Profil służbowy to zarządzany profil, który ma oddzielne dane aplikacji od głównego profilu użytkownika, ale udostępnia niektóre ustawienia systemowe, takie jak Wi-Fi i Bluetooth. Głównym celem profilu roboczego jest utworzenie oddzielnego i bezpiecznego kontenera do przechowywania zarządzanych danych. Administrator profilu służbowego ma pełną kontrolę nad zakresem, kierunkiem przepływu, wejściem i czasem trwania danych. Oto niektóre cechy profili zespołów:
Utworzenie. Każda aplikacja dla głównego użytkownika może utworzyć profil służbowy. Użytkownik jest informowany o zachowaniu na profilu służbowym i o wdrożeniu zasad przed utworzeniem profilu.
Zarządzanie. Aplikacje, które są właścicielami profilu, mogą wywoływać interfejsy API w klasie
DevicePolicyManager, aby ograniczyć użycie. Właściciele profili są definiowani podczas początkowej konfiguracji profilu. Zasady dotyczące wyłącznie profili służbowych dotyczą ograniczeń aplikacji, możliwości aktualizacji i zachowań związanych z intencją.Wizualizacja. Aplikacje, powiadomienia i widżety z profilu służbowego są oznaczone plakietką i zwykle są dostępne w ramach elementów interfejsu użytkownika (UI) należących do głównego użytkownika.
Szczegóły implementacji
Profile służbowe są implementowane jako użytkownicy pomocniczy, dzięki czemu aplikacje działające w profilu służbowym mają identyfikator uid = 100000 \* userid + appid. Te profile zawierają osobne dane aplikacji (/data/user/userid), podobnie jak główni użytkownicy.
AccountManagerService przechowuje oddzielną listę kont dla każdego użytkownika.
Różnice między kontem użytkownika profilu służbowego a zwykłym kontem dodatkowym:
Profil służbowy jest powiązany z nadrzędnym użytkownikiem i uruchamiany przez głównego użytkownika podczas uruchamiania.
Powiadomienia na profilach służbowych są włączone przez
ActivityManagerService, co pozwala profilowi służbowemu udostępniać stos aktywności głównemu użytkownikowi.Dodatkowe współdzielone usługi systemowe to IME, usługi A11Y, Wi-Fi i NFC.
Interfejsy API dla programów uruchamiających umożliwiają wyświetlanie aplikacji z plakietkami i widżetów z dozwolonej listy z profilu służbowego obok aplikacji na profilu głównym bez konieczności przełączania użytkowników.
Segregacja danych
Profile służbowe korzystają z tych reguł oddzielania danych.
Aplikacje
Jeśli ta sama aplikacja istnieje na koncie głównego użytkownika i w profilu służbowym, jej zakres obejmuje własne, osobne dane. Ogólnie aplikacje działają niezależnie i nie mogą bezpośrednio komunikować się z instancjami po drugiej stronie granicy profilu użytkownika, chyba że mają uprawnienia INTERACT_ACROSS_PROFILES lub są zarządzane przez App Ops.
Konta
Konta w profilu służbowym są unikalne od głównego użytkownika, a dane logowania nie są dostępne na poziomie profilu użytkownika. Dostęp do odpowiednich kont mają tylko aplikacje w odpowiednich kontekstach.
Przeznaczenie
Administrator określa, czy intencje są rozpoznawane w profilu do pracy czy poza nim. Domyślnie aplikacje z profilu służbowego są objęte wyjątkiem tego profilu i interfejsu Device Policy API.
Identyfikatory urządzeń
Na urządzeniach osobistych z profilem służbowym Android 12 lub nowszym usuwa dostęp do identyfikatorów sprzętowych urządzenia (IMEI, MEID, numer seryjny) i zapewnia unikalny identyfikator rejestracji, który identyfikuje rejestrację profilu służbowego w konkretnej organizacji. Identyfikator rejestracji pozostaje stabilny po przywracaniu do ustawień fabrycznych, co umożliwia niezawodne śledzenie urządzeń z profilami służbowymi.
Urządzenia osobiste z profilem służbowym muszą używać identyfikatora rejestracji. Urządzenia należące do firmy, w tym urządzenia z profilem służbowym i w pełni zarządzane, mogą też używać tego identyfikatora. Aby używać identyfikatora rejestracji, dostawca usług EMM musi ustawić identyfikator organizacji dla każdego urządzenia, którym zarządza. Następnie może odczytać identyfikator rejestracji na tym urządzeniu i traktować go jak numer seryjny. Więcej informacji znajdziesz w artykule Ulepszenia zabezpieczeń i ochrony prywatności na profilu służbowym.
Ustawienia
Wymuszanie ustawień jest ograniczone do profilu służbowego z wyjątkiem ustawień blokady ekranu i szyfrowania, które są ograniczone do urządzenia i dzielone między głównego użytkownika a profilem służbowym. Poza tymi wyjątkami właściciel profilu nie ma uprawnień administratora urządzenia poza profilem służbowym.
Zarządzanie urządzeniami z profilem służbowym
Android 5.0 i nowsze wersje obsługują zarządzanie urządzeniami z profilami służbowymi na osobistych urządzeniach użytkowników w ramach rozwiązania BYOD (przynieś własne urządzenie) za pomocą klasy DevicePolicyManager. W Androidzie 11 wprowadzono też pojęcie profilu służbowego na urządzeniach należących do firmy. Funkcje zarządzania urządzeniem w profilu służbowym pozostają takie same w przypadku urządzeń BYOD i należących do firmy, ale profile służbowe na urządzeniach firmowych mogą oferować dodatkowe funkcje i zasady, takie jak installSystemUpdate, setScreenCaptureDisabled i setPersonalAppsSuspended, które mogą rozszerzać egzekwowanie zasad administratora poza profilem służbowym w przypadku niektórych zasad dotyczących całego urządzenia.
Profil służbowy na urządzeniu osobistym (BYOD): urządzenie jest urządzeniem osobistym i zawiera profil służbowy zarządzany przez administratora IT powiązanego z pracodawcą.
Profil służbowy na urządzeniu należącym do firmy: urządzenie jest udostępniane przez pracodawcę lub jest jego własnością i zawiera profil służbowy zarządzany przez administratora IT powiązanego z pracodawcą. Aplikacje mogą wywoływać funkcję
isOrganizationOwnedDeviceWithManagedProfile(), aby określić, czy urządzenie zostało skonfigurowane jako urządzenie należące do organizacji z profilem zarządzanym.
Więcej informacji o tworzeniu profilu służbowego i korzystaniu z interfejsu API zasad dotyczących urządzeń znajdziesz w artykule Tworzenie profilu służbowego.
Właściciele profili
Po utworzeniu profilu służbowego aplikacja klienta Device Policy (DPC) działa jako właściciel profilu. Aplikacja klienta DPC jest zwykle dostarczana przez partnera EMM (Enterprise Mobility Management), takiego jak Google Apps Device Policy, i jest w stanie egzekwować zasady, gdy jest ustawiona jako właściciel profilu. Profil służbowy ma oznakowane plakietką instancje aplikacji, które są wizualnie odróżnione od instancji aplikacji osobistych. Plakietka wskazuje, że aplikacja jest służbowa. EMM ma kontrolę tylko nad profilem służbowym (aplikacje i dane służbowe), a nie nad przestrzenią osobistą. Zasady dotyczące urządzenia są egzekwowane tylko na profilu służbowym, z pewnymi wyjątkami, takimi jak egzekwowanie ekranu blokady, który jest stosowany na całym urządzeniu.
Korzystanie z profilu służbowego
Android 9 lub nowszy zapewnia ściślejszą integrację profili służbowych z platformą Android, dzięki czemu użytkownicy łatwiej mogą oddzielić na swoich urządzeniach informacje służbowe od osobistych. Zmiany w profilu służbowym są widoczne w Menu z aplikacjami i zapewniają spójny interfejs na wszystkich zarządzanych urządzeniach.
Użytkownicy mogą włączać i wyłączać profil służbowy w ustawieniach lub w menu Szybkie ustawienia. W Androidzie 9 lub nowszym implementacje urządzeń mogą zawierać przełącznik w stopce karty służbowej, który umożliwia użytkownikom włączenie lub wyłączenie profilu służbowego. Przełączenie profilu służbowego jest wykonywane asynchronicznie i stosowane do wszystkich prawidłowych profili użytkowników; procesem steruje klasa WorkModeSwitch.
Urządzenia z obszarem aplikacji
W Androidzie 9 lub nowszym zmiany w profilu służbowym w Launcherze 3 pomagają użytkownikom utrzymywać oddzielne profile osobiste i służbowe. W szufladzie aplikacji możesz wyświetlić karty z aplikacją, aby odróżnić aplikacje na profilu osobistym od aplikacji na profilu służbowym. Gdy użytkownicy po raz pierwszy otwierają kartę profilu służbowego, wyświetla się im widok edukacyjny, który pomaga im poruszać się po profilu.
Użytkownicy mogą przełączać się między różnymi widokami profilu, korzystając z kart profilu lub podobnego interfejsu u góry panelu aplikacji:
Rysunek 1. Widok karty osobistej
Rysunek 2. Widok karty Praca, przełącznik profilu służbowego
Widok kart jest implementowany w ramach klasy AllAppsContainerViewLauncher3. Przykład implementacji wskaźnika profilu z kartami znajdziesz w klasie PersonalWorkSlidingTabStrip.
Komunikat edukacyjny dla użytkowników na urządzeniach z kartą służbową
Android 9.0 lub nowszy obsługuje widok edukacyjny, który informuje użytkowników o celu karty służbowej i o tym, jak ułatwić sobie dostęp do aplikacji służbowych. Za pomocą Launcher3 możesz wyświetlić na karcie Praca widok edukacyjny, gdy użytkownicy po raz pierwszy otworzą tę kartę.
Rysunek 3. Widok edukacyjny
Urządzenia bez panelu aplikacji
W przypadku programów uruchamiających bez paska aplikacji zalecamy dalsze umieszczanie skrótów do aplikacji z profilu służbowego w tym folderze.
Niestandardowe implementacje programów uruchamiających mogą używać funkcji getProfiles()
i
getActivityList()
do pobierania listy aplikacji z ikoną programu uruchamiającego dla użytkownika profilu służbowego.
Na urządzeniach z folderem służbowym użytkownicy mogą uzyskać dostęp do aplikacji w profilu służbowym, otwierając folder służbowy:
Rysunek 4. Zamknięty folder służbowy
Rysunek 5. Otwarty folder służbowy
Komunikat edukacyjny dla użytkowników na urządzeniach z folderem służbowym
W przypadku programów uruchamiających bez panelu aplikacji, w których folder służbowy zawiera aplikacje służbowe, wiadomość edukacyjna dotycząca profilu służbowego może być wyświetlana w postaci wyskakującego okienka, które można zamknąć, gdy użytkownik po raz pierwszy otworzy folder służbowy:
Rysunek 3. Etykietka, którą można zamknąć
Weryfikacja wrażeń użytkowników profilu do pracy
Najprostszym sposobem przetestowania profilu służbowego jest skonfigurowanie go za pomocą aplikacji Test DPC. Poniżej znajdziesz instrukcje konfigurowania profilu służbowego na urządzeniu osobistym (scenariusz BYOD):
Zacznij od przywrócenia urządzenia do ustawień fabrycznych i skonfiguruj profil osobisty, korzystając z osobistego konta Google. Możesz też zacząć od urządzenia z osobistym profilem.
Zainstaluj aplikację Test DPC ze Sklepu Google Play.
Otwórz menu z aplikacjami lub menu aplikacji i wybierz Skonfiguruj testową aplikację DPC.
Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby skonfigurować profil do pracy:
Rysunek 4. Skonfiguruj profil służbowy
Rysunek 5. Dodaj konta
Rysunek 6. Konfiguracja ukończonaOtwórz program uruchamiający lub panel aplikacji i sprawdź, czy dostępna jest karta Praca i zawiera stopkę profilu służbowego. Alternatywne implementacje producenta urządzenia mogą zawierać folder roboczy zamiast karty Praca.
Sprawdź, czy możesz przełączać profil służbowy w Szybkich ustawieniach (lub Ustawieniach), upewniając się, że aplikacje w profilu służbowym (aplikacje z ikoną aktówki) są włączone i wyłączone zgodnie z oczekiwaniami. W niektórych implementacjach na urządzeniach aplikacje służbowe mogą być wyszarzone, gdy profil służbowy jest wyłączony, a w innych, takich jak implementacje z kartą Praca, może być wyświetlany komunikat informujący o wyłączonym profilu służbowym. Na poniższych ilustracjach pokazano przykłady włączonych i wyłączonych profili służbowych na urządzeniu z kartą Praca:
Rysunek 7. Włącz, profil służbowy włączony
Rysunek 8. Wyłącz, profil służbowy wyłączony
Plakietka aplikacji w profilu służbowym
Ze względu na ułatwienia dostępu w Androidzie 9 lub nowszym kolor plakietki służbowej jest niebieski (#1A73E8), a nie pomarańczowy.