Creación y asignación de directivas de protección de aplicacionesHow to create and assign app protection policies

Aprenda a crear directivas de protección de aplicaciones de Microsoft Intune y asignarlas a los usuarios de la organización.Learn how to create and assign Microsoft Intune app protection policies (APP) for users of your organization. En este tema también se describe cómo realizar cambios en las directivas existentes.This topic also describes how to make changes to existing policies.

Antes de comenzarBefore you begin

Las directivas de protección de aplicaciones se pueden aplicar a aplicaciones que se ejecutan en dispositivos que podrían estar o no administrados por Intune.App protection policies can apply to apps running on devices that may or may not be managed by Intune. Para obtener una descripción más detallada de cómo funcionan las directivas de protección de aplicaciones y los escenarios admitidos por las directivas de protección de aplicaciones de Intune, vea ¿Qué son las directivas de protección de aplicaciones?For a more detailed description of how app protection policies work and the scenarios that are supported by Intune app protection policies, see What are Microsoft Intune app protection policies?

Si desea acceder a una lista de aplicaciones compatibles con MAM, vea la lista de aplicaciones de MAM.If you're looking for a list of MAM supported apps, see MAM apps list.

Para obtener información acerca de cómo agregar aplicaciones de línea de negocio (LOB) de su organización a Microsoft Intune para prepararse para las directivas de protección de aplicaciones, consulte Incorporación de aplicaciones a Microsoft Intune.For information about adding your organization's line-of-business (LOB) apps to Microsoft Intune to prepare for app protection policies, see Add apps to Microsoft Intune.

Directivas de protección de aplicaciones para aplicaciones de iOS/iPadOS y AndroidApp protection policies for iOS/iPadOS and Android apps

Cuando se crea una directiva de protección de aplicaciones para aplicaciones de iOS/iPadOS y Android, se lleva a cabo un moderno flujo de proceso de Intune que da como resultado una directiva de protección de aplicaciones nueva.When you create an app protection policy for iOS/iPadOS and Android apps, you follow a modern Intune process flow that results in a new app protection policy.

Crear una directiva de protección de aplicaciones para aplicaciones de iOS/iPadOS o AndroidCreate an iOS/iPadOS or Android app protection policy

  1. Inicie sesión en Intune.Sign in to Intune.

  2. En el portal de Intune, seleccione Aplicaciones cliente > Directivas de protección de aplicaciones.In Intune portal, choose Client apps > App protection policies. Al seleccionar esa opción, se abrirán los detalles de Directivas de protección de aplicaciones, donde creará nuevas directivas y editará las existentes.This selection opens the App protection policies details, where you create new policies and edit existing policies.

  3. Seleccione Crear directiva y, luego, iOS/iPadOS o Android.Select Create policy and select either iOS/iPadOS or Android. Se abre la hoja Crear directiva.The Create policy blade is displayed.

  4. En la página Datos básicos, agregue los siguientes valores:On the Basics page, add the following values:

    ValorValue DescripciónDescription
    NombreName Nombre de esta directiva de protección de aplicacionesThe name of this app protection policy.
    DescripciónDescription [Opcional] Descripción de esta directiva de protección de aplicaciones[Optional] The description of this app protection policy.

    El valor de Plataforma se establece en función de la elección anterior.The Platform value is set based on your above choice.

    Captura de pantalla de la pestaña Datos básicos de la hoja Crear directiva

  5. Haga clic en Siguiente para abrir la página Aplicaciones.Click Next to display the Apps page.
    La página Aplicaciones permite elegir cómo se quiere aplicar esta directiva a las aplicaciones en distintos dispositivos.The Apps page allows you to choose how you want to apply this policy to apps on different devices. Debe agregar al menos una aplicación.You must add at least one app.

    Valor/opciónValue/Option DescripciónDescription
    Destinar a todos los tipos de aplicacionesTarget to apps on all devices types Use esta opción para destinar la directiva a las aplicaciones en dispositivos que se encuentren en cualquier estado de administración.Use this option to target your policy to apps on devices of any management state. Elija No para destinar a aplicaciones en tipos de dispositivos específicos.Choose No to target apps on specific devices types. Para más información, consulte Destinar directivas de protección de aplicaciones en función del estado de administración del dispositivo.For information, see Target app protection policies based on device management state
    Tipos de dispositivoDevice types Use esta opción para especificar si esta directiva se aplica a dispositivos administrados por MDM o a dispositivos no administrados.Use this option to specify whether this policy applies to MDM managed devices or unmanaged devices. En el caso de las directivas de aplicaciones de iOS, elija entre Dispositivos no administrados y Dispositivos administrados.For iOS APP policies, select from Unmanaged and Managed devices. En el caso de las directivas de aplicaciones de Android, elija entre Dispositivos no administrados, Administrador de dispositivos Android y Android Enterprise.For Android APP policies, select from Unmanaged, Android device administrator, and Android Enterprise.
    Aplicaciones públicasPublic apps Haga clic en Seleccionar aplicaciones públicas para elegir las aplicaciones de destino.Click Select public apps to choose the apps to target.
    Aplicaciones personalizadasCustom apps Haga clic en Seleccionar aplicaciones personalizadas para seleccionar aplicaciones personalizadas de destino en función de un identificador de paquete.Click Select custom apps to select custom apps to target based on a Bundle ID.

    Las aplicaciones que se seleccionen aparecerán en la lista de aplicaciones públicas y personalizadas.The app(s) you have selected will appear in the public and custom apps list.

  6. Haga clic en Siguiente para abrir la página Protección de datos.Click Next to display the Data protection page.
    Esta página proporciona opciones de controles de prevención de pérdida de datos (DLP), incluidas restricciones para cortar, copiar, pegar y guardar como.This page provides settings for data loss prevention (DLP) controls, including cut, copy, paste, and save-as restrictions. Estas opciones determinan cómo van a interactuar los usuarios con los datos de las aplicaciones donde esta directiva de protección de aplicaciones está en vigor.These settings determine how users interact with data in the apps that this app protection policy applies.

    Configuración de la protección de datos:Data protection settings:

  7. Haga clic en Siguiente para abrir la página Requisitos de acceso.Click Next to display the Access requirements page.
    En esta página se proporcionan opciones que permiten configurar los requisitos de PIN y credenciales que los usuarios deben cumplir para obtener acceso a las aplicaciones en un contexto de trabajo.This page provides settings to allow you to configure the PIN and credential requirements that users must meet to access apps in a work context.

    Configuración de los requisitos de acceso:Access requirements settings:

  8. Haga clic en Siguiente para abrir la página Inicio condicional.Click Next to display the Conditional launch page.
    Esta página proporciona opciones para establecer los requisitos de seguridad del inicio de sesión de la directiva de protección de acceso.This page provides settings to set the sign-in security requirements for your app protection policy. Seleccione Configuración y escriba el Valor que los usuarios deben cumplir para iniciar sesión en la aplicación de empresa.Select a Setting and enter the Value that users must meet to sign in to your company app. Luego, seleccione la Acción que quiera llevar a cabo si los usuarios no cumplen los requisitos.Then select the Action you want to take if users do not meet your requirements. En algunos casos, se pueden configurar varias acciones para una sola configuración.In some cases, multiple actions can be configured for a single setting.

    Configuración del inicio condicional:Conditional launch settings:

  9. Haga clic en Siguiente para abrir la página Asignaciones.Click Next to display the Assignments page.
    La página Asignaciones permite asignar la directiva de protección de aplicaciones a grupos de usuarios.The Assignments page allows you to assign the app protection policy to groups of users.

    Importante

    Si usa Intune con Administrador de configuración para administrar los dispositivos, la directiva solo se aplicará a los usuarios que estén directamente en el grupo seleccionado.If you're using Intune with Configuration Manager to manage your devices, the policy is only applied to the users directly in the group that you selected. Los miembros de grupos secundarios anidados en el grupo seleccionado no se verán afectados.Members of child groups nested within the group you selected aren't affected.

  10. Haga clic en Siguiente: Revisar + crear para revisar los valores y la configuración especificados para esta directiva de protección de aplicaciones.Click Next: Review + create to review the values and settings you entered for this app protection policy.

  11. Cuando termine, haga clic en Crear para crear la directiva de protección de aplicaciones en Intune.When you are done, click Create to create the app protection policy in Intune.

    Sugerencia

    Esta configuración de directiva se aplica solo al usar aplicaciones en el contexto de trabajo.These policy settings are enforced only when using apps in the work context. Cuando los usuarios finales usen la aplicación para realizar una tarea personal, no se verán afectados por estas directivas.When end users use the app to do a personal task, they aren't affected by these policies. Tenga en cuenta que cuando se crea un nuevo archivo se considera un archivo personal.Note that when you create a new file it is considered a personal file.

Los usuarios finales pueden descargar las aplicaciones desde App Store o Google Play.End users can download the apps from the App store or Google Play. Para obtener más información, vea:For more information, see:

Cambiar las directivas existentesChange existing policies

Puede editar una directiva existente y aplicarla a los usuarios objetivo.You can edit an existing policy and apply it to the targeted users. Sin embargo, al cambiar las directivas existentes, los usuarios que ya han iniciado sesión en las aplicaciones no verán los cambios durante un período de ocho horas.However, when you change existing policies, users who are already signed in to the apps won’t see the changes for an eight-hour period.

Para ver el efecto de los cambios inmediatamente, el usuario final debe cerrar sesión en la aplicación y volver a iniciarla.To see the effect of the changes immediately, the end user must sign out of the app, and then sign back in.

Para cambiar la lista de aplicaciones asociadas con la directivaTo change the list of apps associated with the policy

  1. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea modificar.In the App protection policies pane, select the policy you want to change.

  2. En el panel Intune App Protection, seleccione Propiedades.In the Intune App Protection pane, select Properties.

  3. Junto a la sección titulada Aplicaciones, seleccione Editar.Next to the section titled Apps, select Edit.

  4. La página Aplicaciones permite elegir cómo se quiere aplicar esta directiva a las aplicaciones en distintos dispositivos.The Apps page allows you to choose how you want to apply this policy to apps on different devices. Debe agregar al menos una aplicación.You must add at least one app.

    Valor/opciónValue/Option DescripciónDescription
    Destinar a todos los tipos de aplicacionesTarget to apps on all devices types Use esta opción para destinar la directiva a las aplicaciones en dispositivos que se encuentren en cualquier estado de administración.Use this option to target your policy to apps on devices of any management state. Elija No para destinar a aplicaciones en tipos de dispositivos específicos.Choose No to target apps on specific devices types. Para más información, consulte Destinar directivas de protección de aplicaciones en función del estado de administración del dispositivo.For information, see Target app protection policies based on device management state
    Tipos de dispositivoDevice types Use esta opción para especificar si esta directiva se aplica a dispositivos administrados por MDM o a dispositivos no administrados.Use this option to specify whether this policy applies to MDM managed devices or unmanaged devices. En el caso de las directivas de aplicaciones de iOS, elija entre Dispositivos no administrados y Dispositivos administrados.For iOS APP policies, select from Unmanaged and Managed devices. En el caso de las directivas de aplicaciones de Android, elija entre Dispositivos no administrados, Administrador de dispositivos Android y Android Enterprise.For Android APP policies, select from Unmanaged, Android device administrator, and Android Enterprise.
    Aplicaciones públicasPublic apps Haga clic en Seleccionar aplicaciones públicas para elegir las aplicaciones de destino.Click Select public apps to choose the apps to target.
    Aplicaciones personalizadasCustom apps Haga clic en Seleccionar aplicaciones personalizadas para seleccionar aplicaciones personalizadas de destino en función de un identificador de paquete.Click Select custom apps to select custom apps to target based on a Bundle ID.

    Las aplicaciones que se seleccionen aparecerán en la lista de aplicaciones públicas y personalizadas.The app(s) you have selected will appear in the public and custom apps list.

  5. Haga clic en Revisar y crear para revisar las aplicaciones seleccionadas para esta directiva.Click Review + create to review the apps selected for this policy.

  6. Cuando termine, haga clic en Guardar para actualizar la directiva de protección de aplicaciones.When you are done, click Save to update the app protection policy.

Para cambiar la lista de grupos de usuariosTo change the list of user groups

  1. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea modificar.In the App protection policies pane, select the policy you want to change.

  2. En el panel Intune App Protection, seleccione Propiedades.In the Intune App Protection pane, select Properties.

  3. Junto a la sección titulada Asignaciones, seleccione Editar.Next to the section titled Assignments, select Edit.

  4. Para agregar un nuevo grupo de usuarios a la directiva, en la pestaña Incluir, elija Seleccionar grupos para incluir y seleccione el grupo de usuarios.To add a new user group to the policy, on the Include tab choose Select groups to include, and select the user group. Elija Seleccionar para agregar el grupo.Choose Select to add the group.

  5. Para excluir un grupo de usuarios, en la pestaña Excluir, elija Seleccionar grupos para excluir y seleccione el grupo de usuarios.To exclude a user group, on the Exclude tab choose Select groups to exclude, and select the user group. Elija Seleccionar para quitar el grupo de usuarios.Choose Select to remove the user group.

  6. Para eliminar los grupos que se agregaron anteriormente, ya sea en la pestaña Incluir o en la pestaña Excluir, seleccione los puntos suspensivos (...) y seleccione Eliminar.To delete groups that were added previously, on either the Include or Exclude tabs, select the ellipsis (...) and select Delete.

  7. Haga clic en Revisar y crear para revisar los grupos de usuarios seleccionados para esta directiva.Click Review + create to review the user groups selected for this policy.

  8. Una vez que estén listos los cambios en las asignaciones, seleccione Guardar para guardar la configuración e implementar la directiva en el nuevo conjunto de usuarios.After your changes to the assignments are ready, select Save to save the configuration and deploy the policy to the new set of users. Si seleccione Cancelar antes de guardar la configuración, se descartarán todos los cambios realizados en las pestañas Incluir y Excluir.If you select Cancel before you save your configuration, you will discard all changes you've made to the Include and Exclude tabs.

Para cambiar la configuración de directivaTo change policy settings

  1. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea modificar.In the App protection policies pane, select the policy you want to change.

  2. En el panel Intune App Protection, seleccione Propiedades.In the Intune App Protection pane, select Properties.

  3. Junto a la sección correspondiente a la configuración que quiere cambiar, seleccione Editar.Next to the section corresponding to the settings you want to change, select Edit. A continuación, cambie la configuración con los nuevos valores.Then change the settings to new values.

  4. Haga clic en Revisar y crear para revisar la configuración actualizada de esta directiva.Click Review + create to review the updated settings for this policy.

  5. Seleccione Guardar para guardar los cambios.Select the Save to save your changes. Repita el proceso para seleccionar un área de configuración y modificarla y, a continuación, guarde los cambios, hasta que se completen todos los cambios.Repeat the process to select a settings area and modify and then save your changes, until all your changes are complete. A continuación, puede cerrar el panel Intune App Protection: Propiedades.You can then close the Intune App Protection - Properties pane.

Destinar directivas de protección de aplicaciones en función del estado de administración del dispositivoTarget app protection policies based on device management state

En muchas organizaciones es habitual permitir que los usuarios finales puedan usar los dispositivos administrados de administración de dispositivos móviles (MDM) de Intune (como los dispositivos propiedad de las empresas) y los dispositivos no administrados que únicamente están protegidos con directivas de protección de aplicaciones de Intune.In many organizations, it’s common to allow end users to use both Intune Mobile Device Management (MDM) managed devices, such as corporate owned devices, and un-managed devices protected with only Intune app protection policies. Los dispositivos no administrados a menudo se conocen como Bring Your Own Devices (BYOD).Unmanaged devices are often known as Bring Your Own Devices (BYOD).

Dado que las directivas de protección de aplicaciones de Intune están destinadas a la identidad de un usuario, la configuración de protección de un usuario puede aplicarse tanto a los dispositivos inscritos (administrados con MDM) como a los dispositivos no inscritos (sin MDM).Because Intune app protection policies target a user’s identity, the protection settings for a user can apply to both enrolled (MDM managed) and non-enrolled devices (no MDM). Por lo tanto, puede destinar una directiva de protección de aplicaciones de Intune a dispositivos iOS y Android inscritos y no inscritos de Intune.Therefore, you can target an Intune app protection policy to either Intune enrolled or unenrolled iOS and Android devices. Puede tener una directiva de protección para los dispositivos no administrados a la que se apliquen unos controles de prevención de pérdida de datos (DLP) estrictos y una directiva de protección independiente para los dispositivos administrados con MDM en la que los controles DLP pueden ser un poco menos restrictivos.You can have one protection policy for unmanaged devices in which strict data loss prevention (DLP) controls are in place, and a separate protection policy for MDM managed devices, where the DLP controls may be a little more relaxed. Para más información sobre cómo funciona esto en dispositivos de Android Enterprise personales, vea Directivas de protección de aplicaciones y perfiles de trabajo.For more information how this works on personal Android Enterprise devices, see App protection policies and work profiles.

Para crear estas directivas, vaya a Aplicaciones cliente > Directivas de protección de aplicaciones en la consola de Intune y haga clic en Crear directiva.To create these policies, browse to Client apps > App protection policies in the Intune console, and then select Create policy. También puede editar una directiva de protección de aplicaciones existente.You can also edit an existing app protection policy. Para que la directiva de protección de aplicaciones se aplique a los dispositivos tanto administrados como no administrados, vaya a la página Aplicaciones y confirme que la opción Destinar a todos los tipos de aplicaciones está establecida en el valor predeterminado, .To have the app protection policy apply to both managed and un-managed devices, navigate to the Apps page and confirm that Target to apps on all device types is set to Yes, the default value. Si quiere efectuar una asignación granular según el estado de administración, establezca Destinar a todos los tipos de aplicaciones en No.If you want to granularly assign based on management state, set Target to apps on all device types to No.

Tipos de dispositivoDevice types

  • No administrado: Dispositivos no administrados son aquellos en los que no se ha detectado la administración MDM de Intune.Unmanaged: Unmanaged devices are devices where Intune MDM management has not been detected. Esto incluye dispositivos administrados por proveedores de terceros de MDM.This includes devices managed by third-party MDM vendors.
  • Dispositivos administrados por Intune: MDM de Intune administra los dispositivos administrados.Intune managed devices: Managed devices are managed by Intune MDM.
  • Administrador de dispositivos Android: Dispositivos administrados por Intune mediante la API de administración de dispositivos Android.Android device administrator: Intune-managed devices using the Android Device Administration API.
  • Android Enterprise: Dispositivos administrados por Intune mediante perfiles de trabajo de Android Enterprise o administración completa de dispositivos de Android Enterprise.Android Enterprise: Intune-managed devices using Android Enterprise Work Profiles or Android Enterprise Full Device Management.

Nota

Los dispositivos Android le pedirán que instale la aplicación Portal de empresa de Intune independientemente del tipo de dispositivo que se elija.Android devices will prompt to install the Intune Company Portal app regardless of which Device type is chosen. Por ejemplo, si selecciona "Android Enterprise", se le seguirá solicitando a los usuarios con dispositivos Android no administrados.For example, if you select 'Android Enterprise' then users with unmanaged Android devices will still be prompted.

Para iOS, se requieren ajustes adicionales en la configuración de la aplicación para dirigir la configuración de la directiva de protección de aplicaciones (APP) a las aplicaciones en dispositivos inscritos en Intune:For iOS, additional app configuration settings are required to target app protection policy (APP) settings to apps on Intune enrolled devices:

Nota

Para obtener información específica de compatibilidad con iOS sobre las directivas de protección de aplicaciones según el estado de administración de los dispositivos, vea MAM protection policies targeted based on management state (Directivas de protección MAM destinadas según el estado de administración).For specific iOS support information about app protection policies based on device management state, see MAM protection policies targeted based on management state.

Configuraciones de directivaPolicy settings

Para ver una lista completa de las configuraciones de directivas para iOS y Android, seleccione uno de los siguientes vínculos:To see a full list of the policy settings for iOS and Android, select one of the following links:

Pasos siguientesNext steps

Supervisar el estado del cumplimiento y del usuarioMonitor compliance and user status

Consulte tambiénSee also