Marco de protección de datos con directivas de protección de aplicaciones
A medida que más organizaciones implementan estrategias de dispositivos móviles para obtener acceso a datos profesionales o educativos, la protección contra la pérdida de datos es fundamental. La solución de administración de aplicaciones móviles de Intune para proteger contra la pérdida de datos es Directivas de protección de aplicaciones (APP). APP son reglas que garantizan que los datos de una organización permanecen seguros o contenidos en una aplicación administrada, independientemente de si el dispositivo está inscrito. Para obtener más información, vea App protection policies overview.
Al configurar directivas de Protección de aplicaciones, el número de opciones y configuraciones diversas permite a las organizaciones adaptar la protección a sus necesidades específicas. Debido a esta flexibilidad, puede que no sea obvio qué permutación de la configuración de directiva es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar los esfuerzos de protección de puntos de conexión de cliente, Microsoft ha introducido una nueva taxonomía para las configuraciones de seguridad en Windows 10y Intune está aprovechando una taxonomía similar para su marco de protección de datos de APP para la administración de aplicaciones móviles.
El marco de configuración de protección de datos de APP se organiza en tres escenarios de configuración distintos:
Protección de datos básica de nivel 1 de empresa: Microsoft recomienda esta configuración como la configuración mínima de protección de datos para un dispositivo de empresa.
Protección de datos mejorada de nivel 2 para empresas: Microsoft recomienda esta configuración para dispositivos en los que los usuarios tienen acceso a información confidencial o confidencial. Esta configuración se aplica a la mayoría de los usuarios móviles que acceden a datos laborales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.
Nivel 3 de protección de datos de empresa alta: Microsoft recomienda esta configuración para dispositivos ejecutados por una organización con un equipo de seguridad más grande o más sofisticado, o para usuarios o grupos específicos que tienen un alto riesgo exclusivo (usuarios que administran datos altamente confidenciales donde la divulgación no autorizada causa una pérdida considerable de material a la organización). Una organización que probablemente esté dirigida por adversarios bien financiados y sofisticados debe aspirar a esta configuración.
Metodología de implementación de APP Data Protection Framework
Al igual que con cualquier implementación de nuevo software, características o configuración, Microsoft recomienda invertir en una metodología de anillo para probar la validación antes de implementar el marco de protección de datos de APP. Por lo general, la definición de anillos de implementación es un evento de una sola vez (o al menos poco frecuente), pero ELT debe volver a visitar estos grupos para asegurarse de que la secuenciación sigue siendo correcta.
Microsoft recomienda el siguiente enfoque de anillo de implementación para el marco de protección de datos de APP:
| Anillo de implementación | Tenant | Equipos de evaluación | Salida | Escala de tiempo |
|---|---|---|---|---|
| Control de calidad | Inquilino de preproducción | Propietarios de funcionalidades móviles, seguridad, evaluación de riesgos, privacidad, experiencia de usuario | Validación del escenario funcional, documentación de borrador | De 0 a 30 días |
| Preview | Inquilino de producción | Propietarios de funcionalidades móviles, experiencia de usuario | Validación del escenario de usuario final, documentación de cara al usuario | De 7 a 14 días, después del control de calidad |
| Producción | Inquilino de producción | Propietarios de funcionalidades móviles, departamento de soporte técnico de TI | N/D | De 7 días a varias semanas, después de la versión preliminar |
Como se indica en la tabla anterior, todos los cambios en las directivas de Protección de aplicaciones deben realizarse primero en un entorno de preproducción para comprender las implicaciones de la configuración de directivas. Una vez completadas las pruebas, los cambios se pueden mover a la producción y aplicarse a un subconjunto de usuarios de producción, por lo general, el departamento de TI y otros grupos aplicables. Por último, la implementación se puede completar en el resto de la comunidad de usuarios móviles. La implementación en producción puede tardar más tiempo en función de la escala de impacto con respecto al cambio. Si no hay ningún impacto del usuario, el cambio debe realizarse rápidamente, mientras que, si el cambio da como resultado el impacto del usuario, es posible que el lanzamiento tenga que ir más lento debido a la necesidad de comunicar los cambios a la población de usuarios.
Al probar los cambios en una APLICACIÓN, tenga en cuenta el tiempo de entrega. El estado de entrega de LA APLICACIÓN para un usuario determinado puede supervisarse. Para obtener más información, vea How to monitor app protection policies.
La configuración de la aplicación individual para cada aplicación se puede validar en dispositivos con Edge y la dirección URL about:Intunehelp. Para obtener más información, consulta Revisar los registros de protección de aplicaciones cliente y Usar Edge para iOS y Android para obtener acceso a los registros de aplicaciones administradas.
Configuración de APP Data Protection Framework
La siguiente configuración de directiva de protección de aplicaciones debe estar habilitada para las aplicaciones aplicables y asignada a todos los usuarios móviles. Para obtener más información sobre cada configuración de directiva, consulta Configuración de la directiva de protección de aplicaciones de iOS y Configuración de la directiva de protección de aplicaciones de Android.
Microsoft recomienda revisar y categorizar los escenarios de uso y, a continuación, configurar los usuarios mediante las instrucciones prescriptivas para ese nivel. Al igual que con cualquier marco, es posible que sea necesario ajustar la configuración dentro de un nivel correspondiente en función de las necesidades de la organización, ya que la protección de datos debe evaluar el entorno de amenazas, el nivel de riesgo y el impacto en la facilidad de uso.
Los administradores pueden incorporar los siguientes niveles de configuración dentro de su metodología de implementación de anillos para pruebas y uso de producción mediante la importación de las plantillas JSON de ejemplo de Intune App Protection Policy Configuration Framework con scripts de PowerShell de Intune.
Directivas de acceso condicional
Para asegurarse de que solo las aplicaciones compatibles con las directivas de Protección de aplicaciones tienen acceso a datos de cuentas profesionales o educativas, Azure Active Directory directivas de acceso condicional son necesarias. Estas directivas se describen en Requerir directiva de protección de aplicaciones para el acceso a aplicaciones en la nube con acceso condicional.
Consulta Escenario 1: Office 365 las aplicaciones requieren aplicaciones aprobadas con directivas de protección de aplicaciones y Escenario 2: Las aplicaciones de explorador requieren aplicaciones aprobadas con directivas de protección de aplicaciones en Requerir directiva de protección de aplicaciones para el acceso a aplicaciones en la nube con acceso condicional para obtener pasos para implementar las directivas específicas. Por último, implementa los pasos de Bloquear la autenticación heredada para bloquear la autenticación heredada compatible con aplicaciones para iOS y Android.
Nota
Estas directivas aprovechan los controles de concesión Requerir aplicación cliente aprobada y Requerir directiva de protección de aplicaciones.
Aplicaciones que se incluirán en las directivas de Protección de aplicaciones
Para cada directiva de protección de aplicaciones, el Microsoft Apps principal está dirigido, que incluye las siguientes aplicaciones:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- Tareas pendientes
- Word
Las directivas deben incluir otras aplicaciones de Microsoft basadas en las necesidades empresariales, aplicaciones públicas de terceros adicionales que hayan integrado el SDK de Intune usado en la organización, así como aplicaciones de línea de negocio que hayan integrado el SDK de Intune (o que se hayan ajustado).
Protección de datos básica de nivel 1 de empresa
El nivel 1 es la configuración mínima de protección de datos para un dispositivo móvil de empresa. Esta configuración reemplaza la necesidad de directivas básicas de acceso a dispositivos de Exchange Online al requerir un PIN para acceder a datos profesionales o educativos, cifrar los datos de cuentas profesionales o educativas y proporcionar la capacidad de borrar selectivamente los datos de trabajo o escuela. Sin embargo, a diferencia Exchange Online las directivas de acceso a dispositivos, la siguiente configuración de directiva de protección de aplicaciones se aplica a todas las aplicaciones seleccionadas en la directiva, lo que garantiza que el acceso a los datos esté protegido más allá de los escenarios de mensajería móvil.
Las directivas del nivel 1 aplican un nivel de acceso a datos razonable y minimizan el impacto para los usuarios y reflejan la configuración predeterminada de requisitos de acceso y protección de datos al crear una directiva de protección de aplicaciones en Microsoft Endpoint Manager.
Protección de datos
| Configuración | Descripción de configuración | Valor | Plataforma |
|---|---|---|---|
| Transferencia de datos | Copia de seguridad de datos de la organización en... | Permitir | iOS/iPadOS, Android |
| Transferencia de datos | Enviar datos de la organización a otras aplicaciones | Todas las aplicaciones | iOS/iPadOS, Android |
| Transferencia de datos | Recibir datos de otras aplicaciones | Todas las aplicaciones | iOS/iPadOS, Android |
| Transferencia de datos | Restringir cortar, copiar y pegar entre aplicaciones | Cualquier aplicación | iOS/iPadOS, Android |
| Transferencia de datos | Teclados de terceros | Permitir | iOS/iPadOS |
| Transferencia de datos | Teclados aprobados | No es necesario | Android |
| Transferencia de datos | Captura de pantalla y Asistente de Google | Permitir | Android |
| Cifrado | Cifrar datos de la organización | Obligatoria | iOS/iPadOS, Android |
| Cifrado | Cifrar datos de organización en dispositivos inscritos | Obligatoria | Android |
| Funcionalidad | Sincronización de la aplicación con la aplicación de contactos nativos | Permitir | iOS/iPadOS, Android |
| Funcionalidad | Imprimir datos de la organización | Permitir | iOS/iPadOS, Android |
| Funcionalidad | Restringir la transferencia de contenido web con otras aplicaciones | Cualquier aplicación | iOS/iPadOS, Android |
| Funcionalidad | Notificaciones de datos de la organización | Permitir | iOS/iPadOS, Android |
Requisitos de acceso
| Configuración | Valor | Plataforma | Notas |
|---|---|---|---|
| PIN para acceder | Obligatoria | iOS/iPadOS, Android | |
| Tipo de PIN | Numérico | iOS/iPadOS, Android | |
| PIN simple | Permitir | iOS/iPadOS, Android | |
| Seleccionar longitud mínima de PIN | 4 | iOS/iPadOS, Android | |
| Id. táctil en lugar de PIN para acceso (iOS 8+/iPadOS) | Permitir | iOS/iPadOS | |
| Huella digital en lugar de PIN para acceso (Android 6.0+) | Permitir | Android | |
| Invalidar la biometría con PIN después del tiempo de espera | Obligatoria | iOS/iPadOS | |
| Invalidar huella digital con PIN después del tiempo de espera | Obligatoria | Android | |
| Tiempo de espera (minutos de actividad) | 720 | iOS/iPadOS, Android | |
| Id. de rostro en lugar de PIN para acceso (iOS 11+/iPadOS) | Permitir | iOS/iPadOS | |
| Biométrica en lugar de PIN para acceso | Permitir | iOS/iPadOS, Android | |
| Restablecimiento del PIN después de un número de días | No | iOS/iPadOS, Android | |
| Seleccionar el número de valores de PIN anteriores que se deben mantener | 0 | Android | |
| PIN de aplicación cuando está establecido el PIN del dispositivo | Obligatoria | iOS/iPadOS, Android | Si el dispositivo está inscrito en Intune, los administradores pueden considerar la posibilidad de establecer esto en "No necesario" si están aplicando un PIN de dispositivo seguro a través de una directiva de cumplimiento del dispositivo. |
| Credenciales de cuenta profesional o educativa para el acceso | No es necesario | iOS/iPadOS, Android | |
| Volver a comprobar los requisitos de acceso tras (minutos de inactividad) | 30 | iOS/iPadOS, Android |
Lanzamiento condicional
| Configuración | Descripción de configuración | Valor /Acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones de la aplicación | Intentos máximos de PIN | 5 / Restablecer PIN | iOS/iPadOS, Android | |
| Condiciones de la aplicación | Período de gracia sin conexión | 720 / Bloquear el acceso (minutos) | iOS/iPadOS, Android | |
| Condiciones de la aplicación | Período de gracia sin conexión | 90 / Borrar datos (días) | iOS/iPadOS, Android | |
| Condiciones del dispositivo | Dispositivos con jailbreak/root | N/A / Bloquear el acceso | iOS/iPadOS, Android | |
| Condiciones del dispositivo | Atestación de dispositivo SafetyNet | Integridad básica y dispositivos certificados / Bloquear el acceso | Android | Esta configuración configura la Atestación de SafetyNet de Google en dispositivos de usuario final. La integridad básica valida la integridad del dispositivo. Los dispositivos con raíz, emuladores, dispositivos virtuales y dispositivos con signos de manipulación no cumplen la integridad básica. La integridad básica y los dispositivos certificados validan la compatibilidad del dispositivo con los servicios de Google. Solo los dispositivos nomodificados certificados por Google pueden pasar esta comprobación. |
| Condiciones del dispositivo | Requerir examen de amenazas en aplicaciones | N/A / Bloquear el acceso | Android | Esta configuración garantiza que el examen Comprobar aplicaciones de Google está activado para dispositivos de usuario final. Si se configura, se bloqueará el acceso al usuario final hasta que active el examen de la aplicación de Google en su dispositivo Android. |
| Condiciones del dispositivo | Requerir bloqueo de dispositivo | N/A / Bloquear el acceso | Android | Esta configuración garantiza que los dispositivos Android tengan un PIN de dispositivo, una contraseña o un patrón para habilitar un bloqueo de dispositivo. Esta condición no distingue entre las opciones de bloqueo o la complejidad. |
Protección de datos mejorada de nivel 2 para empresas
El nivel 2 es la configuración de protección de datos recomendada como estándar para dispositivos donde los usuarios tienen acceso a información más confidencial. Estos dispositivos son un objetivo natural en las empresas de hoy en día. Estas recomendaciones no suponen un gran personal de profesionales de seguridad altamente cualificados y, por lo tanto, deberían ser accesibles para la mayoría de las organizaciones empresariales. Esta configuración se expande en la configuración del nivel 1 mediante la restricción de escenarios de transferencia de datos y la necesidad de una versión mínima del sistema operativo.
La configuración de directiva aplicada en el nivel 2 incluye todas las configuraciones de directiva recomendadas para el nivel 1, pero solo enumera las opciones siguientes que se han agregado o modificado para implementar más controles y una configuración más sofisticada que el nivel 1. Aunque esta configuración puede tener un impacto ligeramente mayor para los usuarios o las aplicaciones, aplican un nivel de protección de datos más acorde con los riesgos a los que se enfrentan los usuarios con acceso a información confidencial en dispositivos móviles.
Protección de datos
| Configuración | Descripción de configuración | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferencia de datos | Copia de seguridad de datos de la organización en... | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Enviar datos de la organización a otras aplicaciones | Aplicaciones administradas por directivas | iOS/iPadOS, Android | Con iOS/iPadOS, los administradores pueden configurar este valor para que sea "Aplicaciones administradas por directivas", "Aplicaciones administradas por directivas con uso compartido del sistema operativo" o "Aplicaciones administradas por directivas con filtrado de open-in/share". Las aplicaciones administradas por directivas con el uso compartido del sistema operativo están disponibles cuando el dispositivo también está inscrito en Intune. Esta configuración permite la transferencia de datos a otras aplicaciones administradas por directivas, así como transferencias de archivos a otras aplicaciones administradas por Intune. Las aplicaciones administradas por directivas con filtrado de open-in/share filtran los cuadros de diálogo Abrir/compartir del sistema operativo para mostrar solo las aplicaciones administradas por directivas. Para obtener más información, consulta Configuración de la directiva de protección de aplicaciones de iOS. |
| Transferencia de datos | Seleccionar las aplicaciones que quedan exentas | Default / skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; | iOS/iPadOS | |
| Transferencia de datos | Guardar copias de datos de la organización | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir a los usuarios guardar copias en servicios seleccionados | OneDrive para empresas, SharePoint Online | iOS/iPadOS, Android | |
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Cualquier de aplicación de marcador | iOS/iPadOS, Android | |
| Transferencia de datos | Restringir cortar, copiar y pegar entre aplicaciones | Aplicaciones administradas por directivas con pegado | iOS/iPadOS, Android | |
| Transferencia de datos | Captura de pantalla y Asistente de Google | Bloquear | Android | |
| Funcionalidad | Restringir la transferencia de contenido web con otras aplicaciones | Microsoft Edge | iOS/iPadOS, Android | |
| Funcionalidad | Notificaciones de datos de la organización | Bloquear datos de la organización | iOS/iPadOS, Android | Para obtener una lista de aplicaciones compatibles con esta configuración, consulta Configuración de la directiva de protección de aplicaciones de iOS y Configuración de la directiva de protección de aplicaciones de Android. |
Lanzamiento condicional
| Configuración | Descripción de configuración | Valor /Acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones de la aplicación | Cuenta deshabilitada | N/A / Bloquear el acceso | iOS/iPadOS, Android | |
| Condiciones del dispositivo | Versión mínima del sistema operativo | Formato: Major.Minor.Build Ejemplo: 14.8 / Bloquear el acceso |
iOS/iPadOS | Microsoft recomienda configurar la versión principal mínima de iOS para que coincida con las versiones de iOS compatibles para las aplicaciones de Microsoft. Las aplicaciones de Microsoft admiten un enfoque N-1 donde N es la versión de versión principal de iOS actual. Para los valores de versión secundaria y de compilación, Microsoft recomienda asegurarse de que los dispositivos estén actualizados con las actualizaciones de seguridad correspondientes. Consulta Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple |
| Condiciones del dispositivo | Versión mínima del sistema operativo | Formato: Major.Minor Ejemplo: 9.0 / Bloquear el acceso |
Android | Microsoft recomienda configurar la versión principal mínima de Android para que coincida con las versiones compatibles de Android para las aplicaciones de Microsoft. Los OEM y dispositivos que se adhieren a Android Enterprise requisitos recomendados deben admitir la versión de envío actual + una actualización de una carta. Actualmente, Android recomienda Android 9.0 y versiones posteriores para los profesionales que trabajan con datos. Consulta Requisitos Enterprise recomendados de Android para las recomendaciones más recientes de Android |
| Condiciones del dispositivo | Versión de revisión mínima | Formato: YYYY-MM-DD Ejemplo: 2020-01-01 / Bloquear el acceso |
Android | Los dispositivos Android pueden recibir revisiones de seguridad mensuales, pero la versión depende de oem y/o portadores. Las organizaciones deben asegurarse de que los dispositivos Android implementados reciben actualizaciones de seguridad antes de implementar esta configuración. Consulta Boletines de seguridad de Android para obtener las versiones de revisión más recientes. |
| Condiciones del dispositivo | Tipo de evaluación de SafetyNet obligatorio | Clave con copia de seguridad de hardware | Android | La atestación con respaldo de hardware mejora la comprobación del servicio de atestación de SafetyNet existente al aprovechar un nuevo tipo de evaluación denominado Hardware Backed, lo que proporciona una detección de raíz más sólida en respuesta a los tipos más recientes de herramientas y métodos de rooteo que no siempre pueden detectarse de forma confiable mediante una solución de solo software. Como su nombre indica, la atestación con respaldo de hardware aprovecha un componente basado en hardware que se incluye con dispositivos instalados con Android 8.1 y versiones posteriores. Es poco probable que los dispositivos que se actualizaron de una versión anterior de Android a Android 8.1 tengan los componentes basados en hardware necesarios para la atestación con respaldo de hardware. Aunque esta configuración debe ser ampliamente compatible a partir de dispositivos que se suministran con Android 8.1, Microsoft recomienda encarecidamente probar dispositivos individualmente antes de habilitar esta configuración de directiva de forma general. |
Protección de datos de nivel 3 de empresa alta
El nivel 3 es la configuración de protección de datos recomendada como estándar para organizaciones con organizaciones de seguridad grandes y sofisticadas, o para usuarios y grupos específicos que serán dirigidos de forma exclusiva por los adversarios. Estas organizaciones suelen ser dirigidas por adversarios bien financiados y sofisticados, y como tales merecen las restricciones y controles adicionales descritos. Esta configuración se expande en la configuración del nivel 2 mediante la restricción de escenarios de transferencia de datos adicionales, el aumento de la complejidad de la configuración de PIN y la adición de detección de amenazas móviles.
La configuración de directiva aplicada en el nivel 3 incluye todas las configuraciones de directiva recomendadas para el nivel 2, pero solo enumera las opciones siguientes que se han agregado o modificado para implementar más controles y una configuración más sofisticada que el nivel 2. Esta configuración de directiva puede tener un impacto potencialmente significativo para los usuarios o las aplicaciones, lo que obliga a un nivel de seguridad acorde con los riesgos a los que se enfrentan las organizaciones dirigidas.
Protección de datos
| Configuración | Descripción de configuración | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Cualquier aplicación de marcado administrada por directivas | Android | Los administradores también pueden configurar esta configuración para usar una aplicación de marcador que no admita directivas de protección de aplicaciones seleccionando Una aplicación de marcador específica y proporcionando los valores Id. del paquete de aplicación de marcador y Nombre de aplicación de marcador. |
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Una aplicación de marcado específica | iOS/iPadOS | |
| Transferencia de datos | Esquema de la dirección URL de la aplicación de marcador | replace_with_dialer_app_url_scheme | iOS/iPadOS | En iOS/iPadOS, este valor debe reemplazarse por el esquema de dirección URL de la aplicación de marcado personalizada que se usa. Si no se conoce el esquema de dirección URL, póngase en contacto con el desarrollador de la aplicación para obtener más información. Para obtener más información sobre los esquemas de dirección URL, vea Defining a Custom URL Scheme for Your App. |
| Transferencia de datos | Recibir datos de otras aplicaciones | Aplicaciones administradas por directivas | iOS/iPadOS, Android | |
| Transferencia de datos | Abrir datos en documentos de la organización | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir a los usuarios abrir datos de servicios seleccionados | OneDrive para la Empresa, SharePoint | iOS/iPadOS, Android | |
| Transferencia de datos | Teclados de terceros | Bloquear | iOS/iPadOS | En iOS/iPadOS, esto impide que todos los teclados de terceros funcionen dentro de la aplicación. |
| Transferencia de datos | Teclados aprobados | Obligatoria | Android | |
| Transferencia de datos | Seleccionar teclados para aprobar | agregar o quitar teclados | Android | Con Android, los teclados deben seleccionarse para poder usarse en función de los dispositivos Android implementados. |
| Funcionalidad | Imprimir datos de la organización | Bloquear | iOS/iPadOS, Android |
Requisitos de acceso
| Configuración | Valor | Plataforma |
|---|---|---|
| Simple PIN | Bloquear | iOS/iPadOS, Android |
| Seleccionar longitud mínima de PIN | 6 | iOS/iPadOS, Android |
| Restablecimiento del PIN después del número de días | Sí | iOS/iPadOS, Android |
| Número de días | 365 | iOS/iPadOS, Android |
Lanzamiento condicional
| Configuración | Descripción de configuración | Valor /Acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones del dispositivo | Dispositivos con jailbreak o rooting | N/A/Borrar datos | iOS/iPadOS, Android | |
| Condiciones del dispositivo | Nivel máximo de amenazas permitido | Acceso protegido o bloqueado | iOS/iPadOS, Android | Los dispositivos no inscritos se pueden inspeccionar en busca de amenazas mediante Mobile Threat Defense. Para obtener más información, vea Mobile Threat Defense for unenrolled devices. Si el dispositivo está inscrito, se puede omitir esta configuración a favor de implementar Mobile Threat Defense para dispositivos inscritos. Para obtener más información, vea Mobile Threat Defense for enrolled devices. |
| Condiciones del dispositivo | Versión del sistema operativo Max | Formato: Major.Minor Ejemplo: 11.0 / Bloquear el acceso |
Android | Microsoft recomienda configurar la versión principal máxima de Android para garantizar que no se usan las versiones beta o no admitidas del sistema operativo. Consulta Requisitos Enterprise recomendados de Android para las recomendaciones más recientes de Android |
| Condiciones del dispositivo | Versión del sistema operativo Max | Formato: Major.Minor.Build Ejemplo: 15.0 / Bloquear el acceso |
iOS/iPadOS | Microsoft recomienda configurar la versión principal máxima de iOS/iPadOS para garantizar que no se usan versiones beta o no compatibles del sistema operativo. Consulta Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple |
Siguientes pasos
Los administradores pueden incorporar los niveles de configuración anteriores dentro de su metodología de implementación de anillos para pruebas y uso de producción mediante la importación de las plantillas JSON de Ejemplo de Intune App Protection Policy Configuration Framework con scripts de PowerShell de Intune.