Directivas de protección de aplicaciones y perfiles de trabajo en dispositivos de Android Enterprise en IntuneApplication protection policies and work profiles on Android Enterprise devices in Intune

En muchas organizaciones, los administradores se encuentran con la dificultad de proteger los recursos y datos de diferentes dispositivos.In many organizations, administrators are challenged to protect resources and data on different devices. Uno de los retos es protege los recursos de los usuarios con dispositivos personales de Android Enterprise, lo que también se conoce como Bring-Your-Own-Device (BYOD).One challenge is protecting resources for users with personal Android Enterprise devices, also known as bring-your-own-device (BYOD). Microsoft Intune admite dos escenarios de implementación de Android para Bring-Your-Own-Device (BYOD):Microsoft Intune supports two Android deployment scenarios for bring-your-own-device (BYOD):

  • Directivas de protección de aplicaciones sin inscripción (APP-WE)App protection policies without enrollment (APP-WE)
  • Perfiles de trabajo de Android EnterpriseAndroid Enterprise work profiles

Los escenarios de implementación de APP-WE y perfiles de trabajo de Android incluyen las siguientes características clave importantes en entornos BYOD:The APP-WE and the Android work profile deployment scenarios include the following key features important for BYOD environments:

  1. Protección y segregación de datos administrados por la organización: ambas soluciones protegen los datos de la organización al aplicar controles de prevención de pérdida de datos (DLP) en datos administrados por esta.Protection and segregation of organization-managed data: Both solutions protect organization data by enforcing data loss prevention (DLP) controls on organization-managed data. Estas protecciones impiden las pérdidas accidentales de datos protegidos, como en el caso, por ejemplo, de un usuario que los comparte por accidente con una aplicación o cuenta personal.These protections prevent accidental leaks of protected data, such as an end user accidentally sharing it to a personal app or account. También sirven para garantizar que un dispositivo que accede a los datos está en buen estado y no corre peligro.They also serve to ensure that a device accessing the data is healthy and not compromised.

  2. Privacidad del usuario final: APP-WE y los perfiles de trabajo de Android Enterprise separan el contenido de los usuarios finales que hay en el dispositivo de los datos administrados por el administrador de administración de dispositivos móviles (MDM).End-user privacy: APP-WE and Android Enterprise work profiles separate end users content on the device, and data managed by the mobile device management (MDM) administrator. En ambos escenarios, los administradores de TI aplican directivas, como la autenticación solo con PIN en aplicaciones o identidades administradas por la organización.In both scenarios, IT admins enforce policies, such as PIN-only authentication on organization-managed apps or identities. Los administradores de TI no pueden leer ni borrar los datos que poseen o controlan los usuarios finales, ni tampoco acceder a ellos.IT admins are unable to read, access, or erase data that's owned or controlled by end users.

La decisión de elegir APP-WE o perfiles de trabajo de Android Enterprise para la implementación BYOD depende de sus requisitos y necesidades empresariales.Whether you choose APP-WE or Android Enterprise work profiles for your BYOD deployment depends on your requirements and business needs. El objetivo de este artículo es proporcionarle una orientación para ayudarle a decidir.The goal of this article is to provide guidance to help you decide.

Sobre las directivas de protección de aplicaciones de IntuneAbout Intune app protection policies

Las directivas de protección de aplicaciones de Intune (APP) son directivas de protección de datos dirigidas a los usuarios.Intune app protection policies (APP) are data protection policies targeted to users. Las directivas aplican protección de pérdida de datos en el nivel de aplicación.The policies apply data loss protection at the application level. Intune APP exige que los desarrolladores de aplicaciones habiliten características de APP en las aplicaciones que creen.Intune APP requires app developers enable APP features on the apps they create.

Las aplicaciones individuales de Android están habilitadas para APP de varias maneras:Individual Android apps are enabled for APP in a few ways:

  1. Están integradas de forma nativa en aplicaciones propias de Microsoft: las aplicaciones de Microsoft Office para Android y una selección de otras aplicaciones de Microsoft, vienen integradas con Intune APP.Natively integrated into Microsoft first-party apps: Microsoft Office apps for Android, and a selection of other Microsoft apps, come with Intune APP built-in. Estas aplicaciones de Office, como Word, Outlook, OneDrive, etc., no necesitan ninguna otra personalización para aplicar las directivas.These Office apps, such as Word, OneDrive, Outlook, and so on, don't need any more customization to apply policies. Los usuarios finales pueden instalar directamente estas aplicaciones desde Google Play Store.These apps can be installed by end users directly from Google Play Store.

  2. Están integradas en aplicaciones creadas por los desarrolladores mediante el SDK de Intune: los desarrolladores de aplicaciones pueden integrar el SDK de Intune en su código fuente y volver a compilar sus aplicaciones para admitir las características de directivas de APP.Integrated into app builds by developers using the Intune SDK: App developers can integrate the Intune SDK into their source code and recompile their apps to support Intune APP policy features.

  3. Están ajustadas mediante la herramienta de ajuste de aplicaciones de Intune: algunos clientes compilan las aplicaciones Android (archivo .APK) sin acceso al código fuente.Wrapped using the Intune app wrapping tool: Some customers compile Android apps (.APK file) without access to source code. Sin el código fuente, los desarrolladores no pueden realizar la integración con el SDK de Intune.Without the source code, the developer can't integrate with the Intune SDK. Sin el SDK, no pueden habilitar su aplicación para las directivas de APP.Without the SDK, they can't enable their app for APP policies. Los desarrolladores deben modificar o volver a codificar la aplicación para admitir las directivas de APP.The developer must modify or recode the app to support APP policies.

    Como ayuda, Intune incluye la herramienta de ajuste de aplicaciones para las aplicaciones Android existentes (APK), y crea una aplicación que reconoce las directivas de APP.To help, Intune includes the App Wrapping Tool tool for existing Android apps (APKs), and creates an app that recognizes APP policies.

    Para más información sobre esta herramienta, vea prepare line-of-business apps for app protection policies (Preparar aplicaciones de línea de negocio para las directivas de protección de aplicaciones).For more information on this tool, see prepare line-of-business apps for app protection policies.

Para ver una lista de aplicaciones habilitadas con APP, consulte Aplicaciones administradas con un amplio conjunto de directivas de protección de aplicaciones móviles.To see a list of apps enabled with APP, see managed apps with a rich set of mobile application protection policies.

Escenarios de implementaciónDeployment scenarios

En esta sección se describen las importantes características de los escenarios de implementación de APP-WE y perfiles de trabajo de Android Enterprise.This section describes the important characteristics of the APP-WE and Android Enterprise work profile deployment scenarios.

APP-WEAPP-WE

Una implementación de APP-WE (directivas de protección de aplicaciones sin inscripción) define las directivas sobre aplicaciones, no sobre dispositivos.An APP-WE (app protection policies without enrollment) deployment defines policies on apps, not devices. En este escenario, los dispositivos normalmente no están inscritos ni administrados por una entidad de MDM, como Intune.In this scenario, devices typically aren't enrolled or managed by an MDM authority, such as Intune. Para proteger las aplicaciones y el acceso a los datos de la organización, los administradores usan aplicaciones que se pueden administrar con APP y aplican directivas de protección de datos a estas aplicaciones.To protect apps and access to organizational data, administrators use APP-manageable apps, and apply data protection policies to these apps.

Esta característica se aplica a:This feature applies to:

  • Android 4.4 y versiones posterioresAndroid 4.4 and later

Sugerencia

Para más información, consulte ¿Qué son las directivas de protección de aplicaciones?For more information, see What are app protection policies?.

Los escenarios de APP-WE son para usuarios finales que quieren una superficie organizativa pequeña en sus dispositivos y no desean inscribirlos en MDM.APP-WE scenarios are for end users who want a small organizational footprint on their devices, and don't want to enroll in MDM. Como administrador, aún debe proteger los datos.As an administrator, you still need to protect your data. Estos dispositivos no están administrados.These devices aren't managed. De modo que, las tareas y características comunes de MDM, como Wi-Fi, VPN de dispositivos y administración de certificados, no forman parte de este escenario de implementación.So common MDM tasks and features, such as WiFi, device VPN, and certificate management, aren't part of this deployment scenario.

Perfiles de trabajo de Android EnterpriseAndroid Enterprise work profiles

Los perfiles de trabajo son el escenario de implementación principal de Android Enterprise y el único escenario dirigido en casos de uso de BYOD.Work profiles are the core Android Enterprise deployment scenario and the only scenario targeted at BYOD use cases. El perfil de trabajo es una partición independiente que se crea en el nivel del sistema operativo Android que puede administrarse mediante Intune.The work profile is a separate partition created at the Android OS level that can be managed by Intune.

Esta característica se aplica a:This feature applies to:

  • Dispositivos Android 5.0 y versiones posteriores con Google Mobile ServicesAndroid 5.0 and later devices with Google Mobile Services

Un perfil de trabajo incluye las siguientes características:A work profile includes the following features:

  • Funcionalidad de MDM tradicional: las principales funcionalidades de MDM, como la administración del ciclo de vida de las aplicaciones mediante Google Play administrado, están disponibles en cualquier escenario de Android Enterprise.Traditional MDM functionality: Key MDM capabilities, such as app lifecycle management using managed Google Play, is available in any Android Enterprise scenario. Google Play administrado proporciona una experiencia sólida para instalar y actualizar aplicaciones sin la intervención del usuario.Managed Google Play provides a robust experience to install and update apps without any user intervention. El departamento de TI también puede insertar la configuración de aplicaciones en las aplicaciones de la organización.IT can also push app configuration settings to organizational apps. No es necesario que los usuarios finales permitan instalaciones desde orígenes desconocidos.It also doesn't require end users to allow installations from unknown sources. Otras actividades comunes de MDM disponibles con los perfiles de trabajo son la implementación de certificados, la configuración de redes Wi-Fi o VPN y la configuración de códigos de acceso de dispositivo.Other common MDM activities, such as deploying certificates, configuring WiFi/VPNs, and setting device passcodes are available with work profiles.

  • DLP en los límites del perfil de trabajo: al igual que en APP-WE, el departamento de TI puede aplicar directivas de protección de datos.DLP on the work profile boundary: Like APP-WE, IT can enforce data protection policies. Con un perfil de trabajo, las directivas de DLP se aplican en el nivel de perfil de trabajo, no en el nivel de aplicación.With a work profile, DLP policies are enforced at the work profile level, not the app level. Por ejemplo, la protección contra copiar y pegar se aplica a una aplicación mediante la configuración de APP o se aplica mediante el perfil de trabajo.For example, copy/paste protection is enforced by the APP settings applied to an app, or enforced by the work profile. Cuando la aplicación se implementa en un perfil de trabajo, los administradores pueden pausar la protección contra copiar y pegar en el perfil de trabajo mediante la desactivación de esta directiva en el nivel de APP.When the app is deployed into a work profile, administrators can pause copy/paste protection to the work profile by turning off this policy at the APP level.

Sugerencias para optimizar la experiencia del perfil de trabajoTips to optimize the work profile experience

Cuándo usar APP en los perfiles de trabajoWhen to use APP within work profiles

Intune APP y los perfiles de trabajo son tecnologías complementarias que se pueden usar juntas o separadas.Intune APP and work profiles are complementary technologies that can be used together or separately. Desde el punto de vista de la arquitectura, ambas soluciones aplican directivas en diferentes capas: APP en la capa de la aplicación individual y el perfil de trabajo en la capa de perfil.Architecturally, both solutions enforce policies at different layers – APP at the individual app layer, and work profile at the profile layer. La implementación de aplicaciones administradas con una directiva de APP en una aplicación de un perfil de trabajo es un escenario válido y admitido.Deploying apps managed with an APP policy to an app in a work profile is a valid and supported scenario. El uso de APP, los perfiles de trabajo o una combinación de ambos depende de los requisitos de DLP.To use APP, work profiles, or a combination depends on your DLP requirements.

Las configuraciones de los perfiles de trabajo y APP se complementan entre sí al proporcionar cobertura adicional si un perfil no satisface los requisitos de protección de datos de la organización.Work profiles and APP complement each other's settings by providing additional coverage if one profile doesn't meet your organization's data protection requirements. Por ejemplo, los perfiles de trabajo no proporcionan de forma nativa controles para impedir que una aplicación se guarde en una ubicación de almacenamiento en la nube que no es de confianza.For example, work profiles don't natively provide controls to restrict an app from saving to an untrusted cloud storage location. APP incluye esta característica.APP includes this feature. Puede decidir que es suficiente con la prevención de pérdida de datos que proporciona el perfil de trabajo y elegir no usar APP.You may decide that DLP provided solely by the work profile is sufficient, and choose not to use APP. O, puede que necesite las protecciones que resultan de combinar los dos métodos.Or you may require the protections from a combination of the two.

Supresión de la directiva de APP en los perfiles de trabajoSuppress APP policy for work profiles

Es posible que deba admitir usuarios que tienen varios dispositivos: dispositivos no administrados en un escenario APP-WE y dispositivos administrados con perfiles de trabajo.You may need to support individual users who have multiple devices - unmanaged devices in an APP-WE scenario, and managed devices with work profiles.

Por ejemplo, exige que los usuarios escriban un PIN al abrir una aplicación de trabajo.For example, you require end users to enter a PIN when opening a work app. En función del dispositivo, las características del PIN se gestionan mediante APP o el perfil de trabajo.Depending on the device, the PIN features are handled by APP or by the work profile. En los dispositivos APP-WE, APP aplica el comportamiento de escribir el PIN para iniciar.For the APP-WE devices, the PIN-to-launch behavior is enforced by APP. En dispositivos con perfil de trabajo, puede usar un PIN de dispositivo o de perfil de trabajo aplicado por el sistema operativo.For work profile devices, you can use a device or work profile PIN enforced by the OS. Para realizar este escenario, configure los valores de APP de forma que no se apliquen cuando una aplicación se implemente en un perfil de trabajo.To accomplish this scenario, configure APP settings so that they don't apply when an app is deployed into a work profile. Si no se configura de este modo, el usuario final recibe una solicitud de PIN en el dispositivo y otra en la capa de aplicación.If you don't configure it this way, the end user gets prompted for a PIN by the device, and again at the APP layer.

Control del comportamiento de identidades múltiples en los perfiles de trabajoControl multi-identity behavior in work profiles

Las aplicaciones de Office, como Outlook y OneDrive, tienen un comportamiento de "identidades múltiples".Office applications, such as Outlook and OneDrive, have "multi-identity" behavior. Dentro de una instancia de la aplicación, el usuario final puede agregar conexiones a varias cuentas o ubicaciones de almacenamiento en la nube distintas.Within one instance of the application, the end user can add connections to multiple distinct accounts or cloud storage locations. Dentro de la aplicación, los datos recuperados desde estas ubicaciones pueden estar separados o combinados.Within the application, the data retrieved from these locations can be separate or merged. Y, el usuario puede cambiar de contexto entre identidades personales (user@outlook.com) e identidades de la organización (user@contoso.com).And, the user can context switch between personal identities (user@outlook.com) and organization identities (user@contoso.com).

Al usar perfiles de trabajo, puede que quiera deshabilitar este comportamiento de identidades múltiples.When using work profiles, you may want to disable this multi-identity behavior. Al deshabilitarlo, las instancias con distintivo de la aplicación en el perfil de trabajo solo pueden configurarse con una identidad de organización.When you disable it, badged instances of the app in the work profile can only be configured with an organization identity. Use la opción de configuración de aplicaciones Cuentas permitidas para permitir la compatibilidad con aplicaciones Android de Office.Use the Allowed Accounts app configuration setting for supporting Office Android apps.

Para más información, vea Implementación de las opciones de configuración de la aplicación de Outlook para iOS/iPadOS y Android.For more information, see deploy Outlook for iOS/iPadOS and Android app configuration settings.

Cuándo usar Intune APPWhen to use Intune APP

Hay varios escenarios de movilidad empresarial donde el uso de Intune APP es la mejor recomendación.There are several enterprise mobility scenarios where using Intune APP is the best recommendation.

Se usan dispositivos antiguos que ejecutan Android 4.4-5.1Older devices running Android 4.4-5.1 are being used

Oficialmente, cualquier dispositivo Android 5.0 o versiones posteriores con Google Mobile Services admite perfiles de trabajo y es apto para administrarse de esa manera.Officially, any Android device 5.0 or above with Google Mobile Services supports work profiles, and is eligible to be managed in that way. Sin embargo, algunos dispositivos Android 5.0 y 5.1 de algunos OEM no admiten perfiles de trabajo.However, some Android 5.0 and 5.1 devices from some OEMs don't support work profiles.

Si usa versiones que no admiten perfiles de trabajo y quiere garantizar la protección frente a la pérdida de datos de la organización en los dispositivos, debe usar las características de Intune APP.If using versions that don't support work profiles, and to ensure DLP for organization data on devices, you must use Intune APP features.

Sin MDM, sin inscripción, los servicios de Google no están disponiblesNo MDM, no enrollment, Google services are unavailable

Algunos clientes no quieren ninguna forma de administración de dispositivos, lo que incluye la administración de los perfiles de trabajo, por diversos motivos:Some customers don't want any form of device management, including work profile management, for different reasons:

  • Motivos legales y de responsabilidadLegal and liability reasons
  • Para mantener la coherencia de la experiencia del usuarioFor consistency of user experience
  • El entorno de dispositivos Android es enormemente heterogéneoThe Android device environment is highly heterogeneous
  • No hay ninguna conectividad con servicios de Google, lo que es necesario para la administración de perfiles de trabajo.There isn't any connectivity to Google services, which is required for work profile management.

Por ejemplo, los clientes de China o que tienen usuarios en este país no pueden usar la administración de dispositivos Android dado que los servicios de Google están bloqueados.For example, customers in or have users in China can't use Android device management since Google services are blocked. En este caso, use Intune APP para DLP.In this case, use Intune APP for DLP.

ResumenSummary

Con Intune, tiene a su disposición tanto APP-WE como perfiles de trabajo de Android Enterprise para su programa BYOD de Android.Using Intune, both APP-WE and Android Enterprise work profiles are available for your Android BYOD program. La elección de APP-WE o de perfiles de trabajo depende de sus requisitos de uso y empresariales.To choose APP-WE or work profiles depends upon your business and usage requirements. En resumen, use perfiles de trabajo si necesita actividades de MDM en dispositivos administrados, como la implementación de certificados, la inserción de aplicaciones, etc.In summary, use work profiles if you need MDM activities on managed devices, such as certificate deployment, app push, and so on. Use APP-WE si no quiere o no puede administrar dispositivos, y únicamente usa aplicaciones habilitadas para Intune APP.Use APP-WE if you don't want or can't manage devices, and are using only Intune APP-enabled apps.

Pasos siguientesNext steps

Comience a usar directivas de protección de aplicaciones o inscriba sus dispositivos.Start using app protection policies, or enroll your devices.