Introducción general a las directivas de protección de aplicacionesApp protection policies overview

Las directivas de protección de aplicaciones (APP) que garantizan los datos de la organización siguen siendo seguras o se encuentran en una aplicación administrada.App protection policies (APP) are rules that ensure an organization's data remains safe or contained in a managed app. Una directiva puede ser una regla que se aplica cuando el usuario intenta obtener acceso o mover datos "corporativos" o un conjunto de acciones que están prohibidas o que se supervisan cuando el usuario está dentro de la aplicación.A policy can be a rule that is enforced when the user attempts to access or move "corporate" data, or a set of actions that are prohibited or monitored when the user is inside the app. Una aplicación administrada es aquella que tiene las directivas de protección de aplicaciones aplicadas y puede administrarse mediante Intune.A managed app is an app that has app protection policies applied to it, and can be managed by Intune.

Las directivas de protección de aplicaciones de Administración de aplicaciones móviles (MAM) le permiten administrar y proteger los datos de su organización dentro de una aplicación.Mobile Application Management (MAM) app protection policies allows you to manage and protect your organization's data within an application. Con MAM sin inscripción (MAM-WE), una aplicación profesional o educativa que contiene información confidencial puede administrarse en casi cualquier dispositivo, incluidos los dispositivos personales en escenarios de Bring Your Own Device (BYOD).With MAM without enrollment (MAM-WE), a work or school-related app that contains sensitive data can be managed on almost any device, including personal devices in bring-your-own-device (BYOD) scenarios. Muchas aplicaciones de productividad, como las aplicaciones de Microsoft Office, pueden administrarse mediante Intune MAM.Many productivity apps, such as the Microsoft Office apps, can be managed by Intune MAM. Consulte la lista oficial de aplicaciones protegidas de Microsoft Intune, disponible para uso público.See the official list of Microsoft Intune protected apps available for public use.

Cómo puede proteger los datos de la aplicaciónHow you can protect app data

Los empleados usan dispositivos móviles para tareas personales y de trabajo.Your employees use mobile devices for both personal and work tasks. Mientras se asegura de que los empleados pueden ser productivos, puede evitar la pérdida de datos, ya sea intencional o involuntaria.While making sure your employees can be productive, you want to prevent data loss, intentional and unintentional. También conviene proteger los datos de empresa que son accesibles desde dispositivos que no están administrados por usted.You'll also want to protect company data that is accessed from devices that are not managed by you.

Puede usar directivas de protección de aplicaciones de Intune independientemente de cualquier otra solución de administración de dispositivos móviles (MDM) .You can use Intune app protection policies independent of any mobile-device management (MDM) solution. Esta independencia le ayuda a proteger los datos de su empresa con o sin inscripción de dispositivos en una solución de administración de dispositivos.This independence helps you protect your company’s data with or without enrolling devices in a device management solution. Mediante la implementación de directivas de nivel de aplicación, puede restringir el acceso a los recursos de la empresa y mantener los datos dentro del ámbito del departamento de TI.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

Directivas de protección de aplicaciones en dispositivosApp protection policies on devices

Se pueden configurar directivas de protección de aplicaciones para aplicaciones que se ejecutan en dispositivos:App protection policies can be configured for apps that run on devices that are:

  • Inscritos en Microsoft Intune: estos dispositivos suelen ser propiedad de la empresa.Enrolled in Microsoft Intune: These devices are typically corporate owned.

  • Inscritos en una solución de administración de dispositivos móviles (MDM) de terceros: estos dispositivos suelen ser propiedad de la empresa.Enrolled in a third-party Mobile device management (MDM) solution: These devices are typically corporate owned.

    Nota

    Las directivas de administración de la aplicaciones móviles no deben usarse con soluciones de contenedor seguro ni de administración de aplicaciones móviles de terceros.Mobile app management policies should not be used with third-party mobile app management or secure container solutions.

  • No inscritos en ninguna solución de administración de dispositivos móviles: Estos dispositivos normalmente son dispositivos de empleados que no están administrados ni inscritos en Intune ni en ninguna otra solución MDM.Not enrolled in any mobile device management solution: These devices are typically employee owned devices that aren't managed or enrolled in Intune or other MDM solutions.

Importante

Puede crear directivas de administración de aplicaciones móviles para aplicaciones móviles de Office que se conectan a servicios de Office 365.You can create mobile app management policies for Office mobile apps that connect to Office 365 services. También puede proteger el acceso a los buzones locales de Exchange mediante la creación de directivas de protección de aplicaciones de Intune para Outlook para iOS y Android habilitadas con autenticación moderna híbrida.You can also protect access to Exchange on-premises mailboxes by creating Intune app protection policies for Outlook for iOS and Android enabled with hybrid Modern Authentication. Antes de usar esta característica, asegúrese de cumplir los requisitos de Outlook para iOS y Android.Before using this feature, make sure you meet the Outlook for iOS and Android requirements. Las directivas de protección de aplicaciones no son compatibles con otras aplicaciones que se conectan a los servicios de Exchange o SharePoint locales.App protection policies are not supported for other apps that connect to on-premises Exchange or SharePoint services.

Ventajas del uso de directivas de protección de aplicacionesBenefits of using App protection policies

Las ventajas más importantes del uso de directivas de protección de aplicaciones son las siguientes:The important benefits of using App protection policies are the following:

  • Protección de datos de su compañía a nivel de aplicación.Protecting your company data at the app level. Puesto que la administración de aplicaciones móviles no requiere la administración de dispositivos, puede proteger los datos de la empresa en dispositivos administrados y no administrados.Because mobile app management doesn't require device management, you can protect company data on both managed and unmanaged devices. La administración se centra en la identidad del usuario, lo que elimina la necesidad de administrar dispositivos.The management is centered on the user identity, which removes the requirement for device management.

  • La productividad del usuario final no se ve afectada y no se aplican las directivas cuando se usa la aplicación en un contexto personal.End-user productivity isn't affected and policies don't apply when using the app in a personal context. Las directivas se aplican solo en un contexto de trabajo, lo que le ofrece la capacidad de proteger los datos de la compañía sin tocar los datos personales.The policies are applied only in a work context, which gives you the ability to protect company data without touching personal data.

  • Las directivas de protección de aplicaciones garantizan que las protecciones de la capa de aplicaciones estén establecidas.App protection policies makes sure that the app-layer protections are in place. Por ejemplo, puede:For example, you can:

    • Solicitar un PIN para abrir una aplicación en un contexto de trabajoRequire a PIN to open an app in a work context
    • Controlar el uso compartido de datos entre aplicacionesControl the sharing of data between apps
    • Impedir el almacenamiento de datos de la aplicación de empresa en una ubicación de almacenamiento personalPrevent the saving of company app data to a personal storage location
  • MDM, además de MAM, garantiza que el dispositivo esté protegido.MDM, in addition to MAM, makes sure that the device is protected. Por ejemplo, puede solicitar un PIN para acceder al dispositivo o puede implementar aplicaciones administradas en el dispositivo.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. También puede implementar aplicaciones en dispositivos a través de la solución MDM para proporcionarle más control sobre la administración de aplicaciones.You can also deploy apps to devices through your MDM solution, to give you more control over app management.

Hay otras ventajas derivadas del uso de MDM con directivas de protección de aplicaciones, y las empresas pueden usar estas directivas con o sin MDM al mismo tiempo.There are additional benefits to using MDM with App protection policies, and companies can use App protection policies with and without MDM at the same time. Por ejemplo, piense el caso de un empleado que utiliza tanto un teléfono proporcionado por la empresa como su propia tableta personal.For example, consider an employee that uses both a phone issued by the company, and their own personal tablet. El teléfono de la empresa está inscrito en MDM y está protegido por directivas de protección de aplicaciones, mientras que el dispositivo personal está protegido únicamente por directivas de protección de aplicaciones.The company phone is enrolled in MDM and protected by App protection policies while the personal device is protected by App protection policies only.

Si aplica una directiva de MAM al usuario sin establecer el estado del dispositivo, el usuario recibirá la directiva de MAM en el dispositivo BYOD y el dispositivo administrado por Intune.If you apply a MAM policy to the user without setting the device state, the user will get the MAM policy on both the BYOD device and the Intune-managed device. También puede aplicar una directiva de MAM según el estado administrado.You can also apply a MAM policy based on the managed state. Por lo tanto, cuando cree una directiva de protección de aplicaciones, debería seleccionar No junto a Destinar a todos los tipos de aplicaciones.So when you create an app protection policy, next to Target to all app types, you'd select No. Luego, realice cualquiera de las siguientes acciones:Then do any of the following:

  • Aplique una directiva de MAM menos estricta a los dispositivos administrados por Intune y aplique una más estricta a los dispositivos no inscritos en MDM.Apply a less strict MAM policy to Intune managed devices, and apply a more restrictive MAM policy to non MDM-enrolled devices.
  • Aplique una directiva de MAM solo a los dispositivos no inscritos.Apply a MAM policy to unenrolled devices only.

Plataformas admitidas para directivas de protección de aplicacionesSupported platforms for app protection policies

Intune ofrece diversas funcionalidades para ayudarle a conseguir las aplicaciones que necesita en los dispositivos en los que desea que se ejecuten.Intune offers a range of capabilities to help you get the apps you need on the devices you want to run them on. Para obtener más información, consulte Funcionalidades de administración de aplicaciones por plataforma.For more information, see App management capabilities by platform.

La compatibilidad de plataformas de directivas de aplicaciones de Intune está alineada con la compatibilidad de plataformas de aplicaciones móviles de Office para dispositivos Android e iOS.Intune app protection policies platform support aligns with Office mobile application platform support for Android and iOS devices. Para obtener más información, consulte la sección Aplicaciones móviles de Requisitos del sistema de Office.For details, see the Mobile apps section of Office System Requirements.

Importante

Es necesario que el Portal de empresa de Intune se encuentre en el dispositivo para recibir las directivas de protección de aplicación en Android.The Intune Company Portal is required on the device to recieve App Protection Policies on Android. Para más información, consulte los requisitos de las aplicaciones de acceso al Portal de empresa de Intune.For more information, see the Intune Company Portal access apps requirements.

Protección de datos de una aplicación con directivas de protección de aplicacionesHow app protection policies protect app data

Aplicaciones sin directivas de protección de aplicacionesApps without app protection policies

Cuando se usan aplicaciones sin restricciones, se pueden entremezclar los datos empresariales y personales.When apps are used without restrictions, company and personal data can get intermingled. Los datos de la compañía pueden acabar en ubicaciones como el almacenamiento personal o transferirse a aplicaciones fuera de su ámbito y provocar una pérdida de datos.Company data can end up in locations like personal storage or transferred to apps beyond your purview and result in data loss. Las flechas del diagrama siguiente muestran el movimiento sin restricciones de los datos entre aplicaciones (personales y corporativas) y hacia ubicaciones de almacenamiento.The arrows in the following diagram show unrestricted data movement between both corporate and personal apps, and to storage locations.

Imagen conceptual de movimiento de datos entre aplicaciones sin ninguna directiva en vigor

Protección de datos con directivas de protección de aplicaciones (APP)Data protection with app protection policies (APP)

Puede usar directivas de protección de aplicaciones para evitar que los datos de empresa se guarden en el almacenamiento local del dispositivo (consulte la imagen a continuación).You can use App protection policies to prevent company data from saving to the local storage of the device (see the image below). También puede restringir el movimiento de datos a otras aplicaciones que no estén protegidas por directivas de protección.You can also restrict data movement to other apps that aren't protected by App protection policies. La configuración de directivas de protección de aplicaciones incluyen:App protection policy settings include:

  • Directivas de reubicación de datos como Impedir "Guardar como" , Restringir cortar, copiar y pegar.Data relocation policies like Prevent Save As, and Restrict cut, copy, and paste.
  • Opciones de directivas de acceso como Requerir PIN sencillo para el acceso, Bloquear las aplicaciones administradas para que no se ejecuten en dispositivos con jailbreak o rooting.Access policy settings like Require simple PIN for access, and Block managed apps from running on jailbroken or rooted devices.

Imagen conceptual que muestra la datos de la compañía protegidos por directivas

Protección de datos con APP en dispositivos administrados por una solución MDMData protection with APP on devices managed by an MDM solution

En la ilustración siguiente se muestran las capas de protección que ofrecen juntas las directivas MDM y las directivas de protección de aplicaciones.The below illustration shows the layers of protection that MDM and App protection policies offer together.

Imagen que muestra cómo funcionan las directivas de protección de aplicaciones en dispositivos BYOD.

La solución MDM agrega valor al proporcionar lo siguiente:The MDM solution adds value by providing the following:

  • Inscribe el dispositivo.Enrolls the device
  • Implementa las aplicaciones en el dispositivoDeploys the apps to the device
  • Proporciona administración y conformidad continua de los dispositivosProvides ongoing device compliance and management

Las directivas de protección de aplicaciones agregan valor al proporcionar lo siguiente:The App protection policies add value by providing the following:

  • Ayudan a evitar la fuga de datos de la compañía a aplicaciones y servicios de consumidor.Help protect company data from leaking to consumer apps and services
  • Aplican restricciones (Guardar como, Portapapeles, PIN, etc.) a las aplicaciones cliente.Apply restrictions like save-as, clipboard, or PIN, to client apps
  • Borran datos de compañía de las aplicaciones cuando es necesario sin borrar esas aplicaciones del dispositivo.Wipe company data when needed from apps without removing those apps from the device

Protección de datos con APP para dispositivos sin inscripciónData protection with APP for devices without enrollment

En el diagrama siguiente se muestra cómo funcionan las directivas de protección de datos en el nivel de aplicación sin MDM.The following diagram illustrates how the data protection policies work at the app level without MDM.

Imagen que muestra cómo funcionan las directivas de protección de aplicaciones sin inscripción (dispositivos no administrados)

En dispositivos BYOD no inscritos en ninguna solución MDM, las directivas de protección de aplicaciones pueden ayudar a proteger los datos de la compañía a nivel de aplicación.For BYOD devices not enrolled in any MDM solution, App protection policies can help protect company data at the app level. Sin embargo, existen algunas limitaciones que se deben tener en cuenta, como:However, there are some limitations to be aware of, such as:

  • No se puede implementar aplicaciones en el dispositivo.You can't deploy apps to the device. El usuario final debe obtener las aplicaciones del almacén.The end user has to get the apps from the store.
  • No se puede proporcionar perfiles de certificados en estos dispositivos.You can't provision certificate profiles on these devices.
  • No se puede proporcionar configuraciones de Wi-Fi y VPN de compañía en estos dispositivos.You can't provision company Wi-Fi and VPN settings on these devices.

Aplicaciones que puede administrar con directivas de protección de aplicacionesApps you can manage with app protection policies

Cualquier aplicación integrada con el SDK para aplicaciones de Intune o ajustada mediante la herramienta de ajuste de aplicaciones de Intune puede administrarse con las directivas de protección de aplicaciones de Intune.Any app that has been integrated with the Intune App SDK or wrapped by the Intune App Wrapping Tool can be managed using Intune app protection policies. Consulte la lista oficial de aplicaciones protegidas de Microsoft Intune que se han creado con estas herramientas y están disponibles para uso público.See the official list of Microsoft Intune protected apps that have been built using these tools and are available for public use.

El equipo de desarrollo del SDK de Intune comprueba y mantiene de forma activa la compatibilidad con las aplicaciones creadas con las plataformas nativas de Android, iOS (Obj-C, Swift), Xamarin, Xamarin.Forms y Cordova.The Intune SDK development team actively tests and maintains support for apps built with the native Android, iOS (Obj-C, Swift), Xamarin, Xamarin.Forms, and Cordova platforms. Aunque algunos clientes han podido integrar con éxito el SDK de Intune con otras plataformas como React Native y NativeScript, no proporcionamos instrucciones explícitas o complementos para desarrolladores de aplicaciones que no utilicen nuestras plataformas compatibles.While some customers have had success with Intune SDK integration with other platforms such as React Native and NativeScript, we do not provide explicit guidance or plugins for app developers using anything other than our supported platforms.

Intune App SDK usa algunas funcionalidades de autenticación modernas avanzadas de las Bibliotecas de autenticación de Azure Active Directory (ADAL) tanto para las versiones de primera entidad como para las de terceros del SDK.The Intune App SDK uses some advanced modern authentication capabilities from theAzure Active Directory Authentication Libraries (ADAL) for both the 1st party and the 3rd party versions of the SDK. Por lo tanto, la Biblioteca de autenticación de Microsoft (MSAL) no funciona bien con muchos de nuestros escenarios básicos, como la autenticación en el servicio de Intune App Protection y el inicio condicional.As such, Microsoft Authentication Library (MSAL) does not work well with many of our core scenarios such as authentication into the Intune App Protection service and conditional launch. Dado que el objetivo general del equipo de identidades de Microsoft es migrar a MSAL en todas las aplicaciones de Microsoft Office, Intune App SDK tendrá que admitirlo en algún momento, pero actualmente no está previsto.Given that the overall guidance from Microsoft's Identity team is to switch to MSAL for all of the Microsoft Office apps, the Intune App SDK will eventually need to support it, but there are no plans today.

Requisitos del usuario final para utilizar directivas de protección de aplicacionesEnd-user requirements to use app protection policies

En la siguiente lista se proporcionan los requisitos del usuario final para utilizar directivas de protección de aplicaciones en una aplicación administrada de Intune:The following list provides the end-user requirements to use app protection policies on an Intune-managed app:

  • El usuario final debe tener una cuenta de Azure Active Directory (AAD).The end user must have an Azure Active Directory (AAD) account. Consulte Agregar usuarios y conceder permiso administrativo a Intune para aprender a crear usuarios de Intune en Azure Active Directory.See Add users and give administrative permission to Intune to learn how to create Intune users in Azure Active Directory.

  • El usuario final debe tener una licencia de Microsoft Intune asignada a su cuenta de Azure Active Directory.The end user must have a license for Microsoft Intune assigned to their Azure Active Directory account. Vea Administrar licencias de Intune para obtener información sobre cómo asignar licencias de Intune a los usuarios finales.See Manage Intune licenses to learn how to assign Intune licenses to end users.

  • El usuario final debe pertenecer a un grupo de seguridad de destino de una directiva de protección de la aplicación.The end user must belong to a security group that is targeted by an app protection policy. La misma directiva de protección de aplicaciones debe tener como destino la aplicación específica que se va a utilizar.The same app protection policy must target the specific app being used. Las directivas de protección de aplicaciones pueden crearse e implementarse en la consola de Intune en el portal de Azure.App protection policies can be created and deployed in the Intune console in the Azure portal. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.Security groups can currently be created in the Microsoft 365 admin center.

  • El usuario final debe iniciar sesión en la aplicación con su cuenta de AAD.The end user must sign into the app using their AAD account.

Directivas de protección de aplicaciones para aplicaciones de Microsoft OfficeApp protection policies for Microsoft Office apps

Hay algunos requisitos adicionales que es necesario tener en cuenta al utilizar directivas de protección de aplicaciones con aplicaciones de Microsoft Office.There are a few additional requirements that you want to be aware of when using App protection policies with Microsoft Office apps.

Aplicación móvil de OutlookOutlook mobile app

Entre los requisitos adicionales para usar la aplicación móvil de Outlook se incluyen los siguientes:The additional requirements to use the Outlook mobile app include the following:

  • El usuario final debe tener la aplicación móvil de Outlook instalada en su dispositivo.The end user must have the Outlook mobile app installed to their device.

  • El usuario final debe tener una licencia y buzón de correo de Office 365 Exchange Online vinculados a su cuenta de Azure Active Directory.The end user must have an Office 365 Exchange Online mailbox and license linked to their Azure Active Directory account.

    Nota

    Actualmente, la aplicación móvil de Outlook solo es compatible con Intune App Protection para Microsoft Exchange Online y Exchange Server con autenticación moderna híbrida y no admite Exchange en Office 365 dedicado.The Outlook mobile app currently only supports Intune App Protection for Microsoft Exchange Online and Exchange Server with hybrid modern authentication and does not support Exchange in Office 365 Dedicated.

Word, Excel y PowerPointWord, Excel, and PowerPoint

Entre los requisitos adicionales para usar las aplicaciones Word, Excel y PowerPoint se incluyen los siguientes:The additional requirements to use the Word, Excel, and PowerPoint apps include the following:

  • El usuario final debe tener una licencia de Office 365 Empresa o Enterprise asignada a su cuenta de Azure Active Directory.The end user must have a license for Office 365 Business or Enterprise linked to their Azure Active Directory account. La suscripción debe incluir las aplicaciones de Office en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con OneDrive para la Empresa.The subscription must include the Office apps on mobile devices and can include a cloud storage account with OneDrive for Business. Las licencias de Office 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.Office 365 licenses can be assigned in the Microsoft 365 admin center following these instructions.

  • El usuario final debe tener una ubicación administrada configurada con la funcionalidad pormenorizada Guardar como en la configuración de directiva de protección de aplicaciones "Impedir Guardar como".The end user must have a managed location configured using the granular save as functionality under the "Prevent Save As" application protection policy setting. Por ejemplo, si la ubicación administrada es OneDrive, la aplicación OneDrive debe estar configurada en la aplicación Word, Excel o PowerPoint del usuario final.For example, if the managed location is OneDrive, the OneDrive app should be configured in the end user's Word, Excel, or PowerPoint app.

  • Si la ubicación administrada es OneDrive, la directiva de protección de aplicaciones implementada para el usuario final debe tener como destino la aplicación.If the managed location is OneDrive, the app must be targeted by the app protection policy deployed to the end user.

    Nota

    Las aplicaciones móviles de Office actualmente solo admiten SharePoint Online y no SharePoint local.The Office mobile apps currently only support SharePoint Online and not SharePoint on-premises.

Ubicación administrada necesaria para OfficeManaged location needed for Office

Una ubicación administrada (como OneDrive) necesaria para Office.A managed location (i.e. OneDrive) needed for Office. Intune marca todos los datos de la aplicación como "empresa" o "personal".Intune marks all data in the app as either "corporate" or "personal". Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa.Data is considered "corporate" when it originates from a business location. Para las aplicaciones de Office, Intune considera las siguientes ubicaciones de la empresa: correo electrónico (Exchange) o almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account).

Skype EmpresarialSkype for Business

Existen requisitos adicionales para usar Skype Empresarial.There are additional requirements to use Skype for Business. Consulte los requisitos de licencias de Skype Empresarial.See Skype for Business license requirements. Para configuraciones híbridas y locales de Skype Empresarial, consulte Hybrid Modern Auth for SfB and Exchange goes GA (La autenticación moderna híbrida para Skype Empresarial y Exchange está disponible con carácter general) y Modern Auth for SfB OnPrem with AAD (Autenticación moderna para Skype Empresarial local con AAD), respectivamente.For Skype for Business (SfB) hybrid and on-prem configurations, see Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB OnPrem with AAD, respectively.

Directiva global de protección de aplicacionesApp protection Global policy

Si un administrador de OneDrive navega a admin.office.com y selecciona el acceso Dispositivo, podrá establecer los controles Administración de aplicaciones móviles en las aplicaciones cliente de OneDrive y SharePoint.If a OneDrive administrator browses to admin.office.com and selects Device access, they can set Mobile application management controls to the OneDrive and SharePoint client apps.

La configuración, disponible en la consola de administración de OneDrive, establece una directiva de protección de aplicaciones de Intune especial llamada Global.The settings, made available to the OneDrive Admin console, configure a special Intune app protection policy called the Global policy. Esta directiva global se aplica a todos los usuarios de su inquilino y no tiene forma de controlar los destinos de la directiva.This global policy applies to all users in your tenant, and has no way to control the policy targeting.

Una vez habilitada, las aplicaciones de OneDrive y SharePoint para iOS y Android están protegidas con la configuración seleccionada de forma predeterminada.Once enabled, the OneDrive and SharePoint apps for iOS and Android are protected with the selected settings by default. Un profesional de TI puede editar esta directiva en la consola de Intune y agregar más aplicaciones de destino y modificar cualquier configuración de directiva.An IT Pro can edit this policy in the Intune console to add more targeted apps and to modify any policy setting.

De forma predeterminada, solo puede haber una directiva Global por inquilino,By default, there can only be one Global policy per tenant. aunque puede usar una Graph API de Intune para crear otras directivas globales por inquilino, aunque no se recomienda,However, you can use Intune Graph APIs to create extra global policies per tenant, but doing so isn't recommended. dado que puede ser complicado solucionar problemas en la implementación de esta directiva.Creating extra global policies isn’t recommended because troubleshooting the implementation of such a policy can become complicated.

Si bien la directiva Global se aplica a todos los usuarios del inquilino, cualquier directiva estándar de protección de aplicaciones de Intune anulará esta configuración.While the Global policy applies to all users in your tenant, any standard Intune app protection policy will override these settings.

Características de protección de aplicacionesApp protection features

Varias identidadesMulti-identity

La compatibilidad con varias identidades permite a una aplicación admitir varias audiencias.Multi-identity support allows an app to support multiple audiences. Estas audiencias son tanto usuarios "corporativos" como "personales".These audiences are both "corporate" users and "personal" users. Las audiencias "corporativas" usan cuentas profesionales y educativas, mientras que las cuentas personales se utilizarían para audiencias de consumidores como, por ejemplo, los usuarios de Microsoft Office.Work and school accounts are used by "corporate" audiences, whereas personal accounts would be used for consumer audiences, such as Microsoft Office users. Una aplicación que admite varias identidades se puede lanzar públicamente allí donde las directivas de protección de aplicaciones se aplican solo al usarse la aplicación en el contexto profesional y educativo ("corporativo").An app that supports multi-identity can be released publicly, where app protection policies apply only when the app is used in the work and school ("corporate") context. La compatibilidad con varias identidades usa Intune App SDK solo para aplicar las directivas de protección de aplicaciones a la cuenta profesional o educativa con la que se ha iniciado sesión en la aplicación.Multi-identity support uses the Intune App SDK to only apply app protection policies to the work or school account signed into the app. Si se ha iniciado sesión en la aplicación con una cuenta personal, los datos no se modifican.If a personal account is signed into the app, the data is untouched.

Como ejemplo de contexto "personal", piense en un usuario que empieza un documento nuevo en Word: esto se considera contexto personal por lo que no se aplican las directivas Intune App Protection.For an example of "personal" context, consider a user who starts a new document in Word, this is considered personal context so Intune App Protection policies are not applied. Una vez que el documento se guarda en la cuenta "corporativa" de OneDrive, se le considerará como contexto "corporativo" y se aplicarán las directivas Intune App Protection.Once the document is saved on the "corporate" OneDrive account, then it will be considered "corporate" context and Intune App Protection policies will be applied.

Como ejemplo de contexto de trabajo o "corporativo", piense en un usuario que inicia la aplicación OneDrive con su cuenta profesional.For an example of work or "corporate" context, consider a user who starts the OneDrive app by using their work account. En el contexto de trabajo, no puede mover los archivos a una ubicación de almacenamiento personal.In the work context, they can't move files to a personal storage location. Más adelante, cuando usa OneDrive con su cuenta personal, puede copiar y mover los datos de su OneDrive personal sin restricciones.Later, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

Outlook tiene una vista de correo electrónico combinada de correos electrónicos "personales" y "corporativos".Outlook has a combined email view of both "personal" and "corporate" emails. En esta situación, la aplicación Outlook solicita el PIN de Intune al iniciarse.In this situation, the Outlook app prompts for the Intune PIN on launch.

Para obtener más información sobre varias identidades en Intune, consulte MAM y varias identidades.For more information about multi-identity in Intune, see MAM and multi-identity.

PIN de aplicación de IntuneIntune app PIN

El número de identificación personal (PIN) es un código de acceso que se utiliza para comprobar que el usuario correcto está obteniendo acceso a los datos de la organización en una aplicación.The Personal Identification Number (PIN) is a passcode used to verify that the correct user is accessing the organization's data in an application.

Solicitud de PINPIN prompt
Intune solicita el PIN de la aplicación del usuario cuando este esté a punto de acceder a los datos "corporativos".Intune prompts for the user's app PIN when the user is about to access "corporate" data. En las aplicaciones de varias identidades, como Word, Excel o PowerPoint, se solicitará al usuario el PIN cuando intente abrir un archivo o documento "corporativos".In multi-identity apps such as Word, Excel, or PowerPoint, the user is prompted for their PIN when they try to open a "corporate" document or file. En las aplicaciones de una sola identidad, como las aplicaciones de línea de negocio administradas mediante la herramienta de ajuste de aplicaciones de Intune, el PIN se solicita en el inicio, ya que Intune App SDK sabe que la experiencia del usuario en la aplicación siempre es "corporativa".In single-identity apps, such as line-of-business apps managed using the Intune App Wrapping Tool, the PIN is prompted at launch, because the Intune App SDK knows the user's experience in the app is always "corporate".

Frecuencia de solicitud de PINPIN prompt frequency
El administrador de TI puede definir la opción de configuración de directivas de protección de aplicaciones de Intune Volver a comprobar los requisitos de acceso tras (minutos) en la consola de administración de Intune.The IT admin can define the Intune app protection policy setting Recheck the access requirements after (minutes) in the Intune admin console. Esta opción permite especificar el período de tiempo antes de comprobar los requisitos de acceso en el dispositivo. El PIN de la aplicación se vuelve a mostrar.This setting specifies the amount of time before the access requirements are checked on the device, and the application PIN screen is shown again. Sin embargo, los detalles importantes sobre el PIN que afectan a la frecuencia con la que se solicitará al usuario son los siguientes:However, important details about PIN that affect how often the user will be prompted are:

  • El PIN se comparte entre las aplicaciones del mismo publicador para mejorar la capacidad de uso:The PIN is shared among apps of the same publisher to improve usability:
    En iOS, un PIN de aplicación se comparte entre todas las aplicaciones del mismo publicador de aplicaciones.On iOS, one app PIN is shared amongst all apps of the same app publisher. En el caso de Android, este es compartido entre todas las aplicaciones.On Android, one app PIN is shared amongst all apps.
    • El comportamiento Volver a comprobar los requisitos de acceso tras (minutos) tras un reinicio del dispositivo:The Recheck the access requirements after (minutes) behavior after a device reboot:
      Un "temporizador de PIN" realiza un seguimiento del número de minutos de inactividad que determinan cuándo se debe mostrar el siguiente el PIN de la aplicación de Intune.A "PIN timer" tracks the number of minutes of inactivity that determine when to show the Intune app PIN next. En iOS, el temporizador de PIN no se ve afectado por el reinicio del dispositivo.On iOS, the PIN timer is unaffected by device reboot. Por lo tanto, reiniciar el dispositivo no tiene ningún efecto en el número de minutos que el usuario ha estado inactivo desde una aplicación de iOS con la directiva de PIN de Intune.Thus, device restart has no effect on the number of minutes the user has been inactive from an iOS app with Intune PIN policy. En Android, el temporizador de PIN se restablece con el reinicio del dispositivo.On Android, the PIN timer is reset on device reboot. Por lo tanto, las aplicaciones de Android con una directiva de PIN de Intune probablemente soliciten un PIN de aplicación, independientemente del valor de configuración "Volver a comprobar los requisitos de acceso después de (minutos)" tras un reinicio del dispositivo.As such, Android apps with Intune PIN policy will likely prompt for an app PIN regardless of the 'Recheck the access requirements after (minutes)' setting value after a device reboot.
    • La naturaleza gradual del temporizador asociado al PIN:The rolling nature of the timer associated with the PIN:
      al escribir el PIN para acceder a una aplicación (aplicación A), cuando esta deja de estar en segundo plano (foco de entrada principal) en el dispositivo, se restablece el temporizador del PIN.Once a PIN is entered to access an app (app A), and the app leaves the foreground (main input focus) on the device, the PIN timer gets reset for that PIN. En el caso de cualquier otra aplicación (aplicación B) que use el mismo PIN, no se solicitará al usuario que lo vuelva a escribir, ya que el temporizador se habrá restablecido.Any app (app B) that shares this PIN will not prompt the user for PIN entry because the timer has reset. La solicitud se volverá a mostrar una vez que se haya alcanzado el valor establecido en "Volver a comprobar los requisitos de acceso tras (minutos)".The prompt will show up again once the 'Recheck the access requirements after (minutes)' value is met again.

Para los dispositivos iOS, incluso si el PIN se comparte entre aplicaciones de diferentes publicadores, se mostrará nuevamente el símbolo del sistema cuando se vuelva a alcanzar el valor Volver a comprobar los requisitos de acceso después de (minutos) de la aplicación que no es el foco de entrada principal.For iOS devices, even if the PIN is shared between apps from different publishers, the prompt will show up again when the Recheck the access requirements after (minutes) value is met again for the app that is not the main input focus. Por tanto, por ejemplo, un usuario tiene la aplicación A del publicador X y la aplicación B del publicador Y, y esas dos aplicaciones comparten el mismo PIN.So, for example, a user has app A from publisher X and app B from publisher Y, and those two apps share the same PIN. El usuario se centra en la aplicación A (en primer plano) y la aplicación B está minimizada.The user is focused on app A (foreground), and app B is minimized. Después de que se alcance el valor Volver a comprobar los requisitos de acceso después de (minutos) y el usuario cambie a la aplicación B, se requeriría el PIN.After the Recheck the access requirements after (minutes) value is met and the user switches to app B, the PIN would be required.

Nota

Para comprobar los requisitos de acceso del usuario más a menudo, por ejemplo, la solicitud del PIN, en particular en el caso de las aplicaciones utilizadas más a menudo, se recomienda reducir el valor de la opción "Volver a comprobar los requisitos de acceso tras (minutos)".In order to verify the user's access requirements more often (i.e. PIN prompt), especially for a frequently used app, it is recommended to reduce the value of the 'Recheck the access requirements after (minutes)' setting.

PIN de aplicación integrados para Outlook y OneDriveBuilt-in app PINs for Outlook and OneDrive
El PIN de Intune funciona en base a un temporizador basado en inactividad (el valor de Volver a comprobar los requisitos de acceso tras [minutos] ).The Intune PIN works based on an inactivity-based timer (the value of Recheck the access requirements after (minutes)). Por lo tanto, las solicitudes del PIN de Intune se muestran independientemente de las solicitudes de PIN de aplicación integrado para Outlook y OneDrive, que a menudo están vinculados al inicio de la aplicación de forma predeterminada.As such, Intune PIN prompts show up independently from the built-in app PIN prompts for Outlook and OneDrive which often are tied to app launch by default. Si el usuario recibe ambas solicitudes de PIN al mismo tiempo, el comportamiento esperado debería ser que el PIN de Intune tiene prioridad.If the user receives both PIN prompts at the same time, the expected behavior should be that the Intune PIN takes precedence.

Seguridad de PIN de IntuneIntune PIN security
El PIN sirve para permitir que solo el usuario correcto disponga de acceso a los datos de su organización en la aplicación.The PIN serves to allow only the correct user to access their organization's data in the app. Por lo tanto, el usuario debe iniciar sesión con su cuenta profesional o educativa para poder establecer o restablecer el PIN de la aplicación de Intune.Therefore, an end user must sign in with their work or school account before they can set or reset their Intune app PIN. Esta autenticación se controla mediante Azure Active Directory a través del intercambio de token seguros y no es transparente para Intune App SDK.This authentication is handled by Azure Active Directory via secure token exchange and is not transparent to the Intune App SDK. Desde una perspectiva de seguridad, la mejor manera de proteger los datos profesionales o educativos es cifrarlos.From a security perspective, the best way to protect work or school data is to encrypt it. El cifrado no está relacionado con el PIN de la aplicación, pero tiene su propia directiva de protección de aplicaciones.Encryption is not related to the app PIN but is its own app protection policy.

PIN de Intune: protección contra ataques por fuerza brutaIntune PIN - Protecting against brute force attacks
Como parte de la directiva de PIN de la aplicación, el administrador de TI puede establecer el número máximo de veces que un usuario puede intentar autenticar su PIN antes de bloquear la aplicación.As part of the app PIN policy, the IT administrator can set the maximum number of times a user can try to authenticate their PIN before locking the app. Después de que se haya cumplido el número de intentos, Intune App SDK puede borrar los datos "corporativos" en la aplicación.After the number of attempts has been met, the Intune App SDK can wipe the "corporate" data in the app.

¿Establecer un PIN dos veces en las aplicaciones del mismo publicador?Setting a PIN twice on apps from the same publisher?
MAM (en iOS) permite actualmente un PIN de nivel de aplicación con caracteres alfanuméricos y especiales (llamado "código de acceso"), que requiere la participación de aplicaciones (como WXP, Outlook, Managed Browser y Yammer) para integrar Intune APP SDK para iOS.MAM (on iOS) currently allows application-level PIN with alphanumeric and special characters (called 'passcode') which requires the participation of applications (i.e. WXP, Outlook, Managed Browser, Yammer) to integrate the Intune APP SDK for iOS. Sin esto, la configuración de código de acceso no se aplica correctamente en las aplicaciones de destino.Without this, the passcode settings are not properly enforced for the targeted applications. Se trata de una característica publicada en el SDK de Intune para iOS v.This was a feature released in the Intune SDK for iOS v. 7.1.12.7.1.12.

Para admitir esta característica y garantizar la compatibilidad con versiones anteriores de los SDK de Intune para iOS, todos los PIN (ya sean numéricos o un código de acceso) en 7.1.12+ se tratan por separado a partir del PIN numérico en versiones anteriores del SDK.In order to support this feature and ensure backward compatibility with previous versions of the Intune SDK for iOS, all PINs (either numeric or passcode) in 7.1.12+ are handled separately from the numeric PIN in previous versions of the SDK. Por lo tanto, si un dispositivo tiene aplicaciones con el SDK de Intune para iOS en versiones anteriores a 7.1.12 Y posteriores a 7.1.12 del mismo publicador, será necesario configurar dos PIN.Therefore, if a device has applications with Intune SDK for iOS versions before 7.1.12 AND after 7.1.12 from the same publisher, they will have to set up two PINs. Los dos PIN (para cada aplicación) no están relacionados de ninguna manera (es decir, deben cumplir la directiva de protección de aplicaciones correspondiente a la aplicación).The two PINs (for each app) are not related in any way (i.e. they must adhere to the app protection policy that’s applied to the app). Por lo tanto, solo si las aplicaciones A y B tienen las mismas directivas aplicadas (con respecto a los PIN), el usuario podrá configurar dos veces el mismo PIN.As such, only if apps A and B have the same policies applied (with respect to PIN), user may set up the same PIN twice.

Este comportamiento es específico para el PIN en aplicaciones de iOS que ya están habilitadas con la Administración de aplicaciones móviles de Intune.This behavior is specific to the PIN on iOS applications that are enabled with Intune Mobile App Management. Con el tiempo, a medidas que las aplicaciones adoptan las versiones posteriores del SDK de Intune para iOS, el hecho de tener que establecer un PIN dos veces en las aplicaciones del mismo editor dejará de ser un problema importante.Over time, as applications adopt later versions of the Intune SDK for iOS, having to set a PIN twice on apps from the same publisher becomes less of an issue. Vea la nota a continuación para obtener un ejemplo.Please see the note below for an example.

Nota

Por ejemplo, si la aplicación A se compila con una versión anterior a 7.1.12 y aplicación B se compila con una versión mayor o igual a 7.1.12 del mismo editor, el usuario final deberá configurar por separado los PIN para A y B si ambos se instalan en un dispositivo iOS.For example, if app A is built with a version prior to 7.1.12 and app B is built with a version greater than or equal to 7.1.12 from the same publisher, the end user will need to set up PINs separately for A and B if both are installed on an iOS device. Si una aplicación C con la versión 7.1.9 del SDK está instalada en el dispositivo, compartirá el mismo PIN que la aplicación A. Una aplicación D compilada con 7.1.14 compartirá el mismo PIN que la aplicación B.If an app C that has SDK version 7.1.9 is installed on the device, it will share the same PIN as app A. An app D built with 7.1.14 will share the same PIN as app B.
Si solo se instalan las aplicaciones A y C se instalan en un dispositivo, tendrá que configurarse un PIN.If only apps A and C are installed on a device, then one PIN will need to be set. Esto mismo se aplica si solo se instalan las aplicaciones B y D en un dispositivo.The same applies to if only apps B and D are installed on a device.

Cifrado de datos de aplicaciónApp data encryption

Los administradores de TI pueden implementar una directiva de protección de aplicaciones que requiere cifrar los datos de aplicaciones.IT administrators can deploy an app protection policy that requires app data to be encrypted. Como parte de la directiva, el administrador de TI también puede especificar cuándo se cifra el contenido.As part of the policy, the IT administrator can also specify when the content is encrypted.

Cómo procesa el cifrado de datos de IntuneHow does Intune data encryption process
Consulte la configuración de directivas de protección de aplicaciones Android y la configuración de la protección de aplicaciones iOS para obtener información detallada sobre la configuración de directiva de protección de aplicaciones de cifrado.See the Android app protection policy settings and iOS app protection policy settings for detailed information on the encryption app protection policy setting.

Datos que están cifradosData that is encrypted
Solo se cifran los datos marcados como "corporativos" según la directiva de protección de la aplicación del administrador de TI.Only data marked as "corporate" is encrypted according to the IT administrator's app protection policy. Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa.Data is considered "corporate" when it originates from a business location. En el caso de las aplicaciones de Office, Intune considera lo siguiente como ubicaciones empresariales:For the Office apps, Intune considers the following as business locations:

  • Correo electrónico (Exchange)Email (Exchange)
  • Almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa)Cloud storage (OneDrive app with a OneDrive for Business account)

Para las aplicaciones de línea de negocio administradas por la herramienta de ajuste de aplicaciones de Intune, todos los datos de aplicaciones se consideran "corporativos".For line-of-business apps managed by the Intune App Wrapping Tool, all app data is considered "corporate".

Borrar de forma remota los datosRemotely wipe data

Intune puede borrar los datos de aplicación de tres formas diferentes:Intune can wipe app data in three different ways:

  • Borrado completo del dispositivoFull device wipe
  • Borrado selectivo para MDMSelective wipe for MDM
  • Borrado selectivo de MAMMAM selective wipe

Para obtener más información sobre el borrado remoto de MDM, vea Eliminación de dispositivos mediante Borrar o Retirar.For more information about remote wipe for MDM, see Remove devices by using wipe or retire. Para obtener más información sobre el borrado selectivo mediante MAM, vea la acción Retirar y Borrado solo de datos corporativos de aplicaciones administradas por Intune.For more information about selective wipe using MAM, see the Retire action and How to wipe only corporate data from apps.

El borrado quita todos los datos de usuario y la configuración del dispositivo mediante su restauración a la configuración predeterminada de fábrica.Wipe removes all user data and settings from the device by restoring the device to its factory default settings. El dispositivo se quita de Intune.The device is removed from Intune.

Nota

El borrado solo se puede lograr en los dispositivos inscritos con la administración de dispositivos móviles de Intune (MDM).Wipe can only be achieved on devices enrolled with Intune mobile device management (MDM).

Borrado selectivo para MDMSelective wipe for MDM
Vea Eliminación de dispositivos: retirar para obtener información sobre cómo eliminar datos de la empresa.See Remove devices - retire to read about removing company data.

Borrado selectivo para MAMSelective wipe for MAM
El borrado selectivo de MAM simplemente quita los datos de la aplicación de empresa de la aplicación.Selective wipe for MAM simply removes company app data from an app. La solicitud se inicia mediante el Portal de Intune Azure.The request is initiated using the Intune Azure portal. Para obtener información sobre cómo iniciar una solicitud de borrado, vea Borrado solo de datos corporativos de aplicaciones.To learn how to initiate a wipe request, see How to wipe only corporate data from apps.

Si el usuario está utilizando la aplicación cuando se inicia el borrado selectivo, Intune App SDK comprueba cada 30 minutos una solicitud de borrado selectivo desde el servicio Intune MAM.If the user is using the app when selective wipe is initiated, the Intune App SDK checks every 30 minutes for a selective wipe request from the Intune MAM service. También comprueba el borrado selectivo cuando el usuario inicia la aplicación por primera vez e inicia sesión con su cuenta profesional o educativa.It also checks for selective wipe when the user launches the app for the first time and signs in with their work or school account.

Cuando los servicios locales no funcionan con aplicaciones protegidas de IntuneWhen On-Premises (on-prem) services don't work with Intune protected apps
La protección de aplicaciones de Intune depende de la identidad del usuario para ser coherente entre la aplicación e Intune App SDK.Intune app protection depends on the identity of the user to be consistent between the application and the Intune App SDK. La única manera de garantizar esto es a través de la autenticación moderna.The only way to guarantee that is through modern authentication. Hay escenarios en los que las aplicaciones pueden funcionar con una configuración local, pero no son coherentes ni ofrecen garantías.There are scenarios in which apps may work with an on-prem configuration, but they are neither consistent nor guaranteed.

Forma segura de abrir vínculos web desde aplicaciones administradasSecure way to open web links from managed apps
El administrador de TI puede implementar y establecer una directiva de protección de aplicaciones para la aplicación Intune Managed Browser, un explorador web desarrollado por Microsoft Intune que puede administrarse fácilmente con Intune.The IT administrator can deploy and set app protection policy for the Intune Managed Browser app, a web browser developed by Microsoft Intune that can be managed easily with Intune. El administrador de TI puede requerir que todos los vínculos web en aplicaciones administradas de Intune se abran con la aplicación Managed Browser.The IT administrator can require all web links in Intune-managed apps to be opened using the Managed Browser app.

Ejemplos de directivas de protección de aplicacionesExamples of app protection policies

Para obtener más información sobre ejemplos de directivas de protección de aplicaciones y para ver información detallada de cada configuración de directiva de protección de la aplicación, consulte la configuración de directivas de protección de aplicaciones Android y la configuración de directivas de protección de aplicaciones iOS.To learn more about app protection policies examples and to see detailed information on each app protection policy setting, see the Android app protection policy settings and iOS app protection policy settings.

Experiencia de protección de aplicaciones para dispositivos iOSApp protection experience for iOS devices

Identificadores de cara o huella digital del dispositivoDevice fingerprint or face IDs

Las directivas de protección de aplicaciones de Intune permiten limitar el acceso a solo los usuarios con licencia de Intune.Intune app protection policies allow control over app access to only the Intune licensed user. Una de las maneras de controlar el acceso a la aplicación es exigir Touch ID o Face ID de Apple en dispositivos admitidos.One of the ways to control access to the app is to require either Apple's Touch ID or Face ID on supported devices. Intune implementa un comportamiento donde si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se alcanza el siguiente valor de tiempo de espera de inactividad.Intune implements a behavior where if there is any change to the device's biometric database, Intune prompts the user for a PIN when the next inactivity timeout value is met. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital.Changes to biometric data include the addition or removal of a fingerprint, or face. Si el usuario de Intune no tiene establecido un PIN, se le lleva por los pasos para configurar uno.If the Intune user does not have a PIN set, they are led to set up an Intune PIN.

La finalidad de este proceso es seguir manteniendo los datos de la organización dentro de la aplicación seguros y protegidos en el nivel de aplicación.The intent of this process is to continue keeping your organization's data within the app secure and protected at the app level. Esta característica solo está disponible para iOS y requiere la participación de aplicaciones que integran Intune APP SDK para iOS, versión 9.0.1 o posterior.This feature is only available for iOS, and requires the participation of applications that integrate the Intune APP SDK for iOS, version 9.0.1 or later. La integración del SDK es necesaria para que se pueda aplicar el comportamiento en las aplicaciones de destino.Integration of the SDK is necessary so that the behavior can be enforced on the targeted applications. Esta integración ocurre de manera gradual y depende de los equipos de la aplicación específica.This integration happens on a rolling basis and is dependent on the specific application teams. Algunas de las aplicaciones que participan son WXP, Outlook, Managed Browser y Yammer.Some apps that participate include WXP, Outlook, Managed Browser, and Yammer.

Extensión de recursos compartidos de iOSiOS share extension

Puede usar la extensión de recursos compartidos de iOS para abrir los datos profesionales o educativos en aplicaciones no administradas, incluso con la directiva de transferencia de datos establecida en solo aplicaciones administradas o ninguna aplicación.You can use the iOS share extension to open work or school data in unmanaged apps, even with the data transfer policy set to managed apps only or no apps. La directiva de protección de aplicaciones de Intune no puede controlar la extensión de recursos compartidos de iOS sin administrar el dispositivo.Intune app protection policy cannot control the iOS share extension without managing the device. Por lo tanto, Intune cifra los datos "corporativos" antes de compartirlos fuera de la aplicación .Therefore, Intune encrypts "corporate" data before it is shared outside the app. Puede validar este comportamiento de cifrado intentando abrir un archivo "corporativo" fuera de la aplicación administrada.You can validate this encryption behavior by attempting to open a "corporate" file outside of the managed app. El archivo debe estar cifrado y no debe poder abrirse fuera de la aplicación administrada.The file should be encrypted and unable to be opened outside the managed app.

Varias configuraciones de acceso de protección de aplicaciones de Intune para el mismo conjunto de aplicaciones y usuariosMultiple Intune app protection access settings for same set of apps and users

Las directivas de protección de aplicaciones de Intune para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten obtener acceso a una aplicación de destino desde su cuenta corporativa.Intune app protection policies for access will be applied in a specific order on end-user devices as they try to access a targeted app from their corporate account. En general, tendría prioridad un borrado, seguido de un bloqueo y, después, una advertencia descartable.In general, a wipe would take precedence, followed by a block, then a dismissible warning. Por ejemplo, si es aplicable a la aplicación o usuario específico, una configuración de sistema operativo mínima de iOS que advierte al usuario de actualizar la versión de iOS se aplicará después de la configuración de sistema operativo mínima de iOS que bloquea el acceso del usuario.For example, if applicable to the specific user/app, a minimum iOS operating system setting that warns a user to update their iOS version will be applied after the minimum iOS operating system setting that blocks the user from access. Por tanto, en el caso en que el administrador de TI configure el sistema operativo mínimo de iOS en 11.0.0.0 y el sistema operativo mínimo de iOS (solo advertencia) en 11.1.0.0, mientras el dispositivo que intenta obtener acceso a la aplicación esté en iOS 10, se bloquearía al usuario final en función del valor más restrictivo para la versión de sistema operativo de iOS mínima que provoque el bloqueo del acceso.So, in the scenario where the IT admin configures the min iOS operating system to 11.0.0.0 and the min iOS operating system (Warning only) to 11.1.0.0, while the device trying to access the app was on iOS 10, the end user would be blocked based on the more restrictive setting for min iOS operating system version that results in blocked access.

Cuando se trabaja con diferentes tipos de configuraciones, un requisito de versión de Intune App SDK tendría prioridad, seguido por el requisito de versión de la aplicación y el requisito de versión del sistema operativo de iOS.When dealing with different types of settings, an Intune App SDK version requirement would take precedence, then an app version requirement, followed by the iOS operating system version requirement. Después, se comprueban en el mismo orden las advertencias para todos los tipos de configuración.Then, any warnings for all types of settings in the same order are checked. Se recomienda configurar los requisitos de versión de Intune App SDK solo de acuerdo con las instrucciones del equipo de producto de Intune para escenarios de bloqueo esenciales.We recommend the Intune App SDK version requirement be configured only upon guidance from the Intune product team for essential blocking scenarios.

Experiencia de protección de aplicaciones para dispositivos AndroidApp protection experience for Android devices

Aplicación del Portal de empresa y protección de aplicaciones de IntuneCompany Portal app and Intune app protection

La mayor parte de la función de protección de aplicaciones se integra en la aplicación de portal de empresa.Much of app protection functionality is built into the Company Portal app. La inscripción de dispositivos no es obligatoria aunque la aplicación de portal de empresa se requiera siempre.Device enrollment is not required even though the Company Portal app is always required. Para la administración de aplicaciones móviles sin inscripción (MAM-WE), el usuario final solo necesita tener la aplicación Portal de empresa instalada en el dispositivo.For mobile application management without enrollment (MAM-WE), the end user just needs to have the Company Portal app installed on the device.

Varias configuraciones de acceso de protección de aplicaciones de Intune para el mismo conjunto de aplicaciones y usuariosMultiple Intune app protection access settings for same set of apps and users

Las directivas de protección de aplicaciones de Intune para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten obtener acceso a una aplicación de destino desde su cuenta corporativa.Intune app protection policies for access will be applied in a specific order on end-user devices as they try to access a targeted app from their corporate account. En general, tendría prioridad un bloqueo y, después, una advertencia descartable.In general, a block would take precedence, then a dismissible warning. Por ejemplo, si es aplicable a la aplicación o usuario específico, una configuración de versión de revisión mínima de Android que advierte al usuario de realizar una actualización de revisión se aplicará después de la configuración de versión de revisión mínima de Android que bloquea el acceso del usuario.For example, if applicable to the specific user/app, a minimum Android patch version setting that warns a user to take a patch upgrade will be applied after the minimum Android patch version setting that blocks the user from access. Por tanto, en el caso en que el administrador de TI configure la versión de revisión de Android mínima en 01-03-2018 y la versión de revisión de Android mínima (solo advertencia) en 01-02-2018, mientras el dispositivo que intenta obtener acceso a la aplicación esté en una versión de revisión 01-01-2018, se bloquearía al usuario final en función del valor más restrictivo para la versión de revisión de Android mínima que provoque el bloqueo del acceso.So, in the scenario where the IT admin configures the min Android patch version to 2018-03-01 and the min Android patch version (Warning only) to 2018-02-01, while the device trying to access the app was on a patch version 2018-01-01, the end user would be blocked based on the more restrictive setting for min Android patch version that results in blocked access.

Cuando se trabaja con diferentes tipos de configuraciones, un requisito de versión de la aplicación tendría prioridad, seguido por el requisito de versión de sistema operativo de Android y el requisito de versión de revisión de Android.When dealing with different types of settings, an app version requirement would take precedence, followed by Android operating system version requirement and Android patch version requirement. Después, se comprueban en el mismo orden las advertencias para todos los tipos de configuración.Then, any warnings for all types of settings in the same order are checked.

Directivas de protección de aplicaciones de Intune y atestación de SafetyNet de Google para dispositivos AndroidIntune app protection policies and Google's SafetyNet Attestation for Android devices

Las directivas de protección de aplicaciones de Intune permiten a los administradores requerir que los dispositivos de usuario final pasen la API de atestación de SafetyNet de Google para dispositivos Android.Intune app protection policies provide the capability for admins to require end-user devices to pass Google's SafetyNet Attestation for Android devices. Se notificará una nueva determinación de servicio de Google Play a los administradores de TI con un intervalo determinado por el servicio Intune.A new Google Play service determination will be reported to the IT admin at an interval determined by the Intune service. La frecuencia de las llamadas de servicio está limitada debido a la carga y, por lo tanto, este valor se mantiene internamente y no es configurable.How often the service call is made is throttled due to load, thus this value is maintained internally and is not configurable. Cualquier acción que configure el administrador de TI para el valor de configuración de la atestación de SafetyNet de Google se realizará en función del último resultado notificado para el servicio de Intune en el momento del inicio condicional.Any IT admin configured action for the Google SafetyNet Attestation setting will be taken based on the last reported result to the Intune service at the time of conditional launch. Si no hay ningún dato, se permitirá el acceso siempre que no se produzcan errores en otras comprobaciones del inicio condiciona; en el back-end se iniciará un servicio de "recorrido de ida y vuelta" de Google Play para determinar los resultados de la atestación y se le solicitará al usuario de forma asincrónica si el dispositivo ha producido algún error.If there is no data, access will be allowed depending on no other conditional launch checks failing, and Google Play Service "roundtrip" for determining attestation results will begin in the backend and prompt the user asynchronously if the device has failed. Si los datos disponibles son obsoletos, se permitirá o bloqueará el acceso en función del último resultado notificado; de forma similar, se iniciará un servicio de "recorrido de ida y vuelta" de Google Play para determinar los resultados de la atestación y se le pedirá al usuario de forma asincrónica si el dispositivo ha producido algún error.If there is stale data, access will be blocked or allowed depending on the last reported result, and similarly, a Google Play Service "roundtrip" for determining attestation results will begin and prompt the user asynchronously if the device has failed.

Directivas de protección de aplicaciones de Intune y Verify Apps API de Google para dispositivos AndroidIntune app protection policies and Google's Verify Apps API for Android devices

Las directivas de Intune App Protection permiten a los administradores requerir que los dispositivos de usuario final envíen señales a través de la Verify Apps API de Google para dispositivos Android.Intune App Protection Policies provide the capability for admins to require end-user devices to send signals via Google's Verify Apps API for Android devices. Las instrucciones para hacerlo varían ligeramente en función del dispositivo.The instructions on how to do this vary slightly by device. Lo habitual es ir a Google Play Store y, luego, hacer clic en Mis aplicaciones y juegos. A continuación, debe hacer clic en el resultado del último examen de la aplicación, lo que le llevará al menú de Play Protect.The general process involves going to the Google Play Store, then clicking on My apps & games, clicking on the result of the last app scan which will take you into the Play Protect menu. Asegúrese de que el conmutador Buscas amenazas de seguridad en dispositivo esté activado.Ensure the toggle for Scan device for security threats is switched to on.

API de atestación de SafetyNet de GoogleGoogle's SafetyNet Attestation API

Intune aprovecha las API de SafetyNet de Google Play Protect para agregarlas a las comprobaciones de detección de rooting para dispositivos no inscritos.Intune leverages Google Play Protect SafetyNet APIs to add to our existing root detection checks for unenrolled devices. Google ha desarrollado y mantenido este conjunto de API para aplicaciones Android en caso de que no se quiera ejecutarlas en dispositivos con rooting.Google has developed and maintained this API set for Android apps to adopt if they do not want their apps to run on rooted devices. La aplicación Android Pay ha incorporado esto, por ejemplo.The Android Pay app has incorporated this, for example. Aunque Google no comparte públicamente la totalidad de las comprobaciones de detección de rooting que se producen, esperamos que estas API detecten los usuarios que hayan aplicado el rooting en sus dispositivos.While Google does not share publicly the entirety of the root detection checks that occur, we expect these APIs to detect users who have rooted their devices. Después, se puede bloquear el acceso de estos usuarios o se pueden eliminar sus cuentas de empresa desde sus aplicaciones habilitadas para la directiva.These users can then be blocked from accessing, or their corporate accounts wiped from their policy enabled apps. Comprobar integridad básica muestra información sobre la integridad general del dispositivo.Check basic integrity tells you about the general integrity of the device. Por ejemplo, dispositivos con rooting, emuladores, dispositivos virtuales y cualquier otro dispositivo con signos de error de integridad básica por manipulación.Rooted devices, emulators, virtual devices, and devices with signs of tampering fail basic integrity. Comprobar integridad básica y dispositivos certificados ofrece información sobre la compatibilidad del dispositivo con los servicios de Google.Check basic integrity & certified devices tells you about the compatibility of the device with Google's services. Solo superan esta comprobación aquellos dispositivos que no se han manipulado y están certificados por Google.Only unmodified devices that have been certified by Google can pass this check. Entre los dispositivos que producirán un error se incluyen los siguientes:Devices that will fail include the following:

  • Dispositivos que producen error en la integridad básicaDevices that fail basic integrity
  • Dispositivos con un cargador de arranque desbloqueadoDevices with an unlocked bootloader
  • Dispositivos con una imagen de sistema personalizada o ROMDevices with a custom system image/ROM
  • Dispositivos para los que el fabricante no ha solicitado o superado la certificación de GoogleDevices for which the manufacturer didn’t apply for, or pass, Google certification
  • Dispositivos con una imagen de sistema creada directamente desde los archivos de origen del Android Open Source ProgramDevices with a system image built directly from the Android Open Source Program source files
  • Dispositivos con una imagen de sistema de versión preliminar beta o de desarrolladorDevices with a beta/developer preview system image

Consulte la documentación de Google sobre la atestación de SafetyNet para obtener detalles técnicos.See Google's documentation on the SafetyNet Attestation for technical details.

Opciones de configuración de atestación de dispositivo SafetyNet o "Dispositivos con jailbreak o rooting"SafetyNet device attestation setting and the 'jailbroken/rooted devices' setting

Las comprobaciones de la API de SafetyNet de Google Play Protect requieren que el usuario final esté en línea, al menos durante la ejecución del "recorrido de ida y vuelta" para determinar los resultados de atestación.Google Play Protect's SafetyNet API checks require the end user being online, atleast for the duration of the time when the "roundtrip" for determining attestation results executes. Si el usuario final está sin conexión, el administrador de TI puede esperar igualmente que se exija un resultado de la configuración Dispositivos con jailbreak o rooting.If end user is offline, IT admin can still expect a result to be enforced from the jailbroken/rooted devices setting. Dicho esto, si el usuario final ha estado sin conexión demasiado tiempo, se aplica el valor Período de gracia sin conexión. Asimismo, cuando se alcanza este valor del temporizador, todo acceso a los datos profesionales o educativos se bloquea hasta que el acceso a la red esté disponible.That being said, if the end user has been offline too long, the Offline grace period value comes into play, and all access to work or school data is blocked once that timer value is reached, until network access is available. Activar ambas opciones de configuración permite aplicar un enfoque por capas con el fin de mantener los dispositivos del usuario final en buen estado, lo que es importante cuando los usuarios finales acceden a los datos profesionales o educativos desde dispositivos móviles.Turning on both settings allows for a layered approach to keeping end-user devices healthy which is important when end-users access work or school data on mobile.

API de Google Play Protect y Google Play ServicesGoogle Play Protect APIs and Google Play Services

La configuración de directivas de protección de aplicaciones que utilicen las API de Google Play Protect requiere Google Play Services para su funcionamiento.The app protection policy settings that leverage Google Play Protect APIs require Google Play Services to function. Ambas opciones Atestación de dispositivo SafetyNet y Examen de amenazas en las aplicaciones requieren una versión determinada de Google Play Services para funcionar correctamente.Both the SafetyNet device attestation, and Threat scan on apps settings require Google determined version of Google Play Services to function correctly. Puesto que estas opciones de configuración corresponden al área de seguridad, si el usuario final es el destinatario de esta configuración y no dispone de la versión adecuada de Google Play Services o no tiene acceso a ella, se le bloqueará.Since these are settings that fall in the area of security, the end user will be blocked if they have been targeted with these settings and are not meeting the appropriate version of Google Play Services or have no access to Google Play Services.

Pasos siguientesNext steps

Creación e implementación de directivas de protección de aplicaciones con Microsoft IntuneHow to create and deploy app protection policies with Microsoft Intune

Consulte tambiénSee also

Las aplicaciones de terceros, como la aplicación móvil de Salesforce, funcionan con Intune de formas específicas para proteger los datos corporativos.Third-party apps such as the Salesforce mobile app work with Intune in specific ways to protect corporate data. Para más información sobre cómo la aplicación de Salesforce funciona con Intune en particular (incluida la configuración de la aplicación de MDM), vea Salesforce App and Microsoft Intune (Aplicación de Salesforce y Microsoft Intune).To learn more about how the Salesforce app in particular works with Intune (including MDM app configurations settings), see Salesforce App and Microsoft Intune.