Google se compromete a promover la equidad racial para las comunidades negras. Ver cómo.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Empleo de perfiles gestionados

Un perfil administrado o un perfil de trabajo es un usuario de Android con propiedades especiales adicionales en torno a la administración y la estética visual.

El objetivo principal de un perfil administrado es crear un espacio seguro y segregado para que residan los datos administrados (como los datos corporativos). El administrador del perfil tiene control total sobre el alcance, la entrada y la salida de datos, así como su vida útil. Estas políticas ofrecen grandes poderes y, por lo tanto, recaen en el perfil administrado en lugar del administrador del dispositivo.

  • Creación . Los perfiles administrados pueden ser creados por cualquier aplicación en el usuario principal. Se notifica al usuario sobre los comportamientos de perfil administrado y la aplicación de políticas antes de la creación.
  • Gestión . La administración se realiza mediante aplicaciones que invocan APIs programáticamente en la clase DevicePolicyManager para restringir el uso. Dichas aplicaciones se denominan propietarios de perfil y se definen en la configuración inicial del perfil. Las políticas exclusivas del perfil administrado implican restricciones de aplicación, capacidad de actualización y comportamientos de intención.
  • Tratamiento visual Las aplicaciones, las notificaciones y los widgets del perfil administrado siempre están identificados y, por lo general, están disponibles en línea con los elementos de la interfaz de usuario (UI) del usuario principal.

Segregación de datos

Los perfiles administrados usan las siguientes reglas de segregación de datos.

Aplicaciones

Las aplicaciones se definen con sus propios datos segregados cuando existe la misma aplicación en el usuario principal y el perfil administrado. En general, las aplicaciones actúan independientemente una de la otra y no pueden comunicarse directamente entre ellas a través del límite del perfil del usuario.

Cuentas

Las cuentas en el perfil administrado son claramente únicas del usuario principal. No hay forma de acceder a las credenciales a través del límite de usuario de perfil. Solo las aplicaciones en su contexto respectivo pueden acceder a sus respectivas cuentas.

Intenciones

El administrador controla si las intenciones se resuelven dentro / fuera del perfil administrado o no. Las aplicaciones del perfil administrado tienen un alcance predeterminado para permanecer dentro de la excepción del perfil administrado de la API de política de dispositivos.

Configuraciones

El cumplimiento de la configuración generalmente se limita al perfil administrado, con excepciones para la pantalla de bloqueo y la configuración de cifrado que todavía se limita al dispositivo y se comparte entre el usuario principal y el perfil administrado. De lo contrario, el propietario de un perfil no tiene privilegios de administrador del dispositivo fuera del perfil administrado.

Los perfiles administrados se implementan como un nuevo tipo de usuario secundario, de modo que:

uid = 100000 * userid + appid

Tienen datos de aplicaciones separados, como los usuarios habituales:

/data/user/<userid>

UserId se calcula para todas las solicitudes del sistema utilizando Binder.getCallingUid() , y todos los estados y respuestas del sistema están separados por userId. En su lugar, puede considerar usar Binder.getCallingUserHandle lugar de getCallingUid para evitar confusiones entre uid y userId.

AccountManagerService mantiene una lista separada de cuentas para cada usuario. Las principales diferencias entre un perfil administrado y un usuario secundario regular son las siguientes:

  • El perfil administrado está asociado con su usuario principal y se inicia junto con el usuario principal en el momento del arranque.
  • ActivityManagerService habilita las notificaciones para los perfiles administrados, lo que permite que el perfil administrado comparta la pila de actividades con el usuario principal.
  • Otros servicios del sistema compartido incluyen IME, servicios A11Y, Wi-Fi y NFC.
  • Las nuevas API de iniciador permiten a los iniciadores mostrar aplicaciones identificadas y widgets incluidos en la lista blanca del perfil administrado junto con aplicaciones en el perfil principal sin cambiar de usuario.

Gestión de dispositivos

La administración de dispositivos Android incluye los siguientes tipos de administración de dispositivos para empresas:

  • Propietario del perfil . Diseñado para traer su propio dispositivo (BYOD) entornos
  • Propietario del dispositivo . Diseñado para entornos corporativos

La mayoría de las nuevas API de administración de dispositivos agregadas para Android 5.0 están disponibles solo para propietarios de perfiles o dispositivos. La administración tradicional de dispositivos se mantiene, pero es aplicable al caso más simple para el consumidor (por ejemplo, encontrar mi dispositivo).

Propietarios del perfil

Una aplicación Device Policy Client (DPC) generalmente funciona como el propietario del perfil. La aplicación DPC generalmente es proporcionada por un socio de gestión de movilidad empresarial (EMM), como la Política de dispositivos de Google Apps.

La aplicación del propietario del perfil crea un perfil administrado en el dispositivo enviando la intención ACTION_PROVISION_MANAGED_PROFILE . Este perfil se distingue por la aparición de instancias identificadas de aplicaciones, así como instancias personales. Esa insignia, o ícono de administración de dispositivos Android, identifica qué aplicaciones son aplicaciones de trabajo.

El EMM tiene control solo sobre el perfil administrado (no el espacio personal) con algunas excepciones, como hacer cumplir la pantalla de bloqueo.

Propietarios del dispositivo

El propietario del dispositivo solo se puede configurar en un dispositivo no aprovisionado:

  • Solo se puede aprovisionar en la configuración inicial del dispositivo
  • La divulgación forzada siempre se muestra en configuraciones rápidas

Los propietarios de dispositivos pueden realizar algunas tareas que los propietarios de perfiles no pueden, como:

  • Borrar datos del dispositivo
  • Deshabilitar Wi-Fi / Bluetooth
  • Control setGlobalSetting
  • setLockTaskPackages (la capacidad de setLockTaskPackages la lista blanca paquetes que se pueden fijar en primer plano)
  • Establezca DISALLOW_MOUNT_PHYSICAL_MEDIA ( FALSE por defecto). Cuando es TRUE , los medios físicos, tanto portátiles como adoptables, no se pueden montar.

API de DevicePolicyManager

Android 5.0 y superior ofrece un DevicePolicyManager muy mejorado con docenas de API nuevas para admitir casos de uso de gestión de dispositivos corporativos y de su propio dispositivo (BYOD). Los ejemplos incluyen restricciones de aplicaciones, instalación silenciosa de certificados y control de acceso con intención de compartir perfiles cruzados. Utilice la aplicación de ejemplo Client Policy Client (DPC) BasicManagedProfile.apk como punto de partida. Para obtener más detalles, consulte Creación de un controlador de políticas de trabajo .

Experiencia de usuario de perfil administrado

Android 9 crea una integración más estrecha entre los perfiles administrados y la plataforma, lo que facilita a los usuarios mantener su trabajo y su información personal separados en sus dispositivos. Estos cambios en la experiencia del usuario del perfil administrado aparecen en el Iniciador. La implementación de los cambios en el perfil administrado de UX crea una experiencia de usuario consistente en todos los dispositivos administrados.

UX cambia para dispositivos con una bandeja de aplicaciones

Los cambios de UX de perfil administrado para Launcher 3 en Android 9 ayudan a los usuarios a mantener perfiles personales y administrados separados. El cajón de aplicaciones proporciona una vista con pestañas para distinguir entre aplicaciones de perfil personal. Cuando los usuarios ven por primera vez la pestaña del perfil administrado, se les presenta una vista educativa para ayudarlos a navegar por el perfil administrado. Los usuarios también pueden activar y desactivar el perfil administrado mediante el uso de una palanca en la pestaña de trabajo del Iniciador.

Vistas de perfil con pestañas

En Android 9, el perfil administrado permite a los usuarios cambiar entre listas de aplicaciones personales y administradas en el cajón de aplicaciones. Cuando el perfil administrado está habilitado, las vistas de la aplicación se separan en dos RecyclerViews distintas, administradas por un ViewPager . Los usuarios pueden cambiar entre las vistas de los diferentes perfiles mediante el uso de pestañas de perfil en la parte superior del cajón de la aplicación. La clase PersonalWorkSlidingTabStrip proporciona una implementación de referencia del indicador de perfil con pestañas. La vista con pestañas se implementa como parte de la clase Launcher3 AllAppsContainerView .

Personal tab viewManaged profile toggle
Figura 1. Vista de pestaña personal Figura 2. Vista de la pestaña Trabajar con el perfil administrado en la parte inferior de la pantalla

Vista educativa

Launcher3 también tiene la opción de presentar una vista educativa en la parte inferior de la pantalla cuando los usuarios abren por primera vez la pestaña de trabajo, como se ve en la Figura 3 . Use la vista educativa para informar a los usuarios sobre el propósito de la pestaña de trabajo y cómo hacer que las aplicaciones de trabajo sean más fáciles de acceder.

La vista educativa se define en Android 9 y superior por la clase BottomUserEducationView con el diseño controlado por work_tab_tottom_user_education_view.xml . Dentro de BottomUserEducationView , el KEY_SHOWED_BOTTOM_USER_EDUCATION booleano KEY_SHOWED_BOTTOM_USER_EDUCATION se establece en false de forma predeterminada. Cuando el usuario descarta la vista educativa, el valor booleano se establece en true .

Educational view

Figura 3. Vista educativa en la pestaña de trabajo

Alternar para habilitar / deshabilitar los perfiles administrados

Dentro de la pestaña de trabajo, los administradores de dispositivos administrados pueden presentar una alternancia en la vista de pie de página para que los usuarios habiliten o deshabiliten el perfil administrado como se ve en la Figura 2 anterior. El origen de la alternancia se puede encontrar en WorkFooterContainer , a partir de Android 9. La activación y desactivación del perfil administrado se realiza de forma asincrónica y se aplica a todos los perfiles de usuario válidos. Este proceso está controlado por la clase WorkModeSwitch en Android 9.

UX cambia para dispositivos sin una bandeja de aplicaciones

Para los lanzadores sin una bandeja de aplicaciones, se recomienda continuar colocando accesos directos a las aplicaciones de perfil administradas en la carpeta de trabajo.

Si la carpeta de trabajo no se completa correctamente y las aplicaciones recién instaladas no se agregan a la carpeta, aplique el siguiente cambio en el método onAllAppsLoaded en la clase ManagedProfileHeuristic :

for (LauncherActivityInfo app : apps) {
        // Queue all items which should go in the work folder.
        if (app.getFirstInstallTime() < Long.MAX_VALUE) {
                InstallShortcutReceiver.queueActivityInfo(app, context);
        }
}

Validar cambios de UX

Pruebe la implementación de UX de perfil administrado utilizando la aplicación TestDPC

  1. Instale la aplicación TestDPC de Google Play Store.
  2. Abra el iniciador o el cajón de aplicaciones y seleccione el icono Configurar TestDPC .
  3. Siga las instrucciones en pantalla para configurar un perfil administrado.
  4. Abra el iniciador o el cajón de aplicaciones y verifique que haya una pestaña de trabajo allí.
  5. Verifique que haya un pie de página de perfil administrado en la pestaña de trabajo.
  6. Verifique que puede activar y desactivar el cambio de perfil administrado. El perfil administrado debe habilitarse y deshabilitarse en consecuencia.
TestDPC profile setupTestDPC add accountsTestDPC setup complete
Figura 4. Configuración de un perfil administrado en Configurar TestDPC Figura 5. Agregar cuentas en Configurar TestDPC Figura 6. Configuración completa
App drawer work tab toggle onApp drawer work tab toggle off
Figura 7. Cajón de aplicaciones con una pestaña de trabajo. El interruptor del pie de página del perfil administrado está activado y el perfil administrado está habilitado. Figura 8. Cajón de aplicaciones con una pestaña de trabajo. El interruptor del pie de página del perfil administrado está APAGADO y el perfil administrado está deshabilitado.

Insignia de aplicación de perfil administrado

Por razones de accesibilidad, el color de la insignia de trabajo cambia de naranja a azul (# 1A73E8) en Android 9.