Empleo de perfiles de trabajo

Un perfil de trabajo es un perfil administrado que tiene datos de aplicaciones separados del perfil de usuario principal, pero comparte algunas configuraciones de todo el sistema, como Wi-Fi y Bluetooth. El objetivo principal de un perfil de trabajo es crear un contenedor segregado y seguro para almacenar datos administrados. El administrador de un perfil de trabajo tiene control total sobre el alcance, la entrada, la salida y la duración de los datos. Las siguientes son algunas características de los perfiles de trabajo:

  • Creación. Cualquier aplicación en el usuario principal puede crear un perfil de trabajo. Se notifica al usuario sobre los comportamientos del perfil de trabajo y la aplicación de políticas antes de la creación.

  • Gestión. Las aplicaciones conocidas como propietarios de perfiles pueden invocar mediante programación API en la clase DevicePolicyManager para restringir el uso. Los propietarios del perfil se definen en la configuración inicial del perfil. Las políticas exclusivas de los perfiles de trabajo implican restricciones de aplicaciones, capacidad de actualización y comportamientos de intención.

  • Tratamiento visual. Las aplicaciones, las notificaciones y los widgets del perfil de trabajo están identificados y, por lo general, están disponibles en línea con los elementos de la interfaz de usuario (IU) del usuario principal.

Detalles de implementacion

Los perfiles de trabajo se implementan como usuarios secundarios, de modo que las aplicaciones que se ejecutan en el perfil de trabajo tienen un UID de uid = 100000 \* userid + appid . Estos perfiles tienen datos de aplicaciones independientes ( /data/user/userid ), similares a los de los usuarios principales.

AccountManagerService mantiene una lista separada de cuentas para cada usuario. Las diferencias de cuenta entre un usuario de perfil de trabajo y un usuario secundario regular incluyen lo siguiente:

  • El perfil de trabajo está asociado con su usuario principal y se inicia con el usuario principal en el momento del arranque.

  • Las notificaciones para los perfiles de trabajo están habilitadas por ActivityManagerService , lo que permite que el perfil de trabajo comparta la pila de actividades con el usuario principal.

  • Los servicios adicionales del sistema compartido incluyen IME, servicios A11Y, Wi-Fi y NFC.

  • Las API del iniciador permiten que los iniciadores muestren aplicaciones con insignia y widgets incluidos en la lista de permitidos del perfil de trabajo junto a las aplicaciones en el perfil principal sin cambiar de usuario.

Segregación de datos

Los perfiles de trabajo utilizan las siguientes reglas de segregación de datos.

aplicaciones

Cuando existe la misma aplicación en el usuario principal y el perfil de trabajo, las aplicaciones se delimitan con sus propios datos segregados. Por lo general, las aplicaciones actúan de forma independiente y no pueden comunicarse directamente con las instancias a través del límite del usuario del perfil, a menos que tengan el permiso INTERACT_ACROSS_PROFILES o App-ops .

cuentas

Las cuentas en el perfil de trabajo son únicas desde el usuario principal y no se puede acceder a las credenciales a través del límite del usuario del perfil. Solo las aplicaciones en sus respectivos contextos pueden acceder a sus respectivas cuentas.

intenciones

El administrador controla si las intenciones se resuelven dentro o fuera del perfil de trabajo. De forma predeterminada, las aplicaciones del perfil de trabajo se limitan a permanecer dentro de la excepción del perfil de trabajo de la API de política de dispositivos.

Identificadores de dispositivos

En dispositivos personales con un perfil de trabajo, Android 12 o superior elimina el acceso a los identificadores de hardware del dispositivo (IMEI, MEID, número de serie) y proporciona una identificación única específica de inscripción que identifica la inscripción del perfil de trabajo para una organización específica. Se garantiza que la identificación de inscripción permanecerá estable después de los restablecimientos de fábrica, lo que permite un seguimiento confiable del inventario de dispositivos con perfiles de trabajo.

Los dispositivos de propiedad personal con un perfil de trabajo deben usar la identificación específica de inscripción; Los dispositivos propiedad de la empresa, incluidos el perfil de trabajo y los dispositivos totalmente administrados, también pueden optar por usar la ID. Para usar la identificación específica de inscripción, los EMM deben configurar la identificación de la organización para cada dispositivo que administran, después de lo cual pueden leer la identificación específica de inscripción en ese dispositivo y manejarla como un número de serie. Para obtener más detalles, consulte Mejoras de seguridad y privacidad para el perfil de trabajo .

Ajustes

La aplicación de la configuración se limita al perfil de trabajo, con excepciones para la pantalla de bloqueo y la configuración de cifrado que se limitan al dispositivo y se comparten entre el usuario principal y el perfil de trabajo. Aparte de estas excepciones, el propietario de un perfil no tiene privilegios de administrador de dispositivos fuera del perfil de trabajo.

Gestión de dispositivos en dispositivos con perfil de trabajo

Android 5.0 y versiones posteriores admiten la administración de dispositivos para perfiles de trabajo en dispositivos personales Bring Your Own Device (BYOD) mediante la clase DevicePolicyManager . Además, Android 11 introdujo el concepto de perfiles de trabajo en dispositivos propiedad de la empresa. La capacidad de administración de dispositivos dentro del perfil de trabajo sigue siendo la misma para los casos de dispositivos BYOD y propiedad de la empresa, sin embargo, los perfiles de trabajo en dispositivos propiedad de la empresa pueden proporcionar capacidades/políticas adicionales, como installSystemUpdate , setScreenCaptureDisabled y setPersonalAppsSuspended , que pueden extender la aplicación de la política de administración. más allá del perfil de trabajo para ciertas políticas de todo el dispositivo.

  • Perfil de trabajo en un dispositivo personal (BYOD): el dispositivo es un dispositivo personal y contiene un perfil de trabajo administrado por un administrador de TI asociado con el empleador.

  • Perfil de trabajo en un dispositivo propiedad de la empresa: el dispositivo es proporcionado o es propiedad del empleador y contiene un perfil de trabajo administrado por un administrador de TI asociado con el empleador. Las aplicaciones pueden llamar isOrganizationOwnedDeviceWithManagedProfile() para determinar si el dispositivo se aprovisionó como un dispositivo propiedad de la organización con un perfil administrado.

Para obtener más información sobre la creación de perfiles de trabajo y el uso de la API de políticas de dispositivos, consulte Crear un perfil de trabajo .

Propietarios de perfiles

Una aplicación Device Policy Client (DPC) funciona como propietario del perfil cuando se crea un perfil de trabajo. La aplicación de cliente de DPC generalmente la proporciona un socio de administración de movilidad empresarial (EMM), como Política de dispositivos de Google Apps, y es capaz de aplicar políticas cuando se establece como propietario del perfil. El perfil de trabajo tiene instancias de aplicaciones con insignia que son visualmente distintas de las instancias personales de aplicaciones; la insignia identifica una aplicación como una aplicación de trabajo. El EMM tiene control únicamente sobre el perfil de trabajo (aplicaciones y datos de trabajo) y no sobre el espacio personal. Las políticas de dispositivos se aplican solo en el perfil de trabajo con algunas excepciones, como la aplicación de la pantalla de bloqueo que se aplica en todo el dispositivo.

Experiencia de usuario del perfil de trabajo

Android 9 o superior crea una integración más estrecha entre los perfiles de trabajo y la plataforma Android, lo que facilita que los usuarios mantengan su información personal y de trabajo separada en sus dispositivos. Los cambios en el perfil de trabajo aparecen en el iniciador y brindan una experiencia de usuario uniforme en todos los dispositivos administrados.

Los usuarios pueden alternar el perfil de trabajo desde la configuración o el menú de configuración rápida. En Android 9 o versiones posteriores, las implementaciones de dispositivos pueden incluir un interruptor en el pie de página de la pestaña de trabajo para que los usuarios habiliten o deshabiliten el perfil de trabajo. La alternancia del perfil de trabajo se realiza de forma asíncrona y se aplica a todos los perfiles de usuario válidos; este proceso está controlado por la clase WorkModeSwitch .

Dispositivos con una bandeja de aplicaciones

En Android 9 o superior, los cambios de UX del perfil de trabajo para Launcher3 ayudan a los usuarios a mantener perfiles personales y de trabajo separados. El cajón de aplicaciones proporciona una vista con pestañas para distinguir las aplicaciones de perfil personal de las aplicaciones de perfil de trabajo. Cuando los usuarios ven por primera vez la pestaña del perfil de trabajo, se les presenta una vista educativa para ayudarlos a navegar por el perfil de trabajo.

Los usuarios pueden cambiar entre las diferentes vistas de perfil usando las pestañas de perfil o una interfaz de usuario similar en la parte superior del cajón de la aplicación:


Figura 1. Vista de la pestaña Personal

Figura 2. Vista de la pestaña Trabajo, alternancia de perfil de trabajo

La vista con pestañas se implementa como parte de la clase AllAppsContainerView Launcher3. Para obtener una implementación de referencia del indicador de perfil con pestañas, consulte la clase PersonalWorkSlidingTabStrip .

Mensaje de educación del usuario en dispositivos con una pestaña de trabajo

Android 9 o superior admite una vista educativa que informa a los usuarios sobre el propósito de la pestaña de trabajo y cómo pueden facilitar el acceso a las aplicaciones de trabajo. Con Launcher3, se puede mostrar una vista educativa en la pantalla de la pestaña de trabajo cuando los usuarios abren la pestaña de trabajo por primera vez, como se muestra a continuación:

Vista educativa

Figura 3. Vista educativa

Dispositivos sin bandeja de aplicaciones

Para los lanzadores sin una bandeja de aplicaciones, se recomienda continuar colocando accesos directos a las aplicaciones del perfil de trabajo en la carpeta de trabajo.

Las implementaciones de iniciador personalizado pueden usar getProfiles() y getActivityList() para recuperar una lista de aplicaciones con un icono de iniciador para el usuario del perfil de trabajo.

En los dispositivos que implementan una carpeta de trabajo, los usuarios pueden acceder a las aplicaciones de perfil de trabajo abriendo la carpeta de trabajo:


Figura 4. Carpeta de trabajo cerrada

Figura 5. Carpeta de trabajo abierta

Mensaje de educación del usuario en dispositivos con una carpeta de trabajo

Para los lanzadores sin una bandeja de aplicaciones, donde una carpeta de trabajo contiene aplicaciones de trabajo, el mensaje educativo del perfil de trabajo puede mostrarse en forma de información sobre herramientas descartable cuando el usuario abre la carpeta de trabajo por primera vez:

Información sobre herramientas descartable

Figura 3. Información sobre herramientas descartable

Validación de la experiencia del usuario del perfil de trabajo

La forma más sencilla de probar la experiencia del usuario del perfil de trabajo es configurar un perfil de trabajo con la aplicación Test DPC. Los siguientes pasos describen cómo configurar un perfil de trabajo en un dispositivo personal (escenario BYOD):

  1. Comience con un dispositivo restablecido de fábrica y complete la configuración del perfil personal usando una cuenta personal de Google o, alternativamente, use un dispositivo con un perfil personal como punto de partida.

  2. Instale la aplicación Test DPC desde Google Play Store.

  3. Abra el iniciador o el cajón de aplicaciones y seleccione Configurar prueba DPC .

  4. Siga las instrucciones en pantalla para configurar un perfil de trabajo:


    Figura 4. Configurar perfil de trabajo


    Figura 5. Agregar cuentas


    Figura 6. Configuración completa

  5. Abra el iniciador o el cajón de aplicaciones y verifique que la pestaña de trabajo esté presente y contenga un pie de página de perfil de trabajo. Las implementaciones de fabricantes de dispositivos alternativos pueden contener una carpeta de trabajo en lugar de una pestaña de trabajo.

  6. Verifique que puede alternar el perfil de trabajo desde Configuración rápida (o configuración) confirmando que las aplicaciones del perfil de trabajo (aplicaciones con la insignia del maletín) están habilitadas y deshabilitadas como se esperaba. En determinadas implementaciones de dispositivos, las aplicaciones de trabajo pueden aparecer atenuadas cuando el perfil de trabajo está deshabilitado, mientras que otras, como las implementaciones con una pestaña de trabajo, pueden mostrar una superposición con un mensaje que informa que el perfil de trabajo está desactivado. Las siguientes figuras muestran ejemplos de perfiles de trabajo habilitados y deshabilitados en un dispositivo que implementa una pestaña de trabajo:


    Figura 7. Alternar activado, perfil de trabajo habilitado

    Figura 8. Desactivar, perfil de trabajo deshabilitado

Insignia de la aplicación de perfil de trabajo

En Android 9 o superior, por razones de accesibilidad, el color de la insignia de trabajo es azul (#1A73E8) en lugar de naranja.