Directivas de buzón de dispositivo móvil en Exchange Server

En Exchange Server, puede crear directivas de buzón de dispositivo móvil para aplicar un conjunto común de directivas o configuración de seguridad a una colección de usuarios. Después de implementar Exchange ActiveSync en la organización de Exchange Server, puede crear nuevas directivas de buzón de dispositivo móvil o modificar las directivas existentes. Al instalar Exchange Server, se crea una directiva de buzón de dispositivo móvil predeterminada. A todos los usuarios se les asigna automáticamente esta directiva predeterminada de buzones de dispositivos móviles.

Resumen de las directivas de buzones de dispositivos móviles

Puede usar las directivas de buzones de dispositivos móviles para administrar diferentes parámetros de configuración. Por ejemplo, los siguientes:

  • Solicitar una contraseña
  • Especificar la longitud mínima de la contraseña
  • Solicitar un número o un carácter especial en la contraseña
  • Designar el tiempo que puede permanecer inactivo un dispositivo antes de solicitar al usuario que vuelva a escribir la contraseña
  • Borrar un dispositivo tras un número específico de intentos de contraseña erróneos

Para obtener más información acerca de todos los parámetros que puede configurar, vea la configuración de directivas de dispositivos móviles.

Directivas de buzón de exchange para dispositivos móviles

Exchange ActiveSync es un protocolo de cliente que permite sincronizar un dispositivo móvil con el buzón de Exchange. Exchange ActiveSync está habilitado de forma predeterminada al instalar Exchange Server.

Puede crear directivas de buzón de dispositivo móvil en el Centro de administración de Exchange (EAC) o el Shell de administración de Exchange. Si crea una directiva en el EAC, solamente puede configurar un subconjunto de configuraciones disponibles. Puede configurar el resto de las opciones mediante el Shell de administración de Exchange.

Configuración de contraseñas de dispositivos móviles y biometría

Muchos dispositivos móviles admiten biometría como Apple Touch ID o Face ID. Las directivas de buzón de dispositivo móvil de Exchange no controlan si se puede usar la biometría en lugar de escribir el PIN del dispositivo. Las directivas de buzón de dispositivo móvil se pueden configurar para requerir un PIN de dispositivo, pero los usuarios controlan si usan biometría después de cumplir con el requisito del PIN del dispositivo.

Configuración de contraseña de dispositivo móvil y Android

Android 9.0 y versiones anteriores usan la funcionalidad de administrador de dispositivos Android para administrar la configuración de contraseña del dispositivo definida en una directiva de buzón de dispositivo móvil.

Con Android 10.0 y versiones posteriores, Android ha quitado la funcionalidad de administrador de dispositivos. En su lugar, las aplicaciones que requieren un bloqueo de pantalla consultan la complejidad del bloqueo de pantalla del dispositivo (o del perfil de trabajo). Las aplicaciones que requieren un bloqueo de pantalla más seguro dirigen al usuario a la configuración de bloqueo de pantalla del sistema, lo que permite al usuario actualizar la configuración de seguridad para que sea compatible. En ningún momento la aplicación conoce la contraseña del usuario; la aplicación solo conoce el nivel de complejidad de la contraseña. Android admite los cuatro niveles de complejidad de contraseña siguientes:

Nivel de complejidad de contraseña Requisitos de contraseña
Ninguno No se configuran los requisitos de contraseña
Bajo La contraseña puede ser un patrón o un PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468)
Mediano Contraseñas que cumplen uno de los siguientes criterios:
  • PIN sin repetición (4444) ni ordenado (1234, 4321, 2468) secuencias con una longitud mínima de 4 caracteres
  • Contraseñas alfabéticas con una longitud mínima de 4 caracteres
  • Contraseñas alfanuméricas con una longitud mínima de 4 caracteres
Alto Contraseñas que cumplen uno de los siguientes criterios:
  • PIN sin repetición (4444) ni ordenado (1234, 4321, 2468) secuencias con una longitud mínima de 8 caracteres
  • Contraseñas alfabéticas con una longitud mínima de 6 caracteres
  • Contraseñas alfanuméricas con una longitud mínima de 6 caracteres

Desde la perspectiva de una directiva de buzón de dispositivo móvil de Exchange, los niveles de complejidad de contraseñas de Android se asignan a la siguiente configuración de directiva:

Configuración de directiva de buzón de dispositivo móvil Nivel de complejidad de contraseña de Android
Contraseña habilitada = false Ninguno
Permitir contraseña simple = true
Longitud mínima de < la contraseña 4
Bajo
Permitir contraseña simple = true
Longitud mínima de < la contraseña 6
Mediano
Permitir contraseña simple = false
Contraseña alfanumérica requerida = true
Longitud mínima de < la contraseña 6
Mediano
Permitir contraseña simple = true
Longitud mínima de > la contraseña 6
Alto
Permitir contraseña simple = false
Contraseña alfanumérica requerida = true
Longitud mínima de >la contraseña = 6
Alto

Configuración de directivas de buzón de dispositivo móvil

La siguiente tabla resume la configuración que puede especificar mediante las directivas de buzones de dispositivos móviles.

Configuración Descripción
Permitir Bluetooth Esta configuración especifica si el dispositivo móvil admite conexiones Bluetooth. Las opciones disponibles son Deshabilitado, Solo manos libres y Permitir. El valor predeterminado es Admitir.
Permitir explorador Esta configuración especifica si se permite Pocket Internet Explorer en el dispositivo móvil. Esta configuración no afecta a exploradores de terceros que estén instalados en el dispositivo móvil. El valor predeterminado es $true.
Permitir cámara Esta configuración especifica si se puede usar la cámara del dispositivo móvil. El valor predeterminado es $true.
Permitir correo electrónico del consumidor Esta configuración especifica si el usuario del dispositivo móvil puede configurar una cuenta de correo personal (POP3 o IMAP4) en el dispositivo móvil. El valor predeterminado es $true. Esta configuración no controla el acceso a las cuentas de correo que usan programas de correo de terceros para dispositivos móviles.
Permitir Desktop Sync Esta configuración especifica si el dispositivo móvil se puede sincronizar con un equipo por cable, Bluetooth o conexión IrDA. El valor predeterminado es $true.
Permitir la administración de dispositivos externos Esta configuración permite especificar si un programa de administración de dispositivo externo tiene permiso para administrar el dispositivo.
Permitir correo electrónico HTML Esta configuración especifica si el correo electrónico sincronizado con el dispositivo móvil puede tener formato HTML. Si esta configuración se establece en $false, todo el correo electrónico se convierte en texto sin formato.
Permitir el uso compartido de Internet Esta configuración especifica si el dispositivo móvil se puede usar como módem de un equipo de escritorio o portátil. El valor predeterminado es $true.
AllowIrDA Esta configuración especifica si se permiten las conexiones infrarrojas a y desde el dispositivo móvil.
Permitir la actualización de OTA para móviles Esta configuración especifica si la configuración de la directiva de buzones de dispositivos móviles se puede enviar al dispositivo a través de una conexión de datos celular. El valor predeterminado es $true.
Permitir dispositivos no aprovisionables Esta configuración especifica si los dispositivos móviles que pueden no admitir la aplicación de toda la configuración de directiva pueden conectarse a Exchange Server mediante Exchange ActiveSync. Permitir dispositivos móviles no aprovisionables puede tener implicaciones de seguridad. Por ejemplo, es posible que algunos de los dispositivos no aprovisionables no puedan implementar los requisitos de contraseña de una organización.
Permitir POPIMAPEmail Esta configuración especifica si el usuario puede configurar una cuenta de correo POP3 o IMAP4 en el dispositivo móvil. El valor predeterminado es $true. Esta configuración no controla el acceso de los programas de correo de terceros.
Permitir escritorio remoto Esta configuración especifica si el dispositivo móvil puede iniciar una conexión de escritorio remoto. El valor predeterminado es true.
Permitir contraseña sencilla Esta configuración habilita o deshabilita la habilidad de usar una contraseña sencilla como 1111 o 1234. El valor predeterminado es $true.
Permitir la negociación del algoritmo de cifrado S/MIME Esta configuración especifica si la aplicación de mensajería del dispositivo móvil puede negociar el algoritmo de cifrado en caso de que el certificado de un destinatario no admita el algoritmo de cifrado especificado.
Permitir certificados de software S/MIME Esta configuración especifica si se permiten los certificados de software S/MIME en dispositivos móviles.
Permitir tarjeta de almacenamiento Esta configuración especifica si el dispositivo móvil puede tener acceso a la información que está almacenada en una tarjeta de almacenamiento.
Permitir mensajería de texto Esta configuración especifica si la mensajería de texto se permite desde el dispositivo móvil. El valor predeterminado es $true.
Permitir aplicaciones sin firmar Esta configuración especifica si las aplicaciones sin firmar se pueden instalar en el dispositivo móvil. El valor predeterminado es $true.
Permitir la instalación de paquetes sin firmar Esta configuración especifica si los paquetes de instalación sin firmar se pueden ejecutar en el dispositivo móvil. El valor predeterminado es $true.
Permitir Wi-Fi Esta configuración especifica si el acceso inalámbrico a Internet se permite en el dispositivo móvil. El valor predeterminado es $true.
Se requiere contraseña alfanumérica Esta configuración requiere que una contraseña contenga caracteres numéricos y no numéricos. El valor predeterminado es $true.
Lista de aplicaciones aprobada Esta configuración almacena una lista de aplicaciones aprobadas que se pueden ejecutar en el dispositivo móvil.
Datos adjuntos habilitados Esta configuración permite que los datos adjuntos se descarguen al dispositivo móvil. El valor predeterminado es $true.
Cifrado de dispositivos habilitado Esta configuración permite el cifrado en el dispositivo móvil. No todos los dispositivos móviles pueden imponer el cifrado. Para obtener más información, vea la documentación del sistema operativo móvil y del dispositivo.
Intervalo de actualización de la directiva de dispositivos Esta configuración especifica la frecuencia con la que se envía la directiva de buzones de dispositivos móviles del servidor al dispositivo móvil.
IRM habilitado Esta configuración especifica si Information Rights Management (IRMB) está habilitado en el dispositivo móvil.
Tamaño máximo del archivo adjunto Esta configuración controla el tamaño máximo de los datos adjuntos que se puede descargar al dispositivo móvil. El valor predeterminado es Ilimitado.
Filtro máximo de antigüedad del calendario Esta configuración especifica el intervalo máximo de días de calendario que se puede sincronizar a este dispositivo móvil. Se aceptan los siguientes valores:
1: Todo
2: OneDay
3: Tres días
4: OneWeek
5: TwoWeeks
6: OneMonth
Filtro de antigüedad máxima del correo electrónico Esta configuración especifica el número máximo de días en que los elementos de correo electrónico se sincronizarán con el dispositivo móvil. Se aceptan los siguientes valores:
1: Todo
2: OneDay
3: Tres días
4: OneWeek
5: TwoWeeks
6: OneMonth
Tamaño máximo de truncamiento del cuerpo del correo electrónico Esta configuración especifica el tamaño máximo con el que los mensajes de correo electrónico se truncarán cuando se sincronicen con el dispositivo móvil. El valor se especifica en kilobytes (KB).
Tamaño máximo de truncamiento del cuerpo en HTML del correo electrónico Esta configuración especifica el tamaño máximo con el que los mensajes de correo electrónico HTML se truncarán cuando se sincronicen con el dispositivo móvil. El valor se especifica en kilobytes (KB).
Tiempo máximo de bloqueo de inactividad Esta configuración especifica el tiempo que puede estar inactivo el dispositivo móvil antes de que se necesite una contraseña para volver a activarlo. Puede escribir cualquier intervalo entre 30 segundos y 1 hora. El valor predeterminado es de 15 minutos.
Número máximo de intentos fallidos de contraseña Esta configuración especifica el número de intentos que puede realizar un usuario para escribir la contraseña correcta para el dispositivo móvil. Puede escribir cualquier número comprendido entre 4 y 16. El valor predeterminado es 8.
Número mínimo de caracteres complejos de contraseña Esta configuración especifica el número de juegos de caracteres requeridos en la contraseña del dispositivo móvil. Los juegos de caracteres son:
  • El parámetro de MinPasswordComplexCharacters especifica los juegos de caracteres requeridos en la contraseña del dispositivo móvil. Los juegos de caracteres son:
  • Letras minúsculas.
  • Letras mayúsculas.
  • Caracteres especiales (por ejemplo, los signos de exclamación).


Puede escribir cualquier número comprendido entre 1 y 4. El valor predeterminado es 1.
Longitud mínima de la contraseña Esta configuración especifica el número mínimo de caracteres de la contraseña del dispositivo móvil. Puede escribir cualquier número comprendido entre 1 y 16. El valor predeterminado es 4.
Contraseña habilitada Esta configuración habilita la contraseña del dispositivo móvil.
Expiración de contraseña Esta configuración permite que el administrador pueda configurar un intervalo del tiempo tras el que es necesario cambiar la contraseña del dispositivo móvil.
Historial de contraseñas Esta configuración especifica el número de contraseñas antiguas que pueden almacenarse en el buzón del usuario. Un usuario no puede volver a usar una contraseña almacenada.
Recuperación de contraseña habilitada Al habilitar esta configuración, el dispositivo móvil genera una contraseña de recuperación que se envía al servidor. Si el usuario olvida la contraseña del dispositivo móvil, se puede usar la contraseña de recuperación para desbloquearlo y permitir al usuario crear una nueva contraseña para dicho dispositivo.
Requerimiento de cifrado del dispositivo Esta configuración especifica si se requiere un cifrado del dispositivo. Si se establece en $true, el dispositivo móvil debe ser capaz de admitir e implementar el cifrado para sincronizarse con el servidor.
Requiere mensajes S/MINE cifrados Esta configuración especifica si los mensajes S/MIME deben cifrarse. El valor predeterminado es $false.
Requerimiento del algoritmo S/MIME de cifrado Esta configuración especifica qué algoritmo requerido se debe usar al cifrar un mensaje S/MIME.
Requiere sincronización manual durante la movilidad Esta configuración especifica si el dispositivo móvil se debe sincronizar manualmente durante la movilidad. Permitir la sincronización automática al movilizarse llevará a costos de datos más que esperados para el plan de datos del dispositivo móvil.
Requerimiento del algoritmo S/MIME firmado Esta configuración especifica qué algoritmo requerido se debe usar al firmar un mensaje.
Requerimiento de mensajes S/MIME firmados Esta configuración especifica si el dispositivo debe enviar mensajes S/MIME firmados.
Requiere cifrado de tarjeta de almacenamiento Esta configuración especifica si la tarjeta de almacenamiento debe cifrarse. No todos los sistemas operativos de dispositivos móviles admiten el cifrado de la tarjeta de almacenamiento. Para obtener más información, vea la documentación del dispositivo y la del sistema operativo del mismo.
Lista de aplicaciones InROM sin aprobar Esta configuración especifica una lista de aplicaciones que no se pueden ejecutar en ROM.