Listas de configuración de restricción de dispositivos Android y Samsung Knox Standard en Intune

  • Artículo

En este artículo se muestran todas las opciones de configuración de restricciones de dispositivos Microsoft Intune que puede configurar para los dispositivos que ejecutan Android. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para permitir o deshabilitar características, establecer requisitos de contraseña, controlar la seguridad y mucho más.

Esta característica se aplica a:

  • Administrador de dispositivos Android (DA)

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Sugerencia

Si la configuración que desea no está disponible, es posible que pueda configurar los dispositivos mediante un perfil personalizado.

Antes de empezar

Cree un perfil de configuración de restricciones de dispositivo de administrador de dispositivos Android.

General

  • Cámara: Bloquear impide el acceso a la cámara del dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el acceso a la cámara del dispositivo.

    Intune solo administra el acceso a la cámara del dispositivo. No tiene acceso a imágenes ni vídeos.

  • Copiar y pegar (solo Samsung Knox):Bloquear impide copiar y pegar. No configurado permite copiar y pegar funciones en dispositivos.

  • Uso compartido del Portapapeles entre aplicaciones (solo Samsung Knox):Bloquear impide el uso del Portapapeles para copiar y pegar entre aplicaciones. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir copiar y pegar funciones en los dispositivos.

  • Envío de datos de diagnóstico (solo Samsung Knox):Bloquear impide que los usuarios envíen informes de errores desde los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios enviar los datos.

  • Borrado (solo Samsung Knox): permite a los usuarios ejecutar una acción de borrado en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración.

  • Geolocalización (solo Samsung Knox):Bloquear deshabilita que los dispositivos usen información de ubicación. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los dispositivos usen la información de ubicación.

  • Apagado (solo Samsung Knox):Bloquear impide que los usuarios apaguen el dispositivo. También evita que el número de errores de inicio de sesión antes de borrar la configuración del dispositivo se configure y funcione. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios apaguen los dispositivos.

  • Captura de pantalla (solo Samsung Knox):Bloquear impide capturas de pantalla. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios capturen el contenido de la pantalla como una imagen.

  • Asistente de voz (solo Samsung Knox):Bloquear deshabilita el servicio S Voice. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso del servicio S Voice y la aplicación en dispositivos. Esta configuración no se aplica a Bixby ni a la asistente de voz para la accesibilidad que lee el contenido de la pantalla en voz alta.

  • YouTube (solo Samsung Knox):Bloquear impide que los usuarios usen la aplicación de YouTube. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de la aplicación YouTube en dispositivos.

  • Dispositivos compartidos (solo Samsung Knox): configure un dispositivo Samsung Knox Standard administrado como compartido. Permitir permite a los usuarios iniciar y cerrar sesión en dispositivos con sus credenciales de Azure AD. Los dispositivos permanecen administrados, estén en uso o no.

    Cuando se usa en con un perfil de certificado SCEP, esta característica permite a los usuarios compartir un dispositivo con las mismas aplicaciones para todos los usuarios. Sin embargo, cada usuario tiene su propio certificado de usuario SCEP. Cuando los usuarios cierran sesión, se borran todos los datos de la aplicación. Esta característica solo se limita a las aplicaciones LOB.

    Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir que varios usuarios inicien sesión en la aplicación Portal de empresa en dispositivos con sus credenciales de Azure AD.

  • Bloquear los cambios de fecha y hora (Samsung Knox):Bloquear impide que los usuarios cambien la configuración de fecha y hora en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios cambiar la configuración de fecha y hora.

Password

  • Cifrado: seleccione Requerir para que los archivos del dispositivo estén cifrados. No todos los dispositivos admiten el cifrado. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. Para configurar esta configuración y notificar correctamente el cumplimiento, configure también:

    1. Contraseña: establezca en Requerir.
    2. Tipo de contraseña requerido: establezca en Al menos numérico.
    3. Longitud mínima de la contraseña: establezca en al menos 4.

    Nota:

    Si se aplica una directiva de cifrado, los dispositivos Samsung Knox requieren que los usuarios establezcan una contraseña compleja de 6 caracteres como código de acceso del dispositivo.

Todos los dispositivos Android

Esta configuración se aplica a Android 4.0 y versiones posteriores, y Knox 4.0 y versiones posteriores.

  • Máximo de minutos de inactividad hasta que se bloquea la pantalla: escriba el período de tiempo que un dispositivo debe estar inactivo antes de que la pantalla se bloquee automáticamente. Por ejemplo, escriba 5 para bloquear los dispositivos después de 5 minutos de inactividad. Cuando el valor está en blanco o se establece en No configurado, Intune no cambia ni actualiza esta configuración.

    En un dispositivo, los usuarios no pueden establecer un valor de tiempo mayor que la hora configurada en el perfil. Los usuarios pueden establecer un valor de tiempo inferior. Por ejemplo, si el perfil se establece en 15 minutos, los usuarios pueden establecer el valor en 5 minutos. Los usuarios no pueden establecer el valor en 30 minutos.

  • Número de errores de inicio de sesión antes de limpiar el dispositivo: escriba el número de contraseñas incorrectas permitidas antes de que se borren los dispositivos, de 4 a 11. 0 (cero) podría deshabilitar la funcionalidad de borrado de dispositivos. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

  • Contraseña: requerir que los usuarios escriban una contraseña para acceder a los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios accedan a los dispositivos sin escribir una contraseña.

    Nota:

    Los dispositivos Samsung Knox requieren automáticamente un PIN de 4 dígitos durante la inscripción de MDM. Es posible que los dispositivos Android nativos requieran automáticamente un PIN para cumplir con el acceso condicional.

Android 10 y versiones posteriores

  • Complejidad de la contraseña: escriba la complejidad de contraseña necesaria. Sus opciones:

    • Ninguno (valor predeterminado): no se requiere ninguna contraseña.
    • Bajo: la contraseña cumple una de las condiciones siguientes:
      • Patrón
      • El PIN numérico tiene una secuencia repetida (4444) o ordenada (1234, 4321, 2468).
    • Medio: la contraseña cumple una de las condiciones siguientes:
      • El PIN numérico no tiene una secuencia repetida (4444) ni ordenada (1234, 4321, 2468) y tiene una longitud mínima de 4.
      • Alfabético, con una longitud mínima de 4.
      • Alfanumérico, con una longitud mínima de 4.
    • Alto: la contraseña cumple una de las condiciones siguientes:
      • El PIN numérico no tiene una secuencia repetida (4444) ni ordenada (1234, 4321, 2468) y tiene una longitud mínima de 8.
      • Alfabético, con una longitud mínima de 6.
      • Alfanumérico, con una longitud mínima de 6.

    Esta configuración se aplica a:

    • Android 10 y versiones posteriores, pero no en Samsung Knox.

    Importante

    La configuración De complejidad de contraseña es un trabajo en curso. A finales de octubre de 2020, la complejidad de las contraseñas surtirá efecto en los dispositivos.

    Si establece La complejidad de la contraseña en algo distinto de Ninguno, establezca también la opción Contraseña en Requerir, que se encuentra en la sección Todos los dispositivos Android . Los usuarios con contraseñas que no cumplen los requisitos de complejidad reciben una advertencia para actualizar su contraseña. Si no establece la opción Contraseña en Requerir, los usuarios con contraseñas no seguras no recibirán la advertencia.

Android 9 y versiones anteriores, o Samsung Knox (cualquier versión)

  • Longitud mínima de la contraseña: escriba el número mínimo de caracteres necesarios, de 4 a 16. Por ejemplo, escriba 6 para requerir al menos seis números o caracteres en la longitud de la contraseña.

  • Expiración de contraseña (días): escriba el número de días, hasta que se debe cambiar la contraseña del dispositivo, de 1 a 365. Por ejemplo, escriba 90 para expirar la contraseña después de 90 días. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

  • Tipo de contraseña requerida: escriba el nivel de complejidad de contraseña necesario y si se pueden usar dispositivos biométricos. Sus opciones:

    • Valor predeterminado del dispositivo

    • Biometría de baja seguridad: biometría fuerte frente a débil (abre el sitio web de Android)

    • Al menos numérico: incluye caracteres numéricos, como 123456789.

    • Complejo numérico: no se permiten números repetidos o consecutivos, como "1111" o "1234". Antes de asignar esta configuración a los dispositivos, asegúrese de actualizar la aplicación Portal de empresa a la versión más reciente en esos dispositivos.

      Cuando se establece en Complejo numérico y se asigna la configuración a los dispositivos que ejecutan una versión de Android anterior a la 5.0, se aplica el comportamiento siguiente:

      • Si la aplicación Portal de empresa ejecuta una versión anterior a 1704, no se aplica ninguna directiva de PIN a los dispositivos y se muestra un error en el centro de administración de Microsoft Intune.
      • Si la aplicación Portal de empresa ejecuta la versión 1704 o posterior, solo se puede aplicar un PIN simple. La versión de Android anterior a la 5.0 no admite esta configuración. No se muestra ningún error en el centro de administración de Microsoft Intune.

    • Al menos alfabético: incluye letras en el alfabeto. No se requieren números ni símbolos.

    • Al menos alfanumérica: incluye letras mayúsculas, letras minúsculas y caracteres numéricos.

    • Al menos alfanumérico con símbolos: incluye letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos.

  • Impedir la reutilización de contraseñas anteriores: use esta configuración para impedir que los usuarios creen contraseñas usadas anteriormente. Escriba el número de contraseñas usadas anteriormente que no se pueden usar, del 1 al 24. Por ejemplo, escriba 5 para que los usuarios no puedan establecer una nueva contraseña en su contraseña actual o en cualquiera de sus cuatro contraseñas anteriores. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

  • Desbloqueo de huellas digitales (solo Samsung Knox):Bloquear impide el uso de una huella digital para desbloquear dispositivos. Cuando se establece en No configurado (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios desbloquear dispositivos mediante una huella digital.

  • Smart Lock y otros agentes de confianza: Bloquear evita que Smart Lock u otros agentes de confianza ajusten la configuración de la pantalla de bloqueo. Si el dispositivo está en una ubicación de confianza, esta característica, también conocida como agente de confianza, le permite deshabilitar o omitir la contraseña de la pantalla de bloqueo del dispositivo. Por ejemplo, use esta característica cuando los dispositivos estén conectados a un dispositivo Bluetooth específico o cuando los dispositivos estén cerca de una etiqueta NFC. Puede usar esta configuración para evitar que los usuarios configuren Smart Lock.

    Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración.

    Esta configuración se aplica a:

    • Samsung KNOX Standard 5.0 y versiones posteriores

Google Play Store

  • Google Play Store (solo Samsung Knox):Bloquear impide que los usuarios usen Google Play Store. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios accedan a Google Play Store en los dispositivos.

Aplicaciones restringidas

Esta característica se admite en dispositivos Android y Samsung Knox Standard.

  • Tipo de lista de aplicaciones restringidas: cree una lista de aplicaciones para permitir o bloquear en dispositivos. Esta característica se admite en dispositivos Android y Samsung Knox Standard. Sus opciones:

    • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración.
    • Aplicaciones prohibidas: enumera las aplicaciones (no administradas por Intune) que los usuarios no pueden instalar y ejecutar. Si un usuario instala una aplicación de esta lista, Intune le notificará.
    • Aplicaciones aprobadas: enumere las aplicaciones que los usuarios pueden instalar. Para mantener la conformidad, los usuarios no deben instalar otras aplicaciones. Las aplicaciones administradas por Intune se permiten automáticamente, incluida la aplicación Portal de empresa.

  • Lista de aplicaciones: agregue la aplicación:

    • Dirección URL de app store: escriba la dirección URL de Google Play Store de la aplicación que quiera. Por ejemplo, para agregar la aplicación Escritorio remoto de Microsoft para Android, escriba https://play.google.com/store/apps/details?id=com.microsoft.rdc.android.

      Para buscar la dirección URL de una aplicación, abra Google Play Store y busque la aplicación. Por ejemplo, busque Microsoft Remote Desktop Play Store o Microsoft Planner. Seleccione la aplicación y copie la dirección URL.

    • Id. de lote de aplicaciones: escriba el identificador de la agrupación de aplicaciones.

    • Nombre de la aplicación: escriba el nombre que desee. Este nombre se muestra a los usuarios.

    • Publicador (opcional): escriba el publicador de la aplicación, como Microsoft.

También puede importar un archivo CSV con detalles sobre la aplicación, incluida la dirección URL. Use la dirección URL> de la aplicación, <el nombre> de la aplicación y el << formato del publicador> de aplicaciones. O bien, exporte una lista existente que incluya la lista de aplicaciones restringidas en el mismo formato.

Importante

Los perfiles de dispositivo que usan la configuración de aplicación restringida deben asignarse a grupos de usuarios, no a grupos de dispositivos.

Explorador

  • Explorador web (solo Samsung Knox):Bloquear impide que el explorador web predeterminado se use en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que se use el explorador web predeterminado del dispositivo.
  • Autorrellenar (solo Samsung Knox):Bloquear impide que el explorador rellene automáticamente el texto. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el autorrellenar.
  • Cookies (solo Samsung Knox): elija cómo controlar las cookies de sitios web en los dispositivos. Sus opciones:
    • Permitir
    • Bloquear todas las cookies
    • Permitir cookies de sitios web visitados
    • Permitir cookies desde el sitio web actual
  • JavaScript (solo Samsung Knox):Bloquear impide que JavaScript se ejecute en el explorador. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir estos scripts.
  • Elementos emergentes (solo Samsung Knox):Bloquear activa el bloqueador de elementos emergentes para evitar los elementos emergentes en el explorador web. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir elementos emergentes.

Permitir o bloquear aplicaciones

Use esta configuración para permitir, bloquear u ocultar aplicaciones específicas en dispositivos Samsung Knox Standard. Los usuarios no pueden abrir ni ejecutar aplicaciones ocultas.

Sus opciones:

  • Aplicaciones que se pueden instalar (solo Samsung Knox Standard): agregue aplicaciones que los usuarios puedan instalar. Los usuarios no pueden instalar aplicaciones que no están en la lista.
  • Aplicaciones bloqueadas para el inicio (solo Samsung Knox Standard): escriba las aplicaciones que los usuarios no pueden ejecutar en su dispositivo.
  • Aplicaciones ocultas al usuario (solo Samsung Knox Standard): escriba las aplicaciones que están ocultas en los dispositivos. Los usuarios no pueden detectar ni ejecutar estas aplicaciones.

Para cada configuración, agregue las aplicaciones:

  • Agregar aplicaciones por nombre de paquete: escriba el nombre de la aplicación y el nombre del paquete de la aplicación. Se usa principalmente para aplicaciones de línea de negocio.
  • Agregar aplicaciones por dirección URL: escriba el nombre de la aplicación y su dirección URL en Google Play Store.
  • Agregar aplicación de tienda: seleccione una aplicación de la lista existente de aplicaciones que administra en Intune.

Nube y almacenamiento

  • Copia de seguridad de Google (solo Samsung Knox):Bloquear impide que los dispositivos se sincronicen con la copia de seguridad de Google. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de la copia de seguridad de Google.
  • Sincronización automática de la cuenta de Google (solo Samsung Knox):Bloquear impide la característica de sincronización automática de cuentas de Google en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que la configuración de la cuenta de Google se sincronice automáticamente.
  • Almacenamiento extraíble (solo Samsung Knox):Bloquear impide que los dispositivos usen almacenamiento extraíble. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los dispositivos usen almacenamiento extraíble, como una tarjeta SD.
  • Cifrado en tarjetas de almacenamiento (solo Samsung Knox):requerir exige que las tarjetas de almacenamiento se cifren. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de tarjetas de almacenamiento sin cifrar. No todos los dispositivos admiten el cifrado de tarjetas de almacenamiento. Para confirmarlo, consulte con el fabricante del dispositivo.

Telefonía móvil y conectividad

  • Itinerancia de datos (solo Samsung Knox):Bloquear impide la itinerancia de datos a través de la red de telefonía móvil. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la itinerancia de datos.
  • Mensajería SMS/MMS (solo Samsung Knox):Bloquear impide la mensajería de texto en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de mensajes SMS y MMS.
  • Marcado por voz (solo Samsung Knox):Bloquear impide que los usuarios usen la característica de marcado de voz en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la marcación por voz.
  • Itinerancia de voz (solo Samsung Knox):Bloquear impide la itinerancia de voz a través de la red de telefonía móvil. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir la itinerancia de voz.
  • Bluetooth (solo Samsung Knox):Bloquear impide el uso de Bluetooth en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de Bluetooth.
  • NFC (solo Samsung Knox):Bloquear deshabilita las operaciones que usan la comunicación de campo cercano (NFC) en dispositivos que lo admiten. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir operaciones NFC.
  • Wi-Fi (solo Samsung Knox):Bloquear impide el uso de Wi-Fi en dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de Wi-Fi.
  • Tethering Wi-Fi (solo Samsung Knox):Bloquear evita el uso de Wi-Fi tethering en los dispositivos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de Wi-Fi tethering.

Quiosco

La configuración de pantalla completa solo se aplica a los dispositivos Samsung Knox Standard que ejecutan Android 10 o versiones anteriores y solo a las aplicaciones que administra mediante Intune.

  • Agregue las aplicaciones que quiera ejecutar cuando el dispositivo esté en modo de pantalla completa. En el modo de pantalla completa, solo se ejecutan las aplicaciones que agregue; Las aplicaciones no agregadas no se ejecutan. Los exploradores preinstalados no se ejecutan como una aplicación cuando el dispositivo está en modo de pantalla completa. Si se requiere un explorador, considere la posibilidad de usar Managed Browser.

    Opciones de la aplicación:

    • Agregar aplicaciones por nombre de paquete: se usa principalmente para las aplicaciones de línea de negocio. Escriba el nombre de la aplicación y el nombre del paquete de la aplicación.
    • Agregar aplicaciones por dirección URL: escriba el nombre de la aplicación y su dirección URL en Google Play Store.
    • Agregar aplicación de tienda: seleccione una aplicación de la lista existente de aplicaciones que administra en Intune.

  • Botón de suspensión de pantalla: Bloquear impide u oculta el botón de suspensión de la pantalla. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el botón de reactivación de suspensión de pantalla en los dispositivos.

  • Botones de volumen: Bloquear impide que los usuarios ajusten el volumen deshabilitando los botones de volumen. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el uso de los botones de volumen en los dispositivos.

Siguientes pasos

Asigne el perfil y supervise el estado.

También puede crear perfiles de pantalla completa para Dispositivos Android Enterprise y Windows 10.