Lista de configuración de dispositivos Android Enterprise para permitir o restringir características en dispositivos corporativos mediante Intune

En este artículo se describen las distintas opciones de configuración que puede controlar y restringir en dispositivos Android Enterprise propiedad de su organización. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para permitir o deshabilitar características, ejecutar aplicaciones en dispositivos dedicados, controlar la seguridad y mucho más.

Esta característica se aplica a:

• Perfil de trabajo corporativo de Android Enterprise (COPE)
• Dispositivos Android Enterprise de propiedad corporativa totalmente administrados (COBO)
• Dispositivos Android Enterprise dedicados de propiedad corporativa (COSU)

Sugerencia

• Para dispositivos AOSP, vaya a Configuración de dispositivos Android (AOSP) para permitir o restringir características mediante Intune.
• En el caso de los dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo (BYOD), vaya a configuración de dispositivos Android Enterprise para permitir o restringir características en dispositivos de propiedad personal mediante Intune.

Antes de empezar

Cree un perfil de configuración de restricciones de dispositivos Android.

Perfil de trabajo totalmente administrado, dedicado y corporativo

Esta configuración se aplica a los tipos de inscripción de Android Enterprise en los que Intune controla todo el dispositivo, como dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos de Android Enterprise.

Algunos tipos de inscripción no admiten algunas configuraciones. Para ver la configuración admitida por los distintos tipos de inscripción, inicie sesión en el centro de administración de Intune. Cada configuración está bajo un encabezado que indica los tipos de inscripción que pueden usar la configuración.

En el caso de los dispositivos corporativos con un perfil de trabajo, algunas configuraciones solo se aplican en el perfil de trabajo. Esta configuración tiene (nivel de perfil de trabajo) en el nombre de la configuración. Para dispositivos totalmente administrados y dedicados, esta configuración aplica a todo el dispositivo.

General

Dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos

• Captura de pantalla (nivel de perfil de trabajo):Bloquear impide capturas de pantalla o capturas de pantalla en el dispositivo. También evita que el contenido se muestre en dispositivos de pantalla que no tienen una salida de vídeo segura. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios capturen el contenido de la pantalla como una imagen.

• Cámara (nivel de perfil de trabajo):Bloquear impide el acceso a la cámara en el dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el acceso a la cámara.

  Intune solo administra el acceso a la cámara del dispositivo. No tiene acceso a imágenes ni vídeos.

• Directiva de permisos predeterminada (nivel de perfil de trabajo): esta configuración define la directiva de permisos predeterminada para las solicitudes de permisos en tiempo de ejecución. Opciones

  • Valor predeterminado del dispositivo (valor predeterminado): use la configuración predeterminada del dispositivo.
  • Aviso: se pide a los usuarios que aprueben el permiso.
  • Concesión automática: los permisos se conceden automáticamente.
  • Denegación automática: los permisos se deniegan automáticamente.

• Cambios de fecha y hora: Bloquear impide que los usuarios establezcan manualmente la fecha y hora. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios establecer la fecha y hora en el dispositivo.

• Servicios de datos móviles: Bloquear impide la itinerancia de datos a través de la red de telefonía móvil. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la itinerancia de datos cuando el dispositivo está en una red de telefonía móvil.

• Configuración del punto de acceso Wi-Fi: Bloquear impide que los usuarios creen o cambien las configuraciones de Wi-Fi. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios cambien la configuración de Wi-Fi en el dispositivo.

• Configuración de Bluetooth: Bloquear impide que los usuarios configuren Bluetooth en el dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de Bluetooth en el dispositivo.

• Anclaje y acceso a zonas activas: Bloquear evita el anclaje y el acceso a zonas activas portátiles. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el anclaje y el acceso a zonas activas portátiles.

• Transferencia de archivos USB: Bloquear impide la transferencia de archivos a través de USB. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la transferencia de archivos.

• Medios externos: Bloquear impide el uso o la conexión de cualquier medio externo en el dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir medios externos en el dispositivo.

• Transmisión de datos mediante NFC (nivel de perfil de trabajo):Bloquear impide el uso de la tecnología de comunicación de campo cercano (NFC) para transportar datos de las aplicaciones. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de NFC para compartir datos entre dispositivos.

• Configuración del desarrollador: elija Permitir para permitir que los usuarios accedan a la configuración del desarrollador en el dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que los usuarios accedan a la configuración del desarrollador en el dispositivo.

• Ajuste del micrófono: Bloquear impide que los usuarios desmuten el micrófono y ajusten el volumen del micrófono. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios usar y ajustar el volumen del micrófono en el dispositivo.

• Correos electrónicos de protección de restablecimiento de fábrica: elija direcciones de correo electrónico de la cuenta de Google. Escriba las direcciones de correo electrónico de los administradores de dispositivos que pueden desbloquear el dispositivo después de borrarlo. Asegúrese de separar las direcciones de correo electrónico con un punto y coma, como admin1@gmail.com;admin2@gmail.com. Estos correos electrónicos solo se aplican cuando se ejecuta un restablecimiento de fábrica que no es de usuario, como ejecutar un restablecimiento de fábrica mediante el menú de recuperación.

  Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración.

• Actualización del sistema: elija una opción para definir cómo controla el dispositivo las actualizaciones por aire. Opciones

  • Valor predeterminado del dispositivo (valor predeterminado): use la configuración predeterminada del dispositivo. De forma predeterminada, si el dispositivo está conectado a Wi-Fi, se está cargando y está inactivo, el sistema operativo se actualiza automáticamente. En el caso de las actualizaciones de aplicaciones, el sistema operativo también valida si la aplicación no se está ejecutando en primer plano.

  • Automático: Novedades se instalan automáticamente sin interacción del usuario. Al establecer esta directiva, se instalan inmediatamente las actualizaciones pendientes.

  • Pospuesto: Novedades se posponen durante 30 días. Al final de los 30 días, Android pide a los usuarios que instalen la actualización. Es posible que los fabricantes o operadores de dispositivos impidan que se pospongan (exentos) actualizaciones de seguridad importantes. Una actualización exenta muestra una notificación del sistema a los usuarios del dispositivo.

  • Ventana de mantenimiento: instala las actualizaciones automáticamente durante una ventana de mantenimiento diaria que se establece en Intune. La instalación se intenta diariamente durante 30 días y puede producir un error si no hay suficiente espacio o niveles de batería. Después de 30 días, Android pide a los usuarios que instalen.

    Esta configuración se aplica a las actualizaciones del sistema operativo y de la aplicación Play Store. Cualquier ventana de mantenimiento tiene prioridad sobre los cambios de dispositivo en curso.

    Use esta opción para dispositivos dedicados, como quioscos, ya que se pueden actualizar las aplicaciones en primer plano de dispositivo dedicado de una sola aplicación.

• Inmovilizar períodos para las actualizaciones del sistema: opcional. Al establecer la opción Actualización del sistema en la ventana Automático, Pospuesto o Mantenimiento, use esta opción para crear un período de inmovilización:

  • Fecha de inicio: escriba la fecha de inicio en MM/DD formato de hasta 90 días. Por ejemplo, escriba 11/15 para iniciar el período de inmovilización el 15 de noviembre.
  • Fecha de finalización: escriba la fecha de finalización en MM/DD formato de hasta 90 días. Por ejemplo, escriba 01/15 para finalizar el período de inmovilización el 15 de enero.

  Durante este período de inmovilización, se bloquean todas las actualizaciones del sistema entrantes y las revisiones de seguridad, incluida la comprobación manual de actualizaciones.

  Cuando el reloj de un dispositivo está fuera del período de inmovilización, el dispositivo sigue recibiendo actualizaciones en función de la configuración de actualización del sistema .

  Para establecer varios períodos de inmovilización periódicos anuales, asegúrese de que los períodos de inmovilización estén separados por al menos 60 días.

  Esta configuración se aplica a:

  • Android 9.0 y versiones posteriores

• Ubicación: Bloquear deshabilita la opción Ubicación en el dispositivo e impide que los usuarios la activen. Cuando esta configuración está deshabilitada, cualquier otra configuración que dependa de la ubicación del dispositivo se ve afectada, incluida la acción remota Buscar dispositivo que usan los administradores. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de la ubicación en el dispositivo.

Dispositivos totalmente administrados y dedicados

• Cambios de volumen: Bloquear impide que los usuarios cambien el volumen del dispositivo y también silencia el volumen principal. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de la configuración de volumen en el dispositivo.

• Restablecimiento de fábrica: Bloquear impide que los usuarios usen la opción de restablecimiento de fábrica en la configuración del dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios usen esta configuración en el dispositivo.

• Barra de estado: Bloquear impide el acceso a la barra de estado, incluidas las notificaciones y la configuración rápida. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios accedan a la barra de estado.

• Cambios en la configuración de Wi-Fi: Bloquear impide que los usuarios cambien Wi-Fi configuración creada por el propietario del dispositivo. Los usuarios pueden crear sus propias configuraciones de Wi-Fi. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios cambien la configuración de Wi-Fi en el dispositivo.

• Almacenamiento USB: elija Permitir acceder al almacenamiento USB en el dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir el acceso al almacenamiento USB.

• Sombreado de escape de red: Habilitar permite a los usuarios activar la característica de sombreado de escape de red. Si no se establece una conexión de red cuando se inicia el dispositivo, el sombreador de escape pide conectarse temporalmente a una red y actualizar la directiva de dispositivo. Después de aplicar la directiva, la red temporal se olvida y el dispositivo continúa el arranque. Esta característica conecta los dispositivos a una red si:

  • No hay una red adecuada en la última directiva.
  • El dispositivo se inicia en una aplicación en modo de tarea de bloqueo.
  • Los usuarios no pueden acceder a la configuración del dispositivo.

  Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que los usuarios activen la característica de sombreado de escape de red en el dispositivo.

• Ventanas de notificación: cuando se establece en Deshabilitar, las notificaciones de ventana, incluidas las notificaciones del sistema, las llamadas entrantes, las llamadas salientes, las alertas del sistema y los errores del sistema no se muestran en el dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar notificaciones.

• Omitir sugerencias de primer uso: Habilitar oculta o omite sugerencias de aplicaciones que recorren tutoriales o sugerencias cuando se inicia la aplicación. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar estas sugerencias cuando se inicia la aplicación.

Dispositivos de perfil de trabajo totalmente administrados y corporativos

• Buscar dispositivo: Permitir permite a los administradores localizar dispositivos perdidos o robados mediante una acción remota. Cuando se establece en Permitir, los usuarios finales reciben una notificación única que indica que Intune tiene permisos de ubicación. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la localización de dispositivos mediante geolocalización.

Dispositivos dedicados

• Menú botón de encendido: Bloquear oculta las opciones de energía cuando los usuarios mantienen presionado el botón de encendido cuando están en modo de pantalla completa. Ocultar estas opciones impide que los usuarios apaguen accidental o intencionadamente los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, cuando los usuarios mantienen presionado el botón de encendido de un dispositivo, se muestran opciones de energía, como Reiniciar y Apagar.

  Esta configuración se aplica a:

  • Android 9.0 y versiones posteriores

• Advertencias de error del sistema: Permitir muestra las advertencias del sistema en la pantalla cuando están en modo de pantalla completa, incluidas las aplicaciones que no responden y las advertencias del sistema. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría ocultar estas advertencias. Cuando se produce uno de estos eventos, el sistema fuerza el cierre de la aplicación.

  Esta configuración se aplica a:

  • Android 9.0 y versiones posteriores

• Características de navegación del sistema habilitadas: permite a los usuarios acceder al inicio del dispositivo y a los botones de información general cuando están en modo de pantalla completa. Sus opciones:

  • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría deshabilitar los botones de inicio y de información general del dispositivo.

  • Solo botón Inicio: los usuarios pueden ver y seleccionar el botón inicio. No pueden ver ni seleccionar los botones de información general.

  • Botones de inicio e información general: los usuarios pueden ver y seleccionar los botones inicio e información general.

    Cuando un dispositivo está inscrito y usa la aplicación Managed Home Screen, habilitar el botón Información general permite a los usuarios finales omitir o omitir las pantallas de PIN de inicio de sesión y sesión. Las pantallas se siguen mostrando, pero los usuarios pueden ignorarlas y no tienen que escribir nada.

  Esta configuración se aplica a:

  • Android 9.0 y versiones posteriores

• Notificaciones e información del sistema: permite a los usuarios acceder a la barra de estado del dispositivo y recibir notificaciones de la barra de estado cuando se encuentra en modo de pantalla completa. Sus opciones:

  • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría deshabilitar la barra de estado y deshabilitar las notificaciones en la barra de estado.
  • Mostrar información del sistema en la barra de estado del dispositivo: los usuarios pueden ver información del sistema en la barra de estado. Los usuarios no pueden ver ni recibir notificaciones de la barra de estado.
  • Mostrar notificaciones del sistema e información en la barra de estado del dispositivo: los usuarios pueden ver la información del sistema y recibir notificaciones de la barra de estado. Para ver las notificaciones, habilite el botón inicio del dispositivo mediante la configuración Características de navegación del sistema habilitadas .

  Esta configuración se aplica a:

  • Android 9.0 y versiones posteriores

• Acceso del usuario final a la configuración del dispositivo: Bloquear impide que los usuarios accedan a la aplicación Configuración e impide que otras aplicaciones en modo de pantalla completa abran la aplicación Configuración. Si el dispositivo es un quiosco, establezca esta opción en Bloquear.

  Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios accedan a la configuración y permitir que las aplicaciones en modo pantalla completa abran la aplicación Configuración.

  Esta configuración se aplica a:

  • Android 9.0 y versiones posteriores

• Buscar dispositivo: Bloquear impide que los administradores busquen dispositivos perdidos o robados mediante una acción remota. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la localización de dispositivos mediante geolocalización.

Dispositivos de perfil de trabajo de propiedad corporativa

• Uso compartido de contactos a través de Bluetooth (nivel de perfil de trabajo):Bloquear impide que los usuarios compartan sus contactos de perfil de trabajo con dispositivos a través de Bluetooth. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios compartan sus contactos a través de Bluetooth.

• Búsqueda contactos de trabajo y muestra el identificador de autor de llamada del contacto de trabajo en el perfil personal: En el perfil personal, Bloquear impide que los usuarios busquen contactos de trabajo y muestre información de identificador de llamada del trabajo.

  Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la búsqueda de contactos de trabajo y mostrar los identificadores de autor de llamada del trabajo.

  ShowWorkContactsInPersonalProfile

• Copiar y pegar entre perfiles profesionales y personales: Permitir permite a los usuarios copiar y pegar datos entre los perfiles profesionales y personales.

  Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría:

  • Impedir que los usuarios peguen texto en el perfil personal que se copia del perfil de trabajo.
  • Permitir a los usuarios copiar texto del perfil personal y pegarlo en el perfil de trabajo.
  • Permitir a los usuarios copiar texto del perfil de trabajo y pegarlo en el perfil de trabajo.

  CrossProfileCopyPaste

• Uso compartido de datos entre perfiles profesionales y personales: elija si los datos se pueden compartir entre perfiles profesionales y personales. Sus opciones:

  • Valor predeterminado del dispositivo: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que los usuarios compartan datos en el perfil de trabajo con el perfil personal. Los datos del perfil personal se pueden compartir en el perfil de trabajo.
  • Bloquear todo el uso compartido entre perfiles: impide que los usuarios compartan datos entre los perfiles profesionales y personales.
  • Bloquear el uso compartido del perfil profesional al personal: impide que los usuarios compartan datos en el perfil de trabajo con el perfil personal. Los datos del perfil personal se pueden compartir con el perfil de trabajo.
  • No hay restricciones en el uso compartido: los datos se pueden compartir entre los perfiles profesionales y personales.

  CrossProfileDataSharing

Seguridad del sistema

• Examen de amenazas en aplicaciones: Requerir (valor predeterminado) permite a Google Play Protect examinar las aplicaciones antes y después de instalarlas. Si detecta una amenaza, podría advertir a los usuarios de que quiten la aplicación del dispositivo. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no habilite ni ejecute Google Play Protect para examinar las aplicaciones.

• Modo de criterios comunes: Requerir permite un conjunto elevado de estándares de seguridad que se usan con mayor frecuencia en organizaciones altamente confidenciales, como los establecimientos gubernamentales. Estas opciones incluyen, entre otras, las siguientes:

  • Cifrado AES-GCM de las claves de Bluetooth a largo plazo
  • Almacenes de configuración Wi-Fi
  • Bloquea el modo de descarga del cargador de arranque, el método manual para las actualizaciones de software
  • Obliga a una puesta a cero adicional de la clave al borrarla
  • Evita las conexiones Bluetooth no autenticadas
  • Requiere que las actualizaciones de FOTA tengan una firma RSA-PSS de 2048 bits

  Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración.

  Obtenga más información sobre Criterios comunes:

  • Criterios comunes para la evaluación de la seguridad de las tecnologías de la información en commoncriteriaportal.org
  • CommonCriteriaMode en la documentación de Android Management API.
  • Conocimientos Knox: modo Criterios comunes en samsungknox.com

Experiencia del dispositivo

Use esta configuración para configurar una experiencia de estilo quiosco en los dispositivos dedicados o para personalizar las experiencias de pantalla principal en los dispositivos totalmente administrados.

Tipo de perfil de inscripción: seleccione un tipo de perfil de inscripción para empezar a configurar Microsoft Launcher o microsoft Managed Home Screen en los dispositivos. Sus opciones son:

• Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, los usuarios pueden ver la experiencia de pantalla principal predeterminada del dispositivo.

• Dispositivo dedicado: configure una experiencia de estilo quiosco en los dispositivos dedicados. Puede configurar dispositivos para ejecutar una aplicación o ejecutar muchas aplicaciones. Cuando un dispositivo se establece con el modo de pantalla completa, solo están disponibles las aplicaciones que agregue. Antes de configurar estas opciones, asegúrese de agregar y asignar las aplicaciones que desee en los dispositivos.

  • Modo de pantalla completa: elija si el dispositivo ejecuta una aplicación o ejecuta varias aplicaciones.

    Nota:

    Cuando se usa el modo de pantalla completa (aplicación única o multiaprovisionamiento), de forma predeterminada, la plataforma deshabilita los flujos de trabajo e interfaces de usuario conocidos. Algunas de estas características se pueden volver a habilitar en el sistema operativo 9 y versiones posteriores. Por ejemplo, cuando un dispositivo funciona en un estado de pantalla completa, el sistema cambia algunos comportamientos, entre los que se incluyen:

    • La barra de estado del dispositivo se quita de la vista. La información del sistema y las notificaciones están ocultas a los usuarios finales.
    • Los botones de navegación del dispositivo, como los botones de inicio y de información general, se deshabilitan y quitan de la vista.
    • La pantalla de bloqueo del dispositivo, como keyguard, está deshabilitada.

    Para usar el marcador & aplicaciones telefónicas o para que los usuarios reciban notificaciones push en modo de pantalla completa, use las características de navegación del sistema Dispositivos> dedicadoshabilitados (con opciones de botón Inicio) y Notificaciones del sistema e información (en este artículo). Estas características están disponibles en dispositivos Android que ejecutan la versión 9.0 y posteriores.

    En el sistema operativo 9 y versiones posteriores, la configuraciónDeshabilite la pantalla de bloqueo de la contraseña> del dispositivo (en este artículo) administra el comportamiento de la pantalla de bloqueo del dispositivo.

    Nota:

    El modo de pantalla completa no impide que la aplicación de pantalla completa pueda iniciar otras aplicaciones instaladas en el dispositivo, incluida la aplicación configuración del dispositivo. Los administradores deben asegurarse de que todas las aplicaciones habilitadas en modo de pantalla completa no inicien otras aplicaciones a las que los usuarios no deben tener acceso ni desinstalar ninguna aplicación que no sea necesaria en el dispositivo.

    Opciones del modo de pantalla completa:

    • Sin configurar: Intune no cambia ni actualiza esta configuración.

    • Aplicación única: cuando los usuarios están en los dispositivos, solo pueden acceder a la aplicación que seleccionó. Cuando se inicia el dispositivo, solo se inicia la aplicación específica. Los usuarios tienen restringido el cambio de la aplicación en ejecución.

      Seleccione una aplicación que se usará para el modo de pantalla completa: seleccione la aplicación de sistema Google Play o Android Enterprise administrada de la lista. Para los dispositivos dedicados de aplicación única, la aplicación que seleccione debe ser:

      • Se ha agregado en Intune.
      • Asignado al grupo de dispositivos creado para los dispositivos dedicados.

    • Aplicación múltiple: los usuarios pueden acceder a un conjunto limitado de aplicaciones en el dispositivo. Cuando se inicia el dispositivo, solo se inician las aplicaciones que agrega. También puede agregar algunos vínculos web que los usuarios pueden abrir. Cuando se aplica la directiva, los usuarios ven iconos para las aplicaciones permitidas en la pantalla principal.

      En el caso de los dispositivos dedicados de varias aplicaciones, no es necesario que la aplicación de Managed Home Screen esté en el perfil de configuración, pero la aplicación Managed Home Screen de Google Play debe ser:

      • Se ha agregado en Intune.
      • Asignado al grupo de dispositivos creado para los dispositivos dedicados.

      Además, los paquetes que quiera que se puedan iniciar desde Managed Home Screen deben ser:

      • Se ha agregado en Intune.
      • Asignado al grupo de dispositivos creado para los dispositivos dedicados.

      Cuando se agrega la aplicación Managed Home Screen, cualquier otra aplicación instalada que agregue en el perfil de configuración se mostrará como iconos en la aplicación Managed Home Screen.

      Para obtener más información sobre la pantalla Inicio administrado, consulte Configuración de Microsoft Managed Home Screen en dispositivos dedicados en modo de pantalla completa de varias aplicaciones.

      • Diseño de aplicación personalizado: Habilitar le permite colocar aplicaciones y carpetas en diferentes lugares de la Managed Home Screen. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, las aplicaciones y carpetas que agrega se muestran en la pantalla principal en orden alfabético.

        • Tamaño de cuadrícula: seleccione el tamaño de la pantalla principal. Una aplicación o carpeta ocupa un lugar en la cuadrícula.

        • Pantalla principal: seleccione el botón Agregar y seleccione una aplicación de la lista. Seleccione la opción Carpeta para crear una carpeta, escriba el nombre de carpeta y agregue aplicaciones de la lista a la carpeta.

          Al agregar elementos, seleccione el menú contextual para quitar elementos o muévalos a posiciones diferentes:

          

      • Agregar: seleccione las aplicaciones de la lista.

        Si la aplicación de Managed Home Screen no aparece en la lista, agréguela desde Google Play. Asegúrese de asignar la aplicación al grupo de dispositivos creado para los dispositivos dedicados.

        También puede agregar al dispositivo otras aplicaciones de Android y aplicaciones web creadas por su organización. Asegúrese de asignar la aplicación al grupo de dispositivos creado para los dispositivos dedicados.

        Importante

        Cuando se usa el modo de varias aplicaciones, todas las aplicaciones de la directiva deben ser una aplicación necesaria y deben asignarse a los dispositivos. Si una aplicación no es necesaria o no está asignada, los dispositivos pueden bloquear a los usuarios y mostrar un Contact your IT admin. This phone will be erased. mensaje.

        Nota:

        No se impide que las aplicaciones agregadas en MHS inicien otras aplicaciones instaladas en el dispositivo. Los administradores deben asegurarse de que todas las aplicaciones permitidas en MHS no inicien otras aplicaciones, los usuarios no deben tener acceso a las aplicaciones que no sean necesarias en el dispositivo ni desinstalarlas.

      • Bloquear pantalla principal: Habilitar impide que los usuarios muevan iconos y carpetas de la aplicación. Están bloqueadas y no se pueden arrastrar y colocar en diferentes lugares de la cuadrícula. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, los usuarios pueden mover estos elementos.

      • Icono de carpeta: seleccione el color y la forma del icono de carpeta que se encuentra en el Managed Home Screen. Sus opciones:

        • No configurado
        • Rectángulo de tema oscuro
        • Círculo de tema oscuro
        • Rectángulo de tema claro
        • Círculo de tema claro

      • Tamaño del icono de aplicación y carpeta: seleccione el tamaño del icono de carpeta que se encuentra en el Managed Home Screen. Sus opciones:

        • No configurado

        • Extra pequeña

        • K.Esimo.Menor

        • Promedio

        • K.Esimo.Mayor

        • Extra grande

          Dependiendo del tamaño de pantalla, el tamaño real del icono puede ser diferente.

      • Orientación de pantalla: seleccione la dirección en la que se muestra el Managed Home Screen en los dispositivos. Sus opciones:

        • No configurado
        • Portrait
        • Paisaje
        • Autorotate

      • Notificaciones de aplicación: Habilitar muestra el número de notificaciones nuevas y no leídas en los iconos de la aplicación. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración.

      • Botón inicio virtual: botón de tecla temporal que devuelve a los usuarios al Managed Home Screen para que los usuarios puedan cambiar entre aplicaciones. Sus opciones:

        • No configurado (valor predeterminado): no se muestra un botón de inicio. Los usuarios deben usar el botón Atrás para cambiar entre aplicaciones.
        • Deslizar el dedo hacia arriba: un botón inicio muestra cuándo un usuario desliza el dedo hacia arriba en el dispositivo.
        • Flotante: muestra un botón de inicio persistente y flotante en el dispositivo.

      • Salir del modo de pantalla completa: Habilitar permite a los administradores pausar temporalmente el modo de pantalla completa para actualizar el dispositivo. Para usar esta característica, el administrador:

        1. Continúa seleccionando el botón Atrás hasta que se muestre el botón Salir de pantalla completa .
        2. Selecciona el botón Salir de pantalla completa y escribe el PIN Salir del código de pantalla completa .
        3. Cuando haya terminado, seleccione la aplicación Managed Home Screen. Este paso vuelve a bloquear el dispositivo en el modo de pantalla completa de varias aplicaciones.

        Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que los administradores pausas en el modo de pantalla completa. Si el administrador sigue seleccionando el botón Atrás y selecciona el botón Salir de pantalla completa , un mensaje indica que se requiere un código de acceso.

      • Salir del código del modo de pantalla completa: escriba un PIN numérico de 4 a 6 dígitos. El administrador usa este PIN para pausar temporalmente el modo de pantalla completa.

      • Establecer fondo de dirección URL personalizada: escriba una dirección URL para personalizar la pantalla de fondo en el dispositivo dedicado. Por ejemplo, escriba http://contoso.com/backgroundimage.jpg.

        Nota:

        En la mayoría de los casos, se recomienda comenzar con imágenes de al menos los siguientes tamaños:

        • Teléfono: 1080x1920 px
        • Tableta: 1920x1080 px

        Para obtener la mejor experiencia y detalles nítidos, se sugiere que los recursos de imagen por dispositivo se creen según las especificaciones de pantalla.

        Las pantallas modernas tienen densidades de píxeles más altas y pueden mostrar imágenes de definición de 2K/4K equivalentes.

      • Acceso directo al menú de configuración: Deshabilitar oculta el acceso directo Configuración administrada en el Managed Home Screen. Los usuarios todavía pueden deslizar el dedo hacia abajo para acceder a la configuración. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el acceso directo Configuración administrada se muestra en los dispositivos. Los usuarios también pueden deslizar el dedo hacia abajo para acceder a esta configuración.

      • Acceso rápido al menú de depuración: esta configuración controla cómo acceden los usuarios al menú de depuración. Sus opciones:

        • Habilitar: los usuarios pueden acceder al menú de depuración más fácilmente. En concreto, pueden deslizar el dedo hacia abajo o usar el acceso directo Configuración administrada. Como siempre, pueden seguir seleccionando el botón Atrás 15 veces.
        • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración. De forma predeterminada, el acceso fácil al menú de depuración está desactivado. Los usuarios deben seleccionar el botón Atrás 15 veces para abrir el menú de depuración.

        En el menú de depuración, los usuarios pueden:

        • Ver y cargar registros de Managed Home Screen
        • Abrir la aplicación Android Device Policy Manager de Google
        • Abrir la aplicación Microsoft Intune
        • Salir del modo de pantalla completa

      • Configuración de Wi-Fi: Habilitar muestra el control de Wi-Fi en el Managed Home Screen y permite a los usuarios conectar el dispositivo a diferentes redes WiFi. Al habilitar esta característica, también se activa la ubicación del dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre el control Wi-Fi en el Managed Home Screen. Impide que los usuarios se conecten a redes Wi-Fi mientras usan el Managed Home Screen.

        • Lista de permitidos de Wi-Fi: cree una lista de nombres de red inalámbrica válidos, también conocidos como identificador del conjunto de servicios (SSID). Managed Home Screen los usuarios solo pueden conectarse a los SSD que especifique.

          Wi-Fi ssd distinguen mayúsculas de minúsculas. Si el SSID es válido, pero la mayúscula que escriba no coincide con el nombre de red, no se muestra la red.

          Cuando se deja en blanco, Intune no cambia ni actualiza esta configuración. De forma predeterminada, se permiten todas las redes Wi-Fi disponibles.

          Importe un archivo .csv que incluya una lista de SSD válidos.

          Exporte la lista actual a un archivo .csv.

        • SSID: también puede escribir los nombres de red Wi-Fi (SSID) a los que Managed Home Screen los usuarios pueden conectarse. Asegúrese de escribir identificadores SSID válidos.

        Importante

        En la versión de octubre de 2020, la API de Managed Home Screen se actualizó para cumplir con los requisitos de Google Play Store. Los cambios siguientes afectan a las directivas de configuración de Wi-Fi en el Managed Home Screen:

        • Los usuarios no pueden habilitar ni deshabilitar Wi-Fi conexiones en los dispositivos. Los usuarios pueden cambiar entre Wi-Fi redes, pero no pueden activar o desactivar Wi-Fi.

        • Si una red Wi-Fi está protegida con contraseña, los usuarios deben escribir la contraseña. Después de escribir la contraseña, la red configurada se conecta automáticamente. Si se desconectan y, a continuación, se vuelven a conectar a la red Wi-Fi, es posible que los usuarios deban volver a escribir la contraseña.

        • En los dispositivos Android 11, cuando los usuarios se conectan a una red mediante el Managed Home Screen, se les pide su consentimiento. Este mensaje procede de Android y no es específico de la Managed Home Screen.

        • En dispositivos Android 10, cuando los usuarios se conectan a una red mediante el Managed Home Screen, una notificación les pide su consentimiento. Por lo tanto, los usuarios necesitan acceso a la barra de estado y las notificaciones para dar su consentimiento. Para habilitar las notificaciones del sistema, consulte Configuración general para dispositivos dedicados (en este artículo).

        • En los dispositivos Android 10, cuando los usuarios se conectan a una red Wi-Fi protegida con contraseña mediante el Managed Home Screen, se les pide la contraseña. Si el dispositivo está conectado a una red inestable, la red Wi-Fi cambia. Este comportamiento se produce incluso cuando los usuarios escriben la contraseña correcta.

      • Configuración de Bluetooth: Habilitar muestra el control Bluetooth en el Managed Home Screen y permite a los usuarios emparejar dispositivos a través de Bluetooth. Al habilitar esta característica, también se activa la ubicación del dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre el control Bluetooth en el Managed Home Screen. Impide que los usuarios configuren Bluetooth y emparejen dispositivos mientras usan el Managed Home Screen.

      Importante

      Para los dispositivos que se ejecutan en Android 10+ y usan Managed Home Screen, para que el emparejamiento de Bluetooth funcione correctamente en dispositivos que requieren una clave de emparejamiento, los administradores deben habilitar las siguientes aplicaciones del sistema Android:

      • Android System Bluetooth
      • Configuración del sistema Android
      • Interfaz de usuario del sistema Android

      Para obtener más información sobre cómo habilitar aplicaciones de sistema Android, vaya a: Administrar aplicaciones de sistema de Android Enterprise.

      • Acceso a la linterna: Habilitar muestra el control de la linterna en el Managed Home Screen, y permite a los usuarios encender o apagar la linterna. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre el control de la linterna en Managed Home Screen. Evita que los usuarios usen la linterna mientras usan el Managed Home Screen.

      • Control de volumen multimedia: Habilitar muestra el control de volumen multimedia en el Managed Home Screen y permite a los usuarios ajustar el volumen multimedia del dispositivo mediante un control deslizante. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre el control de volumen multimedia en Managed Home Screen. Impide que los usuarios ajusten el volumen multimedia del dispositivo mientras usan el Managed Home Screen, a menos que sus botones de hardware lo admitan.

      • Acceso rápido a la información del dispositivo: Habilitar permite a los usuarios deslizar el dedo hacia abajo para ver la información del dispositivo en el Managed Home Screen, como el número de serie, el número de modelo y la creación y el nivel del SDK. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que no se muestre la información del dispositivo.

      • Modo de protector de pantalla: Habilitar muestra un protector de pantalla en el Managed Home Screen cuando el dispositivo está bloqueado o agota el tiempo de espera. Cuando se establece en No configurado (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre un protector de pantalla en el Managed Home Screen.

        Cuando esté habilitado, configure también:

        • Establecer imagen de protector de pantalla personalizada: escriba la dirección URL en png, JPG, JPEG, GIF, BMP, WebP o ICOimage personalizados. Si no escribe una dirección URL, se usa la imagen predeterminada del dispositivo, si hay una imagen predeterminada.

          Por ejemplo, escriba:

          • http://www.contoso.com/image.jpg
          • www.contoso.com/image.bmp
          • https://www.contoso.com/image.webp

          Sugerencia

          Se admite cualquier dirección URL del recurso de archivo que se pueda convertir en un mapa de bits.

        • Número de segundos en los que el dispositivo muestra el protector de pantalla antes de desactivar la pantalla: elija cuánto tiempo muestra el protector de pantalla. Escriba un valor entre 0 y 99999999 segundos. El valor predeterminado es 0 segundos. Cuando se deja en blanco o se establece en cero (0), el protector de pantalla está activo hasta que un usuario interactúa con el dispositivo.

        • Número de segundos que el dispositivo está inactivo antes de mostrar el protector de pantalla: elija cuánto tiempo está inactivo el dispositivo antes de mostrar el protector de pantalla. Escriba un valor entre 1-99999999 segundos. El valor predeterminado es 30 segundos. Debe escribir un número mayor que cero (0).

        • Detectar medios antes de iniciar el protector de pantalla: Habilitar (valor predeterminado) no muestra el protector de pantalla si se reproduce audio o vídeo en el dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar el protector de pantalla, incluso si se reproduce audio o vídeo.

        Nota:

        Managed Home Screen inicia el protector de pantalla cada vez que aparece la pantalla de bloqueo:

        • Si el tiempo de espera de la pantalla de bloqueo del sistema es mayor que el número de segundos para que el dispositivo muestre el protector de pantalla, el protector de pantalla se mostrará hasta que aparezca la pantalla de bloqueo.
        • Si el tiempo de espera de la pantalla de bloqueo del sistema es menor que el número de segundos que el dispositivo está inactivo, el protector de pantalla se muestra en cuanto aparece la pantalla de bloqueo del dispositivo.

      • Pantalla de inicio de sesión de MHS: Habilitar muestra una pantalla de inicio de sesión en el Managed Home Screen. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. Esta pantalla de inicio de sesión y la configuración relacionada están diseñadas para su uso en dispositivos dedicados inscritos con Microsoft Entra modo de dispositivo compartido.

        Cuando esté habilitado, configure también:

        • Establecer fondo de dirección URL personalizada para la pantalla de inicio de sesión: escriba la dirección URL del fondo de la dirección URL de la pantalla de inicio de sesión. La pantalla de inicio de sesión debe estar habilitada para configurar esta configuración.
        • Establecer el logotipo de personalización de marca de dirección URL para la pantalla de inicio de sesión y la página de pin de sesión: escriba el logotipo de personalización de marca de dirección URL para la pantalla de inicio de sesión y la página del pin de sesión.
        • Requerir que el usuario establezca un PIN para la sesión de inicio de sesión: cuando se establece en Habilitar, el usuario debe establecer un PIN para su sesión de inicio de sesión. Cuando se establece en No configurado (valor predeterminado), no es necesario que el usuario establezca un PIN. Esta configuración debe estar habilitada para mostrar los subconjuntos.

          • Elija la complejidad del PIN para la sesión de inicio de sesión: seleccione la complejidad del PIN de sesión. Sus opciones son:

            • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, MHS requiere al menos un carácter en el PIN de sesión.
            • Simple: requiere números. No hay restricciones en las secuencias repetidas (444) o ordenadas (123, 321, 246).
            • Complejo: permite a los usuarios crear un PIN con caracteres alfanuméricos. No se pueden usar secuencias repetidas (444) ni ordenadas (123, 321, 246).

            Para obtener más información sobre esta configuración, consulte Complejidad del PIN de sesión en Configuración de la aplicación microsoft Managed Home Screen para Android Enterprise.

          • Requerir que el usuario escriba el PIN de sesión si ha aparecido screensaver: seleccione Habilitar para requerir que el usuario escriba su PIN de sesión para reanudar el uso de la Managed Home Screen después de que se muestre el protector de pantalla.

        • Cierre de sesión automáticamente de las aplicaciones en modo de dispositivo compartido y MHS después de la inactividad: seleccione Habilitar para cerrar sesión automáticamente del Managed Home Screen en función de la inactividad. Esta configuración debe estar habilitada para mostrar los subconjuntos.
          • Número de segundos que el dispositivo está inactivo antes de cerrar sesión automáticamente del usuario: defina el período de inactividad, en segundos, antes de que el usuario cierre sesión automáticamente desde Managed Home Screen. De forma predeterminada, este valor se establece en 300 segundos.
          • Número de segundos para notificar al usuario antes de cerrar sesión automáticamente: defina la cantidad de tiempo, en segundos, para que el usuario tenga la opción de reanudar su sesión antes de cerrar sesión automáticamente desde Managed Home Screen. De forma predeterminada, este valor se establece en 60 segundos.

• Totalmente administrado: configura la aplicación Microsoft Launcher en dispositivos totalmente administrados.

  • Convertir Microsoft Launcher en el iniciador predeterminado: habilitar establece Microsoft Launcher como el iniciador predeterminado en la pantalla principal. Si convierte Launcher en el valor predeterminado, los usuarios no podrán usar otro iniciador. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, Microsoft Launcher no se fuerza como iniciador predeterminado.

  • Configurar fondo de pantalla personalizado: en la aplicación Microsoft Launcher, Habilitar le permite aplicar su propia imagen como fondo de pantalla principal y elegir si los usuarios pueden cambiar la imagen. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el dispositivo mantiene su fondo de pantalla actual.

    • Escriba la dirección URL de la imagen de fondo de pantalla: escriba la dirección URL de la imagen de fondo de pantalla. Esta imagen se muestra en la pantalla principal del dispositivo. Por ejemplo, escriba http://www.contoso.com/image.jpg.
    • Permitir al usuario modificar el fondo de pantalla: Habilitar permite a los usuarios cambiar la imagen de fondo de pantalla. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, se impide que los usuarios cambien el fondo de pantalla.

  • Habilitar fuente del iniciador: Habilitar activa la fuente del iniciador, que muestra calendarios, documentos y actividades recientes. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, esta fuente no se muestra.

    • Permitir que el usuario habilite o deshabilite la fuente: Habilitar permite a los usuarios habilitar o deshabilitar la fuente del iniciador. Habilitar solo fuerza esta configuración la primera vez que se asigna el perfil. Las asignaciones de perfiles futuras no fuerzan esta configuración. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, se impide que los usuarios cambien la configuración de la fuente del iniciador.

  • Presencia de acoplamiento: el dock proporciona a los usuarios acceso rápido a sus aplicaciones y herramientas. Sus opciones:

    • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración.
    • Mostrar: la base se muestra en los dispositivos.
    • Ocultar: el muelle está oculto. Los usuarios deben deslizar el dedo hacia arriba para acceder al muelle.
    • Deshabilitado: la base no se muestra en los dispositivos y se impide que los usuarios lo muestren.

  • Permitir al usuario cambiar la presencia del dock: Habilitar permite a los usuarios mostrar u ocultar el dock. Habilitar solo fuerza esta configuración la primera vez que se asigna el perfil. Las asignaciones de perfiles futuras no fuerzan esta configuración. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, los usuarios no pueden cambiar la configuración del dock del dispositivo.

  • Búsqueda reemplazo de barra: elija dónde colocar la barra de búsqueda. Sus opciones:

    • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración.
    • Parte superior: Búsqueda barra se muestra en la parte superior de los dispositivos.
    • Parte inferior: Búsqueda barra se muestra en la parte inferior de los dispositivos.
    • Ocultar: Búsqueda barra está oculta.

Contraseña del dispositivo

Dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos

• Tipo de contraseña requerida: escriba el nivel de complejidad de contraseña necesario y si se pueden usar dispositivos biométricos. Sus opciones:

  • Valor predeterminado del dispositivo (valor predeterminado): la mayoría de los dispositivos no requieren una contraseña cuando se establece en Valor predeterminado del dispositivo. Si quiere requerir que los usuarios configuren un código de acceso en sus dispositivos, configure esta opción en algo más seguro que el valor predeterminado del dispositivo.

  • Contraseña requerida, sin restricciones

  • Biometría débil: biometría fuerte frente a débil (abre el sitio web de Android)

  • Numérico: la contraseña solo debe ser números, como 123456789. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Complejo numérico: no se permiten números repetidos o consecutivos, como 1111 o 1234, . Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Alfabético: se requieren letras en el alfabeto. No se requieren números ni símbolos. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Alfanumérica: incluye letras mayúsculas, letras minúsculas y caracteres numéricos. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Alfanumérico con símbolos: incluye letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.
    • Número de caracteres necesarios: escriba el número de caracteres que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres en minúsculas necesarios: escriba el número de caracteres en minúsculas que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres en mayúsculas necesarios: escriba el número de caracteres en mayúscula que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres que no son letras necesarios: escriba el número de caracteres que no sean letras (salvo las letras del alfabeto) que la contraseña debe tener, entre 0 y 16 caracteres.
    • Número de caracteres numéricos necesarios: escriba el número de caracteres numéricos (1, 2, 3, etc.) que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres de símbolo necesarios: escriba el número de caracteres de símbolo (&, #, %, etc.) que debe tener la contraseña, entre 0 y 16 caracteres.

• Número de días hasta que expira la contraseña: escriba el número de días, hasta que se debe cambiar la contraseña del dispositivo, de 1 a 365. Por ejemplo, escriba 90 para expirar la contraseña después de 90 días. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

• Número de contraseñas necesarias para que el usuario pueda reutilizar una contraseña: use esta configuración para impedir que los usuarios creen contraseñas usadas anteriormente. Escriba el número de contraseñas usadas anteriormente que no se pueden usar, del 1 al 24. Por ejemplo, escriba 5 para que los usuarios no puedan establecer una nueva contraseña en su contraseña actual o en cualquiera de sus cuatro contraseñas anteriores. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

• Número de errores de inicio de sesión antes de limpiar el dispositivo: escriba el número de contraseñas incorrectas permitidas antes de borrar el dispositivo, de 4 a 11. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

  Nota:

  • A los usuarios en dispositivos de perfil de trabajo totalmente administrados y corporativos no se les pide que establezcan una contraseña. La configuración es necesaria, pero es posible que no se notifique a los usuarios. Los usuarios deben establecer la contraseña manualmente. La directiva notifica como errónea hasta que el usuario establece una contraseña que cumple sus requisitos.

    Para aplicar la configuración de contraseña del dispositivo durante la inscripción del dispositivo, asigne el perfil de restricción de dispositivo a los usuarios, no a los dispositivos. Durante la inscripción, se pide a los usuarios que establezcan un bloqueo de pantalla. A continuación, deben elegir una contraseña de dispositivo que cumpla todos los requisitos de este perfil de restricción de dispositivo.

  • En dispositivos dedicados, si el dispositivo está configurado con el modo de pantalla completa de una o varias aplicaciones, se pedirá a los usuarios que establezcan una contraseña. Las pantallas fuerzan y guían a los usuarios para crear una contraseña compatible antes de que puedan seguir usando el dispositivo.

  • En los dispositivos dedicados que no usan el modo de pantalla completa, no se notifica a los usuarios ningún requisito de contraseña. Los usuarios deben establecer la contraseña manualmente. La directiva notifica como errónea hasta que el usuario establece una contraseña que cumple sus requisitos.

• Características de pantalla de bloqueo deshabilitadas: cuando el dispositivo esté bloqueado, elija las características que no se pueden usar. Por ejemplo, cuando se activa La cámara segura , la característica de cámara está deshabilitada en el dispositivo. Las características no activadas están habilitadas en el dispositivo.

  Estas características están disponibles para los usuarios cuando el dispositivo está bloqueado. Los usuarios no verán ni accederán a las características que compruebe.

  • En los dispositivos de perfil de trabajo corporativos, solo se pueden deshabilitar las notificaciones sin aplicar, los agentes de confianza y el desbloqueo de huellas digitales .
  • Si los usuarios desactivan la opción Usar un bloqueo en su dispositivo, se aplica la deshabilitación del desbloqueo de huellas digitales y la deshabilitación de agentes de confianza en el nivel de perfil de trabajo de propiedad corporativa. Si los usuarios activan la opción Usar un bloqueo , se aplica la deshabilitación del desbloqueo de huellas digitales y la deshabilitación de agentes de confianza en el nivel de dispositivo.

• Frecuencia de desbloqueo necesaria: la autenticación segura es cuando los usuarios desbloquean un dispositivo mediante una contraseña, un PIN o un patrón. Los métodos de autenticación no seguros son cuando los usuarios desbloquean un dispositivo mediante algunas opciones biométricas, como una huella digital o un examen facial.

  Seleccione cuánto tiempo tienen los usuarios antes de que sean necesarios para desbloquear el dispositivo mediante un método de autenticación seguro. Sus opciones:

  • Valor predeterminado del dispositivo (predeterminado): La pantalla se bloquea con la hora predeterminada del dispositivo.
  • 24 horas desde el último pin, contraseña o desbloqueo de patrón: la pantalla se bloquea 24 horas después de que los usuarios usaron por última vez un método de autenticación seguro para desbloquear el dispositivo. Cuando se alcanza el tiempo de espera, los métodos de autenticación no seguros se deshabilitan hasta que el dispositivo se desbloquea mediante la autenticación segura.

  2.3.4 Administración avanzada del código de acceso: tiempo de espera necesario de autenticación segura (abre el sitio web de Android)

Dispositivos totalmente administrados y dedicados

• Deshabilitar pantalla de bloqueo: Deshabilitar bloquea que se usen todas las características de pantalla de bloqueo de Keyguard. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, cuando el dispositivo está en la pantalla de bloqueo, el sistema operativo podría permitir todas las características de Keyguard, como la cámara, el desbloqueo de huellas digitales y mucho más.

Configuración de energía

Dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos

• Tiempo de bloqueo de pantalla (nivel de perfil de trabajo): escriba el tiempo máximo que un usuario puede establecer hasta que el dispositivo se bloquee. Por ejemplo, si establece esta configuración en 10 minutes, los usuarios pueden establecer el tiempo de 15 segundos a 10 minutos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración.

Dispositivos totalmente administrados y dedicados

• Pantalla encendida mientras el dispositivo está conectado: elija qué fuentes de alimentación hacen que la pantalla del dispositivo permanezca encendida cuando esté conectada.

Usuarios y cuentas

Dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos

• Agregar nuevos usuarios: Bloquear impide que los usuarios agreguen nuevos usuarios. Cada usuario tiene un espacio personal en el dispositivo para pantallas de inicio, cuentas, aplicaciones y configuraciones personalizadas. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios agregar otros usuarios al dispositivo.
• El usuario puede configurar credenciales (nivel de perfil de trabajo):Bloquear impide que los usuarios configuren certificados asignados a dispositivos, incluso dispositivos que no están asociados a una cuenta de usuario. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios configuren o cambien sus credenciales cuando accedan a ellas en el almacén de claves.

Dispositivos totalmente administrados y dedicados

• Eliminación de usuarios: Bloquear impide que los usuarios quiten usuarios. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios quiten otros usuarios del dispositivo.
• Cuentas personales de Google: Bloquear impide que los usuarios agreguen su cuenta personal de Google al dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios agregar su cuenta personal de Google.

Dispositivos dedicados

• Cambios en la cuenta: Bloquear impide que los usuarios actualicen o cambien cuentas cuando están en modo de pantalla completa. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios actualizar cuentas de usuario en el dispositivo.

Aplicaciones

Dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos

Nota:

Si quieres habilitar la carga lateral, establece permitir la instalación desde orígenes desconocidos y permitir el acceso a todas las aplicaciones en la configuración de Google Play Store en Permitir.

• Permitir la instalación desde orígenes desconocidos: Permitir permite a los usuarios activar orígenes desconocidos. Esta configuración permite que las aplicaciones se instalen desde orígenes desconocidos, incluidos los orígenes distintos de Google Play Store. Permite a los usuarios cargar de forma lateral aplicaciones en el dispositivo mediante medios distintos de Google Play Store. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que los usuarios activen orígenes desconocidos.

• Actualizaciones automáticas de aplicaciones (nivel de perfil de trabajo): los dispositivos buscan actualizaciones de aplicaciones diariamente. Elija cuándo se instalan las actualizaciones automáticas. Sus opciones son:

  • Sin configurar: Intune no cambia ni actualiza esta configuración.
  • Elección del usuario: es posible que el sistema operativo establezca esta opción de forma predeterminada. Los usuarios pueden establecer sus preferencias en la aplicación Google Play administrada.
  • Nunca: Novedades nunca se instalan. No se recomienda esta opción.
  • Solo Wi-Fi: Novedades solo se instalan cuando el dispositivo está conectado a una red Wi-Fi.
  • Siempre: Novedades se instalan cuando están disponibles.

• Permitir el acceso a todas las aplicaciones de Google Play Store:

  • Cuando se establece en Permitir:

    • Los usuarios obtienen acceso a todas las aplicaciones de Google Play Store y a las aplicaciones privadas agregadas a la cuenta de Google Play administrada de su organización.
    • Asegúrese de que tiene como destino cualquier aplicación (privada o pública) con la intención de desinstalación que no se pueda encontrar o las aplicaciones instaladas por los usuarios de Google Play Store administrado.
    • Los usuarios no pueden usar aplicaciones que se agregan a una lista de bloqueos (asignadas con intención de desinstalación) en el perfil personal de los dispositivos corporativos con un perfil de trabajo.

    Para obtener más información sobre cómo excluir usuarios y grupos de aplicaciones específicas, vaya a Incluir y excluir asignaciones de aplicaciones.

  • Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo:

    • Solo muestra las aplicaciones de Google Play Store administradas que están aprobadas, las aplicaciones necesarias y las aplicaciones asignadas al usuario.
    • Desinstala las aplicaciones que se instalaron fuera de Google Play Store administrado.
    • Si cambia esta configuración de Permitir a No configurado, cualquier aplicación que no esté en la directiva se desinstalará automáticamente del dispositivo.

• La siguiente configuración forma parte de la característica de ámbito delegado de Google:

  • Permitir que otras aplicaciones instalen y administren certificados: seleccione Agregar para seleccionar las aplicaciones existentes para este permiso. Puede agregar varias aplicaciones. A las aplicaciones seleccionadas se les concede acceso para instalar y administrar certificados.

    Para usar esta configuración, la aplicación Google Play administrada debe usar ámbitos delegados. Para obtener más información, vaya a las configuraciones de aplicaciones integradas de Android y los ámbitos de delegación de Android (abre el sitio web de Android).

  • Permitir que esta aplicación acceda a los registros de seguridad de Android: seleccione la aplicación que debe tener este permiso. Solo puede seleccionar una aplicación. A la aplicación se le concede acceso a los registros de seguridad.

    Para usar esta configuración, la aplicación Google Play administrada debe usar ámbitos delegados. Para obtener más información, vaya a las configuraciones de aplicaciones integradas de Android y los ámbitos de delegación de Android (abre el sitio web de Android).

  • Permitir que esta aplicación acceda a los registros de actividad de red de Android: seleccione la aplicación que debe tener este permiso. Solo puede seleccionar una aplicación. A la aplicación se le concede acceso a los registros de actividad de red.

    Para usar esta configuración, la aplicación Google Play administrada debe usar ámbitos delegados. Para obtener más información, vaya a las configuraciones de aplicaciones integradas de Android y los ámbitos de delegación de Android (abre el sitio web de Android).

  Sugerencia

  Si hay un conflicto con una de estas configuraciones, el conflicto se aplica a las tres configuraciones. Asegúrese de conceder a la aplicación permitir que esta aplicación acceda a los registros de seguridad de Android y permitir que esta aplicación acceda a los permisos de los registros de actividad de red de Android a una sola aplicación. Puede conceder estos permisos a la misma aplicación, pero no a aplicaciones diferentes.

  Para obtener más información, vaya a Android Management API - DelegatedScope (abre el sitio web de Google).

Dispositivos dedicados

• Borrar datos locales en aplicaciones no optimizadas para el modo de dispositivo compartido: agregue a la lista cualquier aplicación no optimizada para el modo de dispositivo compartido. Los datos locales de la aplicación se borran cada vez que un usuario cierra sesión en una aplicación optimizada para el modo de dispositivo compartido. Disponible para dispositivos dedicados inscritos con el modo compartido que ejecuta Android 9 y versiones posteriores.

  Cuando se usa esta configuración, los usuarios no pueden iniciar el cierre de sesión desde aplicaciones no optimizadas y no obtienen el cierre de sesión único.

  • Los usuarios deben cerrar la sesión de una aplicación optimizada para el modo de dispositivo compartido. Las aplicaciones de Microsoft optimizadas para el modo de dispositivo compartido en Android incluyen Teams y Intune Managed Home Screen.
  • En el caso de las aplicaciones que no están optimizadas para el modo de dispositivo compartido, la eliminación de datos de aplicación solo se extiende al almacenamiento de aplicaciones local. Los datos se pueden dejar en otras áreas del dispositivo. Los artefactos de identificación de usuario, como la dirección de correo electrónico y el nombre de usuario, podrían dejarse atrás en la aplicación y ser visibles por otros usuarios.
  • Las aplicaciones no optimizadas que proporcionan compatibilidad con varias cuentas podrían presentar un comportamiento indeterminado y, por tanto, no se recomiendan.

  Todas las aplicaciones no optimizadas deben probarse exhaustivamente antes de usarse en escenarios de varios usuarios en dispositivos compartidos para asegurarse de que funcionan según lo esperado. Por ejemplo, valide los escenarios principales en cada aplicación, compruebe que la aplicación se cierra de sesión correctamente y que todos los datos están suficientemente claros para las necesidades de su organización.

Conectividad

Dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos

• VPN always-on (nivel de perfil de trabajo):habilitar establece que el cliente VPN se conecte automáticamente y vuelva a conectarse a la VPN. Las conexiones VPN siempre activadas permanecen conectadas. O bien, conectarse inmediatamente cuando los usuarios bloquean su dispositivo, el dispositivo se reinicia o cambia la red inalámbrica.

  Elija No configurado para deshabilitar vpn always-on para todos los clientes VPN.

  Importante

  Asegúrese de implementar solo una directiva de VPN always-on en un único dispositivo. No se admite la implementación de varias directivas DE VPN always-on en un solo dispositivo.

• Cliente VPN: elija un cliente VPN que admita Always On. Sus opciones:

  • Cisco AnyConnect
  • F5 Access
  • Palo Alto Networks GlobalProtect
  • Pulse Secure
  • Personalizado
    • Id. de paquete: escriba el identificador de paquete de la aplicación en Google Play Store. Por ejemplo, si la dirección URL de la aplicación en play store es https://play.google.com/store/details?id=com.contosovpn.android.prod, el identificador del paquete es com.contosovpn.android.prod.

  Importante

  • El cliente VPN que elija debe estar instalado en el dispositivo y debe admitir vpn por aplicación en perfiles de trabajo corporativos. De lo contrario, se produce un error.
  • Debe aprobar la aplicación cliente VPN en Google Play Store administrado, sincronizar la aplicación para Intune e implementar la aplicación en el dispositivo. Después de hacerlo, la aplicación se instala en el perfil de trabajo corporativo del usuario.
  • Todavía tiene que configurar el cliente VPN con un perfil de VPN o a través de un perfil de configuración de aplicación.
  • Puede haber problemas conocidos al usar VPN por aplicación con F5 Access para Android 3.0.4. Para obtener más información, consulte las notas de la versión de F5 para F5 Access para Android 3.0.4.

• Modo de bloqueo: habilitar obliga a todo el tráfico de red a usar el túnel VPN. Si no se establece una conexión a la VPN, el dispositivo no tendrá acceso a la red. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que el tráfico fluya a través del túnel VPN o a través de la red móvil.

Dispositivos totalmente administrados y dedicados

• Proxy global recomendado: Habilitar agrega un proxy global a los dispositivos. Cuando está habilitado, el tráfico HTTP y HTTPS usa el proxy que escriba, incluidas algunas aplicaciones en el dispositivo. Este proxy es solo una recomendación. Es posible que algunas aplicaciones no usen el proxy. No configurado (valor predeterminado) no agrega un proxy global recomendado.

  Para obtener más información sobre esta característica, vea setRecommendedGlobalProxy (abre un sitio de Android).

  Cuando esté habilitado, escriba también el tipo de proxy. Sus opciones:

  • Directo: escriba manualmente los detalles del servidor proxy, incluidos:

    • Host: escriba el nombre de host o la dirección IP del servidor proxy. Por ejemplo, escriba proxy.contoso.com o 127.0.0.1.
    • Número de puerto: escriba el número de puerto TCP usado por el servidor proxy. Por ejemplo, escriba 8080.
    • Hosts excluidos: escriba una lista de nombres de host o direcciones IP que no usarán el proxy. Esta lista puede incluir un carácter comodín de asterisco (*) y varios hosts separados por punto y coma (;) sin espacios. Por ejemplo, escriba 127.0.0.1;web.contoso.com;*.microsoft.com.

  • Configuración automática del proxy: escriba la dirección URL de PAC en un script de autoconfiguración de proxy. Por ejemplo, escriba https://proxy.contoso.com/proxy.pac.

    Para obtener más información sobre los archivos PAC, vea Archivo de configuración automática de proxy (PAC) (abre un sitio que no es de Microsoft).

  Para obtener más información sobre esta característica, vea setRecommendedGlobalProxy (abre un sitio de Android).

Contraseña del perfil de trabajo

Esta configuración se aplica a los perfiles de trabajo de propiedad corporativa.

• Tipo de contraseña requerida: escriba el nivel de complejidad de contraseña necesario y si se pueden usar dispositivos biométricos. Sus opciones:

  • Valor predeterminado del dispositivo

  • Contraseña requerida, sin restricciones

  • Biometría débil: biometría fuerte frente a débil (abre el sitio web de Android)

  • Numérico: la contraseña solo debe ser números, como 123456789. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Complejo numérico: no se permiten números repetidos o consecutivos, como 1111 o 1234, . Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Alfabético: se requieren letras en el alfabeto. No se requieren números ni símbolos. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Alfanumérica: incluye letras mayúsculas, letras minúsculas y caracteres numéricos. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Alfanumérico con símbolos: incluye letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos. Escriba también:

    • Longitud mínima de la contraseña: escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.
    • Número de caracteres necesarios: escriba el número de caracteres que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres en minúsculas necesarios: escriba el número de caracteres en minúsculas que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres en mayúsculas necesarios: escriba el número de caracteres en mayúscula que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres que no son letras necesarios: escriba el número de caracteres que no sean letras (salvo las letras del alfabeto) que la contraseña debe tener, entre 0 y 16 caracteres.
    • Número de caracteres numéricos necesarios: escriba el número de caracteres numéricos (1, 2, 3, etc.) que debe tener la contraseña, entre 0 y 16 caracteres.
    • Número de caracteres de símbolo necesarios: escriba el número de caracteres de símbolo (&, #, %, etc.) que debe tener la contraseña, entre 0 y 16 caracteres.

• Número de días hasta que expira la contraseña: escriba el número de días, hasta que se debe cambiar la contraseña del dispositivo, de 1 a 365. Por ejemplo, escriba 90 para expirar la contraseña después de 90 días. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

• Número de contraseñas necesarias para que el usuario pueda reutilizar una contraseña: use esta configuración para impedir que los usuarios creen contraseñas usadas anteriormente. Escriba el número de contraseñas usadas anteriormente que no se pueden usar, del 1 al 24. Por ejemplo, escriba 5 para que los usuarios no puedan establecer una nueva contraseña en su contraseña actual o en cualquiera de sus cuatro contraseñas anteriores. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

• Número de errores de inicio de sesión antes de limpiar el dispositivo: escriba el número de contraseñas incorrectas permitidas antes de borrar el dispositivo, de 4 a 11. 0 (cero) podría deshabilitar la funcionalidad de borrado del dispositivo. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

  Nota:

  No se pide a los dispositivos de perfil de trabajo totalmente administrados, dedicados y corporativos que establezcan una contraseña. La configuración es necesaria, pero es posible que no se notifique a los usuarios. Los usuarios deben establecer la contraseña manualmente. La directiva notifica como errónea hasta que el usuario establece una contraseña que cumple sus requisitos.

• Frecuencia de desbloqueo necesaria: la autenticación segura es cuando los usuarios desbloquean el perfil de trabajo mediante una contraseña, un PIN o un patrón. Los métodos de autenticación no seguros son cuando los usuarios desbloquean el perfil de trabajo mediante algunas opciones biométricas, como una huella digital o un examen facial.

  Seleccione cuánto tiempo tienen los usuarios antes de que sean necesarios para desbloquear el perfil de trabajo mediante un método de autenticación seguro. Sus opciones:

  • Valor predeterminado del dispositivo (predeterminado): La pantalla se bloquea con la hora predeterminada del dispositivo.
  • 24 horas desde el último bloqueo de patilla, contraseña o patrón: la pantalla se bloquea 24 horas después de que los usuarios usaron por última vez un método de autenticación seguro para desbloquear el perfil de trabajo. Cuando se alcanza el tiempo de espera, los métodos de autenticación no seguros se deshabilitan hasta que se desbloquea el perfil de trabajo mediante la autenticación segura.

  2.3.4 Administración avanzada del código de acceso: tiempo de espera necesario de autenticación segura (abre el sitio web de Android)

Perfil personal

• Cámara: Bloquear impide el acceso a la cámara durante el uso personal. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de la cámara en el perfil personal.
• Captura de pantalla: Bloquear impide las capturas de pantalla durante el uso personal. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios obtener capturas de pantalla o capturas de pantalla en el perfil personal.
• Permitir a los usuarios habilitar la instalación de aplicaciones desde orígenes desconocidos en el perfil personal: seleccione Permitir para que los usuarios puedan instalar aplicaciones de orígenes desconocidos en el perfil personal. Permite a los usuarios instalar aplicaciones de orígenes distintos de Google Play Store. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que los usuarios instalen aplicaciones de orígenes desconocidos en el perfil personal.
• Tipo de lista de aplicaciones restringidas: seleccione Permitir que las aplicaciones creen una lista de aplicaciones administradas de Google Play que estén permitidas y aprobadas para instalarse y ejecutarse en el perfil personal del dispositivo. Seleccione Aplicaciones bloqueadas para crear una lista de aplicaciones de Google Play administradas que están prohibidas y no se pueden instalar y ejecutar en el perfil personal del dispositivo. Cuando se establece en No configurado (valor predeterminado), Intune no incluye una lista de aplicaciones para permitir o bloquear.

Información de soporte técnico personalizada

Con esta configuración, puede personalizar algunos mensajes de soporte técnico que se muestran a los usuarios y mostrarlos en diferentes idiomas.

De forma predeterminada, se muestran los mensajes predeterminados de OEM. Al implementar un mensaje personalizado mediante Intune, también se implementa el mensaje predeterminado de Intune. Si no escribe un mensaje personalizado para el idioma predeterminado del dispositivo, el Intune mensaje predeterminado se muestra automáticamente.

De forma predeterminada, el mensaje predeterminado Intune está en inglés (Estados Unidos).

Por ejemplo, implementa un mensaje personalizado para inglés y francés. El usuario cambia el idioma predeterminado del dispositivo a español. Dado que no implementó un mensaje personalizado en español, se muestra el Intune mensaje predeterminado.

El Intune mensaje predeterminado se traduce para todos los idiomas en el Centro de administración del Administrador de puntos de conexión (Idioma de configuración>+ región). El valor de configuración de idioma determina el idioma predeterminado que usa Intune. De forma predeterminada, se establece en inglés.

Puede configurar las siguientes opciones:

• Mensaje de soporte técnico corto: cuando los usuarios intentan cambiar una configuración administrada por la organización, se muestra un mensaje corto.

  Con la siguiente configuración, puede personalizar este mensaje y escribir un mensaje diferente para diferentes idiomas. De forma predeterminada, este mensaje está en inglés (Estados Unidos).

  • Todo, excepto cuando se especifica: este mensaje es el Intune mensaje predeterminado y se muestra para todos los idiomas. Si no escribe un mensaje personalizado, este texto se muestra automáticamente. Este texto también se traduce automáticamente al idioma predeterminado del dispositivo.

    Puede cambiar este mensaje. Los cambios no se traducen. Si elimina todo el texto de este mensaje y deja esta configuración en blanco, se usa el siguiente mensaje corto original Intune predeterminado y se traduce:

    You do not have permission for this action. For more information, contact your IT admin.

  • Seleccione Configuración regional: seleccione la configuración regional o región para mostrar un mensaje personalizado diferente para esa configuración regional específica.

    Por ejemplo, para mostrar un mensaje personalizado en dispositivos que usan español como idioma predeterminado, seleccione Español (España). Solo los dispositivos que usan el idioma predeterminado español (España) ven el mensaje personalizado. Todos los demás lenguajes ven todos, excepto cuando se especifica el texto del mensaje.

    Puede agregar varias configuraciones regionales y mensajes.

  • Mensaje: escriba el texto que desea que se muestre, un máximo de 200 caracteres. El texto que escriba no se traducirá al idioma predeterminado del dispositivo. Por lo tanto, si desea mostrar un mensaje en español, escriba el texto en español.

• Mensaje de soporte técnico largo: en el dispositivo, en Configuración> Aplicacionesde administración> de dispositivos deseguridad> Directivade dispositivo, se muestra un mensaje de soporte técnico largo.

  Con la siguiente configuración, puede personalizar este mensaje y escribir un mensaje diferente para diferentes idiomas. De forma predeterminada, este mensaje está en inglés (Estados Unidos).

  • Todo, excepto cuando se especifica: este mensaje es el Intune mensaje predeterminado y se muestra para todos los idiomas. Si no escribe un mensaje personalizado, este texto se muestra automáticamente y se traduce automáticamente al idioma predeterminado del dispositivo.

    Puede cambiar este mensaje. Los cambios no se traducen. Si elimina todo el texto de este mensaje y deja esta configuración en blanco, se usa el siguiente mensaje original long Intune predeterminado y se traduce:

    The organization's IT admin can monitor and manage apps and data associated with this device, including settings, permissions, corporate access, network activity and the device's location information.

  • Seleccione Configuración regional: seleccione la configuración regional o región para mostrar un mensaje personalizado diferente para esa configuración regional específica.

    Por ejemplo, para mostrar un mensaje personalizado en dispositivos que usan español como idioma predeterminado, seleccione Español (España). Solo los dispositivos que usan el idioma predeterminado español (España) ven el mensaje personalizado. Todos los demás lenguajes ven todos, excepto cuando se especifica el texto del mensaje.

    Puede agregar varias configuraciones regionales y mensajes.

  • Mensaje: escriba el texto que desea que se muestre, un máximo de 4096 caracteres. El texto que escriba no se traducirá al idioma predeterminado del dispositivo. Por lo tanto, si desea mostrar un mensaje en español, escriba el texto en español.

• Mensaje de pantalla de bloqueo: escriba el texto que desea que se muestre en la pantalla de bloqueo del dispositivo.

  Con la siguiente configuración, puede personalizar este mensaje y escribir un mensaje diferente para diferentes idiomas. De forma predeterminada, este mensaje está en inglés (Estados Unidos).

  • Todo, excepto cuando se especifique: escriba el texto que desea que se muestre para todos los idiomas, un máximo de 4096 caracteres. Este texto se traduce automáticamente al idioma predeterminado del dispositivo. Si no escribe un mensaje personalizado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre un mensaje de pantalla de bloqueo.

  • Seleccione Configuración regional: seleccione la configuración regional o región para mostrar un mensaje personalizado diferente para esa configuración regional específica.

    Por ejemplo, para mostrar un mensaje personalizado en dispositivos que usan español como idioma predeterminado, seleccione Español (España). Solo los dispositivos que usan el idioma predeterminado español (España) ven el mensaje personalizado. Todos los demás lenguajes ven todos, excepto cuando se especifica el texto del mensaje.

    Puede agregar varias configuraciones regionales y mensajes.

  • Mensaje: escriba el texto que desea que se muestre, un máximo de 4096 caracteres. El texto que escriba no se traducirá al idioma predeterminado del dispositivo. Por lo tanto, si desea mostrar un mensaje en español, escriba el texto en español.

  Al configurar el mensaje Bloquear pantalla, también puede usar los siguientes tokens de dispositivo para mostrar información específica del dispositivo:

  • {{AADDeviceId}}: Microsoft Entra identificador de dispositivo
  • {{AccountId}}: Intune identificador de inquilino o de cuenta
  • {{DeviceId}}: Intune identificador de dispositivo
  • {{DeviceName}}: Intune nombre del dispositivo
  • {{domain}}: nombre de dominio
  • {{EASID}}: Identificador de sincronización activa de Exchange
  • {{IMEI}}: IMEI del dispositivo
  • {{mail}}: Email dirección del usuario
  • {{MEID}}: MEID del dispositivo
  • {{partialUPN}}: prefijo UPN antes del símbolo @
  • {{SerialNumber}}: número de serie del dispositivo
  • {{SerialNumberLast4Digits}}: últimos cuatro dígitos del número de serie del dispositivo
  • {{UserId}}: Intune id. de usuario
  • {{UserName}}: nombre de usuario
  • {{userPrincipalName}}: UPN del usuario

  Nota:

  Las variables no se validan en la interfaz de usuario y distinguen mayúsculas de minúsculas. Como resultado, puede ver los perfiles guardados con una entrada incorrecta. Por ejemplo, si escribe {{DeviceID}}, en lugar de {{deviceid}} o {{DEVICEID}}, se muestra la cadena literal en lugar del identificador único del dispositivo. Asegúrese de escribir la información correcta. Se admiten todas las variables en minúsculas o todas las mayúsculas, pero no una combinación.

Siguientes pasos

Asigne el perfil y supervise el estado.

También puede crear perfiles de pantalla completa de dispositivos dedicados para dispositivos Android y Windows 10.

Configure y solucione problemas de dispositivos Android Enterprise en Microsoft Intune.