Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar una combinación de Microsoft Intune y el acceso condicional de Microsoft Entra para requerir que los dispositivos de los usuarios cumplan sus requisitos de seguridad específicos para poder conectarse a Azure Virtual Desktop, Windows 365 y Microsoft Dev Box. Este enfoque le permite aplicar los requisitos de seguridad para la aplicación de Windows en los escenarios siguientes:
| Plataforma de dispositivo | Administración de dispositivos de Intune |
|---|---|
| iOS/iPadOS | Administrado o no administrado |
| Android¹ | Administrado o no administrado |
| Explorador web (solo Microsoft Edge en Windows) | Solo no administrado |
- No incluye compatibilidad con el sistema operativo Chrome.
Para obtener información sobre el uso de directivas de protección de aplicaciones con dispositivos administrados y no administrados, consulte Directivas de protección de aplicaciones de destino basadas en el estado de administración de dispositivos.
Algunas de las opciones de configuración de directiva que puede aplicar incluyen requerir un PIN, una versión específica del sistema operativo, bloquear teclados de terceros y restringir las operaciones de cortar, copiar y pegar entre otras aplicaciones en dispositivos cliente locales. Para obtener la lista completa de la configuración disponible, consulte Inicio condicional en la configuración de directivas de protección de aplicaciones de iOS e Inicio condicional en la configuración de directivas de protección de aplicaciones de Android.
Una vez establecidos los requisitos de seguridad, también puede administrar si en dispositivos iOS/iPadOS y Android sus recursos locales, como cámaras, micrófonos, almacenamiento y el Portapapeles, se redirigen a una sesión remota. Requerir el cumplimiento de la seguridad del dispositivo local es un requisito previo para administrar la configuración de redirección de dispositivos locales. Para más información sobre cómo administrar la configuración de redirección de dispositivos locales, consulte Administrar la configuración de redirección de dispositivos locales con Microsoft Intune.
En un nivel alto, hay dos áreas para configurar:
Directiva de protección de aplicaciones de Intune: se usa para especificar los requisitos de seguridad que debe cumplir la aplicación y el dispositivo cliente local. Puede usar filtros para dirigirse a los usuarios en función de criterios específicos.
Directiva de acceso condicional: se usa para controlar el acceso a Azure Virtual Desktop y Windows 365 solo si se cumplen los criterios establecidos en las directivas de protección de aplicaciones.
Prerrequisitos
Para poder requerir el cumplimiento de seguridad de dispositivos de cliente local mediante Intune y el acceso condicional, necesita lo siguiente:
Un grupo de hosts existente con hosts de sesión o PC en la nube.
Al menos un grupo de seguridad de Microsoft Entra ID que contenga usuarios a los que aplicar las directivas.
Solo para dispositivos administrados, debe agregar cada una de las siguientes aplicaciones que quiera usar en Intune:
- Para aplicaciones de Windows en iOS/iPadOS, consulte Incorporación de aplicaciones de la tienda iOS a Microsoft Intune.
- Para Microsoft Edge en Windows, consulte Agregar Microsoft Edge para Windows 10/11 a Microsoft Intune.
Un dispositivo cliente local que ejecuta una de las siguientes versiones de la aplicación de Windows o con la aplicación de Windows en Microsoft Edge:
Aplicación de Windows:
- iOS/iPadOS: 11.1.1 o posterior.
- Android 1.0.0.161 o posterior.
Microsoft Edge en Windows: 134.0.3124.51 o posterior.
También en el dispositivo cliente local, necesita la versión más reciente de:
- iOS o iPadOS: aplicación Microsoft Authenticator
- Android: aplicación de portal de empresa, instalada en el mismo perfil que la Windows App para dispositivos personales. Ambas aplicaciones deben estar tanto en un perfil personal como en un perfil de trabajo, no una en cada perfil.
Hay más requisitos previos de Intune para configurar directivas de protección de aplicaciones y directivas de acceso condicional. Para obtener más información, consulte:
Crear un filtro
Al crear un filtro, puede aplicar la configuración de directiva solo cuando se coinciden los criterios establecidos en el filtro, lo que le permite restringir el ámbito de asignación de una directiva. Con la aplicación de Windows puedes usar los siguientes filtros:
iOS/iPadOS:
- Cree un filtro de aplicaciones gestionadas para dispositivos gestionados y no gestionados.
- Crear un filtro de dispositivos administrados para dispositivos administrados.
Androide:
- Cree un filtro de aplicaciones gestionadas para dispositivos gestionados y no gestionados.
Windows: los filtros no son aplicables a Microsoft Edge en Windows.
Use filtros para restringir el ámbito de asignación de una directiva. La creación de un filtro es opcional; Si no configura un filtro, la misma configuración de cumplimiento de seguridad de dispositivos y redirección de dispositivos se aplica a un usuario, independientemente de si están en un dispositivo administrado o no administrado. Lo que especifique en un filtro depende de sus necesidades.
Para obtener información sobre los filtros y cómo crearlos, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune y Propiedades de filtro de aplicaciones administradas.
Crear una directiva de protección de aplicaciones
Las directivas de protección de aplicaciones permiten controlar cómo las aplicaciones y los dispositivos acceden a los datos y comparten datos. Debe crear una directiva de protección de aplicaciones independiente para iOS/iPadOS, Android y Microsoft Edge en Windows. No configure iOS/iPadOS y Android en la misma directiva de protección de aplicaciones, ya que no puede configurar la segmentación de directivas basada en dispositivos administrados y no administrados.
Seleccione la pestaña correspondiente.
Para crear y aplicar una directiva de protección de aplicaciones, siga los pasos descritos en Creación y asignación de directivas de protección de aplicaciones y uso de la siguiente configuración:
Cree una directiva de protección de aplicaciones para iOS/iPadOS.
En la pestaña Aplicaciones , seleccione Seleccionar aplicaciones públicas, busque y seleccione Aplicación de Windows y, a continuación, seleccione Seleccionar.
En la pestaña Protección de datos , solo las siguientes opciones de configuración son relevantes para la aplicación de Windows. La otra configuración no se aplica a medida que la aplicación de Windows interactúa con el host de sesión y no con los datos de la aplicación. En los dispositivos móviles, los teclados no autorizados son una fuente de registro y robo de pulsaciones de teclas.
Puede configurar las siguientes opciones:
Parámetro Valor/Descripción Transferencia de datos Envío de datos de la organización a otras aplicaciones Establezca en Ninguno para habilitar la protección de captura de pantalla. Para más información sobre la protección de captura de pantalla en Azure Virtual Desktop, consulte Habilitación de la protección de captura de pantalla en Azure Virtual Desktop. Restringir el cortar, copiar y pegar entre otras aplicaciones Establezca en Bloqueado para deshabilitar el redireccionamiento del Portapapeles entre la aplicación de Windows y el dispositivo local. Se usa con la deshabilitación del redireccionamiento del Portapapeles en una directiva de configuración de aplicaciones. Teclados de terceros Establezca en Bloqueado para bloquear teclados de terceros. En la pestaña Inicio condicional, se recomienda agregar las siguientes condiciones:
Condición Tipo de condición Importancia Acción Versión mínima de la aplicación Condición de la aplicación En función de sus requisitos. Escriba un número de versión para la aplicación de Windows en iOS/iPadOS. Bloquear el acceso Versión mínima del sistema operativo Condición de dispositivo En función de sus requisitos. Bloquear el acceso Servicio MTD principal Condición de dispositivo En función de sus requisitos.
El conector MTD debe configurarse. Para Microsoft Defender para punto de conexión, configure Microsoft Defender para punto de conexión en Intune.Bloquear el acceso Nivel máximo de amenazas de dispositivo permitido Condición de dispositivo Portales Bloquear el acceso Para obtener más información sobre la configuración disponible, consulte Inicio condicional en la configuración de directivas de protección de aplicaciones de iOS.
En la pestaña Asignaciones , asigne la directiva al grupo de seguridad que contiene los usuarios a los que desea aplicar la directiva. Debe aplicar la directiva a un grupo de usuarios para que la directiva surta efecto. Si lo desea, puede seleccionar opcionalmente un filtro para cada grupo para ser más específico en la orientación de la directiva de configuración de aplicaciones.
Creación de una directiva de acceso condicional
Una directiva de acceso condicional permite controlar el acceso a Azure Virtual Desktop, Windows 365 y Microsoft Dev Box en función de criterios específicos de la conexión del usuario y el dispositivo que usa. Se recomienda crear varias directivas de acceso condicional para lograr escenarios pormenorizados en función de sus requisitos. Algunas directivas de ejemplo se encuentran en las secciones siguientes.
Importante
Tenga en cuenta cuidadosamente la gama de servicios en la nube, dispositivos y versiones de la aplicación de Windows que quiere que los usuarios puedan usar. Estas directivas de acceso condicional de ejemplo no cubren todos los escenarios y debe tener cuidado de no bloquear accidentalmente el acceso. Debe crear directivas y ajustar la configuración en función de sus requisitos.
Para crear y aplicar una directiva de acceso condicional, siga los pasos descritos en Configuración de directivas de acceso condicional basadas en aplicaciones con Intune y use la información y la configuración en los ejemplos siguientes.
Ejemplo 1: Permitir el acceso solo cuando se aplica una directiva de protección de aplicaciones con la aplicación de Windows
En este ejemplo solo se permite el acceso cuando se aplica una directiva de protección de aplicaciones con la aplicación de Windows:
En Asignaciones, en Usuarios o identidades de carga de trabajo, seleccione 0 usuarios o identidades de carga de trabajo seleccionadas y, a continuación, incluya el grupo de seguridad que contiene los usuarios a los que aplicar la directiva. Debe aplicar la directiva a un grupo de usuarios para que la directiva surta efecto.
En Recursos de destino, seleccione para aplicar la directiva a Recursos y, a continuación, en Incluir, seleccione Seleccionar recursos. Busque y seleccione los siguientes recursos. Solo tiene estos recursos si registró el servicio correspondiente en el inquilino.
Nombre de recurso Id. de aplicación Notas Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 En su lugar, podría llamarse Windows Virtual Desktop . Compruebe con el identificador de aplicación. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 También se aplica a Microsoft Dev Box. Inicio de sesión en la nube de Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Disponible una vez registrado uno de los otros servicios. En Condiciones:
- Seleccione Plataformas de dispositivos, en Configurar, seleccione Sí y, después, en Incluir, seleccione Seleccionar plataformas de dispositivos y compruebe iOS y Android.
- Seleccione Aplicaciones cliente, en Configurar , seleccione Sí y, a continuación, active Explorador y Aplicaciones móviles y clientes de escritorio.
En Controles de acceso, en Conceder acceso, seleccione 0 controles seleccionados, luego marque la casilla para Requerir directiva de protección de aplicaciones y seleccione el botón de radio para Requerir todos los controles seleccionados.
Para Habilitar directiva, configúrelo a Activado.
Ejemplo 2: Requerir una directiva de protección de aplicaciones para dispositivos Windows
En este ejemplo se limitan los dispositivos Windows personales no administrados a usar Microsoft Edge para acceder a una sesión remota mediante la aplicación de Windows solo en un explorador web. Para obtener más información sobre este escenario, consulte Requerir directiva de protección de aplicaciones para dispositivos Windows.
En Asignaciones, en Usuarios o identidades de carga de trabajo, seleccione 0 usuarios o identidades de carga de trabajo seleccionadas y, a continuación, incluya el grupo de seguridad que contiene los usuarios a los que aplicar la directiva. Debe aplicar la directiva a un grupo de usuarios para que la directiva surta efecto.
En Recursos de destino, seleccione para aplicar la directiva a Recursos y, a continuación, en Incluir, seleccione Seleccionar recursos. Busque y seleccione los siguientes recursos. Solo tiene estos recursos si registró el servicio correspondiente en el inquilino.
Nombre de recurso Id. de aplicación Notas Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 En su lugar, podría llamarse Windows Virtual Desktop . Compruebe con el identificador de aplicación. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 También se aplica a Microsoft Dev Box. Inicio de sesión en la nube de Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Disponible una vez registrado uno de los otros servicios. En Condiciones:
- Seleccione Plataformas de dispositivos, en Configurar, seleccione Sí y, después, en Incluir, seleccione Seleccionar plataformas de dispositivos y active Windows.
- Seleccione Aplicaciones cliente, en Configurar , seleccione Sí y, a continuación, active Explorador.
En Controles de acceso, seleccione Conceder acceso y, a continuación, active la casilla Requerir directiva de protección de aplicaciones y seleccione el botón de radio Requerir uno de los controles seleccionados.
Para Habilitar directiva, configúrelo a Activado.
Comprobación de la configuración
Ahora que configura Intune y el acceso condicional para requerir el cumplimiento de seguridad de dispositivos en dispositivos personales, puede comprobar la configuración mediante la conexión a una sesión remota. Lo que debe probar depende de si ha configurado directivas que se aplicarán a dispositivos inscritos o no inscritos, qué plataformas y configuración de protección de datos ha establecido. Compruebe que solo puede realizar las acciones que puede realizar coincide con lo que espera.