Employant des profils de travail

Un profil professionnel est un profil géré qui possède des données d'application distinctes du profil utilisateur principal, mais partage certains paramètres à l'échelle du système, tels que le Wi-Fi et le Bluetooth. L'objectif principal d'un profil professionnel est de créer un conteneur séparé et sécurisé pour contenir les données gérées. L'administrateur d'un profil professionnel a un contrôle total sur la portée, l'entrée, la sortie et la durée de vie des données. Voici quelques caractéristiques des profils de travail :

  • Création. Toute application de l'utilisateur principal peut créer un profil professionnel. L'utilisateur est informé des comportements du profil professionnel et de l'application des règles avant la création.

  • La gestion. Les applications appelées propriétaires de profil peuvent invoquer par programme des API dans la classe DevicePolicyManager pour restreindre l'utilisation. Les propriétaires de profil sont définis lors de la configuration initiale du profil. Les politiques propres aux profils professionnels impliquent des restrictions d'application, la possibilité de mise à jour et des comportements d'intention.

  • Traitement visuel. Les applications, les notifications et les widgets du profil professionnel portent un badge et sont généralement mis à disposition en ligne avec les éléments de l'interface utilisateur (UI) de l'utilisateur principal.

Détails d'implémentation

Les profils professionnels sont implémentés en tant qu'utilisateurs secondaires, de sorte que les applications exécutées dans le profil professionnel ont un UID de uid = 100000 \* userid + appid . Ces profils ont des données d'application distinctes ( /data/user/userid ), similaires aux utilisateurs principaux.

AccountManagerService gère une liste de comptes distincte pour chaque utilisateur. Les différences de compte entre un utilisateur de profil professionnel et un utilisateur secondaire standard sont les suivantes :

  • Le profil professionnel est associé à son utilisateur parent et est démarré avec l'utilisateur principal au démarrage.

  • Les notifications pour les profils professionnels sont activées par ActivityManagerService , ce qui permet au profil professionnel de partager la pile d'activités avec l'utilisateur principal.

  • Les services système partagés supplémentaires incluent les services IME, A11Y, Wi-Fi et NFC.

  • Les API de lancement permettent aux lanceurs d'afficher les applications portant un badge et les widgets autorisés du profil professionnel à côté des applications du profil principal sans changer d'utilisateur.

Ségrégation des données

Les profils professionnels utilisent les règles de séparation des données suivantes.

applications

Lorsque la même application existe dans l'utilisateur principal et le profil professionnel, les applications sont délimitées avec leurs propres données séparées. En règle générale, les applications agissent de manière indépendante et ne peuvent pas communiquer directement avec les instances au-delà de la limite profil-utilisateur à moins qu'elles ne détiennent l'autorisation INTERACT_ACROSS_PROFILES ou App-ops .

Comptes

Les comptes du profil professionnel sont uniques à partir de l'utilisateur principal et les informations d'identification ne sont pas accessibles au-delà de la limite profil-utilisateur. Seules les applications dans leur contexte respectif peuvent accéder à leurs comptes respectifs.

Intentions

L'administrateur contrôle si les intents sont résolus dans ou hors du profil professionnel. Par défaut, les applications du profil professionnel sont limitées à l'exception de profil professionnel de l'API Device Policy.

Identificateurs d'appareil

Sur les appareils personnels avec un profil professionnel, Android 12 ou version ultérieure supprime l'accès aux identifiants matériels de l'appareil (IMEI, MEID, numéro de série) et fournit un identifiant unique, spécifique à l'inscription , qui identifie l'inscription au profil professionnel pour une organisation spécifique. L'ID d'inscription est garanti pour rester stable lors des réinitialisations d'usine, ce qui permet un suivi fiable de l'inventaire des appareils avec des profils professionnels.

Les appareils personnels avec un profil professionnel doivent utiliser l'ID spécifique à l'inscription ; Les appareils appartenant à l'entreprise, y compris les appareils de profil professionnel et entièrement gérés, peuvent également choisir d'utiliser l'ID. Pour utiliser l'ID spécifique à l'inscription, les EMM doivent définir l' ID de l'organisation pour chaque appareil qu'ils gèrent, après quoi ils peuvent lire l'ID spécifique à l'inscription sur cet appareil et le traiter comme un numéro de série. Pour plus de détails, consultez Améliorations de la sécurité et de la confidentialité pour le profil professionnel .

Réglages

L'application des paramètres est limitée au profil professionnel, avec des exceptions pour les paramètres d'écran de verrouillage et de cryptage qui sont limités à l'appareil et partagés entre l'utilisateur principal et le profil professionnel. Hormis ces exceptions, un propriétaire de profil ne dispose pas de privilèges d'administrateur d'appareil en dehors du profil professionnel.

Gestion des appareils sur les appareils avec un profil professionnel

Android 5.0 et versions ultérieures prennent en charge la gestion des appareils pour les profils professionnels sur les appareils personnels Bring Your Own Device (BYOD) à l'aide de la classe DevicePolicyManager . De plus, Android 11 a introduit le concept de profils professionnels sur les appareils appartenant à l'entreprise. La capacité de gestion des appareils à l'intérieur du profil professionnel reste la même pour les appareils BYOD et appartenant à l'entreprise, mais les profils professionnels sur les appareils appartenant à l'entreprise peuvent fournir des fonctionnalités/politiques supplémentaires, telles que installSystemUpdate , setScreenCaptureDisabled et setPersonalAppsSuspended , qui peuvent étendre l'application des politiques d'administration au-delà du profil professionnel pour certaines politiques applicables à l'ensemble de l'appareil.

  • Profil professionnel sur un appareil personnel (BYOD) : l'appareil est un appareil personnel et contient un profil professionnel géré par un administrateur informatique associé à l'employeur.

  • Profil professionnel sur un appareil appartenant à l'entreprise : l'appareil est fourni/détenu par l'employeur et contient un profil professionnel géré par un administrateur informatique associé à l'employeur. Les applications peuvent appeler isOrganizationOwnedDeviceWithManagedProfile() pour déterminer si l'appareil a été provisionné en tant qu'appareil appartenant à l'organisation avec un profil géré.

Pour plus d'informations sur la création d'un profil professionnel et l'utilisation de l'API Device Policy, consultez Créer un profil professionnel .

Propriétaires de profil

Une application Device Policy Client (DPC) fonctionne comme propriétaire du profil lorsqu'un profil professionnel est créé. L'application cliente DPC est généralement fournie par un partenaire de gestion de la mobilité d'entreprise (EMM), tel que Google Apps Device Policy, et est capable d'appliquer des politiques lorsqu'elle est définie en tant que propriétaire du profil. Le profil professionnel comporte des instances d'applications portant un badge qui sont visuellement distinctes des instances personnelles d'applications ; le badge identifie une application en tant qu'application professionnelle. L'EMM contrôle uniquement le profil professionnel (applications et données professionnelles) et non l'espace personnel. Les politiques de l'appareil sont appliquées uniquement sur le profil professionnel à quelques exceptions près, telles que l'application de l'écran de verrouillage qui s'applique à l'ensemble de l'appareil.

Expérience utilisateur du profil professionnel

Android 9 ou supérieur crée une intégration plus étroite entre les profils professionnels et la plate-forme Android, ce qui permet aux utilisateurs de séparer plus facilement leurs informations professionnelles et personnelles sur leurs appareils. Les modifications apportées au profil professionnel apparaissent dans le lanceur et offrent une expérience utilisateur cohérente sur tous les appareils gérés.

Les utilisateurs peuvent basculer le profil de travail à partir des paramètres ou du menu des paramètres rapides. Dans Android 9 ou version ultérieure, les implémentations d'appareils peuvent inclure une bascule dans le pied de page de l'onglet professionnel permettant aux utilisateurs d'activer ou de désactiver le profil professionnel. Le basculement du profil professionnel s'effectue de manière asynchrone et s'applique à tous les profils utilisateur valides ; ce processus est contrôlé par la classe WorkModeSwitch .

Appareils avec une barre d'applications

Dans Android 9 ou version ultérieure, les modifications de l'UX du profil professionnel pour Launcher3 aident les utilisateurs à conserver des profils personnels et professionnels distincts. Le tiroir des applications fournit une vue à onglets pour distinguer les applications de profil personnel des applications de profil professionnel. Lorsque les utilisateurs consultent l'onglet Profil professionnel pour la première fois, une vue pédagogique leur est présentée pour les aider à naviguer dans le profil professionnel.

Les utilisateurs peuvent basculer entre les différentes vues de profil en utilisant les onglets de profil ou une interface utilisateur similaire en haut du tiroir de l'application :


Figure 1. Affichage de l'onglet Personnel

Figure 2. Affichage de l'onglet Travail, basculement du profil professionnel

La vue à onglets est implémentée dans le cadre de la classe AllAppsContainerView Launcher3. Pour une implémentation de référence de l'indicateur de profil à onglets, reportez-vous à la classe PersonalWorkSlidingTabStrip .

Message d'éducation de l'utilisateur dans les appareils avec un onglet de travail

Android 9 ou supérieur prend en charge une vue éducative qui informe les utilisateurs de l'objectif de l'onglet professionnel et de la manière dont ils peuvent faciliter l'accès aux applications professionnelles. À l'aide de Launcher3, une vue éducative peut être affichée dans l'écran de l'onglet de travail lorsque les utilisateurs ouvrent l'onglet de travail pour la première fois, comme illustré ci-dessous :

Vue pédagogique

Figure 3. Vue pédagogique

Appareils sans barre d'applications

Pour les lanceurs sans barre d'applications, il est recommandé de continuer à placer des raccourcis vers les applications de profil professionnel dans le dossier de travail.

Les implémentations de lanceur personnalisées peuvent utiliser getProfiles() et getActivityList() pour récupérer une liste d'applications avec une icône de lanceur pour l'utilisateur du profil professionnel.

Sur les appareils qui implémentent un dossier professionnel, les utilisateurs peuvent accéder aux applications de profil professionnel en ouvrant le dossier professionnel :


Figure 4. Dossier de travail fermé

Figure 5. Dossier de travail ouvert

Message de formation de l'utilisateur sur les appareils avec un dossier de travail

Pour les lanceurs sans barre d'applications, lorsqu'un dossier de travail contient des applications professionnelles, le message de formation au profil professionnel peut s'afficher sous la forme d'une info-bulle pouvant être masquée lorsque l'utilisateur ouvre le dossier de travail pour la première fois :

Info-bulle pouvant être ignorée

Figure 3. Info-bulle pouvant être ignorée

Validation de l'expérience utilisateur du profil professionnel

Le moyen le plus simple de tester l'expérience utilisateur du profil professionnel consiste à configurer un profil professionnel à l'aide de l'application Test DPC. Les étapes suivantes décrivent comment configurer un profil professionnel sur un appareil personnel (scénario BYOD) :

  1. Commencez avec un appareil réinitialisé aux paramètres d'usine et terminez la configuration du profil personnel à l'aide d'un compte Google personnel ou utilisez un appareil avec un profil personnel comme point de départ.

  2. Installez l'application Test DPC à partir du Google Play Store.

  3. Ouvrez le lanceur ou le tiroir de l'application et sélectionnez Configurer le test DPC .

  4. Suivez les instructions à l'écran pour configurer un profil professionnel :


    Figure 4. Configurer le profil professionnel


    Figure 5. Ajouter des comptes


    Figure 6. Configuration terminée

  5. Ouvrez le lanceur ou le tiroir d'applications et vérifiez que l'onglet Travail est présent et contient un pied de page de profil professionnel. Les implémentations alternatives des fabricants d'appareils peuvent contenir un dossier de travail au lieu d'un onglet de travail.

  6. Vérifiez que vous pouvez basculer le profil professionnel à partir des paramètres rapides (ou des paramètres) en confirmant que les applications de profil professionnel (applications avec le badge porte-documents) sont activées et désactivées comme prévu. Dans certaines implémentations d'appareils, les applications professionnelles peuvent être grisées lorsque le profil professionnel est désactivé, tandis que d'autres, telles que les implémentations avec un onglet professionnel, peuvent afficher une superposition avec un message informant que le profil professionnel est désactivé. Les figures suivantes montrent des exemples de profils professionnels activés et désactivés sur un appareil qui implémente un onglet professionnel :


    Figure 7. Activer, profil professionnel activé

    Figure 8. Désactiver, profil professionnel désactivé

Badge d'application de profil professionnel

Sous Android 9 ou supérieur, pour des raisons d'accessibilité, la couleur du badge professionnel est bleue (#1A73E8) au lieu d'orange.