Creación de directivas de seguridad de dispositivos en Movilidad básica y seguridad
Puede usar Movilidad básica y seguridad para crear directivas de dispositivo que ayuden a proteger la información de su organización en Microsoft 365 frente al acceso no autorizado. Puede aplicar directivas a cualquier dispositivo móvil de su organización donde el usuario del dispositivo tenga una licencia de Microsoft 365 aplicable y haya inscrito el dispositivo en Movilidad básica y seguridad.
Antes de empezar
Importante
Para poder crear una directiva de dispositivo móvil, debe activar y configurar Movilidad básica y seguridad. Para obtener más información, consulte Información general de Movilidad básica y seguridad para Microsoft 365.
- Obtenga información sobre los dispositivos, las aplicaciones de dispositivos móviles y la configuración de seguridad que Movilidad básica y seguridad admite. Consulte Funcionalidades de Movilidad básica y seguridad.
- Cree grupos de seguridad que incluyan usuarios de Microsoft 365 en los que quiera implementar directivas en y para los usuarios que quiera excluir de que se bloquee el acceso a Microsoft 365. Antes de implementar una nueva directiva en la organización, se recomienda probarla implementándola para un número reducido de usuarios. Puede crear y usar un grupo de seguridad que incluya solo a usted o a un número pequeño de usuarios de Microsoft 365 que puedan probar la directiva automáticamente. Para obtener más información sobre los grupos de seguridad, consulte Creación, edición o eliminación de un grupo de seguridad.
- Para crear e implementar directivas de Movilidad básica y seguridad en Microsoft 365, debe ser administrador global de Microsoft 365. Para obtener más información, consulte Roles y grupos de roles en Microsoft Defender y cumplimiento de Microsoft Purview.
- Antes de implementar directivas, permita a su organización conocer los posibles impactos de inscribir un dispositivo en Movilidad básica y seguridad. En función de cómo configure las directivas, se puede impedir que los dispositivos no conformes accedan a Microsoft 365 y a los datos, incluidas las aplicaciones instaladas, las fotos y la información personal en un dispositivo inscrito, y se pueden eliminar los datos.
Nota:
Las directivas y las reglas de acceso creadas en Movilidad básica y seguridad para Microsoft 365 Empresa Estándar invalidan Exchange ActiveSync directivas de buzón de dispositivo móvil y reglas de acceso a dispositivos creadas en el Centro de administración de Exchange. Después de inscribir un dispositivo en Movilidad básica y seguridad para Microsoft 365 Empresa Estándar, se omite cualquier directiva de buzón de dispositivo móvil Exchange ActiveSync o regla de acceso de dispositivo aplicada al dispositivo. Para más información sobre Exchange ActiveSync, consulte Exchange ActiveSync en Exchange Online.
Paso 1: Creación de una directiva de dispositivo e implementación en un grupo de prueba
Antes de empezar, asegúrese de que ha activado y configurado Movilidad básica y seguridad. Para obtener instrucciones, consulte Información general de Movilidad básica y seguridad.
En el explorador, vaya a https://compliance.microsoft.com/basicmobilityandsecurity.
En la pestaña Directivas , seleccione Crear.
En la página Nombre de directiva , agregue y nombre y una descripción y seleccione Siguiente.
En la página Requisitos de acceso , especifique los requisitos que desea aplicar a los dispositivos móviles de su organización y seleccione Siguiente.
En la página Configuraciones , seleccione Requisitos de configuración para su organización y seleccione Siguiente.
En la página Implementación , elija un grupo de seguridad al que aplicar esta directiva.
En la página Revisar , compruebe las selecciones y elija Enviar.
La directiva se inserta en el dispositivo de cada usuario a la que se aplica la directiva la próxima vez que inicie sesión en Microsoft 365 mediante su dispositivo móvil. Si los usuarios no han aplicado una directiva a su dispositivo móvil antes, después de implementar la directiva, reciben una notificación en su dispositivo que incluye los pasos para inscribir y activar Movilidad básica y seguridad. Para obtener más información, consulta Inscribir tu dispositivo móvil con Movilidad básica y seguridad. Hasta que completen la inscripción en Movilidad básica y seguridad hospedados por el servicio de Intune, el acceso al correo electrónico, OneDrive y otros servicios está restringido. Después de completar la inscripción mediante la aplicación Portal de empresa de Intune, pueden usar los servicios y la directiva se aplica a su dispositivo.
Paso 2: Comprobar que la directiva funciona
Después de crear una directiva de dispositivo, compruebe que la directiva funciona como espera antes de implementarla en su organización.
- En el explorador, vaya a https://compliance.microsoft.com/basicmobilityandsecurity.
- Seleccione Ver la lista de dispositivos administrados.
- Compruebe el estado de los dispositivos de usuario a los que se ha aplicado la directiva. Quiere que el estado de los dispositivos se administre.
- También puede realizar un borrado completo o selectivo en un dispositivo si hace clic en el botón Restablecer fábrica o Quitar datos de la empresa del botón Administrar después de seleccionar un dispositivo. Para obtener instrucciones, consulte Borrado de un dispositivo móvil en Movilidad básica y seguridad.
Paso 3: Implementación de una directiva en la organización
Después de crear una directiva de dispositivo y comprobar que funciona según lo esperado, impleméntela en su organización.
- En el explorador, escriba: https://compliance.microsoft.com/basicmobilityandsecurity.
- Seleccione la directiva que desea implementar y elija Editar junto a Grupos aplicados.
- Búsqueda para agregar un grupo y haga clic en Seleccionar.
- Seleccione Cerrar y cambiar la configuración.
- Seleccione Cerrar y editar directiva.
La directiva se inserta en el dispositivo móvil de cada usuario a la que se aplica la directiva la próxima vez que inicie sesión en Microsoft 365 desde su dispositivo móvil. Si los usuarios no han aplicado una directiva a su dispositivo móvil, reciben una notificación en su dispositivo con los pasos necesarios para inscribirla y activarla para Movilidad básica y seguridad. Una vez completada la inscripción, la directiva se aplica a su dispositivo. Para obtener más información, consulta Inscribir tu dispositivo móvil con Movilidad básica y seguridad.
Paso 4: Bloquear el acceso al correo electrónico para dispositivos no compatibles
Para ayudar a proteger la información de su organización, debe bloquear el acceso de la aplicación al correo electrónico de Microsoft 365 para dispositivos móviles que no son compatibles con Movilidad básica y seguridad. Para obtener una lista de los dispositivos admitidos, consulte Dispositivos compatibles.
Para bloquear el acceso a la aplicación:
En el explorador, escriba https://compliance.microsoft.com/basicmobilityandsecurity.
Seleccione Administrar la configuración de acceso a dispositivos de toda la organización.
Para bloquear dispositivos no admitidos, elija Acceso en Si un dispositivo no es compatible con Movilidad básica y seguridad para Microsoft 365 y, a continuación, seleccione Guardar.
Paso 5: Elija los grupos de seguridad que desea excluir de las comprobaciones de acceso condicional
Si desea excluir algunas personas de las comprobaciones de acceso condicional en sus dispositivos móviles y ha creado uno o más grupos de seguridad para estas personas, agregue los grupos de seguridad aquí. Las personas de estos grupos no tendrán ninguna directiva aplicada para sus dispositivos móviles compatibles. Esta es la opción recomendada si ya no desea usar Movilidad básica y seguridad en su organización.
En el explorador, escriba https://compliance.microsoft.com/basicmobilityandsecurity.
Seleccione Administrar la configuración de acceso a dispositivos de toda la organización.
Seleccione Agregar para agregar el grupo de seguridad que tiene usuarios que desea excluir de tener bloqueado el acceso a Microsoft 365. Cuando se ha agregado un usuario a esta lista, puede acceder al correo electrónico de Microsoft 365 cuando usa un dispositivo no compatible.
Seleccione el grupo de seguridad que desea usar en el panel Seleccionar grupo .
Seleccione el nombre y, a continuación, Agregar>guardar.
En el panel Configuración de acceso a dispositivos de toda la organización , elija Guardar.
¿Cuál es el impacto de las directivas de seguridad en distintos tipos de dispositivos?
Cuando se aplica una directiva a los dispositivos de usuario, el impacto en cada dispositivo varía un poco entre los tipos de dispositivo. Consulte la siguiente tabla para obtener ejemplos del impacto de las directivas en diferentes dispositivos.
| Directiva de seguridad | Android | Samsung KNOX | iOS | Notas |
|---|---|---|---|---|
| Requerir copia de seguridad cifrada | No | Sí | Sí | Se requiere una copia de seguridad cifrada de iOS. |
| Bloquear copia de seguridad de la nube | Sí | Sí | Sí | Bloquee la copia de seguridad de Google en Android (atenuado), la copia de seguridad en la nube en iOS supervisado. |
| Bloquear sincronización de documentos | No | No | Sí | iOS: bloquee documentos en la nube en dispositivos iOS supervisados. |
| Bloquear sincronización de fotos | No | No | Sí | iOS (nativo): Bloquear Photo Stream. |
| Bloquear captura de pantalla | No | Sí | Sí | Se bloquea cuando se intenta. |
| Bloquear videoconferencia | No | No | Sí | FaceTime bloqueado en dispositivos iOS supervisados, no en Skype u otros usuarios. |
| Bloquear el envío de datos de diagnóstico | No | Sí | Sí | Bloquear el envío de informes de bloqueo de Google en Android. |
| Bloquear el acceso a la tienda de aplicaciones | No | Sí | Sí | Icono de la tienda de aplicaciones que falta en la página principal de Android, deshabilitado en Windows y dispositivos iOS supervisados. |
| Requerir contraseña para la tienda de aplicaciones | No | No | Sí | iOS: Contraseña necesaria para las compras de iTunes. |
| Bloquear conexión a almacenamiento extraíble | No | Sí | N/D | Android: la tarjeta SD está atenuada en la configuración, Windows notifica al usuario, las aplicaciones instaladas no están disponibles |
| Bloquear conexión Bluetooth | Ver notas | Ver notas | Sí | No se puede deshabilitar BlueTooth como una configuración en Android. En su lugar, deshabilitamos todas las transacciones que requieren BlueTooth: distribución avanzada de audio, control remoto de audio y vídeo, dispositivos manos libres, auriculares, acceso a la libreta de teléfonos y puerto serie. Cuando se usa cualquiera de estas opciones, aparece un pequeño mensaje de aviso en la parte inferior de la página. |
¿Qué ocurre al eliminar una directiva o quitar un usuario de la directiva?
Al eliminar una directiva o quitar un usuario de un grupo en el que se implementó la directiva, la configuración de la directiva, el perfil de correo electrónico de Microsoft 365 y los correos electrónicos almacenados en caché podrían quitarse del dispositivo del usuario. Consulte la tabla siguiente para ver qué se quita para los diferentes tipos de dispositivo.
| Lo que se quita | iOS | Android (incluido Samsung KNOX) |
|---|---|---|
| Perfiles de correo electrónico administrado1 | Sí | No |
| Bloquear copia de seguridad de la nube | Sí | No |
1 Si la directiva se implementó con la opción Email perfil está seleccionada, el perfil de correo electrónico administrado y los correos electrónicos almacenados en caché en ese perfil se eliminan del dispositivo de usuario.
La directiva se quita del dispositivo móvil para cada usuario a la que se aplica la directiva la próxima vez que el dispositivo se registra con Movilidad básica y seguridad. Si implementa una nueva directiva que se aplica a estos dispositivos de usuario, se les pedirá que vuelvan a inscribirse en Movilidad básica y seguridad.
También puede borrar un dispositivo por completo o borrar selectivamente la información de la organización del dispositivo. Para obtener más información, consulta Borrar un dispositivo móvil en Movilidad básica y seguridad.
Contenido relacionado
Introducción a Movilidad básica y seguridad (artículo)
Funcionalidades de Movilidad básica y seguridad (artículo)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de