โปรไฟล์งาน

โปรไฟล์งานคือโปรไฟล์ที่มีการจัดการ ซึ่งมีข้อมูลแอปแยกต่างหากจากโปรไฟล์ผู้ใช้หลัก แต่จะแชร์การตั้งค่าบางอย่างทั้งระบบ เช่น Wi-Fi และบลูทูธ เป้าหมายหลักของโปรไฟล์งานคือการสร้างคอนเทนเนอร์ที่แยกส่วนและปลอดภัยเพื่อเก็บข้อมูลที่มีการจัดการ ผู้ดูแลระบบของโปรไฟล์งานมีสิทธิ์ควบคุมขอบเขต การรับส่ง และอายุของข้อมูลได้อย่างเต็มที่ ต่อไปนี้คือลักษณะเฉพาะ ของโปรไฟล์งาน

• การสร้าง แอปใดก็ได้ในผู้ใช้หลักสามารถสร้างโปรไฟล์งานได้ ผู้ใช้จะได้รับการแจ้งเตือนเกี่ยวกับลักษณะการทํางานของโปรไฟล์งานและการบังคับใช้นโยบายก่อนการสร้าง

• การจัดการ แอปที่เรียกว่าเจ้าของโปรไฟล์สามารถเรียกใช้ API ในคลาส DevicePolicyManager แบบเป็นโปรแกรมเพื่อจำกัดการใช้งาน เจ้าของโปรไฟล์จะกำหนดไว้เมื่อตั้งค่าโปรไฟล์ครั้งแรก นโยบายเฉพาะสำหรับโปรไฟล์งานนั้นเกี่ยวข้องกับข้อจำกัดของแอป ความสามารถในการอัปเดต และลักษณะการทำงานของ Intent

• การปรับภาพ แอป การแจ้งเตือน และวิดเจ็ตจากโปรไฟล์งานจะมีป้ายกำกับและมักจะแสดงพร้อมกับองค์ประกอบอินเทอร์เฟซผู้ใช้ (UI) จากผู้ใช้หลัก

รายละเอียดการติดตั้งใช้งาน

ระบบจะใช้โปรไฟล์งานเป็นผู้ใช้รอง เช่น แอปที่ทำงานในโปรไฟล์งานจะมี UID uid = 100000 \* userid + appid โปรไฟล์เหล่านี้จะมีข้อมูลแอปแยกต่างหาก (/data/user/userid) คล้ายกับผู้ใช้หลัก

AccountManagerService จะเก็บรายการบัญชีแยกกันสำหรับผู้ใช้แต่ละราย ความแตกต่างของบัญชีระหว่างผู้ใช้โปรไฟล์งานกับผู้ใช้รองทั่วไปมีดังนี้

• โปรไฟล์งานจะเชื่อมโยงกับผู้ใช้หลัก และเริ่มกับผู้ใช้หลักเมื่อเปิดเครื่อง

• ActivityManagerService เปิดใช้การแจ้งเตือนสำหรับโปรไฟล์งาน ซึ่งทำให้โปรไฟล์งานแชร์กองงานกับผู้ใช้หลักได้

• บริการระบบที่แชร์เพิ่มเติม ได้แก่ IME, บริการ A11Y, Wi-Fi และ NFC

• Launcher API ช่วยให้ตัวเปิดแอปแสดงแอปที่มีป้ายและวิดเจ็ตในรายการที่อนุญาตจากโปรไฟล์งานข้างแอปในโปรไฟล์หลักได้โดยไม่ต้องเปลี่ยนผู้ใช้

การแยกข้อมูล

โปรไฟล์งานใช้กฎการแยกข้อมูลต่อไปนี้

แอป

เมื่อมีแอปเดียวกันในโปรไฟล์ผู้ใช้หลักและโปรไฟล์งาน ระบบจะกำหนดขอบเขตแอปด้วยข้อมูลที่แยกต่างหากของแอปนั้นๆ โดยทั่วไป แอปจะทํางานอย่างอิสระและไม่สามารถสื่อสารกับอินสแตนซ์ในขอบเขตผู้ใช้โปรไฟล์ได้โดยตรง เว้นแต่จะมีINTERACT_ACROSS_PROFILES สิทธิ์หรือ App-ops

บัญชี

บัญชีในโปรไฟล์งานจะแตกต่างจากผู้ใช้หลัก และไม่สามารถเข้าถึงข้อมูลเข้าสู่ระบบข้ามขอบเขตโปรไฟล์-ผู้ใช้ได้ มีเพียงแอปในบริบทที่เกี่ยวข้องเท่านั้นที่สามารถเข้าถึงบัญชีของตน

Intent

ผู้ดูแลระบบควบคุมว่าจะแก้ไข Intent ในหรือนอกโปรไฟล์งาน โดยค่าเริ่มต้น แอปจากโปรไฟล์งานจะมีขอบเขตอยู่ในข้อยกเว้นโปรไฟล์งานของ Device Policy API

ตัวระบุอุปกรณ์

ในอุปกรณ์ส่วนตัวที่มีโปรไฟล์งาน Android 12 ขึ้นไปจะนำสิทธิ์เข้าถึงตัวระบุฮาร์ดแวร์อุปกรณ์ (IMEI, MEID, หมายเลขซีเรียล) ออก และระบุรหัสเฉพาะการลงทะเบียนที่ไม่ซ้ำกันซึ่งระบุการลงทะเบียนโปรไฟล์งานขององค์กรที่เจาะจง รหัสการลงทะเบียนจะยังคงเดิมตลอดการรีเซ็ตเป็นค่าเริ่มต้น ซึ่งช่วยให้ติดตามคลังอุปกรณ์ที่มีโปรไฟล์งานได้อย่างน่าเชื่อถือ

อุปกรณ์ส่วนตัวที่มีโปรไฟล์งานต้องใช้รหัสเฉพาะการลงทะเบียน ส่วนอุปกรณ์ของบริษัท ซึ่งรวมถึงทั้งโปรไฟล์งานและอุปกรณ์ที่มีการจัดการครบวงจร สามารถเลือกรับการใช้รหัสดังกล่าวได้เช่นกัน หากต้องการใช้รหัสเฉพาะการลงทะเบียน EMM ต้องตั้งค่ารหัสองค์กรสำหรับอุปกรณ์แต่ละเครื่องที่จัดการ จากนั้นจึงจะอ่านรหัสเฉพาะการลงทะเบียนในอุปกรณ์นั้นและจัดการเป็นหมายเลขซีเรียลได้ ดูรายละเอียดเพิ่มเติมได้ที่การเพิ่มประสิทธิภาพด้านความปลอดภัยและความเป็นส่วนตัวของโปรไฟล์งาน

การตั้งค่า

การบังคับใช้การตั้งค่าจะมีขอบเขตระดับโปรไฟล์งาน ยกเว้นการตั้งค่าหน้าจอล็อกและการเข้ารหัสที่มีขอบเขตระดับอุปกรณ์และแชร์ระหว่างผู้ใช้หลักกับโปรไฟล์งาน นอกเหนือจากข้อยกเว้นเหล่านี้ เจ้าของโปรไฟล์จะไม่มีสิทธิ์ของผู้ดูแลระบบอุปกรณ์นอกโปรไฟล์งาน

การจัดการอุปกรณ์ในอุปกรณ์ที่มีโปรไฟล์งาน

Android 5.0 ขึ้นไปรองรับการจัดการอุปกรณ์สำหรับโปรไฟล์งาน ในอุปกรณ์ส่วนตัวสำหรับ Bring Your Own Device (BYOD) ที่ใช้คลาส DevicePolicyManager นอกจากนี้ Android 11 ยังเปิดตัวแนวคิดโปรไฟล์งานในอุปกรณ์ของบริษัท ความสามารถในการจัดการอุปกรณ์ภายในโปรไฟล์งานจะยังคงเหมือนเดิมสำหรับทั้งกรณี BYOD และอุปกรณ์ของบริษัท แต่โปรไฟล์งานในอุปกรณ์ของบริษัทอาจมีความสามารถ/นโยบายเพิ่มเติม เช่น installSystemUpdate, setScreenCaptureDisabled และ setPersonalAppsSuspended ซึ่งสามารถขยายการบังคับใช้นโยบายของผู้ดูแลระบบได้นอกเหนือจากโปรไฟล์งานสำหรับนโยบายบางอย่างที่ครอบคลุมทั้งอุปกรณ์

• โปรไฟล์งานในอุปกรณ์ส่วนตัว (BYOD): อุปกรณ์เป็นอุปกรณ์ส่วนตัวและมีโปรไฟล์งานซึ่งจัดการโดยผู้ดูแลระบบไอทีที่เชื่อมโยงกับนายจ้าง

• โปรไฟล์งานในอุปกรณ์ของบริษัท: อุปกรณ์เป็นของนายจ้างหรือนายจ้างเป็นผู้ให้ยืม และมีโปรไฟล์งานซึ่งจัดการโดยผู้ดูแลระบบไอทีที่เชื่อมโยงกับนายจ้าง แอปสามารถเรียกใช้ isOrganizationOwnedDeviceWithManagedProfile() เพื่อระบุว่าอุปกรณ์ได้รับการจัดสรรเป็นอุปกรณ์ขององค์กรที่มีโปรไฟล์ที่มีการจัดการหรือไม่

ดูข้อมูลเพิ่มเติมเกี่ยวกับการสร้างโปรไฟล์งานและการใช้ Device Policy API ได้ที่สร้างโปรไฟล์งาน

เจ้าของโปรไฟล์

แอป Device Policy Client (DPC) จะทำหน้าที่เป็นเจ้าของโปรไฟล์เมื่อมีการสร้างโปรไฟล์งาน โดยปกติแล้วแอปไคลเอ็นต์ DPC จะมาจากพาร์ทเนอร์ Enterprise Mobility Management (EMM) เช่น Google Apps Device Policy และสามารถบังคับใช้นโยบายได้เมื่อตั้งค่าให้เป็นเจ้าของโปรไฟล์ โปรไฟล์งานมีอินสแตนซ์ของแอปที่มีป้ายกำกับซึ่งมองเห็นได้แตกต่างจากอินสแตนซ์ของแอปส่วนตัว โดยป้ายกำกับจะระบุแอปว่าเป็นแอปงาน EMM จะควบคุมได้เฉพาะโปรไฟล์งาน (แอปและข้อมูลงาน) เท่านั้น ไม่สามารถควบคุมพื้นที่ส่วนตัวได้ ระบบจะบังคับใช้นโยบายของอุปกรณ์ในโปรไฟล์งานเท่านั้น โดยมีข้อยกเว้นบางประการ เช่น การบังคับใช้หน้าจอล็อกที่มีผลกับทั้งอุปกรณ์

ประสบการณ์ของผู้ใช้โปรไฟล์งาน

Android 9 ขึ้นไปจะผสานรวมโปรไฟล์งานกับแพลตฟอร์ม Android ให้แน่นแฟ้นยิ่งขึ้น ซึ่งช่วยให้ผู้ใช้แยกข้อมูลงานและข้อมูลส่วนบุคคลออกจากกันในอุปกรณ์ได้ง่ายขึ้น การเปลี่ยนแปลงโปรไฟล์งานจะปรากฏในโปรแกรมเปิดแอปและมอบประสบการณ์การใช้งานที่สอดคล้องกันในอุปกรณ์ที่มีการจัดการ

ผู้ใช้สามารถสลับโปรไฟล์งานได้จากการตั้งค่าหรือเมนูการตั้งค่าด่วน ใน Android 9 ขึ้นไป การติดตั้งใช้งานอุปกรณ์อาจมีปุ่มเปิด/ปิดที่ส่วนท้ายของแท็บงานเพื่อให้ผู้ใช้เปิดหรือปิดใช้โปรไฟล์งานได้ การสลับใช้โปรไฟล์งานจะดำเนินการแบบไม่พร้อมกันและมีผลกับโปรไฟล์ผู้ใช้ที่ถูกต้องทั้งหมด โดยกระบวนการนี้ควบคุมโดยคลาส WorkModeSwitch

อุปกรณ์ที่มีถาดแอป

ใน Android 9 ขึ้นไป การเปลี่ยนแปลง UX ของโปรไฟล์งานสำหรับ Launcher3 จะช่วยให้ผู้ใช้สามารถแยกโปรไฟล์ส่วนตัวและโปรไฟล์งานออกจากกันได้ ลิ้นชักแอปมีมุมมองแบบแท็บเพื่อแยกแอปในโปรไฟล์ส่วนตัวออกจากแอปในโปรไฟล์งาน เมื่อผู้ใช้ดูแท็บโปรไฟล์งานเป็นครั้งแรก ระบบจะแสดงมุมมองที่ให้ข้อมูลเพื่อช่วยให้ผู้ใช้ไปยังส่วนต่างๆ ของโปรไฟล์งานได้

ผู้ใช้สามารถสลับระหว่างมุมมองโปรไฟล์ต่างๆ ได้โดยใช้แท็บโปรไฟล์หรืออินเทอร์เฟซผู้ใช้ที่คล้ายกันที่ด้านบนของลิ้นชักแอป

มุมมองแบบแท็บจะติดตั้งใช้งานเป็นส่วนหนึ่งของคลาส AllAppsContainerView Launcher3 สำหรับการใช้งานอ้างอิงของตัวบ่งชี้โปรไฟล์แบบแท็บ โปรดดูที่คลาส PersonalWorkSlidingTabStrip

ข้อความให้ความรู้ผู้ใช้ในอุปกรณ์ที่มีแท็บงาน

Android 9 ขึ้นไปรองรับมุมมองด้านการศึกษาที่แจ้งให้ผู้ใช้ทราบถึงวัตถุประสงค์ของแท็บงานและวิธีทำให้แอปงานเข้าถึงได้ง่ายขึ้น เมื่อใช้ Launcher3 มุมมองด้านการศึกษาจะสามารถแสดงในหน้าจอแท็บงานเมื่อผู้ใช้เปิดแท็บงานเป็นครั้งแรก ดังที่แสดงในภาพ

รูปที่ 3 มุมมองด้านการศึกษา

อุปกรณ์ที่ไม่มีถาดแอป

สำหรับ Launcher ที่ไม่มีถาดแอป ขอแนะนำให้วางทางลัดไปยังแอปโปรไฟล์งานในโฟลเดอร์งานต่อไป

การติดตั้งใช้งาน Launcher ที่กําหนดเองสามารถใช้ getProfiles() และ getActivityList() เพื่อดึงข้อมูลรายการแอปที่มีไอคอน Launcher สําหรับผู้ใช้โปรไฟล์งาน

ในอุปกรณ์ที่ใช้โฟลเดอร์งาน ผู้ใช้จะเข้าถึงแอปโปรไฟล์งานได้โดยเปิดโฟลเดอร์งาน ดังนี้

ข้อความให้ข้อมูลผู้ใช้ในอุปกรณ์ที่มีโฟลเดอร์งาน

สำหรับตัวเปิดแอปที่ไม่มีถาดแอป ซึ่งโฟลเดอร์งานมีแอปงาน ข้อความให้ข้อมูลเกี่ยวกับโปรไฟล์งานอาจแสดงในรูปแบบของเคล็ดลับเครื่องมือที่ปิดได้เมื่อผู้ใช้เปิดโฟลเดอร์งานเป็นครั้งแรก

รูปที่ 3 เคล็ดลับเครื่องมือที่ปิดได้

ตรวจสอบประสบการณ์ของผู้ใช้โปรไฟล์งาน

วิธีที่ง่ายที่สุดในการทดสอบประสบการณ์การใช้งานโปรไฟล์งานคือการตั้งค่าโปรไฟล์งานโดยใช้แอป Test DPC ขั้นตอนต่อไปนี้อธิบายวิธีตั้งค่าโปรไฟล์งานในอุปกรณ์ส่วนตัว (สถานการณ์ BYOD)

1. เริ่มต้นด้วยอุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นและตั้งค่าโปรไฟล์ส่วนตัวให้เสร็จสมบูรณ์โดยใช้บัญชี Google ส่วนบุคคล หรือใช้อุปกรณ์ที่มีโปรไฟล์ส่วนตัวเป็นจุดเริ่มต้นก็ได้

2. ติดตั้งแอปทดสอบ DPC จาก Google Play Store

3. เปิดตัวเปิดแอปหรือลิ้นชักแอป แล้วเลือกตั้งค่า DPC ทดสอบ

4. ทำตามวิธีการบนหน้าจอเพื่อตั้งค่าโปรไฟล์งาน

   
   รูปที่ 4 ตั้งค่าโปรไฟล์งาน
   
   รูปที่ 5 เพิ่มบัญชี
   
   รูปที่ 6 การตั้งค่าเสร็จสมบูรณ์

5. เปิดตัวเปิดแอปหรือลิ้นชักแอป และตรวจสอบว่ามีแท็บงานอยู่และมีส่วนท้ายของโปรไฟล์งาน การติดตั้งใช้งานของผู้ผลิตอุปกรณ์รายอื่นอาจมีโฟลเดอร์งานแทนแท็บงาน

6. ยืนยันว่าคุณสามารถสลับโปรไฟล์งานจากการตั้งค่าด่วน (หรือการตั้งค่า) โดยยืนยันว่าแอปในโปรไฟล์งาน (แอปที่มีป้ายกระเป๋าเอกสาร) เปิดและปิดใช้งานได้ตามที่คาดไว้ ในการใช้งานอุปกรณ์บางอย่าง แอปงานอาจเป็นสีเทาเมื่อปิดใช้โปรไฟล์งานในขณะที่อื่นๆ เช่น การใช้งานกับแท็บงาน อาจแสดงการวางซ้อนพร้อมข้อความที่แจ้งว่าโปรไฟล์งานปิดอยู่ ภาพต่อไปนี้แสดงตัวอย่างโปรไฟล์งานที่เปิดและปิดใช้ในอุปกรณ์ที่ใช้แท็บงาน

   
   รูปที่ 7 เปิด/ปิด เปิดใช้โปรไฟล์งาน
   
   รูปที่ 8 สลับปิด โปรไฟล์งานปิดอยู่

ป้ายแอปโปรไฟล์งาน

ใน Android 9 ขึ้นไป สีของป้ายงานจะเป็นสีน้ำเงิน (#1A73E8) แทนสีส้มเพื่อเหตุผลด้านการช่วยเหลือพิเศษ