Decisiones de tecnología para habilitar BYOD con Microsoft Enterprise Mobility + Security (EMS)Technology decisions for enabling BYOD with Microsoft Enterprise Mobility + Security (EMS)

Cuando desarrolle su estrategia para permitir que los empleados trabajen de forma remota en sus propios dispositivos (BYOD), tiene que tomar importantes decisiones en los escenarios para habilitar BYOD y proteger los datos corporativos.As you develop your strategy to enable employees to work remotely on their own devices (BYOD), you need to make key decisions in the scenarios to enable BYOD and how to protect your corporate data. Por suerte, EMS ofrece todas las capacidades necesarias en un conjunto completo de soluciones.Fortunately, EMS offers all of the capabilities you need in a comprehensive set of solutions.

En este tema se analiza el caso de uso sencillo de habilitar el acceso BYOD al correo electrónico corporativo.In this topic, we examine the simple use case of enabling BYOD access to corporate email. Se centra en si es o no necesario administrar todo el dispositivo o solo las aplicaciones, ambas opciones totalmente válidas.We’ll focus on whether or not you need to manage the entire device or just the applications, both of which are completely valid choices.

SuposicionesAssumptions

  • Tiene conocimientos básicos de Azure Active Directory y Microsoft IntuneYou have basic knowledge of Azure Active Directory and Microsoft Intune
  • Las cuentas de correo electrónico están hospedadas en Exchange OnlineYour email accounts are hosted in Exchange Online

Razones habituales para administrar el dispositivo (MDM)Common reasons to manage the device (MDM)

Puede impulsar fácilmente a los usuarios a inscribir sus dispositivos en la administración de dispositivos si implementa una directiva de acceso condicional en Exchange Online.You can easily drive users to enroll their devices into device management by deploying a Conditional Access policy on Exchange Online. Estos son los motivos por los que es posible que quiera administrar los dispositivos personales:Here are the reasons you might want to manage personal devices:

Wi-Fi/VPN: si los usuarios necesitan un perfil de conectividad corporativo para ser productivos, se puede configurar sin problemas.WiFi/VPN – If your users need a corporate connectivity profile to be productive, this can be seamlessly configured.

Aplicaciones: si los usuarios necesitan instalar un conjunto de aplicaciones en el dispositivo, se pueden entregar sin problemas.Applications – If your users need a set of apps to be pushed to their device, these can be seamlessly delivered. Esto incluye aplicaciones que se puedan exigir por motivos de seguridad, como Mobile Threat Defense.This includes applications that you might require for security purposes, like a Mobile Threat Defense app.

Cumplimiento: algunas organizaciones deben cumplir directivas reglamentarias u otras que exijan controles de MDM concretos.Compliance – Some organizations need to comply with regulatory or other policies that call out specific MDM controls. Por ejemplo, necesita que MDM cifre todo el dispositivo o elabore un informe de todas las aplicaciones del dispositivo.For example, you need MDM to encrypt the entire device or to produce a report of all apps on the device.

Razones habituales para administrar solo las aplicaciones (MAM)Common reasons to only manage the apps (MAM)

MAM sin MDM es muy popular en organizaciones que admiten BYOD.MAM without MDM is very popular for organizations that support BYOD. Puede sugerir a los usuarios que accedan al correo electrónico desde Outlook Mobile (compatible con las protecciones de MAM) implementando una directiva de acceso condicional en Exchange Online.You can drive users to access email from Outlook Mobile (which supports MAM protections) by deploying a Conditional Access policy on Exchange Online. Estos son los motivos por los que es posible que quiera administrar únicamente las aplicaciones de los dispositivos personales:Here are the reasons you might want to only manage apps on personal devices:

Experiencia de usuario: la inscripción de MDM incluye muchos mensajes de advertencia (aplicados por la plataforma) que suelen dar lugar a que el usuario desista de acceder al correo electrónico en el dispositivo personal después de todo.User experience – MDM enrollment includes many warning prompts (enforced by the platform) that often result in the user deciding they would rather not access their email on their personal device after all. MAM es mucho menos alarmante para los usuarios, ya que simplemente aparece un mensaje emergente una vez para informar de que se han aplicado las protecciones de MAM.MAM is much less alarming to users, as they simply get a pop-up one time to let them know MAM protections are in place.

Cumplimiento: algunas organizaciones deben cumplir directivas que exigen menos capacidades de administración en dispositivos personales.Compliance – Some organizations need to comply with policies that require less management capabilities on personal devices. Por ejemplo, MAM solo puede quitar datos corporativos de las aplicaciones, a diferencia de MDM, que puede quitar todos los datos del dispositivo.For example, MAM is only able to remove corporate data from the apps, as opposed to MDM which is able to remove all data from the device.

Imagen comparativa de la administración del dispositivo y las aplicaciones en dispositivos móviles

Más información sobre los ciclos de vida del dispositivo y la aplicación.Learn more about device management and app management lifecycles.

Comparación de capacidades de MDM y MAMMDM vs MAM capability comparison

Como ya se ha mencionado, el acceso condicional puede llevar a un usuario a inscribir su dispositivo o a usar una aplicación administrada como Outlook Mobile.As already mentioned, Conditional Access can drive a user to enroll their device or use a managed app like Outlook Mobile. Se pueden aplicar muchas otras condiciones en cada caso, que incluyen:Many other conditions can be applied in either case, including:

  • Qué usuario intenta accederWhich user is attempting the access
  • Si la ubicación es o no de confianzaWhether the location is trusted or untrusted
  • Nivel de riesgo de inicio de sesiónSign-in risk level
  • Plataforma de dispositivoDevice platform

Aun así, suele haber riesgos concretos que preocupan a muchas organizaciones.Still, many organizations often have specific risks they’re concerned about. En la siguiente tabla se indican las preocupaciones comunes y la respuesta que ofrecen MDM y MAM.The table below lists the common concerns and MDM vs MAM response to that concern.

PreocupaciónConcern MDMMDM MAMMAM
Acceso a datos no autorizadoUnauthorized data access Exigir pertenencia a grupoRequire group membership Exigir pertenencia a grupoRequire group membership
Acceso a datos no autorizadoUnauthorized data access Exigir inscripción del dispositivoRequire device enrollment Exigir aplicación protegidaRequire protected app
Acceso a datos no autorizadoUnauthorized data access Exigir ubicación determinadaRequire specific location Exigir ubicación determinadaRequire specific location
Cuenta de usuario en peligroCompromised user account Exigir MFARequire MFA Exigir MFARequire MFA
Cuenta de usuario en peligroCompromised user account Bloquear usuarios de alto riesgoBlock high risk users Bloquear usuarios de alto riesgoBlock high risk users
Cuenta de usuario en peligroCompromised user account PIN de dispositivoDevice PIN PIN de aplicaciónApp PIN
Dispositivo o aplicación en peligroCompromised device or app Exigir un dispositivo conformeRequire a compliant device Comprobación de jailbreak al iniciar la aplicaciónJailbreak check on app launch
Dispositivo o aplicación en peligroCompromised device or app Cifrar datos de dispositivoEncrypt device data Cifrar datos de aplicaciónEncrypt app data
Dispositivo extraviado o robadoLost or stolen device Borrar todos los datos del dispositivoRemove all device data Borrar todos los datos de la aplicaciónRemove all app data
Uso compartido de datos accidental o guardado en ubicaciones insegurasAccidental data sharing or saving to unsecured locations Restringir copias de seguridad de datos del dispositivoRestrict device data backups Restringir el corte, la copia o el pegadoRestrict cut/copy/paste
Uso compartido de datos accidental o guardado en ubicaciones insegurasAccidental data sharing or saving to unsecured locations Restringir el guardado comoRestrict save-as Restringir el guardado comoRestrict save-as
Uso compartido de datos accidental o guardado en ubicaciones insegurasAccidental data sharing or saving to unsecured locations Deshabilitar la impresiónDisable printing n/an/a

Pasos siguientesNext steps

Es hora de decidir si va a habilitar BYOD en la organización al centrarse en la administración del dispositivo, de la aplicación o en una combinación de ambas.Now it’s time to decide if you are going to enable BYOD in your organization by focusing on device management, app management, or a combination of the two. Usted elige la forma de implementación, aquella que le asegure que las características de identidad y seguridad disponibles en Azure AD siempre van a estar disponibles.The implementation choice is yours, where you can rest assured that the identity and security features available with Azure AD will be available regardless.

Use la guía de planeamiento de Intune para el siguiente nivel de planeamiento.Use the Intune Planning Guide to map out your next level of planning.