Guia para desenvolvedores

Os recursos empresariais do Android oferecem às organizações uma experiência segura, flexível e plataforma de mobilidade unificada do Android, combinando dispositivos, aplicativos e gerenciamento de conteúdo. Os apps Android são compatíveis com os recursos empresariais do Android por padrão. No entanto, existem outros recursos que podem ser usados que seu app funcione melhor em dispositivos Android gerenciados:

• Compatibilidade do perfil de trabalho: modifique o Android para que funcione melhor em um dispositivo gerenciado.
• Configurações gerenciadas: modificar seu aplicativo, permitindo que os administradores de TI especifiquem configurações para seus apps.
• Dispositivos dedicados: otimize os para que possa ser implantado em um dispositivo Android como um quiosque.
• Logon único (SSO): simplifique o processo de logon para usuários que fazem login em diferentes apps nos dispositivos Android gerenciados.

Pré-requisitos

1. Você criou um app Android.
2. Você já pode modificar seu app para que ele funcione melhor para as organizações.
3. Versão mínima: Android 5.0 Lollipop versão recomendada: Android 6.0 Marshmallow e posterior.

Observação: os recursos empresariais do Android estão integrados à maioria Dispositivos Android 5.0 No entanto, o Android 6.0 e versões posteriores oferecem recursos adicionais, especialmente para dispositivos dedicados.

Perfis de trabalho

Você pode gerenciar os dados e aplicativos comerciais de um usuário por uma do seu perfil de trabalho. Um perfil de trabalho é um perfil corporativo gerenciado associadas à conta de usuário principal em um dispositivo Android. Um o perfil de trabalho isola com segurança apps e dados de trabalho dos apps pessoais e dados. Este perfil de trabalho está em um contêiner separado do perfil pessoal, que seu usuário controla. Esses perfis separados permitem que as organizações gerenciem os dados comerciais que consideram importantes, deixar todo o restante no dispositivo do usuário sob o controle dele. Para informações mais detalhadas sobre as práticas recomendadas, consulte o Perfis de trabalho guia. Para uma visão geral dessas práticas recomendadas, confira abaixo.

Principais recursos de um perfil de trabalho

• Perfil separado e seguro
• Google Play gerenciado para distribuição de apps
• Aplicativos de trabalho com selo separados
• Recursos de gerenciamento somente do perfil controlados por um administrador

Benefícios do perfil de trabalho no Android 5.0 e versões mais recentes

• Criptografia completa do dispositivo
• Um pacote de aplicativo Android (APK) para os dois perfis quando há um perfil pessoal e um perfil de trabalho presentes no dispositivo
• O controlador de política do dispositivo (DPC) é limitado ao perfil de trabalho
• Administração de dispositivos por meio do Classe DevicePolicyManager

Considerações sobre perfis de trabalho

• O sistema Android evita intents com perfis cruzados, e os administradores de TI podem ativar ou desativar apps do sistema.
• Um caminho de arquivo (Identificador de Recurso Uniforme [URI]) válido em um perfil pode não ser válido no outro.

Evitar que intents falhem entre perfis

É difícil saber quais intents podem cruzar entre perfis. quais estão bloqueados. A única maneira de ter certeza é por meio de testes. Antes de o app iniciar uma atividade, é necessário verificar se o é resolvida chamando Intent.resolveActivity()

• Se ele retornar null, a solicitação não será resolvida.
• Se retornar algo, ele mostra que a intent é resolvida, e é seguro enviar a intent.

Observação: para instruções detalhadas sobre o teste, consulte Evite intents com falha.

Compartilhar arquivos entre perfis

Alguns desenvolvedores usam URIs para marcar caminhos de arquivo no Android. No entanto, como há sistemas de arquivos separados quando um perfil de trabalho está presente, nós recomendamos:

Use: URIs de conteúdo

Os URIs de conteúdo contêm a autoridade, o caminho e o ID para uma em um arquivo específico. É possível gerar isso usando FileProvider. Saiba mais. Compartilhar e conceder permissões para acessar o URI de conteúdo usando uma intent. As permissões só podem ser transmitidas pelo perfil usando intents. Se você conceder direitos de acesso a outro app ao seu arquivo usando Context.grantUriPermission(), ela só é concedida para esse app no mesmo perfil.

Não use: URI do arquivo

Contém o caminho absoluto do arquivo no diretório armazenamento. Um URI de caminho de arquivo válido em um perfil não é válido em com o outro. Se você anexar um URI de arquivo a uma intent, o gerenciador não poderá para acessar o arquivo em outro perfil.

Próximas etapas: quando seu app oferecer suporte ao gerenciamento e testá-los em um perfil de trabalho. Consulte Testar seu app.

Implementar configurações gerenciadas

As configurações gerenciadas são um conjunto de instruções que os administradores de TI podem usar para gerenciar os dispositivos móveis dos usuários de uma forma específica. Essas instruções são universais e funcionam em qualquer EMM, permitindo os administradores configurem aplicativos remotamente nos sistemas de celulares.

Caso esteja desenvolvendo apps para empresas ou órgãos governamentais, talvez seja necessário para atender ao conjunto de requisitos específicos do seu setor. Usando configurações gerenciadas, o administrador de TI pode especificar remotamente e aplicar políticas para os apps Android dos usuários. para exemplo:

• Configurar se um app pode sincronizar dados por rede celular/3G ou somente por Wi-Fi
• Permitir ou bloquear URLs em um navegador da Web
• Definir as configurações de e-mail de um app
• Ativar ou desativar a impressão
• Gerenciar favoritos

Práticas recomendadas para implementar configurações gerenciadas

Na página Definir configurações gerenciadas, é a principal fonte de informações sobre como criar e implantar configurações gerenciadas. Depois de ler essa documentação, consulte abaixo para mais orientações.

Ao iniciar o app pela primeira vez

Assim que inicia um aplicativo, é possível conferir se os configurações já definidas para este app em onStart() ou onResume(). Além disso, você pode descobrir um aplicativo gerenciado ou não gerenciado. Por exemplo, se getApplicationRestrictions() retorna:

• Um conjunto de restrições específicas do aplicativo: você permite definir as configurações gerenciadas silenciosamente (sem a necessidade entrada do usuário).
• Um pacote vazio: seu aplicativo age como ele não é gerenciado (por exemplo, o comportamento do app em um ).
• Um pacote com um único par de chave-valor KEY_RESTRICTIONS_PENDING definido como verdadeiro: seu aplicativo está sendo gerenciado, mas o DPC não está configurado corretamente. Você deve bloquear esse usuário no seu aplicativo e direcionar para o administrador de TI.

Detectar mudanças nas configurações gerenciadas

Os administradores de TI podem alterar políticas que queira aplicar aos usuários a qualquer momento. Devido ao recomendamos que você garanta que seu app possa aceitar novos para a configuração gerenciada da seguinte forma:

• Buscar restrições na inicialização: seu app precisa: ligar para getApplicationRestrictions() em onStart() e onResume() e compare com as restrições antigas para ver se alterações são necessárias.
• Ouvir durante a execução: registre dinamicamente ACTION_APPLICATION_RESTRICTIONS_CHANGED na sua atividades ou serviços em execução, depois de verificar se há novas restrições. Essa intent é enviada somente aos listeners que estão registrado dinamicamente, e não para listeners declarados no app manifesto do aplicativo.
• Cancelar o registro quando não estiver em execução: no onPause(), você deve cancelar o registro da transmissão de ACTION_APPLICATION_RESTRICTIONS_CHANGED.

Dispositivos dedicados

Os dispositivos dedicados são dispositivos de quiosque usados com um único propósito, como vitrines de sinalização digital, quiosques de impressão ou caixas registradoras.

Quando um dispositivo Android está configurado como um dispositivo dedicado, o usuário vê um app bloqueado na tela sem os apps recentes ou em casa. para sair do app. Os dispositivos dedicados também podem ser configurados para exibir de aplicativos, como um quiosque de biblioteca com um aplicativo para a biblioteca catálogo e um navegador da Web.

Para instruções, consulte Dispositivo dedicado.

Configurar o Logon único com as guias personalizadas do Chrome

Os usuários corporativos costumam ter vários apps no dispositivo preferem fazer login uma vez para acessar todos os aplicativos de trabalho. Normalmente, os usuários fazem login WebView No entanto, há alguns motivos para isso não ser o ideal:

1. Muitas vezes, os usuários precisam fazer login várias vezes com o mesmo credenciais. A solução WebView nem sempre é única Logon único (SSO).
2. Pode haver riscos de segurança, incluindo aplicativos maliciosos a inspeção de cookies ou a injeção do JavaScript® para acessar credenciais. Até mesmo desenvolvedores confiáveis correm risco se confiam em SDKs de terceiros potencialmente maliciosos.

Uma solução para os dois problemas é autenticar os usuários usando o navegador Guias personalizadas, em vez de WebView. Isso garante que a autenticação:

• Ocorre em um contexto seguro (o navegador do sistema) em que o aplicativo host não é possível inspecionar o conteúdo.
• Tem um estado de cookie compartilhado, garantindo que o usuário só precise fazer login uma vez.

Requisitos

As guias personalizadas têm suporte até o nível 15 da API (Android 4.0.3). Para usar as guias personalizadas, você precisa de um navegador compatível, como o Chrome. O Chrome 45 e posteriores implementam esse recurso como Guias personalizadas do Chrome.

Como faço para implementar o SSO com guias personalizadas?

O Google disponibilizou o código aberto de uma biblioteca de cliente OAuth que usa Tabs, contribuindo para o grupo de trabalho do OpenID Connect da Fundação OpenID. Para configurar guias personalizadas para SSO com o biblioteca AppAuth, consulte a documentação e exemplo de código no GitHub (link em inglês).

Testar o app

Depois de desenvolver seu app, você vai querer testá-lo, tanto em um perfil de trabalho quanto em um dispositivo gerenciado. Veja as instruções a seguir.

Usar o DPC de teste para testar seu app Android

Fornecemos o app de teste DPC para ajudar os desenvolvedores Android a testar os apps em uma empresa de nuvem. Com o DPC de teste, você pode definir políticas de EMM ou valores de configuração gerenciados em um dispositivo, como se uma organização gerenciasse o dispositivo usando o EMM. Para instalar o DPC de teste em um dispositivo, escolha um dos seguintes métodos:

• Instalar o DPC de teste de Google Play:
• Criar a partir do código-fonte em GitHub.

Para mais informações sobre como configurar o DPC de teste, consulte as instruções abaixo e Usuário de DPC de teste Guia.

Provisionar um perfil de trabalho

Para testar seu app em um perfil de trabalho, primeiro você precisa provisionar um perfil de trabalho no dispositivo usando o Teste o app DPC da seguinte maneira:

1. Instale o DPC de teste no dispositivo.
2. Na tela de início do Android, toque no ícone Configurar o app de teste DPC.
3. Siga as instruções na tela.
4. Instale o app no dispositivo e teste para ver como ele é executado no perfil de trabalho.

O Android cria um perfil de trabalho e instala uma cópia do DPC de teste nesse perfil. Você usa isso instância com selo de trabalho do DPC de teste para definir políticas e configurações gerenciadas no perfil de trabalho. Para saiba mais sobre como configurar um perfil de trabalho para desenvolvimento, leia o guia para desenvolvedores Perfis de trabalho.

Provisionar um dispositivo totalmente gerenciado

As organizações usam dispositivos totalmente gerenciados porque podem aplicar várias no dispositivo. Para provisionar um dispositivo totalmente gerenciado, siga estas etapas:

1. Instale o DPC de teste no dispositivo.
2. Confirme que não há outros usuários ou um perfil de trabalho no dispositivo.
3. Confirme se não há contas no dispositivo.
4. Execute o seguinte comando do Android Debug Bridge (adb) em seu terminal:

   adb shell dpm set-device-owner com.afwsamples.testdpc/.DeviceAdminReceiver

5. Depois de concluir o provisionamento do proprietário do dispositivo, você poderá testar seu app nesse dispositivo. Você precisa testar especificamente como configurações gerenciadas e intents funcionam nele.

Também é possível usar outros métodos de provisionamento. Consulte o Guia do usuário de teste do DPC. Para saber como a TI os administradores geralmente registram e provisionam dispositivos com tecnologia Android, Provisionamento dispositivos.

Testes de ponta a ponta

Depois de terminar de testar seu app nos ambientes acima, é provável que você queira testar seu app em um ambiente de produção de nuvem. Esse processo inclui as etapas que um cliente precisa para implantar o app na organização deles, incluindo:

• Distribuição de apps pelo Google Play
• Configuração gerenciada do servidor
• Controle de política do perfil do lado do servidor

Você precisa acessar um console de EMM para concluir testes. A maneira mais fácil de obter um é solicitar um console de teste do EMM. Quando você tiver acesso, conclua estas tarefas:

1. Crie uma versão de teste do aplicativo com uma new ApplicationId.
2. Reivindique um Managed Google Domain e vincule-o ao seu EMM. Se você já tem um domínio de teste vinculado a um EMM, talvez seja necessário desvinculá-lo e testá-lo com seu EMM preferido. Consulte seu EMM para as etapas específicas de desvinculação.
3. Publique seu aplicativo no canal privado para os Managed Google Domain.
4. Use o console e o aplicativo de EMM para:
   1. Configurar dispositivos de trabalho
   2. Distribua seu aplicativo.
   3. Definir a configuração gerenciada.
   4. Definir políticas do dispositivo

Esse processo será diferente dependendo do seu EMM. Consulte seu documentação do EMM para mais detalhes. Parabéns! Você concluiu e verificou se o app funciona bem para usuários corporativos.