Utiliser des profils de travail

Un profil de travail est un utilisateur Android avec des propriétés spéciales supplémentaires autour de la gestion et de l'esthétique visuelle. L'objectif principal d'un profil professionnel est de créer un espace séparé et sécurisé pour les données gérées (telles que les données d'entreprise). L'administrateur du profil a un contrôle total sur la portée, l'entrée, la sortie et la durée de vie des données. Ces politiques offrent de grands pouvoirs et incombent donc au profil professionnel plutôt qu'à l'administrateur de l'appareil.

  • Création. Toute application de l'utilisateur principal peut créer un profil professionnel. L'utilisateur est informé des comportements du profil professionnel et de l'application des règles avant la création.

  • Gestion. Les applications appelées propriétaires de profil peuvent invoquer par programme des API dans la classe DevicePolicyManager pour restreindre l'utilisation. Les propriétaires de profil sont définis lors de la configuration initiale du profil. Les politiques propres aux profils professionnels impliquent des restrictions d'application, la possibilité de mise à jour et des comportements d'intention.

  • Traitement visuel. Les applications, les notifications et les widgets du profil professionnel portent un badge et sont généralement mis à disposition en ligne avec les éléments de l'interface utilisateur (UI) de l'utilisateur principal.

Ségrégation des données

Les profils professionnels utilisent les règles de séparation des données suivantes.

applications

Lorsque la même application existe dans l'utilisateur principal et le profil professionnel, les applications sont délimitées avec leurs propres données séparées. En règle générale, les applications agissent indépendamment et ne peuvent pas communiquer directement entre elles au-delà de la limite profil-utilisateur.

Comptes

Les comptes du profil professionnel sont uniques à partir de l'utilisateur principal et les informations d'identification ne sont pas accessibles au-delà de la limite profil-utilisateur. Seules les applications dans leur contexte respectif peuvent accéder à leurs comptes respectifs.

Intentions

L'administrateur contrôle si les intents sont résolus dans ou hors du profil professionnel. Par défaut, les applications du profil professionnel sont limitées à l'exception de profil professionnel de l'API Device Policy.

Identificateurs d'appareil

Sur les appareils personnels avec un profil professionnel, Android 12 ou version ultérieure supprime l'accès aux identifiants matériels de l'appareil (IMEI, MEID, numéro de série) et fournit un identifiant unique, spécifique à l'inscription, qui identifie l'inscription au profil professionnel pour une organisation spécifique. L'ID d'inscription est garanti pour rester stable lors des réinitialisations d'usine, ce qui permet un suivi fiable de l'inventaire des appareils avec des profils professionnels.

Les appareils personnels avec un profil professionnel doivent utiliser l'ID spécifique à l'inscription ; Les appareils appartenant à l'entreprise, y compris les appareils de profil professionnel et les appareils entièrement gérés, peuvent également choisir d'utiliser l'ID. Pour l'utiliser, les EMM doivent définir l'ID de l'organisation pour chaque appareil qu'ils gèrent, après quoi ils peuvent lire l'ID spécifique à l'inscription sur cet appareil et le traiter comme un numéro de série. Pour plus de détails, consultez Améliorations de la sécurité et de la confidentialité pour le profil professionnel .

Réglages

L'application des paramètres est limitée au profil professionnel, avec des exceptions pour les paramètres d'écran de verrouillage et de cryptage qui sont limités à l'appareil et partagés entre l'utilisateur principal et le profil professionnel. Hormis ces exceptions, un propriétaire de profil ne dispose pas de privilèges d'administrateur d'appareil en dehors du profil professionnel.

Les profils professionnels sont implémentés en tant qu'utilisateur secondaire, de sorte que uid = 100000 \* userid + appid . Ces profils ont des données d'application distinctes ( /data/user/ userid ), similaires aux utilisateurs réguliers. L' userid est calculé pour toutes les requêtes système à l'aide Binder.getCallingUid() , et tous les états et réponses du système sont séparés par la valeur de l' userid .

Le AccountManagerService maintient une liste de comptes distincte pour chaque utilisateur. Les différences de compte entre un utilisateur de profil professionnel et un utilisateur secondaire standard sont les suivantes :

  • Le profil professionnel est associé à son utilisateur parent et est démarré avec l'utilisateur principal au démarrage.

  • Les notifications pour les profils professionnels sont activées par ActivityManagerService , ce qui permet au profil professionnel de partager la pile d'activités avec l'utilisateur principal.

  • Les services système partagés supplémentaires incluent les services IME, A11Y, Wi-Fi et NFC.

  • Les API de lancement permettent aux lanceurs d'afficher les applications portant un badge et les widgets autorisés du profil professionnel à côté des applications du profil principal sans changer d'utilisateur.

Gestion d'appareils

La gestion des appareils d'entreprise Android inclut les propriétaires suivants :

  • Propriétaire du profil. Conçu pour les appareils personnels et les environnements d'appareils de travail personnels.
  • Propriétaire de l'appareil. Conçu pour les appareils appartenant à l'entreprise sans aucun environnement de données personnelles.

Certaines API de gestion des appareils sont utilisées pour les consommateurs (par exemple, trouver les API de mon appareil), tandis que d'autres API ne sont disponibles que pour les propriétaires de profils ou d'appareils.

Propriétaires de profil

Une application Device Policy Client (DPC) fonctionne en tant que propriétaire du profil et est généralement fournie par un partenaire de gestion de la mobilité d'entreprise (EMM) tel que Google Apps Device Policy. L'application du propriétaire du profil crée un profil professionnel sur l'appareil en envoyant l' ACTION_PROVISION_MANAGED_PROFILE . Le profil professionnel comporte des instances d'applications portant un badge qui sont visuellement distinctes des instances personnelles d'applications ; le badge identifie une application en tant qu'application professionnelle. L'EMM contrôle uniquement le profil professionnel et non l'espace personnel (à quelques exceptions près, comme l'application du verrouillage de l'écran).

Propriétaires d'appareils

Le propriétaire de l'appareil ne peut être défini que sur un appareil non provisionné, car le propriétaire doit être provisionné lors de la configuration initiale de l'appareil. Les paramètres rapides doivent toujours afficher une divulgation. Les propriétaires d'appareils peuvent effectuer certaines tâches que les propriétaires de profil ne peuvent pas effectuer, telles que :

  • Effacement des données de l'appareil.
  • Désactivation du Wi-Fi ou du Bluetooth.
  • Définition de la valeur de setGlobalSetting .
  • Définition de la valeur de setLockTaskPackages , qui est la possibilité d'autoriser les packages qui peuvent s'épingler au premier plan.
  • Définition de la valeur de DISALLOW_MOUNT_PHYSICAL_MEDIA , qui est FALSE par défaut ; lorsqu'il est défini sur TRUE , les supports physiques portables et adoptables ne peuvent pas être montés).

API DevicePolicyManager

Android 5.0 ou supérieur offre un DevicePolicyManager amélioré avec des API qui prennent en charge les cas d'utilisation de gestion d'appareils appartenant à l'entreprise et apportez votre propre appareil (BYOD), y compris la restriction des applications, l'installation silencieuse de certificats et le contrôle de l'accès à l'intention de partage entre profils. Pour commencer, utilisez l'exemple d'application Device Policy Client (DPC) BasicManagedProfile.apk . Pour plus d'informations, reportez-vous à Créer un contrôleur de stratégie de périphérique .

Expérience utilisateur du profil professionnel

Android 9 ou supérieur crée une intégration plus étroite entre les profils professionnels et la plate-forme Android, ce qui permet aux utilisateurs de séparer plus facilement leurs informations professionnelles et personnelles sur leurs appareils. Les modifications apportées au profil professionnel apparaissent dans le lanceur et offrent une expérience utilisateur cohérente sur tous les appareils gérés.

Appareils avec une barre d'applications

Dans Android 9 ou version ultérieure, les modifications de l'UX du profil professionnel pour Launcher3 aident les utilisateurs à conserver des profils personnels et professionnels distincts. Le tiroir des applications fournit une vue à onglets pour distinguer les applications de profil personnel. Lorsque les utilisateurs consultent l'onglet Profil professionnel pour la première fois, une vue pédagogique leur est présentée pour les aider à naviguer dans le profil professionnel. Ils peuvent également activer ou désactiver le profil de travail en utilisant une bascule dans l'onglet de travail du lanceur.

Vues de profil par onglets

Dans Android 9 ou supérieur, un profil professionnel permet aux utilisateurs de basculer entre les listes d'applications personnelles et gérées dans le tiroir des applications. Les vues d'application sont séparées en deux RecyclerViews distincts, gérés par un ViewPager . Les utilisateurs peuvent basculer entre les différentes vues de profil en utilisant les onglets de profil en haut du tiroir de l'application, comme illustré ci-dessous :


Figure 1. Affichage de l'onglet Personnel

Figure 2. Affichage de l'onglet Travail, basculement du profil professionnel

La vue à onglets est implémentée dans le cadre de la classe AllAppsContainerView Launcher3. Pour une implémentation de référence de l'indicateur de profil à onglets, reportez-vous à la classe PersonalWorkSlidingTabStrip .

Vue pédagogique

Android 9 ou supérieur prend en charge une vue éducative qui informe les utilisateurs de l'objectif de l'onglet professionnel et de la manière dont ils peuvent faciliter l'accès aux applications professionnelles. À l'aide de Launcher3, vous pouvez présenter une vue pédagogique en bas de l'écran de l'onglet de travail lorsque les utilisateurs ouvrent l'onglet de travail pour la première fois, comme illustré ci-dessous :

Vue pédagogique

Figure 3. Vue pédagogique

La vue éducative est définie par la classe BottomUserEducationView avec la disposition contrôlée par work_tab_tottom_user_education_view.xml . Dans BottomUserEducationView , le booléen KEY_SHOWED_BOTTOM_USER_EDUCATION est défini sur false par défaut. Lorsque l'utilisateur ferme la vue éducative, le booléen est défini sur true .

Basculer pour activer ou désactiver les profils professionnels

Dans Android 9 ou version ultérieure, les administrateurs d'appareils gérés peuvent présenter une bascule dans le pied de page de l'onglet Travail pour que les utilisateurs activent ou désactivent le profil professionnel. L'activation et la désactivation du profil professionnel s'effectuent de manière asynchrone et s'appliquent à tous les profils utilisateur valides ; ce processus est contrôlé par la classe WorkModeSwitch . Pour basculer la source, reportez-vous à WorkFooterContainer .

Appareils sans barre d'applications

Pour les lanceurs sans barre d'applications, continuez à placer des raccourcis vers les applications de profil professionnel dans le dossier de travail. Si le dossier de travail ne se remplit pas correctement et que les applications nouvellement installées ne sont pas ajoutées au dossier, appliquez la modification suivante dans la méthode onAllAppsLoaded de la classe ManagedProfileHeuristic :

for (LauncherActivityInfo app : apps) {
        // Queue all items which should go in the work folder.
        if (app.getFirstInstallTime() < Long.MAX\_VALUE) {
                InstallShortcutReceiver.queueActivityInfo(app, context);
        }
}

Validation des modifications UX

Pour tester la mise en œuvre de l'expérience utilisateur du profil professionnel à l'aide de l'application TestDPC :

  1. Sur l'appareil, installez l'application TestDPC à partir du Google Play Store.

  2. Ouvrez le lanceur ou le tiroir de l'application et sélectionnez Configurer TestDPC .

  3. Suivez les instructions à l'écran pour configurer un profil professionnel.


    Figure 4. Configurer le profil professionnel


    Figure 5. Ajouter des comptes


    Figure 6. Configuration terminée

  4. Ouvrez le lanceur ou le tiroir d'applications et vérifiez que l'onglet Travail est présent et contient un pied de page de profil professionnel.

  5. Vérifiez que vous pouvez activer et désactiver le profil professionnel en confirmant que le profil professionnel est activé et désactivé comme prévu. Les figures suivantes montrent des exemples de profils professionnels activés et désactivés :


    Figure 7. Activer, profil professionnel activé

    Figure 8. Désactiver, profil professionnel désactivé

Badge d'application de profil professionnel

Sous Android 9 ou supérieur, pour des raisons d'accessibilité, la couleur du badge professionnel est bleue (#1A73E8) au lieu d'orange.