Preguntas más frecuentes sobre MAM y la protección de aplicaciones

Introducción a MAM

Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Una directiva puede ser una regla que se aplica cuando el usuario intenta acceder o mover datos "corporativos", o un conjunto de acciones que se prohíben o supervisan cuando el usuario está dentro de la aplicación.

Consulte la configuración de directivas de protección de aplicaciones de Android y la configuración de directivas de protección de aplicaciones de iOS/iPadOS para obtener información detallada sobre cada configuración de directiva de protección de aplicaciones.

Si aplica una directiva MAM al usuario sin establecer el estado de administración de dispositivos, el usuario obtendrá la directiva MAM tanto en el dispositivo BYOD como en el dispositivo administrado Intune. También puede aplicar una directiva mam basada en el estado de administración de dispositivos. Por lo tanto, al crear una directiva de protección de aplicaciones, junto a Destino a aplicaciones en todos los tipos de dispositivo, seleccionaría No. Luego, realice cualquiera de las siguientes acciones:

• Aplique una directiva de MAM menos estricta a los dispositivos administrados por Intune y aplique una más estricta a los dispositivos no inscritos en MDM.
• Aplique una directiva MAM igualmente estricta a Intune dispositivos administrados como a dispositivos administrados de terceros.
• Aplique una directiva MAM sólo a los dispositivos no inscritos.

Para obtener más información, consulte Supervisión de directivas de protección de aplicaciones.

Cualquier aplicación que se haya integrado con el SDK de aplicación de Intune o que esté encapsulada por el Intune App Wrapping Tool se puede administrar mediante directivas de protección de aplicaciones Intune. Vea la lista oficial de las aplicaciones administradas por Intune disponibles para uso público.

• El usuario final debe tener una cuenta de Azure Active Directory (Azure AD). Consulte Agregar usuarios y dar permiso administrativo a Intune para aprender a crear usuarios de Intune en Azure Active Directory.

• El usuario final debe tener una licencia de Microsoft Intune asignada a su cuenta de Azure Active Directory. Vea Administrar licencias de Intune para obtener información sobre cómo asignar licencias de Intune a los usuarios finales.

• El usuario final debe pertenecer a un grupo de seguridad al que se aplique una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe aplicarse a la aplicación específica que se usa. Las directivas de protección de aplicaciones pueden crearse e implementarse en el Centro de administración de Microsoft Endpoint Manager. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.

• El usuario final debe iniciar sesión en la aplicación con su cuenta de Azure AD.

El equipo de desarrollo del SDK de Intune comprueba y mantiene de forma activa la compatibilidad con las aplicaciones creadas con las plataformas nativas de Android, iOS/iPadOS (Obj-C, Swift), Xamarin y Xamarin.Forms. Aunque algunos clientes han podido integrar con éxito el SDK de Intune con otras plataformas como React Native y NativeScript, no proporcionamos instrucciones explícitas o complementos para desarrolladores de aplicaciones que no utilicen nuestras plataformas compatibles.

El SDK de Intune App puede usar la biblioteca de autenticación de Microsoft para sus escenarios de autenticación e inicio condicional. También se basa en MSAL para registrar la identidad de usuario con el servicio MAM para la administración sin escenarios de inscripción de dispositivos.

• El usuario final debe tener instalada la aplicación móvil Outlook en su dispositivo.

• El usuario final debe tener un buzón de Microsoft 365 Exchange Online y una licencia vinculados a su cuenta de Azure Active Directory.

  Nota

  La aplicación móvil de Outlook actualmente solo es compatible con Intune App Protection para Microsoft Exchange Online y Exchange Server con autenticación moderna híbrida y no es compatible con Exchange en Office 365 Dedicado.

• El usuario final debe tener una licencia de Aplicaciones de Microsoft 365 para negocios o empresas asignada a su cuenta de Azure Active Directory. La suscripción debe incluir las aplicaciones de Office en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con OneDrive para la Empresa. Las licencias de Microsoft 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.

• El usuario final debe tener una ubicación administrada configurada con la funcionalidad pormenorizada Guardar como en la configuración de directiva de protección de aplicaciones "Guardar copias de los datos de la organización". Por ejemplo, si se OneDrive la ubicación administrada, la aplicación de OneDrive debe configurarse en la aplicación word, Excel o PowerPoint del usuario final.

• Si la ubicación administrada es OneDrive, la aplicación debe ser objeto de la directiva de protección de aplicaciones implementada para el usuario final.

  Nota

  Las aplicaciones móviles de Office actualmente sólo son compatibles con SharePoint Online y no con SharePoint local.

Intune marca todos los datos de la aplicación como "corporativos" o "personales". Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa. Para las aplicaciones de Office, Intune considera las siguientes ubicaciones de la empresa: correo electrónico (Exchange) o almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa).

Consulte los requisitos de licencias de Skype Empresarial. Para configuraciones híbridas y locales de Skype Empresarial, consulte La autenticación moderna híbrida para Skype Empresarial y Exchange está disponible con carácter general y Autenticación moderna para Skype Empresarial local con Azure AD, respectivamente.

La compatibilidad con varias identidades es la posibilidad de que el SDK de aplicación de Intune solo aplique directivas de protección de aplicaciones a la cuenta profesional o educativa que haya iniciado sesión en la aplicación. Si se ha iniciado sesión en la aplicación con una cuenta personal, los datos no se modifican.

La compatibilidad con varias identidades permite que las aplicaciones con audiencias "corporativas" y de consumidor (es decir, las aplicaciones de Office) se publiquen públicamente con Intune funcionalidades de protección de aplicaciones para las cuentas "corporativas".

Dado que Outlook tiene una vista de correo electrónico combinada de correos electrónicos personales y "corporativos", la aplicación Outlook solicita el PIN de Intune al iniciarse.

El número de identificación personal (PIN) es un código de acceso utilizado para verificar que el usuario correcto está accediendo a los datos de la organización en una aplicación.

Intune solicita el PIN de la aplicación del usuario cuando este esté a punto de acceder a los datos "corporativos". En aplicaciones de varias identidades, como Word/Excel/PowerPoint, se solicita al usuario su PIN cuando intenta abrir un documento o archivo "corporativo". En las aplicaciones de identidad única, como las aplicaciones de línea de negocio administradas mediante el Intune App Wrapping Tool, se solicita el PIN al iniciarse, ya que el SDK de la aplicación de Intune sabe que la experiencia del usuario en la aplicación siempre es "corporativa".

El administrador de TI puede definir la configuración de directiva de protección de aplicaciones de Intune "Volver a comprobar los requisitos de acceso después de (minutos)" en la consola de administración de Intune. Esta configuración especifica la cantidad de tiempo antes de que se comprueben los requisitos de acceso en el dispositivo y la pantalla del PIN de la aplicación se muestra de nuevo. Sin embargo, los detalles importantes sobre el PIN que afectan a la frecuencia con la que se solicitará al usuario son los siguientes:

• El PIN se comparte entre las aplicaciones del mismo publicador para mejorar la facilidad de uso: En iOS/iPadOS, un PIN de aplicación se comparte entre todas las aplicaciones del mismo publicador de aplicaciones. En el caso de Android, un PIN de aplicación se comparte entre todas las aplicaciones.
• El comportamiento "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar un dispositivo: Un "temporizador de PIN" realiza un seguimiento del número de minutos de inactividad que determinan cuándo mostrar el PIN de la aplicación Intune a continuación. En iOS/iPadOS, el temporizador de PIN no se ve afectado por el reinicio del dispositivo. Por lo tanto, el reinicio del dispositivo no tiene ningún efecto en el número de minutos que el usuario ha estado inactivo desde una aplicación de iOS/iPadOS con Intune directiva de PIN. En Android, el temporizador del PIN se restablece al reiniciar el dispositivo. Por lo tanto, es probable que las aplicaciones Android con Intune directiva de PIN soliciten un PIN de aplicación independientemente del valor de configuración "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar el dispositivo.
• La naturaleza gradual del temporizador asociado al PIN: Una vez que se escribe un PIN para acceder a una aplicación (aplicación A) y la aplicación deja el primer plano (foco de entrada principal) en el dispositivo, el temporizador del PIN se restablece para ese PIN. En el caso de cualquier otra aplicación (aplicación B) que use el mismo PIN, no se solicitará al usuario que lo vuelva a escribir, ya que el temporizador se habrá restablecido. La solicitud se volverá a mostrar una vez que se haya alcanzado el valor establecido en "Volver a comprobar los requisitos de acceso tras (minutos)".

Para los dispositivos iOS/iPadOS, incluso si el PIN se comparte entre aplicaciones de diferentes publicadores, se mostrará nuevamente la solicitud cuando se vuelva a alcanzar el valor Volver a comprobar los requisitos de acceso después de (minutos) de la aplicación que no es el foco de entrada principal. Así, por ejemplo, un usuario tiene la aplicación A del editor X y la aplicación B del editor Y, y esas dos aplicaciones comparten el mismo PIN. El usuario se centra en la aplicación A (en primer plano) y la aplicación B está minimizada. Después de que se consiga el valor Volver a comprobar los requisitos de acceso después de (minutos) y el usuario cambie a la aplicación B, el PIN será requerido.

El PIN de Intune funciona en función de un temporizador basado en inactividad (el valor de "Volver a comprobar los requisitos de acceso después de (minutos)"). De este modo, las solicitudes de PIN de Intune aparecen independientemente de las solicitudes de PIN de las aplicaciones integradas de Outlook y OneDrive, que suelen estar vinculados al inicio de la aplicación de forma predeterminada. Si el usuario recibe ambas solicitudes de PIN al mismo tiempo, el comportamiento esperado debería ser que el PIN de Intune tenga prioridad.

El PIN sirve para que sólo el usuario correcto pueda acceder a los datos de su organización en la aplicación. Por lo tanto, el usuario debe iniciar sesión con su cuenta profesional o educativa para poder establecer o restablecer el PIN de la aplicación de Intune. Esta autenticación se controla mediante Azure Active Directory a través del intercambio seguro de tokens y no es transparente para el SDK de Intune App. Desde una perspectiva de seguridad, la mejor manera de proteger los datos profesionales o educativos es cifrarlos. El cifrado no está relacionado con el PIN de la aplicación, pero tiene su propia directiva de protección de aplicaciones.

Como parte de la directiva de PIN de la aplicación, el administrador de TI puede establecer el número máximo de veces que un usuario puede intentar autenticar su PIN antes de bloquear la aplicación. Una vez que se ha alcanzado el número de intentos, el SDK de la aplicación de Intune puede borrar los datos "corporativos" de la aplicación.

MAM (en iOS/iPadOS) actualmente permite el PIN de nivel de aplicación con caracteres alfanuméricos y especiales (denominados "código de acceso") que requiere la participación de aplicaciones (es decir, WXP, Outlook, Managed Browser, Yammer) para integrar el SDK de aplicación de Intune para iOS/iPadOS. Sin esto, la configuración del código de acceso no se aplica correctamente a las aplicaciones seleccionadas. Se trata de una característica publicada en el SDK de Intune para iOS/iPadOS v. 7.1.12.

Para admitir esta característica y garantizar la compatibilidad con versiones anteriores del SDK de Intune para iOS/iPadOS, todos los PIN (ya sean numéricos o un código de acceso) de la versión 7.1.12+ se tratan por separado a partir del PIN numérico en versiones anteriores del SDK. Por lo tanto, si un dispositivo tiene aplicaciones con Intune SDK para versiones de iOS/iPadOS anteriores a la 7.1.12 Y posteriores a la 7.1.12 del mismo publicador, tendrán que configurar dos PIN.

Dicho esto, los dos PIN (para cada aplicación) no están relacionados de ninguna manera, es decir, deben cumplir la directiva de protección de aplicaciones que se aplica a la aplicación. Por lo tanto, solo si las aplicaciones A y B tienen aplicadas las mismas directivas (con respecto al PIN), el usuario puede configurar el mismo PIN dos veces.

Este comportamiento es específico para el PIN en aplicaciones iOS/iPadOS que ya están habilitadas con la Administración de aplicaciones móviles de Intune. Con el tiempo, a medidas que las aplicaciones adoptan las versiones posteriores del SDK de Intune para iOS/iPadOS, el hecho de tener que establecer un PIN dos veces en las aplicaciones del mismo editor dejará de ser un problema importante. Consulte la siguiente nota para obtener un ejemplo.

Los administradores de TI pueden implementar una directiva de protección de aplicaciones que requiere cifrar los datos de aplicaciones. Como parte de la directiva, el administrador de TI también puede especificar cuándo se cifra el contenido.

Vea la configuración de directivas de protección de aplicaciones Android y la configuración de la protección de aplicaciones iOS/iPadOS para obtener información detallada sobre la configuración de directiva de protección de aplicaciones de cifrado.

Solo se cifran los datos marcados como "corporativos" según la directiva de protección de la aplicación del administrador de TI. Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa. Para las aplicaciones de Office, Intune considera las siguientes ubicaciones de la empresa: correo electrónico (Exchange) o almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa). En el caso de las aplicaciones de línea de negocio administradas por el Intune App Wrapping Tool, todos los datos de la aplicación se consideran "corporativos".

Intune puede borrar los datos de la aplicación de tres maneras diferentes: borrado completo del dispositivo, borrado selectivo de MDM y borrado selectivo de MAM. Para obtener más información sobre el borrado remoto de MDM, vea Eliminación de dispositivos mediante Borrar o Retirar. Para obtener más información sobre el borrado selectivo mediante MAM, consulte la acción Retirar y Borrado solo de datos corporativos de aplicaciones administradas por Intune.

Borrar quita todos los datos de usuario y la configuración del dispositivo restaurando el dispositivo a su configuración predeterminada de fábrica. El dispositivo se quita de Intune.

Consulte Eliminación de dispositivos: retirar para obtener información sobre cómo eliminar datos de la empresa.

El borrado selectivo de MAM simplemente quita los datos de la aplicación de empresa de la aplicación. La solicitud se inicia mediante el centro de administración de Microsoft Endpoint Manager. Para obtener información sobre cómo iniciar una solicitud de borrado, consulte Borrado solo de datos corporativos de aplicaciones.

Si el usuario usa la aplicación cuando se inicia el borrado selectivo, el SDK de Intune App comprueba cada 30 minutos si hay una solicitud de borrado selectivo del servicio Intune MAM. También comprueba el borrado selectivo cuando el usuario inicia la aplicación por primera vez e inicia sesión con su cuenta profesional o educativa.

Intune protección de aplicaciones depende de la identidad del usuario para que sea coherente entre la aplicación y el SDK de la aplicación de Intune. La única manera de garantizar esto es a través de la autenticación moderna. Hay escenarios en los que las aplicaciones pueden funcionar con una configuración local, pero no son coherentes ni ofrecen garantías.

Sí. El administrador de TI puede implementar y establecer la directiva de protección de aplicaciones para la aplicación Microsoft Edge. El administrador de TI puede requerir que todos los vínculos web de las aplicaciones administradas por Intune se abran mediante la aplicación Microsoft Edge.

Aplicación del Portal de empresa y protección de aplicaciones de Intune

Intune directivas de protección de aplicaciones para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, tendría prioridad un bloqueo, y luego, una advertencia descartable. Por ejemplo, si es aplicable al usuario/aplicación específico, un ajuste de versión mínima de parche de Android que advierta al usuario que debe tomar una actualización de parche se aplicará después del ajuste de versión mínima de parche de Android que bloquea el acceso del usuario. Por tanto, en el caso en que el administrador de TI configure la versión de revisión de Android mínima en 01-03-2018 y la versión de revisión de Android mínima (solo advertencia) en 01-02-2018, mientras el dispositivo que intenta obtener acceso a la aplicación esté en una versión de revisión 01-01-2018, se bloquearía al usuario final en función del valor más restrictivo para la versión de revisión de Android mínima que provoque el bloqueo del acceso.

Cuando se trabaja con diferentes tipos de configuraciones, un requisito de versión de la aplicación tendría prioridad, seguido por el requisito de versión de sistema operativo de Android y el requisito de versión de revisión de Android. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración.

La determinación de un nuevo servicio de Google Play será notificada al administrador de TI en un intervalo determinado por el servicio de Intune. La frecuencia de las llamadas de servicio está limitada debido a la carga y, por lo tanto, este valor se mantiene internamente y no es configurable. Cualquier acción que configure el administrador de TI para el valor de configuración de la atestación de SafetyNet de Google se realizará en función del último resultado notificado para el servicio de Intune en el momento del inicio condicional. Si no hay ningún dato, se permitirá el acceso siempre que no se produzcan errores en otras comprobaciones del inicio condiciona; en el back-end se iniciará un servicio de "recorrido de ida y vuelta" de Google Play para determinar los resultados de la atestación y se le solicitará al usuario de forma asincrónica si el dispositivo ha producido algún error. Si hay datos obsoletos, el acceso se bloqueará o se permitirá en función del último resultado notificado y, del mismo modo, se iniciará un "viaje de ida y vuelta" del Servicio Google Play para determinar los resultados de la atestación y se preguntará al usuario de forma asíncrona si el dispositivo ha fallado.

Las instrucciones para hacerlo varían ligeramente en función del dispositivo. Lo habitual es ir a Google Play Store y, luego, hacer clic en Mis aplicaciones y juegos. A continuación, debe hacer clic en el resultado del último examen de la aplicación, lo que le llevará al menú de Play Protect. Asegúrese de que la opción de Escanear el dispositivo en busca de amenazas de seguridad esté activada.

Intune aprovecha las API de Google Play Protect SafetyNet para agregarlas a nuestras comprobaciones de detección de raíces existentes para los dispositivos no inscritos. Google ha desarrollado y mantenido este conjunto de API para aplicaciones Android en caso de que no se quiera ejecutarlas en dispositivos con rooting. La aplicación Android Pay ha incorporado esto, por ejemplo. Aunque Google no comparte públicamente la totalidad de las comprobaciones de detección de rooting que se producen, esperamos que estas API detecten los usuarios que hayan aplicado el rooting en sus dispositivos. A estos usuarios se les puede bloquear el acceso o borrar sus cuentas corporativas de las aplicaciones habilitadas por la directiva. "Comprobar la integridad básica" le indica la integridad general del dispositivo. Los dispositivos arraigados, los emuladores, los dispositivos virtuales y los dispositivos con signos de manipulación fallan en la integridad básica. "Comprobar la integridad básica & dispositivos certificados" le indica la compatibilidad del dispositivo con los servicios de Google. Sólo los dispositivos no modificados que han sido certificados por Google pueden pasar esta comprobación. Entre los dispositivos que producirán un error se incluyen los siguientes:

• Dispositivos que producen error en la integridad básica
• Dispositivos con un cargador de arranque desbloqueado
• Dispositivos con una imagen de sistema personalizada o ROM
• Dispositivos para los que el fabricante no ha solicitado o superado la certificación de Google
• Dispositivos con una imagen de sistema creada directamente desde los archivos de origen del Android Open Source Program
• Dispositivos con una imagen de sistema de versión preliminar beta o de desarrollador

Consulte Documentación de Google sobre el certificado SafetyNet para obtener detalles técnicos.

Las comprobaciones de la API de SafetyNet de Google Play Protect requieren que el usuario final esté en línea, al menos durante la ejecución del "recorrido de ida y vuelta" para determinar los resultados de atestación. Si el usuario final está sin conexión, el administrador de TI todavía puede esperar que se aplique un resultado de la configuración "dispositivos liberados o rooteados". Dicho esto, si el usuario final ha estado sin conexión demasiado tiempo, entra en juego el valor "Período de gracia sin conexión" y todo el acceso a los datos profesionales o educativos se bloquea una vez alcanzado ese valor del temporizador, hasta que el acceso a la red está disponible. Activar ambas configuraciones permite un enfoque por capas para mantener los dispositivos de usuario final en buen estado, lo que es importante cuando los usuarios finales acceden a datos profesionales o educativos en dispositivos móviles.

Tanto la configuración "Atestación de dispositivos SafetyNet" como "Examen de amenazas en aplicaciones" requieren que la versión determinada de Google de Google Play Services funcione correctamente. Dado que se trata de ajustes que entran en el ámbito de la seguridad, el usuario final será bloqueado si ha sido objeto de estos ajustes y no cumple con la versión adecuada de Google Play Services o no tiene acceso a Google Play Services.

Las directivas de protección de aplicaciones de Intune permiten controlar el acceso a las aplicaciones sólo al usuario con licencia de Intune. Una de las maneras de controlar el acceso a la aplicación es exigir Touch ID o Face ID de Apple en dispositivos admitidos. Intune implementa un comportamiento donde si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se alcanza el siguiente valor de tiempo de espera de inactividad. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital. Si el usuario de Intune no tiene establecido un PIN, se le indica paso a paso como configurar uno.

La intención de esto es seguir manteniendo los datos de la organización dentro de la aplicación seguros y protegidos en el nivel de aplicación. Esta característica solo está disponible para iOS/iPadOS y requiere la participación de aplicaciones que integren Intune APP SDK para iOS/iPadOS, versión 9.0.1 o posterior. La integración del SDK es necesaria para poder aplicar el comportamiento en las aplicaciones de destino. Esta integración ocurre de manera gradual y depende de los equipos de la aplicación específica. Algunas de las aplicaciones que participan son WXP, Outlook, Managed Browser y Yammer.

Intune directiva de protección de aplicaciones no puede controlar la extensión de recurso compartido de iOS sin administrar el dispositivo. Por lo tanto, Intune cifra los datos "corporativos" antes de compartirlos fuera de la aplicación. Para validarlo, intente abrir el archivo "corporativo" fuera de la aplicación administrada. El archivo debe estar cifrado y no debe poder abrirse fuera de la aplicación administrada.

Intune directivas de protección de aplicaciones para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, tendría prioridad un borrado, seguido de un bloqueo, y luego, una advertencia descartable. Por ejemplo, si es aplicable a la aplicación o usuario específico, una configuración de sistema operativo mínima de iOS/iPadOS que advierte al usuario que actualice la versión de iOS/iPadOS se aplicará después de la configuración de sistema operativo mínima de iOS/iPadOS que bloquea el acceso del usuario. Por lo tanto, en el escenario en el que el administrador de TI configura el sistema operativo iOS/iPadOS mínimo en 11.0.0.0 y el sistema operativo iOS/iPadOS mínimo (solo advertencia) en 11.1.0.0, mientras que el dispositivo que intentaba acceder a la aplicación estaba en iOS/iPadOS 10, el usuario final se bloquearía en función de la configuración más restrictiva para la versión mínima del sistema operativo iOS/iPadOS que da lugar a un acceso bloqueado.

Al tratar con diferentes tipos de configuración, tendría prioridad un requisito de versión del SDK de aplicación de Intune y, a continuación, un requisito de versión de la aplicación, seguido del requisito de versión del sistema operativo iOS/iPadOS. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración. Se recomienda configurar el requisito de versión del SDK de Intune aplicación solo según las instrucciones del equipo de Intune producto para escenarios de bloqueo esenciales.

Vea también

• Implementar Intune
• Creación de un plan de lanzamiento
• Configuración de la directiva de administración de aplicaciones móviles de Android en Microsoft Intune
• Configuración de directivas de administración de aplicaciones móviles de iOS/iPadOS
• actualización de directivas de directivas de Protección de aplicaciones
• Validación de las directivas de protección de aplicaciones
• Agregar directivas de configuración de aplicaciones para aplicaciones administradas sin inscripción de dispositivo
• Cómo obtener soporte técnico en Microsoft Endpoint Manager