Cómo usar perfiles de trabajo

Un perfil de trabajo es un perfil administrado que tiene datos de app independientes del perfil de usuario principal, pero comparte algunas opciones de configuración de todo el sistema, como Wi-Fi y Bluetooth. El objetivo principal de un perfil de trabajo es crear un contenedor segregado y seguro para almacenar los datos administrados. El administrador de un perfil de trabajo tiene control total sobre el alcance, la entrada, la salida y la vida útil de los datos. A continuación, se muestran algunas características de los perfiles de trabajo:

  • Creación. Cualquier app del usuario principal puede crear un perfil de trabajo. El usuario recibe una notificación sobre los comportamientos del perfil de trabajo y la aplicación de la política antes de la creación.

  • Administración. Las apps conocidas como propietarios de perfiles pueden invocar de forma programática las APIs en la clase DevicePolicyManager para restringir el uso. Los propietarios de los perfiles se definen en la configuración inicial del perfil. Las políticas exclusivas de los perfiles de trabajo implican restricciones de apps, capacidad de actualización y comportamientos de intents.

  • Tratamiento visual. Las apps, las notificaciones y los widgets del perfil de trabajo tienen insignias y, por lo general, están disponibles intercalados con los elementos de la interfaz de usuario (IU) del usuario principal.

Detalles de implementación

Los perfiles de trabajo se implementan como usuarios secundarios, de modo que las apps que se ejecutan en el perfil de trabajo tienen un UID de uid = 100000 \* userid + appid. Estos perfiles tienen datos de apps separados (/data/user/userid), similares a los usuarios principales.

AccountManagerService mantiene una lista de cuentas independiente para cada usuario. Estas son algunas de las diferencias entre las cuentas de un usuario con perfil de trabajo y las de un usuario secundario normal:

  • El perfil de trabajo está asociado con su usuario superior y se inicia con el usuario principal durante el inicio.

  • ActivityManagerService habilita las notificaciones de los perfiles de trabajo, lo que permite que el perfil de trabajo comparta la pila de actividades con el usuario principal.

  • Los servicios adicionales del sistema compartido incluyen los servicios IME, A11Y, Wi-Fi y NFC.

  • Las APIs de Launcher permiten que los selectores muestren apps con insignias y widgets incluidos en la lista de entidades permitidas del perfil de trabajo junto a las apps del perfil principal sin cambiar de usuario.

Segregación de datos

Los perfiles de trabajo usan las siguientes reglas de segregación de datos.

Apps

Cuando la misma app existe en el usuario principal y el perfil de trabajo, las apps se segmentan con sus propios datos. Por lo general, las apps actúan de forma independiente y no pueden comunicarse directamente con instancias a través del límite del perfil del usuario a menos que tengan el permiso INTERACT_ACROSS_PROFILES o App-ops.

Cuentas

Las cuentas del perfil de trabajo son únicas para el usuario principal y no se puede acceder a las credenciales desde el límite del perfil y el usuario. Solo las apps en su respectivo contexto pueden acceder a sus respectivas cuentas.

Intents

El administrador controla si los intents se resuelven dentro o fuera del perfil de trabajo. De forma predeterminada, las apps del perfil de trabajo se definen para permanecer dentro de la excepción del perfil de trabajo de la API de Device Policy.

Identificadores de dispositivos

En dispositivos personales con perfil de trabajo, Android 12 o versiones posteriores quitan el acceso a identificadores de hardware del dispositivo (IMEI, MEID, número de serie) y proporcionan un ID específico de inscripción único que identifica la inscripción del perfil de trabajo para una organización específica. El ID de inscripción se mantiene estable durante el restablecimiento de la configuración de fábrica, lo que permite realizar un seguimiento confiable del inventario de dispositivos con perfiles de trabajo.

Los dispositivos de propiedad personal con un perfil de trabajo deben usar el ID específico de la inscripción. Los dispositivos de la empresa, incluidos el perfil de trabajo y los dispositivos completamente administrados, también pueden habilitar el uso del ID. Para usar el ID específico de inscripción, los EMM deben establecer el ID de la organización para cada dispositivo que administran, después de lo cual pueden leer el ID específico de la inscripción en ese dispositivo y procesarlo como un número de serie. Para obtener más detalles, consulta Mejoras de seguridad y privacidad para el perfil de trabajo.

Configuración

La aplicación forzosa de la configuración se limita al perfil de trabajo, con excepciones para la configuración de la pantalla de bloqueo y la encriptación que se limita al dispositivo y se comparte entre el usuario principal y el perfil de trabajo. A excepción de estas excepciones, el propietario de un perfil no tiene privilegios de administrador de dispositivo fuera del perfil de trabajo.

Administración de dispositivos con perfiles de trabajo

Android 5.0 y versiones posteriores admiten la administración de dispositivos para perfiles de trabajo en dispositivos personales de uso propio (BYOD) con la clase DevicePolicyManager. Además, Android 11 presentó el concepto de perfiles de trabajo en dispositivos de la empresa. La función de administración de dispositivos dentro del perfil de trabajo sigue siendo la misma para los casos de dispositivos BYOD y de propiedad de la empresa. Sin embargo, los perfiles de trabajo en dispositivos de propiedad de la empresa pueden proporcionar capacidades o políticas adicionales, como installSystemUpdate, setScreenCaptureDisabled y setPersonalAppsSuspended, que pueden extender la aplicación forzosa de políticas de administrador más allá del perfil de trabajo para ciertas políticas para todo el dispositivo.

  • Perfil de trabajo en un dispositivo personal (BYOD): El dispositivo es personal y contiene un perfil de trabajo administrado por un administrador de TI asociado con el empleador.

  • Perfil de trabajo en un dispositivo de la empresa: El empleador proporciona o es propietario del dispositivo y contiene un perfil de trabajo administrado por un administrador de TI asociado con el empleador. Las apps pueden llamar a isOrganizationOwnedDeviceWithManagedProfile() para determinar si el dispositivo se aprovisionó como un dispositivo propiedad de una organización con un perfil administrado.

Para obtener más información sobre la creación de perfiles de trabajo y el uso de la API de la política de dispositivos, consulta Cómo crear un perfil de trabajo.

Propietarios del perfil

Una app de cliente de políticas de dispositivos (DPC) funciona como el propietario del perfil cuando se crea un perfil de trabajo. Por lo general, un socio de administración de movilidad empresarial (EMM), como la Política de dispositivos de apps de Google, proporciona la app cliente de DPC y puede aplicar políticas cuando se configura como el propietario del perfil. El perfil de trabajo tiene instancias con insignia de apps que son visualmente distintas de las instancias personales de apps; la insignia identifica a una app como de trabajo. La EMM solo tiene control sobre el perfil de trabajo (apps y datos de trabajo) y no sobre el espacio personal. Las políticas del dispositivo solo se aplican al perfil de trabajo, con algunas excepciones, como la aplicación forzosa de la pantalla de bloqueo, que se aplica a todo el dispositivo.

Experiencia del usuario con perfiles de trabajo

Android 9 o versiones posteriores crean una integración más estrecha entre los perfiles de trabajo y la plataforma de Android, lo que facilita que los usuarios mantengan su información personal y laboral separadas en sus dispositivos. Los cambios en el perfil de trabajo aparecen en el selector y proporcionan una experiencia del usuario coherente en todos los dispositivos administrados.

Los usuarios pueden activar o desactivar el perfil de trabajo desde la configuración o el menú de Configuración rápida. En Android 9 y versiones posteriores, las implementaciones de dispositivos pueden incluir un botón de activación en el pie de página de la pestaña de trabajo para que los usuarios habiliten o inhabiliten el perfil de trabajo. La activación del perfil de trabajo se realiza de forma asíncrona y se aplica a todos los perfiles de usuario válidos. La clase WorkModeSwitch controla este proceso.

Dispositivos con una bandeja de apps

En Android 9 o versiones posteriores, los cambios de la UX del perfil de trabajo para Launcher3 ayudan a los usuarios a mantener perfiles personales y de trabajo separados. El panel lateral de apps proporciona una vista con pestañas para distinguir las apps de perfil personal de las de trabajo. Cuando los usuarios ven la pestaña del perfil de trabajo por primera vez, se les presenta una vista educativa para ayudarlos a navegar por el perfil de trabajo.

Los usuarios pueden alternar entre las diferentes vistas de perfil usando pestañas de perfil o una interfaz de usuario similar en la parte superior del panel lateral de apps:


Figura 1: Vista de la pestaña Personal

Figura 2: Vista de la pestaña de trabajo, botón de activación del perfil de trabajo

La vista con pestañas se implementa como parte de la clase AllAppsContainerView Launcher3. Para obtener una implementación de referencia del indicador de perfil con pestañas, consulta la clase PersonalWorkSlidingTabStrip.

Mensaje de educación para el usuario en dispositivos con una pestaña de trabajo

Android 9 o versiones posteriores admiten una vista educativa que informa a los usuarios el propósito de la pestaña de trabajo y cómo pueden facilitar el acceso a las apps de trabajo. Con Launcher3, se puede mostrar una vista educativa en la pantalla de la pestaña de trabajo cuando los usuarios abren por primera vez esa pestaña, como se muestra en la siguiente figura:

Vista educativa

Figura 3: Vista educativa

Dispositivos sin bandeja de aplicaciones

En el caso de los selectores sin una bandeja de apps, se recomienda seguir colocando accesos directos a las apps del perfil de trabajo en la carpeta de trabajo.

Las implementaciones de selectores personalizados pueden usar getProfiles() y getActivityList() para recuperar una lista de apps con un ícono de selector para el usuario del perfil de trabajo.

En los dispositivos que implementan una carpeta de trabajo, los usuarios pueden acceder a las apps del perfil de trabajo abriendo la carpeta de trabajo:


Figura 4: Carpeta de trabajo cerrada

Figura 5: Carpeta de trabajo abierta

Mensaje de educación del usuario en dispositivos con una carpeta de trabajo

En el caso de los selectores de apps sin bandeja de aplicaciones, en los que una carpeta de trabajo contiene apps de trabajo, el mensaje educativo del perfil de trabajo puede mostrarse en forma de una información sobre herramientas que se puede descartar cuando el usuario abre la carpeta de trabajo por primera vez:

Información sobre la herramienta que se puede descartar

Figura 3: Información sobre la herramienta que se puede descartar

Valida la experiencia del usuario del perfil de trabajo

La forma más sencilla de probar la experiencia del usuario del perfil de trabajo es configurar un perfil de trabajo con la app de Test DPC. En los siguientes pasos, se describe cómo configurar un perfil de trabajo en un dispositivo personal (caso de BYOD):

  1. Comienza con un dispositivo restablecido de fábrica y completa la configuración del perfil personal con una Cuenta de Google personal o, como alternativa, usa un dispositivo con un perfil personal como punto de partida.

  2. Instala la app de Test DPC desde Google Play Store.

  3. Abre el selector o el panel de aplicaciones y selecciona Configurar DPC de prueba.

  4. Sigue las instrucciones en pantalla para configurar un perfil de trabajo:


    Figura 4: Configurar perfil de trabajo


    Figura 5: Agregar cuentas


    Figura 6: Configuración completa

  5. Abre el selector o el panel lateral de apps, y verifica que la pestaña de trabajo esté presente y que contenga un pie de página de perfil de trabajo. Las implementaciones de fabricantes de dispositivos alternativos pueden contener una carpeta de trabajo en lugar de una pestaña de trabajo.

  6. Verifica que puedes activar o desactivar el perfil de trabajo desde la Configuración rápida (o la configuración) confirmando que las apps del perfil de trabajo (las apps con la insignia de maletín) estén habilitadas y deshabilitadas como se espera. En algunas implementaciones de dispositivos, es posible que las apps de trabajo estén inhabilitadas cuando el perfil de trabajo está inhabilitado, mientras que otras, como las implementaciones con una pestaña de trabajo, pueden mostrar una superposición con un mensaje que informa que el perfil de trabajo está desactivado. En las siguientes figuras, se muestran ejemplos de perfiles de trabajo habilitados e inhabilitados en un dispositivo que implementa una pestaña de trabajo:


    Figura 7: Activar, perfil de trabajo habilitado

    Figura 8: Botón de activación desactivado, perfil de trabajo inhabilitado

Insignia de la app del perfil de trabajo

En Android 9 o versiones posteriores, por motivos de accesibilidad, el color de la insignia de trabajo es azul (#1A73E8) en lugar de naranja.