Compartir a través de

Administración de IA en Android con Intune: Guía para administradores de TI

En Microsoft Intune, puede administrar y restringir el uso de inteligencia artificial generativa en dispositivos Android inscritos en Intune. Puede bloquear (o permitir) aplicaciones de inteligencia artificial, sitios web, experiencias controladas por pantalla, servicios de inteligencia artificial en el dispositivo y características de IA específicas de OEM.

En este artículo se enumeran las distintas formas en que las experiencias de inteligencia artificial pueden estar disponibles en dispositivos Android y cómo puede usar Intune para bloquear estas experiencias.

Cuando se usan los pasos de esta guía, puede administrar y restringir las experiencias de inteligencia artificial en los dispositivos Android.

Se aplica a:

  • Android Enterprise

Requisitos previos

Requisitos de la plataforma de dispositivos

Los administradores de TI y los ingenieros de seguridad pueden permitir o bloquear la inteligencia artificial generativa en los siguientes tipos de inscripción de Android:

  • Dispositivos corporativos totalmente administrados (COBO) de Android Enterprise
  • Dispositivos Android Enterprise dedicados de propiedad corporativa (COSU)
  • Dispositivos corporativos Android Enterprise con un perfil de trabajo (COPE)
  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo (BYOD)

Para obtener más información sobre las distintas opciones de inscripción de Android, consulte la guía de inscripción de Android.

Requisitos de configuración del dispositivo

  • Dispositivos inscritos en Intune, incluidos los dispositivos administrados conjuntamente
  • Cuenta de Google Play administrada vinculada en el centro de administración de Intune (Dispositivos > Android > Enrollment > Managed Google Play)

Requisitos de roles

Para configurar las directivas, use una cuenta con el siguiente rol:

Antes de empezar

  • Al crear las directivas de inteligencia artificial, puede asignarlas a los grupos Todos los usuarios y Todos los dispositivos . Aunque esta asignación es el enfoque más sencillo, puede dirigir las directivas a usuarios y dispositivos específicos.

    Para más información, vea:

  • Para dispositivos corporativos con un perfil de trabajo (COPE) y dispositivos de propiedad personal con un perfil de trabajo (BYOD), la mayoría de los controles solo están disponibles en el perfil de trabajo. No están disponibles en el perfil personal.

  • En los pasos de esta guía se muestra cómo bloquear las experiencias de inteligencia artificial. Si desea permitir experiencias de inteligencia artificial específicas, puede usar los mismos pasos, pero configurarlos para permitir en lugar de bloquear.

  • Al crear una directiva y asignarla, los dispositivos reciben la directiva la próxima vez que se protegerán con Intune. Para obtener más información, consulte Intune intervalos de actualización de directivas.

Cómo aparece la inteligencia artificial en Android

En dispositivos Android, la inteligencia artificial está disponible de varias maneras:

  • Aplicaciones de IA: las aplicaciones independientes como ChatGPT, Microsoft Copilot y Perplexity se pueden descargar y usar en los dispositivos.
  • Sitios web de inteligencia artificial : los usuarios pueden acceder a sitios web de inteligencia artificial a través de aplicaciones de explorador, como Microsoft Edge y Chrome.
  • Experiencias controladas por pantalla y asistente: las características integradas en el sistema operativo que leen contenido en pantalla (como Círculo a búsqueda) o proporcionan asistente ayuda suelen instalarse y estar disponibles de forma predeterminada.
  • Servicios de inteligencia artificial en el dispositivo : Android puede ejecutar el modelo básico de Gemini Nano en el dispositivo localmente mediante AICore. Aplicaciones como Messages, Recorder o GBoard usan Gemini Nano para responder a los mensajes, generar resúmenes y sugerir respuestas inteligentes.
  • Servicios de inteligencia artificial específicos de OEM : los OEM pueden implementar sus propias funcionalidades de inteligencia artificial, como Galaxy AI de Samsung.

Bloquear aplicaciones de inteligencia artificial

Objetivo: los usuarios finales no pueden instalar aplicaciones de inteligencia artificial desde Google Play Store

Las aplicaciones de inteligencia artificial como ChatGPT, Copilot, Perplexity y Claude se pueden instalar desde Google Play Store. Puede usar Intune para impedir que estas aplicaciones se instalen en los dispositivos.

Tipos de inscripción admitidos:

  • Dispositivos corporativos totalmente administrados (COBO)
  • Dispositivos dedicados de propiedad corporativa (COSU)
  • Dispositivos corporativos con un perfil de trabajo (COPE)

Paso 1: Determinación de la estrategia de la aplicación

Determinar la estrategia de la aplicación de su organización: Bloquear o Permitir:

  • Estrategia de bloqueo : no se pueden descargar aplicaciones en Google Play Store a menos que los administradores lo asignen. Solo las aplicaciones asignadas están disponibles en el dispositivo.

    Esta estrategia es el valor predeterminado para los dispositivos corporativos.

  • Permitir estrategia : todas las aplicaciones se pueden descargar a menos que los administradores bloqueen específicamente.

    Si la siguiente configuración está establecida en Permitir en un perfil de configuración de restricciones de dispositivo, es probable que la organización use una estrategia Permitir. Esta configuración permite descargar aplicaciones especificadas que no son de administrador:

    • Dispositivos>Android Enterprise>Configuración>Crear>Nueva directiva>Plantillas>Restricciones de dispositivos>Aplicaciones>Permitir el acceso a todas las aplicaciones de Google Play Store

Paso 2: Implementación de la estrategia de la aplicación

En este paso, implemente la estrategia de la aplicación para bloquear o permitir aplicaciones de inteligencia artificial.

Estrategia de bloques (valor predeterminado)

Con una estrategia de bloque, no se puede descargar ninguna aplicación de Google Play Store a menos que se permita explícitamente. Siga estos pasos para asegurarse de que la aplicación que quiere bloquear no esté ya implementada en los dispositivos.

  1. En el centro de administración de Intune, vaya a Aplicaciones > androide > apps.
  2. Seleccione el nombre > de la aplicación Propiedades.
  3. Asegúrese de que Asignaciones no está establecida en Obligatorio, no está establecida en Disponible para dispositivos inscritos o no está establecida en Disponible con o sin inscripción.

Si no se establecen todas estas opciones, una directiva de Intune no ha implementado la aplicación. Si se establece alguna de estas opciones, se implementa la aplicación. En este escenario, puede cambiar la asignación a Desinstalar para quitarla de los dispositivos.

Permitir estrategia

Con una estrategia Permitir, se pueden descargar todas las aplicaciones de Google Play Store.

  1. Determine si la opción Permitir el acceso a todas las aplicaciones de Google Play Store está establecida en Permitir.

    Si usa Copilot, puede pedirle a Copilot que compruebe esta configuración. También puede crear un nuevo perfil de restricciones de dispositivo para configurar esta configuración.

    1. En el centro de administración de Intune, vaya aConfiguración de>dispositivos>Crear>nueva directiva.

    2. Configure las propiedades siguientes y seleccione Crear:

      • Plataforma: seleccione Android Enterprise.
      • Tipo de perfil: seleccione Plantillas>totalmente administradas, Dedicadas y Corporate-OwnedRestricciones de dispositivos de perfil > de trabajo.

    3. Expanda la categoría Aplicaciones y establezca la opción Permitir el acceso a todas las aplicaciones en Google Play Store enPermitir.

    4. Seleccione Siguiente y continúe creando el perfil. Para obtener instrucciones paso a paso, consulte Creación de perfiles de dispositivo.

  2. Agregue las aplicaciones que desea bloquear.

    Cuando se agregan a Intune, puede bloquear las aplicaciones. A continuación, se consideran aplicaciones administradas.

    1. En el centro de administración de Intune, vaya a Aplicaciones > Android > Crear > aplicación de Google Play administrada.
    2. Seleccione la aplicación de IA que desea bloquear >sincronizar.
    3. En Aplicaciones > aplicaciones androide > android, asegúrese de que la aplicación se muestra en la lista. La sincronización puede tardar unos minutos.

  3. Bloquea aplicaciones específicas al asignarlas para Desinstalar:

    Si las aplicaciones ya están instaladas en los dispositivos, asignarlas para Desinstalar las quita de los dispositivos.

    1. En el centro de administración de Intune, vaya a Aplicaciones > androide > apps.
    2. Seleccione la aplicación de IA que desea desinstalar >Propiedades.
    3. Seleccione Editar asignaciones>.
    4. En Desinstalar, agregue un grupo, usuarios o dispositivos.

Bloquear sitios web de IA

Objetivo: Bloquear sitios web de IA en aplicaciones de explorador web

Puede usar Intune directivas de configuración de aplicaciones para bloquear el acceso a sitios web de inteligencia artificial en aplicaciones de explorador web, como Microsoft Edge y Chrome. Solo se bloquean los sitios web que se introducen. Por lo tanto, también puede usar este enfoque para permitir solo sitios web de inteligencia artificial específicos. Si usa varios exploradores, debe crear una directiva independiente para cada aplicación de explorador web.

Tipos de inscripción admitidos:

  • Dispositivos corporativos totalmente administrados (COBO)
  • Dispositivos dedicados de propiedad corporativa (COSU)
  • Dispositivos corporativos con un perfil de trabajo (COPE)
  • Dispositivos de propiedad personal con un perfil de trabajo (BYOD)

Paso 1: Agregar el explorador web como una aplicación administrada

Para configurar los valores del explorador, primero debe agregar la aplicación del explorador a Intune para que se convierta en una aplicación administrada.

Para ver los pasos, consulte:

Paso 2: Creación de una directiva de configuración de aplicaciones

Siga estos pasos para crear una directiva de configuración de aplicaciones que configure la aplicación del explorador web para bloquear el acceso a los sitios web de inteligencia artificial que escriba.

  1. En el centro de administración de Intune, vaya a Configuración de > aplicaciones > Crear > dispositivos administrados.

  2. En Aspectos básicos, configure las siguientes propiedades:

    • Nombre: escriba un nombre para la directiva, como Bloquear sitios web de IA en Edge.

    • Plataforma: seleccione Android Enterprise.

    • Tipo de perfil: seleccione el tipo de inscripción:

      • Solo perfil de trabajo totalmente administrado, dedicado y Corporate-Owned
      • Dispositivos de perfil de trabajo de propiedad personal

    • Aplicación de destino: seleccione la aplicación del explorador que agregó, como Microsoft Edge o Chrome.

  3. Seleccione Siguiente.

  4. En Formatode configuraciónde configuración>, seleccione Escribir datos JSON. Escriba la lista de direcciones URL que se van a bloquear. Por ejemplo, escriba:

    {
  "key": "URLBlocklist",
  "valueStringArray": [ "https://chatgpt.com", "https://claude.ai", "https://copilot.microsoft.com", "https://perplexity.ai", "https://gemini.google.com" ]
}

  5. Seleccione Siguiente y continúe creando la directiva. Para obtener instrucciones paso a paso, consulte Agregar directivas de App Configuration para dispositivos Android Enterprise administrados.

Bloquear Screen-Driven experiencias de inteligencia artificial

Objetivo: bloquear las características que pueden leer contenido en pantalla

Las características de IA pueden leer contenido en pantalla y pueden proporcionar información & recomendaciones de las capturas de pantalla y el contenido que se muestran en la pantalla. Algunas de estas características están integradas en el sistema operativo, como Circle to Search, y algunas son proporcionadas por asistente aplicaciones.

Para bloquear estas características, puede usar Intune para restringir las capacidades de captura de pantalla y bloquear el uso compartido de contenido con aplicaciones con privilegios.

Tipos de inscripción admitidos:

  • Dispositivos corporativos totalmente administrados (COBO)
  • Dispositivos dedicados de propiedad corporativa (COSU)

Paso 1: Implementar cobertura básica

En este paso se crea una directiva de catálogo de configuración que configura la configuración Bloquear ayuda para el uso compartido de contenido con aplicaciones con privilegios .

Esta configuración bloquea el contenido, como capturas de pantalla y detalles de la aplicación, para que no se envíe a una aplicación con privilegios, como una aplicación asistente. La configuración se puede usar en las funcionalidades de IA de Android, como Circle to Search. Esta configuración no afecta a las capacidades generales de captura de pantalla.

  1. En el centro de administración de Intune, vaya a Configuración de > dispositivos > Crear > nueva directiva.

  2. Escriba las propiedades siguientes:

    • Plataforma: seleccione Android Enterprise.
    • Tipo de perfil: seleccione Catálogo de configuración.

  3. Seleccione Crear.

  4. En Aspectos básicos, escriba un nombre para el perfil y seleccione Siguiente.

  5. Seleccione Agregar configuración.

  6. Seleccione la categoría >GeneralBloquear ayuda para el uso compartido de contenido con aplicaciones con privilegios. Establezca su valor en True.

  7. Seleccione Siguiente y continúe creando el perfil. Para obtener instrucciones paso a paso, consulte Uso del catálogo de configuración de Intune para configurar la configuración.

Paso 2: Implementar cobertura completa (opcional)

Para una protección más completa, también puede restringir las capacidades de captura de pantalla y otras funcionalidades bloqueando las capturas de pantalla.

Esta configuración impide que las características de IA accedan al contenido en pantalla, pero también deshabilita las capturas de pantalla en todo el dispositivo.

  1. En el centro de administración de Intune, vaya a Configuración de > dispositivos > Crear > nueva directiva.

  2. Escriba las propiedades siguientes:

    • Plataforma: seleccione Android Enterprise.
    • Tipo de perfil: seleccione Catálogo de configuración.

  3. Seleccione Crear.

  4. En Aspectos básicos, escriba un nombre para el perfil y seleccione Siguiente.

  5. Seleccione Agregar configuración.

  6. Seleccione la categoría >GeneralBloquear captura de pantalla. Establezca su valor en True.

    Esta configuración impide que las características de IA accedan al contenido en pantalla. Los usuarios finales no pueden realizar capturas de pantalla en el dispositivo.

  7. Seleccione Siguiente y continúe creando el perfil. Para obtener instrucciones paso a paso, consulte Uso del catálogo de configuración de Intune para configurar la configuración.

Deshabilitar la aplicación del sistema de inteligencia artificial en el dispositivo

Objetivo: Bloquear el procesamiento de inteligencia artificial local de Google

Gemini Nano es el modelo de base en el dispositivo de Google y procesa las interacciones de inteligencia artificial en el dispositivo. Habilita las funcionalidades de resumen de inteligencia artificial y respuesta de mensajes en Mensajes, Grabadora, GBoard y otros servicios. Puede usar Intune para deshabilitar la aplicación del sistema AICore.

Tipos de inscripción admitidos:

  • Dispositivos corporativos totalmente administrados (COBO)
  • Dispositivos dedicados de propiedad corporativa (COSU)
  • Dispositivos corporativos con un perfil de trabajo (COPE)
  • Dispositivos de propiedad personal con un perfil de trabajo (BYOD)

Siga estos pasos para deshabilitar la aplicación del sistema AICore.

  1. En el centro de administración de Intune, seleccione Aplicaciones > androide > crear.

  2. En Seleccionar tipo de aplicación, seleccione Otra > aplicación de sistema de Android Enterprise y elija Seleccionar.

  3. En Información de la aplicación, configure las siguientes propiedades y, a continuación, seleccione Siguiente:

    • Nombre: escriba AICore.
    • Publicador: escriba Google Android.
    • Nombre del paquete: escriba com.google.android.aicore.

  4. En Etiquetas de ámbito, seleccione Siguiente.

  5. En Desinstalación de asignaciones>, seleccione las asignaciones de grupo de la aplicación. Al seleccionar Desinstalar, la aplicación está deshabilitada.

    Seleccione Siguiente.

  6. En Revisar y crear, revise los valores y la configuración que especificó para la aplicación. Cuando haya terminado, seleccione Crear.

Deshabilitar OEM-Specific funcionalidades de inteligencia artificial

Objetivo: Desactivar las características de inteligencia artificial proporcionadas por OEM

Los OEM pueden incluir sus propias características y funcionalidades de inteligencia artificial en el dispositivo, como las experiencias de Samsung Galaxy AI a través del complemento knox service. Estas características se administran normalmente a través de la aplicación OEMConfig del OEM. Con Intune, puede configurar la aplicación OEMConfig para administrar estas características de inteligencia artificial.

Para configurar la aplicación OEMConfig, debe conocer los valores de IA disponibles en la aplicación. Póngase en contacto con los OEM para obtener una lista de los controles de inteligencia artificial disponibles en sus aplicaciones OEMConfig.

Para obtener una lista de las aplicaciones OEMConfig admitidas, consulte OEMConfig in Intune - Supported OEMConfig apps (OemConfig apps admitidos en Intune: aplicaciones OEMConfig admitidas).

Tipos de inscripción admitidos:

  • Dispositivos corporativos totalmente administrados (COBO)
  • Dispositivos dedicados de propiedad corporativa (COSU)
  • Dispositivos corporativos con un perfil de trabajo (COPE)
  • Dispositivos de propiedad personal con un perfil de trabajo (BYOD)

Siga estos pasos para agregar, implementar y configurar la aplicación OEMConfig y sus funcionalidades de inteligencia artificial.

Paso 1: Agregar la aplicación OEMConfig

  1. En el centro de administración de Intune, vaya a Aplicaciones > Android > Crear > aplicación > de Google Play administrada Seleccione.
  2. Seleccione la aplicación OEMConfig que desea configurar.
  3. Elija Seleccionar>sincronización.

Asegúrese de que la aplicación se muestra en la lista (Aplicaciones > android android > apps). La sincronización puede tardar unos minutos.

Paso 2: Implementación de la aplicación OEMConfig

  1. En el centro de administración de Intune, vaya a Aplicaciones > androide > apps.

  2. Seleccione la aplicación OEMConfig que agregó.

  3. Seleccione Editarasignaciones de>propiedades>.

  4. Agregue el grupo o los usuarios a las siguientes asignaciones:

    • Obligatorio
    • Disponible para los dispositivos inscritos
    • Disponible con o sin inscripción

  5. Revise y guarde los cambios.

Paso 3: Configuración de la aplicación OEMConfig

  1. En el centro de administración de Intune, vaya a Dispositivos > Administrar dispositivos > Configuración > Crear > nueva directiva.

  2. Escriba las propiedades siguientes:

    • Plataforma: seleccione Android Enterprise.
    • Tipo de perfil: seleccione Plantillas > OEMConfig.

  3. Seleccione Crear.

  4. En Aspectos básicos, configure las siguientes propiedades y, a continuación, seleccione Siguiente:

    • Nombre: escriba un nombre para el perfil.
    • Aplicación OEMConfig: seleccione la aplicación OEMConfig que agregó y asignó.

  5. En Configuración, seleccione Diseñador de configuración o editor JSON para configurar los valores disponibles en la aplicación OEMConfig. Si selecciona Diseñador de configuración, es posible que pueda usar el cuadro buscar para buscar la configuración relacionada con la inteligencia artificial.

    La configuración disponible depende de la aplicación OEMConfig que seleccione. Póngase en contacto con el OEM para obtener una lista de los controles de IA disponibles en sus aplicaciones OEMConfig.

  6. Seleccione Siguiente y continúe creando el perfil. Para obtener instrucciones paso a paso, consulte Uso y administración de dispositivos Android Enterprise con OEMConfig.

    Asegúrese de asignar el perfil a los mismos grupos o usuarios a los que asignó la aplicación OEMConfig.

Contenido relacionado

  • Last updated on