Preguntas más frecuentes sobre MAM y la protección de aplicaciones

Introducción a MAM

Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Una directiva puede ser una regla que se aplica cuando el usuario intenta acceder o mover datos "corporativos", o un conjunto de acciones que se prohíben o supervisan cuando el usuario está dentro de la aplicación.

Consulte la configuración de directivas de protección de aplicaciones de Android y la configuración de directivas de protección de aplicaciones de iOS/iPadOS para obtener información detallada sobre cada configuración de directiva de protección de aplicaciones.

Si aplica una directiva MAM al usuario sin establecer el estado de administración de dispositivos, el usuario obtiene la directiva MAM tanto en el dispositivo BYOD como en el dispositivo administrado por Intune. También puede aplicar una directiva mam basada en el estado de administración de dispositivos. Por lo tanto, al crear una directiva de protección de aplicaciones, junto a Destino a aplicaciones en todos los tipos de dispositivos, seleccionaría No. Luego, realice cualquiera de las siguientes acciones:

• Aplique una directiva de MAM menos estricta a los dispositivos administrados por Intune y aplique una más estricta a los dispositivos no inscritos en MDM.
• Aplique una directiva MAM igualmente estricta a dispositivos administrados de Intune como a dispositivos administrados de terceros.
• Aplique una directiva MAM sólo a los dispositivos no inscritos.

Para obtener más información, consulte Supervisión de directivas de protección de aplicaciones.

Cualquier aplicación que se haya integrado con el SDK de aplicaciones de Intune o que esté encapsulada por el App Wrapping Tool de Intune se puede administrar mediante directivas de protección de aplicaciones de Intune. Vea la lista oficial de las aplicaciones administradas por Intune disponibles para uso público.

• El usuario final debe tener una cuenta de Microsoft Entra. Consulte Incorporación de usuarios y concesión de permiso administrativo a Intune para obtener información sobre cómo crear usuarios de Intune en Microsoft Entra ID.

• El usuario final debe tener una licencia para Microsoft Intune asignada a su cuenta de Microsoft Entra. Vea Administrar licencias de Intune para obtener información sobre cómo asignar licencias de Intune a los usuarios finales.

• El usuario final debe pertenecer a un grupo de seguridad al que se aplique una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe aplicarse a la aplicación específica que se usa. Protección de aplicaciones directivas se pueden crear e implementar en el centro de administración de Microsoft Intune. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.

• El usuario final debe iniciar sesión en la aplicación con su cuenta de Microsoft Entra.

El equipo de desarrollo del SDK de Intune comprueba y mantiene de forma activa la compatibilidad con las aplicaciones creadas con las plataformas nativas de Android, iOS/iPadOS (Obj-C, Swift), Xamarin y Xamarin.Forms. Aunque algunos clientes han tenido éxito con la integración del SDK de Intune con otras plataformas, como React Native y NativeScript, no proporcionamos instrucciones explícitas ni complementos para desarrolladores de aplicaciones que usen nada que no sea nuestras plataformas admitidas.

El SDK de aplicaciones de Intune puede usar la biblioteca de autenticación de Microsoft para sus escenarios de autenticación e inicio condicional. También se basa en MSAL para registrar la identidad de usuario con el servicio MAM para la administración sin escenarios de inscripción de dispositivos.

• El usuario final debe tener instalada la aplicación móvil de Outlook en su dispositivo.

• El usuario final debe tener un buzón y una licencia de Microsoft 365 Exchange Online vinculado a su cuenta de Microsoft Entra.

  Nota:

  Actualmente, la aplicación móvil de Outlook solo admite Intune App Protection para Microsoft Exchange Online y Exchange Server con autenticación moderna híbrida y no admite Exchange en Office 365 Dedicado.

• El usuario final debe tener una licencia para Aplicaciones Microsoft 365 para negocios o empresa vinculada a su cuenta de Microsoft Entra. La suscripción debe incluir las aplicaciones de Office en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con OneDrive para la Empresa. Las licencias de Microsoft 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.

• El usuario final debe tener una ubicación administrada configurada con la funcionalidad pormenorizada Guardar como en la configuración de directiva de protección de aplicaciones "Guardar copias de los datos de la organización". Por ejemplo, si la ubicación administrada es OneDrive, la aplicación de OneDrive debe configurarse en la aplicación de Word, Excel o PowerPoint del usuario final.

• Si la ubicación administrada es OneDrive, la aplicación debe ser objeto de la directiva de protección de aplicaciones implementada para el usuario final.

  Nota:

  Las aplicaciones móviles de Office actualmente sólo son compatibles con SharePoint Online y no con SharePoint local.

Intune marca todos los datos de la aplicación como "corporativos" o "personales". Los datos se consideran "corporativos" cuando se originan desde una ubicación empresarial. Para las aplicaciones de Office, Intune considera las siguientes ubicaciones de la empresa: correo electrónico (Exchange) o almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa).

Consulte los requisitos de licencias de Skype Empresarial. Para ver las configuraciones híbridas y locales de Skype Empresarial (SfB), consulte Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID ,respectivamente.

La compatibilidad con varias identidades es la posibilidad de que el SDK de aplicaciones de Intune solo aplique directivas de protección de aplicaciones a la cuenta profesional o educativa que ha iniciado sesión en la aplicación. Si se ha iniciado sesión en la aplicación con una cuenta personal, los datos no se modifican.

La compatibilidad con varias identidades permite que las aplicaciones con audiencias "corporativas" y de consumidor (es decir, las aplicaciones de Office) se publiquen públicamente con funcionalidades de protección de aplicaciones de Intune para las cuentas "corporativas".

Dado que Outlook tiene una vista de correo electrónico combinada de correos electrónicos personales y "corporativos", la aplicación de Outlook solicita el PIN de Intune al iniciarse.

El número de identificación personal (PIN) es un código de acceso utilizado para verificar que el usuario correcto está accediendo a los datos de la organización en una aplicación.

Intune solicita el PIN de la aplicación del usuario cuando este esté a punto de acceder a los datos "corporativos". En aplicaciones de varias identidades, como Word/Excel/PowerPoint, se solicita al usuario su PIN cuando intenta abrir un documento o archivo "corporativo". En las aplicaciones de identidad única, como las aplicaciones de línea de negocio administradas mediante el App Wrapping Tool de Intune, el PIN se solicita al iniciarse, ya que el SDK de aplicaciones de Intune sabe que la experiencia del usuario en la aplicación siempre es "corporativa".

El administrador de TI puede definir la configuración de directiva de protección de aplicaciones de Intune "Volver a comprobar los requisitos de acceso después de (minutos)" en el centro de administración de Microsoft Intune. Esta configuración especifica la cantidad de tiempo antes de que se comprueben los requisitos de acceso en el dispositivo y se vuelve a mostrar la pantalla del PIN de la aplicación. Sin embargo, los detalles importantes sobre el PIN que afectan a la frecuencia con la que se solicitará al usuario son los siguientes:

• El PIN se comparte entre las aplicaciones del mismo publicador para mejorar la facilidad de uso: En iOS/iPadOS, un PIN de aplicación se comparte entre todas las aplicaciones del mismo publicador de aplicaciones. En el caso de Android, un PIN de aplicación se comparte entre todas las aplicaciones.
• El comportamiento "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar un dispositivo: Un "temporizador de PIN" realiza un seguimiento del número de minutos de inactividad que determinan cuándo mostrar el PIN de la aplicación de Intune a continuación. En iOS/iPadOS, el temporizador de PIN no se ve afectado por el reinicio del dispositivo. Por lo tanto, el reinicio del dispositivo no tiene ningún efecto en el número de minutos que el usuario ha estado inactivo desde una aplicación iOS/iPadOS con la directiva de PIN de Intune. En Android, el temporizador del PIN se restablece al reiniciar el dispositivo. Por lo tanto, es probable que las aplicaciones Android con directiva de PIN de Intune soliciten un PIN de aplicación independientemente del valor de configuración "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar un dispositivo.
• La naturaleza gradual del temporizador asociado al PIN: Una vez que se escribe un PIN para acceder a una aplicación (aplicación A) y la aplicación deja el primer plano (foco de entrada principal) en el dispositivo, el temporizador del PIN se restablece para ese PIN. Cualquier aplicación (aplicación B) que comparta este PIN no solicitará al usuario la entrada de PIN porque el temporizador se ha restablecido. La solicitud se volverá a mostrar una vez que se haya alcanzado el valor establecido en "Volver a comprobar los requisitos de acceso tras (minutos)".

En el caso de los dispositivos iOS/iPadOS, incluso si el PIN se comparte entre aplicaciones de distintos publicadores, el mensaje se mostrará de nuevo cuando se vuelva a cumplir el valor Volver a comprobar los requisitos de acceso después de (minutos) para la aplicación que no sea el foco de entrada principal. Así, por ejemplo, un usuario tiene la aplicación A del editor X y la aplicación B del editor Y, y esas dos aplicaciones comparten el mismo PIN. El usuario se centra en la aplicación A (en primer plano) y la aplicación B está minimizada. Después de que se consiga el valor Volver a comprobar los requisitos de acceso después de (minutos) y el usuario cambie a la aplicación B, el PIN será requerido.

El PIN de Intune funciona en función de un temporizador basado en inactividad (el valor de "Volver a comprobar los requisitos de acceso después de (minutos)"). De este modo, las solicitudes de PIN de Intune aparecen independientemente de las solicitudes de PIN de las aplicaciones integradas de Outlook y OneDrive, que suelen estar vinculados al inicio de la aplicación de forma predeterminada. Si el usuario recibe ambas solicitudes de PIN al mismo tiempo, el comportamiento esperado debería ser que el PIN de Intune tenga prioridad.

El PIN sirve para que sólo el usuario correcto pueda acceder a los datos de su organización en la aplicación. Por lo tanto, el usuario debe iniciar sesión con su cuenta profesional o educativa para poder establecer o restablecer el PIN de la aplicación de Intune. Esta autenticación se controla mediante Microsoft Entra ID a través del intercambio seguro de tokens y no es transparente para el SDK de aplicaciones de Intune. Desde una perspectiva de seguridad, la mejor manera de proteger los datos profesionales o educativos es cifrarlos. El cifrado no está relacionado con el PIN de la aplicación, pero es su propia directiva de protección de aplicaciones.

Como parte de la directiva de PIN de la aplicación, el administrador de TI puede establecer el número máximo de veces que un usuario puede intentar autenticar su PIN antes de bloquear la aplicación. Una vez cumplido el número de intentos, el SDK de aplicaciones de Intune puede borrar los datos "corporativos" de la aplicación.

MAM (en iOS/iPadOS) actualmente permite el PIN de nivel de aplicación con caracteres alfanuméricos y especiales (denominado "código de acceso") que requiere la participación de aplicaciones (es decir, WXP, Outlook, Managed Browser, Yammer) para integrar el SDK de aplicaciones de Intune para iOS/iPadOS. Sin esto, la configuración del código de acceso no se aplica correctamente para las aplicaciones de destino. Se trata de una característica publicada en el SDK de Intune para iOS/iPadOS v. 7.1.12.

Para admitir esta característica y garantizar la compatibilidad con versiones anteriores del SDK de Intune para iOS/iPadOS, todos los PIN (ya sean numéricos o un código de acceso) de la versión 7.1.12+ se tratan por separado a partir del PIN numérico en versiones anteriores del SDK. Por lo tanto, si un dispositivo tiene aplicaciones con el SDK de Intune para versiones de iOS/iPadOS anteriores a la 7.1.12 Y después de la 7.1.12 desde el mismo publicador, tendrán que configurar dos PIN.

Dicho esto, los dos PIN (para cada aplicación) no están relacionados de ninguna manera, es decir, deben cumplir la directiva de protección de aplicaciones que se aplica a la aplicación. Por lo tanto, sólo si las aplicaciones A y B tienen las mismas directivas aplicadas (con respecto al PIN), el usuario puede configurar el mismo PIN dos veces.

Este comportamiento es específico para el PIN en aplicaciones iOS/iPadOS que ya están habilitadas con la Administración de aplicaciones móviles de Intune. Con el tiempo, a medidas que las aplicaciones adoptan las versiones posteriores del SDK de Intune para iOS/iPadOS, el hecho de tener que establecer un PIN dos veces en las aplicaciones del mismo editor dejará de ser un problema importante. Consulte la siguiente nota para obtener un ejemplo.

Los administradores de TI pueden implementar una directiva de protección de aplicaciones que requiere cifrar los datos de aplicaciones. Como parte de la directiva, el administrador de TI también puede especificar cuándo se cifra el contenido.

Vea la configuración de directivas de protección de aplicaciones Android y la configuración de la protección de aplicaciones iOS/iPadOS para obtener información detallada sobre la configuración de directiva de protección de aplicaciones de cifrado.

Solo se cifran los datos marcados como "corporativos" según la directiva de protección de la aplicación del administrador de TI. Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa. Para las aplicaciones de Office, Intune considera las siguientes ubicaciones de la empresa: correo electrónico (Exchange) o almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa). En el caso de las aplicaciones de línea de negocio administradas por el App Wrapping Tool de Intune, todos los datos de la aplicación se consideran "corporativos".

Intune puede borrar los datos de la aplicación de tres maneras diferentes: borrado completo del dispositivo, borrado selectivo de MDM y borrado selectivo de MAM. Para obtener más información sobre el borrado remoto de MDM, vea Eliminación de dispositivos mediante Borrar o Retirar. Para obtener más información sobre el borrado selectivo mediante MAM, consulte la acción Retirar y Borrado solo de datos corporativos de aplicaciones administradas por Intune.

Borrar quita todos los datos de usuario y la configuración del dispositivo restaurando el dispositivo a su configuración predeterminada de fábrica. El dispositivo se quita de Intune.

Consulte Eliminación de dispositivos: retirar para obtener información sobre cómo eliminar datos de la empresa.

El borrado selectivo de MAM simplemente quita los datos de la aplicación de empresa de la aplicación. La solicitud se inicia mediante el centro de administración de Microsoft Intune. Para obtener información sobre cómo iniciar una solicitud de borrado, consulte Borrado solo de datos corporativos de aplicaciones.

Si el usuario usa la aplicación cuando se inicia el borrado selectivo, el SDK de aplicaciones de Intune comprueba cada 30 minutos si hay una solicitud de borrado selectivo del servicio MAM de Intune. También comprueba el borrado selectivo cuando el usuario inicia la aplicación por primera vez e inicia sesión con su cuenta profesional o educativa.

La protección de aplicaciones de Intune depende de la identidad del usuario para que sea coherente entre la aplicación y el SDK de aplicaciones de Intune. La única manera de garantizar esto es a través de la autenticación moderna. Hay escenarios en los que las aplicaciones pueden funcionar con una configuración local, pero no son coherentes ni están garantizadas.

Sí. El administrador de TI puede implementar y establecer la directiva de protección de aplicaciones para la aplicación Microsoft Edge. El administrador de TI puede requerir que todos los vínculos web de las aplicaciones administradas por Intune se abran mediante la aplicación Microsoft Edge.

Aplicación del Portal de empresa y protección de aplicaciones de Intune

Las directivas de protección de aplicaciones de Intune para el acceso se aplicarán en un orden específico en los dispositivos de usuario final a medida que intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, un bloque tendría prioridad y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable al usuario/aplicación específico, un ajuste de versión mínima de parche de Android que advierta al usuario que debe tomar una actualización de parche se aplicará después del ajuste de versión mínima de parche de Android que bloquea el acceso del usuario. Por tanto, en el caso en que el administrador de TI configure la versión de revisión de Android mínima en 01-03-2018 y la versión de revisión de Android mínima (solo advertencia) en 01-02-2018, mientras el dispositivo que intenta obtener acceso a la aplicación esté en una versión de revisión 01-01-2018, se bloquearía al usuario final en función del valor más restrictivo para la versión de revisión de Android mínima que provoque el bloqueo del acceso.

Cuando se trabaja con diferentes tipos de configuraciones, un requisito de versión de la aplicación tendría prioridad, seguido por el requisito de versión de sistema operativo de Android y el requisito de versión de revisión de Android. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración.

El servicio Intune se pondrá en contacto con Google Play en un intervalo no configurable determinado por la carga del servicio. Cualquier acción configurada por el administrador de TI para la configuración de comprobación de integridad del dispositivo de Google Play se realizará en función del último resultado notificado al servicio Intune en el momento del inicio condicional. Si el resultado de la integridad del dispositivo de Google es compatible, no se realiza ninguna acción. Si el resultado de la integridad del dispositivo de Google no es compatible, la acción configurada por el administrador de TI se realizará inmediatamente. Si se produce un error en la solicitud a la comprobación de integridad del dispositivo de Google Play por cualquier motivo, el resultado almacenado en caché de la solicitud anterior se usará durante un máximo de 24 horas o el siguiente reinicio del dispositivo, que se producirá primero. En ese momento, las directivas de Protección de aplicaciones de Intune bloquearán el acceso hasta que se pueda obtener un resultado actual.

Las instrucciones sobre cómo hacerlo varían ligeramente según el dispositivo. Lo habitual es ir a Google Play Store y, luego, hacer clic en Mis aplicaciones y juegos. A continuación, debe hacer clic en el resultado del último examen de la aplicación, lo que le llevará al menú de Play Protect. Asegúrese de que la opción de Escanear el dispositivo en busca de amenazas de seguridad esté activada.

Intune aprovecha las API de integridad de Google Play para agregar a nuestras comprobaciones de detección raíz existentes para los dispositivos no inscritos. Google ha desarrollado y mantenido este conjunto de API para que las aplicaciones androide adopten si no quieren que sus aplicaciones se ejecuten en dispositivos rooteados. La aplicación Android Pay ha incorporado esto, por ejemplo. Aunque Google no comparte públicamente la totalidad de las comprobaciones de detección raíz que se producen, esperamos que estas API detecten usuarios que han rooteado sus dispositivos. A estos usuarios se les puede bloquear el acceso o borrar sus cuentas corporativas de las aplicaciones habilitadas por la directiva. "Comprobar la integridad básica" le indica la integridad general del dispositivo. Los dispositivos arraigados, los emuladores, los dispositivos virtuales y los dispositivos con signos de manipulación fallan en la integridad básica. "Comprobar la integridad básica & dispositivos certificados" le indica la compatibilidad del dispositivo con los servicios de Google. Sólo los dispositivos no modificados que han sido certificados por Google pueden pasar esta comprobación. Entre los dispositivos que producirán un error se incluyen los siguientes:

• Dispositivos que producen error en la integridad básica
• Dispositivos con un cargador de arranque desbloqueado
• Dispositivos con una imagen de sistema personalizada o ROM
• Dispositivos para los que el fabricante no ha solicitado o superado la certificación de Google
• Dispositivos con una imagen de sistema creada directamente desde los archivos de origen del Android Open Source Program
• Dispositivos con una imagen de sistema de versión preliminar beta o de desarrollador

Consulte la documentación de Google sobre Play Integrity API para obtener detalles técnicos.

Las comprobaciones de la API de integridad de Google Play requieren que el usuario final esté en línea, al menos durante el tiempo en que se ejecuta el "recorrido de ida y vuelta" para determinar los resultados de la atestación. Si el usuario final está sin conexión, el administrador de TI todavía puede esperar que se aplique un resultado de la configuración "dispositivos liberados o rooteados". Dicho esto, si el usuario final ha estado sin conexión demasiado tiempo, entra en juego el valor "Período de gracia sin conexión" y todo el acceso a los datos profesionales o educativos se bloquea una vez alcanzado ese valor del temporizador, hasta que esté disponible el acceso a la red. Activar ambas opciones permite un enfoque por capas para mantener los dispositivos del usuario final en buen estado, lo que es importante cuando los usuarios finales acceden a datos profesionales o educativos en dispositivos móviles.

Tanto la configuración "Veredicto de integridad de reproducción" como "Examen de amenazas en aplicaciones" requieren que la versión determinada de Google de Google Play Services funcione correctamente. Dado que se trata de configuraciones que se encuentran en el área de seguridad, el usuario final se bloqueará si se ha dirigido a esta configuración y no cumple la versión adecuada de Google Play Services o no tiene acceso a Google Play Services.

Las directivas de protección de aplicaciones de Intune permiten controlar el acceso a las aplicaciones sólo al usuario con licencia de Intune. Una de las maneras de controlar el acceso a la aplicación es exigir Touch ID o Face ID de Apple en dispositivos admitidos. Intune implementa un comportamiento en el que, si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se cumple el siguiente valor de tiempo de espera de inactividad. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital. Si el usuario de Intune no tiene un PIN establecido, se le lleva a configurar un PIN de Intune.

La intención de esto es seguir manteniendo los datos de la organización dentro de la aplicación seguros y protegidos en el nivel de aplicación. Esta característica solo está disponible para iOS/iPadOS y requiere la participación de aplicaciones que integren el SDK de aplicaciones de Intune para iOS/iPadOS, versión 9.0.1 o posterior. La integración del SDK es necesaria para poder aplicar el comportamiento en las aplicaciones de destino. Esta integración ocurre de manera gradual y depende de los equipos de la aplicación específica. Algunas de las aplicaciones que participan son WXP, Outlook, Managed Browser y Yammer.

La directiva de protección de aplicaciones de Intune no puede controlar la extensión de recurso compartido de iOS sin administrar el dispositivo. Por lo tanto, Intune cifra los datos "corporativos" antes de que se compartan fuera de la aplicación. Para validarlo, intente abrir el archivo "corporativo" fuera de la aplicación administrada. El archivo debe estar cifrado y no debe poder abrirse fuera de la aplicación administrada.

Las directivas de protección de aplicaciones de Intune para el acceso se aplicarán en un orden específico en los dispositivos de usuario final a medida que intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, un borrado tendría prioridad, seguido de un bloque y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable a la aplicación o usuario específico, una configuración de sistema operativo mínima de iOS/iPadOS que advierte al usuario que actualice la versión de iOS/iPadOS se aplicará después de la configuración de sistema operativo mínima de iOS/iPadOS que bloquea el acceso del usuario. Por lo tanto, en el escenario en el que el administrador de TI configura el sistema operativo iOS/iPadOS mínimo en 11.0.0.0 y el sistema operativo iOS/iPadOS mínimo (solo advertencia) en 11.1.0.0, mientras el dispositivo que intentaba acceder a la aplicación estaba en iOS/iPadOS 10, el usuario final se bloquearía en función de la configuración más restrictiva para la versión mínima del sistema operativo iOS/iPadOS que da lugar a un acceso bloqueado.

Al tratar con diferentes tipos de configuración, un requisito de versión del SDK de aplicaciones de Intune tendría prioridad y, a continuación, un requisito de versión de la aplicación, seguido del requisito de versión del sistema operativo iOS/iPadOS. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración. Se recomienda configurar el requisito de versión del SDK de aplicaciones de Intune solo según las instrucciones del equipo de productos de Intune para escenarios de bloqueo esenciales.

Consulte también

• Implementar Intune
• Creación de un plan de lanzamiento
• Configuración de la directiva de administración de aplicaciones móviles de Android en Microsoft Intune
• Configuración de directivas de administración de aplicaciones móviles de iOS/iPadOS
• actualización de directivas de directivas de Protección de aplicaciones
• Validación de las directivas de protección de aplicaciones
• Agregar directivas de configuración de aplicaciones para aplicaciones administradas sin inscripción de dispositivo
• Cómo obtener soporte técnico en Microsoft Intune