工作資料夾是受管理設定檔,與主要使用者設定檔的應用程式資料不同,但會共用部分系統設定,例如 Wi-Fi 和藍牙。工作設定檔的主要目標是建立獨立且安全的容器,用來存放受管理資料。工作資料夾管理員可全面控管資料的範圍、進入、退出和生命週期。以下是工作設定檔的部分特點:
製作內容:主要使用者可以透過任何應用程式建立工作資料夾。系統會在建立工作資料夾前,通知使用者工作資料夾的行為和政策執行方式。
管理。應用程式 (又稱設定檔擁有者) 可透過程式輔助方式,在
DevicePolicyManager類別中叫用 API,以限制使用。設定檔擁有者是在初始設定檔設定時定義。工作資料夾專屬政策包括應用程式限制、可更新性,以及意圖行為。視覺處理。工作資料夾中的應用程式、通知和小工具會加上徽章,通常會與主要使用者的使用者介面 (UI) 元素內嵌顯示。
導入作業詳細資料
工作資料夾會以次要使用者的形式實作,因此在工作資料夾中執行的應用程式會具有 uid = 100000 \* userid + appid 的 UID。這些設定檔有各自的應用程式資料 (/data/user/userid),與主要使用者類似。
AccountManagerService會為每位使用者維護個別的帳戶清單。
工作設定檔使用者和一般次要使用者帳戶的差異包括:
工作資料夾會與父項使用者建立關聯,並在啟動時與主要使用者一起啟動。
工作資料夾的通知是由
ActivityManagerService啟用,因此工作資料夾可以與主要使用者共用活動堆疊。其他共用系統服務包括 IME、A11Y 服務、Wi-Fi 和 NFC。
啟動器 API 可讓啟動器顯示標記的應用程式,並允許工作資料夾中的小工具加入許可清單,與主要設定檔中的應用程式並列,不必切換使用者。
資料隔離
工作資料夾會依據下列資料區隔規則運作。
應用程式
如果主要使用者和工作資料夾都有相同應用程式,應用程式會以各自獨立的資料為範圍。一般來說,應用程式會獨立運作,且無法跨設定檔使用者界線直接與執行個體通訊,除非應用程式持有 INTERACT_ACROSS_PROFILES 權限或 App-ops。
帳戶
工作資料夾中的帳戶與主要使用者不同,且憑證無法跨設定檔使用者界線存取。只有在各自的環境中,應用程式才能存取對應的帳戶。
意圖
管理員可控管意圖是在工作資料夾內還是外部解析。根據預設,工作資料夾中的應用程式會受到 Device Policy API 的工作資料夾例外狀況限制。
裝置 ID
在設有工作資料夾的個人裝置上,Android 12 以上版本會移除裝置硬體 ID (IMEI、MEID、序號) 的存取權,並提供專屬的註冊專屬 ID,用於識別特定機構的工作資料夾註冊。即使裝置恢復原廠設定,註冊 ID 仍會保持不變,因此可穩定追蹤設有工作資料夾的裝置。
設有工作資料夾的個人裝置必須使用註冊專屬 ID;公司裝置 (包括工作資料夾和全代管裝置) 也可以選擇使用這個 ID。如要使用註冊專屬 ID,EMM 必須為管理的每部裝置設定機構 ID,之後即可讀取該裝置的註冊專屬 ID,並將其視為序號處理。詳情請參閱「工作資料夾的安全性和隱私權強化功能」。
設定
設定強制執行範圍為工作資料夾,但螢幕鎖定和加密設定除外,這類設定的範圍為裝置,且主要使用者和工作資料夾會共用。除了上述例外情況,設定檔擁有者在工作資料夾以外的範圍,不具備裝置管理員權限。
管理設有工作資料夾的裝置
Android 5.0 以上版本支援使用 DevicePolicyManager 類別,在自攜裝置 (BYOD) 個人裝置上管理工作資料夾。此外,Android 11 也引進了公司裝置工作資料夾的概念。無論是自攜裝置還是公司裝置,工作資料夾內的裝置管理功能都相同,但公司裝置上的工作資料夾可能會提供額外功能/政策,例如 installSystemUpdate、setScreenCaptureDisabled 和 setPersonalAppsSuspended,可針對特定裝置層級政策,將管理員政策強制執行範圍擴展至工作資料夾以外。
個人裝置上的工作資料夾 (自攜裝置):裝置為個人裝置,內含由與雇主相關聯的 IT 管理員管理的工作資料夾。
公司裝置上的工作資料夾:裝置由雇主提供或擁有,內含由與雇主相關聯的 IT 管理員管理的工作資料夾。應用程式可以呼叫
isOrganizationOwnedDeviceWithManagedProfile(),判斷裝置是否已佈建為機構擁有的裝置,並具備受管理設定檔。
如要進一步瞭解如何建立工作資料夾及使用裝置政策 API,請參閱「建立工作資料夾」。
商家檔案擁有者
建立工作資料夾時,裝置政策用戶端 (DPC) 應用程式會做為設定檔擁有者。DPC 用戶端應用程式通常由企業行動管理服務 (EMM) 合作夥伴提供,例如 Google Apps Device Policy,且設定為設定檔擁有者時,能夠強制執行政策。工作資料夾中的應用程式例項會加上標記,與個人例項在視覺上有所區別;標記會將應用程式識別為工作應用程式。EMM 只能控管工作資料夾 (工作應用程式和資料),無法控管個人空間。裝置政策只會在工作資料夾中強制執行,但部分政策例外,例如強制執行適用於整個裝置的螢幕鎖定。
工作資料夾使用者體驗
Android 9 以上版本會更緊密整合工作資料夾和 Android 平台,方便使用者在裝置上區隔工作和個人資訊。工作資料夾變更會顯示在啟動器中,並在受管理裝置上提供一致的使用者體驗。
使用者可以透過設定或「快速設定」選單切換工作資料夾。在 Android 9 以上版本中,裝置實作項目可能會在工作分頁的頁尾加入切換按鈕,供使用者啟用或停用工作資料夾。切換工作設定檔是透過非同步方式完成,並套用至所有有效的使用者設定檔;這個程序是由 WorkModeSwitch 類別控管。
設有應用程式匣的裝置
在 Android 9 以上版本中,Launcher3 的工作資料夾 UX 變更可協助使用者維護個別的個人和工作資料夾。應用程式匣提供分頁檢視畫面,可區分個人資料夾應用程式和工作資料夾應用程式。使用者首次查看工作資料夾分頁時,系統會顯示教育檢視畫面,協助他們瀏覽工作資料夾。
使用者可以透過應用程式匣頂端的設定檔分頁標籤或類似的使用者介面,切換不同的設定檔檢視畫面:
圖 1. 個人分頁檢視畫面
圖 2. 「工作」分頁檢視畫面、工作資料夾切換按鈕
分頁檢視區塊會實作為 AllAppsContainerView Launcher3 類別的一部分。如需分頁設定檔指標的參考實作方式,請參閱 PersonalWorkSlidingTabStrip 類別。
設有工作分頁的裝置中顯示的使用者教育訊息
Android 9 以上版本支援教育檢視畫面,可向使用者說明工作分頁的用途,以及如何更輕鬆地存取工作應用程式。使用 Launcher3 時,使用者首次開啟工作分頁時,工作分頁畫面會顯示教育學習檢視畫面,如圖所示:
圖 3. 教育檢視畫面
沒有應用程式匣的裝置
如果啟動器沒有應用程式匣,建議您繼續將工作資料夾應用程式的捷徑放在工作資料夾中。
自訂啟動器實作項目可以使用 getProfiles() 和 getActivityList(),為工作資料夾使用者擷取含有啟動器圖示的應用程式清單。
在實作工作資料夾的裝置中,使用者可以開啟工作資料夾,存取工作資料夾應用程式:
圖 4. 已關閉的工作資料夾
圖 5. 開啟工作資料夾
設有工作資料夾的裝置顯示使用者教育訊息
如果啟動器沒有應用程式匣,且工作資料夾包含工作應用程式,使用者首次開啟工作資料夾時,可能會看到可關閉的工具提示,其中包含工作資料夾教育訊息:
圖 3. 可關閉的工具提示
驗證工作資料夾使用者體驗
如要測試工作資料夾使用者體驗,最簡單的方法是使用 Test DPC 應用程式設定工作資料夾。以下步驟說明如何在個人裝置上設定工作資料夾 (BYOD 情境):
首先,請將裝置恢復原廠設定,然後使用個人 Google 帳戶完成個人資料設定,或者使用已設定個人資料的裝置做為起點。
從 Google Play 商店安裝 Test DPC 應用程式。
開啟啟動器或應用程式導覽匣,然後選取「設定 Test DPC」。
按照畫面上的指示設定工作資料夾:
圖 4. 設定工作資料夾
圖 5. 新增帳戶
圖 6. 設定完成開啟啟動器或應用程式匣,確認工作分頁存在,且包含工作資料夾頁尾。替代裝置製造商的實作項目可能包含工作資料夾,而非工作分頁。
確認您可以透過「快速設定」(或設定) 切換工作資料夾,並確認工作資料夾應用程式 (帶有公事包標記的應用程式) 會如預期啟用和停用。在某些裝置實作中,工作資料夾停用時,工作應用程式可能會呈現灰色,而其他實作 (例如有工作分頁的實作) 則可能會顯示疊加層,並顯示工作資料夾已關閉的訊息。下圖顯示在實作工作分頁的裝置上,啟用和停用工作資料夾的範例:
圖 7. 切換為開啟,啟用工作資料夾
圖 8. 切換為關閉,工作資料夾已停用
工作資料夾應用程式徽章
在 Android 9 以上版本中,為符合無障礙需求,工作徽章的顏色為藍色 (#1A73E8),而非橘色。