Utilizzare i profili di lavoro

Un profilo di lavoro è un profilo gestito che ha dati app separati dal profilo dell'utente principale, ma condivide alcune impostazioni a livello di sistema, ad esempio Wi-Fi e Bluetooth. L'obiettivo principale di un profilo di lavoro è creare un container separato e sicuro per i dati gestiti. L'amministratore di un profilo di lavoro ha il controllo completo su ambito, traffico in entrata, uscita e durata dei dati. Di seguito sono riportate alcune caratteristiche dei profili di lavoro:

  • Creazione. Qualsiasi app dell'utente principale può creare un profilo di lavoro. L'utente viene avvisato dei comportamenti del profilo di lavoro e dell'applicazione dei criteri prima della creazione.

  • Gestione. Le app note come proprietari di profili possono invocare programmaticamente le API nella classe DevicePolicyManager per limitare l'utilizzo. I proprietari dei profili vengono definiti durante la configurazione iniziale del profilo. I criteri specifici per i profili di lavoro riguardano le limitazioni delle app, l'aggiornabilità e i comportamenti degli intent.

  • Trattamento visivo. Le app, le notifiche e i widget del profilo lavorativo sono contrassegnati da un badge e in genere vengono resi disponibili in linea con gli elementi dell'interfaccia utente (UI) dell'utente principale.

Dettagli sull'implementazione

I profili di lavoro vengono implementati come utenti secondari, in modo che le app in esecuzione nel profilo di lavoro abbiano un UID di uid = 100000 \* userid + appid. Questi profili hanno dati dell'app separati (/data/user/userid), come per gli utenti principali.

AccountManagerService gestisce un elenco separato di account per ogni utente. Le differenze tra un account utente con profilo di lavoro e un normale account utente secondario includono quanto segue:

  • Il profilo di lavoro è associato all'utente principale e viene avviato con l'utente primario all'avvio.

  • Le notifiche per i profili di lavoro vengono attivate da ActivityManagerService, consentendo al profilo di lavoro di condividere lo stack delle attività con l'utente principale.

  • Altri servizi di sistema condiviso includono IME, servizi A11Y, Wi-Fi e NFC.

  • Le API Avvio consentono agli Avvio di mostrare le app con badge e i widget inseriti nella lista consentita nel profilo di lavoro accanto alle app nel profilo principale senza cambiare utente.

Separazione dei dati

I profili di lavoro utilizzano le seguenti regole di segregazione dei dati.

App

Quando la stessa app esiste nel profilo dell'utente principale e nel profilo di lavoro, le app vengono incluse nell'ambito con i propri dati segregati. In genere, le app agiscono in modo indipendente e non possono comunicare direttamente con le istanze oltre il confine tra profilo e utente, a meno che non dispongano dell'autorizzazione INTERACT_ACROSS_PROFILES o di App-ops.

Account

Gli account nel profilo di lavoro sono univoci rispetto all'utente principale e non è possibile accedere alle credenziali attraverso i confini profilo-utente. Solo le app nel rispettivo contesto sono in grado di accedere ai rispettivi account.

Situazioni

L'amministratore controlla se gli intent vengono risolti all'interno o all'esterno del profilo di lavoro. Per impostazione predefinita, le app del profilo di lavoro sono limitate a rimanere nell'eccezione del profilo di lavoro dell'API Device Policy.

Identificatori dispositivo

Sui dispositivi personali con un profilo di lavoro, Android 12 o versioni successive rimuove l'accesso agli identificatori hardware del dispositivo (IMEI, MEID, numero di serie) e fornisce un ID univoco di registrazione che identifica la registrazione al profilo di lavoro per una specifica organizzazione. L'ID registrazione rimane stabile durante i ripristini dei dati di fabbrica, consentendo un monitoraggio dell'inventario affidabile dei dispositivi con profili di lavoro.

I dispositivi di proprietà personale con un profilo di lavoro devono utilizzare l'ID specifico per la registrazione. Anche i dispositivi di proprietà dell'azienda, inclusi il profilo di lavoro e i dispositivi completamente gestiti, possono attivare l'utilizzo dell'ID. Per utilizzare l'ID specifico per la registrazione, i provider EMM devono impostare l'ID organizzazione per ogni dispositivo che gestiscono, dopodiché potranno leggerlo su quel dispositivo e gestirlo come numero di serie. Per maggiori dettagli, consulta Miglioramenti alla sicurezza e alla privacy per il profilo di lavoro.

Impostazioni

L'applicazione delle impostazioni è limitata al profilo di lavoro, ad eccezione delle impostazioni della schermata di blocco e della crittografia che sono limitate al dispositivo e condivise tra l'utente principale e il profilo di lavoro. Ad eccezione di queste eccezioni, il proprietario di un profilo non dispone dei privilegi amministrativi del dispositivo esterni al profilo di lavoro.

Gestione dei dispositivi sui dispositivi con un profilo di lavoro

Android 5.0 e versioni successive supporta la gestione dei dispositivi per i profili di lavoro sui dispositivi personali BYOD (Bring Your Own Device) utilizzando la classe DevicePolicyManager. Inoltre, Android 11 ha introdotto il concetto di profili di lavoro sui dispositivi di proprietà dell'azienda. La funzionalità di gestione dei dispositivi all'interno del profilo di lavoro rimane invariata sia per i casi BYOD sia per i dispositivi di proprietà dell'azienda, tuttavia i profili di lavoro sui dispositivi di proprietà dell'azienda potrebbero fornire funzionalità/criteri aggiuntivi, come installSystemUpdate, setScreenCaptureDisabled e setPersonalAppsSuspended, che possono estendere l'applicazione dei criteri amministrativi oltre il profilo di lavoro per determinati criteri a livello di dispositivo.

  • Profilo di lavoro su un dispositivo personale (BYOD): il dispositivo è un dispositivo personale e contiene un profilo di lavoro gestito da un amministratore IT associato al datore di lavoro.

  • Profilo di lavoro su un dispositivo di proprietà dell'azienda: il dispositivo è fornito o di proprietà dell' datore di lavoro e contiene un profilo di lavoro gestito da un amministratore IT associato all' datore di lavoro. Le app possono chiamare isOrganizationOwnedDeviceWithManagedProfile() per determinare se è stato eseguito il provisioning del dispositivo come dispositivo di proprietà dell'organizzazione con un profilo gestito.

Per ulteriori informazioni sulla creazione del profilo di lavoro e sull'utilizzo dell'API dei criteri relativi ai dispositivi, consulta Creare un profilo di lavoro.

Proprietari del profilo

Un'app Device Policy Client (DPC) funge da proprietario del profilo quando viene creato un profilo di lavoro. L'app client DPC viene in genere fornita da un partner di gestione della mobilità aziendale (EMM), come Google Apps Device Policy, ed è in grado di applicare i criteri quando viene impostata come proprietario del profilo. Il profilo di lavoro ha istanze con badge di app che sono visivamente distinte dalle istanze personali delle app. Il badge identifica un'app come app di lavoro. L'EMM ha il controllo solo sul profilo di lavoro (app e dati di lavoro) e non sullo spazio personale. Le norme del dispositivo vengono applicate solo al profilo di lavoro, con alcune eccezioni, ad esempio l'applicazione della schermata di blocco, che è applicabile a tutto il dispositivo.

Esperienza utente del profilo di lavoro

Android 9 o versioni successive crea un'integrazione più stretta tra i profili di lavoro e la piattaforma Android, consentendo agli utenti di mantenere più facilmente separate le informazioni di lavoro e personali sui propri dispositivi. Le modifiche al profilo di lavoro vengono visualizzate in Avvio app e offrono un'esperienza utente coerente su tutti i dispositivi gestiti.

Gli utenti possono attivare/disattivare il profilo di lavoro dalle impostazioni o dal menu Impostazioni rapide. In Android 9 o versioni successive, le implementazioni dei dispositivi potrebbero includere un pulsante di attivazione/disattivazione nel piè di pagina della scheda Lavoro per consentire agli utenti di attivare o disattivare il profilo di lavoro. L'attivazione/la disattivazione del profilo di lavoro viene eseguita in modo asincrono e applicata a tutti i profili utente validi. Questo processo è controllato dalla classe WorkModeSwitch.

Dispositivi con una barra delle app

In Android 9 o versioni successive, le modifiche all'esperienza utente del profilo di lavoro per Avvio app 3 aiutano gli utenti a mantenere separati i profili personali e di lavoro. Il riquadro a scomparsa delle app ha una visualizzazione a schede per distinguere le app del profilo personale da quelle del profilo di lavoro. Quando gli utenti visualizzano per la prima volta la scheda del profilo di lavoro, viene visualizzata una visualizzazione informativa per aiutarli a navigare nel profilo di lavoro.

Gli utenti possono passare da una visualizzazione del profilo all'altra utilizzando le schede del profilo o un'interfaccia utente simile nella parte superiore del riquadro a scomparsa delle app:


Figura 1. Visualizzazione scheda Personale

Figura 2. Visualizzazione della scheda Lavoro, pulsante di attivazione/disattivazione del profilo di lavoro

La visualizzazione a schede è implementata nell'ambito della classe AllAppsContainerView Launcher3. Per un'implementazione di riferimento dell'indicatore del profilo con schede, consulta la classe PersonalWorkSlidingTabStrip.

Messaggio didattico per gli utenti nei dispositivi con una scheda Lavoro

Android 9 o versioni successive supporta una visualizzazione informativa che illustra agli utenti scopo della scheda Lavoro e come semplificare l'accesso alle app di lavoro. Con Avvio app 3, una visualizzazione informativa può essere mostrata nella schermata della scheda Lavoro quando gli utenti aprono per la prima volta la scheda, come mostrato nella figura:

Visualizzazione formativa

Figura 3. Visualizzazione formativa

Dispositivi senza una barra delle app

Per le app Avvio app senza barra delle app, si consiglia di continuare a inserire scorciatoie per le app del profilo di lavoro nella cartella di lavoro.

Le implementazioni personalizzate di Avvio app possono utilizzare getProfiles() e getActivityList() per recuperare un elenco di app con un'icona Avvio app per l'utente del profilo di lavoro.

Nei dispositivi che implementano una cartella di lavoro, gli utenti possono accedere alle app del profilo di lavoro aprendo la cartella di lavoro:


Figura 4. Cartella di lavoro chiusa

Figura 5. Cartella di lavoro aperta

Messaggio di istruzione per gli utenti nei dispositivi con una cartella di lavoro

Per gli Avvio app senza una sezione App, se una cartella di lavoro contiene app di lavoro, il messaggio informativo sul profilo di lavoro potrebbe essere visualizzato sotto forma di una descrizione comando ignorabile quando l'utente apre la cartella di lavoro per la prima volta:

Descrizione comando ignorabile

Figura 3. Descrizione comando ignorabile

Convalidare l'esperienza utente del profilo di lavoro

Il modo più semplice per testare l'esperienza utente del profilo di lavoro è configurare un profilo di lavoro utilizzando l'app Test DPC. I passaggi riportati di seguito descrivono come configurare un profilo di lavoro su un dispositivo personale (scenario BYOD):

  1. Inizia con un dispositivo di cui sono stati ripristinati i dati di fabbrica e completa la configurazione del profilo personale utilizzando un Account Google personale oppure, in alternativa, utilizza un dispositivo con un profilo personale come punto di partenza.

  2. Installa l'app DPC di test dal Google Play Store.

  3. Apri Avvio app o il riquadro a scomparsa delle app e seleziona Configura DPC di prova.

  4. Segui le istruzioni sullo schermo per configurare un profilo di lavoro:


    Figura 4. Configura il profilo di lavoro


    Figura 5. Aggiungi account


    Figura 6. Configurazione completata

  5. Apri Avvio app o il riquadro delle app e verifica che la scheda Lavoro sia presente e contenga un piè di pagina del profilo di lavoro. Le implementazioni dei produttori di dispositivi alternativi possono contenere una cartella di lavoro anziché una scheda di lavoro.

  6. Verifica di poter attivare/disattivare il profilo di lavoro dalle Impostazioni rapide (o dalle Impostazioni) confermando che le app del profilo di lavoro (app con il badge a forma di valigetta) siano attivate e disattivate come previsto. In alcune implementazioni del dispositivo, le app di lavoro potrebbero non essere selezionabili quando il profilo di lavoro è disattivato, mentre in altre, come le implementazioni con una scheda Lavoro, potrebbe essere visualizzato un overlay con un messaggio che informa che il profilo di lavoro è disattivato. Le figure seguenti mostrano esempi di profili di lavoro attivati e disattivati su un dispositivo che implementa una scheda Lavoro:


    Figura 7. Pulsante di attivazione/disattivazione attivo, profilo di lavoro abilitato

    Figura 8. Disattiva, profilo di lavoro disattivato

Badge dell'app del profilo di lavoro

In Android 9 o versioni successive, per motivi di accessibilità, il colore del badge del lavoro è blu (#1A73E8) anziché arancione.