versions ultérieures sont compatibles avec la gestion des profils professionnels sur les appareils personnels BYOD (Bring Your Own Device) à l'aide de la classe DevicePolicyManager. Android 11 a également introduit le concept de profil professionnel sur les appareils détenus par l'entreprise. La fonctionnalité de gestion des appareils dans le profil professionnel reste la même pour les appareils BYOD et ceux appartenant à l'entreprise. Toutefois, les profils professionnels sur les appareils appartenant à l'entreprise peuvent offrir des fonctionnalités/règles supplémentaires, telles que installSystemUpdate, setScreenCaptureDisabled et setPersonalAppsSuspended, qui peuvent étendre l'application des règles d'administration au-delà du profil professionnel pour certaines règles applicables à l'ensemble de l'appareil.
Profil professionnel sur un appareil personnel (BYOD) : l'appareil est personnel et contient un profil professionnel géré par un administrateur informatique associé à l'employeur.
Profil professionnel sur un appareil appartenant à l'entreprise : l'appareil est fourni ou appartient à l'employeur et contient un profil professionnel géré par un administrateur informatique associé à l'employeur. Les applications peuvent appeler
isOrganizationOwnedDeviceWithManagedProfile()pour déterminer si l'appareil a été provisionné en tant qu'appareil appartenant à l'organisation avec un profil géré.
Pour en savoir plus sur la création d'un profil professionnel et l'utilisation de l'API Device Policy, consultez Créer un profil professionnel.
Propriétaires de profils
Une application Device Policy Client (DPC) sert de propriétaire du profil lorsqu'un profil professionnel est créé. L'application cliente DPC est généralement fournie par un partenaire EMM (Enterprise Mobility Management, gestion de la mobilité en entreprise), tel que Google Apps Device Policy, et peut appliquer des règles lorsqu'elle est définie comme propriétaire du profil. Le profil professionnel comporte des instances d'applications identifiées par un badge, qui les distingue visuellement des instances personnelles. Le badge indique qu'une application est une application professionnelle. L'EMM ne contrôle que le profil professionnel (applications et données professionnelles), et non l'espace personnel. Les règles relatives aux appareils ne sont appliquées qu'au profil professionnel, à quelques exceptions près, comme l'application du verrouillage de l'écran, qui s'applique à l'ensemble de l'appareil.
Expérience utilisateur du profil professionnel
Android 9 (ou version ultérieure) permet une intégration plus étroite entre les profils professionnels et la plate-forme Android. Les utilisateurs peuvent ainsi plus facilement séparer leurs informations professionnelles de leurs informations personnelles sur leurs appareils. Les modifications apportées au profil professionnel s'affichent dans le lanceur d'applications et offrent une expérience utilisateur cohérente sur les appareils gérés.
Les utilisateurs peuvent activer ou désactiver le profil professionnel dans les paramètres ou dans le menu "Réglages rapides". Dans Android 9 ou version ultérieure, les implémentations d'appareils peuvent inclure un bouton dans le pied de page de l'onglet "Travail" permettant aux utilisateurs d'activer ou de désactiver le profil professionnel. L'activation/la désactivation du profil professionnel s'effectue de manière asynchrone et s'applique à tous les profils utilisateur valides. Ce processus est contrôlé par la classe WorkModeSwitch.
Appareils avec un tiroir d'applications
Dans Android 9 ou version ultérieure, l'expérience utilisateur du profil professionnel pour Launcher3 aide les utilisateurs à maintenir des profils personnels et professionnels distincts. Le tiroir d'applications fournit une vue par onglets pour distinguer les applications du profil personnel de celles du profil professionnel. Lorsque les utilisateurs consultent l'onglet du profil professionnel pour la première fois, une vue pédagogique s'affiche pour les aider à naviguer dans le profil professionnel.
Les utilisateurs peuvent passer d'une vue de profil à une autre à l'aide des onglets de profil ou d'une interface utilisateur similaire en haut du tiroir d'applications :
Figure 1. Vue de l'onglet "Personnel"
Figure 2. Vue de l'onglet "Travail", bouton bascule du profil professionnel
La vue à onglets est implémentée dans la classe AllAppsContainerView Launcher3. Pour obtenir une implémentation de référence de l'indicateur de profil à onglets, consultez la classe PersonalWorkSlidingTabStrip.
Message d'information destiné aux utilisateurs sur les appareils dotés d'un onglet "Professionnel"
Android 9 ou version ultérieure est compatible avec une vue pédagogique qui informe les utilisateurs de l'objectif de l'onglet "Travail" et de la manière dont ils peuvent faciliter l'accès aux applications professionnelles. À l'aide de Launcher3, une vue pédagogique peut s'afficher sur l'écran de l'onglet "Travail" lorsque les utilisateurs ouvrent cet onglet pour la première fois, comme illustré sur la figure :
Figure 3. Vue pédagogique
Appareils sans barre d'applications
Pour les lanceurs d'applications sans tiroir d'applications, il est recommandé de continuer à placer des raccourcis vers les applications du profil professionnel dans le dossier professionnel.
Les implémentations de lanceur personnalisées peuvent utiliser
getProfiles()
et
getActivityList()
pour récupérer la liste des applications avec une icône de lanceur pour l'utilisateur du profil professionnel.
Sur les appareils qui implémentent un dossier professionnel, les utilisateurs peuvent accéder aux applications du profil professionnel en ouvrant le dossier professionnel :
Figure 4. Dossier de travail fermé
Figure 5 : Dossier de travail ouvert
Message de formation des utilisateurs sur les appareils dotés d'un dossier professionnel
Pour les lanceurs sans tiroir d'applications, où un dossier professionnel contient des applications professionnelles, le message d'information sur le profil professionnel peut s'afficher sous la forme d'un info-bulle que l'utilisateur peut fermer lorsqu'il ouvre le dossier professionnel pour la première fois :
Figure 3. Info-bulle pouvant être fermée
Valider l'expérience utilisateur du profil professionnel
Le moyen le plus simple de tester l'expérience utilisateur du profil professionnel consiste à configurer un profil professionnel à l'aide de l'application Test DPC. Les étapes suivantes décrivent comment configurer un profil professionnel sur un appareil personnel (scénario BYOD) :
Commencez par réinitialiser l'appareil et configurez le profil personnel à l'aide d'un compte Google personnel. Vous pouvez également utiliser un appareil avec un profil personnel comme point de départ.
Installez l'application Test DPC depuis le Google Play Store.
Ouvrez le lanceur d'applications ou le panneau des applications, puis sélectionnez Configurer Test DPC.
Suivez les instructions à l'écran pour configurer un profil professionnel :
Figure 4. Configurer un profil professionnel
Figure 5 : Ajouter des comptes
Figure 6 : Configuration terminéeOuvrez le lanceur d'applications ou le tiroir d'applications, puis vérifiez que l'onglet "Professionnel" est présent et contient un pied de page de profil professionnel. Les implémentations alternatives des fabricants d'appareils peuvent contenir un dossier professionnel au lieu d'un onglet professionnel.
Vérifiez que vous pouvez activer et désactiver le profil professionnel depuis les paramètres rapides (ou les paramètres) en vous assurant que les applications du profil professionnel (celles avec le badge en forme de porte-documents) sont activées et désactivées comme prévu. Dans certaines implémentations d'appareils, les applications professionnelles peuvent être grisées lorsque le profil professionnel est désactivé, tandis que d'autres, comme les implémentations avec un onglet "Professionnel", peuvent afficher un calque avec un message indiquant que le profil professionnel est désactivé. Les figures suivantes montrent des exemples de profils professionnels activés et désactivés sur un appareil qui implémente un onglet "Professionnel" :
Figure 7. Profil professionnel activé
Figure 8 : Désactivé, profil professionnel désactivé
Badge d'application du profil professionnel
Dans Android 9 ou version ultérieure, pour des raisons d'accessibilité, la couleur du badge professionnel est bleue (#1A73E8) au lieu d'être orange.