Hallo,
bisher habe ich keine Apps ins Owner-Profil installiert, weil ich es sauber halten wollte 
Für Apps die in mehreren Profilen benötigt werden, würde es aber vermutlich schon Sinn machen.
Kann man bei der Installation einer App ins Owner-Profil definieren, in welchen
anderen Profilen die App ebenfalls verfügbar sein soll? Wie?
Geht das auch noch nach dem Erstellen eines zusätzlichen Profils?
Danke!
Nicht wirklich, es sei denn, das mit dem „sauber halten“ hat sich erledigt.
/data/app/x-beliebige_App gibt es nur einmal, egal, wie oft eine bestimmte App installiert wird, nur die Daten sind jeweils pro Profil dem jeweiligen Profil, in dem sie installiert sind, zugeordnet.
Imho gibt es nur die Mòglichkeit Apps in ein oder alle Profile pro Installation mit Boardmitteln zu installieren, bliebe dann nur, dies händisch oder per administrativen Mitteln nacheinander zu erledigen, dazu bedarf es aber eben keiner Installation im „Owner-Profil“.
Dieser Beitrag war eigentlich früher geplant, aber der Entwurf war dann während der Weihnachtszeit nicht absendbar. Vielleicht nützt er aber doch noch etwas:
Im Eigentümerprofil unter:
Einstellungen → System → Nutzer → Nutzerprofil → Verfügbare Apps installieren
Lassen sich jederzeit alle im Eigentümerprofil installierten Apps per Checkbox in einen anderen Profil installieren.
Das ist m.W.n. die einzige offizielle Methode unter GrapheneOS.
Bei Aktualisierungen, egal aus welchem Profil, werden die Apps in allen Profilen aktualisiert.
Du kannst das Eigentümerprofil auch weiterhin sauber halten - auch wenn es bei gewöhnlichem Nutzungsszenario wahrscheinlich keinen Grund dazu gibt - dann gibt es aber keinen einfachen „In Profil X installieren“ Knopf. Selbst umgehe Ich das unschön per App welche die APKs exportiert, die Ich wiederum in das entsprechende Profil kopieren (per USB (MTP) am Computer, oder USB Stick am Handy). Da Ich nur 4 Apps in ein anderes Profil ausgelagert habe, und keine weiteren Plane, war der Aufwand überschaubar.
Reines Beispiel: Separates Google Play-Nutzerprofil, in diesem werden alle Play Store Apps installiert, auch jene welche keine Play Services verwenden sollen und diese dann deaktiviert.
App-APKs aus dem Play Store, welche ohne Google Services laufen sollen, exportieren und im gewünschten Profil installieren (weiteres, oder Owner).
Und zum Aktualisieren dann das Google Play Nutzerprofil nutzen - das geht unter GOS auch bei deaktivierten Apps.
Während das Owner Profil dann vlt. ausschließlich FOSS Apps installiert hat, oder ggf. auch einzelne, mehr oder weniger saubere/vertrauenswürdige Play Store Apps.
Am Ende kann man, falls man es sich anders überlegt, ja auch immer noch die Zeit nehmen um zu sortieren. 
Danke Astolfo für Deine sehr interessante Rückmeldung!
Meinst Du mit „App deaktivieren“ die Funktion „Force Stop“ (App Info)?
Heisst das, wenn Obtanium im Hauptprofil(Owner) installiert ist und damit eine App im Hauptprofil aktualisiert wird, dass diese App in allen anderen Benutzer-Profilen ebenfalls aktualisiert wird?
Ich meine die Option „Disable“ knapp daneben. Auf anderen Android Betriebssystemen können die Apps dann nicht mehr aktualisiert werden, auf GrapheneOS schon.
Genau so, korrekt.
Wie bekomme ich die in den anderen (Nicht-Owner) Profilen eigentlich wieder weg?
Nicht dass sie auch im Owner-Profil weg sind, wenn ich sie dort deinstalliere… 
Wenn Apps nur für ein Profil deinstalliert werden sollen, musst du in dieses Profil wechseln und dort die App wie gewohnt deinstallieren.
Da musst du dir keine Gedanken darum machen, dass die App aus einen anderen Profil verschwindet.
Einzig der „Owner“ kann Apps für alle Profile deinstallieren, das ist separat von der normalen „deinstallieren“ Option.
Dafür gibt es eine Funktion im „App info“ Menü der entsprechenden App, wenn du dort oben rechts auf das Symbol mit den drei Punkten klickst, „Für alle Nutzer deinstallieren“ o.Ä.
Dieser ist aber nur vorhanden, wenn die App in mehreren Profilen existiert oder nur in einen anderen Profil existiert.
Letztere sind im Owner-Profil schnell erkennbar am „Nicht für Nutzer installiert“-Text unter dem App-Namen, wenn du über „Einstellungen“ → „Apps“ → „Alle […] Apps ansehen“ die Liste aller Apps auf dem Gerät anschaust.
Danke. So hatte ich es auch erwartet, war vor dem Tatsch auf „Uninstall“ dann aber doch ein bisschen nervös 
Hallo, ich finde deinen Ansatz interessant @Astolfo und habe es ähnlich, aber auch etwas anders probiert, nämlich ohne Export und mit Umweg über den Aurora-Store.
In meinem bislang googlenfreien Owner-Profil habe ich mit Aurora die von mir benötigten Playstore-Apps hinzuinstalliert und dann den Aurora-Store wieder gelöscht.
In einem neuen Nutzer-Profil habe ich dann den Google Play Store installiert und dort nochmal die gleichen kommerziellen Apps installiert wie zuvor per Aurora im Owner-Profil, wodurch die „Aurora-Version“ aus dem ersten Schritt offenbar überschrieben (geupdated) wurde.
Künftig möchte ich die kommerziellen Apps im Owner-Profil nun vom Nutzer-Profil aus aktuell halten. Spricht etwas dagegen?
Nein, das funktioniert auch so wie von dir geplant und Aurora ist eine gute Problemumgehung.
Wichtig ist einzig, dass die Signatur der App vom selben Entwickler stammt und der „Paketname“ der selbe ist.
Da beides die selbe App vom Entwickler aus dem Play Store bezieht gibt es da keine Probleme.
Das sähe meist anders aus, wenn du die gleiche App einmal aus F-Droid installierst und dann die Play Store Version versuchst zu installieren. Das würde mit einer Fehlermeldung fehlschlagen, weil F-Droid die App fast immer selbst signiert.
Danke für die wirklich hilfreichen Antworten!
Benötige Droid-ify und Aurora Store in 3 - 4 verschiedenen Benutzer-Profilen. Würdest du diese beiden Apps ins Haupt/Owner-Profil installieren?
Entschuldige für die späte Antwort @ralph, sicher hast du dir inzwischen selbst eine Lösung überlegt, möchte die Frage aber nicht unbetanwortet lassen, falls jemand anders auf die selbe Frage stößt, entsprechend geh Ich auch etwas tiefer in’s Detail.
Ja, diese einzeln in allen Profilen zu nutzen wäre mir persönlich zu viel Aufwand und ist auch recht ineffizient, ohne für mich ersichtlichen Vorteil.
Da „Stores“ auf GrapheneOS deaktivierte Apps aktualisieren können, ist es auch egal ob diese installierten Apps Daten erheben würden, sobald du sie nach der Installation gleich im Eigentümerprofil deaktivierst - und z.B. in einen separaten Profil nutzt, das für diese eingerichtet ist - eben wie du dein Gerät einrichten und verwenden möchtest.
Da Ich Aurora Store* und Droid-ify vertraue nicht mehr Daten zu erheben als nötig, würde Ich sie auch im Eigentümerprofil installieren, siehe dazu aber auch die Anmerkung bzgl. Aurora weiter unten.
Da das Eigentümerprofil auch fast immer läuft, wenn das Gerät eingeschaltet ist, ist das auch eine gute Option für automatische Updates.
Einzig Googles Play Store installiere Ich ausschließlich in einen separaten Profil für Google, um den Datenabfluss zu minimieren (Telemetrie, etc.), meine sonstigen Apps zu „verstecken“ und Store Apps, welche Google Dienste verwenden würden (z.B. PushTAN Benachrichtigungen), nicht mit den Google Account in Verbindung zu bringen - blockiere hierbei aber auch in den separaten Profilen, in welchen Ich diese Apps nutze, Verbindungen zu Google Servern, soweit nötig.
Verzichte so aber auch auf „sofortige“ Updates, bis Ich das Profil nutze.
Das ist bei den beiden von dir genannten Stores, exakt so, nicht nötig - Gedanken sollten sich natürlich trotzdem über Tracker in den installierten Apps selbst gemacht werden.
* Aurora Store bietet(e) in den Einstellungen an Apps abzuwählen, für die keine neuen Versionen im Play Store gesucht werden sollen, andernfalls sendet es alle im Profil installierten Apps an Google. Eventuell ist das unerwünscht.
Danke Astolfo für die interessanten Erklärungen! Da ich immer noch nicht alles verstanden habe, noch einmal zwei Rückfragen:
Werden so auch per APK-Sideload installierte GPlay-Apps (in einem Normalprofil ohne Google Services) ge-updatet?
Ist der Grund, dass diese Apps ohne Google Services laufen sollten, damit sie sich in einem Normal-Profil nicht selber zu aktualisieren versuchen?
Vielen Dank im Voraus!
Ja, sobald die selbe App in einen weiteren Profil über z.B. den Play Store installiert wird, wird automatisch die bereits in einen anderen Profil installierte, selbe App, die z.B. ‚sideloaded‘ wurde, aktualisiert. Auch wenn du diese App erst hinterher sideloadest, das wäre Egal.
Anschließende Aktualisierungen über den Play Store - aber auch jeder anderen Quelle - aktualisieren die App ebenfalls in allen Profilen.
Der in der APK vorhandene Programmcode wird also nur einmalig auf dem Gerät installiert.
Dann wird eigentlich seitens des Systems nur:
Und damit lässt sich diese App dann dort verwenden.
Vor dieser Frage habe Ich mich ein wenig gescheut, als Ich die Tage online war.
Nachfolgend ein viel zu langer Text dazu.
Nein, meine Apps sollen schon aktuell bleiben. Trotz Sandboxing sind die Google Dienste selbst nicht Datenschutzfreundlich - sind aber sehr stark in Ihren Rechten und Möglichkeiten eingeschränkt.
Als Beispiel für das Ganze nehme Ich hier mal die Verwendung meiner TAN-App:
Diese baut beim ersten Start eine Verbindung zu Googles Firebase Service auf und registriert dort eine ID. Das tut sie dann eventuell nach 3 Monaten erneut (wenn man diese Verbindung nicht einfach blockiert), da bin Ich mir unsicher.
Ohne Play Services - Ich habe das jedoch nicht auf dauer geprüft - hat sie daraufhin nur noch Verbindungen zum TAN-Server meiner Bank bzw. deren Dienstleisters aufgebaut, sobald Ich sie öffnete.
Damit war die Appnutzung für mich in meinen Hauptprofil tragbar.
Der Grund dafür ausgerechnet diese App im Hauptprofil zu nutzen, anstelle davon diese mit den Play Diensten in einen anderen Profil zu nutzen, ist dass Ich in diesen im Notfall Onlinebanking im Browser betreibe, aber auch vereinzelt Dinge bestelle.
Müsste Ich für TAN-Freigaben in ein anderes Profil wechseln, würde die Seite im Browser neugeladen werden und eine neue TAN angefordert werden, auch wenn Ich die vorherige akzeptiere.
Zusätzlich wäre das auch immer ein ziemlich unkomfortables Gehampel, wenn es auch anders ohne Nachteile „besser“ geht.
Mit Google Diensten würde diese App nur Push-Benachrichtigungen über Google Firebase beziehen - eine für mich komplett nutzlose Funktion, Ich weiß nämlich wenn Ich eine TAN erwarte. Damit vermisse Ich dann nichts.
Doch es ist mehr als das: Google wollte Ich in diesen Profil nicht verwenden, da es ca. alle 15 Minuten mit einer eindeutigen ID Verbindungen zu Google Servern aufbaut - was effektiv meine momentane IP-Adresse mit dieser ID kombiniert. Im Effekt das gleiche Ergebnis wie durch Push Benachrichtigungen über Firebase.
Das ist für mich ein Problem, da Ich absichtlich kein VPN in diesen Profil verwende - da Ich dort ausschließlich Apps verwende die mich nicht „verfolgen“ und auch nicht verschiedene Daten über mich sammeln.
Da Ich Zuhause eine IP-Adresse ohne CGNAT habe, ist das Thema IP-Adresse sehr relevant für mich.
Eventuell möchte man auch keine Verbindung zwischen den Google Account und Push Token bei App X und Y haben.
Ebenso wäre für Google bekannt wann und wie lange das Gerät läuft. Betreibe Ich die Google Dienste in einen extra Profil kann Ich dieses direkt nach der Aktualisierung meiner Apps wieder beenden und im aktiven Zustand dauerhaft mit einer VPN Verbindung im Lockdown Modus betreiben. Meine Apps laufen trotzdem (in Ihren Profilen).
Soweit meine Gedanken. 
Das muss man in einem kleinen Aspekt noch präzisieren: Wenn eine App in einem 2nd-Userprofil installiert wird, dann wird sie auch im Owner-Profil in der App-Liste angezeigt, allerdings als ‚von einem anderen Benutzer installiert‘ und ist dort nicht direkt aktivierbar, sondern müsste im Owner-Profil erneut installiert werden, um sie dort nutzen zu können bzw. in ein anderes 2nd-Userprofil pushen zu können. Ich weiß nicht, ob dies nur für per sandboxed Google Playstore installierte Apps gilt, denn nur für diesen Fall kann ich es verifizieren. Aber ich vermute, es gilt generell für alle installierte Apps, egal von welcher Quelle.
Moin,
ich häng mich hier mal rein, scheinbar geht diese Methode nur mit direkten unterschiedlichen Nutzerprofilen. Wie mach ich das am besten mit einem vertraulichen Profil?
Kann da keinen Aurora Store installieren, auch über den Umweg von Obtanium geht es nicht.
Jemand ne Idee?
Micha
Das Problem hatte ich auch einmal. Ich kann mich nicht mehr genau erinnern, aber versuche den Aurorastore im Ownerprofil zu deinstallieren, im vertraulichem Profil zu installieren und danach im Ownerprofil wieder zu installieren
Du gehst in die Einstellungen für das vertrauliche Profil. Dort gibt es den Menüpunkt „Verfügbare Apps installieren“. Wichtig ist, dass man das ganze über das Einstellungsmenü des Eigentümerprofils macht.
hm, den Punkt finde ich nicht. Es gibt kein Einstellungen in dem vertraulichem Profil.
Siehe hier: