Настройка Android Enterprise (Work Profile) для корпоративного приложения

TRUETECH занимается разработкой, поддержкой и обслуживанием мобильных приложений iOS, Android, PWA. Имеем большой опыт и экспертизу для публикации мобильных приложений в популярные маркеты Google Play, App Store, Amazon, AppGallery и другие.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Разработка и поддержка любых видов мобильных приложений:
Информационные и развлекательные мобильные приложения
Новостные приложения, игры, справочники, онлайн-каталоги, погодные, фитнес и здоровье, туристические, образовательные, социальные сети и мессенджеры, квиз, блоги и подкасты, форумы, агрегаторы
Мобильные приложения электронной коммерции
Интернет-магазины, B2B-приложения, маркетплейсы, онлайн-обменники, кэшбэк-сервисы, биржи, дропшиппинг-платформы, программы лояльности, доставка еды и товаров, платежные системы
Мобильные приложения для управления бизнес-процессами
CRM-системы, ERP-системы, управление проектами, инструменты для команды продаж, учет финансов, управление производством, логистика и доставка, управление персоналом, системы мониторинга данных
Мобильные приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, платформы предоставления электронных услуг, платформы кешбека, видеохостинги, тематические порталы, платформы онлайн-бронирования и записи, платформы онлайн-торговли

Это лишь некоторые из типы мобильных приложений, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента.

Предлагаемые услуги
Показано 1 из 1 услугВсе 1735 услуг
Настройка Android Enterprise (Work Profile) для корпоративного приложения
Средняя
~2-3 рабочих дня
Часто задаваемые вопросы
Наши компетенции:
Этапы разработки
Последние работы
  • image_mobile-applications_feedme_467_0.webp
    Разработка мобильного приложения для компании FEEDME
    756
  • image_mobile-applications_xoomer_471_0.webp
    Разработка мобильного приложения для компании XOOMER
    624
  • image_mobile-applications_rhl_428_0.webp
    Разработка мобильного приложения для компании RHL
    1054
  • image_mobile-applications_zippy_411_0.webp
    Разработка мобильного приложения для компании ZIPPY
    947
  • image_mobile-applications_affhome_429_0.webp
    Разработка мобильного приложения для компании Affhome
    862
  • image_mobile-applications_flavors_409_0.webp
    Разработка мобильного приложения для компании FLAVORS
    445
Показать больше работ

Настройка Android Enterprise (Work Profile) для корпоративного приложения

Типичная ситуация: сотрудник использует личный Android-смартфон для работы, и ИТ-отдел хочет управлять корпоративными приложениями, не трогая личные данные. Без Work Profile либо весь девайс под MDM, либо никакой изоляции. Оба варианта — плохо.

Android Enterprise Work Profile создаёт отдельный профиль на уровне ОС — со своим launcher, своим keystore, своим сетевым трафиком. Корпоративные приложения работают внутри этого профиля; личные приложения даже не видят их существования.

Где чаще всего ломается интеграция

Самая распространённая проблема — неправильная инициализация Device Policy Controller (DPC). Если приложение регистрируется как Device Owner вместо Profile Owner, оно получает слишком широкие полномочия и ломает пользовательский опыт: блокирует Bluetooth, запрещает смену обоев, вызывает жалобы в отзывах.

Для BYOD-сценария нужен именно ProfileOwner. Провизионирование через QR-код (Android 7+) или NFC bump (Android 6) настраивается через DevicePolicyManager с флагом EXTRA_PROVISIONING_SKIP_ENCRYPTION — без него на старых девайсах весь процесс зависает на шифровании диска.

Вторая точка отказа — cross-profile intent. Если бизнес-логика требует передавать данные из рабочего профиля в личный (например, открыть PDF в системном viewer), нужно явно разрешить это через DevicePolicyManager.addCrossProfileIntentFilter(). Без этого intent молча проглатывается, пользователь видит пустой экран, и никаких логов в Logcat.

Третья проблема — managed configurations. Многие команды просто не используют RestrictionsManager, а толкают настройки через push-уведомления или захардкоженные URL. Это антипаттерн: EMM-система (Intune, VMware Workspace ONE, SOTI) должна деплоить конфиг через APP_RESTRICTIONS_CHANGED, а приложение — читать его из Bundle в onReceive.

Как мы реализуем Work Profile

Процесс начинается с аудита: какой MDM у клиента, какие версии Android в парке устройств, BYOD или COBO (Corporate-Owned, Business-Only). От этого зависит схема провизионирования.

Для BYOD через QR:

// В DPC-приложении, которое становится Profile Owner
val dpm = getSystemService(DevicePolicyManager::class.java)
val adminComponent = ComponentName(this, DeviceAdminReceiver::class.java)

// Проверяем, что мы Profile Owner, не Device Owner
if (dpm.isProfileOwnerApp(packageName)) {
    dpm.setProfileName(adminComponent, "Корпоративный профиль")
    dpm.setCrossProfileCalendarPackages(adminComponent, setOf(calendarPackage))
}

Для managed configurations используем RestrictionsManager:

val restrictionsManager = getSystemService(RestrictionsManager::class.java)
val appRestrictions = restrictionsManager.applicationRestrictions

val serverUrl = appRestrictions.getString("server_url") ?: BuildConfig.DEFAULT_SERVER
val ssoEnabled = appRestrictions.getBoolean("sso_enabled", false)

Это позволяет ИТ-администратору менять конфигурацию через Intune Policy без нового релиза приложения.

Сертификаты и VPN в Work Profile

Установка клиентских сертификатов через KeyChain.createInstallIntent() работает только в личном профиле. В рабочем — только через DevicePolicyManager.installCaCert() и installKeyPair(). Путаница здесь стоит нескольких дней отладки.

Для VPN в рамках Work Profile — VpnService с флагом setAlwaysOnVpnPackage() через DPC. Трафик рабочего профиля уходит через корпоративный VPN, личный — через обычный интернет. Пользователь этого не чувствует.

Тестирование и инструменты

Отдельный эмулятор с Work Profile — через Android Studio AVD с опцией «Work profile». Для интеграционных тестов с реальным MDM используем TestDPC (open source от Google) — он имитирует поведение Enterprise MDM без Intune.

Android Debug Bridge позволяет переключаться между профилями:

adb shell am switch-user 10   # переключение в рабочий профиль (user id зависит от устройства)
adb shell pm list packages --user 10

Firebase Crashlytics в Work Profile требует отдельной инициализации — по умолчанию SDK не передаёт данные через профильную границу.

Этапы работы

  1. Аудит — EMM-платформа, парк устройств, требования ИТ-политики
  2. DPC-разработка — создание или доработка Device Policy Controller под Profile Owner
  3. Managed Config schema — XML-схема для AppConfig Community (стандарт для Intune/Workspace ONE)
  4. Интеграционное тестирование — TestDPC + реальные устройства из парка клиента
  5. Документация для ИТ — инструкция по деплою политик через EMM

Сроки: 2–3 рабочих дня на типовой проект (существующее приложение + Work Profile без кастомного DPC). Если нужен собственный DPC с нуля — от 1 недели.