Employant des profils de travail

Un profil professionnel est un profil géré qui possède des données d'application distinctes du profil utilisateur principal, mais qui partage certains paramètres à l'échelle du système, tels que le Wi-Fi et le Bluetooth. L'objectif principal d'un profil professionnel est de créer un conteneur séparé et sécurisé pour contenir les données gérées. L'administrateur d'un profil professionnel a un contrôle total sur la portée, l'entrée, la sortie et la durée de vie des données. Voici quelques caractéristiques des profils de travail :

  • Création. N'importe quelle application de l'utilisateur principal peut créer un profil professionnel. L'utilisateur est informé des comportements du profil professionnel et de l'application des politiques avant la création.

  • Gestion. Les applications connues sous le nom de propriétaires de profils peuvent appeler par programme des API de la classe DevicePolicyManager pour restreindre leur utilisation. Les propriétaires de profil sont définis lors de la configuration initiale du profil. Les politiques propres aux profils professionnels impliquent des restrictions sur les applications, la possibilité de mise à jour et des comportements d'intention.

  • Traitement visuel. Les applications, notifications et widgets du profil professionnel portent un badge et sont généralement mis à disposition en ligne avec les éléments de l'interface utilisateur (UI) de l'utilisateur principal.

Détails d'implémentation

Les profils professionnels sont implémentés en tant qu'utilisateurs secondaires, de sorte que les applications exécutées dans le profil professionnel aient un UID de uid = 100000 \* userid + appid . Ces profils ont des données d'application distinctes ( /data/user/userid ), similaires aux utilisateurs principaux.

AccountManagerService gère une liste distincte de comptes pour chaque utilisateur. Les différences de compte entre un utilisateur de profil professionnel et un utilisateur secondaire régulier sont les suivantes :

  • Le profil professionnel est associé à son utilisateur parent et est démarré avec l'utilisateur principal au moment du démarrage.

  • Les notifications pour les profils professionnels sont activées par ActivityManagerService , permettant au profil professionnel de partager la pile d'activités avec l'utilisateur principal.

  • Les services système partagés supplémentaires incluent les services IME, A11Y, Wi-Fi et NFC.

  • Les API du lanceur permettent aux lanceurs d'afficher les applications badgées et les widgets sur liste blanche du profil professionnel à côté des applications du profil principal sans changer d'utilisateur.

Ségrégation des données

Les profils professionnels utilisent les règles de séparation des données suivantes.

applications

Lorsque la même application existe dans l’utilisateur principal et le profil professionnel, les applications sont limitées à leurs propres données séparées. En règle générale, les applications agissent de manière indépendante et ne peuvent pas communiquer directement avec les instances au-delà de la limite utilisateur-profil, à moins qu'elles ne détiennent l'autorisation INTERACT_ACROSS_PROFILES ou App-ops .

Comptes

Les comptes du profil professionnel sont uniques par rapport à l'utilisateur principal et les informations d'identification ne sont pas accessibles au-delà de la limite profil-utilisateur. Seules les applications dans leur contexte respectif peuvent accéder à leurs comptes respectifs.

Intentions

L'administrateur contrôle si les intentions sont résolues dans ou hors du profil professionnel. Par défaut, les applications du profil professionnel sont limitées à rester dans l’exception de profil professionnel de l’API Device Policy.

Identifiants d'appareil

Sur les appareils personnels dotés d'un profil professionnel, Android 12 ou version ultérieure supprime l'accès aux identifiants matériels de l'appareil (IMEI, MEID, numéro de série) et fournit un identifiant unique, spécifique à l'inscription, qui identifie l'inscription au profil professionnel pour une organisation spécifique. L'ID d'inscription est garanti pour rester stable lors des réinitialisations d'usine, permettant un suivi fiable de l'inventaire des appareils avec des profils professionnels.

Les appareils personnels dotés d'un profil professionnel doivent utiliser l'ID spécifique à l'inscription ; Les appareils appartenant à l'entreprise, y compris les appareils avec profil professionnel et les appareils entièrement gérés, peuvent également choisir d'utiliser l'identifiant. Pour utiliser l'ID spécifique à l'inscription, les EMM doivent définir l' ID d'organisation pour chaque appareil qu'ils gèrent, après quoi ils peuvent lire l'ID spécifique à l'inscription sur cet appareil et le traiter comme un numéro de série. Pour plus de détails, reportez-vous à Améliorations de la sécurité et de la confidentialité pour le profil professionnel .

Paramètres

L'application des paramètres est limitée au profil professionnel, à l'exception des paramètres d'écran de verrouillage et de chiffrement qui sont limités à l'appareil et partagés entre l'utilisateur principal et le profil professionnel. Hormis ces exceptions, un propriétaire de profil ne dispose pas de privilèges d'administrateur d'appareil en dehors du profil professionnel.

Gestion des appareils sur les appareils avec un profil professionnel

Android 5.0 et versions ultérieures prennent en charge la gestion des appareils pour les profils professionnels sur les appareils personnels Bring Your Own Device (BYOD) à l'aide de la classe DevicePolicyManager . De plus, Android 11 a introduit le concept de profils professionnels sur les appareils appartenant à l'entreprise. La capacité de gestion des appareils au sein du profil professionnel reste la même pour les cas d'appareils BYOD et appartenant à l'entreprise. Toutefois, les profils de travail sur les appareils appartenant à l'entreprise peuvent fournir des fonctionnalités/politiques supplémentaires, telles que installSystemUpdate , setScreenCaptureDisabled et setPersonalAppsSuspended , qui peuvent étendre l'application des politiques d'administration. au-delà du profil professionnel pour certaines politiques à l’échelle de l’appareil.

  • Profil professionnel sur un appareil personnel (BYOD) : l'appareil est un appareil personnel et contient un profil professionnel géré par un administrateur informatique associé à l'employeur.

  • Profil professionnel sur un appareil appartenant à l'entreprise : l'appareil est fourni/appartient à l'employeur et contient un profil professionnel géré par un administrateur informatique associé à l'employeur. Les applications peuvent appeler isOrganizationOwnedDeviceWithManagedProfile() pour déterminer si l’appareil a été configuré en tant qu’appareil appartenant à l’organisation avec un profil géré.

Pour plus d'informations sur la création d'un profil professionnel et l'utilisation de l'API Device Policy, reportez-vous à Créer un profil professionnel .

Propriétaires du profil

Une application Device Policy Client (DPC) fonctionne en tant que propriétaire du profil lorsqu’un profil professionnel est créé. L'application client DPC est généralement fournie par un partenaire de gestion de la mobilité d'entreprise (EMM), tel que Google Apps Device Policy, et est capable d'appliquer des politiques lorsqu'elle est définie en tant que propriétaire du profil. Le profil professionnel comporte des instances d'applications badgées qui sont visuellement distinctes des instances personnelles d'applications ; le badge identifie une application comme une application professionnelle. L'EMM contrôle uniquement le profil professionnel (applications et données professionnelles) et non l'espace personnel. Les politiques relatives aux appareils sont appliquées uniquement sur le profil professionnel, à quelques exceptions près, telles que l'application de l'écran de verrouillage applicable sur l'ensemble de l'appareil.

Expérience utilisateur du profil professionnel

Android 9 ou version ultérieure crée une intégration plus étroite entre les profils professionnels et la plate-forme Android, permettant aux utilisateurs de séparer plus facilement leurs informations professionnelles et personnelles sur leurs appareils. Les modifications du profil professionnel apparaissent dans le lanceur et offrent une expérience utilisateur cohérente sur tous les appareils gérés.

Les utilisateurs peuvent basculer le profil professionnel à partir des paramètres ou du menu des paramètres rapides. Sous Android 9 ou version ultérieure, les implémentations d'appareils peuvent inclure une bascule dans le pied de page de l'onglet Travail permettant aux utilisateurs d'activer ou de désactiver le profil professionnel. Le basculement du profil de travail s'effectue de manière asynchrone et s'applique à tous les profils d'utilisateurs valides ; ce processus est contrôlé par la classe WorkModeSwitch .

Appareils avec une barre d'applications

Sous Android 9 ou version ultérieure, les modifications UX du profil professionnel pour Launcher3 aident les utilisateurs à conserver des profils personnels et professionnels distincts. Le tiroir d'applications fournit une vue par onglets pour distinguer les applications de profil personnel des applications de profil professionnel. Lorsque les utilisateurs consultent pour la première fois l’onglet du profil professionnel, une vue éducative leur est présentée pour les aider à naviguer dans le profil professionnel.

Les utilisateurs peuvent basculer entre les différentes vues de profil en utilisant les onglets de profil ou une interface utilisateur similaire en haut du tiroir de l'application :


Figure 1. Vue de l'onglet Personnel

Figure 2. Vue de l'onglet Travail, bascule du profil professionnel

La vue à onglets est implémentée dans le cadre de la classe AllAppsContainerView Launcher3. Pour une implémentation de référence de l’indicateur de profil à onglets, reportez-vous à la classe PersonalWorkSlidingTabStrip .

Message de formation des utilisateurs sur les appareils dotés d'un onglet Travail

Android 9 ou version ultérieure prend en charge une vue éducative qui informe les utilisateurs de l'objectif de l'onglet Travail et de la manière dont ils peuvent faciliter l'accès aux applications professionnelles. À l'aide de Launcher3, une vue éducative peut être affichée sur l'écran de l'onglet Travail lorsque les utilisateurs ouvrent pour la première fois l'onglet Travail, comme indiqué ci-dessous :

Vision pédagogique

Figure 3. Vision pédagogique

Appareils sans barre d'applications

Pour les lanceurs sans barre d'applications, il est recommandé de continuer à placer des raccourcis vers les applications de profil professionnel dans le dossier de travail.

Les implémentations de lanceurs personnalisés peuvent utiliser getProfiles() et getActivityList() pour récupérer une liste d'applications avec une icône de lanceur pour l'utilisateur du profil professionnel.

Sur les appareils qui implémentent un dossier de travail, les utilisateurs peuvent accéder aux applications de profil professionnel en ouvrant le dossier de travail :


Figure 4. Dossier de travail fermé

Figure 5. Dossier de travail ouvert

Message de formation des utilisateurs sur les appareils dotés d'un dossier de travail

Pour les lanceurs sans barre d'applications, où un dossier de travail contient des applications professionnelles, le message de formation du profil professionnel peut s'afficher sous la forme d'une info-bulle pouvant être ignorée lorsque l'utilisateur ouvre le dossier de travail pour la première fois :

Info-bulle pouvant être ignorée

Figure 3. Info-bulle pouvant être ignorée

Valider l'expérience utilisateur du profil professionnel

Le moyen le plus simple de tester l’expérience utilisateur du profil professionnel consiste à configurer un profil professionnel à l’aide de l’application Test DPC. Les étapes suivantes décrivent comment configurer un profil professionnel sur un appareil personnel (scénario BYOD) :

  1. Commencez avec un appareil réinitialisé aux paramètres d'usine et terminez la configuration du profil personnel à l'aide d'un compte Google personnel ou utilisez un appareil avec un profil personnel comme point de départ.

  2. Installez l'application Test DPC depuis le Google Play Store.

  3. Ouvrez le lanceur ou le tiroir d'applications et sélectionnez Configurer le test DPC .

  4. Suivez les instructions à l'écran pour configurer un profil professionnel :


    Figure 4. Configurer le profil professionnel


    Figure 5. Ajouter des comptes


    Figure 6. Configuration terminée

  5. Ouvrez le lanceur ou le tiroir d'applications et vérifiez que l'onglet Travail est présent et contient un pied de page de profil professionnel. Les implémentations alternatives des fabricants de périphériques peuvent contenir un dossier de travail au lieu d'un onglet de travail.

  6. Vérifiez que vous pouvez basculer le profil professionnel à partir des paramètres rapides (ou paramètres) en confirmant que les applications du profil professionnel (applications avec le badge porte-documents) sont activées et désactivées comme prévu. Dans certaines implémentations d'appareils, les applications professionnelles peuvent être grisées lorsque le profil professionnel est désactivé, tandis que d'autres, telles que les implémentations avec un onglet Travail, peuvent afficher une superposition avec un message informant que le profil professionnel est désactivé. Les figures suivantes montrent des exemples de profils professionnels activés et désactivés sur un appareil qui implémente un onglet Travail :


    Figure 7. Activer, profil professionnel activé

    Figure 8. Désactiver, profil professionnel désactivé

Badge d'application de profil professionnel

Sous Android 9 ou version ultérieure, pour des raisons d'accessibilité, la couleur du badge de travail est bleue (#1A73E8) au lieu d'orange.