Administración del acceso a la colaboración de mensajería mediante Outlook para iOS y Android con Microsoft Intune

La aplicación Outlook para iOS y Android está diseñada para permitir que los usuarios de su organización hagan más desde sus dispositivos móviles, reuniendo correo electrónico, calendario, contactos y otros archivos.

Las funcionalidades de protección más completas y amplias para los datos de Microsoft 365 están disponibles cuando se suscribe al conjunto de Enterprise Mobility + Security, que incluye características de Microsoft Intune y Microsoft Entra id. P1 o P2, como el acceso condicional. Como mínimo, querrá implementar una directiva de acceso condicional que permita la conectividad a Outlook para iOS y Android desde dispositivos móviles y una directiva de protección de aplicaciones de Intune que garantice que la experiencia de colaboración está protegida.

Aplicar el acceso condicional

Las organizaciones pueden usar Microsoft Entra directivas de acceso condicional para garantizar que los usuarios solo puedan acceder a contenido profesional o educativo mediante Outlook para iOS y Android. Para ello, necesitará una directiva de acceso condicional destinada a todos los usuarios potenciales. Estas directivas se describen en Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones.

  1. Siga los pasos descritos en Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones con dispositivos móviles. Esta directiva permite que Outlook para iOS y Android, pero impide que OAuth y la autenticación básica compatibles Exchange ActiveSync clientes móviles se conecten a Exchange Online.

    Nota:

    Esta directiva garantiza que los usuarios móviles puedan acceder a todos los puntos de conexión de Microsoft 365 mediante las aplicaciones aplicables.

  2. Siga los pasos descritos en Bloquear Exchange ActiveSync en todos los dispositivos, lo que impide que Exchange ActiveSync clientes que usan la autenticación básica en dispositivos no móviles se conecten a Exchange Online.

    Las directivas anteriores aprovechan el control de acceso de concesión Requerir directiva de protección de aplicaciones, que garantiza que se aplique una directiva de Protección de aplicaciones de Intune a la cuenta asociada en Outlook para iOS y Android antes de conceder acceso. Si el usuario no está asignado a una directiva de Protección de aplicaciones de Intune, no tiene licencia para Intune o la aplicación no está incluida en la directiva de Protección de aplicaciones de Intune, la directiva impide que el usuario obtenga un token de acceso y obtenga acceso a los datos de mensajería.

  3. Siga los pasos descritos en Cómo: Bloquear la autenticación heredada para Microsoft Entra identificador con acceso condicional para bloquear la autenticación heredada para otros protocolos de Exchange en dispositivos iOS y Android; esta directiva solo debe tener como destino Microsoft Exchange Online aplicaciones en la nube y plataformas de dispositivos iOS y Android. Esto garantiza que las aplicaciones móviles que usan los protocolos Exchange Web Services, IMAP4 o POP3 con autenticación básica no se puedan conectar a Exchange Online.

Nota:

Para aprovechar las directivas de acceso condicional basadas en aplicaciones, la aplicación Microsoft Authenticator debe instalarse en los dispositivos iOS. En el caso de los dispositivos Android, se requiere la aplicación Portal de empresa de Intune. Para obtener más información, consulte Acceso condicional basado en aplicaciones con Intune.

Crear directivas de protección de aplicaciones de Intune

Las directivas de protección de aplicaciones (APP) definen qué aplicaciones se permiten y las acciones que se pueden realizar con los datos de la organización. Las opciones disponibles en las APP permiten a las organizaciones adaptar la protección a sus necesidades concretas. Para algunas de ellas, puede que no sea obvio qué configuración de directivas es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar la protección del punto de conexión del cliente móvil, Microsoft ha introducido la taxonomía para su marco de protección de datos de APP para la administración de aplicaciones móviles de iOS y Android.

El marco de protección de datos de APP se organiza en tres niveles de configuración distintos, cada uno de ellos basado en el nivel anterior:

  • La protección de datos empresariales básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. Se trata de una configuración de nivel de entrada que proporciona un control de protección de datos similar en las directivas de buzón de Exchange Online y que introduce tecnologías informáticas y el rellenado de usuarios en APP.
  • La protección de datos empresariales mejorada (nivel 2) incorpora mecanismos para la prevención de la pérdida de datos de APP y requisitos mínimos para el sistema operativo. Esta es la configuración aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
  • La protección de datos empresariales alta (nivel 3) incorpora mecanismos avanzados para la protección de datos, configuración de PIN mejorada y defensa contra amenazas móviles de APP. Esta configuración es conveniente para los usuarios que acceden a datos de alto riesgo.

A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.

Independientemente de si el dispositivo está inscrito en una solución de administración unificada de puntos de conexión (UEM), es necesario crear una directiva de protección de aplicaciones de Intune para las aplicaciones iOS y Android siguiendo los pasos descritos en Cómo crear y asignar directivas de protección de aplicaciones. Estas directivas, como mínimo, deben cumplir las siguientes condiciones:

  • Incluyen todas las aplicaciones móviles de Microsoft 365, como Edge, Outlook, OneDrive, Office o Teams, ya que esto garantiza que los usuarios puedan acceder y manipular datos profesionales o educativos dentro de cualquier aplicación de Microsoft de forma segura.

  • Se asignan a todos los usuarios. Esto garantiza que todos los usuarios estén protegidos, independientemente de si usan Outlook para iOS o Android.

  • Determine qué nivel de marco cumple sus requisitos. La mayoría de las organizaciones deben implementar la configuración definida en Protección de datos mejorada para la empresa (nivel 2), ya que permite controles de requisitos de acceso y protección de datos.

Para obtener más información sobre la configuración disponible, consulte Configuración de directivas de protección de aplicaciones Android y Configuración de directivas de protección de aplicaciones iOS.

Importante

Para aplicar directivas de protección de aplicaciones Intune en aplicaciones en dispositivos Android que no están inscritos en Intune, el usuario también debe instalar el Portal de empresa de Intune.

Uso de la configuración de la aplicación

Outlook para iOS y Android admite la configuración de la aplicación que permite a los administradores unificados de administración de puntos de conexión personalizar el comportamiento de la aplicación. Microsoft Intune, que es una solución unificada de administración de puntos de conexión, se usa normalmente para configurar y asignar aplicaciones a los usuarios finales de la organización.

La configuración de la aplicación se puede entregar a través del canal del sistema operativo de administración de dispositivos móviles (MDM) en dispositivos inscritos (canal de App Configuration administrado para iOS o Android en el canal Enterprise para Android) o a través del canal de directiva de protección de aplicaciones (APP) de Intune. Outlook para iOS y Android admite los siguientes escenarios de configuración:

  • Permitir solo cuentas profesionales o educativas
  • Opciones de configuración general de la aplicación
  • Configuración de S/MIME
  • Configuración de protección de datos

Para obtener pasos de procedimientos específicos y documentación detallada sobre la configuración de la aplicación que Outlook para iOS y Android admite, consulte Implementación de outlook para iOS y configuración de aplicaciones Android.

Pasos siguientes