Configuración de directivas de protección de aplicaciones de iOSiOS app protection policy settings

En este artículo se describe la configuración de directivas de protección de aplicaciones para dispositivos iOS/iPadOS.This article describes the app protection policy settings for iOS/iPadOS devices. La configuración de directivas que se describe puede realizarse para una directiva de protección de aplicaciones en el panel Configuración del portal al crear una directiva.The policy settings that are described can be configured for an app protection policy on the Settings pane in the portal when you make a new policy.

Hay tres categorías de configuraciones de directiva: Reubicación de datos, Requisitos de acceso e Inicio condicional.There are three categories of policy settings: Data relocation, Access requirements, and Conditional launch. En este artículo, el término aplicaciones administradas por directivas hace referencia a las aplicaciones que están configuradas con directivas de protección de aplicaciones.In this article, the term policy-managed apps refers to apps that are configured with app protection policies.

Importante

Intune Managed Browser se ha retirado.The Intune Managed Browser has been retired. Use Microsoft Edge para la experiencia de explorador de Intune protegida.Use Microsoft Edge for your protected Intune browser experience.

Protección de datosData protection

Transferencia de datosData Transfer

SettingSetting Cómo se usaHow to use Valor predeterminadoDefault value
Hacer copia de seguridad de los datos de la organización en las copias de seguridad de iTunes y iCloudBackup Org data to iTunes and iCloud backups Seleccione Bloquear para impedir que esta aplicación realice una copia de seguridad de los datos profesionales o educativos en iTunes y iCloud.Select Block to prevent this app from backing up work or school data to iTunes and iCloud. Seleccione Permitir para permitir que esta aplicación realice una copia de seguridad de los datos profesionales o educativos en iTunes y iCloud.Select Allow to allow this app to back up of work or school data to iTunes and iCloud. PermitirAllow
Enviar datos de la organización a otras aplicacionesSend Org data to other apps Especifique qué aplicaciones pueden recibir datos de esta aplicación:Specify what apps can receive data from this app:
  • Todas las aplicaciones: permite la transferencia a cualquier aplicación.All apps: Allow transfer to any app. La aplicación de recepción tendrá capacidad para leer y editar los datos.The receiving app will have the ability to read and edit the data.
  • Ninguna: no permite la transferencia de datos a ninguna aplicación, incluidas otras aplicaciones administradas por directivas.None: Do not allow data transfer to any app, including other policy-managed apps. Si el usuario realiza una función "Abrir en" administrada y transfiere un documento, los datos se cifrarán y no se podrán leer.If the user performs a managed open-in function and transfers a document, the data will be encrypted and unreadable.
  • Aplicaciones administradas por directivas: permite las transferencias solo para otras aplicaciones administradas por directivas.Policy managed apps: Allow transfer only to other policy-managed apps.

    Nota: Los usuarios pueden transferir contenido a través de extensiones "Abrir en" o "Compartir" a aplicaciones no administradas en dispositivos no inscritos o dispositivos inscritos que permiten el uso compartido con aplicaciones no administradas. Los datos transferidos se cifran mediante Intune y no se leen en aplicaciones no administradas.Note: Users may be able to transfer content via Open-in or Share extensions to unmanaged apps on unenrolled devices or enrolled devices that allow sharing to unmanaged apps. Transferred data is encrypted by Intune and unreadable by unmanaged apps.

  • Aplicaciones administradas por directivas con uso compartido del SO: permite solo la transferencia de datos a otras aplicaciones administradas por directivas, así como las transferencias de archivos a otras aplicaciones administradas por MDM en los dispositivos inscritos.Policy managed apps with OS sharing: Only allow data transfer to other policy managed apps, as well as file transfers to other MDM managed apps on enrolled devices.

    Nota: La configuración Aplicaciones administradas por directiva con uso compartido del SO solo se aplica a los dispositivos inscritos en MDM. Si esta configuración está dirigida a un usuario en un dispositivo no inscrito, se aplica el comportamiento de la configuración de Aplicaciones administradas por directivas. Los usuarios podrán transferir contenido sin cifrar a cualquier aplicación que permita la configuración allowOpenFromManagedtoUnmanaged de MDM de iOS a través de las extensiones Abrir en o Compartir, suponiendo que la aplicación de origen tenga la opción IntuneMAMUPN configurada. Para obtener más información, vea Administración de transferencias de datos entre aplicaciones iOS en Microsoft Intune. Vea https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf para obtener más información sobre el efecto de esta configuración MDM de iOS/iPadOS.Note: The Policy managed apps with OS sharing value is applicable to MDM enrolled devices only. If this setting is targeted to a user on an unenrolled device, the behavior of the Policy managed apps value applies. Users will be able to transfer unencrypted content via Open-in or Share extensions to any application allowed by the iOS MDM allowOpenFromManagedtoUnmanaged setting, assuming the sending app has the IntuneMAMUPN configured; for more information, see How to manage data transfer between iOS apps in Microsoft Intune. See https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf for more information on this iOS/iPadOS MDM setting.

  • Filtrado de aplicaciones administradas por directivas con Abrir en/Compartir: permite únicamente la transferencia a otras aplicaciones administradas con directivas y filtra los cuadros de diálogo Abrir en/Compartir del sistema operativo para mostrar solo dichas aplicaciones.Policy managed apps with Open-In/Share filtering: Allow transfer only to other policy managed apps, and filter OS Open-in/Share dialogs to only display policy managed apps. Para configurar el filtrado del cuadro de diálogo Abrir en/Compartir, es necesario que tanto las aplicaciones que actúan como origen del archivo o documento como las que pueden abrir este archivo o documento tengan el SDK de Intune para iOS, versión 8.1.1 o posterior.To configure the filtering of the Open-In/Share dialog, it requires both the app(s) acting as the file/document source and the app(s) that can open this file/document to have the Intune SDK for iOS version 8.1.1 or above.

    Nota: Es posible que los usuarios puedan transferir contenido a través de extensiones "Abrir en" o "Compartir" a aplicaciones no administradas si la aplicación admite el tipo de datos privados de Intune. Los datos transferidos se cifran mediante Intune y no se leen en aplicaciones no administradas.Note: Users may be able to transfer content via Open-in or Share extensions to unmanaged apps if Intune private data type are supported by the app. Transferred data is encrypted by Intune and unreadable by unmanaged apps.


Además, cuando se establece en Aplicaciones administradas por directivas o Ninguno, las características de iOS búsqueda de Spotlight (permite buscar datos dentro de las aplicaciones) y los accesos directos a Siri se bloquean.In addition, when set to Policy managed apps or None, the Spotlight search (enables searching data within apps) and Siri shortcuts iOS features are blocked.

Esta directiva también se puede aplicar a los vínculos universales de iOS/iPadOS.This policy can also apply to iOS/iPadOS Universal Links. Los vínculos web generales se administran mediante la configuración de directiva Abrir vínculos a aplicaciones en Intune Managed Browser.General web links are managed by the Open app links in Intune Managed Browser policy setting.

Hay aplicaciones y servicios exentos a los que Intune puede permitir la transferencia de datos de forma predeterminada.There are some exempt apps and services to which Intune may allow data transfer by default. Además, puede crear sus propias excepciones si necesita permitir que los datos se transfieran a una aplicación que no admita las directivas de protección de aplicaciones de Intune.In addition, you can create your own exemptions if you need to allow data to transfer to an app that doesn't support Intune APP. Vea Exenciones de transferencia de datos para obtener más información.See data transfer exemptions for more information.

Todas las aplicacionesAll apps
    Seleccionar las aplicaciones que quedan exentasSelect apps to exempt
Esta opción está disponible si selecciona Aplicaciones administradas por directivas en la opción anterior.This option is available when you select Policy managed apps for the previous option.
    Guardar copias de los datos de la organizaciónSave copies of org data
Elija Bloquear para deshabilitar el uso de la opción Guardar como en esta aplicación.Choose Block to disable the use of the Save As option in this app. Elija Permitir si quiere permitir el uso de Guardar como.Choose Allow if you want to allow the use of Save As. Cuando se establece en Bloquear, puede configurar la opción Permitir al usuario guardar copias en los servicios seleccionados.When set to Block, you can configure the setting Allow user to save copies to selected services.

Nota:Note:
  • Esta opción es compatible con Microsoft Excel, OneNote, Outlook, PowerPoint y Word. También puede admitirse en aplicaciones de LOB y de terceros.This setting is supported for Microsoft Excel, OneNote, Outlook, PowerPoint, and Word. It can also be supported by third-party and LOB apps.
  • Esta configuración solo se puede configurar cuando la opción Enviar datos de la organización a otras aplicaciones está establecida en Aplicaciones administradas por directivas, Aplicaciones administradas por directiva con uso compartido del SO o Filtrado de aplicaciones administradas por directivas con Abrir en/Compartir.This setting is only configurable when the setting Send org data to other apps is set to Policy managed apps, Policy managed apps with OS sharing or Policy managed apps with Open-In/Share filtering.
  • El valor de esta configuración será "Permitir" cuando la opción Enviar datos de la organización a otras aplicaciones esté establecida en Todas las aplicaciones.This setting will be "Allow" when the setting Send org data to other apps is set to All apps.
  • El valor de esta configuración será "Bloquear", sin ubicaciones del servicio permitidas, cuando la opción Enviar datos de la organización a otras aplicaciones esté establecida en Ninguna.This setting will be "Block" with no allowed service locations when the setting Send org data to other apps is set to None.
PermitirAllow
      Permitir al usuario guardar copias en los servicios seleccionadosAllow user to save copies to selected services
Los usuarios pueden guardar en los servicios seleccionados (OneDrive para la Empresa, SharePoint y el almacenamiento local).Users can save to the selected services (OneDrive for Business, SharePoint, and Local Storage). El resto de servicios se bloquean.All other services are blocked. OneDrive para la Empresa: se pueden guardar archivos en OneDrive para la Empresa y SharePoint Online.OneDrive for Business: you can save files to OneDrive for Business and SharePoint Online. SharePoint: se pueden guardar archivos en el SharePoint local.SharePoint: you can save files to on-premises SharePoint. Almacenamiento local: se pueden guardar archivos en el almacenamiento local.Local Storage: you can save files to local storage. 0 seleccionados0 selected
    Transfer telecommunications data to (Transferir datos de telecomunicaciones a)Transfer telecommunication data to
Normalmente, cuando un usuario selecciona un número de teléfono hipervinculado en una aplicación, se abre una aplicación de marcador con el número de teléfono previamente rellenado y lista para llamar.Typically, when a user selects a hyperlinked phone number in an app, a dialer app will open with the phone number prepopulated and ready to call. Para esta configuración, elija cómo tratar este tipo de transferencia de contenido cuando se inicia desde una aplicación administrada por directivas.For this setting, choose how to handle this type of content transfer when it is initiated from a policy-managed app:
  • None, do not transfer this data between apps (No transferir estos datos entre las aplicaciones): no se transfieren datos de comunicación cuando se detecte un número de teléfono.None, do not transfer this data between apps: Do not transfer communication data when a phone number is detected.
  • A specific dialer app (Una aplicación de marcador específica): permite que una aplicación de marcador específica inicie contacto cuando se detecte un número de teléfono.A specific dialer app: Allow a specific dialer app to initiate contact when a phone number is detected.
  • Any dialer app (Cualquier aplicación de marcador): permite usar una aplicación de marcador para iniciar contacto cuando se detecte un número de teléfono.Any dialer app: Allow any dialer app to be used to initiate contact when a phone number is detected.

Nota: Para esta configuración es necesario el SDK 12.7.0 de Intune y versiones posteriores. Si las aplicaciones se basan en la funcionalidad de marcador y no usan la versión correcta del SDK de Intune, como solución alternativa, considere la posibilidad de agregar "tel;telprompt" como exención de transferencia de datos. Una vez que las aplicaciones admitan la versión correcta del SDK de Intune, se podrá quitar la exención.Note: This setting requires Intune SDK 12.7.0 and later. If your apps rely on dialer functionality and are not using the correct Intune SDK version, as a workaround, consider adding "tel;telprompt" as a data transfer exemption. Once the apps support the correct Intune SDK version, the exemption can be removed.

Any dialer app (Cualquier aplicación de marcador)Any dialer app
      Esquema de la dirección URL de la aplicación de marcadorDialer App URL Scheme
Cuando se ha seleccionado una aplicación de marcador específica, debe proporcionar el esquema de la dirección URL de la aplicación de marcador que se usa para iniciar dicha aplicación en dispositivos iOS.When a specific dialer app has been selected, you must provide the dialer app URL scheme that is used to launch the dialer app on iOS devices. Para obtener más información, vea la documentación de Apple sobre Vínculos de teléfonos.For more information, see Apple's documentation about Phone Links. En blancoBlank
Recibir datos de otras aplicacionesReceive data from other apps Especifique qué aplicaciones pueden transferir datos a esta aplicación:Specify what apps can transfer data to this app:
  • Todas las aplicaciones: permite la transferencia de datos desde cualquier aplicación.All apps: Allow data transfer from any app.
  • Ninguna: no permite la transferencia de datos desde ninguna aplicación, incluidas otras aplicaciones administradas por directivas.None: Do not allow data transfer from any app, including other policy-managed apps.
  • Aplicaciones administradas por directivas: permite las transferencias solo desde otras aplicaciones administradas por directivas.Policy managed apps: Allow transfer only from other policy-managed apps.
  • Todas las aplicaciones con datos entrantes de la organización: permite la transferencia de datos desde cualquier aplicación.All apps with incoming Org data: Allow data transfer from any app. Se tratan todos los datos entrantes sin una identidad de usuario como datos de su organización.Treat all incoming data without a user identity as data from your organization. Los datos se marcarán con la identidad del usuario inscrito en MDM como se define en la configuración IntuneMAMUPN.The data will be marked with the MDM enrolled user's identity as defined by the IntuneMAMUPN setting.

    Nota: La configuración Todas las aplicaciones con datos entrantes de la organización solo se aplica a los dispositivos inscritos en MDM. Si esta configuración está dirigida a un usuario en un dispositivo no inscrito, se aplica el comportamiento del valor Cualquier aplicación.Note: The All apps with incoming Org data value is applicable to MDM enrolled devices only. If this setting is targeted to a user on an unenrolled device, the behavior of the Any apps value applies.

Si esta opción está configurada en Ninguna o en Aplicaciones administradas por directivas, las aplicaciones habilitadas para MAM con varias identidades intentarán cambiar a una cuenta no administrada al recibir datos no administrados.Multi-identity MAM enabled applications will attempt to switch to an unmanaged account when receiving unmanaged data if this setting is configured to None or Policy managed apps. Si ninguna cuenta no administrada ha iniciado sesión en la aplicación o si la aplicación no puede realizar el cambio, los datos entrantes se bloquearán.If there is no unmanaged account signed into the app or the app is unable to switch, the incoming data will be blocked.

Todas las aplicacionesAll apps
    Abrir datos en documentos de la organizaciónOpen data into Org documents
Seleccione Bloquear para deshabilitar el uso de la opción Abrir u otras opciones para compartir datos entre cuentas de esta aplicación.Select Block to disable the use of the Open option or other options to share data between accounts in this app. Seleccione Permitir si quiere permitir el uso de Abrir.Select Allow if you want to allow the use of Open.

Cuando se establece en Bloquear, puede configurar el valor Permitir a los usuarios abrir datos de los servicios seleccionados a fin de especificar los servicios permitidos para las ubicaciones de datos de la organización.When set to Block you can configure the Allow user to open data from selected services to specific which services are allowed for Org data locations.

Nota:Note:
  • Esta configuración solo se puede configurar cuando la opción Recibir datos de otras aplicaciones está establecida en Aplicaciones administradas por directivas.This setting is only configurable when the setting Receive data from other apps is set to Policy managed apps.
  • El valor de esta configuración será "Permitir" cuando la opción Recibir datos de otras aplicaciones esté establecida en Todas las aplicaciones o Todas las aplicaciones con datos entrantes de la organización.This setting will be "Allow" when the setting Receive data from other apps is set to All apps or All apps with incoming Org data.
  • El valor de esta configuración será "Bloquear", sin ubicaciones del servicio permitidas, cuando la opción Recibir datos de otras aplicaciones esté establecida en Ninguna.This setting will be "Block" with no allowed service locations when the setting Receive data from other apps is set to None.
  • Las aplicaciones siguientes admiten esta configuración:The following apps support this setting:
    • OneDrive 11.45.3 o versiones posterioresOneDrive 11.45.3 or later.
    • Outlook para iOS 4.60.0 o versiones posterioresOutlook for iOS 4.60.0 or later.
PermitirAllow
      Permitir a los usuarios abrir datos de servicios seleccionadosAllow users to open data from selected services
Seleccione los servicios de almacenamiento de aplicaciones desde los que los usuarios pueden abrir datos.Select the application storage services that users can open data from. El resto de servicios se bloquean.All other services are blocked. Si no se selecciona ningún servicio, se impedirá que los usuarios abran datos desde ubicaciones externas.Selecting no services will prevent users from opening data from external locations.

Servicios compatibles:Supported services:
  • OneDrive para la EmpresaOneDrive for Business
  • SharePoint OnlineSharePoint Online
  • CámaraCamera
Todos los seleccionadosAll selected
Restringir cortar, copiar y pegar entre otras aplicacionesRestrict cut, copy and paste between other apps Especifique cuándo pueden usarse las acciones de cortar, copiar y pegar con esta aplicación.Specify when cut, copy, and paste actions can be used with this app. Seleccione:Select from:
  • Bloqueado: no permite las acciones de cortar, copiar y pegar entre esta aplicación y cualquier otra.Blocked: Don't allow cut, copy, and paste actions between this app and any other app.
  • Aplicaciones administradas por directivas: permite las acciones de cortar, copiar y pegar entre esta aplicación y otras aplicaciones administradas por directivas.Policy managed apps: Allow cut, copy, and paste actions between this app and other policy-managed apps.
  • Aplicaciones administradas por directivas con pegar: permite cortar o copiar entre esta aplicación y otras aplicaciones administradas por directivas.Policy managed with paste in: Allow cut or copy between this app and other policy-managed apps. Permite que los datos de cualquier aplicación se peguen en esta aplicación.Allow data from any app to be pasted into this app.
  • Cualquier aplicación: no se aplican restricciones a las acciones de cortar, copiar y pegar en esta aplicación y desde ella.Any app: No restrictions for cut, copy, and paste to and from this app.
Cualquier aplicaciónAny app
    Límite de caracteres para cortar y copiar en cualquier aplicaciónCut and copy character limit for any app
Especifique el número de caracteres que se pueden cortar o copiar de las cuentas y los datos de la organización.Specify the number of characters that may be cut or copied from Org data and accounts. Esto permitirá compartir el número especificado de caracteres en cualquier aplicación, independientemente de la opción Restringir cortar, copiar y pegar con otras aplicaciones.This will allow sharing of the specified number of characters to any application, regardless of the Restrict cut, copy, and paste with other apps setting.

Valor predeterminado = 0Default Value = 0

Nota: Exige que la aplicación tenga la versión 9.0.14 del SDK de Intune o una versión posterior.Note: Requires app to have Intune SDK version 9.0.14 or later.

00
Teclados de tercerosThird party keyboards Elija Bloquear para impedir el uso de teclados de terceros en las aplicaciones administradas.Choose Block to prevent the use of third-party keyboards in managed applications.

Cuando esta opción está habilitada, el usuario recibe un mensaje de un solo uso en el que se indica que se bloquea el uso de teclados de terceros.When this setting is enabled, the user receives a one-time message stating that the use of third-party keyboards is blocked. Este mensaje aparece la primera vez que un usuario interactúa con datos de la organización que requieren el uso de un teclado.This message appears the first time a user interacts with organizational data that requires the use of a keyboard. Cuando se usan aplicaciones administradas, solo está disponible el teclado estándar de iOS/iPadOS, y se deshabilitan todas las demás opciones de teclado.Only the standard iOS/iPadOS keyboard is available while using managed applications, and all other keyboard options are disabled. Esta configuración afectará a las cuentas personales y de la organización de las aplicaciones de varias identidades.This setting will affect both the organization and personal accounts of multi-identity applications. Esta opción no afecta al uso de teclados de terceros en las aplicaciones no administradas.This setting does not affect the use of third-party keyboards in unmanaged applications.

Nota: Esta característica requiere que la aplicación use la versión 12.0.16 o posterior del SDK de Intune.Note: This feature requires the app to use Intune SDK version 12.0.16 or later. Las aplicaciones con versiones del SDK de la 8.0.14 a la 12.0.15 (inclusive), no tendrán esta característica aplicada correctamente en aplicaciones de varias identidades.Apps with SDK versions from 8.0.14 to, and including, 12.0.15, will not have this feature correctly apply for multi-identity apps. Para más información, consulte Problema conocido: Los teclados de terceros no se bloquean en iOS/iPadOS para cuentas personales.For more details, see Known issue: Third party keyboards are not blocked in iOS/iPadOS for personal accounts.

PermitirAllow

CifradoEncryption

SettingSetting Cómo se usaHow to use Valor predeterminadoDefault value
Cifrar datos de la organizaciónEncrypt Org data Elija Requerir para permitir el cifrado de los datos profesionales o educativos en esta aplicación.Choose Require to enable encryption of work or school data in this app. Intune exige el cifrado de nivel de dispositivo iOS/iPadOS para proteger los datos de aplicación mientras el dispositivo está bloqueado.Intune enforces iOS/iPadOS device-level encryption to protect app data while the device is locked. Además, las aplicaciones pueden cifrar los datos de aplicación mediante el cifrado de Intune APP SDK.In addition, applications may optionally encrypt app data using Intune APP SDK encryption. Intune APP SDK usa métodos criptográficos de iOS/iPadOS para aplicar el cifrado AES de 256 bits a los datos de aplicación.Intune APP SDK uses iOS/iPadOS cryptography methods to apply 256-bit AES encryption to app data.

Al habilitar esta configuración, puede que se solicite al usuario que configure y use un PIN de dispositivo para acceder a su dispositivo.When you enable this setting, the user may be required to set up and use a device PIN to access their device. Si no hay ningún PIN de dispositivo y se requiere cifrado, se pide al usuario que configure un PIN con un mensaje que dice que la organización ha solicitado que primero habilite un PIN de dispositivo para acceder a esta aplicación.If there's no device PIN and encryption is required, the user is prompted to set a PIN with the message "Your organization has required you to first enable a device PIN to access this app."

Vaya a la documentación oficial de Apple para ver qué módulos de cifrado de iOS/iPadOS tienen validación de FIPS 140-2.Go to the official Apple documentation to see which iOS/iPadOS encryption modules are FIPS 140-2 validated.
RequerirRequire

FuncionalidadFunctionality

SettingSetting Cómo se usaHow to use Valor predeterminadoDefault value
Sincronización de datos de aplicaciones administradas por directivas con aplicaciones nativasSync policy managed app data with native apps Seleccione Bloquear para impedir que las aplicaciones administradas por directivas guarden datos en las aplicaciones nativas Contactos y Calendario del dispositivo.Choose Block to prevent the policy managed apps from saving data to the native Contacts and Calendar apps on the device. Si elige Permitir, la aplicación puede guardar datos en las aplicaciones nativas Contactos y Calendario del dispositivo, cuando esas características están habilitadas en la aplicación administrada por directivas.If you choose Allow, the app can save data to the native Contacts and Calendar apps on the device, when those features are enabled within the policy managed app.

Cuando realiza un borrado selectivo para quitar datos profesionales o educativos de la aplicación, se quitan los contactos y datos de calendario sincronizados directamente desde la aplicación con las aplicaciones nativas Contactos y Calendario.When you perform a selective wipe to remove work, or school data from the app, contacts and calendar data synced directly from the app to the native Contacts and Calendar apps are removed. No se pueden borrar los contactos o datos de calendario sincronizados desde las aplicaciones Calendario o Contactos nativas con otro origen externo.Any contacts or calendar data synced from the native Contacts or Calendar apps to another external source can't be wiped. En la actualidad, esto solo se aplica a la aplicación de Outlook para iOS y Android; para obtener más información, vea Implementación de las opciones de configuración de la aplicación de Outlook para iOS y Android.Currently, this applies only to Outlook for iOS and Android app; for more information, see Deploying Outlook for iOS and Android app configuration settings.
PermitirAllow
Impresión de datos de la organizaciónPrinting Org data Selecciona Bloquear para impedir que la aplicación imprima datos profesionales o educativos.Select Block to prevent the app from printing work or school data. Si dejas esta configuración establecida en Permitir, que es el valor predeterminado, los usuarios podrán exportar e imprimir todos los datos de la organización.If you leave this setting to Allow, the default value, users will be able to export and print all Org data. PermitirAllow
Restringir la transferencia de contenido web con otras aplicacionesRestrict web content transfer with other apps Especifique cómo se debe abrir el contenido web (vínculos http/https) en las aplicaciones administradas por directivas.Specify how web content (http/https links) are opened from policy-managed applications. Elija de entre las siguientes opciones:Choose from:
  • Cualquier aplicación: permite los vínculos web en cualquier aplicación.Any app: Allow web links in any app.
  • Intune Managed Browser: permite que el contenido web solo se abra en Intune Managed Browser.Intune Managed Browser: Allow web content to open only in the Intune Managed Browser. Este explorador está administrado por directivas.This browser is a policy-managed browser.
  • Microsoft Edge: permite que el contenido web solo se abra en Microsoft Edge.Microsoft Edge: Allow web content to open only in the Microsoft Edge. Este explorador está administrado por directivas.This browser is a policy-managed browser.
  • Explorador no administrado: permite que el contenido web se abra solo en el explorador no administrado definido por la configuración de identificador de explorador no administrado.Unmanaged browser: Allow web content to open only in the unmanaged browser defined by Unmanaged browser protocol setting. No se administrará el contenido web en el explorador de destino.The web content will be unmanaged in the target browser.
    Nota: Exige que la aplicación tenga la versión 11.0.9 del SDK de Intune o una versión posterior.Note: Requires app to have Intune SDK version 11.0.9 or later.
Si usa Intune para administrar los dispositivos, vea Administración del acceso a Internet mediante un explorador protegido por directivas de Microsoft Intune.If you're using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.

Si se necesita un explorador administrado por directivas pero no está instalado, se pedirá a los usuarios finales que instalen Microsoft Edge.If a policy-managed browser is required but not installed, your end users will be prompted to install the Microsoft Edge.

Si se necesita un explorador administrado por directivas, los vínculos universales de iOS/iPadOS se administran con la opción de directiva Permitir a la aplicación transferir datos a otras aplicaciones.If a policy-managed browser is required, iOS/iPadOS Universal Links are managed by the Allow app to transfer data to other apps policy setting.

Inscripción de dispositivos de IntuneIntune device enrollment
Si usa Intune para administrar sus dispositivos, consulte Administrar el acceso a Internet mediante directivas de explorador administrado con Microsoft Intune.If you are using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.

Microsoft Edge administrado por directivasPolicy-managed Microsoft Edge
El explorador Microsoft Edge para dispositivos móviles (iOS/iPadOS y Android) admite las directivas de protección de aplicaciones de Intune.The Microsoft Edge browser for mobile devices (iOS/iPadOS and Android) supports Intune app protection policies. Los usuarios que inicien sesión con sus cuentas corporativas de Azure AD en la aplicación del explorador Microsoft Edge estarán protegidos por Intune.Users who sign in with their corporate Azure AD accounts in the Microsoft Edge browser application will be protected by Intune. El explorador Microsoft Edge integra el SDK de Intune y admite todas sus directivas de protección de datos, con la excepción de evitar:The Microsoft Edge browser integrates the Intune SDK and supports all of its data protection policies, with the exception of preventing:

  • Guardar como: el explorador Microsoft Edge no permite que los usuarios agreguen conexiones directas en la aplicación a los proveedores de almacenamiento en nube (como, por ejemplo, OneDrive).Save-as: The Microsoft Edge browser does not allow a user to add direct, in-app connections to cloud storage providers (such as OneDrive).
  • Sincronización de contactos: el explorador Microsoft Edge no guarda datos en las listas de contactos nativos.Contact sync: The Microsoft Edge browser does not save to native contact lists.

Nota:El SDK de Intune no puede determinar si una aplicación de destino es un explorador. En los dispositivos iOS/iPadOS no se permiten otras aplicaciones de explorador administrado.Note:The Intune SDK cannot determine if a target app is a browser. On iOS/iPadOS devices, no other managed browser apps are allowed.
No configurado.Not configured
    Protocolo del explorador no administradoUnmanaged Browser Protocol
Escriba el protocolo para un único explorador no administrado.Enter the protocol for a single unmanaged browser. El contenido web (vínculos http o https) de las aplicaciones administradas por directivas se abrirá en cualquier aplicación que admita este protocolo.Web content (http/https links) from policy managed applications will open in any app that supports this protocol. No se administrará el contenido web en el explorador de destino.The web content will be unmanaged in the target browser.

Esta característica solo debe usarse si desea compartir contenido protegido con un explorador específico que no habilita el uso de directivas de protección de aplicaciones de Intune.This feature should only be used if you want to share protected content with a specific browser that is not enabled using Intune app protection policies. Debe ponerse en contacto con el proveedor del explorador para determinar el protocolo compatible con el explorador deseado.You must contact your browser vendor to determine the protocol supported by your desired browser.

Nota: Incluye solo el prefijo de protocolo. Si el explorador requiere vínculos con el formato mybrowser://www.microsoft.com, escriba mybrowser.Note: Include only the protocol prefix. If your browser requires links of the form mybrowser://www.microsoft.com, enter mybrowser.
Los vínculos se traducirán como:Links will be translated as:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
En blancoBlank
Notificaciones de datos de la organizaciónOrg data notifications Especifica cómo se comparten los datos de la organización a través de las notificaciones del sistema operativo de las cuentas de organización.Specify how Org data is shared via OS notifications for Org accounts. Esta configuración de directiva afectará al dispositivo local y a todos los dispositivos conectados, como ponibles y altavoces inteligentes.This policy setting will impact the local device and any connected devices such as wearables and smart speakers. Las aplicaciones pueden proporcionar controles adicionales para personalizar el comportamiento de las notificaciones o pueden optar por no respetar todos los valores.Apps may provide additional controls to customize notification behavior or may choose to not honor all values. Seleccione:Select from:
  • Bloqueado: no se comparten las notificaciones.Blocked: Do not share notifications.
    • Si la aplicación no lo admite, se permiten las notificaciones.If not supported by the application, notifications will be allowed.
  • Bloquear datos de la organización: no se comparten datos de la organización en las notificaciones, por ejemplo:Block org Data: Do not share Org data in notifications, for example.
    • "Tiene correo nuevo"; "Tiene una reunión"."You have new mail"; "You have a meeting".
    • Si la aplicación no admite esta opción, se bloquearán las notificaciones.If not supported by the application, notifications will be blocked.
  • Permitir: se comparten los datos de la organización en las notificaciones.Allow: Shares Org data in the notifications.

Nota: Esta configuración requiere que la aplicación sea compatible:

  • Outlook para iOS 4.34.0 o versiones posteriores
  • Teams para iOS 2.0.22 o versiones posteriores.Note: This setting requires app support:
    • Outlook for iOS 4.34.0 or later
    • Teams for iOS 2.0.22 or later.
PermitirAllow

Nota

Ninguna de las opciones de configuración de protección de datos controla la característica de administración abierta de Apple (Apple Managed Open In) en dispositivos iOS/iPadOS.None of the data protection settings control the Apple managed open-in feature on iOS/iPadOS devices. Para usar la administración abierta de Apple, vea Administración de la transferencia de datos entre aplicaciones iOS/iPadOS con Microsoft Intune.To use manage Apple open-in, see Manage data transfer between iOS/iPadOS apps with Microsoft Intune.

Exenciones de transferencia de datosData transfer exemptions

La directiva de protección de aplicaciones de Intune puede permitir la transferencia de datos desde y hacia algunas aplicaciones y servicios de plataforma en determinados escenarios.There are some exempt apps and platform services that Intune app protection policy may allow data transfer to and from in certain scenarios. Esta lista está sujeta a cambios y refleja los servicios y las aplicaciones que se consideran útiles para una productividad segura.This list is subject to change and reflects the services and apps considered useful for secure productivity.

Se pueden agregar aplicaciones no administradas de terceros a la lista de exenciones, lo que puede permitir excepciones de transferencia de datos.Third party unmanaged apps can be added to the exemptions list which can allow data transfer exceptions. Para obtener más información y ejemplos, vea el artículo Creación de excepciones a la directiva de transferencia de datos de la directiva de Intune App Protection (APP).For additional details and examples, see How to create exceptions to the Intune App Protection Policy (APP) data transfer policy. La aplicación no administrada exenta se debe invocar según el protocolo URL de iOS.The exempt unmanaged app must be invoked based on iOS URL protocol. Por ejemplo, cuando se agrega una exención de transferencia de datos para una aplicación no administrada, se sigue impidiendo que los usuarios realicen operaciones de cortado, copiado y pegado, si la directiva restringe estas operaciones.For example, when data transfer exemption is added for an unmanaged app, it would still prevent users from cut, copy, and paste operations, if restricted by policy. Este tipo de exención también impedirá que los usuarios realicen la acción Abrir en en una aplicación administrada para copiar datos en la aplicación exenta, ya que no se basa en el protocolo URL de iOS.This type of exemption would also prevent users from using Open-in action within a managed app to copy data to exempt app since it is not based on iOS URL protocol. Para obtener más información sobre la acción Abrir en, consulte el artículo Uso de la protección de aplicaciones con aplicaciones iOS.For more information about Open-in, see Use app protection with iOS apps.

Nombres de aplicación/servicioApp/service name(s) DescripciónDescription
skype SkypeSkype
app-settings Configuración del dispositivoDevice settings
itms; itmss; itms-apps; itms-appss; itms-services Tienda de aplicacionesApp Store
calshow Calendario nativoNative Calendar

Importante

Las directivas de protección de aplicaciones creadas antes del 15 de junio de 2020 incluyen el esquema de dirección URL tel y telprompt como parte de las exenciones de transferencia de datos predeterminadas.App Protection policies created before June 15, 2020 include tel and telprompt URL scheme as part of the default data transfer exemptions. Estos esquemas de dirección URL permiten a las aplicaciones administradas iniciar el marcador.These URL schemes allow managed apps to initiate the dialer. Esta funcionalidad se ha reemplazado por la opción Transferir datos de telecomunicaciones a de la directiva de protección de aplicaciones.The App Protection policy setting Transfer telecommunication data to has replaced this functionality. Los administradores deben quitar tel;telprompt; de las exenciones de transferencia de datos y basarse en la configuración de la directiva de protección de aplicaciones, siempre que las aplicaciones administradas que inicien la funcionalidad de marcador incluyan el SDK 12.7.0 de Intune o una versión posterior.Administrators should remove tel;telprompt; from the data transfer exemptions and rely on the App Protection policy setting, provided the managed apps that initiate dialer functionality include the Intune SDK 12.7.0 or later.

Requisitos de accesoAccess requirements

SettingSetting Cómo se usaHow to use Valor predeterminadoDefault value
PIN para accederPIN for access Seleccione Requerir para exigir un PIN para usar esta aplicación.Select Require to require a PIN to use this app. Se pedirá al usuario que configure este PIN la primera vez que ejecute la aplicación en un contexto profesional o educativo.The user is prompted to set up this PIN the first time they run the app in a work or school context. El PIN se aplica al trabajar con y sin conexión.The PIN is applied when working either online or offline.

Puede configurar la seguridad del PIN con la configuración disponible en la sección PIN para acceder.You can configure the PIN strength using the settings available under the PIN for access section.
RequerirRequire
    Tipo de PIN PIN type
establezca un requisito de PIN numérico o de tipo contraseña antes de acceder a una aplicación en la que se empleen directivas de protección de aplicaciones.Set a requirement for either numeric or passcode type PINs before accessing an app that has app protection policies applied. Los requisitos numéricos solo implican números, mientras que una contraseña se puede definir con al menos 1 letra o 1 carácter especial.Numeric requirements involve only numbers, while a passcode can be defined with at least 1 alphabetical letter or at least 1 special character.

Nota: Para configurar el tipo de código de acceso, es necesario que la aplicación tenga la versión 7.1.12 del SDK de Intune o una versión posterior. El tipo numérico no tiene ninguna restricción de versión para el SDK de Intune. Entre los caracteres especiales permitidos se incluyen los caracteres especiales y los símbolos del teclado en inglés de iOS/iPadOS.Note: To configure passcode type, it requires app to have Intune SDK version 7.1.12 or above. Numeric type has no Intune SDK version restriction. Special characters allowed include the special characters and symbols on the iOS/iPadOS English language keyboard.
NuméricoNumeric
    PIN simple Simple PIN
Seleccione Permitir para permitir que los usuarios usen secuencias de PIN simples como 1234, 1111, abcd o aaaa.Select Allow to allow users to use simple PIN sequences like 1234, 1111, abcd or aaaa. Seleccione Bloquear para impedir que usen secuencias simples.Select Block to prevent them from using simple sequences. Las secuencias simples se comprueban en ventanas deslizantes de tres caracteres.Simple sequences are checked in 3 character sliding windows. Si Bloquear está configurado, 1235 o 1112 no se aceptarán como PIN establecido por el usuario final, pero se permitirá 1122.If Block is configured, 1235 or 1112 would not be accepted as PIN set by the end user, but 1122 would be allowed.

Nota: Si se configura un PIN de tipo contraseña y la opción Permitir el PIN simple está establecida en Sí, el usuario necesitará como mínimo una letra o un carácter especial en su PIN. Si se configura un PIN de tipo contraseña y la opción Permitir el PIN simple está establecida en No, el usuario necesitará como mínimo un número y una letra, y al menos un carácter especial en su PIN.Note: If Passcode type PIN is configured, and Allow simple PIN is set to Yes, the user needs at least 1 letter or at least 1 special character in their PIN. If Passcode type PIN is configured, and Allow simple PIN is set to No, the user needs at least 1 number and 1 letter and at least 1 special character in their PIN.
PermitirAllow
    Seleccionar la longitud mínima del PIN Select minimum PIN length
especifique el número mínimo de dígitos en una secuencia de PIN.Specify the minimum number of digits in a PIN sequence. 44
    Touch ID en lugar de PIN para el acceso (iOS 8+) Touch ID instead of PIN for access (iOS 8+)
Seleccione Permitir para permitir que el usuario use Touch ID en lugar de un PIN para acceder a la aplicación.Select Allow to allow the user to use Touch ID instead of a PIN for app access. PermitirAllow
      Invalidar Touch ID con un PIN después del tiempo de esperaOverride Touch ID with PIN after timeout
Para usar esta configuración, seleccione Requerir y, después, configure un tiempo de expiración de inactividad.To use this setting, select Require and then configure an inactivity timeout. RequerirRequire
        Tiempo de espera (minutos de inactividad) Timeout (minutes of inactivity)
Especifique un tiempo en minutos transcurrido el cual un código de acceso o un PIN numérico (como se configuró) invalidarán el uso de una huella digital o de la cara como método de acceso.Specify a time in minutes after which either a passcode or numeric (as configured) PIN will override the use of a fingerprint or face as method of access. Este valor de tiempo de espera debe ser mayor que el valor especificado en "Volver a comprobar los requisitos de acceso tras (minutos de inactividad)".This timeout value should be greater than the value specified under 'Recheck the access requirements after (minutes of inactivity)'. 3030
      Face ID en lugar de PIN para el acceso (iOS 11+)Face ID instead of PIN for access (iOS 11+)
Seleccione Permitir para permitir que el usuario use la tecnología de reconocimiento facial para autenticar a los usuarios en dispositivos iOS/iPadOS.Select Allow to allow the user to use facial recognition technology to authenticate users on iOS/iPadOS devices. Si se permite, debe usarse Face ID para acceder a la aplicación en un dispositivo compatible con Face ID.If allowed, Face ID must be used to access the app on a Face ID capable device. PermitirAllow
    Restablecimiento del PIN después de un número de díasPIN reset after number of days
Seleccione para requerir que los usuarios cambien el PIN de la aplicación después de un período de tiempo establecido en días.Select Yes to require users to change their app PIN after a set period of time, in days.

Si se establece en , configure el número de días antes de que se solicite el restablecimiento del PIN.When set to Yes, you then configure the number of days before the PIN reset is required.
NoNo
      Número de días Number of days
Configure el número de días antes de que se solicite el restablecimiento del PIN.Configure the number of days before the PIN reset is required. 9090
    PIN de aplicación cuando está establecido el PIN del dispositivoApp PIN when device PIN is set
Seleccione Deshabilitar para deshabilitar el PIN de aplicación cuando se detecta un bloqueo de dispositivo en un dispositivo inscrito con Portal de empresa configurado.Select Disable to disable the app PIN when a device lock is detected on an enrolled device with Company Portal configured.

Nota: Exige que la aplicación tenga la versión 7.0.1 del SDK de Intune o una superior.Note: Requires app to have Intune SDK version 7.0.1 or above.

En dispositivos iOS/iPadOS, puede permitir que el usuario demuestre su identidad con Touch ID o Face ID en lugar de con un PIN.On iOS/iPadOS devices, you can let the user prove their identity by using Touch ID or Face ID instead of a PIN. Intune usa la API LocalAuthentication para autenticar a los usuarios con Touch ID y Face ID.Intune uses the LocalAuthentication API to authenticate users using Touch ID and Face ID. Para obtener más información sobre Touch ID y el Id. de interfaz, vea la iOS Guía de seguridad de.To learn more about Touch ID and Face ID, see the iOS Security Guide.

Cuando el usuario intenta usar esta aplicación con su cuenta profesional o educativa, se le solicita que indique su identidad mediante la huella digital o la identidad facial en lugar de escribir un PIN.When the user tries use this app with their work or school account, they're prompted to provide their fingerprint identity or face identity instead of entering a PIN. Cuando esta opción está habilitada, la imagen de vista previa de las últimas aplicaciones estará borrosa mientras use una cuenta profesional o educativa.When this setting is enabled, the App-switcher preview image will be blurred while using a work or school account.
HabilitarEnable
Credenciales de cuenta profesional o educativa para el accesoWork or school account credentials for access Seleccione Requerir para requerir que el usuario inicie sesión con su cuenta profesional o educativa en lugar de escribir un PIN para acceder a la aplicación.Select Require to require the user to sign in with their work or school account instead of entering a PIN for app access. Si se establece en Requerir y están activados el PIN o las solicitudes biométricas, se muestran tanto las credenciales corporativas como el PIN o las solicitudes biométricas.If you set this to Require, and PIN or biometric prompts are turned on, both corporate credentials and either the PIN or biometric prompts are shown. No necesarioNot required
Volver a comprobar los requisitos de acceso tras (minutos de inactividad)Recheck the access requirements after (minutes of inactivity) Configure el número de minutos de inactividad que deben transcurrir antes de que la aplicación requiera que el usuario vuelva a especificar los requisitos de acceso.Configure the number of minutes of inactivity that must pass before the app requires the user to again specify the access requirements.

Por ejemplo, si un administrador activa el PIN y bloquea los dispositivos liberados en la directiva, cuando un usuario abre una aplicación administrada por Intune, debe escribir un PIN y usar la aplicación en un dispositivo que no esté liberado.For example, an admin turns on PIN and Blocks rooted devices in the policy, a user opens an Intune-managed app, must enter a PIN, and must be using the app on a non-rooted device. Al usar esta opción, el usuario no tendría que escribir un PIN ni someterse a otra comprobación de detección de raíz en ninguna aplicación administrada por Intune durante un período igual al valor configurado.When using this setting, the user would not have to enter a PIN or undergo another root-detection check on any Intune-managed app for a period of time equal to the configured value.

Nota: En iOS/iPadOS, el PIN se comparte entre todas las aplicaciones administradas con Intune del mismo editor. El temporizador de un PIN específico se restablece una vez que la aplicación deja de estar en segundo plano en el dispositivo. Durante el período de tiempo de expiración definido en esta configuración, el usuario no tendría que escribir el PIN en ninguna aplicación administrada con Intune que lo comparta. Este formato de configuración de directiva admite un número entero positivo.Note: On iOS/iPadOS, the PIN is shared amongst all Intune-managed apps of the same publisher. The PIN timer for a specific PIN is reset once the app leaves the foreground on the device. The user wouldn't have to enter a PIN on any Intune-managed app that shares its PIN for the duration of the timeout defined in this setting. This policy setting format supports a positive whole number.
3030

Nota

Para obtener más información sobre cómo funcionan las opciones de protección de aplicaciones en Intune configuradas en la sección Acceso para el mismo conjunto de aplicaciones y usuarios en iOS/iPadOS, vea Preguntas más frecuentes sobre MAM y Borrar los datos de forma selectiva mediante acciones de acceso de la directiva de protección de aplicaciones en Intune.To learn more about how multiple Intune app protection settings configured in the Access section to the same set of apps and users work on iOS/iPadOS, see Intune MAM frequently asked questions and Selectively wipe data using app protection policy access actions in Intune.

Inicio condicionalConditional launch

Configure opciones de inicio condicionales para establecer los requisitos de seguridad del inicio de sesión para la directiva de protección de acceso.Configure conditional launch settings to set sign-in security requirements for your access protection policy.

De forma predeterminada, se proporcionan varias opciones de configuración con acciones y valores preconfigurados.By default, several settings are provided with pre-configured values and actions. Puede eliminar algunas de ellas, como la Versión mínima del sistema operativo.You can delete some of these, like the Min OS version. También puede seleccionar una configuración adicional en la lista desplegable Seleccionar una.You can also select additional settings from the Select one dropdown.

SettingSetting Cómo se usaHow to use
Versión mínima del sistema operativoMin OS version Especifique una versión mínima del sistema operativo iOS/iPadOS para usar esta aplicación.Specify a minimum iOS/iPadOS operating system to use this app. Las acciones incluyen:Actions include:
  • Advertir: el usuario verá una notificación si la versión de iOS/iPadOS del dispositivo no cumple el requisito.Warn - The user will see a notification if the iOS/iPadOS version on the device doesn't meet the requirement. Se puede descartar esta notificación.This notification can be dismissed.
  • Bloquear acceso: se bloqueará el acceso del usuario si la versión de iOS/iPadOS del dispositivo no cumple el requisito.Block access - The user will be blocked from access if the iOS/iPadOS version on the device doesn't meet this requirement.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.Wipe data - The user account that is associated with the application is wiped from the device.
Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.This entry can appear multiple times, with each instance supporting a different action.

Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.This policy setting format supports either major.minor, major.minor.build, major.minor.build.revision.

Nota: Exige que la aplicación tenga la versión 7.0.1 del SDK de Intune o una superior.Note: Requires app to have Intune SDK version 7.0.1 or above.
N.º máximo de intentos de PINMax PIN attempts Especifique el número de intentos que tiene el usuario para escribir correctamente el PIN antes de que se lleve a cabo la acción configurada.Specify the number of tries the user has to successfully enter their PIN before the configured action is taken. Si el usuario no puede escribir correctamente el PIN después del número máximo de intentos de PIN, el usuario debe restablecerlo después de iniciar sesión correctamente en su cuenta y completar un desafío de Multi-Factor Authentication (MFA), si es necesario.If the user fails to successfully enter their PIN after the maximum PIN attempts, the user must reset their pin after successfully logging into their account and completing a Multi-Factor authentication (MFA) challenge if required. Este formato de la configuración de directiva admite un número entero positivo.This policy setting format supports a positive whole number. Las acciones incluyen:Actions include:
  • Restablecer PIN: el usuario debe restablecer el PIN.Reset PIN - The user must reset their PIN.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.Wipe data - The user account that is associated with the application is wiped from the device.
Valor predeterminado = 5Default value = 5
Período de gracia sin conexiónOffline grace period Número de minutos que las aplicaciones administradas por directivas se pueden ejecutar sin conexión.The number of minutes that policy-managed apps can run offline. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación.Specify the time (in minutes) before the access requirements for the app are rechecked. Las acciones incluyen:Actions include:
  • Bloquear el acceso (minutos) : número de minutos que las aplicaciones administradas por directivas se pueden ejecutar sin conexión.Block access (minutes) - The number of minutes that policy-managed apps can run offline. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación.Specify the time (in minutes) before the access requirements for the app are rechecked. Una vez que expire el período configurado, la aplicación bloqueará el acceso a datos profesionales o educativos hasta que esté disponible el acceso a la red.After the configured period expires, the app blocks access to work or school data until network access is available. El temporizador de período de gracia sin conexión para bloquear el acceso se comparte entre todas las aplicaciones de la cadena de claves del publicador de la aplicación.The Offline grace period timer for blocking access is shared across all apps in the app publisher keychain. Este formato de configuración de directiva admite un número entero positivo.This policy-setting format supports a positive whole number.

    Valor predeterminado = 720 minutos (12 horas)Default value = 720 minutes (12 hours)
  • Borrar datos (días) : después de estos días (definidos por el administrador) de ejecución sin conexión, la aplicación necesitará que el usuario se conecte a la red y vuelva a autenticarse.Wipe data (days) - After this many days (defined by the admin) of running offline, the app will require the user to connect to the network and reauthenticate. Si el usuario se autentica correctamente, puede seguir teniendo acceso a sus datos y el intervalo sin conexión se restablecerá.If the user successfully authenticates, they can continue to access their data and the offline interval will reset. Si el usuario no puede autenticarse, la aplicación realizará un borrado selectivo de los datos y la cuenta de los usuarios.If the user fails to authenticate, the app will perform a selective wipe of the users' account and data. Vea Borrado solo de datos corporativos de aplicaciones administradas por Intune para obtener más información sobre qué datos se eliminan con un borrado selectivo.See How to wipe only corporate data from Intune-managed apps for more information on what data is removed with a selective wipe. El temporizador de período de gracia sin conexión para el borrado de datos se calcula individualmente para cada aplicación en función de la última inserción en el repositorio con el servicio de Intune.The Offline grace period timer for wiping data is calculated individually for each app based on last check-in with the Intune service. Este formato de la configuración de directiva admite un número entero positivo.This policy setting format supports a positive whole number.

    Valor predeterminado = 90 díasDefault value = 90 days
Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.This entry can appear multiple times, with each instance supporting a different action.
Dispositivos con jailbreak o rootingJailbroken/rooted devices No se puede establecer ningún valor para esta configuración.There is no value to set for this setting. Las acciones incluyen:Actions include:
  • Bloquear acceso: impida que esta aplicación se ejecute en dispositivos con jailbreak o rooting.Block access - Prevent this app from running on jailbroken or rooted devices. El usuario sigue siendo capaz de usar esta aplicación para tareas personales, pero debe usar otro dispositivo para acceder a los datos profesionales o educativos de esta aplicación.The user continues to be able to use this app for personal tasks, but must use a different device to access work or school data in this app.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.Wipe data - The user account that is associated with the application is wiped from the device.
Cuenta deshabilitadaDisabled account No se puede establecer ningún valor para esta configuración.There is no value to set for this setting. Las acciones incluyen:Actions include:
  • Bloquear acceso: cuando se ha confirmado que el usuario se ha deshabilitado en Azure Active Directory, la aplicación bloquea el acceso a los datos profesionales o educativos.Block access - When we have confirmed the user has been disabled in Azure Active Directory, the app blocks access to work or school data.
  • Borrar datos: cuando se ha confirmado que el usuario se ha deshabilitado en Azure Active Directory, la aplicación realizará un borrado selectivo de los datos y la cuenta de los usuarios.Wipe data - When we have confirmed the user has been disabled in Azure Active Directory, the app will perform a selective wipe of the users' account and data.
Versión mínima de la aplicaciónMin app version Especifique un valor para el valor de versión mínima de la aplicación.Specify a value for the minimum application version value. Las acciones incluyen:Actions include:
  • Advertir: el usuario ve una notificación si la versión de la aplicación del dispositivo no cumple el requisito.Warn - The user sees a notification if the app version on the device doesn't meet the requirement. Se puede descartar esta notificación.This notification can be dismissed.
  • Bloquear acceso: se bloquea el acceso al usuario si la versión de la aplicación del dispositivo no cumple el requisito.Block access - The user is blocked from access if the app version on the device doesn't meet the requirement.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.Wipe data - The user account that is associated with the application is wiped from the device.
Como las aplicaciones a menudo tienen esquemas de control de versiones distintos entre sí, cree una directiva con una versión de aplicación mínima destinada a una aplicación (por ejemplo, directiva de versión de Outlook).As apps often have distinct versioning schemes between them, create a policy with one minimum app version targeting one app (for example, Outlook version policy).

Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.This entry can appear multiple times, with each instance supporting a different action.

Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.This policy setting format supports either major.minor, major.minor.build, major.minor.build.revision.

Nota: Exige que la aplicación tenga la versión 7.0.1 del SDK de Intune o una superior.Note: Requires app to have Intune SDK version 7.0.1 or above.

Además, puede configurar dónde los usuarios finales pueden obtener una versión actualizada de una aplicación de línea de negocio (LOB).Additionally, you can configure where your end users can get an updated version of a line-of-business (LOB) app. Los usuarios finales la verán en el cuadro de diálogo de inicio condicional Versión mínima de la aplicación, que le pedirá a los usuarios finales que actualicen a una versión mínima de la aplicación de LOB.End users will see this in the min app version conditional launch dialog, which will prompt end users to update to a minimum version of the LOB app. En iOS/iPadOS, esta característica requiere que la aplicación esté integrada (o encapsulada con la herramienta de encapsulado) con el SDK de Intune para iOS, v.On iOS/iPadOS, this feature requires the app to be integrated (or wrapped using the wrapping tool) with the Intune SDK for iOS v. 10.0.7 o superior.10.0.7 or above. Para configurar dónde un usuario final debería actualizar una aplicación de LOB, la aplicación necesita que se le envíe una directiva de configuración de aplicación administrada con la clave com.microsoft.intune.myappstore.To configure where an end user should update a LOB app, the app needs a managed app configuration policy sent to it with the key, com.microsoft.intune.myappstore. El valor enviado definirá desde qué tienda descargará la aplicación el usuario final.The value sent will define which store the end user will download the app from. Si la aplicación se implementa a través de Portal de empresa, el valor debe ser CompanyPortal.If the app is deployed via the Company Portal, the value must be CompanyPortal. En el caso de cualquier otra tienda, debe escribir una dirección URL completa.For any other store, you must enter a complete URL.
Versión mínima del SDKMin SDK version especifique un valor mínimo para la versión del SDK de Intune.Specify a minimum value for the Intune SDK version. Las acciones incluyen:Actions include:
  • Bloquear acceso: se bloquea el acceso al usuario si la versión del SDK de la directiva de protección de aplicaciones de Intune de la aplicación no cumple el requisito.Block access - The user is blocked from access if the app's Intune app protection policy SDK version doesn't meet the requirement.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.Wipe data - The user account that is associated with the application is wiped from the device.
Para obtener más información sobre el SDK de la directiva de protección de aplicaciones de Intune, vea Información general del SDK para aplicaciones de Intune.To learn more about the Intune app protection policy SDK, see Intune App SDK overview. Como las aplicaciones suelen tener distintas versiones del SDK de Intune entre sí, cree una directiva con una versión de SDK de Intune mínima destinada a una aplicación (por ejemplo, una directiva de versión de SDK de Intune para Outlook).As apps often have distinct Intune SDK version between them, create a policy with one min Intune SDK version targeting one app (for example, Intune SDK version policy for Outlook).

Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.This entry can appear multiple times, with each instance supporting a different action.
Modelos de dispositivoDevice model(s) Especifique una lista separada por puntos y comas de identificadores de modelos.Specify a semi-colon separated list of model identifier(s). Estos valores no distinguen entre mayúsculas y minúsculas.These values are not case sensitive. Las acciones incluyen:Actions include:
  • Permitir especificados (bloquear no especificados) : solo los dispositivos que coincidan con el modelo especificado pueden usar la aplicación.Allow specified (Block non-specified) - Only devices that match the specified device model can use the app. El resto de modelos de dispositivo se bloquean.All other device models are blocked.
  • Permitir especificados (borrar no especificados) : la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.Allow specified (Wipe non-specified) - The user account that is associated with the application is wiped from the device.
Para más información sobre el uso de esta configuración, consulte Acciones de inicio condicional.For more information on using this setting, see Conditional Launch actions.
Nivel máximo de amenazas de dispositivo permitidoMax allowed device threat level Las directivas de protección de aplicaciones pueden aprovechar el conector de MTD de Intune.App protection policies can take advantage of the Intune-MTD connector. Especifique un nivel de amenaza máximo aceptable para usar esta aplicación.Specify a maximum threat level acceptable to use this app. Las amenazas vienen determinadas por la aplicación de proveedor de Mobile Threat Defense (MTD) que se haya seleccionado en el dispositivo del usuario final.Threats are determined by your chosen Mobile Threat Defense (MTD) vendor app on the end user device. Especifique Protegido, Bajo, Medio o Alto.Specify either Secured, Low, Medium, or High. El nivel Protegido no requiere ninguna amenaza en el dispositivo y es el valor configurable más restrictivo, mientras que Alto requiere básicamente una conexión activa de Intune a MTD.Secured requires no threats on the device and is the most restrictive configurable value, while High essentially requires an active Intune-to-MTD connection. Las acciones incluyen:Actions include:
  • Bloquear acceso: se impedirá el acceso del usuario si el nivel de amenaza determinado por la aplicación de proveedor de Mobile Threat Defense (MTD) seleccionada en el dispositivo del usuario final no cumple este requisito.Block access - The user will be blocked from access if the threat level determined by your chosen Mobile Threat Defense (MTD) vendor app on the end user device doesn't meet this requirement.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.Wipe data - The user account that is associated with the application is wiped from the device.
Nota: Es necesario que la aplicación tenga la versión 12.0.15 del SDK de Intune o una superior.Note: Requires app to have Intune SDK version 12.0.15 or above.

Para más información sobre el uso de esta opción, consulte Habilitación de MTD para dispositivos no inscritos.For more information on using this setting, see Enable MTD for unenrolled devices.

Obtener más informaciónLearn more