Agregar directivas de configuración de aplicaciones para dispositivos iOS/iPadOS administrados

  • Artículo

Use directivas de configuración de aplicaciones en Microsoft Intune para proporcionar opciones de configuración personalizadas para una aplicación de iOS/iPadOS. Estas opciones de configuración permiten personalizar una aplicación en función de la dirección de los proveedores de la aplicación. Debe obtener estas opciones de configuración (claves y valores) del proveedor de la aplicación. Para configurar la aplicación, especifique la configuración como claves y valores, o como XML que contiene las claves y los valores.

Como administrador de Microsoft Intune, puede controlar qué cuentas de usuario se agregan a las aplicaciones de Microsoft 365 (Office) en dispositivos administrados. Puede limitar el acceso solo a las cuentas de usuario de la organización permitidas y bloquear las cuentas personales en los dispositivos inscritos. Las aplicaciones auxiliares procesan la configuración de la aplicación y quitan y bloquean las cuentas no aprobadas. Las opciones de la directiva de configuración se usan cuando la aplicación las comprueba, normalmente la primera vez que se ejecuta.

Una vez que agregue una directiva de configuración de aplicaciones, puede establecer las asignaciones para la directiva de configuración de aplicaciones. Al establecer las asignaciones de la directiva, puede optar por usar un filtro e incluir y excluir los grupos de usuarios a los que se aplica la directiva. Al elegir incluir uno o varios grupos, puede elegir seleccionar grupos específicos para incluir o seleccionar grupos integrados. Los grupos integrados incluyen Todos los usuarios, Todos los dispositivos y Todos los usuarios + Todos los dispositivos.

Nota:

Intune ofrece los grupos creados previamente Todos los usuarios y Todos los dispositivos en la consola con las optimizaciones integradas para su comodidad. Se recomienda encarecidamente usar estos grupos para dirigirse a todos los usuarios y todos los dispositivos en lugar de a los grupos "Todos los usuarios" o "Todos los dispositivos" que haya creado usted mismo.

Una vez que haya seleccionado los grupos incluidos para la directiva de configuración de la aplicación, también puede elegir los grupos específicos que se excluirán. Para obtener más información, vea Incluir y excluir asignaciones de aplicaciones en Microsoft Intune.

Sugerencia

Este tipo de directiva solo está disponible actualmente para dispositivos que ejecutan iOS/iPadOS 8.0 y versiones posteriores. Admite los siguientes tipos de instalación de aplicaciones:

  • Aplicación iOS/iPadOS administrada desde la tienda de aplicaciones
  • Paquete de aplicación para iOS

Para obtener más información sobre los tipos de instalación de aplicaciones, vea Cómo agregar una aplicación a Microsoft Intune. Para obtener más información sobre la incorporación de la configuración de la aplicación en el paquete de aplicaciones .ipa para dispositivos administrados, consulte Managed App Configuration en la documentación para desarrolladores de iOS.

Crear una directiva de configuración de aplicaciones

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Elija las directivas> deconfiguración> de aplicacionesAgregar>dispositivos administrados. Tenga en cuenta que puede elegir entre dispositivos administrados y aplicaciones administradas. Para obtener más información, consulte Aplicaciones que admiten la configuración de aplicaciones.

  3. En la página Aspectos básicos , establezca los detalles siguientes:

    • Nombre: nombre del perfil que aparece en el centro de administración de Microsoft Intune.
    • Descripción: la descripción del perfil que aparece en el centro de administración de Microsoft Intune.
    • Tipo de inscripción de dispositivos: esta configuración se establece en Dispositivos administrados.

  4. Seleccione iOS/iPadOS como plataforma.

  5. Haga clic en Seleccionar aplicación junto a Aplicación de destino. Se muestra el panel Aplicación asociada .

  6. En el panel Aplicación de destino , elija la aplicación administrada para asociarla a la directiva de configuración y haga clic en Aceptar.

  7. Haga clic en Siguiente para mostrar la página Configuración.

  8. En el cuadro desplegable, seleccione el formato Configuración. Seleccione uno de los métodos siguientes para agregar información de configuración:

  9. Haga clic en Siguiente para mostrar la página Etiquetas de ámbito.

  10. [Opcional] Puede configurar etiquetas de ámbito para la directiva de configuración de la aplicación. Para más información sobre las etiquetas de ámbito, consulte Usar control de acceso basado en roles (RBAC) y etiquetas de ámbito para TI distribuida.

  11. Haga clic en Siguiente para mostrar la página Asignaciones .

  12. En la página Asignaciones , seleccione Agregar grupos, Agregar todos los usuarios o Agregar todos los dispositivos para asignar la directiva de configuración de la aplicación. Una vez que haya seleccionado un grupo de asignación, puede seleccionar un filtro para refinar el ámbito de asignación al implementar directivas de configuración de aplicaciones para dispositivos administrados.

    Captura de pantalla de la página asignaciones de directivas de configuración

  13. Seleccione Todos los usuarios en el cuadro desplegable.

    Captura de pantalla de la opción desplegable Asignaciones de directivas: Todos los usuarios

  14. [Opcional] Haga clic en Editar filtro para agregar un filtro y refinar el ámbito de asignación.

    Captura de pantalla de asignaciones de directivas: editar filtro

  15. Haga clic en Seleccionar grupos para excluir para mostrar el panel relacionado.

  16. Elija los grupos que desea excluir y, a continuación, haga clic en Seleccionar.

    Nota:

    Al agregar un grupo, si ya se ha incluido algún otro grupo para un tipo de asignación determinado, se preselecciona e inmutable para otros tipos de asignación de inclusión. Por lo tanto, ese grupo que se ha usado no se puede usar como grupo excluido.

  17. Haga clic en Siguiente para mostrar la página Revisar + crear.

  18. Haga clic en Crear para agregar la directiva de configuración de la aplicación a Intune.

Uso del diseñador de configuración

Microsoft Intune proporciona valores de configuración únicos para una aplicación. Puede usar el diseñador de configuración para aplicaciones en dispositivos inscritos o no inscritos en Microsoft Intune. El diseñador le permite configurar claves de configuración y valores específicos que le ayudarán a crear el XML subyacente. También debe especificar el tipo de datos para cada valor. Esta configuración se proporciona a las aplicaciones automáticamente cuando se instalan las aplicaciones.

Agregar una configuración

  1. Para cada clave y valor de la configuración, establezca:
    • Clave de configuración : clave que distingue mayúsculas de minúsculas que identifica de forma única la configuración de configuración específica.
    • Tipo de valor : tipo de datos del valor de configuración. Los tipos incluyen Integer, Real, String o Boolean.
    • Valor de configuración : valor de la configuración.
  2. Elija Aceptar para establecer los valores de configuración.

Eliminación de una configuración

  1. Elija los puntos suspensivos (...) junto a la configuración.
  2. Seleccione Eliminar.

Los caracteres {{ y }} solo los usan los tipos de token y no se deben usar para otros fines.

Permitir solo cuentas de organización configuradas en aplicaciones

Como administrador de Microsoft Intune, puede controlar qué cuentas profesionales o educativas se agregan a las aplicaciones de Microsoft en dispositivos administrados. Puede limitar el acceso solo a las cuentas de usuario de la organización permitidas y bloquear las cuentas personales dentro de las aplicaciones (si se admiten) en los dispositivos inscritos. Para dispositivos iOS/iPadOS, use los siguientes pares clave-valor en una directiva de configuración de aplicaciones de dispositivos administrados:

Key Valores
IntuneMAMAllowedAccountsOnly
  • Habilitado: la única cuenta permitida es la cuenta de usuario administrada definida por la clave IntuneMAMUPN .
  • Deshabilitado (o cualquier valor que no sea una coincidencia que no distinga entre mayúsculas y minúsculas en Habilitado): se permite cualquier cuenta.
IntuneMAMUPN
  • UPN de la cuenta con permiso para iniciar sesión en la aplicación.
  • Para Intune dispositivos inscritos, el {{userprincipalname}} token se puede usar para representar la cuenta de usuario inscrita.

Nota:

Las siguientes aplicaciones procesan la configuración de la aplicación anterior y solo permiten cuentas de organización:

  • Copilot para iOS (28.1.420324001 y versiones posteriores)
  • Edge para iOS (44.8.7 y versiones posteriores)
  • Office, Word, Excel, PowerPoint para iOS (2.41 y versiones posteriores)
  • OneDrive para iOS (10.34 y versiones posteriores)
  • OneNote para iOS (2.41 y versiones posteriores)
  • Outlook para iOS (2.99.0 y versiones posteriores)
  • Teams para iOS (2.0.15 y versiones posteriores)

Requerir cuentas de organización configuradas en aplicaciones

En los dispositivos inscritos, las organizaciones pueden requerir que la cuenta profesional o educativa inicie sesión en aplicaciones administradas de Microsoft para recibir datos de la organización de otras aplicaciones administradas. Por ejemplo, considere el escenario en el que el usuario tiene datos adjuntos incluidos en los mensajes de correo electrónico contenidos en el perfil de correo electrónico administrado ubicado en el cliente de correo iOS nativo. Si el usuario intenta transferir los datos adjuntos a una aplicación de Microsoft, como Office, que se administra en el dispositivo y tiene estas claves aplicadas, esta configuración tratará los datos adjuntos transferidos como datos de la organización, lo que requiere que se inicie sesión en la cuenta profesional o educativa y se aplique la configuración de la directiva de protección de aplicaciones.

Para dispositivos iOS/iPadOS, use los siguientes pares clave-valor en una directiva de configuración de aplicaciones de dispositivos administrados para cada aplicación de Microsoft:

Key Valores
IntuneMAMRequireAccounts
  • Habilitado: la aplicación requiere que el usuario inicie sesión en la cuenta de usuario administrada definida por la clave IntuneMAMUPN para recibir datos de la organización.
  • Deshabilitado (o cualquier valor que no sea una coincidencia que no distinga entre mayúsculas y minúsculas en Habilitado): no se requiere ningún inicio de sesión en la cuenta.
IntuneMAMUPN
  • UPN de la cuenta con permiso para iniciar sesión en la aplicación.
  • Para Intune dispositivos inscritos, el {{userprincipalname}} token se puede usar para representar la cuenta de usuario inscrita.

Nota:

Las aplicaciones deben tener Intune SDK de APP para iOS versión 12.3.3 o posterior y tener como destino una directiva de protección de aplicaciones de Intune al requerir el inicio de sesión en una cuenta profesional o educativa. Dentro de la directiva de protección de aplicaciones, la opción "Recibir datos de otras aplicaciones" debe establecerse en "Todas las aplicaciones con datos de la organización entrantes".

En este momento, el inicio de sesión de la aplicación solo es necesario cuando hay datos de la organización entrantes en una aplicación de destino.

Especificar datos XML

Puede escribir o pegar una lista de propiedades XML que contenga los valores de configuración de la aplicación para los dispositivos inscritos en Intune. El formato de la lista de propiedades XML varía en función de la aplicación que esté configurando. Para obtener más información sobre el formato exacto que se va a usar, póngase en contacto con el proveedor de la aplicación.

Intune valida el formato XML. Sin embargo, Intune no comprueba que la lista de propiedades XML (PList) funciona con la aplicación de destino.

Para obtener más información sobre las listas de propiedades XML:

Formato de ejemplo para un archivo XML de configuración de la aplicación

Al crear un archivo de configuración de aplicación, puede especificar uno o varios de los siguientes valores mediante este formato:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Tipos de datos PList XML admitidos

Intune admite los siguientes tipos de datos en una lista de propiedades:

  • <Entero>
  • <Real>
  • <Cadena>
  • <Matriz>
  • <dict>
  • <true/> o <false />

Tokens usados en la lista de propiedades

Además, Intune admite los siguientes tipos de token en la lista de propiedades:

  • {{userprincipalname}}, por ejemplo, John@contoso.com
  • {{mail}}, por ejemplo, John@contoso.com
  • {{partialupn}}, por ejemplo, John
  • {{accountid}}: por ejemplo, fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}: por ejemplo, b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}: por ejemplo, 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}, por ejemplo, John Doe
  • {{serialnumber}}, por ejemplo, F4KN99ZUG5V2 (para dispositivos iOS/iPadOS)
  • {{serialnumberlast4digits}}, por ejemplo, G5V2 (para dispositivos iOS/iPadOS)
  • {{aaddeviceid}}: por ejemplo, ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}, por ejemplo, True (para dispositivos iOS/iPadOS)

Configuración de la aplicación Portal de empresa para admitir dispositivos iOS e iPadOS inscritos con inscripción automatizada de dispositivos

Las inscripciones automatizadas de dispositivos de Apple no son compatibles con la versión de la tienda de aplicaciones de la aplicación Portal de empresa de forma predeterminada. Sin embargo, puede configurar la aplicación de Portal de empresa para que admita dispositivos IOS/iPadOS ADE incluso cuando los usuarios hayan descargado el Portal de empresa de la App Store mediante los pasos siguientes.

  1. En Microsoft Intune centro de administración, agregue la aplicación Portal de empresa de Intune si aún no se ha agregado, vaya a Aplicaciones>Todas las aplicaciones>Agregar>aplicación de la Tienda iOS.

  2. Vaya a Directivas> deconfiguración de aplicaciones para crear una directiva de configuración de aplicaciones para la aplicación Portal de empresa.

  3. Cree una directiva de configuración de aplicaciones con el código XML siguiente. Puede encontrar más información sobre cómo crear una directiva de configuración de aplicaciones y especificar datos XML en Agregar directivas de configuración de aplicaciones para dispositivos iOS/iPadOS administrados.

    • Use el Portal de empresa en un dispositivo de inscripción automatizada de dispositivos (ADE) inscrito con afinidad de usuario:

      Nota:

      Cuando el perfil de inscripción tiene "Instalar Portal de empresa" establecido en sí, Intune inserta automáticamente la directiva de configuración de la aplicación siguiente como parte del proceso de inscripción inicial. Esta configuración no debe implementarse manualmente en los usuarios o dispositivos, ya que esto provocará un conflicto con la carga ya enviada durante la inscripción, lo que provocará que se pida a los usuarios finales que descarguen un nuevo perfil de administración después de iniciar sesión en Portal de empresa (cuando no deberían, porque ya hay un perfil de administración instalado en estos dispositivos).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Use la Portal de empresa en un dispositivo ADE inscrito sin afinidad de usuario (también conocido como almacenamiento provisional de dispositivos):

      Nota:

      El usuario que inicia sesión en Portal de empresa se establece como el usuario principal del dispositivo.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Implemente el Portal de empresa en dispositivos con la directiva de configuración de la aplicación destinada a los grupos deseados. Asegúrese de implementar solo la directiva en grupos de dispositivos que ya están inscritos en ADE.

  5. Indique a los usuarios finales que inicien sesión en la aplicación Portal de empresa cuando se instale automáticamente.

Nota:

Al agregar una configuración de aplicación para permitir la aplicación de Portal de empresa en dispositivos ADE sin afinidad de usuario, puede experimentar un STATE Policy Error. A diferencia de otras configuraciones de aplicaciones, esta situación no se aplica cada vez que el dispositivo se registra. En su lugar, esta configuración de la aplicación está pensada para ser una operación única para permitir que los dispositivos existentes inscritos sin afinidad de usuario alcancen la afinidad de usuario cuando un usuario inicia sesión en el Portal de empresa. Esta configuración de la aplicación se quita de la directiva en segundo plano una vez que se ha aplicado correctamente. La asignación de directivas existirá, pero no notificará "correcta" una vez que se quite la configuración de la aplicación en segundo plano. Una vez que la directiva de configuración de la aplicación se haya aplicado al dispositivo, puede anular la asignación de la directiva.

Supervisión del estado de configuración de la aplicación iOS/iPadOS por dispositivo

Una vez asignada una directiva de configuración, puede supervisar el estado de configuración de la aplicación iOS/iPadOS para cada dispositivo administrado. En Microsoft Intune en el centro de administración de Microsoft Intune, seleccione Dispositivos>todos los dispositivos. En la lista de dispositivos administrados, seleccione un dispositivo específico para mostrar un panel para el dispositivo. En el panel del dispositivo, seleccione Configuración de la aplicación.

Información adicional

Pasos siguientes

Siga asignando y supervisando la aplicación.