Configuración de cumplimiento de dispositivos para Android Enterprise en Intune

En este artículo se enumeran y describen las distintas opciones de cumplimiento que puede configurar en dispositivos Android Enterprise en Intune. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para marcar los dispositivos rooteados como no conformes, establecer un nivel de amenaza permitido, habilitar Google Play Protect y mucho más.

Esta característica se aplica a:

• Android Enterprise

Como administrador de Intune, use esta configuración de cumplimiento para ayudar a proteger los recursos de la organización. Para obtener más información sobre las directivas de cumplimiento y lo que hacen, consulte Introducción al cumplimiento de dispositivos.

Importante

Las directivas de cumplimiento de Android solo deben estar destinadas a grupos de dispositivos, no a usuarios. Las directivas de cumplimiento se evaluarán en el dispositivo y reflejarán adecuadamente el estado de cumplimiento en Intune. Para permitir que los usuarios de dispositivos dedicados inicien sesión en recursos protegidos por directivas de acceso condicional, considere la posibilidad de usar dispositivos dedicados de Android Enterprise con Microsoft Entra modo de dispositivo compartido.

En los dispositivos dedicados de Android Enterprise inscritos sin Microsoft Entra modo de dispositivo compartido, los usuarios del dispositivo no podrán iniciar sesión en los recursos protegidos por directivas de acceso condicional, incluso si el dispositivo es compatible con Intune. Para más información sobre el modo de dispositivo compartido, consulte Información general sobre el modo de dispositivo compartido en la documentación de Microsoft Entra.

Antes de empezar

Cree una directiva de cumplimiento de dispositivos para acceder a la configuración disponible. Para Plataforma, seleccione Android Enterprise.

Perfil de trabajo totalmente administrado, dedicado y corporativo

En esta sección se describe la configuración del perfil de cumplimiento disponible para dispositivos totalmente administrados, dispositivos dedicados y dispositivos corporativos con perfiles de trabajo. Las categorías de configuración incluyen:

• Microsoft Defender para punto de conexión
• Estado del dispositivo
• Propiedades de dispositivo
• Seguridad del sistema

Microsoft Defender para punto de conexión

• Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina

  Seleccione la puntuación de riesgo de máquina máxima permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.

  • No configurado (valor predeterminado)
  • Clear
  • Baja
  • Media
  • Alto

Nota:

es posible que Microsoft Defender para punto de conexión no se admita en todos los tipos de inscripción de Android Enterprise. Obtenga más información sobre qué escenarios se admiten.

Estado del dispositivo

• Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
  Seleccione el nivel máximo de amenaza de dispositivo permitido evaluado por el servicio de defensa contra amenazas móviles. Los dispositivos que superan este nivel de amenaza se marcan como no conformes. Para usar esta configuración, elija el nivel de amenaza permitido:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Protegido: esta opción es la más segura y significa que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, se evalúa como no conforme.
  • Bajo: el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
  • Medio : el dispositivo se evalúa como compatible si las amenazas que están presentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
  • Alto : esta opción es la menos segura, ya que permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

Nota:

Todos los proveedores de Mobile Threat Defense (MTD) son compatibles con las implementaciones de Android Enterprise Fully Managed, Dedicated y Corporate-Owned Work Profile mediante la configuración de la aplicación. Consulte con el proveedor de MTD la configuración exacta necesaria para admitir las plataformas Android Enterprise Fully Managed, Dedicated y Corporate-Owned Work Profile en Intune.

Protección de Google Play

Importante

Google Play Protect funciona en ubicaciones donde Google Mobile Services está disponible. Los dispositivos que operan en regiones o países en los que Google Mobile Services no está disponible producirán un error en las evaluaciones de la configuración de directivas de cumplimiento de Google Play Protect. Para obtener más información, consulte Administración de dispositivos Android donde Google Mobile Services no está disponible.

• Veredicto de integridad de juego
  Seleccione el tipo de comprobaciones de integridad que deben pasar los dispositivos para que sigan siendo compatibles. Intune evalúa el veredicto de integridad de Play para determinar el cumplimiento. Sus opciones:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Comprobar la integridad básica: requerir que los dispositivos pasen la comprobación de integridad básica de Play.
  • Comprobar la integridad básica & la integridad del dispositivo: requerir que los dispositivos pasen la comprobación de integridad básica de Play y la comprobación de la integridad del dispositivo.

• Comprobación de la integridad segura mediante características de seguridad respaldadas por hardware
  Opcionalmente, puede requerir que los dispositivos pasen una comprobación de integridad segura. Esta configuración solo está disponible si necesita comprobaciones de integridad básicas o comprobaciones de integridad del dispositivo. Sus opciones:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento. Intune evalúa el veredicto de la comprobación de integridad básica de forma predeterminada.
  • Comprobar la integridad segura : requiere que los dispositivos pasen la comprobación de integridad segura de Play. No todos los dispositivos admiten este tipo de comprobación. Intune marca dispositivos como no compatibles.

  Para obtener más información sobre los servicios de integridad de Google Play, consulte estos documentos para desarrolladores de Android:

  • Servicios de integridad y firma de Google Play

  • Veredictos de integridad

Propiedades de dispositivo

Versión del sistema operativo

• Versión de SO mínima
  Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, se notifica como no compatible. Los usuarios del dispositivo ven un vínculo con información sobre cómo actualizar su sistema operativo. Pueden actualizar su dispositivo y, a continuación, acceder a los recursos de la organización.

  De forma predeterminada, no se configura ninguna versión.

• Versión de SO máxima
  Cuando un dispositivo usa una versión del sistema operativo posterior a la versión de la regla, se bloquea el acceso a los recursos de la organización. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la organización.

  De forma predeterminada, no se configura ninguna versión.

• Nivel mínimo de actualización de seguridad
  Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe especificarse en formato AAAA-MM-DD.

  De forma predeterminada, no se configura ninguna fecha.

Seguridad del sistema

• Requerir una contraseña para desbloquear dispositivos móviles

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.

• Tipo de contraseña necesaria
  Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres. Sus opciones:

  • Valor predeterminado del dispositivo : para evaluar el cumplimiento de contraseñas, asegúrese de seleccionar un valor de seguridad de contraseña distinto del valor predeterminado del dispositivo. Es posible que el sistema operativo no requiera una contraseña de dispositivo de forma predeterminada, por lo que es mejor seleccionar un tipo de contraseña diferente para un mayor control y coherencia en todos los dispositivos.
  • Contraseña requerida, sin restricciones
  • Biométrica débil : para obtener más información sobre este tipo de contraseña, consulte biometría segura frente a débil (abre el blog para desarrolladores de Android).
  • Numérico (valor predeterminado): la contraseña solo debe ser números, como 123456789.
  • Complejo numérico : no se permiten números repetidos o consecutivos, como 1111 o 1234, .
  • Alfabético : se requieren letras en el alfabeto. No se requieren números ni símbolos.
  • Alfanumérica : incluye letras mayúsculas, letras minúsculas y caracteres numéricos.
  • Alfanumérico con símbolos : incluye letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos.

  Otros valores varían según el tipo de contraseña. Cuando corresponda, aparece la siguiente configuración:

  • Longitud mínima de contraseña
    Escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

  • Número de caracteres necesarios
    Escriba el número de caracteres que debe tener la contraseña, entre 0 y 16 caracteres.

  • Número de caracteres en minúsculas necesarios
    Escriba el número de caracteres en minúsculas que debe tener la contraseña, entre 0 y 16 caracteres.

  • Número de caracteres en mayúsculas necesarios
    Escriba el número de caracteres en mayúscula que debe tener la contraseña, entre 0 y 16 caracteres.

  • Número de caracteres que no son de letra necesarios
    Escriba el número de letras que no sean letras en el alfabeto) que la contraseña debe tener, entre 0 y 16 caracteres.

  • Número de caracteres numéricos necesarios
    Escriba el número de caracteres numéricos (1, 2, 3, etc.) que la contraseña debe tener, entre 0 y 16 caracteres.

  • Número de caracteres de símbolo necesarios
    Escriba el número de caracteres de símbolo (&, #, %, etc.) que la contraseña debe tener, entre 0 y 16 caracteres.

  • Máximo de minutos de inactividad antes de solicitar la contraseña
    Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña. Las opciones incluyen el valor predeterminado No configurado y de 1 Minuto a 8 horas.

  • Número de días hasta que expire la contraseña
    Escriba el número de días, entre 1 y 365, hasta que se deba cambiar la contraseña del dispositivo. Por ejemplo, para requerir un cambio de contraseña después de 60 días, escriba 60. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña.

    De forma predeterminada, no se configura ningún valor.

  • Número de contraseñas requeridas antes de que el usuario pueda reusar una
    Escriba el número de contraseñas recientes que no se pueden reutilizar, entre 1 y 24. Use esta configuración para impedir que el usuario cree contraseñas usadas anteriormente.

    De forma predeterminada, no se configura ninguna versión.

Cifrado

• Requerir cifrado de almacenamiento de datos en el dispositivo

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : cifre el almacenamiento de datos en los dispositivos.

  No es necesario configurar esta configuración porque los dispositivos Android Enterprise aplican el cifrado.

Seguridad de dispositivos

• Integridad del entorno de ejecución de las aplicaciones de Intune
  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : cifre el almacenamiento de datos en los dispositivos.

Perfil de trabajo de propiedad personal

En esta sección se describe la configuración del perfil de cumplimiento disponible para los dispositivos personales que se inscriben con perfiles de trabajo. Las categorías de configuración incluyen:

• Microsoft Defender para punto de conexión
• Estado del dispositivo
• Propiedades de dispositivo
• Seguridad del sistema

Microsoft Defender para punto de conexión: para el perfil de trabajo de propiedad personal

• Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina
  Seleccione la puntuación de riesgo de máquina máxima permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.
  • No configurado (valor predeterminado)
  • Clear
  • Baja
  • Media
  • Alto

Estado del dispositivo: para el perfil de trabajo de propiedad personal

• Dispositivos con acceso "root"

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bloquear : marque los dispositivos rooteados como no compatibles.

• Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
  Seleccione el nivel máximo de amenaza de dispositivo permitido evaluado por el servicio de defensa contra amenazas móviles. Los dispositivos que superan este nivel de amenaza se marcan como no conformes. Para usar esta configuración, elija el nivel de amenaza permitido:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Protegido: esta opción es la más segura y significa que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, se evalúa como no conforme.
  • Bajo : el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
  • Medio : el dispositivo se evalúa como compatible si las amenazas que están presentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
  • Alto : esta opción es la menos segura, ya que permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

Google Play Protect: para perfil de trabajo de propiedad personal

Importante

Google Play Protect funciona en ubicaciones donde Google Mobile Services está disponible. Los dispositivos que operan en regiones o países en los que Google Mobile Services no está disponible producirán un error en las evaluaciones de la configuración de directivas de cumplimiento de Google Play Protect. Para obtener más información, consulte Administración de dispositivos Android donde Google Mobile Services no está disponible.

• Google Play Services está configurado

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : requerir que la aplicación de servicios de Google Play esté instalada y habilitada. La aplicación de servicios de Google Play habilita las actualizaciones de seguridad y es una dependencia de nivel base para muchas características de seguridad en dispositivos de Google certificados.

• Proveedor de seguridad actualizada

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : requerir que un proveedor de seguridad actualizado pueda proteger un dispositivo frente a vulnerabilidades conocidas.

• Veredicto de integridad de juego
  Seleccione el tipo de comprobaciones de integridad que deben pasar los dispositivos para que sigan siendo compatibles. Intune evalúa el veredicto de integridad de Play para determinar el cumplimiento. Sus opciones:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Comprobar la integridad básica: requerir que los dispositivos pasen la comprobación de integridad básica de Play.
  • Comprobar la integridad básica & la integridad del dispositivo: requerir que los dispositivos pasen la comprobación de integridad básica de Play y la comprobación de la integridad del dispositivo.

• Comprobación de la integridad segura mediante características de seguridad respaldadas por hardware
  Opcionalmente, puede requerir que los dispositivos pasen una comprobación de integridad segura. Esta configuración solo está disponible si necesita comprobaciones de integridad básicas o comprobaciones de integridad del dispositivo. Sus opciones:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento. Intune evalúa la comprobación de integridad básica de forma predeterminada.
  • Comprobar la integridad segura : requiere que los dispositivos pasen la comprobación de integridad segura de Play. No todos los dispositivos admiten este tipo de comprobación. Intune marca dispositivos como no compatibles.

  Para obtener más información sobre los servicios de integridad de Google Play, consulte estos documentos para desarrolladores de Android:

  • Servicios de integridad y firma de Google Play

  • Veredictos de integridad

Sugerencia

Intune también tiene una directiva que requiere Play Protect para examinar las aplicaciones instaladas en busca de amenazas. Puede configurar esta opción en una directiva de configuración de dispositivos Android Enterprise en Restricciones >de dispositivosSeguridaddel sistema. Para obtener más información, consulte Configuración de restricciones de dispositivos Android Enterprise.

Propiedades del dispositivo: para el perfil de trabajo de propiedad personal

Versión del sistema operativo : para el perfil de trabajo de propiedad personal

• Versión de SO mínima
  Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, se notifica como no compatible. Los usuarios del dispositivo ven un vínculo con información sobre cómo actualizar su sistema operativo. Pueden actualizar su dispositivo y, a continuación, acceder a los recursos de la organización.

  De forma predeterminada, no se configura ninguna versión.

• Versión de SO máxima
  Cuando un dispositivo usa una versión del sistema operativo posterior a la versión de la regla, se bloquea el acceso a los recursos de la organización. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la organización.

  De forma predeterminada, no se configura ninguna versión.

Seguridad del sistema : para el perfil de trabajo de propiedad personal

Cifrado: para el perfil de trabajo de propiedad personal

• Requerir cifrado de almacenamiento de datos en el dispositivo

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : cifre el almacenamiento de datos en los dispositivos.

  No es necesario configurar esta configuración porque los dispositivos Android Enterprise aplican el cifrado.

Seguridad del dispositivo: para el perfil de trabajo de propiedad personal

• Bloquear aplicaciones de orígenes desconocidos

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bloquear: bloquear dispositivos con orígenes habilitados paraorígenes desconocidos de seguridad> (compatible con Android 4.0 a Android 7.x. No es compatible con Android 8.0 y versiones posteriores).

  Para cargar aplicaciones de lado, se deben permitir orígenes desconocidos. Si no va a cargar aplicaciones Android de forma lateral, establezca esta característica en Bloquear para habilitar esta directiva de cumplimiento.

  Importante

  Las aplicaciones de carga lateral requieren que la configuración Bloquear aplicaciones de orígenes desconocidos esté habilitada. Aplique esta directiva de cumplimiento solo si no está cargando aplicaciones Android de forma lateral en los dispositivos.

  No es necesario configurar esta configuración, ya que los dispositivos Android Enterprise siempre restringen la instalación desde orígenes desconocidos.

• Integridad en tiempo de ejecución de la aplicación Portal de empresa

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir: elija Requerir para confirmar que la aplicación de Portal de empresa cumple todos los requisitos siguientes:
    • Tiene instalado el entorno de tiempo de ejecución predeterminado.
    • Está firmado correctamente
    • No está en modo de depuración
    • Se instala desde un origen conocido

• Bloquear depuración USB en el dispositivo

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bloquear : impedir que los dispositivos usen la característica de depuración USB.

  No es necesario configurar esta opción porque la depuración USB ya está deshabilitada en dispositivos Android Enterprise.

• Nivel mínimo de actualización de seguridad
  Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe especificarse en formato AAAA-MM-DD.

  De forma predeterminada, no se configura ninguna fecha.

• Requerir una contraseña para desbloquear dispositivos móviles

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.

  Esta configuración se aplica en el nivel de dispositivo. Si solo necesita una contraseña en el nivel de perfil de trabajo, use una directiva de configuración. Para obtener más información, consulte Configuración de dispositivos Android Enterprise.

Importante

Cuando se habilita un perfil de trabajo de propiedad personal, los códigos de acceso del dispositivo y del perfil de trabajo se combinan de forma predeterminada para que se use el mismo código de acceso en ambos lugares. Intune aplica el nivel de complejidad más alto de los dos. El usuario del dispositivo puede usar dos códigos de acceso independientes si va a la configuración de su perfil de trabajo y anula la selección de Usar un bloqueo. Para asegurarse de que los usuarios del dispositivo usan dos códigos de acceso independientes tras la inscripción, cree un perfil de configuración de dispositivo que restrinja a los usuarios del dispositivo el uso de un bloqueo.

1. En el Centro de administración, cree un perfil de configuración de dispositivo.
2. En Tipo de perfil, seleccione Restricciones de dispositivos.
3. Expanda Configuración del perfil de trabajo y vaya a Contraseña> de perfil de trabajoTodos los dispositivos Android.
4. Busque la restricción Un bloqueo para el dispositivo y el perfil de trabajo. Seleccione Bloquear.

Todos los dispositivos Android: seguridad del dispositivo

• Número de días hasta que expire la contraseña
  Escriba el número de días, entre 1 y 365, hasta que se deba cambiar la contraseña del dispositivo. Por ejemplo, para requerir un cambio de contraseña después de 60 días, escriba 60. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña.

• Número de contraseñas anteriores que no se pueden reutilizar
  Use esta configuración para impedir que los usuarios vuelvan a usar contraseñas antiguas. Escriba el número de contraseñas que desea evitar que vuelvan a usar, del 1 al 24. Por ejemplo, escriba 5 para que los usuarios no puedan reutilizar ninguna de sus 5 contraseñas anteriores. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

• Máximo de minutos de inactividad antes de solicitar la contraseña
  Escriba el tiempo de inactividad máximo permitido, de 1 minuto a 8 horas. Después de esta cantidad de tiempo, el usuario debe volver a escribir su contraseña para volver a entrar en su dispositivo. Al elegir No configurado (valor predeterminado), esta configuración no se evalúa para el cumplimiento o el incumplimiento.

Android 12 y versiones posteriores: seguridad del dispositivo

• Complejidad de la contraseña
  Seleccione los requisitos de complejidad de contraseña para los dispositivos que ejecutan Android 12 y versiones posteriores. Sus opciones:

  • Ninguno : esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bajo : se permiten patrones o PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
  • Medio : la longitud, la longitud alfabética o la longitud alfanumérica deben tener al menos 4 caracteres. Se bloquean los PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
  • Alto : la longitud debe tener al menos 8 caracteres. La longitud alfabética o alfanumérica debe tener al menos 6 caracteres. Se bloquean los PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).

  Esta configuración afecta a dos contraseñas en el dispositivo:

  • Contraseña del dispositivo que desbloquea el dispositivo.
  • Contraseña del perfil de trabajo que permite a los usuarios acceder al perfil de trabajo.

  Si la complejidad de la contraseña del dispositivo es demasiado baja, la contraseña del dispositivo se cambia automáticamente para requerir un alto nivel de complejidad. Los usuarios finales deben actualizar la contraseña del dispositivo para cumplir los requisitos de complejidad. A continuación, cuando inicien sesión en el perfil de trabajo, se les pedirá que actualicen su contraseña de perfil de trabajo para que coincida con el nivel de complejidad que configure en Complejidad de lacontraseñade seguridad> del perfil de trabajo.

  Importante

  Antes de que la configuración de complejidad de contraseña estuviera disponible, se usaron los valores Tipo de contraseña requerida y Longitud mínima de contraseña . Esta configuración sigue estando disponible, pero Google las ha dejado en desuso para dispositivos personales con un perfil de trabajo.

  Esto es lo que necesita saber:

  • Si se cambia la configuración Tipo de contraseña requerida del valor predeterminado del dispositivo en una directiva, haga lo siguiente:

    • Los dispositivos Android Enterprise 12+ recién inscritos usarán automáticamente la configuración De complejidad de contraseña con alta complejidad . Por lo tanto, si no desea una complejidad de contraseña alta , cree una nueva directiva para dispositivos Android Enterprise 12+ y configure la configuración Complejidad de contraseña.

    • Los dispositivos Android Enterprise 12+ existentes seguirán usando la opción Tipo de contraseña requerida y el valor existente configurado.

      Si cambia una directiva existente con la configuración Tipo de contraseña requerida que ya está configurada, los dispositivos Android Enterprise 12+ usarán automáticamente la configuración Complejidad de contraseña con la complejidad alta .

      Para dispositivos Android Enterprise 12 y versiones posteriores, se recomienda configurar la configuración De complejidad de contraseña .

  • Si la configuración Tipo de contraseña requerida no cambia desde el valor predeterminado del dispositivo en una directiva, no se aplica automáticamente ninguna directiva de contraseña a los dispositivos Android Enterprise 12+ recién inscritos.

Android 11 y versiones anteriores: seguridad del dispositivo

Importante

Google ha dejado de usar el tipo de contraseña requerida y la configuración de longitud mínima de contraseña para Android 12 y versiones posteriores. En lugar de esa configuración, use la configuración de complejidad de contraseña en Android 12 y versiones posteriores. Si sigue usando la configuración en desuso sin configurar la configuración de complejidad de contraseña, los nuevos dispositivos que ejecuten Android 12 o versiones posteriores tendrán una complejidad de contraseña alta de forma predeterminada. Para obtener más información sobre este cambio y cómo afecta a las contraseñas en dispositivos nuevos y existentes, consulte Android 12 y versiones posteriores: seguridad de dispositivos en este artículo.

• Tipo de contraseña necesaria
  Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres. Sus opciones:

  • Valor predeterminado del dispositivo: para evaluar el cumplimiento de contraseñas, asegúrese de seleccionar un valor de seguridad de contraseña distinto del valor predeterminado del dispositivo. Es posible que el sistema operativo no requiera una contraseña de dispositivo de forma predeterminada, por lo que es mejor seleccionar un tipo de contraseña diferente para un mayor control y coherencia en todos los dispositivos.
  • Biometría de baja seguridad: para obtener más información sobre este tipo de contraseña, consulte biometría segura frente a débil (abre el blog para desarrolladores de Android).
  • Al menos numérico (valor predeterminado): requerir caracteres numéricos, como 123456789.
  • Complejo numérico: no se permiten números repetidos o consecutivos, como 1111 o 1234, . Escriba también:
  • Al menos alfabético: requiere letras del alfabeto. No se requieren números ni símbolos. Escriba también:
  • Al menos alfanumérica: requiere letras mayúsculas, letras minúsculas y caracteres numéricos.
  • Al menos alfanumérico con símbolos: requiere letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos.

• Longitud mínima de contraseña
  Esta configuración aparece para determinados tipos de contraseña. Escriba el número mínimo de caracteres necesarios, entre 4 y 16 caracteres.

Seguridad del perfil de trabajo: para el perfil de trabajo de propiedad personal

Si no configura los requisitos de contraseña, el uso de una contraseña de perfil de trabajo es opcional y se deja a los usuarios para configurar.

• Requerir una contraseña para desbloquear el perfil de trabajo
  Requerir que los usuarios del dispositivo tengan un perfil de trabajo protegido con contraseña. Sus opciones:
  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : los usuarios deben escribir una contraseña para acceder a su perfil de trabajo.

Todos los dispositivos Android: seguridad del perfil de trabajo

• Número de días hasta que expire la contraseña
  Escriba el número de días, entre 1 y 365, hasta que se deba cambiar la contraseña del perfil de trabajo. Por ejemplo, para requerir un cambio de contraseña después de 60 días, escriba 60. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña.

• Número de contraseñas anteriores que no se pueden reutilizar
  Use esta configuración para impedir que los usuarios vuelvan a usar contraseñas antiguas. Escriba el número de contraseñas que desea evitar que vuelvan a usar, del 1 al 24. Por ejemplo, escriba 5 para que los usuarios no puedan reutilizar ninguna de sus 5 contraseñas anteriores. Cuando el valor está en blanco, Intune no cambia ni actualiza esta configuración.

• Máximo de minutos de inactividad antes de solicitar la contraseña
  Escriba el tiempo de inactividad máximo permitido, de 1 minuto a 8 horas. Después de esta cantidad de tiempo, el usuario debe volver a escribir su contraseña para volver a su perfil de trabajo. Al elegir No configurado (valor predeterminado), esta configuración no se evalúa para el cumplimiento o el incumplimiento.

Android 12 y versiones posteriores: seguridad del perfil de trabajo

• Complejidad de la contraseña
  Seleccione el requisito de complejidad de contraseña para los perfiles de trabajo en dispositivos que ejecutan Android 12 y versiones posteriores. Sus opciones:

  • Ninguno : esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bajo : se permite un patrón o PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
  • Medio : la longitud, la longitud alfabética o la longitud alfanumérica deben tener al menos 4 caracteres. Se bloquean los PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
  • Alto : la longitud debe tener al menos 8 caracteres. La longitud alfabética o alfanumérica debe tener al menos 6 caracteres. Se bloquean los PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).

  Esta configuración afecta a dos contraseñas en el dispositivo:

  • Contraseña del dispositivo que desbloquea el dispositivo.
  • Contraseña del perfil de trabajo que permite a los usuarios acceder al perfil de trabajo.

  Si la complejidad de la contraseña del dispositivo es demasiado baja, la contraseña del dispositivo se cambia automáticamente para requerir un alto nivel de complejidad. Los usuarios finales deben actualizar la contraseña del dispositivo para cumplir los requisitos de complejidad. Después, cuando inicien sesión en el perfil de trabajo, se les pedirá que actualicen su contraseña de perfil de trabajo para que coincida con la complejidad que configure aquí.

  Importante

  Antes de que la configuración de complejidad de contraseña estuviera disponible, se usaron los valores Tipo de contraseña requerida y Longitud mínima de contraseña . Esta configuración sigue estando disponible, pero Google las ha dejado en desuso para dispositivos personales con un perfil de trabajo.

  Esto es lo que necesita saber:

  • Si se cambia la configuración Tipo de contraseña requerida del valor predeterminado del dispositivo en una directiva, haga lo siguiente:

    • Los dispositivos Android Enterprise 12+ recién inscritos usarán automáticamente la configuración De complejidad de contraseña con alta complejidad . Por lo tanto, si no desea una complejidad de contraseña alta , cree una nueva directiva para dispositivos Android Enterprise 12+ y configure la configuración Complejidad de contraseña.

    • Los dispositivos Android Enterprise 12+ existentes seguirán usando la opción Tipo de contraseña requerida y el valor existente configurado.

      Si cambia una directiva existente con la configuración Tipo de contraseña requerida que ya está configurada, los dispositivos Android Enterprise 12+ usarán automáticamente la configuración Complejidad de contraseña con la complejidad alta .

      Para dispositivos Android Enterprise 12 y versiones posteriores, se recomienda configurar la configuración De complejidad de contraseña .

  • Si la configuración Tipo de contraseña requerida no cambia desde el valor predeterminado del dispositivo en una directiva, no se aplica automáticamente ninguna directiva de contraseña a los dispositivos Android Enterprise 12+ recién inscritos.

Android 11 y versiones anteriores: seguridad del perfil de trabajo

Esta configuración de contraseñas se aplica a los dispositivos que ejecutan Android 11 y versiones anteriores.

Importante

Google ha dejado de usar el tipo de contraseña requerida y la configuración de longitud mínima de contraseña para Android 12 y versiones posteriores. En lugar de esa configuración, use la configuración de complejidad de contraseña en Android 12 y versiones posteriores. Si sigue usando la configuración en desuso sin configurar la configuración de complejidad de contraseña, los nuevos dispositivos que ejecuten Android 12 o versiones posteriores tendrán una complejidad de contraseña alta de forma predeterminada. Para obtener más información sobre este cambio y cómo afecta a las contraseñas de perfil de trabajo en dispositivos nuevos y existentes, consulte Android 12 y versiones posteriores: seguridad del perfil de trabajo en este artículo.

• Tipo de contraseña necesaria
  Requerir que los usuarios usen un determinado tipo de contraseña. Sus opciones:
  • Valor predeterminado del dispositivo : para evaluar el cumplimiento de contraseñas, asegúrese de seleccionar un valor de seguridad de contraseña distinto del valor predeterminado del dispositivo. Es posible que el sistema operativo no requiera una contraseña de perfil de trabajo de forma predeterminada, por lo que es mejor seleccionar un tipo de contraseña diferente para un mayor control y coherencia en todos los dispositivos.
  • Biometría de baja seguridad: para obtener más información sobre este tipo de contraseña, consulte biometría segura frente a débil (abre el blog para desarrolladores de Android).
  • Al menos numérico (valor predeterminado): requerir caracteres numéricos, como 123456789.
  • Complejo numérico: no se permiten números repetidos o consecutivos, como 1111 o 1234, .
  • Al menos alfabético: requiere letras del alfabeto. No se requieren números ni símbolos.
  • Al menos alfanumérica: requiere letras mayúsculas, letras minúsculas y caracteres numéricos.
  • Al menos alfanumérico con símbolos: requiere letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos.
• Longitud mínima de contraseña
  Esta configuración aparece para determinados tipos de contraseña. Escriba el número mínimo de caracteres necesarios, entre 4 y 16 caracteres.

Pasos siguientes

• Agregue acciones para dispositivos no compatibles y use etiquetas de ámbito para filtrar directivas.
• Supervise las directivas de cumplimiento.
• Consulte la configuración de la directiva de cumplimiento para dispositivos Android .