การจ้างงานโปรไฟล์

รายละเอียดการทำงานเป็น Android ผู้ใช้ ที่มีคุณสมบัติพิเศษเพิ่มเติมรอบการจัดการและความงามของภาพ เป้าหมายหลักของโปรไฟล์งานคือการสร้างพื้นที่ที่ปลอดภัยและแยกจากกันสำหรับข้อมูลที่มีการจัดการ (เช่น ข้อมูลบริษัท) ผู้ดูแลระบบโปรไฟล์สามารถควบคุมขอบเขต ขาเข้า ขาออก และอายุการใช้งานของข้อมูลได้อย่างเต็มที่ นโยบายเหล่านี้มอบอำนาจอันยิ่งใหญ่และดังนั้นจึงตกอยู่กับโปรไฟล์งานแทนผู้ดูแลระบบอุปกรณ์

  • การสร้าง ทุกแอปในผู้ใช้หลักจะสร้างโปรไฟล์งานได้ ผู้ใช้จะได้รับแจ้งถึงพฤติกรรมของโปรไฟล์งานและการบังคับใช้นโยบายก่อนสร้าง

  • การจัดการ. ปพลิเคชันที่รู้จักในฐานะเจ้าของโปรไฟล์สามารถเขียนโปรแกรมเรียกใช้ APIs ใน DevicePolicyManager ชั้นเรียนเพื่อ จำกัด การใช้ เจ้าของโปรไฟล์ถูกกำหนดไว้ที่การตั้งค่าโปรไฟล์เริ่มต้น นโยบายเฉพาะสำหรับโปรไฟล์งานเกี่ยวข้องกับการจำกัดแอป ความสามารถในการอัปเดต และพฤติกรรมความตั้งใจ

  • การรักษาสายตา แอป การแจ้งเตือน และวิดเจ็ตจากโปรไฟล์งานจะได้รับป้ายและโดยทั่วไปแล้วจะพร้อมใช้งานในแนวเดียวกับองค์ประกอบอินเทอร์เฟซผู้ใช้ (UI) จากผู้ใช้หลัก

การแยกข้อมูล

โปรไฟล์งานใช้กฎการแยกข้อมูลต่อไปนี้

แอพ

เมื่อมีแอปเดียวกันอยู่ในผู้ใช้หลักและโปรไฟล์งาน แอปจะถูกกำหนดขอบเขตด้วยข้อมูลที่แยกจากกัน โดยทั่วไป แอปจะทำงานโดยอิสระและไม่สามารถสื่อสารระหว่างกันโดยตรงผ่านขอบเขตของโปรไฟล์-ผู้ใช้

บัญชี

บัญชีในโปรไฟล์งานจะไม่ซ้ำกับผู้ใช้หลัก และข้อมูลรับรองไม่สามารถเข้าถึงได้ข้ามขอบเขตโปรไฟล์-ผู้ใช้ เฉพาะแอพในบริบทที่เกี่ยวข้องเท่านั้นที่สามารถเข้าถึงบัญชีของตนได้

ความตั้งใจ

ผู้ดูแลระบบควบคุมว่าจะแก้ไขเจตนาในหรือออกจากโปรไฟล์งานหรือไม่ โดยค่าเริ่มต้น แอปจากโปรไฟล์งานจะถูกกำหนดขอบเขตให้อยู่ภายในข้อยกเว้นของโปรไฟล์งานของ Device Policy API

ตัวระบุอุปกรณ์

ในอุปกรณ์ส่วนตัวที่มีโปรไฟล์งาน Android 12 ขึ้นไปจะลบสิทธิ์เข้าถึงตัวระบุฮาร์ดแวร์ของอุปกรณ์ (IMEI, MEID, หมายเลขซีเรียล) และให้รหัสเฉพาะการลงทะเบียนซึ่งระบุการลงทะเบียนโปรไฟล์งานสำหรับองค์กรหนึ่งๆ รับประกันรหัสการลงทะเบียนว่าจะคงที่ตลอดการรีเซ็ตเป็นค่าจากโรงงาน ทำให้สามารถติดตามสินค้าคงคลังของอุปกรณ์ที่มีโปรไฟล์งานได้อย่างน่าเชื่อถือ

อุปกรณ์ส่วนตัวที่มีโปรไฟล์งานต้องใช้รหัสเฉพาะการลงทะเบียน อุปกรณ์ของบริษัท ทั้งโปรไฟล์งานและอุปกรณ์ที่มีการจัดการเต็มรูปแบบ จะเลือกใช้รหัสได้เช่นกัน ในการใช้ EMM ต้องตั้งค่ารหัสองค์กรสำหรับอุปกรณ์แต่ละเครื่องที่จัดการ หลังจากนั้นจึงอ่านรหัสเฉพาะการลงทะเบียนในอุปกรณ์นั้นและจัดการเป็นหมายเลขซีเรียลได้ สำหรับรายละเอียดเพิ่มเติมโปรดดูที่ การรักษาความปลอดภัยและความเป็นส่วนตัวสำหรับการปรับปรุงรายละเอียดการทำงาน

การตั้งค่า

การบังคับใช้การตั้งค่าจะกำหนดขอบเขตไว้ที่โปรไฟล์งาน ยกเว้นการตั้งค่าหน้าจอล็อกและการเข้ารหัสที่กำหนดขอบเขตไปที่อุปกรณ์และแชร์ระหว่างผู้ใช้หลักกับโปรไฟล์งาน นอกจากข้อยกเว้นเหล่านี้ เจ้าของโปรไฟล์ไม่มีสิทธิ์ของผู้ดูแลระบบอุปกรณ์ภายนอกโปรไฟล์งาน

โปรไฟล์การทำงานจะดำเนินการในฐานะผู้ใช้รองเช่นว่า uid = 100000 \* userid + appid โปรไฟล์เหล่านี้มีข้อมูล app แยก ( /data/user/ userid ) คล้ายกับผู้ใช้ปกติ userid จะถูกคำนวณสำหรับทุกคำขอใช้ระบบ Binder.getCallingUid() และทุกสถานะของระบบและการตอบสนองจะถูกแยกออกจาก userid คุ้มค่า

AccountManagerService เก็บรักษารายการที่แยกต่างหากจากบัญชีผู้ใช้แต่ละคน ความแตกต่างของบัญชีระหว่างผู้ใช้โปรไฟล์งานและผู้ใช้สำรองทั่วไปมีดังนี้:

  • โปรไฟล์งานเชื่อมโยงกับผู้ใช้ระดับบนสุด และเริ่มทำงานกับผู้ใช้หลักเมื่อเปิดเครื่อง

  • การแจ้งเตือนสำหรับโปรไฟล์การทำงานที่มีการเปิดใช้งานโดย ActivityManagerService ช่วยให้รายละเอียดการทำงานที่จะแบ่งปันกิจกรรมสแต็คที่มีผู้ใช้หลัก

  • บริการระบบที่ใช้ร่วมกันเพิ่มเติม ได้แก่ บริการ IME, บริการ A11Y, Wi-Fi และ NFC

  • API ตัวเรียกใช้งานช่วยให้ตัวเรียกใช้งานแสดงแอปที่มีป้ายสถานะและวิดเจ็ตที่อนุญาตจากโปรไฟล์งานถัดจากแอปในโปรไฟล์หลักโดยไม่ต้องเปลี่ยนผู้ใช้

การจัดการอุปกรณ์

การจัดการอุปกรณ์ Android Enterprise รวมถึงเจ้าของต่อไปนี้:

  • เจ้าของโปรไฟล์ ออกแบบมาเพื่อนำอุปกรณ์ของคุณเอง (BYOD) มาใช้
  • เจ้าของอุปกรณ์ ออกแบบมาสำหรับสภาพแวดล้อมขององค์กรที่ต้องรับผิด

API การจัดการอุปกรณ์บางตัวใช้สำหรับผู้บริโภค (เช่น ค้นหา API อุปกรณ์ของฉัน) ในขณะที่ API อื่นๆ จะใช้ได้เฉพาะกับเจ้าของโปรไฟล์หรือเจ้าของอุปกรณ์เท่านั้น

เจ้าของโปรไฟล์

แอป Device Policy Client (DPC) ทำหน้าที่เป็นเจ้าของโปรไฟล์ และโดยปกติแล้วจะมีให้โดยพาร์ทเนอร์ Enterprise Mobility Management (EMM) เช่น Google Apps Device Policy แอปพลิเคเจ้าของโปรไฟล์สร้างโปรไฟล์การทำงานบนอุปกรณ์โดยการส่ง ACTION_PROVISION_MANAGED_PROFILE เจตนา โปรไฟล์งานมีป้ายอินสแตนซ์ของแอปที่แตกต่างจากอินสแตนซ์ส่วนตัวของแอปอย่างเห็นได้ชัด ป้ายระบุว่าแอปเป็นแอปงาน EMM มีสิทธิ์ควบคุมเฉพาะโปรไฟล์งานเท่านั้น ไม่ใช่พื้นที่ส่วนตัว (มีข้อยกเว้นบางประการ เช่น การบังคับใช้หน้าจอล็อก)

เจ้าของอุปกรณ์

เจ้าของอุปกรณ์สามารถตั้งค่าได้เฉพาะในอุปกรณ์ที่ไม่ได้จัดเตรียมไว้ เนื่องจากจะต้องจัดเตรียมเจ้าของอุปกรณ์ในระหว่างการตั้งค่าอุปกรณ์เริ่มต้น การตั้งค่าด่วนต้องแสดงการเปิดเผยข้อมูลเสมอ เจ้าของอุปกรณ์สามารถทำงานบางอย่างที่เจ้าของโปรไฟล์ไม่สามารถทำได้ เช่น:

  • กำลังล้างข้อมูลอุปกรณ์
  • ปิดการใช้งาน Wi-Fi หรือ Bluetooth
  • การตั้งค่าของ setGlobalSetting
  • การตั้งค่าของ setLockTaskPackages ซึ่งเป็นความสามารถในการแพคเกจ allowlist ที่สามารถตรึงตัวเองไปเบื้องหน้า
  • การตั้งค่าของ DISALLOW_MOUNT_PHYSICAL_MEDIA ซึ่งเป็น FALSE โดยค่าเริ่มต้น เมื่อตั้งค่าเป็น TRUE , สื่อทางกายภาพแบบพกพาและ adoptable ไม่สามารถติดตั้ง)

DevicePolicyManager APIs

Android 5.0 หรือสูงกว่าข้อเสนอดีขึ้น DevicePolicyManager ด้วย API ที่สนับสนุนองค์กรที่เป็นเจ้าของและนำกรณีอุปกรณ์ (BYOD) การใช้งานการจัดการของคุณเองรวมทั้งการ จำกัด การปพลิเคชันเงียบ installating ใบรับรองและการควบคุมข้ามรายละเอียดร่วมกันเข้าถึงเจตนา ในการเริ่มต้นใช้ไคลเอ็นต์ตัวอย่างนโยบายอุปกรณ์ (DPC) app BasicManagedProfile.apk สำหรับรายละเอียดโปรดดูที่การ สร้างอุปกรณ์ควบคุมนโยบาย

ประสบการณ์ผู้ใช้โปรไฟล์งาน

Android 9 ขึ้นไปสร้างการผสานรวมที่แน่นแฟ้นยิ่งขึ้นระหว่างโปรไฟล์งานและแพลตฟอร์ม Android ทำให้ผู้ใช้แยกงานและข้อมูลส่วนบุคคลออกจากกันในอุปกรณ์ได้ง่ายขึ้น การเปลี่ยนแปลงโปรไฟล์งานจะปรากฏในตัวเรียกใช้งานและมอบประสบการณ์ผู้ใช้ที่สอดคล้องกันในอุปกรณ์ที่มีการจัดการ

อุปกรณ์ที่มีถาดแอป

ใน Android 9 ขึ้นไป UX ของโปรไฟล์งานจะเปลี่ยนแปลงสำหรับ Launcher3 ช่วยให้ผู้ใช้รักษาโปรไฟล์ส่วนตัวและโปรไฟล์งานแยกจากกัน ลิ้นชักแอปมีมุมมองแบบแท็บเพื่อแยกความแตกต่างของแอปโปรไฟล์ส่วนบุคคล เมื่อผู้ใช้ดูแท็บโปรไฟล์งานเป็นครั้งแรก ผู้ใช้จะได้รับมุมมองการศึกษาเพื่อช่วยนำทางไปยังโปรไฟล์งาน พวกเขายังเปิดหรือปิดโปรไฟล์งานได้โดยใช้การสลับในแท็บงานของตัวเรียกใช้งาน

มุมมองโปรไฟล์แบบแท็บ

ใน Android 9 ขึ้นไป โปรไฟล์งานทำให้ผู้ใช้สามารถสลับไปมาระหว่างรายการแอปส่วนตัวและแอปที่มีการจัดการในลิ้นชักแอป มุมมอง App จะถูกแยกออกเป็นสองแตกต่างกัน RecyclerViews , การจัดการโดย ViewPager ผู้ใช้สามารถสลับไปมาระหว่างมุมมองโปรไฟล์ต่างๆ ได้โดยใช้แท็บโปรไฟล์ที่ด้านบนของลิ้นชักแอป ดังที่แสดงด้านล่าง:


มุมมองแท็บรูปที่ 1 ส่วนบุคคล

รูปที่ 2 การทำงานมุมมองแท็บสลับรายละเอียดการทำงาน

มุมมองแบบแท็บจะดำเนินการเป็นส่วนหนึ่งของ AllAppsContainerView ระดับ Launcher3 สำหรับการดำเนินงานของตัวบ่งชี้การอ้างอิงรายละเอียดแท็บที่อ้างถึง PersonalWorkSlidingTabStrip ระดับ

มุมมองการศึกษา

Android 9 ขึ้นไปรองรับมุมมองทางการศึกษาที่แจ้งให้ผู้ใช้ทราบถึงวัตถุประสงค์ของแท็บงานและวิธีทำให้เข้าถึงแอปงานได้ง่ายขึ้น เมื่อใช้ Launcher3 คุณสามารถนำเสนอมุมมองการศึกษาที่ด้านล่างของหน้าจอแท็บงานเมื่อผู้ใช้เปิดแท็บงานเป็นครั้งแรก ดังที่แสดงด้านล่าง:

มุมมองการศึกษา

มุมมองรูปที่ 3 การศึกษา

มุมมองการศึกษาจะถูกกำหนดโดย BottomUserEducationView ชั้นเรียนกับรูปแบบการควบคุมโดย work_tab_tottom_user_education_view.xml ภายใน BottomUserEducationView ที่ KEY_SHOWED_BOTTOM_USER_EDUCATION บูลถูกตั้งค่าเป็น false โดยค่าเริ่มต้น เมื่อผู้ใช้ห้ามมุมมองการศึกษาบูลถูกตั้งค่าเป็น true

สลับเพื่อเปิดหรือปิดโปรไฟล์งาน

ใน Android 9 ขึ้นไป ผู้ดูแลระบบอุปกรณ์ที่มีการจัดการสามารถแสดงการสลับในส่วนท้ายของแท็บงานเพื่อให้ผู้ใช้เปิดหรือปิดโปรไฟล์งานได้ การเปิดใช้งานและปิดใช้งานโปรไฟล์งานจะทำแบบอะซิงโครนัสและนำไปใช้กับโปรไฟล์ผู้ใช้ที่ถูกต้องทั้งหมด กระบวนการนี้จะถูกควบคุมโดย WorkModeSwitch ระดับ สำหรับสลับแหล่งที่อ้างถึง WorkFooterContainer

อุปกรณ์ที่ไม่มีถาดแอป

สำหรับตัวเรียกใช้งานที่ไม่มีถาดแอป ให้วางทางลัดไปยังแอปโปรไฟล์งานในโฟลเดอร์งานต่อไป ถ้าโฟลเดอร์การทำงานไม่ได้เติมได้อย่างถูกต้องและปพลิเคชันที่ติดตั้งใหม่จะไม่เพิ่มไปยังโฟลเดอร์ที่ใช้การเปลี่ยนแปลงต่อไปนี้ใน onAllAppsLoaded วิธีการใน ManagedProfileHeuristic ระดับ:

for (LauncherActivityInfo app : apps) {
        // Queue all items which should go in the work folder.
        if (app.getFirstInstallTime() < Long.MAX\_VALUE) {
                InstallShortcutReceiver.queueActivityInfo(app, context);
        }
}

กำลังตรวจสอบการเปลี่ยนแปลง UX

วิธีทดสอบการใช้งาน UX ของโปรไฟล์งานโดยใช้แอป TestDPC:

  1. กับอุปกรณ์ที่ติดตั้ง TestDPC แอปจาก Google Play สโตร์

  2. เปิดตัวเปิดหรือแอปลิ้นชักและเลือกการตั้งค่า TestDPC

  3. ทำตามคำแนะนำบนหน้าจอเพื่อตั้งค่าโปรไฟล์งาน


    รูปที่ 4 การตั้งค่าโปรไฟล์การทำงาน


    รูปที่ 5 เพิ่มบัญชี


    รูปที่ 6 การติดตั้งเสร็จสมบูรณ์

  4. เปิดตัวเรียกใช้งานหรือลิ้นชักแอป และตรวจสอบว่ามีแท็บงานอยู่และมีส่วนท้ายของโปรไฟล์งาน

  5. ตรวจสอบว่าคุณสามารถเปิดหรือปิดโปรไฟล์งานได้โดยยืนยันว่าเปิดและปิดโปรไฟล์งานตามที่คาดไว้ ตัวเลขต่อไปนี้แสดงตัวอย่างโปรไฟล์งานที่เปิดใช้และปิดใช้


    รูปที่ 7 สลับในรายละเอียดการทำงานที่เปิดใช้งาน

    รูปที่ 8 สลับออกรายละเอียดการทำงานของคนพิการ

ป้ายแอปโปรไฟล์งาน

ใน Android 9 หรือสูงกว่า ด้วยเหตุผลด้านการเข้าถึง สีของป้ายงานจะเป็นสีน้ำเงิน (#1A73E8) แทนที่จะเป็นสีส้ม