Налаштування Android Enterprise (Work Profile) для корпоративного додатку

TRUETECH займається розробкою, підтримкою та обслуговуванням мобільних додатків iOS, Android, PWA. Маємо великий досвід та експертизу для публікації мобільних додатків до популярних маркетів Google Play, App Store, Amazon, AppGallery та інші.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та підтримка будь-яких видів мобільних додатків:

Інформаційні та розважальні мобільні програми
Новинки, ігри, довідники, онлайн-каталоги, погодні, фітнес та здоров'я, туристичні, освітні, соціальні мережі та месенджери, квіз, блоги та подкасти, форуми, агрегатори
Мобільні програми електронної комерції
Інтернет-магазини, B2B-додатки, маркетплейси, онлайн-обмінники, кешбек-сервіси, біржі, дропшиппінг-платформи, програми лояльності, доставка їжі та товарів, платіжні системи
Мобільні програми для управління бізнес-процесами
CRM-системи, ERP-системи, управління проектами, інструменти для команди продажів, облік фінансів, управління виробництвом, логістика та доставка, управління персоналом, системи моніторингу даних
Мобільні програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, платформи надання електронних послуг, платформи кешбеку, відеохостинги, тематичні портали, платформи онлайн-бронювання та запису, платформи онлайн-торгівлі

Це лише деякі з типів мобільних додатків, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Послуги, які ми пропонуємо
Показано 1 з 1Усі 1735 послуг
Налаштування Android Enterprise (Work Profile) для корпоративного додатку
Середній
~2-3 дні
Часті запитання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_mobile-applications_feedme_467_0.webp
    Розробка мобільного додатка для компанії FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Розробка мобільного додатку для компанії XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Розробка мобільного додатку для компанії RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Розробка мобільного додатку для компанії ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Розробка мобільного додатку для компанії Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Розробка мобільного додатку для компанії FLAVORS
    495
Показати більше робіт

Настройка Android Enterprise (Work Profile) для корпоративного додатка

Типова ситуація: сотрудник використовує особистий Android-смартфон для роботи, ІТ-відділ хоче управляти корпоративними додатками, не торкаючись особистих даних. Без Work Profile або весь девайс під MDM, або ніякої ізоляції. Обидва варіанти—погано.

Android Enterprise Work Profile створює окремий профіль на рівні ОС—зі своїм launcher, своїм keystore, ізольованим сховищем. Корпоративні додатки працюють у цьому профілі; особисті додатки навіть не бачать їх існування.

Де чаще всього ломається інтеграція

Найпоширеніша проблема—неправильна ініціалізація Device Policy Controller (DPC). Якщо додаток реєструється як Device Owner замість Profile Owner, отримує занадто широкі повноваження та ломає UX: блокує Bluetooth, запрещає змінювати шпалери, викликає скарги в відзивах.

Для BYOD-сценарію потрібен саме ProfileOwner. Провізіонування через QR-код (Android 7+) або NFC bump (Android 6) налаштовується через DevicePolicyManager з флагом EXTRA_PROVISIONING_SKIP_ENCRYPTION—без нього на старих девайсах весь процес залежає на шифруванні диска.

Друга точка відмови—cross-profile intent. Якщо бізнес-логіка потребує передавати дані з робочого профіля в особистий (напр., відкрити PDF у системному viewer), потрібно явно дозволити через DevicePolicyManager.addCrossProfileIntentFilter(). Без цього intent мовчки проглинається, користувач бачить пустий екран, та немає логів в Logcat.

Третя проблема—managed configurations. Багато команд просто не використовують RestrictionsManager, толкають налаштування через push-сповіщення або захардкодені URL. Це антипаттерн: EMM-система (Intune, VMware Workspace ONE, SOTI) повинна деплоювати конфіг через APP_RESTRICTIONS_CHANGED, додаток—читати його з Bundle у onReceive.

Як ми реалізуємо Work Profile

Процес починається з аудиту: який MDM у клієнта, які версії Android у парку пристроїв, BYOD або COBO (Corporate-Owned, Business-Only). Від цього залежить схема провізіонування.

Для BYOD через QR:

// У DPC-додатку, який стає Profile Owner
val dpm = getSystemService(DevicePolicyManager::class.java)
val adminComponent = ComponentName(this, DeviceAdminReceiver::class.java)

// Перевіряємо, що ми Profile Owner, не Device Owner
if (dpm.isProfileOwnerApp(packageName)) {
    dpm.setProfileName(adminComponent, "Корпоративний профіль")
    dpm.setCrossProfileCalendarPackages(adminComponent, setOf(calendarPackage))
}

Для managed configurations використовуємо RestrictionsManager:

val restrictionsManager = getSystemService(RestrictionsManager::class.java)
val appRestrictions = restrictionsManager.applicationRestrictions

val serverUrl = appRestrictions.getString("server_url") ?: BuildConfig.DEFAULT_SERVER
val ssoEnabled = appRestrictions.getBoolean("sso_enabled", false)

Це дозволяє ІТ-адміністратору змінювати конфігурацію через Intune Policy без нового релізу додатка.

Сертифікати та VPN у Work Profile

Установка клієнтських сертифікатів через KeyChain.createInstallIntent() працює лише в особистому профілі. У робочому—лише через DevicePolicyManager.installCaCert() та installKeyPair(). Плутанина тут коштує кількох днів відладки.

Для VPN у Work Profile—VpnService з setAlwaysOnVpnPackage() через DPC. Трафік робочого профіля йде через корпоративний VPN, особистий—напрямки. Користувач цього не відчуває.

Тестування та інструменти

Окремий емулятор з Work Profile—Android Studio AVD з опцією «Work profile». Для інтеграційних тестів з реальним MDM використовуємо TestDPC (open source від Google)—імітує поведінку Enterprise MDM без Intune.

Android Debug Bridge дозволяє переключатися між профілями:

adb shell am switch-user 10   # переключення у робочий профіль (user id залежить від пристрою)
adb shell pm list packages --user 10

Firebase Crashlytics у Work Profile потребує окремої ініціалізації—SDK за замовчуванням не передає дані через межу профіля.

Етапи роботи

  1. Аудит—EMM-платформа, парк пристроїв, вимоги ІТ-політики
  2. DPC-розробка—створення або доповнення Device Policy Controller під Profile Owner
  3. Managed Config schema—XML-схема для AppConfig Community (стандарт для Intune/Workspace ONE)
  4. Інтеграційне тестування—TestDPC + реальні пристрої з парку клієнта
  5. Документація для ІТ—інструкція по деплою політик через EMM

Терміни: 2–3 робочих дні на типовий проект (існуючий додаток + Work Profile без кастомного DPC). Якщо потрібен собственний DPC з нуля—від 1 тижня.