使用工作資料

工作設定檔是一種託管設定文件,它具有與主用戶設定檔分開的應用程式數據,但共享一些系統範圍的設置,例如 Wi-Fi 和藍牙。工作設定檔的主要目標是建立一個隔離且安全的容器來保存託管資料。工作設定檔的管理員可以完全控制資料的範圍、入口、出口和生命週期。以下是工作檔案的一些特徵:

  • 創建。主用戶中的任何應用程式都可以建立工作設定檔。在建立之前,使用者會收到有關工作設定檔行為和策略實施的通知。

  • 管理。稱為設定檔擁有者的應用程式可以以程式設計方式呼叫DevicePolicyManager類別中的 API 來限制使用。設定檔擁有者是在初始設定檔設定時定義的。工作設定檔特有的策略涉及應用程式限制、可更新性和意圖行為。

  • 視覺治療。工作設定檔中的應用程式、通知和小工具帶有標記,通常與主要使用者的使用者介面 (UI) 元素一起提供。

實施細節

工作設定檔作為輔助使用者實現,因此工作設定檔中執行的應用程式的 UID 為uid = 100000 \* userid + appid 。這些設定檔具有單獨的應用程式資料 ( /data/user/userid ),類似於主要使用者。

AccountManagerService為每個使用者維護一個單獨的帳戶清單。工作設定檔使用者和常規輔助使用者之間的帳戶差異包括以下內容:

  • 工作設定檔與其父用戶關聯,啟動時由主用戶啟動。

  • 工作設定檔的通知由ActivityManagerService啟用,允許工作設定檔與主使用者共用活動堆疊。

  • 其他共享系統服務包括 IME、A11Y 服務、Wi-Fi 和 NFC。

  • 啟動器 API 使啟動器能夠在主設定檔中的應用程式旁邊顯示工作設定檔中的標記應用程式和列入白名單的小部件,而無需切換使用者。

資料隔離

工作設定檔使用以下資料隔離規則。

應用

當主用戶和工作設定檔中存在相同的應用程式時,應用程式將以其自己的隔離資料為範圍。通常,應用程式獨立運行,無法跨配置文件使用者邊界與實例直接通信,除非它們擁有INTERACT_ACROSS_PROFILES權限或App-ops

帳戶

工作設定檔中的帳戶對於主使用者來說是唯一的,並且無法跨設定檔使用者邊界存取憑證。只有各自上下文中的應用程式才能存取各自的帳戶。

意圖

管理員控制是否在工作設定檔中解析意圖。預設情況下,工作設定檔中的應用程式的範圍僅限於裝置原則 API 的工作設定檔例外範圍內。

裝置識別符

在具有工作設定檔的個人裝置上,Android 12 或更高版本刪除了對裝置硬體識別碼(IMEI、MEID、序號)的存取權限,並提供了唯一的、特定於註冊的 ID ,用於標識特定組織的工作設定檔註冊。確保註冊 ID 在恢復出廠設定後保持穩定,從而能夠對具有工作設定檔的設備進行可靠的庫存追蹤。

具有工作設定檔的個人擁有的設備必須使用特定於註冊的 ID;本公司擁有的設備(包括工作設定檔和完全託管的設備)也可以選擇使用該 ID。要使用註冊特定 ID,EMM 必須為其管理的每個裝置設定組織 ID ,之後他們可以讀取該裝置上的註冊特定 ID 並將其作為序號處理。有關更多詳細信息,請參閱工作資料的安全和隱私增強功能

設定

設定強制執行的範圍僅限於工作設定文件,但鎖定螢幕和加密設定除外,這些設定的範圍僅限於裝置並在主使用者和工作設定檔之間共用。除了這些例外情況之外,設定檔擁有者在工作設定檔之外沒有設備管理員權限。

具有工作設定檔的設備上的設備管理

Android 5.0 及更高版本支援使用DevicePolicyManager類別對自帶裝置 (BYOD) 個人裝置上的工作設定檔進行裝置管理。此外,Android 11 在公司自有裝置上引入了工作設定檔的概念。對於 BYOD 和公司擁有的設備情況,工作配置文件內的設備管理功能保持相同,但是公司擁有的設備上的工作配置文件可能提供其他功能/策略,例如installSystemUpdatesetScreenCaptureDisabledsetPersonalAppsSuspended ,這些功能/策略可以擴展管理策略的實施超出某些設備範圍策略的工作設定檔。

  • 個人設備上的工作設定檔 (BYOD):該設備是個人設備,包含由與雇主關聯的 IT 管理員管理的工作設定檔。

  • 公司自有設備上的工作設定檔:該設備由雇主提供/擁有,並包含由與雇主關聯的 IT 管理員管理的工作設定檔。應用程式可以呼叫isOrganizationOwnedDeviceWithManagedProfile()來確定裝置是否已配置為具有託管設定檔的組織擁有的裝置。

有關工作設定檔建立和設備策略 API 使用的更多信息,請參閱建立工作設定檔

個人資料所有者

建立工作設定檔時,裝置原則用戶端 (DPC) 應用程式將充當設定檔擁有者。 DPC 用戶端應用程式通常由企業行動管理 (EMM) 合作夥伴(例如 Google Apps Device Policy)提供,並且在設定為設定檔擁有者時能夠執行政策。工作設定檔具有標記的應用程式實例,這些實例在視覺上與個人應用程式實例不同;該徽章將應用程式標識為工作應用程式。 EMM 只能控制工作設定檔(工作應用程式和資料),而無法控制個人空間。設備策略僅在工作設定檔上強制執行,但有一些例外,例如強制執行適用於整個裝置的鎖定畫面。

工作資料使用者體驗

Android 9 或更高版本在工作設定檔和 Android 平台之間建立了更緊密的集成,使用戶可以更輕鬆地將工作資訊和個人資訊在裝置上分開。工作設定檔變更顯示在啟動器中,並在託管裝置上提供一致的使用者體驗。

使用者可以從設定或快速設定選單切換工作設定檔。在 Android 9 或更高版本中,裝置實作可能會在工作標籤頁腳中包含一個切換開關,供使用者啟用或停用工作設定檔。切換工作設定檔是異步完成的,並應用於所有有效的使用者設定檔;此過程由WorkModeSwitch類別控制。

帶有應用程式托盤的設備

在 Android 9 或更高版本中,Launcher3 的工作設定檔 UX 變更可協助使用者維護單獨的個人設定檔和工作設定檔。應用程式抽屜提供選項卡式視圖,以區分個人設定檔應用程式和工作設定檔應用程式。當使用者第一次查看工作設定檔標籤時,他們會看到一個教育視圖,以幫助他們導航工作設定檔。

使用者可以使用應用程式抽屜頂部的設定檔標籤或類似的使用者介面在不同的設定檔視圖之間切換:


圖 1.個人選項卡視圖

圖 2.工作標籤視圖,工作設定檔切換

選項卡式視圖作為AllAppsContainerView Launcher3 類別的一部分實作。有關選項卡式設定檔指示器的參考實現,請參閱PersonalWorkSlidingTabStrip類別。

帶有工作選項卡的設備中的用戶教育訊息

Android 9 或更高版本支援教育視圖,告知使用者工作標籤的用途以及如何使工作應用程式更易於存取。使用Launcher3,當使用者第一次開啟工作標籤時,可以在工作標籤畫面中顯示教育視圖,如下所示:

教育觀

圖 3.教育視圖

沒有應用程式托盤的設備

對於沒有應用程式托盤的啟動器,建議繼續在工作資料夾中放​​置工作設定檔應用程式的捷徑。

自訂啟動器實作可以使用getProfiles()getActivityList()來擷取具有工作設定檔使用者的啟動器圖示的應用程式清單。

在實現工作資料夾的裝置中,使用者可以透過開啟工作資料夾來存取工作設定檔應用程式:


圖 4.關閉的工作資料夾

圖 5.開啟的工作資料夾

具有工作資料夾的裝置中的使用者教育訊息

對於沒有應用程式托盤的啟動器,其中工作資料夾包含工作應用程序,當使用者第一次打開工作資料夾時,工作設定檔教育訊息可能會以可關閉工具提示的形式顯示:

可關閉的工具提示

圖 3.可關閉的工具提示

驗證工作設定檔使用者體驗

測試工作設定檔使用者體驗最簡單的方法是使用測試 DPC 應用程式設定工作設定檔。以下步驟說明如何在個人裝置上設定工作設定檔(BYOD 場景):

  1. 首先將裝置恢復原廠設置,然後使用個人 Google 帳戶完成個人資料設置,或使用具有個人資料的裝置作為起點。

  2. 從 Google Play 商店安裝測試 DPC應用程式。

  3. 打開啟動器或應用程式抽屜,然後選擇「設定測試 DPC」

  4. 請依照螢幕上的指示設定工作設定檔:


    圖 4.設定工作設定檔


    圖 5.新增帳戶


    圖 6.設定完成

  5. 打開啟動器或應用程式抽屜並驗證工作標籤是否存在並且包含工作設定檔頁腳。替代設備製造商實作可以包含工作資料夾而不是工作選項卡。

  6. 透過確認工作設定檔應用程式(帶有公文包徽章的應用程式)按預期啟用和停用,驗證您是否可以從「快速設定」(或多個設定)切換工作設定檔。在某些裝置實作中,當工作設定檔被停用時,工作應用程式可能會變灰,而其他裝置(例如具有工作標籤的實作)可能會顯示一個覆蓋層,其中包含一則訊息,通知工作設定檔已關閉。下圖顯示了實現工作標籤的裝置上啟用和停用的工作設定檔的範例:


    圖 7.打開,工作設定檔已啟用

    圖 8.關閉,工作設定檔已停用

工作資料應用徽章

在 Android 9 或更高版本中,出於輔助功能的原因,工作徽章的顏色為藍色 (#1A73E8),而不是橙色。