Guía de administración e implementación de Windows10 Mobile

Se aplica a:

  • Windows10 Mobile, versión 1511 y Windows 10 Mobile, versión 1607

Esta guía ayuda a los profesionales de TI a planificar e implementar dispositivos Windows10 Mobile.

Los empleados dependen cada vez más de los smartphones para completar sus tareas diarias de trabajo, pero estos dispositivos introducen desafíos únicos de administración y seguridad. Ya sea proporcionando dispositivos corporativos o permitiendo a los empleados usar sus propios dispositivos, el personal de TI necesita implementar y administrar los dispositivos móviles y las aplicaciones para alcanzar los objetivos empresariales. Sin embargo, también necesitan garantizar que las aplicaciones y los datos de esos dispositivos móviles estén protegidos contra la ciberdelincuencia o la pérdida. Windows10 Mobile ayuda a las organizaciones a abordar estos desafíos con una tecnología eficaz, flexible, integrada en el dispositivo móvil y lista para gestionar las aplicaciones. Windows10 admite la administración del ciclo de vida integral de los dispositivos para que las empresas puedan controlar sus dispositivos, datos y aplicaciones. Los dispositivos pueden incorporarse fácilmente a los procedimientos estándares del ciclo de vida, desde la inscripción, la configuración y la gestión de las aplicaciones del dispositivo hasta el mantenimiento, el seguimiento y la retirada, mediante una completa solución de administración del dispositivo móvil.

En este artículo

Implementar

Windows10 Mobile cuenta con un cliente de administración de dispositivos integrado para implementar, configurar, mantener y ofrecer soporte técnico para los smartphones. Todas las ediciones del sistema operativo Windows10 tienen en común este cliente, incluyendo la versión de escritorio, móvil e Internet de las cosas (IoT), que proporciona una interfaz única a través de la cual las soluciones de administración de dispositivos móviles (MDM) pueden administrar cualquier dispositivo que ejecute Windows10. Ya que el cliente MDM se integra con la administración de identidades, se reduce el esfuerzo necesario para administrar los dispositivos durante su ciclo de vida. Windows10 incluye completas funcionalidades de MDM que pueden administrarse mediante soluciones de administración de Microsoft, como Microsoft Intune o System Center Configuration Manager, así como muchas soluciones de MDM de terceros. No es necesario para instalar una aplicación MDM personalizada adicional para inscribir dispositivos y ponerlos bajo el control del MDM. Todos los proveedores de sistemas MDM tienen el mismo acceso a las interfaces de programación de aplicaciones (API) de administración de dispositivos Windows10 Mobile, lo que proporciona a las organizaciones de TI la libertad de seleccionar qué sistema se adapta mejor a sus requisitos de administración, si Microsoft Intune o un producto MDM de terceros. Para obtener más información sobre las API de administración de dispositivos Windows 10 Mobile, consulta Mobile device management(Administración de dispositivos móviles).

Escenarios de implementación

Se aplica a: Dispositivos corporativos y personales

El cliente MDM integrado es común para todas las ediciones del sistema operativo Windows10, incluidos el escritorio, el teléfono móvil y Internet de las cosas (IoT). El cliente proporciona una única interfaz a través de la cual puede administrar cualquier dispositivo que ejecute Windows10. El cliente desempeña 2 roles importantes: la inscripción de dispositivos en un sistema MDM y la administración de dispositivos.

Normalmente, en las organizaciones existen dos escenarios en lo que respecta a la implementación de dispositivos: los dispositivos personales del tipo Bring Your Own (BYO) y los dispositivos propiedad de la empresa del tipo Choose Your Own (CYO). En ambos casos, el dispositivo debe inscribirse en un sistema MDM, que lo configurará con las opciones de configuración adecuada para la organización y el empleado. Las funcionalidades de administración de dispositivos Windows10 Mobile admiten tanto dispositivos personales utilizados en el escenario BYO como dispositivos corporativos utilizados en el escenario CYO. El sistema operativo ofrece un método flexible para registrar dispositivos en los servicios de directorio y los sistemas MDM. Las organizaciones de TI pueden proporcionar perfiles de configuración de dispositivos completos según sus necesidades empresariales para controlar y proteger los datos empresariales móviles. Es fácil proporcionar aplicaciones para los dispositivos personales o los corporativos a través de la Microsoft Store para Empresas o mediante el uso de su sistema MDM, que también puede funcionar con la Microsoft Store para Empresas con el fin de obtener aplicaciones de la tienda pública. Saber a quién pertenece el dispositivo y para qué lo va a utilizarla el empleado son los principales factores a la hora de determinar la estrategia de administración y qué controles debería poner en práctica la organización. Tanto si se trata de dispositivos personales como de dispositivos corporativos, o una combinación de ambos, los procesos de implementación y las directivas de configuración pueden variar.

En el caso de los dispositivos personales, las empresas deben poder administrar las aplicaciones y los datos corporativos del dispositivo sin obstaculizar la capacidad del empleado para personalizarlo de forma que satisfaga sus necesidades individuales. El dispositivo es propiedad del empleado y la directiva corporativa le permite utilizarlo para fines comerciales y personales, con la posibilidad de agregar aplicaciones personales a su voluntad. La mayor preocupación respecto a los dispositivos personales es de qué forma las organizaciones pueden evitar que los datos corporativos se pongan en riesgo, a la vez que los datos personales se mantienen privados y bajo el control exclusivo del empleado. Esto requiere que el dispositivo admita la separación de aplicaciones y datos con un control estricto del tráfico de datos empresariales y personales.

En el caso de los dispositivos corporativos, las organizaciones poseen un control mucho mayor. Los departamentos de TI pueden proporcionar a los empleados una lista seleccionada de modelos de dispositivos compatibles, o pueden comprarlos y preconfigurarlos directamente. Como los dispositivos son propiedad de la empresa, es posible limitar hasta qué punto pueden personalizarlos los empleados. Los problemas de seguridad y privacidad pueden resultar mucho más fáciles abordar, ya que el dispositivo se rige por completo por la directiva empresarial existente.

Inscripción de dispositivos

Se aplica a: Dispositivos corporativos y personales

La manera en que los dispositivos personales y corporativos se inscriben en un sistema MDM varía. El equipo de operaciones debería tener en cuenta estas diferencias al determinar cuál es el método más adecuado para los trabajadores móviles de la organización.

Consideraciones sobre la inicialización y la inscripción de dispositivos

Dispositivos personales Dispositivos corporativos
Propiedad Empleado Organización
Inicialización de dispositivos En el caso de la configuración rápida (OOBE), la primera vez que el empleado inicia el dispositivo, se le solicita agregar una identidad de la nube a dicho dispositivo. La identidad principal en el dispositivo es una identidad personal. Los dispositivos personales se inician con una cuenta de Microsoft (MSA), que usa una dirección de correo electrónico personal. La identidad principal del dispositivo es una identidad organizativa. Los dispositivos corporativos se inicializan con una cuenta de organización (cuenta@dominio_corporativo.ext). La inicialización de un dispositivo con una cuenta corporativa es algo exclusivo de Windows10. Actualmente, ninguna otra plataforma móvil ofrece esta funcionalidad. La opción predeterminada es utilizar una identidad organizativa de Azure Active Directory. Si se omite la configuración de la cuenta en la OOBE (la configuración rápida), se creará una cuenta local. La única opción para agregar una cuenta de la nube más adelante es agregar una MSA y colocar este dispositivo en un escenario de implementación de dispositivos personales. Para empezar de nuevo todo el proceso, es necesario restablecer el dispositivo.
Inscripción de dispositivos La inscripción de dispositivos en un sistema MDM ayuda a controlar y proteger los datos corporativos, a la vez que mantiene la productividad de los trabajadores. La inscripción de dispositivos la pueden iniciar los propios empleados. Pueden agregar una cuenta de Azure como cuenta secundaria al dispositivo Windows10 Mobile. Siempre que el sistema MDM esté registrado en Azure AD, el dispositivo se inscribe automáticamente en el sistema MDM cuando el usuario agrega una cuenta de Azure AD como cuenta secundaria (MSA + AAD + MDM). Si la organización no posee Azure AD, el dispositivo del empleado se inscribirá automáticamente en el sistema MDM de la organización (MSA + MDM). La inscripción en el sistema MDM también se puede iniciar con un paquete de aprovisionamiento. Esta opción permite a los departamentos de TI ofrecer una inscripción de autoservicio fácil de usar para los dispositivos personales. Actualmente, el aprovisionamiento solo se admite para la inscripción de MDM (MSA + MDM). Para iniciar la inscripción en el sistema MDM, el usuario debe unir el dispositivo a la instancia de Azure AD de su organización. El dispositivo se inscribe automáticamente en el sistema MDM cuando el dispositivo se registra en Azure AD. Esto requiere que el sistema MDM se registre en Azure AD (AAD + MDM).

Recomendación: Microsoft recomienda usar el registro en Azure AD y la inscripción automática en el sistema MDM en el caso de los dispositivos corporativos (AAD+MDM) y los dispositivos personales (MSA+AAD+MDM). Para esto se necesita Azure AD Premium.

Administración de identidades

Se aplica a: Dispositivos corporativos y personales

Los empleados pueden usar una sola cuenta para inicializar un dispositivo, por lo que es fundamental que la organización controle qué cuenta se habilita en primer lugar. La cuenta elegida determinará quién controla el dispositivo e influirá en las funcionalidades de administración.

Nota: ¿Por qué el usuario debe agregar una cuenta al dispositivo en la experiencia inicial? Los dispositivos Windows10 Mobile son dispositivos de usuario único y las cuentas de usuario proporcionan acceso a diversos servicios de nube predeterminados que mejoran el valor de productividad y entretenimiento del teléfono para el usuario. Dichos servicios son: La Store para la descarga de aplicaciones, Groove para música y entretenimiento, Xbox para juegos, etc. Tanto las cuentas MSA como las cuentas de Azure AD proporcionan acceso a estos servicios.

La siguiente tabla describe la influencia que la elección de la identidad ejerce sobre las características de administración de dispositivo de los escenarios de dispositivos personales y corporativos.

Consideraciones sobre la elección de la identidad para la administración de dispositivos

Identidad personal Identidad de trabajo
Primera cuenta en el dispositivo Cuenta de Microsoft Cuenta de Azure AD
Facilidad de inscripción Los empleados usan su cuenta de Microsoft para activar el dispositivo. Luego usan su cuenta de Azure AD (identidad organizativa) para registrar el dispositivo en Azure AD e inscribirlo en la solución MDM de la empresa (MSA+AAD+MDM). Los empleados usan su cuenta de Azure AD para registrar el dispositivo en Azure AD e inscribirlo automáticamente en la solución MDM de la organización (AAD+MDM; requiere Azure AD Premium).
Administración de credenciales Los empleados inician sesión en el dispositivo con las credenciales de la cuenta de Microsoft. Los usuarios no pueden iniciar sesión en los dispositivos con las credenciales de Azure AD, ni siquiera si agregan las credenciales después de la activación inicial con una cuenta de Microsoft. Los empleados inician sesión en el dispositivo con las credenciales de Azure AD. El departamento de TI puede bloquear el añadido de identidades personales, como una MSA o una cuenta de Google. El departamento de TI controla las directivas de acceso de todos los dispositivos, sin limitaciones.
Capacidad de bloquear el uso de una identidad personal en el dispositivo No
Configuración del usuario e itinerancia de datos en varios dispositivos Windows La configuración del usuario y de las aplicaciones son itinerantes para todos los dispositivos activados con la misma identidad personal a través de OneDrive. Si el dispositivo se activa con una MSA y luego se agrega una cuenta de Azure AD, la configuración del usuario y de la aplicación son itinerantes. Si se agrega la MSA a un dispositivo unido con Azure AD, esto no sucederá. Microsoft está investigando la itinerancia empresarial para una futura versión.
Nivel de control Las organizaciones pueden aplicar la mayoría de las directivas restrictivas disponibles a los dispositivos y deshabilitar la cuenta de Microsoft. Es posible impedir que los usuarios se hagan con el control total de sus dispositivos si se anula su inscripción en la solución de MDM de la organización o se restablece el dispositivo. Es posible que puedan existir limitaciones legales. Para obtener más información, ponte en contacto con el departamento legal. Las organizaciones son libres de aplicar directivas restrictivas a los dispositivos para que estén en consonancia con los estándares corporativos y las normativas de cumplimiento. También pueden evitar que el usuario anule la inscripción del dispositivo de la empresa.
Protección de la información Es posible aplicar directivas para ayudar a proteger y contener las aplicaciones y los datos corporativos de los dispositivos, así como para impedir fugas de propiedad intelectual, y aún así proporcionar a los usuarios un control total sobre sus actividades personales, como la descarga y la instalación de aplicaciones y juegos. Las empresas pueden bloquear el uso personal de los dispositivos. El uso de identidades organizativas para inicializar los dispositivos proporciona a las organizaciones un control completo sobre los dispositivos y les permite impedir la personalización.
Compras desde la aplicación Los empleados pueden comprar e instalar aplicaciones desde la Store con una tarjeta de crédito personal. Los empleados pueden instalar aplicaciones desde la Microsoft Store para Empresas. Los empleados no pueden instalar ni comprar aplicaciones desde la Store sin añadir antes una MSA.

Nota: En el contexto de Windows como servicio (en inglés), la diferenciación de las funcionalidades de MDM cambiará en el futuro.

Opciones de infraestructura

Se aplica a: Dispositivos corporativos y personales

En el caso de los escenarios de implementación tanto personales como corporativos, un sistema MDM es la infraestructura esencial necesaria para implementar y administrar dispositivos Windows10 Mobile. Se recomienda una suscripción a Azure AD Premium como proveedor de identidades, que además es necesaria para que se admitan ciertas funcionalidades. Windows10 Mobile permite disponer de una infraestructura puramente basada en la nube o una infraestructura híbrida que combine la administración de identidades de Azure AD con un sistema de administración local para administrar los dispositivos. Microsoft ahora admite también una solución puramente local para administrar dispositivos Windows10 Mobile con Configuration Manager.

Azure Active Directory Azure AD es un servicio de directorio en la nube que proporciona administración de identidades y accesos. Puedes integrarlo con directorios locales existentes para crear una solución de identidad híbrida. Las organizaciones que usan Microsoft Office 365 o Intune ya emplean Azure AD, que tiene tres ediciones: gratuita, Basic y Premium (consulta Ediciones de Azure Active Directory). Todas las ediciones admiten el registro de dispositivos de Azure AD, pero se necesita la edición Premium para habilitar la inscripción automática en el sistema MDM y el acceso condicional en función del estado del dispositivo.

Administración de dispositivos móviles Microsoft Intune, que forma parte de Enterprise Mobility + Security, es un sistema MDM en la nube que administra los dispositivos de manera remota. Al igual que Office 365, Intune usa Azure AD para la administración de identidades, por lo que los empleados usan las mismas credenciales para inscribir los dispositivos en Intune que las que usan para iniciar sesión en Office 365. Intune admite dispositivos que ejecutan otros sistemas operativos, como iOS y Android, para proporcionar una solución MDM completa. También es posible integrar Intune con Configuration Manager y así conseguir una única consola para administrar todos los dispositivos, tanto en la nube como de manera local, y tanto PC como móviles. Para obtener más información, consulta Administrar dispositivos móviles con Configuration Manager y Microsoft Intune. Para obtener instrucciones sobre cómo elegir entre una instalación de Intune autónoma e Intune integrado con System Center Configuration Manager, consulta Elegir entre Intune por separado e integrar Intune con System Center Configuration Manager. Muchos sistemas MDM admiten Windows10, y la mayoría también admiten los escenarios de implementación de dispositivos personales y corporativos. Los proveedores de sistemas MDM que actualmente admiten Windows10 Mobile incluyen: AirWatch Citrix, MobileIron, SOTI, Blackberry y otros. La mayoría de los principales proveedores de sistemas MDM del sector ya admiten la integración con Azure AD. Puedes encontrar los proveedores de sistemas MDM que admiten Azure AD en Azure Marketplace. Si la organización no usa Azure AD, el usuario debe emplear una MSA durante la configuración rápida antes de inscribir el dispositivo en el sistema MDM con una cuenta corporativa.

Nota: Aunque no se trata en esta guía, es posible usar Exchange ActiveSync (EAS) para administrar los dispositivos móviles en lugar de usar un sistema MDM con todas las funciones. EAS está disponible en Microsoft Exchange Server2010 o versiones posteriores y en Office 365. Además, Microsoft recientemente agregó a Office 365 capacidades de MDM con tecnología de Intune. MDM para Office 365 solo es compatible con dispositivos móviles, como los que ejecutan Windows10 Mobile, iOS y Android. MDM para Office 365 ofrece un subconjunto de las funcionalidades de administración que se incluyen en Intune, como la posibilidad de eliminar los datos de un dispositivo de manera remota, bloquear el acceso de un dispositivo al correo electrónico de Exchange Server y configurar directivas de dispositivos (por ejemplo, los requisitos de código de acceso). Para obtener más información sobre las funcionalidades de MDM para Office 365, consulta Introducción a la administración de dispositivos móviles para Office 365.

Servicios en la nube En aquellos dispositivos móviles que ejecutan Windows10 Mobile, los usuarios pueden conectarse fácilmente a servicios en la nube que proporcionan notificaciones de usuario y recopilan datos de diagnóstico y de uso. Windows10 Mobile permite a las organizaciones administrar el modo en el que los dispositivos consumen estos servicios en la nube.

Servicios de notificaciones de inserción de Windows Los Servicios de notificaciones de inserción de Windows permiten a los desarrolladores de software enviar actualizaciones de notificaciones del sistema, de ventanas y de distintivos, así como notificaciones sin procesar, desde sus propios servicios en la nube. Proporciona un mecanismo para enviar actualizaciones a los usuarios de una manera segura y de bajo consumo. Sin embargo, las notificaciones de inserción pueden afectar a la duración de la batería, por lo que el ahorro de batería en Windows10 Mobile limita la actividad en segundo plano de los dispositivos para prolongar la duración de dicha batería. Los usuarios pueden configurar el ahorro de batería de modo que se active automáticamente cuando el nivel de la batería caiga por debajo de un umbral establecido. Cuando el ahorro de batería está activado, Windows10 Mobile deshabilita la recepción de notificaciones de inserción para ahorrar energía. Sin embargo, hay una excepción para este comportamiento. En Windows10 Mobile, la opción de configuración de ahorro de batería Siempre permitido (que se encuentra en la aplicación Configuración) permite a las aplicaciones recibir notificaciones de inserción incluso si está activado el ahorro de batería. Los usuarios pueden configurar manualmente esta lista, o el departamento de TI puede usar el sistema MDM para configurar el esquema de direcciones URI de la configuración del ahorro de batería en Windows10 Mobile (ms-settings:batterysaver-settings).

Para obtener más información sobre la atestación de estado en Windows 10 Mobile, consulta Guía de seguridad de Windows 10 Mobile.

Windows Update para empresas Microsoft diseñó Windows Update para empresas con el fin de proporcionar a los administradores de TI unas funcionales adicionales de administración centradas en Windows Update, como la posibilidad de implementar actualizaciones en grupos de dispositivos y definir ventanas de mantenimiento para la instalación de actualizaciones.

Microsoft Store para Empresas La Microsoft Store para Empresas es el lugar donde los administradores de TI pueden encontrar, adquirir, administrar y distribuir aplicaciones para dispositivos Windows10. Esto incluye tanto aplicaciones internas de línea de negocio (LOB) como aplicaciones de terceros disponibles comercialmente.

Configuración

Los administradores de MDM pueden definir e implementar la configuración de directiva en cualquier dispositivo personal o corporativo inscrito en un sistema MDM. Las opciones de configuración que se empleen variarán según el escenario de implementación, siendo los dispositivos corporativos los que ofrecerán al departamento de TI la gama más amplia de control.

Note: Esta guía ayuda a los profesionales de TI a comprender las opciones de administración disponibles para el sistema operativo Windows10 Mobile. Consulta la documentación del sistema MDM para comprender cómo habilita estas directivas el proveedor de MDM. No todos los sistemas MDM admiten todas las configuraciones descritas en esta guía. Algunos admiten las directivas personalizadas a través de archivos XML OMA-URI. Consulta Soporte de Microsoft Intune para directivas personalizadas. Las convenciones de nomenclatura también pueden variar entre distintos proveedores de MDM.

Perfil de cuenta

Se aplica a: Dispositivos corporativos

Imponer lo que los empleados de las cuentas pueden usar en un dispositivo corporativo es importante para evitar la fuga de datos y proteger la privacidad. Si se limita el dispositivo a una sola cuenta controlada por la organización, se reducirá el riesgo de que se produzca una fuga de datos. Sin embargo, es posible optar por permitir que los empleados agreguen una cuenta de Microsoft personal o incluso otras cuentas de correo electrónico privadas.

  • Permitir cuenta de Microsoft Especifica si los usuarios pueden agregar una cuenta de Microsoft al dispositivo y usar dicha cuenta para la autenticación en servicios de nube, como las compra de aplicaciones en Microsoft Store, Xbox o Groove.
  • Permitir añadir cuentas que no sean de Microsoft Especifica si los usuarios pueden agregar cuentas de correo que no sean cuentas de Microsoft.

Cuentas de correo

Se aplica a: Dispositivos corporativos y personales

El correo electrónico, así como el calendario y los contactos asociados, son las principales aplicaciones a las que los usuarios acceden en sus smartphones. Su correcta configuración resulta clave para el éxito de cualquier programa de movilidad. Tanto en los escenarios de implementación de dispositivos corporativos como en los de dispositivos personales, la configuración de estas cuentas de correo electrónico se implementa inmediatamente después de la inscripción. Con el sistema MDM corporativo, es posible definir perfiles de cuentas de correo electrónico corporativas, implementarlos en los dispositivos y administrar las directivas de la bandeja de entrada.

  • La mayoría de los sistemas de correo electrónico corporativos aprovechan Exchange ActiveSync (EAS). Para obtener más información sobre cómo configurar perfiles de correo electrónico de EAS, consulta ActiveSync CSP (CSP de ActiveSync).
  • También es posible configurar las cuentas de correo de protocolo simple de transferencia de correo (SMTP) con el sistema MDM. Para obtener más información sobre la configuración de los perfiles de correo electrónico SMTP, consulta Email CSP (CSP de correo electrónico). Actualmente Microsoft Intune no admite la creación de un perfil de correo electrónico SMTP.

Restricciones de bloqueo del dispositivo

Se aplica a: Dispositivos corporativos y personales

Es una práctica común proteger un dispositivo que contiene información corporativa con un código de acceso cuando no está en uso. Como procedimiento recomendado, Microsoft recomienda implementar una directiva de bloqueo de dispositivo para los dispositivos Windows10 Mobile con el fin de proteger las aplicaciones y los datos. Es posible usar una contraseña compleja o un PIN numérico para bloquear los dispositivos. Desde su introducción en Windows10, Windows Hello permite usar un PIN, un dispositivo complementario (por ejemplo, una pulsera Microsoft) o la biometría para validar la identidad y desbloquear los dispositivos Windows10 Mobile.

Nota: Cuando Windows10 se lanzó inicialmente, incluía Microsoft Passport y Windows Hello, que trabajaban conjuntamente para brindar la autenticación multifactor. Para simplificar la implementación y mejorar la compatibilidad, Microsoft ha reunido estas tecnologías en sola solución llamada Windows Hello. Los clientes que ya hayan implementado estas tecnologías no sufrirán ningún cambio en la funcionalidad. A los clientes que todavía no hayan evaluado Windows Hello, les resultará más fácil de implementar, gracias a la simplificación de las directivas, la documentación y la semántica. Para usar Windows Hello con biometría, se requiere hardware especializado, como un lector de huellas digitales, un sensor de infrarrojos iluminado u otros sensores biométricos. La protección basada en hardware de las credenciales de Windows Hello requiere TPM 1.2 o superior; si no existe ningún TPM o no está configurado, la protección mediante credenciales o claves se basará en software. Los dispositivos complementarios deben emparejarse con los equipos Windows10 a través de Bluetooth. Para usar un dispositivo complementario con Windows Hello que permita al usuario tener credenciales de Windows Hello itinerantes, es necesario que el equipo Windows10 en el que se inicie sesión posea la edición Pro o Enterprise.

La mayoría de las directivas de restricción de bloqueo de dispositivos llevan disponibles desde Windows Phone7 a través de ActiveSync y MDM y siguen estando disponibles actualmente para Windows10 Mobile. Si se implementan dispositivos Windows10 en un escenario de implementación de dispositivos personales, se aplicaría esta configuración.

  • Contraseña del dispositivo habilitada Especifica si los usuarios deben usar una contraseña de bloqueo del dispositivo.
  • Permitir contraseña del dispositivo simple Indica si los usuarios pueden usar una contraseña simple (por ejemplo, 1111 o 1234).
  • Contraseña del dispositivo alfanumérica requerida Especifica si los usuarios deben usar una contraseña alfanumérica. Cuando se configura, Windows pide al usuario con un teclado de dispositivo completo que escriba una contraseña compleja. Si no hay ninguna configurada, el usuario podrá escribir un PIN numérico con el teclado.
  • Mínimos caracteres complejos de la contraseña del dispositivo El número de tipos de elementos de contraseña (es decir, mayúsculas, minúsculas, números o signos de puntuación) que se necesitan para crear contraseñas seguras.
  • Historial de contraseñas del dispositivo El número de contraseñas que Windows10 Mobile recuerda en el historial de contraseñas (los usuarios no pueden reutilizar las contraseñas del historial para crear nuevas contraseñas).
  • Longitud mínima de la contraseña del dispositivo El número mínimo de caracteres necesarios para crear nuevas contraseñas.
  • Tiempo máximo de inactividad para bloqueo de dispositivo El número de minutos de inactividad antes de que los dispositivos se bloqueen y requieran una contraseña para desbloquearse.
  • Permitir retorno de inactividad sin contraseña Indica si los usuarios tienen que volver a autenticarse cuando sus dispositivos se reactiven desde un estado de suspensión antes de que se haya alcanzado el tiempo de inactividad.
  • Intentos máximos erróneos de contraseña del dispositivo El número de errores de autenticación permitidos antes de que un dispositivo se borre (un valor de cero deshabilita la funcionalidad de borrado del dispositivo).
  • Tiempo de espera de pantalla en bloqueo El número de minutos antes de que finalice el tiempo de espera de la pantalla de bloqueo (esta directiva influye en la administración de la energía del dispositivo).
  • Permitir configuración del usuario de tiempo de espera de pantalla en bloqueo Indica si los usuarios pueden configurar manualmente el tiempo de espera de la pantalla mientras el dispositivo tenga la pantalla de bloqueo activada (si habilitas esta opción, Windows10 Mobile ignorará la opción Tiempo de espera de pantalla en bloqueo ).

Las opciones de configuración relacionadas con Windows Hello serían unos ajustes importantes del bloqueo del dispositivo que se debe configurar si se van a implementar los dispositivos en el escenario de una implementación corporativa. Microsoft convirtió en un requisito que todos los usuarios crearan un código de acceso numérico como parte de la unión a Azure AD. Este valor predeterminado de la directiva requiere que los usuarios seleccionen un código de acceso de cuatro dígitos, pero este puede configurarse con un sistema MDM registrado por AAD con cualquier complejidad de código de acceso que desee la organización. Si se usa Azure AD con un mecanismo automático de inscripción del sistema MDM, esta configuración de la directiva se aplica automáticamente durante la inscripción del dispositivo.

Observarás que algunas de las opciones de configuración son muy similares, especialmente aquellas relacionadas con la longitud de la contraseña, el historial, la caducidad y la complejidad. Si se establece la directiva en varios lugares, se aplicarán ambas directivas y se conservará la más segura. Lee PassportForWork CSP, DeviceLock CSP (Windows Phone 8.1), y Policy CSP para obtener más información.

Impedir la modificación de la configuración

Se aplica a: Dispositivos corporativos

Generalmente, se permite a los empleados cambiar determinadas opciones de configuración de los dispositivos personales que es posible que desees bloquear en los dispositivos corporativos. Los empleados pueden ajustar determinadas opciones de configuración del teléfono de forma interactiva a través de las applets de configuración. Con el sistema MDM, puedes limitar lo que los usuarios pueden cambiar.

  • Permitir la cuenta Especifica si los usuarios pueden cambiar la configuración de la cuenta en el panel Correo electrónico y cuentas de Configuración.
  • Permitir VPN Permite al usuario cambiar la configuración de la VPN.
  • Permitir sensor de datos Permite al usuario cambiar la configuración del Sensor de datos.
  • Permitir fecha y hora Permite al usuario cambiar la configuración de la fecha y la hora.
  • Permitir editar nombre de dispositivo Permite a los usuarios cambiar el nombre del dispositivo.
  • Permitir actualizar el modelo de voz Especifica si el dispositivo recibirá actualizaciones en los modelos de reconocimiento de voz y síntesis de voz (para mejorar la precisión y el rendimiento).

Restricciones de hardware

Se aplica a: Dispositivos corporativos

Los dispositivos Windows10 Mobile usan tecnología de última generación que incluye funciones de hardware populares, como cámaras, sensores de GPS (sistema de posicionamiento global), micrófonos, altavoces, radios NFC (transmisión de datos en proximidad), ranuras de tarjetas de almacenamiento, interfaces USB, interfaces Bluetooth, radios móviles y Wi-Fi. Puedes usar restricciones de hardware para controlar la disponibilidad de estas funciones.

A continuación se indican las opciones de configuración de MDM que Windows10 Mobile admite para configurar las restricciones de hardware.

Nota: Algunas de estas restricciones de hardware proporcionan conectividad y ayudan en la protección de datos.

  • Permitir NFC: Indica si la radio NFC está habilitada.
  • Permitir conexión USB: Indica si la conexión USB está habilitada (no afecta a la carga por USB).
  • Permitir Bluetooth: Indica si los usuarios pueden habilitar y usar la radio Bluetooth en sus dispositivos.
  • Permitir anuncios de Bluetooth: Indica si el dispositivo puede actuar como origen para anuncios de Bluetooth y ser reconocible para otros dispositivos.
  • Permitir modo de reconocimiento de Bluetooth: Indica si el dispositivo puede descubrir otros dispositivos (por ejemplo, auriculares).
  • Permitir preemparejamiento de Bluetooth Indica si se permite que ciertos periféricos Bluetooth específicos empaquetados se emparejen de forma automática con el dispositivo host.
  • Lista de servicios permitidos de Bluetooth: La lista de servicios y perfiles de Bluetooth a los que el dispositivo se puede conectar.
  • Establecer nombre de dispositivo local de Bluetooth: El nombre del dispositivo local de Bluetooth.
  • Permitir cámara: Indica si la cámara está habilitada.
  • Permitir tarjeta de almacenamiento: Indica si la ranura para tarjetas de almacenamiento está habilitada.
  • Permitir grabación de voz: Indica si el usuario puede usar el micrófono para crear grabaciones de voz.
  • Permitir ubicación: Indica si el dispositivo puede usar el sensor de GPS u otros métodos para determinar la ubicación, con el fin de que las aplicaciones puedan usar la información de ubicación.

Certificados

Se aplica a: Dispositivos personales y corporativos

Los certificados ayudan a mejorar la seguridad al proporcionar autenticación de cuentas, autenticación de Wi Fi, cifrado de VPN y cifrado SSL del contenido web. Aunque los usuarios pueden administrar los certificados de los dispositivos manualmente, el procedimiento recomendado es usar el sistema MDM para administrar dichos certificados durante todo su ciclo de vida, desde la inscripción hasta la renovación y la revocación. Para instalar certificados manualmente, puedes registrarlos en el sitio web de Microsoft Edge o enviarlos directamente por correo electrónico, lo que es ideal para efectuar pruebas. Con el uso de SCEP y sistemas MDM, la administración de certificados es completamente transparente y no requiere ninguna intervención del usuario, lo que ayuda a mejorar su productividad y a reducir las llamadas al soporte técnico. El sistema MDM puede implementar automáticamente estos certificados en los almacenes de certificados de los dispositivos después inscribir el dispositivo (siempre que el sistema MDM admita el protocolo de inscripción de certificados simple [SCEP] o el intercambio de información personal [PFX]). El servidor MDM también puede consultar y eliminar los certificados de cliente SCEP inscritos (incluidos los certificados instalados por el usuario) o desencadenar una nueva solicitud de inscripción antes de que el certificado actual expire. Además de la administración de certificados SCEP, Windows10 Mobile admite la implementación de certificados PFX. En la tabla siguiente se muestra la configuración de implementación de certificados PFX de Windows10 Mobile. Puedes obtener información más detallada sobre la administración de certificados MDM en Client Certificate Install CSP (CSP de instalación de certificados cliente) y en Install digital certificates on Windows 10 Mobile (Instalación de certificados digitales en Windows10 Mobile). Usa la opción Permitir la instalación de certificado raíz manualmente para impedir que los usuarios instalen manualmente certificados raíz y de CA intermedias, ya sea de manera voluntaria o accidental.

Nota: Para diagnosticar los problemas relacionados con los certificados en dispositivos Windows10 Mobile, usa la aplicación gratuita Certificates de Microsoft Store. Esta aplicación de Windows10 Mobile puede ayudarte a hacer lo siguiente:

  • Ver un resumen de todos los certificados personales.
  • Ver los detalles de certificados individuales.
  • Ver los certificados que se usan para la autenticación de correo electrónico, Wi-Fi y VPN.
  • Identificar los certificados que podrían haber expirado.
  • Comprobar la ruta de los certificados y confirmar que tienes los certificados de CA intermedia y raíz correctos.
  • Ver las claves de certificado almacenadas en el TPM del dispositivo.

Perfiles Wi-Fi

Se aplica a: Dispositivos corporativos y personales

El Wi-Fi se usa en los dispositivos móviles con la misma frecuencia, o incluso más, que las conexiones de datos móviles. La mayoría de las redes Wi-Fi corporativas requiere certificados y otra información compleja para restringir y proteger el acceso de los usuarios. La configuración de esta información de Wi-Fi avanzada puede resultar difícil para los usuarios comunes, pero los sistemas MDM pueden configurar completamente estos perfiles Wi-Fi sin la intervención del usuario. Es posible crear varios perfiles Wi-Fi en el sistema MDM. La tabla siguiente muestra la configuración de los perfiles de conexión Wi-Fi de Windows10 Mobile que los administradores pueden configurar.

  • SSID El nombre del identificador del conjunto de servicio de la red Wi-Fi que distingue mayúsculas de minúsculas.
  • Tipo de seguridad El tipo de seguridad que la red Wi-Fi usa; puede ser uno de los siguientes tipos de autenticación:
    • Abierta 802.11
    • Compartida 802.11
    • WPA-Enterprise 802.11
    • WPA-Personal 802.11
    • WPA2-Enterprise 802.11
    • WPA2-Personal 802.11
  • Cifrado de autenticación El tipo de cifrado que la autenticación usa; puede ser uno de los siguientes métodos de cifrado:
    • Ninguno (sin cifrado)
    • Privacidad equivalente por cable
    • Protocolo de integridad de claves temporal
    • Estándar de cifrado avanzado (AES)
  • Protocolo de autenticación ampliable-Seguridad de la capa de transporte (EAP-TLS) Los tipos de seguridad WPA.Enterprise 802.11 y WPA2-Enterprise 802.11 pueden usar EAP-TLS con certificados para la autenticación.
  • Protocolo de autenticación ampliable con Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (PEAP-MSCHAPv2) Los tipos de seguridad WPA-Enterprise 802.11 y WPA2-Enterprise 802.11 pueden usar PEAP-MSCHAPv2 con un nombre de usuario y una contraseña para la autenticación.
  • Clave compartida Los tipos de seguridad WPA-Personal 802.11 y WPA2-Personal 802.11 pueden usar una clave compartida para la autenticación.
  • Proxy La configuración de cualquier proxy de red que la conexión Wi-Fi requiera (para especificar el servidor proxy, usa el nombre de dominio completo [FQDN], la dirección de Protocolo de Internet versión 4 [IPv4], la dirección IP versión 6 [IPv6] o la dirección IPvFuture).
  • Deshabilitar las comprobaciones de conectividad de Internet Indica si la conexión Wi-Fi debe comprobar si existe conectividad a Internet.
  • Dirección URL de autoconfiguración del proxy Una dirección URL que especifica el archivo de configuración automática de proxy.
  • Habilitar protocolo de autodescubrimiento de proxy web (WPAD) Especifica si el protocolo WPAD está habilitado.

Además, es posible establecer algunas opciones de configuración de Wi-Fi para todos los dispositivos.

  • Permitir autoconexión a zonas de sensor Wi-Fi Indica si el dispositivo detectará y se conectará automáticamente a redes Wi-Fi.
  • Permitir la configuración Wi-Fi manual Indica si el usuario puede modificar manualmente la configuración de Wi-Fi.
  • Permitir Wi-Fi Indica si se habilita el hardware de Wi-Fi.
  • Permitir conexión compartida Indica si la conexión compartida se permite o no.
  • Modo de búsqueda de WLAN Indica lo activamente que el dispositivo busca redes Wi-Fi.

Puedes obtener información más detallada sobre la configuración de perfiles de conexión Wi-Fi en Wi-Fi CSP (CSP de Wi-Fi) y Policy CSP (CSP de directivas).

Perfiles de APN

Se aplica a: Dispositivos corporativos

Un nombre de punto de acceso (APN) define las rutas de red para la conectividad de datos móviles. Normalmente, se define un solo APN para un dispositivo en colaboración con un operador de telefonía móvil. Sin embargo, es posible definir varios APN si la empresa usa varios operadores de telefonía móvil. Un APN proporciona una conexión privada a la red corporativa que no está disponible para otras empresas de la red del operador de telefonía móvil. Puedes definir e implementar perfiles de APN en sistemas MDM que configuren la conectividad de datos móviles para Windows10 Mobile. Los dispositivos que ejecutan Windows10 Mobile solo pueden tener un perfil de APN. A continuación se muestra la configuración de MDM que Windows10 Mobile admite para los perfiles de APN.

  • Nombre de APN El nombre del APN.
  • Tipo de conexión IP El tipo de conexión IP; se puede establecer en uno de los siguientes valores:
    • IPv4 only
    • IPv6 only
    • IPv4 and IPv6 concurrently
    • IPv6 with IPv4 provided by 46xlat
  • Adjunto LTE Indica si el APN se debe adjuntar como parte de un adjunto LTE.
  • Id. de clase de APN El identificador único global que define la clase de APN para el módem.
  • Tipo de autenticación de APN El tipo de autenticación de APN; se puede establecer en uno de los siguientes valores:
    • Ninguno
    • Automático
    • PAP
    • CHAP
    • MSChapv2
  • Nombre de usuario La cuenta de usuario cuando los usuarios seleccionan la autenticación PAP (Protocolo de autenticación de contraseñas), CHAP o MSCHAPv2 en Tipo de autenticación de APN.
  • Contraseña La contraseña de la cuenta de usuario especificada en Nombre de usuario.
  • Id. de tarjeta de circuitos integrados El identificador de tarjeta de circuitos integrados asociado con el perfil de conexión de datos.
  • Siempre activo Indica si el administrador de conexiones intentará conectarse automáticamente al APN siempre que esté disponible.
  • Conexión habilitada Especifica si se habilita la conexión con el APN.
  • Permitir control de usuario Permite a los usuarios conectarse a otros APN distintos del APN de la empresa.
  • Ocultar vista Especifica si la experiencia del usuario móvil permitirá al usuario ver los APN de empresa.

Puedes conseguir información más detallada sobre la configuración de APN en APN CSP (CSP de APN).

Proxy

Se aplica a: Dispositivos corporativos

A continuación se muestra la configuración de Windows10 Mobile para administrar la configuración de proxy de APN para la conectividad de dispositivos Windows10 Mobile.

  • Nombre de la conexión Especifica el nombre de la conexión con la que está asociado el proxy (se trata del nombre de APN de una conexión configurada).
  • Omitir local Especifica si el proxy debe omitirse cuando el dispositivo accede a hosts locales.
  • Habilitar Especifica si el proxy está habilitado.
  • Excepción Especifica una lista delimitada por puntos y coma de hosts externos que deben omitir el proxy cuando se accede a ellos.
  • Nombre de usuario Especifica el nombre de usuario empleado para conectarse al proxy.
  • Contraseña Especifica la contraseña empleada para conectarse al proxy.
  • Servidor Especifica el nombre del servidor proxy.
  • Tipo de conexión proxy El tipo de conexión proxy. Admite Null proxy, HTTP, WAP, SOCKS4.
  • Puerto El número de puerto de la conexión proxy.

Para obtener más detalles sobre la configuración de proxy, consulta CM_ProxyEntries CSP.

VPN

Se aplica a: Dispositivos corporativos y personales

Con frecuencia, las organizaciones usan una VPN para controlar el acceso a las aplicaciones y los recursos de la intranet de la empresa. Además de los protocolos de VPN nativos de Microsoft, que son el protocolo de túnel punto a punto (PPTP), el protocolo de túnel de capa 2 (L2TP) y el protocolo de intercambio de claves de Internet versión 2 (IKEv2), Windows10 Mobile admite conexiones de VPN SSL, que requieren un complemento descargable de Microsoft Store y son específicas del proveedor de VPN de tu elección. Estos complementos funcionan como si fueran aplicaciones y pueden instalarse directamente desde Microsoft Store mediante el sistema MDM (consulta Administración de aplicaciones).

Es posible crear y aprovisionar varios perfiles de conexión VPN y luego implementarlos en dispositivos administrados que ejecuten Windows10 Mobile. Para crear un perfil de VPN que use protocolos de VPN nativos de Windows10 Mobile (como IKEv2, PPTP o L2TP), puedes usar la siguiente configuración:

  • Servidores VPN El servidor VPN para el perfil de VPN.
  • Tipo de directiva de enrutamiento El tipo de directiva de enrutamiento que el perfil de VPN usa. Se puede establecer en uno de los siguientes valores:
    • Túnel dividido. Solo el tráfico de red destinado a la intranet pasa por la conexión VPN.
    • Forzar túnel. Todo el tráfico pasa por la conexión VPN.
  • Tipo de Protocolo de túnel. El protocolo de túnel que se usa para los perfiles de VPN que emplean protocolos de VPN nativos de Windows10 Mobile. Puede tener uno de los siguientes valores: PPTP, L2TP, IKEv2, Automatic.
  • Método de autenticación de usuario El método de autenticación de usuario para la conexión VPN. Puede tener un valor de EAP o MSChapv2 (Windows10 Mobile no admite el valor MSChapv2 para conexiones VPN basadas en IKEv2).
  • Certificado de máquina El certificado de máquina que se usa para las conexiones VPN basadas en IKEv2.
  • Configuración de EAP Para crear una experiencia de inicio de sesión único para los usuarios de VPN que empleen autenticación con certificado, tendrás que crear un archivo XML de configuración del protocolo de autenticación extensible (EAP) e incluirlo en el perfil de VPN.
  • L2tpPsk La clave precompartida usada para una conexión L2TP.
  • Conjunto de aplicaciones criptográficas Habilita la selección de los atributos del conjunto de aplicaciones criptográficas usado para la tunelización IPsec.

Nota: El modo más fácil de crear un perfil para una experiencia de inicio de sesión único con un XML de configuración de EAP es mediante la herramienta de rasphone en un equipo Windows10. Una vez que se ejecuta rasphone.exe, el asistente para la configuración te guiará por los pasos necesarios. Para obtener instrucciones paso a paso sobre cómo crear el blob XML de configuración de EAP, consulta EAP configuration (Configuración de EAP). Puedes usar el blob XML resultante en el sistema MDM para crear el perfil de VPN en el teléfono Windows10 Mobile. Si tienes varios certificados en los dispositivos, puede que desees configurar unas condiciones de filtrado para la selección de certificados automática, de forma que el empleado no tenga que seleccionar un certificado de autenticación cada vez que la VPN se active. Consulta este artículo para obtener más información. Windows10 para PC y Windows10 Mobile tienen el mismo cliente de VPN.

Los complementos de VPN basados en Microsoft Store para la conexión VPN permiten crear un perfil de complemento de VPN con los siguientes atributos:

  • Servidor de VPN Una lista separada por comas de servidores VPN. Puedes especificar los servidores con una dirección URL, un nombre de host completo o una dirección IP.
  • Configuración personalizada Un blob XML con codificación HTML para la información de configuración específica del complemento SSL-VPN (por ejemplo, la información de autenticación) que el proveedor del complemento requiere.
  • Nombre de la familia del complemento de VPN de Microsoft Store Especifica el nombre de la familia del paquete de Microsoft Store para el complemento de VPN basado en Microsoft Store.

Además, por cada perfil de VPN se puede especificar lo siguiente:

  • Lista de desencadenadores de aplicaciones Puedes agregar una lista de desencadenadores de aplicaciones para cada perfil de VPN. La aplicación especificada en la lista activará automáticamente el perfil de VPN para la conectividad a la intranet. Cuando sean necesarios varios perfiles de VPN para proporcionar varias aplicaciones, el sistema operativo establecerá automáticamente la conexión VPN cuando el usuario cambie entre las aplicaciones. Solo puede haber una conexión VPN activa a la vez. Si se interrumpe la conexión VPN en el dispositivo, Windows10 Mobile vuelve a conectar automáticamente a la VPN sin la intervención del usuario.
  • Lista de rutas Una lista de rutas que agregar a la tabla de enrutamiento para la interfaz VPN. Esto es necesario para los casos de tunelización dividida en los que el sitio del servidor VPN tenga más subredes que la subred predeterminada en base a la IP asignada a la interfaz.
  • Lista de información de nombres de dominio Las reglas de la tabla de directivas de resolución de nombres (NRPT) para el perfil de VPN.
  • Lista de filtros de tráfico Especifica una lista de reglas. Solo el tráfico que coincida con estas reglas se podrá enviar a través de la interfaz VPN.
  • Sufijos DNS Una lista separada por comas de sufijos DNS para la conexión VPN. Los sufijos DNS de esta lista se agregan automáticamente a la lista de búsqueda de sufijos.
  • Proxy Cualquier compatibilidad con proxy de conexiones posteriores necesaria para la conexión VPN. Incluye el nombre del servidor proxy y la dirección URL de configuración de proxy automática. Especifica la dirección URL para la recuperación automática de la configuración del servidor proxy.
  • Conexión siempre activa Windows10 Mobile incluye VPN siempre conectada, lo que hace posible iniciar automáticamente una conexión VPN cuando un usuario inicia sesión. La VPN permanece conectada hasta que el usuario la desconecta manualmente.
  • Recordar credenciales Indica si la conexión VPN almacena las credenciales en caché.
  • Detección de red de confianza Una lista separada por comas de redes de confianza que provoca que la VPN no se conecte cuando la intranet sea accesible directamente (Wi-Fi).
  • Id. de modo de protección de datos de empresa El identificador de la empresa, que es un campo opcional que permite a la VPN desencadenarse automáticamente en base a una aplicación definida con una directiva de Windows Information Protection.
  • Cumplimiento de dispositivo Para configurar el acceso condicional basado en Azure AD para las VPN y permitir que los SSO con un certificado distinto del certificado de autenticación de VPN para la autenticación Kerberos en el caso de cumplimiento del dispositivo.
  • Perfil de VPN de bloqueo Un perfil de VPN de bloqueo tiene las siguientes características:
    • Es un perfil de VPN siempre activo.
    • Nunca se puede desconectar.
    • Si el perfil de VPN no está conectado, el usuario no tiene conectividad de red.
    • No se puede conectar ni modificar ningún otro perfil de VPN.
  • ProfileXML En el caso de que el sistema MDM no admita toda la configuración de VPN que desees modificar, puedes crear un archivo XML que defina el perfil de VPN que quieras aplicar a todos los campos necesarios.

Para obtener más información acerca de los perfiles de VPN, consulta VPNv2 CSP (CSP de VPNv2).

Algunas opciones de configuración de todos los dispositivos para administrar las conexiones VPN pueden ayudarte a administrar las VPN a través de conexiones de datos móviles, lo cual, a su vez, te ayudará a reducir los gastos asociados con los cargos de itinerancia o de planes de datos.

  • Permitir VPN Indica si los usuarios pueden cambiar la configuración de las VPN.
  • Permitir VPN sobre móvil Indica si los usuarios pueden establecer conexiones VPN a través de redes de telefonía móvil.
  • Permitir VPN sobre móvil en itinerancia Indica si los usuarios pueden establecer conexiones VPN a través de redes de telefonía móvil durante la itinerancia.

Administración de almacenamiento

Se aplica a: Dispositivos corporativos y personales

La protección de las aplicaciones y los datos almacenados en un dispositivo es fundamental para la seguridad de este. Un método para ayudar a proteger las aplicaciones y los datos es cifrar el almacenamiento interno del dispositivo. El cifrado del dispositivo en Windows 10 Mobile ayuda a proteger los datos corporativos contra el acceso no autorizado, incluso cuando un usuario no autorizado tiene la posesión física del dispositivo.

Windows10 Mobile también posee la capacidad de instalar aplicaciones en una tarjeta SD (Secure Digital). El sistema operativo almacena las aplicaciones en una partición designada específicamente para ese propósito. Esta función está siempre activa, por lo que no es necesario establecer una directiva de forma explícita para habilitarla.

La tarjeta SD se empareja de manera única con un dispositivo. Ningún otro dispositivo puede ver las aplicaciones o los datos de la partición cifrada, pero sí puede acceder a los datos almacenados en la partición sin cifrar de la tarjeta SD, como por ejemplo, música o fotos. Esto ofrece a los usuarios la flexibilidad de usar una tarjeta SD a la vez que se protegen las aplicaciones confidenciales y los datos que contiene.

Puedes deshabilitar la opción Permitir tarjeta de almacenamiento si quieres impedir que cualquier empleo de tarjetas SD por parte de los usuarios. Si optas por no cifrar el almacenamiento, puedes ayudar a proteger las aplicaciones y los datos corporativos con las opciones Restringir datos de aplicaciones al volumen del sistema y Restringir aplicaciones al volumen del sistema. Estas ayudan a garantizar que los usuarios no puedan copiar las aplicaciones y los datos en tarjetas SD.

Aquí te presentamos una lista con las opciones de configuración de administración de almacenamiento de MDM que proporciona Windows10 Mobile.

  • Permitir tarjeta de almacenamiento: Indica si se permite el uso de tarjetas de almacenamiento para el almacenamiento de datos.
  • Requerir cifrado de dispositivo Indica si el almacenamiento interno se debe cifrar (cuando un dispositivo está cifrado, no se puede usar una directiva para desactivar dicho cifrado).
  • Método de cifrado Especifica el método de cifrado de la unidad BitLocker y la intensidad del cifrado. Puede tener uno de los siguientes valores:
    • AES-Cipher Block Chaining (CBC) 128-bit
    • AES-CBC 256-bit
    • XEX-based tweaked-codebook mode with cipher text stealing (XTS)–AES (XTS-AES) 128-bit (este es el valor predeterminado)
    • XTS-AES-256-bit
  • Permitir directiva de algoritmo de Estándar federal de procesamiento de información (FIPS) Indica si el dispositivo permite o no la directiva de algoritmo del FIPS.
  • Conjuntos de aplicaciones de cifrado SSL Especifica una lista de los algoritmos de cifrado criptográficos permitidos para las conexiones SSL.
  • Restringir datos de aplicaciones al volumen del sistema Especifica si los datos de las aplicaciones se restringen a la unidad del sistema.
  • Restringir aplicaciones al volumen del sistema Especifica si las aplicaciones se restringen a la unidad del sistema.

Aplicaciones

Se aplica a: Dispositivos corporativos y personales

A menudo, la productividad del usuario en los dispositivos móviles está condicionada por las aplicaciones.

Windows10 hace posible desarrollar aplicaciones que funcionen de manera óptima en varios dispositivos con la Plataforma universal de Windows (UWP) para aplicaciones de Windows. La UWP hace converger la plataforma de aplicaciones para todos los dispositivos que ejecutan Windows10, de forma que las aplicaciones se ejecuten sin modificaciones en todas las ediciones de Windows10. Esto ahorra a los desarrolladores tiempo y recursos y ayuda a ofrecer aplicaciones a los usuarios móviles de forma más rápida y eficaz. Este modelo de escritura única y ejecución en cualquier lugar también aumenta la productividad del usuario al proporcionar una experiencia de la aplicación coherente y familiar en cualquier tipo de dispositivo.

Para la compatibilidad con las aplicaciones existentes, las aplicaciones de Windows Phone8.1 aún funcionan en dispositivos Windows10 Mobile, lo que facilita la migración a la plataforma más reciente. Microsoft recomienda que migres las aplicaciones a la UWP para aprovechar al máximo las mejoras de Windows10 Mobile. Además, se han desarrollado puentes para actualizar de forma fácil y rápida las aplicaciones de Windows Phone8.1 (Silverlight) y de iOS existentes a la UWP.

Microsoft también ha facilitado que las organizaciones obtengan la licencia y compren aplicaciones para UWP a través de la Microsoft Store para Empresas y que las implementen en los dispositivos de los empleados con la Microsoft Store o un sistema MDM, que pueden integrarse con la Microsoft Store para Empresas. Poner las aplicaciones en las manos de los trabajadores móviles es fundamental, pero también se necesita una forma eficaz de garantizar que las aplicaciones cumplan con las directivas corporativas respecto a la seguridad de los datos.

Para obtener más información sobre las aplicaciones Windows universales, consulta la Guía de aplicaciones para la Plataforma universal de Windows (UWP) para obtener más información, o realiza este Quick Start Challenge: Universal Windows Apps in Visual Studio (Desafío de inicio rápido: Aplicaciones de Windows universales en Visual Studio). Consulta también Migración de aplicaciones a Windows10.

Microsoft Store para Empresas: Uso de la aplicación correcto

Se aplica a: Dispositivos corporativos y personales

El primer paso para la administración de aplicaciones es obtener las aplicaciones que necesitan los usuarios. Puedes desarrollar tus propias aplicaciones o puedes obtenerlas de Microsoft Store. Con Windows Phone8.1, se necesitaba una MSA para adquirir e instalar aplicaciones de Microsoft Store. Con la Microsoft Store para Empresas, Microsoft permite a las organizaciones adquirir aplicaciones para los empleados desde una tienda privada con Microsoft Store, sin necesidad de ninguna MSA en dispositivos Windows10.

La Microsoft Store para Empresas es un portal web que permite a los administradores de TI buscar, adquirir, administrar y distribuir aplicaciones en dispositivos Windows10.

Los administradores de Azure AD autenticados tienen acceso a la configuración y la funcionalidad de la Microsoft Store para Empresas, mientras que los administradores de la tienda pueden crear una categoría privada de aplicaciones que sean específicas y privadas para su organización. (Aquí puedes obtener más detalles sobre a qué tienen acceso las cuentas específicas de Azure AD en la Microsoft Store para Empresas). La Microsoft Store para Empresas permite a las organizaciones comprar licencias de aplicaciones para su organización y poner las aplicaciones a la disposición de sus empleados. Además de las aplicaciones estén disponibles comercialmente, los desarrolladores pueden publicar aplicaciones de línea de negocio (LOB) en la Microsoft Store para Empresas si lo solicitan. También es posible integrar las suscripciones a la Microsoft Store para Empresas con sus sistemas MDM, para que el sistema MDM pueda distribuir y gestionar aplicaciones desde su suscripción gratuita a la Microsoft Store para Empresas.

La Microsoft Store para Empresas admite la distribución de aplicaciones con dos modelos de licencias: en línea y sin conexión.

El modelo en línea (administradas por la Store) es el método recomendado y admite escenarios de administración tanto de dispositivos personales como de dispositivos corporativos. Para instalar aplicaciones en línea, el dispositivo debe tener acceso a Internet en el momento de la instalación. En los dispositivos corporativos, un empleado puede autenticarse con una cuenta de Azure AD para instalar aplicaciones en línea. En los dispositivos personales, un empleado debe registrar su dispositivo en Azure AD para poder instalar aplicaciones en línea con licencia corporativas. Los usuarios de dispositivos corporativos encontrarán aplicaciones de empresa con licencia en la aplicación de la Store de su teléfono, en un catálogo privado. Si existe un sistema MDM asociado con la Microsoft Store para Empresas, los administradores de TI pueden presentar aplicaciones de la Store en el catálogo de aplicaciones de dicho sistema MDM, donde los usuarios podrán buscar e instalar sus aplicaciones deseadas. Los administradores de TI también pueden enviar las aplicaciones necesarias directamente a los dispositivos de los empleados sin la intervención de estos.

Los empleados con dispositivos personales pueden instalar aplicaciones con licencia de su organización con la aplicación de la Store de su dispositivo. Si quieren comprar aplicaciones personales, pueden utilizar la cuenta de Azure AD o la cuenta de Microsoft en la aplicación de la Store. Si permites que los empleados con dispositivos corporativos agreguen una cuenta de Microsoft (MSA), la aplicación Store del dispositivo proporcionará un método unificado para instalar aplicaciones personales y corporativas.

Las aplicaciones con licencia en línea no tienen que transferirse ni descargarse de la Microsoft Store al sistema MDM para distribuirlas y administrarlas. Si un empleado elige una aplicación propiedad de la empresa, esta se instalará automáticamente desde la nube. Además, las aplicaciones se actualizarán automáticamente cuando se encuentre disponible una nueva versión, o podrán quitarse si es necesario. Si el sistema MDM o el usuario quitan una aplicación de un dispositivo, la Microsoft Store para Empresas reclama la licencia para que pueda usarla otro usuario o emplearse en otro dispositivo.

Para distribuir una aplicación sin conexión (administrada por la organización), dicha aplicación debe descargarse desde la Microsoft Store para Empresas. Esto puede realizarlo un administrador autorizado en el portal de la Microsoft Store para Empresas. Las licencias sin conexión requieren que el desarrollador de la aplicación acepte el modelo de licencia, ya que Microsoft Store ya no es capaz de realizar el seguimiento de las licencias en lugar del desarrollador. Si el desarrollador de la aplicación no permite la descarga de la aplicación desde Microsoft Store, tendrás que obtener los archivos directamente de él o usar el método de licencia en línea.

Para instalar aplicaciones adquiridas de Microsoft Store o de la línea de negocio sin conexión en un dispositivo Windows10 Mobile, los administradores de TI pueden usar un sistema MDM. El sistema MDM distribuye los paquetes de las aplicaciones que hayas descargado de la Microsoft Store (lo que también se denomina instalación de prueba) a dispositivos Windows10 Mobile. La compatibilidad con la distribución de aplicaciones sin conexión depende del sistema MDM que se utilice; por lo tanto, consulta la documentación del proveedor de MDM para obtener información. Puedes automatizar por completo el proceso de implementación de aplicaciones, de modo que no se necesite ninguna intervención del usuario.

Las aplicaciones de Microsoft Store o las aplicaciones de línea de negocio que se hayan cargado en la Microsoft Store para Empresas se consideran de confianza automáticamente en todos los dispositivos Windows, ya que están firmadas criptográficamente con certificados de Microsoft Store. Las aplicaciones de línea de negocio que se cargan en la Microsoft Store para Empresas son privadas para la organización y no son visibles para otras empresas o consumidores. Si no deseas cargar tus aplicaciones de línea de negocio, tienes que establecer que dichas aplicaciones son de confianza en los dispositivos. Para ello, tendrás que generar un certificado de firma con tu infraestructura de clave pública y agregar la cadena de confianza a los certificados de confianza en el dispositivo (consulta la sección sobre los certificados). Puedes instalar hasta 20 aplicaciones de línea de negocio autofirmadas en cada dispositivo con Windows10 Mobile. Para instalar más de 20 aplicaciones en un dispositivo, puedes comprar un certificado de firma de una entidad de certificación pública de confianza o actualizar los dispositivos a la edición Windows10 Mobile Enterprise.

Obtén más información sobre la Microsoft Store para Empresas.

Administración de aplicaciones

Se aplica a: Dispositivos corporativos

Los administradores de TI pueden controlar qué aplicaciones pueden instalarse en dispositivos Windows10 Mobile y cómo deberían mantenerse actualizadas.

Windows10 Mobile incluye AppLocker, que permite a los administradores crear listas de aplicaciones permitidas y no permitidas (también llamadas a veces lista blanca y lista negra) de Microsoft Store. Esta funcionalidad se extiende también a las aplicaciones integradas, como Xbox, Groove, la mensajería de texto, el correo electrónico y el calendario, etc. La capacidad de permitir o denegar aplicaciones ayuda a garantizar que los usuarios empleen sus dispositivos móviles para los fines previstos. Sin embargo, no siempre resulta sencillo encontrar un equilibrio entre lo que los empleados necesitan o solicitan y los problemas de seguridad. La creación de listas de aplicaciones permitidas y no permitidas también requiere mantenerse al día del cambiante mundo de las aplicaciones de Microsoft Store.

Para obtener más información, consulta AppLocker CSP (CSP de AppLocker).

Además de controlar qué aplicaciones se permiten, los profesionales de TI también pueden implementar una configuración adicional para la administración de aplicaciones en Windows10 Mobile mediante un sistema MDM.

  • Permitir todas las aplicaciones de confianza Indica si los usuarios pueden realizar instalaciones de prueba de aplicaciones en el dispositivo.
  • Permitir la actualización automática de aplicaciones de la Store Indica si se permiten actualizaciones automáticas de las aplicaciones de Microsoft Store.
  • Permitir desbloqueo de desarrollador Indica si se permite el desbloqueo de desarrollador.
  • Permitir compartir datos de aplicación de usuarios Indica si varios usuarios de la misma aplicación pueden compartir datos.
  • Permitir Store Indica si se permite la ejecución de la aplicación de Microsoft Store. Esto impedirá completamente al usuario instalar aplicaciones de la Store, pero seguirá permitiendo la distribución de aplicaciones a través de un sistema MDM.
  • Restricciones de aplicaciones Un blob XML que define las restricciones de aplicaciones para un dispositivo. El blob XML puede incluir una lista de aplicaciones permitidas o denegadas, y puedes permitir o denegar aplicaciones según su identificador de aplicación o editor. Consulta el tema anterior sobre AppLocker.
  • Deshabilitar aplicaciones originadas en la Store Deshabilita el inicio de todas las aplicaciones de Microsoft Store que se encontraran preinstaladas o se descargaran antes de aplicar la directiva.
  • Requerir solo la tienda privada Indica si la tienda privada está disponible exclusivamente para los usuarios en la aplicación Store del dispositivo. Si se habilita, solo la tienda privada está disponible. Si se deshabilita, estarán disponibles el catálogo de venta de la aplicación y la tienda privada.
  • Restringir datos de aplicaciones al volumen del sistema Especifica si los datos de las aplicaciones se permiten solo en la unidad del sistema o si se pueden almacenar también en una tarjeta SD.
  • Restringir aplicaciones al volumen del sistema Especifica si se permite la instalación de las aplicaciones únicamente en la unidad del sistema o si se pueden instalar también en una tarjeta SD.
  • Diseño de la pantalla Inicio Un blob XML que se usa para configurar la pantalla Inicio (consulta Start layout for Windows 10 Mobile editions [Diseño de Inicio para las ediciones de Windows 10 Mobile] para obtener más información).

Puedes encontrar más información sobre las opciones de administración de aplicaciones en Policy CSP (CSP de directivas).

Prevención de fuga de datos

Se aplica a: Dispositivos corporativos y personales

Uno de los desafíos más importantes a la hora de proteger la información corporativa en los dispositivos móviles es mantener los datos empresariales separados de los datos personales. La mayoría de las soluciones disponibles para crear esta separación de datos requieren que los usuarios inicien sesión con un nombre de usuario y una contraseña distintas en un contenedor que almacena todas las aplicaciones y los datos corporativos, una experiencia que disminuye la productividad del usuario.

Windows10 Mobile incluye Windows Information Protection para mantener los datos corporativos protegidos y los datos personales privados de una forma transparente. Etiqueta los datos personales y los corporativos de forma automática y aplica directivas para aquellas aplicaciones que pueden acceder a datos clasificados como corporativos. Esto incluye si los datos se encuentran en un almacenamiento extraíble o local. Dado que los datos corporativos siempre está protegidos, los usuarios no pueden copiarlos en ubicaciones públicas, como el correo electrónico personal o las redes sociales.

Windows Information Protection funciona con todas las aplicaciones, que se clasifican en dos categorías: habilitada y no habilitadas. Las aplicaciones habilitadas pueden distinguir entre datos corporativos y datos personales para determinar correctamente qué datos deben protegerse según las directivas. Los datos corporativos se cifrarán en todo momento y se producirá un error si se intenta copiar y pegar o compartir esta información con aplicaciones o usuarios no corporativos. Las aplicaciones no habilitadas consideran todos los datos corporativos y cifrarán todo de manera predeterminada.

Cualquier aplicación desarrollada en la plataforma UWA se puede habilitar. Microsoft ha realizado un esfuerzo coordinado para optimizar algunas de sus aplicaciones más populares, lo que incluye:

  • Microsoft Edge
  • Contactos de Microsoft
  • Aplicaciones móviles de Office (Word, Excel, PowerPoint y OneNote)
  • Correo y Calendario de Outlook
  • Fotos de Microsoft
  • Microsoft OneDrive
  • Groove Música
  • Películas y TV de Microsoft
  • Mensajes de Microsoft

La siguiente tabla muestra las opciones de configuración que se puede ajustar para Windows Information Protection:

  • Nivel de cumplimiento* Puedes definir el nivel de cumplimiento para la protección de la información.
    • Desactivado (sin protección)
    • Modo silencioso (solo cifrar y auditar)
    • Modo de invalidación (cifrar, solicitar y auditar)
    • Modo de bloqueo (cifrar, bloquear y auditar)
  • Nombres de dominio protegidos de empresa* Una lista de dominios usados por la empresa para las identidades de sus usuarios. Las identidades de los usuario de uno de estos dominios se consideran cuentas administradas por la empresa y los datos asociados con ellas deben protegerse.
  • Permitir descifrado de usuario Permite al usuario desencriptar archivos. Si no se permite, el usuario no podrá quitar la protección del contenido de la empresa mediante la experiencia de usuario del sistema operativo ni de la aplicación.
  • Requerir protección bajo configuración de bloqueo Especifica si debe configurarse la protección de la característica de bloqueo (también conocida como cifrar con PIN).
  • Certificado de recuperación de datos* Especifica un certificado de recuperación que se puede utilizar para recuperar datos de archivos cifrados. Es lo mismo que el certificado del agente de recuperación de datos (DRA) para el sistema de cifrado de archivos (EFS), solo que se entrega a través del sistema MDM en lugar de mediante la directiva de grupo.
  • Revocar al anular inscripción Especifica si se deben revocar las claves de protección de la información cuando se anula la inscripción de un dispositivo del servicio de administración.
  • Id. de plantilla de RMS para protección de información Permite al administrador de TI configurar los detalles sobre quién tiene acceso a archivos protegidos por RMS y durante cuánto tiempo.
  • Permitir RMS de Azure para protección de información Especifica si debe permitirse el cifrado RMS de Azure para la protección de la información.
  • Mostrar iconos de protección de información Determina si se agregan superposiciones a los iconos de los archivos asegurados con protección de la información en el explorador web y en los iconos de las aplicaciones solo empresariales en el menú Inicio.
  • Estado Una máscara de bits de solo lectura que indica el estado actual de la protección de la información en el dispositivo. El servicio MDM puede usar este valor para determinar el estado general actual de la protección de la información.
  • Intervalos de IP de empresa* Los intervalos IP de la empresa que definen los equipos que se encuentran en la red empresarial. Los datos que procedan de dichos equipos se considerarán parte de la empresa y se protegerán.
  • Nombres de dominio de red de empresa* La lista de dominios que componen los límites de la empresa. Los datos de uno de estos dominios que se envíen a un dispositivo se considerarán datos de empresa y se protegerán.
  • Recursos de Enterprise Cloud Una lista de los dominios de recursos de empresa hospedados en la nube que deben protegerse.

Nota: *Son directivas obligatorias de Windows Information Protection. Para que Windows Information Protection resulte funcional, es necesario configurar las opciones de AppLocker y de aislamiento de red, específicamente Intervalo IP de la empresa y Nombres de dominio de red de empresa. Esto define el origen de todos los datos corporativos que necesitan protección y también garantiza que los datos escritos en estas ubicaciones no se cifrarán con la clave de cifrado del usuario, para que otras personas de la empresa pueden acceder a ellos.

Para obtener más información sobre Windows Information Protection, consulta EnterpriseDataProtection CSP (CSP de EnterpriseDataProtection) y la siguiente serie de artículos exhaustivos: Protege los datos de tu empresa con Windows Information Protection.

Administración de las actividades de los usuarios

Se aplica a: Dispositivos corporativos

En los dispositivos corporativos, algunas actividades de los usuarios exponen los datos corporativos a riesgos innecesarios. Por ejemplo, los usuarios pueden crear una captura de pantalla de la información corporativa a partir de una aplicación de línea de negocio interna. Para reducir el riesgo, puedes restringir la experiencia del usuario de Windows10 Mobile para ayudar a proteger los datos corporativos y evitar las fugas de datos. A continuación se muestran aquellas funcionalidades que pueden usarse para ayudar a evitar las fugas de datos.

  • Permitir copiar y pegar Indica si los usuarios pueden copiar y pegar contenido.
  • Permitir a Cortana Indica si los usuarios pueden usar Cortana en el dispositivo (si está disponible).
  • Permitir detección de dispositivos Indica si la experiencia del usuario de detección de dispositivos está disponible en la pantalla de bloqueo (por ejemplo, controlar si un dispositivo puede detectar un proyector [u otros dispositivos] cuando se muestra la pantalla de bloqueo).
  • Permitir la personalización de entrada Indica si la información de identificación personal puede salir del dispositivo o guardarse localmente (por ejemplo, aprendizaje de Cortana, entrada manuscrita o dictado).
  • Permitir anulación de inscripción manual del MDM Indica si los usuarios pueden eliminar la cuenta profesional (es decir, anular la inscripción del dispositivo en el sistema MDM).
  • Permitir captura de pantalla Indica si los usuarios pueden realizar capturas de pantalla en el dispositivo.
  • Permitir aviso de diálogo de error de SIM Especifica si se debe mostrar un aviso de cuadro de diálogo si no hay instalada ninguna tarjeta SIM.
  • Permitir sincronizar mi configuración Indica si la configuración de la experiencia del usuario se sincroniza entre distintos dispositivos (funciona solo con cuentas de Microsoft).
  • Permitir notificaciones del sistema sobre la pantalla de bloqueo Indica si los usuarios pueden ver las notificaciones del sistema en la pantalla de bloqueo.
  • Permitir grabación de voz Indica si los usuarios pueden realizar grabaciones de voz.
  • No volver a mostrar notificaciones de comentarios Impide que los dispositivos muestren las preguntas de los comentarios de Microsoft.
  • Permitir cambio de tareas Permite o impide el cambio de tareas en el dispositivo para evitar la visibilidad de marcadores de estado de las aplicaciones de la pantalla de la aplicación en el conmutador de tareas.
  • Habilitar la actualización automática de mapas sin conexión Habilita la descarga y la actualización automáticas de los datos de los mapas.
  • Permitir la descarga de mapas sin conexión en conexión de uso medido Permite la descarga y la actualización de datos de mapa en conexiones de uso medido.

Puedes encontrarás más información sobre la configuración de la experiencia en Policy CSP (CSP de directivas).

Microsoft Edge

Se aplica a: Dispositivos corporativos y personales

Los sistemas MDM también proporcionan la capacidad de administrar Microsoft Edge en dispositivos móviles. Microsoft Edge es el único explorador disponible en dispositivos Windows10 Mobile. Es algo distinto de la versión de escritorio, ya que no admite Flash ni extensiones. Edge también es un excelente visor de PDF, ya que se puede administrar y se integra con Windows Information Protection.

En Windows10 Mobile, es posible administrar las siguientes opciones de configuración para Microsoft Edge.

  • Permitir explorador Indica si los usuarios pueden ejecutar Microsoft Edge en el dispositivo.
  • Permitir encabezados No realizar seguimiento Indica si se permiten encabezados No realizar seguimiento.
  • Permitir InPrivate Indica si los usuarios pueden usar la exploración de InPrivate.
  • Permitir administrador de contraseñas Indica si los usuarios pueden usar el administrador de contraseñas para guardar y administrar las contraseñas localmente.
  • Permitir sugerencias de búsqueda en la barra de direcciones Especifica si se mostrarán sugerencias de búsqueda en la barra de direccione.
  • Permitir SmartScreen Especifica si se habilita el filtro SmartScreen.
  • Cookies Especifica si se permiten cookies.
  • Favoritos Configura las direcciones URL de Favoritos.
  • Dirección URL de primera ejecución La dirección URL que se abrirá cuando un usuario inicie Microsoft Edge por primera vez.
  • Impedir invalidación de avisos de SmartScreen Indica si los usuarios pueden invalidar las advertencias de SmartScreen respecto a las direcciones URL.
  • Impedir invalidación de avisos de SmartScreen para archivos Indica si los usuarios pueden invalidar las advertencias de SmartScreen respecto a archivos.

Administrar

En los entornos de TI empresariales, la necesidad de administración y el control de costes se debe equilibrar con el deseo de ofrecer a los usuarios las tecnologías más recientes. Dado que los ciberataques se han convertido en un suceso cotidiano, es importante mantener correctamente el estado de los dispositivos Windows10 Mobile. El departamento de TI debe controlar las opciones de configuración, impidiendo que incumplan los requisitos, así como hacer cumplir qué dispositivos pueden acceder a las aplicaciones internas. Windows10 Mobile ofrece las funcionalidades de gestión de operaciones móviles necesarias para garantizar que los dispositivos estén en conformidad con la directiva corporativa.

Opciones de mantenimiento

Un proceso de actualización optimizado

Se aplica a: Dispositivos corporativos y personales

Microsoft ha optimizado el ciclo de ingeniería y lanzamiento de productos Windows para que las nuevas características, experiencias y funcionalidades que demanda el mercado se puedan ofrecer de forma más rápida que nunca. Microsoft tiene planeado entregar 2 actualizaciones de características al año (en un período de 12 meses). Las actualizaciones de características establecen una rama actual o CB y tienen una versión asociada.

Rama Versión Fecha de lanzamiento
Rama actual 1511 Noviembre de 2015
Rama actual para empresas 1511 Marzo de 2016
Rama actual 1607 Julio de 2016

Microsoft también entregará e instalará actualizaciones mensuales de seguridad y estabilidad directamente en los dispositivos Windows10 Mobile. Estas actualizaciones de calidad, lanzadas bajo el control de Microsoft a través de Windows Update, están disponibles para todos los dispositivos que ejecutan Windows10 Mobile. Los dispositivos Windows10 Mobile consumen las actualizaciones de funciones y las actualizaciones de calidad como parte del mismo proceso de actualización estándar.

Las actualizaciones de calidad normalmente son más pequeñas que las actualizaciones de características, pero el proceso de instalación y la experiencia es muy similar, aunque las actualizaciones más grandes tardan más tiempo en instalarse. Los clientes empresariales pueden administrar la experiencia y el proceso de actualización en los dispositivos Windows10 Mobile mediante un sistema MDM tras actualizar los dispositivos a la edición Enterprise. En la mayoría de los casos, se aplicarán directivas para administrar el proceso de actualización tanto en el caso de actualizaciones de características como de calidad.

Microsoft aspira a actualizar los dispositivos Windows10 Mobile con las últimas actualizaciones automáticamente y sin ninguna molestia para todos los clientes. De manera inmediata, un dispositivo Windows10 Mobile explorará automáticamente si hay actualizaciones disponibles. Sin embargo, en función de la red del dispositivo y del estado de carga, variarán los métodos y el tiempo de la actualización.

Conexión de red Descripción Detección automática Descarga automática Instalación automática Reinicio automático
Wi-Fi El dispositivo está conectado a una red Wi-Fi personal o corporativa (ningún cargo por datos). Sí/TD> S: Fuera de las horas de actividad (reinicio forzado tras 7 días si el usuario pospone el reinicio).
Red de telefonía móvil El dispositivo solo está conectado a una red de telefonía móvil (se aplican cargos de datos estándar). Se omitirá una exploración diaria si se ha completado correctamente en los últimos 5 días. Solo se producirá si el paquete de actualización es pequeño y no superar el límite de datos del operador de telefonía móvil. Ídem
Red de telefonía móvil: Itinerancia El dispositivo solo está conectado a una red de telefonía móvil y se aplican cargos por itinerancia. No No No Ídem

Realizar el seguimiento de los lanzamientos de actualizaciones

Se aplica a: Dispositivos corporativos y personales

Microsoft publica nuevas actualizaciones de características de Windows10 y Windows10 Mobile de forma regular. La página de información sobre las versiones de Windows se ha diseñado para ayudarte a determinar si los dispositivos tienen instaladas las últimas actualizaciones de calidad y de característica de Windows10. La información sobre versiones publicada en esta página abarca tanto Windows10 para PC como Windows10 Mobile. Además, la página Historial de actualizaciones de Windows te ayuda a comprender en qué consisten dichas actualizaciones.

Nota: Invitamos a los profesionales de TI a participar en el Programa Windows Insider para probar las actualizaciones antes de su lanzamiento oficial, con el fin de que Windows10 Mobile sea mejor que nunca. Si encuentras algún problema, envíanos tus comentarios a través del Centro de opiniones.

Windows como servicio

Se aplica a: Dispositivos corporativos y personales

Microsoft ha creado una nueva forma de entregar e instalar las actualizaciones de Windows10 Mobile directamente en los dispositivos sin la aprobación del operador de telefonía móvil. Esta funcionalidad ayuda a simplificar las implementaciones de las actualizaciones y la administración continua, amplía la base de empleados que se pueden mantener actualizados con las últimas características y experiencias de Windows y disminuye el coste total de propiedad para las organizaciones, que ya no tienen para administrar las actualizaciones para mantener protegidos los dispositivos.

La disponibilidad de las actualizaciones depende de la opción de el mantenimiento que elijas para el dispositivo. Estas opciones de mantenimiento se describen en el siguiente gráfico:

Opción de mantenimiento Disponibilidad de nuevas características para la instalación Duración mínima del ciclo de vida de mantenimiento Ventajas clave Ediciones admitidas
Compilaciones de Windows Insider Según corresponda durante el ciclo de desarrollo, publicado solo a los usuarios de Windows Insider. Variable, hasta que se publique la siguiente compilación de Insider para los usuarios de Windows Insider. Permite que los participantes prueben las nuevas características y la compatibilidad de aplicaciones antes de que se publique/TD una actualización de características.> Móvil
Rama actual (CB) Inmediatamente después de que Microsoft publique la actualización de características en Windows Update. Normalmente, Microsoft publica 2 actualizaciones de características cada período de 12 meses (cada 4 meses, aproximadamente, aunque es posible que sea más tiempo). Pone las nuevas características a disposición de los usuarios tan pronto como es posible. Mobile & Mobile Enterprise
Rama actual para empresas (CBB) Un mínimo de 4 meses después de que Microsoft publique por primera vez la actualización de características correspondiente en Windows Update. Un mínimo de 4 meses, aunque es posible que sean más. No Proporciona tiempo adicional para probar las actualizaciones de nuevas funciones antes de la implementación. Solo Mobile Enterprise

Edición Enterprise

Se aplica a: Dispositivos corporativos

Si bien Windows 10 Mobile proporciona actualizaciones directamente a los dispositivos de los usuarios desde Windows Update, hay muchas organizaciones que desean realizar un seguimiento, probar y programar actualizaciones para los dispositivos corporativos. Para admitir estos requisitos, hemos creado la edición Windows10 Mobile Enterprise.

Actualizar a la edición Windows10 Mobile Enterprise proporciona capacidades adicionales de administración de dispositivos y aplicaciones para las organizaciones que deseen lo siguiente:

  • Aplazar, aprobar e implementar actualizaciones de características y de calidad: Los dispositivos Windows10 Mobile obtienen las actualizaciones directamente desde Windows Update. Si se desea mantener las actualizaciones antes de la implementación, es necesario actualizar a la edición Windows10 Mobile Enterprise. Una vez habilitada la edición Enterprise, el teléfono puede establecerse en la opción de mantenimiento de la rama actual para empresas (CBB), lo que proporciona un tiempo adicional de TI para probar las actualizaciones antes de su publicación.
  • Implementar un número ilimitado de aplicaciones de línea de negocio autofirmadas en un solo dispositivo. Para usar un sistema MDM con el fin de implementar aplicaciones de línea de negocio directamente en los dispositivos, debes firmar criptográficamente los paquetes de software con un certificado de firma de código que genera la entidad de certificación (CA) de tu organización. Puedes implementar un máximo de 20 aplicaciones de línea de negocio autofirmadas en un dispositivo Windows10 Mobile. Para implementar más de 20 aplicaciones de línea de negocio autofirmadas, se requiere Windows10 Mobile Enterprise.
  • Establecer el nivel de datos de diagnóstico: Microsoft recopila datos de diagnóstico para ayudar a proteger los dispositivos Windows y para ayudar a Microsoft a mejorar la calidad de Windows y de los servicios Microsoft. Es necesaria una actualización a la edición Windows10 Mobile Enterprise para establecer el nivel de datos de diagnóstico para que solo se recopile aquella información de diagnóstico necesaria para mantener los dispositivos protegidos.

Para obtener más información sobre los datos de diagnóstico, visita Configurar los datos de diagnóstico de Windows en la organización.

Para activar Windows10 Mobile Enterprise, usa el sistema MDM o un paquete de aprovisionamiento para insertar la licencia de Windows 10 Enterprise en un dispositivo Windows10 Mobile. Las licencias pueden obtenerse en el portal de licencias por volumen. Con fines de prueba, puede obtener un archivo de licencia en el centro de descargas de MSDN. Se requiere una suscripción a MSDN válida.

Detalles sobre cómo actualizar un dispositivo a la edición Enterprise con WindowsLicensing CSP (CSP de WindowsLicensing).

Recomendación: Microsoft recomienda usar la edición Enterprise únicamente en dispositivos corporativos. Una vez que un dispositivo se ha actualizado, no se puede degradar a una versión anterior. Ni siquiera un borrado o el restablecimiento del dispositivo eliminarán la licencia de empresa de los dispositivos personales.

Aplazar y aprobar las actualizaciones con MDM

Se aplica a: Dispositivos corporativos con la edición Enterprise

Una vez que un dispositivo se ha actualizado a la edición Windows10 Mobile Enterprise, puedes administrar los dispositivos que recibirán actualizaciones de Windows Update (o Windows Update para empresas) con un conjunto de directivas de actualización.

Para controlar las actualizaciones de características, tendrás que mover tus dispositivos a la opción de mantenimiento de la rama actual para empresas (CBB). Un dispositivo que esté suscrito a la CBB esperará a que Microsoft Update publique el siguiente CBB. Aunque el dispositivo esperará las actualizaciones de características hasta la próxima CBB, seguirá recibiendo las actualizaciones de calidad.

Para controlar las actualizaciones de calidad mensuales, deben establecerse directivas de aplazamiento adicionales para el período de aplazamiento deseado. Cuando haya actualizaciones de calidad disponibles para los dispositivos Windows10 Mobile en Windows Update, estas actualizaciones no se instalarán hasta que transcurra el período de aplazamiento. Esto proporciona a los profesionales de TI algo de tiempo para probar el efecto de las actualizaciones en los dispositivos y las aplicaciones.

Antes de que las actualizaciones se distribuyen e instalen, es posible que desees probarlas por si presentan problemas o para comprobar la compatibilidad de las aplicaciones. Los profesionales de TI tienen la capacidad necesaria para aprobar las actualizaciones. Esto permite al administrador de MDM seleccionar y aprobar actualizaciones específicas que se instalarán en un dispositivo y aceptar el CLUF asociado con la actualización en nombre del usuario. Recuerda que en Windows10 Mobile todas las actualizaciones se empaquetan como "actualizaciones del sistema operativo" y nunca como correcciones individuales.

Es posible que desees elegir administrar las actualizaciones de características y las actualizaciones de calidad de la misma forma y no esperar a que se publique la siguiente CBB en tus dispositivos. Esto simplifica el lanzamiento de actualizaciones al usar el mismo proceso de aprobación y lanzamiento. Puedes aplicar un período de aplazamiento diferente según el tipo de actualización. En la versión 1607, Microsoft agregó una configuración de directivas adicionales para permitir una mayor granularidad para controlar las actualizaciones.

Una vez que las actualizaciones se implementan en los dispositivos, es posible que desees pausar el lanzamiento de actualizaciones en los dispositivos empresariales. Por ejemplo, después de iniciar el despliegue de una actualización de calidad, determinados modelos de teléfono se ven afectados negativamente o los usuarios notifican que una aplicación de línea de negocio específica no se conecta a una base de datos ni la actualiza. Pueden producirse problemas que no surgieran durante las pruebas iniciales. Los profesionales de TI pueden pausar las actualizaciones para investigar y corregir los errores inesperados.

La siguiente tabla resume la configuración de las directivas de actualización aplicable por versión de Windows10 Mobile. Todas las opciones de configuración de directivas son compatibles con versiones anteriores y se mantendrán en futuras actualizaciones de características. Consulta la documentación del sistema MDM para comprender si estas opciones de configuración se admiten en tu MDM.

Actividad (directiva) Configuración de la versión 1511 Configuración de la versión 1607
Suscribir un dispositivo a la CBB para aplazar las actualizaciones de características RequireDeferUpgrade Aplaza la actualización de características hasta la próxima versión de la CBB. El dispositivo recibirá las actualizaciones de calidad de la rama actual para empresas (CBB). Aplaza la actualización de características un mínimo de 4 meses tras el lanzamiento de la rama actual. BranchReadinessLevel Aplaza la actualización de características hasta la próxima versión de la CBB. El dispositivo recibirá las actualizaciones de calidad de la rama actual para empresas (CBB). Aplaza la actualización de características un mínimo de 4 meses tras el lanzamiento de la rama actual.
Aplazar actualizaciones DeferUpdatePeriod Aplazar las actualizaciones de calidad durante 4 semanas o 28 días DeferQualityUpdatePeriodInDays Aplaza las actualizaciones de características y de calidad hasta durante 30 días.
Aprobar actualizaciones RequireUpdateApproval RequireUpdateApproval
Pausa la implementación de la actualización una vez que se esté implementando, lo que detiene el lanzamiento de dicha actualización. PauseDeferrals Pausar las actualizaciones de características hasta 35 días PauseQualityUpdates Pausar las actualizaciones de características hasta 35 días

Administrar la experiencia de actualización

Se aplica a: Dispositivos corporativos con la edición Enterprise

Establece la experiencia del cliente de la actualización con la directiva Allowautomaticupdate para los empleados. Esto permite a los profesionales de TI influir en el modo en el que del cliente de la actualización se comporta en los dispositivos cuando explora, descarga e instala actualizaciones.

Esto puede incluir:

  • Notificar a los usuarios antes de la descarga de las actualizaciones.
  • Descargar actualizaciones automáticamente y, a continuación, notificar a los usuarios que programen un reinicio (este es el comportamiento predeterminado si no se configura esta directiva).
  • Descargar automáticamente y reiniciar los dispositivos con una notificación al usuario.
  • Descargar automáticamente y reiniciar los dispositivos en un momento determinado.
  • Descargar automáticamente y reiniciar los dispositivos sin la interacción del usuario.
  • Desactivar las actualizaciones automáticas. Esta opción debe usarse solo para aquellos sistemas que se encuentren bajo cumplimiento normativo. El dispositivo no recibirá ninguna actualización.

Además, en la versión 1607, puedes configurar el momento en el que la actualización se aplica al dispositivo del empleado para asegurarte de que las instalaciones de las actualizaciones o los reinicios no detengan la productividad de la empresa ni del trabajador. Las instalaciones de actualizaciones y los reinicios se pueden programar fuera de las horas de actividad (los valores admitidos son del 0 al 23, donde 0 son las 0:00, 1 es la 1:00 etc.) o en un día de la semana específico (los valores admitidos son del 0 al 7, donde 0 es cualquier día, 1 es el domingo, 2 el martes, etc.).

Administración de la fuente de las actualizaciones con MDM

Se aplica a: Dispositivos corporativos con la edición Enterprise

Aunque Windows10 Enterprise permite a los administradores de TI aplazar la instalación de nuevas actualizaciones desde Windows Update, es posible que las empresas también quieran contar con un control adicional sobre los procesos de actualización. Teniendo esto en cuenta, Microsoft creó Windows Update para empresas. Microsoft diseñó Windows Update para empresas con el fin de proporcionar a los administradores de TI capacidades adicionales de administración centradas en Windows Update, tal como la posibilidad de implementar actualizaciones en grupos de dispositivos y definir ventanas de mantenimiento para la instalación de actualizaciones. Si se utiliza un sistema MDM, el uso de Windows Update para empresas no es un requisito, ya es posible administrar estas características desde el sistema MDM.

Más información sobre Windows Update para empresas.

Los administradores de TI pueden especificar de dónde debe obtener las actualizaciones el dispositivo con AllowUpdateService. Esto puede ser Microsoft Update, Windows Update para empresas o Windows Server Update Services (WSUS).

Administración de las actualizaciones con el Windows Update Server

Se aplica a: Dispositivos corporativos con la edición Enterprise

Al usar WSUS, establece UpdateServiceUrl para permitir que el dispositivo compruebe si hay actualizaciones en un servidor WSUS en lugar de Windows Update. Esto resulta útil para los MDM locales que deban actualizar dispositivos que no se puedan conectar a Internet, normalmente dispositivos de mano usados para la finalización de tareas u otros dispositivos Windows IoT.

Obtén más información sobre la administración de actualizaciones con Windows Server Update Services (WSUS) (en inglés).

Consulta del estado de las actualizaciones del dispositivo

Se aplica a: Dispositivos personales y corporativos

Además de configurar el modo en el que Windows10 Mobile Enterprise obtiene las actualizaciones, el administrador de MDM puede consultar los dispositivos para obtener información sobre las actualización de Windows10 Mobile, de forma que se pueda comprobar el estado de las actualizaciones comparándolo con una lista de actualizaciones aprobadas.

La consulta del estado de las actualizaciones del dispositivo proporciona una información general de lo siguiente:

  • Actualizaciones instaladas: Una lista de actualizaciones instaladas en el dispositivo.
  • Actualizaciones instalables: Una lista de actualizaciones que están disponibles para su instalación.
  • Actualizaciones con errores: Una lista de actualizaciones que han sufrido errores durante la instalación, incluida la indicación del motivo del error de la actualización.
  • Pendientes de reinicio: Una lista de actualizaciones que requieren un reinicio para completar su instalación.
  • Hora de la última detección correcta: La última vez que se completó correctamente la detección de actualizaciones.
  • Aplazar actualización: Indica si la actualización se aplaza hasta el siguiente ciclo de actualización.

Estado del dispositivo

Se aplica a: Dispositivos personales y corporativos

La atestación de estado del dispositivo (DHA) es otra nueva línea de defensa en Windows10 Mobile. Se puede usar para detectar de forma remota los dispositivos que no tengan una configuración segura o que posean vulnerabilidades que podrían ser aprovechadas fácilmente por ataques sofisticados.

Windows10 Mobile facilita la integración con Microsoft Intune o con soluciones de MDM de terceros para lograr una vista general del estado y el cumplimiento del dispositivo. Con el uso conjunto de estas soluciones, es posible detectar dispositivos con jailbreak, supervisar el cumplimiento del dispositivo, generar informes de cumplimiento, avisar a los usuarios o a los administradores respecto a los problemas, iniciar una acción correctiva y administrar el acceso condicional a recursos como Office 365 o la VPN.

La primera versión de la atestación de estado del dispositivo (DHA) se lanzó en junio de 2015 para los dispositivos Windows 10 que admitían TPM 2.0 y funcionaban en una topología empresarial basada en la nube. En la versión de aniversario de Windows10, las funcionalidades de atestación de estado del dispositivo (DHA) se han ampliado a dispositivos antiguos que admitan TPM 1.2 y a entornos híbridos y locales que tengan acceso a Internet o que trabajen en una red aislada.

La característica de atestación de estado se basa en los estándares de Open Mobile Alliance (OMA). Los administradores de TI pueden usar la DHA para validar dispositivos que:

  • Ejecuten el sistema operativo Windows10 (PC o teléfono móvil).
  • Admitan el módulo de plataforma segura (TPM 1.2 o 2.0) en discreto del formato de firmware
  • Sean administrados mediante una solución de administración de dispositivos habilitada para DHA (Intune o un MDM de terceros).
  • Funcionen en escenarios en la nube, híbridos, locales y BYOD.

Las soluciones de administración de dispositivos habilitadas para DHA ayudan a los administradores de TI a crear una barrera de la seguridad unificada en todos los dispositivos Windows10 Mobile que administran. Esto permite a los administradores de TI:

  • Recopilar datos atestados de hardware (muy seguros) de forma remota.
  • Supervisar el cumplimiento del estado de los dispositivos y detectar los dispositivos que son vulnerables o podrían ser víctimas de ataques sofisticados.
  • Toma medidas contra los dispositivos potencialmente comprometidos, como:
  • Desencadenar acciones correctivas de forma remota para que el dispositivo comprometido resulte inaccesible (bloquear, borrar o enladrillar el dispositivo)
  • Impedir que el dispositivo obtenga acceso a activos de gran valor (acceso condicional).
  • Desencadenar investigación y supervisión posteriores (llevar el dispositivo a una trampa para supervisar más).
  • Simplemente, alertar al usuario o el administrador para que solucionen el problema.

Nota: El servicio de atestación de estado del dispositivo de Windows se puede utilizar para escenarios de acceso condicional que pueden estar habilitados por soluciones de administración de dispositivos móviles (por ejemplo, Microsoft Intune) y otros tipos de sistemas de administración (por ejemplo, SCCM) adquiridos por separado.

Para obtener más información sobre la atestación de estado en Windows10 Mobile, consulta la Guía de seguridad de Windows10 Mobile.

A continuación se incluye una lista de atributos admitidos por DHA y que pueden desencadenar las acciones correctivas mencionadas anteriormente.

  • Clave de identidad de atestación (AIK) presente Indica que hay una AIK presente (es decir, el dispositivo es de mayor confianza que un dispositivo sin AIK).
  • Prevención de ejecución de datos (DEP) habilitada Indica si hay una directiva DEP habilitada para el dispositivo. Esto señala que el dispositivo es de mayor confianza que un dispositivo sin directiva DEP.
  • Estado de BitLocker BitLocker ayuda a proteger el almacenamiento del dispositivo. Un dispositivo con BitLocker es de mayor confianza que un dispositivo sin BitLocker.
  • Arranque seguro habilitado Indica si el arranque seguro está habilitado en el dispositivo. Un dispositivo con arranque seguro habilitado es de mayor confianza que un dispositivo sin arranque seguro. El arranque seguro siempre está habilitado en los dispositivos Windows 10 Mobile.
  • Integridad de código habilitada Indica si la integridad de código de un archivo de la unidad o del sistema se valida cada vez que se carga en la memoria. Un dispositivo con la integridad de código habilitada es de mayor confianza que un dispositivo sin integridad de código.
  • Modo seguro Indica si Windows se ejecuta en modo seguro. Un dispositivo que ejecuta Windows en modo seguro es de menor confianza que un dispositivo que se ejecuta en modo estándar.
  • Depuración de arranque habilitada Indica si el dispositivo tiene habilitada la depuración de arranque. Un dispositivo con la depuración de arranque habilitada es menos seguro (de menor confianza) que un dispositivo sin la depuración de arranque habilitada.
  • Depuración de kernels del sistema operativo habilitada Indica si el dispositivo tiene habilitada la depuración de kernels del sistema operativo. Un dispositivo con la depuración de kernels del sistema operativo habilitada es menos seguro (de menor confianza) que un dispositivo con la depuración de kernels del sistema operativo deshabilitada.
  • Firmas de prueba habilitadas Indica si están deshabilitadas las firmas de prueba. Un dispositivo con las firmas de prueba deshabilitadas es de mayor confianza que un dispositivo con las firmas de prueba habilitadas.
  • Versión del Administrador de arranque La versión del Administrador de arranque que se ejecuta en el dispositivo. El HAS puede comprobar esta versión para determinar si se está ejecutando el Administrador de arranque más reciente, que es más seguro (de mayor confianza).
  • Versión de la integridad de código Especifica la versión del código que realiza las comprobaciones de integridad durante la secuencia de arranque. El HAS puede comprobar esta versión para determinar si se está ejecutando la versión actual del código, que es más segura (de mayor confianza).
  • Directiva de configuración de arranque seguro (SBCP) presente Indica si está presente el hash de la SBCP personalizada. Un dispositivo con un hash de SBCP presente es de mayor confianza que un dispositivo sin hash de SBCP.
  • Lista blanca de ciclos de arranque La vista de la plataforma host entre ciclos de arranque según la haya definido el fabricante en comparación con una lista blanca publicada. Un dispositivo que cumpla con la lista blanca es de mayor confianza (más seguro) que un dispositivo que no la cumpla.

Escenario de ejemplo

Windows10 Mobile dispone de medidas de protección que funcionan a la vez y se integran con Microsoft Intune o con soluciones de administración de dispositivos móviles (MDM) de terceros. Los administradores de TI pueden supervisar y comprobar la conformidad para garantizar que los recursos corporativos están protegido de manera integral, con la seguridad y la confianza integradas de raíz en el hardware físico del dispositivo.

Esto es lo que ocurre cuando se activa un smartphone:

  1. El arranque seguro de Windows10 protege la secuencia de arranque, permite que el dispositivo arranque en una configuración definida y de confianza y carga un cargador de arranque seguro de fábrica.
  2. El arranque seguro de Windows 10 toma el control, comprueba la firma digital del kernel de Windows y los componentes se cargan y se ejecuta durante el proceso de inicio de Windows.
  3. En paralelo a los pasos 1 y 2, los TPM (módulos de plataforma segura: el arranque medido) de Windows 10Mobile se ejecutan de forma independiente en una zona de seguridad protegida por hardware (aislada de las actividades de arranque de supervisión de las rutas de acceso de ejecución de arranque) para crear una integridad protegida y alterar el código de seguimiento evidente, firmado con una clave secreta que solo es accesible por los TPM.
  4. Los dispositivos que administra una solución de MDM habilitada por DHA envían una copia de este código de seguimiento al servicio de atestación de estado (HAS) de Microsoft Health en un canal de comunicación con evidencia de alteración, protegido y a prueba de manipulaciones.
  5. El HAS de Microsoft revisa los códigos de seguimiento, emite un informe cifrado o firmado y lo reenvía al dispositivo.
  6. Los administradores de TI pueden usar una solución MDM habilitada por DHA para revisar el informe en un canal de comunicación con evidencia de alteración, protegido y resistente a las manipulaciones. Pueden evaluar si un dispositivo se ejecuta en un estado de cumplimiento (correcto), permitir el acceso o desencadenar una acción correctiva en consonancia con las necesidades de seguridad y las directivas de la empresa.

Informes de activos

Se aplica a: Dispositivos corporativos con la edición Enterprise

El inventario de dispositivos ayuda a las organizaciones a administrar mejor los dispositivos, ya que proporciona información detallada sobre estos. Los sistemas MDM recopilan información de inventario de forma remota y proporcionan las funcionalidades de generación de informes para analizar la información y los recursos de los dispositivos. Estos datos informan a los encargados de TI acerca de los recursos de hardware y software actuales del dispositivo (por ejemplo, las actualizaciones instaladas).

La lista siguiente muestra ejemplos de la información sobre software y hardware de Windows10 Mobile que un inventario de dispositivos proporciona. Además de esta información, el sistema MDM puede leer cualquiera de las opciones de configuración que se describen en esta guía.

  • Aplicaciones empresariales instaladas Una lista de las aplicaciones empresariales instaladas en el dispositivo.
  • Nombre de dispositivo El nombre de dispositivo configurado para el dispositivo.
  • Versión de firmware La versión del firmware instalado en el dispositivo.
  • Versión del sistema operativo La versión del sistema operativo instalado en el dispositivo.
  • Hora local del dispositivo La hora local del dispositivo.
  • Tipo de procesador El tipo de procesador del dispositivo.
  • Modelo de dispositivo El modelo del dispositivo, tal como lo define el fabricante.
  • Fabricante del dispositivo El fabricante del dispositivo.
  • Arquitectura del procesador del dispositivo La arquitectura del procesador del dispositivo.
  • Idioma del dispositivo El idioma que se usa en el dispositivo.
  • Número de teléfono El número de teléfono asignado al dispositivo.
  • Estado de itinerancia Indica si el dispositivo tiene una conexión de datos móviles en itinerancia.
  • **Identidad internacional de equipo móvil (IMEI) e identificador internacional de abonado móvil (IMSI) Los identificadores exclusivos de la conexión móvil del teléfono. Las redes del sistema global de comunicaciones móviles identifican dispositivos válidos mediante la IMEI, y todas las redes de telefonía móvil usan la IMSI para identificar el dispositivo y el usuario.
  • Dirección IP de Wi-Fi Las direcciones IPv4 e IPv6 asignadas actualmente al adaptador Wi-Fi del dispositivo.
  • Dirección Media Access Control (MAC) de Wi-Fi La dirección MAC asignada al adaptador Wi-Fi del dispositivo.
  • Sufijo DNS y máscara de subred de Wi-Fi El sufijo DNS y la máscara de subred de IP asignados al adaptador Wi-Fi del dispositivo.
  • Estado de arranque seguro Indica si está habilitado el arranque seguro.
  • Cumplimiento de directivas de cifrado de la empresa Indica si el dispositivo está cifrado.

Administrar datos de diagnóstico

Se aplica a: Dispositivos corporativos con la edición Windows10 Mobile Enterprise

Microsoft usa los datos de uso, rendimiento y diagnóstico de los dispositivos Windows para ayudar a la toma de decisiones informadas y centrar nuestros esfuerzos en proporcionar la plataforma más estable y más valiosa para tu empresa y para las personas que dependen de Windows, con el fin de que puedan ser lo más productivas posible. Los datos de diagnóstico ayudan a mantener los dispositivos Windows en buen estado, a mejorar el sistema operativo y a personalizar las características y los servicios.

Es posible controlar el nivel de datos que recopilan los sistemas de datos de diagnóstico. Para configurar los dispositivos, especifica uno de estos niveles en la opción de configuración Permitir telemetría mediante tu sistema MDM.

Para obtener más información, consulta Configurar los datos de diagnóstico de Windows en la organización.

Nota: Los datos de diagnóstico solo se pueden administrar si el dispositivo está actualizado a la edición Windows10 Mobile Enterprise.

Asistencia remota

Se aplica a: Dispositivos personales y corporativos

Las funciones de asistencia remota de Windows 10 Mobile ayudan a resolver problemas que podrían encontrar los usuarios incluso cuando el servicio de asistencia no tiene acceso físico al dispositivo. Entre estas funciones se incluyen:

  • Bloqueo remoto. El personal de soporte técnico puede bloquear un dispositivo de manera remota. Esta capacidad puede ayudar a un usuario cuando este pierde su dispositivo móvil y puede recuperarlo, pero no de inmediato (por ejemplo, si se deja el dispositivo en el sitio de un cliente).
  • Restablecimiento de PIN remoto. El personal de soporte técnico puede restablecer el PIN de manera remota, lo que ayuda al usuario si este olvida su PIN y no puede acceder a su dispositivo. No se pierde ningún tipo de datos corporativos o del usuario, y los usuarios puede obtener acceso a sus dispositivos rápidamente.
  • Hacer sonar de forma remota. El personal de soporte técnico puede hacer sonar los dispositivos de manera remota. Esta capacidad puede ayudar a los usuarios a encontrar dispositivos extraviados y, junto con la función de bloqueo remoto, puede ayudar a impedir que usuarios no autorizados accedan al dispositivo si lo encuentran.
  • Búsqueda remota. El personal de soporte técnico puede localizar remotamente un dispositivo en un mapa, lo que ayuda a identificar la ubicación geográfica del dispositivo. Es posible configurar los parámetros de búsqueda remota mediante la configuración del teléfono (consulta la tabla siguiente). La función de búsqueda remota devuelve la latitud, la longitud y la altitud más recientes del dispositivo.

Directivas de asistencia remota

  • Precisión de ubicación deseada La precisión deseada como un valor de radio en metros; tiene un valor entre 1 y 1000 metros.
  • Máxima búsqueda remota El tiempo máximo en minutos durante el que el servidor aceptará una búsqueda remota correcta; tiene un valor entre 0 y 1000 minutos.
  • Tiempo de espera de búsqueda remota El número de segundos que los dispositivos deben esperar para que finalice una búsqueda remota; tiene un valor entre 0 y 1800 segundos.

Estas funciones de administración remota ayudan a las organizaciones a reducir el esfuerzo del departamento de TI en la administración de dispositivos. Además, ayudan a los usuarios a volver a usar rápidamente su dispositivo en caso de que lo pierdan u olviden su contraseña.

Software para control remoto Microsoft no proporciona ningún software para control remoto integrado, pero trabaja con partners para proporcionar estas funcionalidades y servicios. Con la versión 1607, en Microsoft Store hay disponibles aplicaciones de asistente remoto y control remoto.

Retirar

Se aplica a: Dispositivos corporativos y personales

La retirada del dispositivo es la última fase de su ciclo de vida, que, en el entorno empresarial actual, es de una media de 18 meses aproximadamente. Una vez transcurrido ese período de tiempo, los empleados desean las mejoras en la productividad y el rendimiento que aporta el hardware más reciente. Es importante que los dispositivos sustituidos por modelos más nuevos se retiren forma segura, ya que nadie desea que los datos empresariales se queden en dispositivos descartados, algo que podría poner en riesgo la confidencialidad de los datos. Generalmente, esto no suele suponer ningún problema en el caso de los dispositivos corporativos, pero puede resultar más complicado en el caso de los dispositivos personales. Es necesario poder borrar todos los datos corporativos de forma selectiva sin afectar a las aplicaciones y los datos personales que haya en el dispositivo. El departamento de TI también necesita una forma de dar soporte de forma adecuada a los usuarios que necesiten borrar los dispositivos perdidos o robados.

Windows10 Mobile admite retirada de dispositivos tanto personales como corporativos, lo que permite al departamento de TI tener la confianza de que se mantendrán la confidencialidad de los datos corporativos y la privacidad del usuario estará a salvo.

Nota: Todas estas funcionalidades de MDM se añaden a las características de restablecimiento de la configuración de fábrica del software y el hardware del dispositivo, que los empleados pueden usar para restaurar los dispositivos a su configuración de fábrica.

Dispositivos personales: Windows10 Mobile es compatible con los requisitos normativos estadounidenses que exigen la presencia de un “kill switch” (interruptor de la muerte) en caso de que te roben el teléfono o lo pierdas. La Protección frente a restablecimiento es un servicio gratuito en account.microsoft.com que ayuda a garantiza que el teléfono no se puede restablecer ni reutilizar fácilmente. Lo único que hay que hacer para activar la Protección frente a restablecimiento es iniciar sesión con tu cuenta de Microsoft y aceptar la configuración recomendada. Si quieres activarla manualmente, puedes encontrarla en Configuración > Actualizaciones y seguridad > Encuentra mi teléfono. En este momento, la Protección frente a restablecimiento solo está disponible con una MSA, no con una cuenta de Azure AD. Asimismo, está disponible en los Estados Unidos únicamente y no en otras regiones del mundo.

Si decides limpiar un dispositivo por completo cuando se pierde o si un empleado abandona la empresa, asegúrate de obtener el consentimiento del usuario y seguir cualquier legislación local que proteja los datos personales del usuario.

Una opción mejor que borrar todo el dispositivo es usar Windows Information Protection para limpiar solo los datos corporativos de un dispositivo personal. Tal como se explica en el capítulo sobre las aplicaciones, todos los datos corporativo se etiquetarán y, cuando se anule la inscripción del dispositivo del sistema MDM de tu elección, todos los datos, las aplicaciones, las configuraciones y los perfiles cifrados de la empresa se quitarán inmediatamente del dispositivo sin que ello afecte a los datos personales existentes del empleado. Un usuario puede iniciar la anulación de la inscripción a través de la pantalla de configuración, o esta anulación puede llevarla a cabo el departamento de TI desde la consola de administración de MDM. La anulación de la inscripción es un evento de administración y se notificará al sistema MDM.

Dispositivo corporativo: En caso de robo de dispositivo, puede hacer que su clave de cifrado del usuario expire de forma remota, pero recuerde que también hará que los datos cifrados en otros dispositivos Windows no sean legibles para el usuario. Un método mejor para la retirada de un dispositivo perdido o descartado es ejecutar una eliminación de datos completa de dicho dispositivo. El servicio de asistencia o los usuarios de dispositivos pueden iniciar una eliminación de datos completa de un dispositivo. Una vez completada la eliminación, Windows10 Mobile devolverá al dispositivo a un estado limpio y reiniciará el proceso de configuración rápida.

Configuración para la retirada de dispositivos personales o corporativos

  • Permitir anulación de inscripción manual del MDM Indica si los usuarios pueden eliminar la cuenta profesional (es decir, anular la inscripción del dispositivo en el sistema MDM).
  • Permitir al usuario restablecer el teléfono Indica si los usuarios pueden usar la Configuración o combinaciones de teclas de hardware para devolver el dispositivo a los valores predeterminados de fábrica.

Temas relacionados

Historial de revisiones

  • Noviembre de 2015 Actualizado para Windows10 Mobile (versión 1511)
  • Agosto de 2016 Actualizado para la Actualización de aniversario de Windows10 Mobile (versión 1607)