Administración de transferencias de datos entre aplicaciones iOS en Microsoft IntuneHow to manage data transfer between iOS apps in Microsoft Intune

Para ayudar a proteger los datos de la empresa, restrinja las transferencias de archivos a solo las aplicaciones que administre.To help protect company data, restrict file transfers to only the apps that you manage. Puede administrar aplicaciones iOS de la siguiente manera:You can manage iOS apps in the following ways:

  • Proteja los datos de la organización para las cuentas profesionales o educativas mediante la configuración de una directiva de protección de aplicaciones para las aplicaciones,Protect Org data for work or school accounts by configuring an app protection policy for the apps. a las que llamamos aplicaciones administradas por directiva.which we call policy managed apps. Vea todas las aplicaciones administradas de Intune que puede administrar con la directiva de protección de aplicacionesSee all the Intune-managed apps you can manage with app protection policy

  • Implemente y administre aplicaciones a través de la administración de dispositivos iOS, que requiere que los dispositivos se inscriban en una solución de administración de dispositivos móviles (MDM).Deploy and manage the apps through iOS device management, which requires devices to enroll in a Mobile Device Management (MDM) solution. Las aplicaciones que implemente pueden ser aplicaciones administradas por directiva u otras aplicaciones administradas iOS.The apps you deploy can be policy managed apps or other iOS managed apps.

La característica de administración de Open In para dispositivos iOS inscritos puede limitar las transferencias de archivos entre aplicaciones administradas iOS.The Open-in management feature for enrolled iOS devices can limit file transfers between iOS managed apps. Establezca restricciones de administración Open In en las opciones de configuración e impleméntelas mediante una solución de MDM.Set Open-in management restrictions in configuration settings and then deploy them using your MDM solution. Cuando un usuario instala la aplicación implementada, se aplican las restricciones que ha establecido.When a user installs the deployed app, the restrictions you set are applied.

Uso de la protección de aplicaciones con aplicaciones iOSUse app protection with iOS apps

Use directivas de protección de aplicaciones con la característica de administración Open In de iOS para proteger los datos de la empresa de las siguientes formas:Use App protection policies with the iOS Open-in management feature to protect company data in the following ways:

  • Dispositivos no administrados por una solución MDM: Puede establecer la configuración de la directiva de protección de aplicaciones para controlar el uso compartido de datos con otras aplicaciones mediante Open in o Extensiones de recurso compartido.Devices not managed by any MDM solution: You can set the app protection policy settings to control sharing of data with other applications via Open-in or Share extensions. Para ello, configure el valorEnviar datos de la organización a otras aplicaciones en el valor Filtrado de aplicaciones administradas por directivas con Open-In/Recurso compartido.To do so, configure the Send Org data to other app setting to Policy managed apps with Open-In/Share filtering value. El comportamiento Open-in/Share (Open-In/Recurso compartido) en una aplicación administrada por directivas solo presenta otras aplicaciones administradas por directivas como opción para el uso compartido.The Open-in/Share behavior in the policy managed app presents only other policy managed apps as options for sharing.

  • Dispositivos administrados por soluciones MDM: Para los dispositivos inscritos en las soluciones MDM de Intune o de terceros, el uso compartido de datos entre las aplicaciones con directivas de protección de aplicaciones y otras aplicaciones iOS administradas que se implementan mediante MDM está controlado por las directivas de Intune App y la característica de iOS de administración Open in.Devices managed by MDM solutions: For devices enrolled in Intune or third-party MDM solutions, data sharing between apps with app protection policies and other managed iOS apps deployed through MDM is controlled by Intune APP policies and the iOS Open in management feature. Para asegurarse de que las aplicaciones que implementa mediante una solución de MDM también están asociadas a las directivas de protección de aplicaciones de Intune, configure el valor de UPN de usuario como se describe en la sección siguiente, Configurar el valor de UPN de usuario.To make sure that apps you deploy using a MDM solution are also associated with your Intune app protection policies, configure the user UPN setting as described in the following section, Configure user UPN setting. Para especificar cómo quiere permitir la transferencia de datos a otras aplicaciones, habilite Enviar datos de la organización a otras aplicaciones y elija el nivel de uso compartido que prefiera.To specify how you want to allow data transfer to other apps, enable Send Org data to other apps and then choose your preferred level of sharing. Para especificar cómo quiere permitir que una aplicación reciba datos de otras aplicaciones, habilite Recibir datos de otras aplicaciones y elija el nivel de recepción de datos que prefiera.To specify how you want to allow an app to receive data from other apps, enable Receive data from other apps and then choose your preferred level of receiving data. Para obtener más información sobre cómo recibir y compartir datos de la aplicación, vea Configuración de reubicación de datos.For more information about receiving and sharing app data, see Data relocation settings.

Configurar el valor de UPN de usuario para Microsoft Intune o para una solución EMM de tercerosConfigure user UPN setting for Microsoft Intune or third-party EMM

La configuración del valor de UPN de usuario es necesaria para los dispositivos administrados por Intune o por una solución EMM de terceros para identificar la cuenta de usuario inscrita.Configuring the user UPN setting is required for devices that are managed by Intune or a third-party EMM solution to identify the enrolled user account. La configuración de UPN funciona con las directivas de protección de aplicaciones que implementa desde Intune.The UPN configuration works with the app-protection policies you deploy from Intune. El procedimiento siguiente es un flujo general para la configuración del valor de UPN y la experiencia del usuario resultante:The following procedure is a general flow on how to configure the UPN setting and the resulting user experience:

  1. En Azure Portal, cree y asigne una directiva de protección de aplicaciones para iOS.In the Azure portal, create and assign an app protection policy for iOS. Configure las directivas según los requisitos de su empresa y seleccione las aplicaciones iOS que debe tener esta directiva.Configure policy settings per your company requirements and select the iOS apps that should have this policy.

  2. Implemente las aplicaciones y el perfil de correo electrónico que quiera administrar a través de Intune o de la solución MDM de terceros siguiendo los pasos generales siguientes.Deploy the apps and the email profile that you want managed through Intune or your third-party MDM solution using the following generalized steps. Esto también se aborda en el Ejemplo 1.This experience is also covered by Example 1.

  3. Implemente la aplicación con las siguientes opciones de configuración de la aplicación en el dispositivo administrado:Deploy the app with the following app configuration settings to the managed device:

    clave = IntuneMAMUPN, valor = username@company.comkey = IntuneMAMUPN, value = username@company.com

    Ejemplo: [‘IntuneMAMUPN’, ‘janellecraig@contoso.com’]Example: [‘IntuneMAMUPN’, ‘janellecraig@contoso.com’]

    Nota

    En Intune, la directiva de App Configuration debe ser del tipo de inscripción Dispositivos administrados.In Intune, the App Configuration policy enrollment type must be set to Managed Devices. Además, la aplicación se debe instalar desde el Portal de empresa de Intune si se ha establecido como disponible o se ha insertado según los requisitos en el dispositivo.Additionally, the app needs to be either installed from the Intune Company Portal (if set as available) or pushed as required to the device.

  4. Implemente la directiva de administración Open In con Intune o a través de su proveedor de MDM externo en los dispositivos inscritos.Deploy the Open in management policy using Intune or your third-party MDM provider to enrolled devices.

Ejemplo 1: Experiencia de administración en Intune o en la consola MDM de tercerosExample 1: Admin experience in Intune or third-party MDM console

  1. Vaya a la consola de administración de Intune o de su proveedor de MDM externo.Go to the admin console of Intune or your third-party MDM provider. Vaya a la sección de la consola en la que se implementan las opciones de configuración de la aplicación en los dispositivos iOS inscritos.Go to the section of the console in which you deploy application configuration settings to enrolled iOS devices.

  2. En la sección Configuración de la aplicación, escriba lo siguiente:In the Application Configuration section, enter the following setting:

    clave = IntuneMAMUPN, valor = username@company.comkey = IntuneMAMUPN, value = username@company.com

    La sintaxis exacta del par clave-valor puede diferir en función del proveedor de MDM externo.The exact syntax of the key/value pair may differ based on your third-party MDM provider. En la tabla siguiente se incluyen ejemplos de proveedores de MDM externos y los valores exactos que debe escribir para el par clave-valor.The following table shows examples of third-party MDM providers and the exact values you should enter for the key/value pair.

    Proveedor de MDM externoThird-party MDM provider Configuration KeyConfiguration Key Tipo de valorValue Type Valor de configuraciónConfiguration Value
    Microsoft IntuneMicrosoft Intune IntuneMAMUPNIntuneMAMUPN StringString {{UserPrincipalName}}{{UserPrincipalName}}
    VMware AirWatchVMware AirWatch IntuneMAMUPNIntuneMAMUPN StringString {UserPrincipalName}{UserPrincipalName}
    MobileIronMobileIron IntuneMAMUPNIntuneMAMUPN StringString ${userUPN} o ${userEmailAddress}${userUPN} or ${userEmailAddress}
    Citrix Endpoint ManagementCitrix Endpoint Management IntuneMAMUPNIntuneMAMUPN StringString ${user.userprincipalname}${user.userprincipalname}
    Administrador de dispositivos móviles ManageEngineManageEngine Mobile Device Manager IntuneMAMUPNIntuneMAMUPN StringString %upn%%upn%

Nota

Para la aplicación de Outlook para iOS, si implementa una directiva de configuración de aplicaciones de dispositivos administrados con la opción "Usar diseñador de configuraciones" y activa Permitir solo cuentas profesionales o educativas, la clave de configuración de IntuneMAMUPN se configura automáticamente en segundo plano para la directiva.For Outlook for iOS, if you deploy a managed devices App Configuration Policy with the option "Using configuration designer" and enable Allow only work or school accounts, the configuration key IntuneMAMUPN is configured automatically behind the scenes for the policy. Para más información, consulte la sección de preguntas más frecuentes de Experiencia de la directiva de configuración de aplicaciones para el nuevo Outlook para iOS y Android: configuración general de aplicaciones.More details can be found in the FAQ section in New Outlook for iOS and Android App Configuration Policy Experience – General App Configuration.

Ejemplo 2: Experiencia del usuario finalExample 2: End-user experience

Uso compartido desde una aplicación administrada por directiva a otras aplicaciones con uso compartido de SOSharing from a policy managed app to other applications with OS sharing

  1. Un usuario abre la aplicación de Microsoft OneDrive en un dispositivo iOS inscrito e inicia sesión en su cuenta profesional.A user opens the Microsoft OneDrive app on an enrolled iOS device and signs-in to their work account. La cuenta que especifica el usuario debe coincidir con el UPN de la cuenta indicado en las opciones de configuración de aplicación para Microsoft OneDrive.The account the user enters must match the account UPN you specified in the app configuration settings for the Microsoft OneDrive app.

  2. Después del inicio de sesión, la configuración de la aplicación establecida para el administrador se aplica a la cuenta de usuario de Microsoft OneDrive.After sign-in, your Adminstrator configured APP settings apply to the user account in Microsoft OneDrive. Esto incluye la configuración del ajuste Enviar datos de la organización a otras aplicaciones en el valor Aplicaciones administradas por directivas con uso compartido del SO.This includes configuring the Send Org data to other apps setting to the Policy managed apps with OS sharing value.

  3. El usuario recibe una vista previa de un archivo de trabajo e intenta compartirlo a través de Open-In a una aplicación administrada de iOS.The user previews a work file and attempts to share via Open-in to iOS managed app.

  4. La transferencia de datos se realiza correctamente y los datos ahora están protegidos por la característica de administración de Open-in en la aplicación administrada de iOS.The data transfer succeeds and data is now protected by Open-in management in the iOS managed app. La aplicación de Intune no se aplica a las aplicaciones que no están administradas por directiva.Intune APP does not apply to applications that are not policy managed apps.

Uso compartido de una aplicación administrada de iOSa unaaplicación administrada por directivas con datos de organización entrantesSharing from a iOS managed app to a policy managed app with incoming Org data

  1. Un usuario abre la aplicación nativa de correo en un dispositivo iOS inscrito con un perfil de correo electrónico administrado.A user opens native Mail on an enrolled iOS device with a Managed email profile.

  2. El usuario abre los datos adjuntos de un documento de trabajo desde la aplicación nativa de correo a Microsoft Word.The user opens a work document attachment from native Mail to Microsoft Word.

  3. Cuando se inicia la aplicación Word, se produce una de estas dos experiencias:When the Word app launches, one of two experiences occur:

    1. Los datos están protegidos por la aplicación de Intune cuando:The data is protected by Intune APP when:
      • El usuario ha iniciado sesión en su cuenta de trabajo que coincide con el UPN de la cuenta indicada en las opciones de configuración de aplicación para Microsoft Word.The user is signed-in to their work account that matches the account UPN you specified in the app configuration settings for the Microsoft Word app.
      • La configuración de la aplicación establecida para el administrador se aplica a la cuenta de usuario de Microsoft Word.Your Adminstrator configured APP settings apply to the user account in Microsoft Word. Esto incluye la configuración de Recibir datos de otras aplicaciones en Todas las aplicaciones con datos entrantes de la organización.This includes configuring the Receive data from other apps setting to the All apps with incoming Org data value.
      • La transferencia de datos se realiza correctamente y el documento se etiqueta con una identidad de trabajo en la aplicación.The data transfer succeeds and the document is tagged with the work identity in the app. La aplicación de Intune protege las acciones del usuario para el documento.Intune APP protects the user actions for the document.
    2. Los datos no están protegidos por la aplicación de Intune cuando:The data is not protected by Intune APP when:
      • El usuario no ha iniciado sesión en su cuenta profesional.The user is not signed-in to their work account.
      • Los valores configurados por el administrador no se aplican a Microsoft Word porque el usuario no ha iniciado sesión.Your Administrator configured settings are not applied to Microsoft Word because the user is not signed in.
      • La transferencia de datos se realiza correctamente y el documento no se etiqueta con una identidad de trabajo en la aplicación.The data transfer succeeds and the document is not tagged with the work identity in the app. La aplicación de Intune no protege las acciones del usuario para el documento porque no está activo.Intune APP does not protects the user actions for the document because it is not active.

    Nota

    El usuario puede agregar y usar sus cuentas personales con Word.The user can add and use their personal accounts with Word. Las directivas de protección de aplicaciones no se aplican cuando el usuario utiliza Word fuera de un contexto profesional.App protection policies don't apply when the user uses Word outside of a work-context.

Validar el valor de UPN de usuario para EMM de tercerosValidate user UPN setting for third-party EMM

Después de configurar el valor de UPN de usuario, valide la capacidad de la aplicación iOS para recibir y cumplir la directiva de protección de aplicaciones de Intune.After configuring the user UPN setting, validate the iOS app's ability to receive and comply to Intune app protection policy.

Por ejemplo, la configuración de directivas Require app PIN (Requerir el PIN de aplicación) resulta muy fácil de probar.For example, the Require app PIN policy setting is easy to test. Si el valor de la directiva es Requerir, el usuario debe ver un aviso para establecer o escribir un PIN para poder acceder a los datos de la empresa.When the policy setting equals Require, the user should see a prompt to set or enter a PIN before they can access company data.

Primero, cree y asigne una directiva de protección de aplicaciones para la aplicación iOS.First, create and assign an app protection policy to the iOS app. Para obtener más información sobre cómo probar la directiva de protección de aplicaciones, vea Validación de la configuración de la directiva de protección de aplicaciones.For more information on how to test app protection policy, See Validate app protection policies.

Consulte tambiénSee also

¿Qué es la directiva de protección de aplicaciones de Intune?What is Intune app protection policy