Introducción a las directivas de Protección de aplicaciones

Intune directivas de protección de aplicaciones garantizan que los datos de una organización permanezcan seguros o contenidos en una aplicación administrada. Estas directivas le permiten controlar cómo las aplicaciones en dispositivos móviles acceden a los datos y los comparten. Una directiva puede aplicar reglas cuando el usuario intenta acceder a datos "corporativos" o moverlos. También puede prohibir o supervisar las acciones cuando el usuario está dentro de la aplicación. Una aplicación administrada en Intune es una aplicación protegida en la que Intune aplica directivas de protección de aplicaciones y administra la aplicación.

Intune directivas de protección de aplicaciones proporcionan varias ventajas. Estas ventajas incluyen la protección de datos corporativos en dispositivos móviles sin necesidad de inscripción de dispositivos y el control de cómo las aplicaciones en dispositivos móviles acceden a los datos y los comparten.

Entre los ejemplos de uso de directivas de protección de aplicaciones con Microsoft Intune se incluyen:

• Requerir un PIN o una huella digital para acceder al correo electrónico corporativo en un dispositivo móvil
• Impedir que los usuarios copien y peguen datos corporativos en aplicaciones personales
• Restricción del acceso a datos corporativos solo a aplicaciones aprobadas

Intune MAM administra muchas aplicaciones de productividad, como las aplicaciones de Microsoft 365 (Office). Consulte la lista oficial de aplicaciones protegidas de Microsoft Intune, disponible para uso público.

Cómo puede proteger los datos de la aplicación

Los empleados usan dispositivos móviles para tareas personales y profesionales. Al mismo tiempo que se asegura de que los empleados pueden ser productivos, evite la pérdida de datos. Esto incluye la pérdida de datos intencionada e involuntaria. Proteja también los datos de la empresa a los que se accede desde dispositivos que no están administrados por usted.

Puede usar directivas de protección de aplicaciones de Intune independientemente de cualquier otra solución de administración de dispositivos móviles (MDM). Esta independencia le ayuda a proteger los datos de la empresa tanto si inscribe los dispositivos en una solución de administración de dispositivos como si no. Al implementar directivas de nivel de aplicación, puede restringir el acceso a los recursos de la empresa y mantener los datos dentro del ámbito del departamento de TI.

Directivas de protección de aplicaciones en dispositivos

Configure directivas de protección de aplicaciones para aplicaciones que se ejecutan en dispositivos que son:

• Inscritos en Microsoft Intune: estos dispositivos son normalmente dispositivos corporativos.

• Inscrito en una solución de administración de dispositivos móviles (MDM) que no es de Microsoft: Estos dispositivos suelen ser de propiedad corporativa.

  Nota:

  Las directivas de administración de aplicaciones móviles no deben usarse con la administración de aplicaciones móviles que no sean de Microsoft ni con soluciones de contenedor seguras.

• No están inscritos en ninguna solución de administración de dispositivos móviles: Estos dispositivos suelen ser dispositivos propiedad de los empleados que no están administrados o inscritos en Intune u otras soluciones MDM.

Ventajas de usar las directivas de protección de aplicaciones

Las ventajas importantes del uso de directivas de protección de aplicaciones son las siguientes:

• Protegen los datos de empresa en el nivel de aplicación. Dado que la administración de aplicaciones móviles no requiere administración de dispositivos, proteja los datos de la empresa en dispositivos administrados y no administrados. La administración se centra en la identidad del usuario, lo que elimina la necesidad de administrar dispositivos.

• La productividad del usuario no se ve afectada y las directivas no se aplican al usar la aplicación en un contexto personal. Intune aplica directivas solo en un contexto de trabajo, lo que le ofrece la capacidad de proteger los datos de la empresa sin tocar los datos personales.

• Protección de aplicaciones directivas garantizan que las protecciones de la capa de aplicación estén en su lugar. Por ejemplo:

  • Solicitar un PIN para abrir una aplicación en un contexto de trabajo
  • Controlar el uso compartido de datos entre aplicaciones
  • Impedir el almacenamiento de datos de la aplicación de empresa en una ubicación de almacenamiento personal

• MDM con MAM garantiza que el dispositivo está protegido. Por ejemplo, requerir un PIN para acceder al dispositivo o implementar aplicaciones administradas en el dispositivo. Implemente también aplicaciones en dispositivos a través de la solución MDM para proporcionar más control sobre la administración de aplicaciones.

El uso de MDM con directivas de protección de aplicaciones ofrece más ventajas y las empresas pueden usar directivas de protección de aplicaciones con y sin MDM al mismo tiempo. Por ejemplo, considere a un empleado que usa un teléfono emitido por la empresa y su propia tableta personal. El teléfono de la empresa está inscrito en MDM y protegido por directivas de protección de aplicaciones. El dispositivo personal solo está protegido por directivas de protección de aplicaciones.

Si aplica una directiva MAM al usuario sin establecer el estado del dispositivo, el usuario obtiene la directiva MAM tanto en BYOD (traiga su propio dispositivo) como en el dispositivo administrado Intune. Aplique también directivas mam basadas en el estado de administración de dispositivos. Para obtener más información, consulte Directivas de protección de aplicaciones de destino basadas en el estado de administración de dispositivos. Al crear una directiva de protección de aplicaciones, seleccione No junto a Destino a todos los tipos de aplicación. A continuación, realice cualquiera de las siguientes acciones:

• Aplique una directiva de MAM menos estricta a los dispositivos administrados por Intune y aplique una más estricta a los dispositivos no inscritos en MDM.
• Aplique una directiva MAM sólo a los dispositivos no inscritos.

Plataformas admitidas para directivas de protección de aplicaciones

Intune ofrece una amplia variedad de funciones para ayudarle a obtener las aplicaciones que necesita en los dispositivos en los que quiere ejecutarlas. Para obtener más información, consulte Funcionalidades de administración de aplicaciones por plataforma.

La compatibilidad de plataformas de directivas de aplicaciones de Intune está alineada con la compatibilidad de plataformas de aplicaciones móviles de Office para dispositivos Android e iOS/iPadOS. Para obtener más información, consulte la sección Aplicaciones móviles de Requisitos del sistema de Office.

Además, cree directivas de protección de aplicaciones para dispositivos Windows. Para obtener más información, consulta Protección de aplicaciones experiencia para dispositivos Windows.

Marco de protección de datos de la directiva de protección de aplicaciones

Las opciones disponibles en las directivas de protección de aplicaciones permiten a las organizaciones adaptar la protección a sus necesidades específicas. Para algunos, es posible que no sea obvio qué configuración de directiva es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar la protección de puntos de conexión de cliente móvil, Microsoft presenta taxonomía para su marco de protección de datos de directivas de protección de aplicaciones para la administración de aplicaciones móviles de iOS y Android.

El marco de protección de datos de las directivas de protección de aplicaciones se organiza en tres niveles de configuración distintos, y cada nivel se crea a partir del nivel anterior:

• La protección de datos empresariales básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. La configuración de nivel 1 es una configuración de nivel de entrada que proporciona un control de protección de datos similar en Exchange Online directivas de buzón de correo e introduce ti y el rellenado de usuarios en APP.
• La protección de datos mejorada de empresa (nivel 2) presenta los mecanismos de prevención de pérdida de datos de las directivas de protección de aplicaciones y los requisitos mínimos del sistema operativo. La configuración de nivel 2 es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
• La protección de datos de alta empresa (nivel 3) presenta mecanismos avanzados de protección de datos, configuración mejorada de PIN y directivas de protección de aplicaciones de Mobile Threat Defense. La configuración de nivel 3 es deseable para los usuarios que acceden a datos de alto riesgo.

A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.

Cómo las directivas de protección de aplicaciones protegen los datos de las mismas

Aplicaciones sin directivas de protección de aplicaciones

Cuando se usan aplicaciones sin restricciones, los datos personales y de la empresa se pueden intercalar. Los datos de la empresa pueden acabar en ubicaciones como el almacenamiento personal o ser transferidos a aplicaciones fuera de su alcance y provocar la pérdida de datos. Las flechas del diagrama siguiente muestran el movimiento sin restricciones de los datos entre aplicaciones (personales y corporativas) y hacia ubicaciones de almacenamiento.

Protección de datos con directivas de protección de aplicaciones

Use directivas de Protección de aplicaciones para evitar que los datos de la empresa se guarden en el almacenamiento local del dispositivo (consulte la siguiente imagen). Restrinja también el movimiento de datos a otras aplicaciones que no estén protegidas por directivas de Protección de aplicaciones. La configuración de la directiva de protección de aplicaciones incluye:

• Directivas de reubicación de datos como Guardar copias de datos de la organización y Restringir cortar, copiar y pegar.
• Configuraciones de directivas de acceso como Requerir un PIN simple para acceder, y Bloquear la ejecución de aplicaciones administradas en dispositivos con jailbreak o rooteados.

Protección de datos con APP en dispositivos administrados por una solución MDM

En la ilustración siguiente se muestran las capas de protección que las directivas MDM y Protección de aplicaciones ofrecen juntas.

La solución MDM agrega valor al proporcionar lo siguiente:

• Inscribe el dispositivo
• Implementa las aplicaciones en el dispositivo
• Proporciona el cumplimiento y la administración continua de los dispositivos

Las directivas de protección de aplicaciones agregan valor al proporcionar lo siguiente:

• Ayudan a evitar la fuga de datos de la compañía a aplicaciones y servicios de consumidor.
• Aplican restricciones (Guardar como, Portapapeles, PIN, etc.) a las aplicaciones cliente.
• Borran datos de compañía de las aplicaciones cuando es necesario sin borrar esas aplicaciones del dispositivo.

Protección de datos con APP para dispositivos sin inscripción

En el diagrama siguiente se muestra cómo funcionan las directivas de protección de datos en el nivel de aplicación sin MDM.

Para los dispositivos BYOD no inscritos en ninguna solución MDM, las directivas de protección de aplicaciones pueden ayudar a proteger los datos de la empresa a nivel de aplicación. Sin embargo, existen algunas limitaciones que se deben tener en cuenta, como:

• Las aplicaciones no se implementan en el dispositivo. El usuario obtiene las aplicaciones de la tienda.
• Los perfiles de certificado no se aprovisionan en estos dispositivos.
• La configuración de Wi-Fi y VPN de la empresa no se aprovisiona en estos dispositivos.

Aplicaciones que puede administrar con directivas de protección de aplicaciones

Cualquier aplicación que se integre con el SDK de Intune o se ajuste mediante el Intune App Wrapping Tool se puede administrar mediante Intune directivas de protección de aplicaciones. Consulta la lista oficial de Microsoft Intune aplicaciones protegidas que usan estas herramientas y que están disponibles para uso público.

El equipo de desarrollo del SDK de Intune prueba y mantiene activamente la compatibilidad con las aplicaciones creadas con las plataformas nativas de Android e iOS/iPadOS (Obj-C, Swift). Aunque algunos clientes han tenido éxito con Intune integración del SDK con otras plataformas, como React Native y NativeScript, no se proporcionan instrucciones explícitas ni complementos para desarrolladores de aplicaciones que usen otras plataformas que no sean las admitidas.

Requisitos de usuario para usar directivas de protección de aplicaciones

En la lista siguiente se proporcionan los requisitos de usuario para usar directivas de protección de aplicaciones en una aplicación administrada Intune:

• El usuario debe tener una cuenta de Microsoft Entra. Consulte Agregar usuarios y conceder permiso administrativo a Intune para obtener información sobre cómo crear usuarios Intune en Microsoft Entra ID.

• El usuario debe tener una licencia para Microsoft Intune asignada a su cuenta de Microsoft Entra. Consulte Administración de licencias de Intune para obtener información sobre cómo asignar licencias de Intune a los usuarios.

• El usuario debe pertenecer a un grupo de seguridad destinado a una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe aplicarse a la aplicación específica que se usa. Protección de aplicaciones directivas se pueden crear e implementar en el centro de administración de Microsoft Intune. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.

• El usuario debe iniciar sesión en la aplicación con su cuenta de Microsoft Entra.

directivas de Protección de aplicaciones para aplicaciones de Microsoft 365 (Office)

Hay algunos requisitos más que desea tener en cuenta al usar directivas de Protección de aplicaciones con aplicaciones de Microsoft 365 (Office).

Aplicación móvil de Outlook

Entre los requisitos para usar la aplicación móvil de Outlook se incluyen los siguientes:

• El usuario debe tener la aplicación móvil de Outlook instalada en su dispositivo.

• El usuario debe tener un buzón y una licencia de Microsoft 365 Exchange Online vinculado a su cuenta de Microsoft Entra.

  Nota:

  Actualmente, la aplicación móvil de Outlook solo admite Intune App Protection para Microsoft Exchange Online y Exchange Server con autenticación moderna híbrida y no admite Exchange en Office 365 Dedicado.

Word, Excel y PowerPoint

Los requisitos para usar las aplicaciones Word, Excel y PowerPoint incluyen lo siguiente:

• El usuario debe tener una licencia para Aplicaciones Microsoft 365 para negocios o empresa vinculada a su cuenta de Microsoft Entra. La suscripción debe incluir las aplicaciones de Microsoft 365 en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con Microsoft OneDrive. Las licencias de Microsoft 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.

• El usuario debe tener una ubicación administrada configurada mediante la funcionalidad guardar pormenorizada como en la configuración de directiva de protección de aplicaciones "Guardar copias de datos de la organización". Por ejemplo, si la ubicación administrada es OneDrive, la aplicación de OneDrive debe configurarse en la aplicación de Word, Excel o PowerPoint del usuario.

• Si la ubicación administrada es OneDrive, la directiva de protección de la aplicación debe tener como destino la aplicación implementada para el usuario.

  Nota:

  Las aplicaciones móviles de Office actualmente sólo son compatibles con SharePoint Online y no con SharePoint local.

Ubicación administrada necesaria para Office

Se necesita una ubicación administrada (es decir, OneDrive) para Office. Intune marca todos los datos de la aplicación como "corporativos" o "personales". Los datos se consideran "corporativos" cuando se originan desde una ubicación empresarial. En el caso de las aplicaciones de Microsoft 365, Intune considera lo siguiente como ubicaciones empresariales: correo electrónico (Exchange) o almacenamiento en la nube (aplicación de OneDrive con una cuenta profesional o educativa de OneDrive).

Skype Empresarial

Hay más requisitos para usar Skype Empresarial. Consulte los requisitos de licencias de Skype Empresarial. Para ver las configuraciones híbridas y locales de Skype Empresarial (SfB), consulte Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID ,respectivamente.

Directiva global de protección de aplicaciones

Si un administrador de OneDrive va a admin.office.com y selecciona Acceso de dispositivo, podrá establecer los controles Administración de aplicaciones móviles en las aplicaciones cliente de OneDrive y SharePoint.

La configuración que está disponible en la consola de OneDrive Administración, configura una directiva especial de protección de aplicaciones Intune denominada directiva global. Esta directiva global se aplica a todos los usuarios de su inquilino y no tiene forma de controlar los destinos de la directiva.

Una vez habilitada, las aplicaciones de OneDrive y SharePoint para iOS/iPadOS y Android se protegen con la configuración seleccionada de forma predeterminada. Un profesional de TI puede editar esta directiva en el centro de administración de Microsoft Intune para agregar más aplicaciones de destino y modificar cualquier configuración de directiva.

De forma predeterminada, solo puede haber una directiva Global por inquilino. Sin embargo, puede usar una Graph API de Intune para crear otras directivas globales por inquilino, aunque no se recomienda. ya que puede ser complicado solucionar problemas en la implementación de esta directiva.

Aunque la directiva global se aplica a todos los usuarios del inquilino, cualquier directiva de protección de aplicaciones Intune estándar invalida esta configuración.

Características de protección de aplicaciones

Varias identidades

La compatibilidad con varias identidades permite a una aplicación admitir varias audiencias. Estas audiencias son tanto usuarios "corporativos" como "personales". Las audiencias "corporativas" usan cuentas profesionales y educativas, mientras que las audiencias de consumidores, como los usuarios de Microsoft 365 (Office), usarían cuentas personales. Una aplicación que admite varias identidades se puede lanzar públicamente allí donde las directivas de protección de aplicaciones se aplican solo al usarse la aplicación en el contexto profesional y educativo ("corporativo"). La compatibilidad con varias identidades usa el SDK de Intune solo para aplicar las directivas de protección de aplicaciones a la cuenta profesional o educativa con la que se ha iniciado sesión en la aplicación. Si se ha iniciado sesión en la aplicación con una cuenta personal, los datos no se modifican. Las directivas de protección de aplicaciones se pueden usar para evitar la transferencia de datos de la cuenta profesional o educativa a cuentas personales dentro de una aplicación de varias identidades, cuentas personales dentro de otras aplicaciones o aplicaciones personales.

Para ver un ejemplo de contexto "personal", considere la posibilidad de que un usuario que inicia un nuevo documento en Word, esto se considera contexto personal para que no se apliquen Intune directivas de App Protection. Una vez que el documento se guarda en la cuenta "corporativa" de OneDrive, se considera contexto "corporativo" y se aplican Intune directivas de App Protection.

Considere los siguientes ejemplos para el contexto de trabajo o "corporativo":

• Un usuario inicia la aplicación OneDrive con su cuenta profesional. En el contexto de trabajo, no puede mover los archivos a una ubicación de almacenamiento personal. Más adelante, cuando usa OneDrive con su cuenta personal, puede copiar y mover los datos de su OneDrive personal sin restricciones.
• Un usuario comienza a redactar un correo electrónico en la aplicación Outlook. Una vez que el asunto o el cuerpo del mensaje se han rellenado, el usuario no puede cambiar la dirección de origen del contexto laboral al personal, ya que el asunto y el cuerpo del mensaje están protegidos por la directiva de protección de aplicaciones.

PIN de aplicación de Intune

El número de identificación personal (PIN) es un código de acceso utilizado para verificar que el usuario correcto está accediendo a los datos de la organización en una aplicación.

Solicitud de PIN
Intune solicita el PIN de la aplicación del usuario cuando este esté a punto de acceder a los datos "corporativos". En las aplicaciones de varias identidades, como Word, Excel o PowerPoint, se le pedirá al usuario el PIN cuando intente abrir un archivo o documento "corporativos". En las aplicaciones de identidad única, como las aplicaciones de línea de negocio administradas mediante el Intune App Wrapping Tool, el PIN se solicita al iniciarse, ya que el SDK de Intune sabe que la experiencia del usuario en la aplicación siempre es "corporativa".

Solicitud de PIN, solicitud de credenciales corporativas, frecuencia
El administrador de TI puede definir la configuración de directiva de protección de aplicaciones Intune Volver a comprobar los requisitos de acceso después de (minutos) en el centro de administración de Microsoft Intune. Esta opción especifica el periodo de tiempo antes de comprobar los requisitos de acceso en el dispositivo y se vuelve a mostrar la pantalla del PIN de la aplicación, o bien la solicitud de credenciales corporativas. Sin embargo, los detalles importantes sobre el PIN que afectan a la frecuencia con la que se solicita al usuario son:

• El PIN se comparte entre las aplicaciones del mismo publicador para mejorar la capacidad de uso:
  En iOS/iPadOS, un PIN de aplicación se comparte entre todas las aplicaciones del mismo publicador de aplicaciones. Por ejemplo, todas las aplicaciones de Microsoft comparten el mismo PIN. En Android, un PIN de aplicación se comparte entre todas las aplicaciones.
• El comportamiento Volver a comprobar los requisitos de acceso tras (minutos) tras un reinicio del dispositivo:
  Un temporizador hace un seguimiento del número de minutos de inactividad que determinan cuándo mostrar el PIN de la aplicación Intune o la solicitud de credenciales corporativas. En iOS/iPadOS, el temporizador no se ve afectado por el reinicio del dispositivo. Por lo tanto, el reinicio del dispositivo no tiene ningún efecto en el número de minutos que el usuario permanece inactivo desde una aplicación iOS/iPadOS con Intune directiva de PIN (o credencial corporativa) dirigida. En Android, el temporizador se restablece al reiniciar el dispositivo. Por lo tanto, es probable que las aplicaciones Android con Intune directiva de PIN (o credenciales corporativas) soliciten un PIN de aplicación o un símbolo del sistema de credenciales corporativas, independientemente del valor de configuración "Volver a comprobar los requisitos de acceso después de (minutos)" después del reinicio del dispositivo.
• La naturaleza en secuencia del temporizador asociado al PIN:
  al escribir el PIN para acceder a una aplicación (aplicación A), cuando esta deja de estar en primer plano (foco de entrada principal) en el dispositivo, se restablece el temporizador de ese PIN. Cualquier aplicación (aplicación B) que comparta este PIN no solicitará al usuario la entrada de PIN porque el temporizador se ha restablecido. El símbolo del sistema vuelve a mostrarse una vez que se vuelve a cumplir el valor "Volver a comprobar los requisitos de acceso después de (minutos)".

En el caso de los dispositivos iOS/iPadOS, incluso si el PIN se comparte entre aplicaciones de distintos publicadores, el mensaje se vuelve a mostrar cuando se vuelve a cumplir el valor Volver a comprobar los requisitos de acceso después de (minutos) para la aplicación que no es el foco de entrada principal. Así, por ejemplo, un usuario tiene la aplicación A del editor X y la aplicación B del editor Y, y esas dos aplicaciones comparten el mismo PIN. El usuario se centra en la aplicación A (en primer plano) y la aplicación B está minimizada. Después de que se cumpla el valor Volver a comprobar los requisitos de acceso después de (minutos) y el usuario cambie a la aplicación B, se requiere el PIN.

PIN de aplicación integrados para Outlook y OneDrive
El PIN Intune funciona en función de un temporizador basado en inactividad (el valor de Volver a comprobar los requisitos de acceso después de (minutos)). Por lo tanto, Intune avisos de PIN se muestran independientemente de las solicitudes de PIN de aplicación integradas para Outlook y OneDrive, que a menudo están asociadas al inicio de la aplicación de forma predeterminada. Si el usuario recibe ambas solicitudes de PIN al mismo tiempo, el comportamiento esperado es que el PIN de Intune tenga prioridad.

Seguridad de PIN de Intune
El PIN sirve para que sólo el usuario correcto pueda acceder a los datos de su organización en la aplicación. Por lo tanto, un usuario debe iniciar sesión con su cuenta profesional o educativa para poder establecer o restablecer el PIN de Intune aplicación. Microsoft Entra ID controla esta autenticación a través del intercambio seguro de tokens y el SDK de Intune no la ve. Desde una perspectiva de seguridad, la mejor manera de proteger los datos profesionales o educativos es cifrarlos. El cifrado no está relacionado con el PIN de la aplicación, pero es su propia directiva de protección de aplicaciones.

Protección contra ataques por fuerza bruta y el PIN de Intune
Como parte de la directiva de PIN de la aplicación, el administrador de TI puede establecer el número máximo de veces que un usuario puede intentar autenticar su PIN antes de bloquear la aplicación. Una vez alcanzado el número de intentos, el SDK de Intune puede borrar los datos "corporativos" de la aplicación.

PIN de Intune y eliminación selectiva
En iOS/iPadOS, la información del PIN de nivel de aplicación se almacena en la cadena de claves que se comparte entre las aplicaciones con el mismo publicador, como todas las aplicaciones de Microsoft de primera entidad. Esta información de PIN también está asociada a una cuenta de usuario. Un borrado selectivo de una aplicación no afecta a una aplicación diferente.

Por ejemplo, un PIN establecido para Outlook para el usuario que ha iniciado sesión se almacena en una cadena de claves compartida. Cuando el usuario inicia sesión en OneDrive (también publicado por Microsoft), ve el mismo PIN que Outlook, ya que usa la misma cadena de claves compartida. Al cerrar la sesión de Outlook o borrar los datos de usuario en Outlook, el SDK de Intune no borra esa cadena de claves porque OneDrive podría seguir usando ese PIN. Por este motivo, los borrados selectivos no borran esa cadena de claves compartida, incluido el PIN. Este comportamiento permanece igual incluso si solo existe una aplicación por editor en el dispositivo.

Dado que el PIN se comparte entre las aplicaciones con el mismo publicador, si el borrado va a una sola aplicación, el SDK de Intune no sabe si hay otras aplicaciones en el dispositivo con el mismo publicador. Por lo tanto, el SDK de Intune no borra el PIN, ya que podría seguir utilizándose para otras aplicaciones. La expectativa es que el PIN de la aplicación se borre cuando la última aplicación de ese publicador se quite finalmente como parte de alguna limpieza del sistema operativo.

Si observa que el PIN se borra en algunos dispositivos, es probable que se produzca el siguiente comportamiento: dado que el PIN está asociado a una identidad, si el usuario inicia sesión con una cuenta diferente después de un borrado, se le pedirá que escriba un nuevo PIN. Sin embargo, si inician sesión con una cuenta existente anteriormente, se puede usar un PIN almacenado en la cadena de claves para iniciar sesión.

¿Establecer un PIN dos veces en las aplicaciones del mismo editor?
MAM (en iOS/iPadOS) actualmente permite que el PIN de nivel de aplicación con caracteres alfanuméricos y especiales (denominado "código de acceso") que requiere la participación de aplicaciones (es decir, WXP, Outlook, Viva Engage) integre el SDK de Intune para iOS. Sin esto, la configuración del código de acceso no se aplica correctamente para las aplicaciones de destino. Se trata de una característica publicada en el SDK de Intune para iOS v. 7.1.12.

Para admitir esta característica y garantizar la compatibilidad con versiones anteriores del SDK de Intune para iOS/iPadOS, todos los PIN (numéricos o de código de acceso) de la versión 7.1.12+ se controlan por separado del PIN numérico en versiones anteriores del SDK. Se ha introducido otro cambio en el SDK de Intune para iOS v 14.6.0 que hace que todos los PIN en 14.6.0+ sean controlados por separado de cualquier PIN en versiones anteriores del SDK.

Por lo tanto, si un dispositivo tiene aplicaciones con Intune SDK para versiones de iOS anteriores a la 7.1.12 Y posteriores a la 7.1.12 desde el mismo publicador (o versiones anteriores a 14.6.0 Y posteriores a la 14.6.0), deben configurar dos PIN. Los dos PIN (para cada aplicación) no están relacionados de ninguna manera (es decir, deben cumplir la directiva de protección de aplicaciones que se aplica a la aplicación). Por lo tanto, si las aplicaciones A y B tienen las mismas directivas aplicadas (con respecto al PIN), el usuario podría configurar el mismo PIN dos veces.

Este comportamiento es específico para el PIN en aplicaciones iOS/iPadOS que ya están habilitadas con la Administración de aplicaciones móviles de Intune. Con el tiempo, a medidas que las aplicaciones adoptan las versiones posteriores del SDK de Intune para iOS/iPadOS, el hecho de tener que establecer un PIN dos veces en las aplicaciones del mismo editor dejará de ser un problema importante.

Cifrado de datos de aplicación

Los administradores de TI pueden implementar una directiva de protección de aplicaciones que requiere cifrar los datos de aplicaciones. Como parte de la directiva, el administrador de TI también puede especificar cuándo se cifra el contenido.

Cómo procesa el cifrado de datos de Intune
Vea la configuración de directivas de protección de aplicaciones Android y la configuración de la protección de aplicaciones iOS/iPadOS para obtener información detallada sobre la configuración de directiva de protección de aplicaciones de cifrado.

Datos que están cifrados
Solo se cifran los datos marcados como "corporativos" según la directiva de protección de la aplicación del administrador de TI. Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa. En el caso de las aplicaciones de Microsoft 365, Intune considera lo siguiente como ubicaciones empresariales:

• Correo electrónico (Exchange)
• Almacenamiento en la nube (aplicación de OneDrive con una cuenta profesional o educativa de OneDrive)

En el caso de las aplicaciones de línea de negocio administradas por el Intune App Wrapping Tool, todos los datos de la aplicación se consideran "corporativos".

Borrado selectivo

Borrar de forma remota los datos
Intune puede borrar los datos de aplicación de tres formas diferentes:

• Borrado completo del dispositivo
• Borrado selectivo para MDM
• Borrado selectivo de MAM

Para obtener más información sobre el borrado remoto de MDM, vea Eliminación de dispositivos mediante Borrar o Retirar. Para obtener más información sobre el borrado selectivo mediante MAM, consulte la acción Retirar y Borrado solo de datos corporativos de aplicaciones administradas por Intune.

El borrado de dispositivo completo quita todos los datos de usuario y la configuración del dispositivo restaurando el dispositivo a la configuración predeterminada de fábrica. El dispositivo se quita de Intune.

Borrado selectivo para MDM
Consulte Eliminación de dispositivos: retirar para obtener información sobre cómo eliminar datos de la empresa.

Borrado selectivo para MAM
El borrado selectivo de MAM quita los datos de la aplicación de empresa de una aplicación. La solicitud se inicia mediante Intune. Para obtener información sobre cómo iniciar una solicitud de borrado, consulte Borrado solo de datos corporativos de aplicaciones.

Si el usuario está utilizando la aplicación cuando se inicia el borrado selectivo, el SDK de Intune comprueba cada 30 minutos una solicitud de borrado selectivo desde el servicio Intune MAM. También comprueba el borrado selectivo cuando el usuario inicia la aplicación por primera vez e inicia sesión con su cuenta profesional o educativa.

Cuando los servicios locales no funcionan con aplicaciones protegidas de Intune
La protección de aplicaciones de Intune depende de la identidad del usuario para ser coherente entre la aplicación y el SDK de Intune. La única manera de garantizar esto es a través de la autenticación moderna. Hay escenarios en los que las aplicaciones pueden funcionar con una configuración local, pero no son coherentes ni están garantizadas.

Forma segura de abrir vínculos web desde aplicaciones administradas
El administrador de TI puede implementar y establecer una directiva de protección de aplicaciones para Microsoft Edge, un explorador web que se puede administrar fácilmente con Intune. El administrador de TI puede requerir que todos los vínculos web de las aplicaciones administradas por Intune se abran mediante Microsoft Edge.

Experiencia de protección de aplicaciones para dispositivos iOS

Identificadores de cara o huella digital del dispositivo

Las directivas de protección de aplicaciones de Intune permiten controlar el acceso a las aplicaciones sólo al usuario con licencia de Intune. Una de las maneras de controlar el acceso a la aplicación es exigir Touch ID o Face ID de Apple en dispositivos admitidos. Intune implementa un comportamiento en el que, si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se cumple el siguiente valor de tiempo de espera de inactividad. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital. Si el usuario Intune no tiene un PIN establecido, se le lleva a configurar un PIN de Intune.

La finalidad de este proceso es seguir manteniendo los datos de la organización dentro de la aplicación seguros y protegidos en el nivel de aplicación. Esta característica solo está disponible para iOS/iPadOS y requiere la participación de las aplicaciones que integran el SDK de Intune para iOS/iPadOS, versión 9.0.1 o posterior. La integración del SDK es necesaria para poder aplicar el comportamiento en las aplicaciones de destino. Esta integración ocurre de manera gradual y depende de los equipos de la aplicación específica. Algunas aplicaciones que participan incluyen WXP, Outlook y Viva Engage.

Extensión de recursos compartidos de iOS

Use la extensión de recurso compartido iOS/iPadOS para abrir datos profesionales o educativos en aplicaciones no administradas, incluso con la directiva de transferencia de datos establecida solo en aplicaciones administradas o sin aplicaciones. Intune directiva de protección de aplicaciones no puede controlar la extensión de recurso compartido de iOS/iPadOS sin administrar el dispositivo. Por lo tanto, Intune cifra los datos "corporativos" antes de compartirlos fuera de la aplicación. Valide este comportamiento de cifrado intentando abrir un archivo "corporativo" fuera de la aplicación administrada. El archivo debe estar cifrado y no debe poder abrirse fuera de la aplicación administrada.

Compatibilidad con vínculos universales

De forma predeterminada, Intune directivas de protección de aplicaciones impiden el acceso al contenido de la aplicación no autorizado. En iOS/iPadOS, hay funcionalidad para abrir contenido o aplicaciones específicos mediante vínculos universales.

Los usuarios pueden deshabilitar los vínculos universales de una aplicación si los visitan en Safari y seleccionan Abrir en una nueva pestaña o Abrir. Para usar vínculos universales con Intune directivas de protección de aplicaciones, es importante volver a habilitar los vínculos universales. El usuario tendría que hacer un abrir en el< nombre > dela aplicación en Safari después de presionar durante mucho tiempo un vínculo correspondiente. Esto debería pedir a cualquier aplicación protegida que enrute todos los vínculos universales a la aplicación protegida en el dispositivo.

Varias configuraciones de acceso de protección de aplicaciones de Intune para el mismo conjunto de aplicaciones y usuarios

Intune directivas de protección de aplicaciones para el acceso se aplican en un orden específico en los dispositivos de usuario cuando intentan acceder a una aplicación de destino desde su cuenta corporativa. En general, tendría prioridad un borrado, seguido de un bloqueo, y luego, una advertencia descartable. Por ejemplo, si se aplica al usuario o aplicación específico, se aplica una configuración mínima del sistema operativo iOS/iPadOS que advierte a un usuario de que actualice su versión de iOS/iPadOS después de la configuración mínima del sistema operativo iOS/iPadOS que bloquea el acceso del usuario. Por lo tanto, en el escenario en el que el administrador de TI configura el sistema operativo iOS mínimo en 11.0.0.0 y el sistema operativo iOS mínimo (solo advertencia) en 11.1.0.0, mientras que el dispositivo que intentaba acceder a la aplicación estaba en iOS 10, el usuario se bloquearía en función de la configuración más restrictiva para la versión mínima del sistema operativo iOS que da lugar a un acceso bloqueado.

Cuando se trabaja con distintos tipos de configuraciones, un requisito de versión del SDK de Intune tendría prioridad, seguido por el requisito de versión de la aplicación y el requisito de versión del sistema operativo de iOS/iPadOS. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración. Configure el requisito de versión del SDK de Intune solo según las instrucciones del equipo de Intune producto para escenarios de bloqueo esenciales.

Experiencia de protección de aplicaciones para dispositivos Android

Dispositivos Android de Microsoft Teams

La aplicación teams en dispositivos Android de Microsoft Teams no admite directivas de protección de aplicaciones (no recibe directivas a través de la aplicación Portal de empresa). Esto significa que la configuración de la directiva de protección de aplicaciones no se aplicará a Teams en dispositivos Android de Microsoft Teams. Si tiene directivas de protección de aplicaciones configuradas para estos dispositivos, considere la posibilidad de crear un grupo de usuarios de dispositivos de Teams y excluir ese grupo de las directivas de protección de aplicaciones relacionadas. Además, considere la posibilidad de modificar la directiva de inscripción de Intune, las directivas de acceso condicional y las directivas de cumplimiento de Intune para que incluyan la configuración admitida. Si no puede cambiar las directivas existentes, debe configurar (exclusión) filtros de dispositivo. Compruebe cada configuración con la configuración de acceso condicional existente y Intune directiva de cumplimiento para saber si incluye la configuración no admitida. Para obtener más información, vea Acceso condicional compatible y directivas de cumplimiento de dispositivos Intune para dispositivos Android de Salas de Microsoft Teams y Teams. Para obtener información relacionada con las Salas de Microsoft Teams, consulte Acceso condicional y cumplimiento de Intune para Salas de Microsoft Teams.

Autenticación biométrica del dispositivo

En el caso de los dispositivos Android que admiten la autenticación biométrica, permite a los usuarios usar huellas digitales o Desbloqueo facial, en función de lo que admita su dispositivo Android. Configure si se pueden usar todos los tipos biométricos más allá de la huella digital para autenticarse. Huella digital y desbloqueo facial solo están disponibles para los dispositivos fabricados para admitir estos tipos biométricos y ejecutan la versión correcta de Android. Se requiere Android 6 y versiones posteriores para la huella digital, y se requiere Android 10 y versiones posteriores para el desbloqueo facial.

Aplicación del Portal de empresa y protección de aplicaciones de Intune

La mayor parte de la función de protección de aplicaciones se integra en la aplicación de portal de empresa. La inscripción de dispositivos no es necesaria* aunque la aplicación de Portal de empresa siempre sea necesaria. Para Mobile Application Management (MAM), el usuario debe tener la aplicación Portal de empresa instalada en el dispositivo.

Varias configuraciones de acceso de protección de aplicaciones de Intune para el mismo conjunto de aplicaciones y usuarios

Intune directivas de protección de aplicaciones para el acceso se aplican en un orden específico en los dispositivos de usuario cuando intentan acceder a una aplicación de destino desde su cuenta corporativa. En general, un bloque tendría prioridad y, a continuación, una advertencia descartable. Por ejemplo, si se aplica al usuario o aplicación específico, se aplica una configuración mínima de versión de revisión de Android que advierte a un usuario de que realice una actualización de revisión después de la configuración de versión mínima de revisión de Android que bloquea el acceso del usuario. Por lo tanto, en el escenario en el que el administrador de TI configura la versión mínima de revisión de Android en 2018-03-01 y la versión mínima de revisión de Android (solo advertencia) en 2018-02-01, mientras que el dispositivo que intentaba acceder a la aplicación estaba en una versión 2018-01-01de revisión, el usuario se bloquearía en función de la configuración más restrictiva para la versión mínima de revisión de Android que da lugar a un acceso bloqueado.

Al tratar con diferentes tipos de configuración, un requisito de versión de la aplicación tendría prioridad, seguido de un requisito de versión del sistema operativo Android y un requisito de versión de revisión de Android. A continuación, las advertencias se comprueban para todos los tipos de configuración en el mismo orden.

Intune directivas de protección de aplicaciones y la comprobación de integridad de dispositivos Android de Google Play

Intune directivas de protección de aplicaciones proporcionan la funcionalidad para que los administradores requieran que los dispositivos de usuario pasen la comprobación de integridad de dispositivos De Google Play para dispositivos Android. Se notifica al administrador de TI una nueva determinación del servicio de Google Play en un intervalo determinado por el servicio Intune. La frecuencia con la que se realiza la llamada de servicio se limita debido a la carga, por lo que este valor se mantiene internamente y no se puede configurar. Cualquier acción configurada por el administrador de TI para la configuración de integridad del dispositivo de Google se realiza en función del último resultado notificado al servicio Intune en el momento del inicio condicional. Si no hay datos, se permite el acceso en función de que no se produzca ningún otro error en las comprobaciones de inicio condicional y el "ida y vuelta" del servicio Google Play para determinar los resultados de la atestación comienza en el back-end y solicita al usuario de forma asincrónica si se produce un error en el dispositivo. Si hay datos obsoletos, el acceso se bloquea o se permite en función del último resultado notificado y, de forma similar, comienza un "ida y vuelta" del servicio Google Play para determinar los resultados de la atestación y solicita al usuario de forma asincrónica si se produce un error en el dispositivo.

Directivas de protección de aplicaciones de Intune y Verify Apps API de Google para dispositivos Android

Intune directivas de Protección de aplicaciones proporcionan la funcionalidad para que los administradores requieran que los dispositivos de usuario envíen señales a través de la API Verify Apps de Google para dispositivos Android. Las instrucciones para hacerlo varían ligeramente en función del dispositivo. El proceso general implica ir a Google Play Store, seleccionar Mis aplicaciones & juegos y seleccionar el resultado del último examen de la aplicación, que te lleva al menú Play Protect. Asegúrese de que la opción de Escanear el dispositivo en busca de amenazas de seguridad esté activada.

Play Integrity API de Google

Intune usa las API play integrity de Google para agregar a las comprobaciones de detección raíz existentes para los dispositivos no inscritos. Google desarrolla y mantiene este conjunto de API para que las aplicaciones androide adopten si no quieren que sus aplicaciones se ejecuten en dispositivos rooteados. La aplicación Android Pay incorpora esto, por ejemplo. Aunque Google no comparte públicamente la totalidad de las comprobaciones de detección raíz que se producen, estas API detectan usuarios que rootean sus dispositivos. A estos usuarios se les puede bloquear el acceso o borrar sus cuentas corporativas de las aplicaciones habilitadas por la directiva. Comprobar integridad básica muestra información sobre la integridad general del dispositivo. Los dispositivos arraigados, los emuladores, los dispositivos virtuales y los dispositivos con signos de manipulación fallan en la integridad básica. Comprobar integridad básica y dispositivos certificados ofrece información sobre la compatibilidad del dispositivo con los servicios de Google. Solo los dispositivos no modificados que Google certifica pueden pasar esta comprobación. Los dispositivos que producen un error incluyen lo siguiente:

• Dispositivos que producen error en la integridad básica
• Dispositivos con un cargador de arranque desbloqueado
• Dispositivos con una imagen de sistema personalizada o ROM
• Dispositivos que el fabricante no ha pedido o aprobado la certificación de Google
• Dispositivos con una imagen de sistema creada directamente desde los archivos de origen del Android Open Source Program
• Dispositivos con una imagen de sistema de versión preliminar beta o de desarrollador

Consulte la documentación de Google en Play Integrity API de Google para obtener detalles técnicos.

Configuración del veredicto de integridad de reproducción y configuración de "dispositivos con jailbreak/root"

El veredicto de integridad de juego requiere que el usuario esté en línea, al menos durante el tiempo en que se ejecuta el "recorrido de ida y vuelta" para determinar los resultados de la atestación. Si el usuario está sin conexión, el administrador de TI todavía puede esperar que se aplique un resultado desde la configuración de dispositivos liberados o rooteados . Sin embargo, si el usuario permanece sin conexión demasiado tiempo, entra en juego el valor del período de gracia sin conexión y todo el acceso a los datos profesionales o educativos se bloquea una vez alcanzado ese valor del temporizador, hasta que esté disponible el acceso a la red. Activar ambas opciones permite un enfoque por capas para mantener los dispositivos de usuario en buen estado, lo que es importante cuando los usuarios acceden a los datos profesionales o educativos desde dispositivos móviles.

API de Google Play Protect y Google Play Services

La configuración de la directiva de protección de aplicaciones que usa las API de Protección de Google Play requiere que Google Play Services funcione. Tanto el veredicto de integridad de Play como el examen de amenazas en la configuración de aplicaciones requieren que la versión determinada de Google de Google Play Services funcione correctamente. Dado que esta configuración se encuentra en el área de seguridad, el usuario se bloquea si está destinado a esta configuración y no cumple la versión adecuada de Google Play Services o no tiene acceso a Google Play Services.

Protección de aplicaciones experiencia para dispositivos Windows

Hay dos categorías de configuración de directivas: Protección de datos y Comprobaciones de estado. El término aplicación administrada por directivas hace referencia a las aplicaciones configuradas con directivas de protección de aplicaciones.

Protección de datos

La configuración de protección de datos afecta a los datos y el contexto de la organización. Como administrador, puede controlar el movimiento de los datos dentro y fuera del contexto de protección de la organización. El contexto de la organización se define mediante documentos, servicios y sitios a los que accede la cuenta de organización especificada. La siguiente configuración de directiva ayuda a controlar los datos externos recibidos en el contexto de la organización y los datos de la organización enviados fuera del contexto de la organización.

Comprobaciones de estado

Las comprobaciones de estado permiten configurar las funcionalidades de inicio condicional. Para ello, debe establecer las condiciones de comprobación de estado de la directiva de protección de aplicaciones. Seleccione una configuración y escriba el valor que deben cumplir los usuarios para acceder a los datos de la organización. A continuación, seleccione la acción que desea realizar si los usuarios no cumplen los condicionales. En algunos casos, se pueden configurar varias acciones para un único valor.

Siguientes pasos

Cómo crear e implementar directivas de protección de aplicaciones con Microsoft Intune

Configuración de directivas de protección de aplicaciones Android disponibles con Microsoft Intune

Configuración de directivas de protección de aplicaciones iOS/iPadOS disponibles con Microsoft Intune