android权限级别探索（四），Work Profile/Profile Owner的开启与功能

一、什么是Work Profile

因为Work Profile在体验上与Device Owner和Device admin有很大的差别，所以在讲怎么开启profileOwner之前先讲一下什么是Work Profile。
ProfileOwner/WorkProfile，是google为了Android在企业中运用推出的安全方案。

开启Work Profile之后的效果如上图。图中“My Application”的app是我的demo名称。可以看出，此时界面上出现两个一样的demo，一带有有文件包图标，一个没有文件包图标。此时系统分为了两个空间，为方便描述，我把安装普通应用的空间称为personal profile（个人空间），安装带有小图标应用的空间称为work profile（工作空间）。两个空间相互独立，例如work profile不能调用personal profile的相机，personal profile也不能读取work profile保存的文件。

那么work profile 还可以做什么呢？除了显而易见的双开、数据安全独立之外，由于是我的demo开启的work profile，我的demo拥有这个work profile的profile owner权限，这个权限可以对work profile里面的应用进行安全管理，例如设置密码、禁止安装、禁止截图、禁止拍照等操作，还可以对work profile中添加应用，例如图中就已经添加了“文件”和“通讯录”。

删除profile的方式在设置-账户下：

二、如何开启profile

1 准备工作
同设备管理器的准备工作一样，创建一个创建DeviceReceiver继承DeviceAdminReceiver，并在AndroidManifest注册中注册。详见android权限级别探索（二），设备管理器（DeviceAdmin）开启和使用及常见api ，只要完成AndroidManifest注册即可，不用打开设备管理器。

2 打开work profile

private static final int REQUEST_PROVISION_MANAGED_PROFILE = 1;
private void provisionManagedProfile(Activity activity) {Intent intent = new Intent(DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE);if (Build.VERSION.SDK_INT < Build.VERSION_CODES.M) {intent.putExtra(DevicePolicyManager.EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME,activity.getApplicationContext().getPackageName());} else {final ComponentName component = new ComponentName(activity,DeviceReceiver.class.getName());intent.putExtra(DevicePolicyManager.EXTRA_PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME,component);}if (intent.resolveActivity(activity.getPackageManager()) != null) {activity.startActivityForResult(intent, REQUEST_PROVISION_MANAGED_PROFILE);} else {//部分模拟器没有profileowner功能，会走到这里。Toast.makeText(activity, "Device provisioning is not enabled. Stopping.",Toast.LENGTH_SHORT).show();}}

调用provisionManagedProfile方法，系统会弹出work profile的提示界面，需要用户点击允许才能进行下一步。

3 监听用户是点击了允许还是拒绝（非必要，可跳过）：

@Overridepublic void onActivityResult(int requestCode, int resultCode, Intent data) {if (requestCode == REQUEST_PROVISION_MANAGED_PROFILE) {if (resultCode == Activity.RESULT_OK) {Toast.makeText(getActivity(), "Provisioning done.", Toast.LENGTH_SHORT).show();} else {Toast.makeText(getActivity(), "Provisioning failed.", Toast.LENGTH_SHORT).show();}return;}super.onActivityResult(requestCode, resultCode, data);}

4 接收work profile系统广播
用户点击同意后，系统会创建work profile空间，并发送广播唤醒拥有profile owner的demo，然后这个拥有profile owner的demo调用“setProfileEnabled(…)”后才算完成。
DeviceReceiver重写onProfileProvisioningComplete方法，系统广播会拉起这这个方法。

public class DeviceReceiver extends DeviceAdminReceiver {@Overridepublic void onProfileProvisioningComplete(Context context, Intent intent) {DevicePolicyManager dpm = (DevicePolicyManager) context.getSystemService(Context.DEVICE_POLICY_SERVICE);ComponentName componentName = new ComponentName(context, DeviceReceiver.class);dpm.setProfileName(componentName, "Test");dpm.setProfileEnabled(componentName);}
}

至此，work profile开启完成。

三、profile owner 部分api

profile owner权限仅能对work profile中的应用生效，例如设置禁用相机，只有work profile中的应用才会禁用，个人应用照常使用。
profile owner拥有device admin（设备管理器）的所有权限，和一部分的device owner权限（针对应用的大多生效，针对设备操作的不生效。例如禁止安装卸载，暂停应用，隐藏应用生效，重启和切换用户这一类都不生效）。可以看为device admin < profile owner < device owner?
device admin能做的事，profile owner都能做，device owner能做是事情，profile owner一部分能做。

关于禁用相机、暂停应用等安全操作的api这块可以参考android权限级别探索（三），设置 DeviceOwner及api收集
下面单独列出一些profile owner独有的api。

下表中dpm是DevicePolicyManager 类缩写。componentName是ComponentName 。

方法名	功能	备注
dpm.isProfileOwnerApp(context.getPackageName())	当前应用是否是profile owner
dpm.setProfileEnabled(componentName)	开启profile	只有拥有profile owner才能调用
dpm.setProfileName(componentName,name)	设置profile名称
dpm.enableSystemApp(componentName, getPackageName());	添加(启用)包名到profile	只能添加系统应用。非系统应用可通过安装流程安装
dpm.wipeData(0)	删除profile	work profile的所有应用和保存的数据都会删除
dpm.addCrossProfileIntentFilter(componentName,filter, flags)	添加intentfilter到可交换名单	见下文
dpm.clearCrossProfileIntentFilters(componentName)	清除添加的intentFIlter

注意⚠️ 发现部分手机的work profile默认设置了禁止安装应用，如果想安装应用需要清除掉“禁止安装 ”

 DevicePolicyManager dpm = (DevicePolicyManager) context.getSystemService(Context.DEVICE_POLICY_SERVICE);ComponentName mAdminName = new ComponentName(context, DeviceReceiver.class);dpm.clearUserRestriction(mAdminName, UserManager.DISALLOW_INSTALL_APPS);

更多关于DevicePolicyManager类的api，可参考android权限级别探索（三），设置 DeviceOwner及api收集

页面交互
两个profile是完全隔开的。通过即使是广播都不能发送到另一个profile。为了两个profile交互，google提供了addCrossProfileIntentFilter方法。将intent添加到CrossProfile，之后通过隐式意图启动一个Activity就可以启动另一个profile的界面了。

//添加intentfilter到可交换名单
DevicePolicyManager dpm = (DevicePolicyManager) context.getSystemService(Context.DEVICE_POLICY_SERVICE);
ComponentName componentName = new ComponentName(context, DeviceReceiver.class);IntentFilter filter = new IntentFilter("com.test.profile");//com.test.profile需要打开的activity的隐式意图
dpm.addCrossProfileIntentFilter(componentName,filter,FLAG_MANAGED_CAN_ACCESS_PARENT | FLAG_PARENT_CAN_ACCESS_MANAGED);

添加intentfilter到可交换名单后，使用隐式意图可启动另一个profile里面的activity：

Intent intent = new Intent();
intent.setAction("com.test.profile");
context.startActivity(intent);

同理，如果是Intent.ACTION_SEND的分享，也可以将Intent.ACTION_SEND添加到CrossProfile，例如：

 IntentFilter filter = new IntentFilter(Intent.ACTION_SEND);filter.addDataType("text/plain");filter.addDataType("image/jpeg");dpm.addCrossProfileIntentFilter(componentName,filter, FLAG_MANAGED_CAN_ACCESS_PARENT | FLAG_PARENT_CAN_ACCESS_MANAGED);

文件共享
因为不同profile使用独立的存储空间，所以profile之间不能用file的绝对路径来共享文件。google推荐FileProvider生成content URI，它不仅含有文件路径，还有content ID，其他app即使不在相同的profile，也可以访问到实际的文件。

Uri contentUriToShare = FileProvider.getUriForFile(getContext(),"com.example.myappliaction.fileprovider", file);

com.example.myappliaction.fileprovider是我的fileprovider注册的authorities。FileProvider的使用方法有空补一个说明。

参考资料：
android-BasicManagedProfile Google 官方Demo :
https://github.com/googlearchive/android-BasicManagedProfile
配置文件所有者
android权限级别探索（一），api23以上申请普通权限常见写法，及api21查询权限方法
android权限级别探索（二），设备管理器（DeviceAdmin）开启和使用及常见api
android权限级别探索（三），设置 DeviceOwner及api收集
android权限级别探索（四），Work Profile/Profile Owner的开启与功能