Creación y asignación de directivas de protección de aplicaciones

  • Artículo
  • 15 minutos para leer

Obtén información sobre cómo crear y asignar Microsoft Intune de protección de aplicaciones (APP) para los usuarios de tu organización. En este tema también se describe cómo realizar cambios en las directivas existentes.

Antes de empezar

Las directivas de protección de aplicaciones se pueden aplicar a las aplicaciones que se ejecutan en dispositivos que Intune puede administrar o no. Para obtener una descripción más detallada de cómo funcionan las directivas de protección de aplicaciones y los escenarios que admiten las directivas de protección de aplicaciones de Intune, vea Introducción a las directivas de protección de aplicaciones.

Las opciones disponibles en las directivas de protección de aplicaciones (APP) permiten a las organizaciones adaptar la protección a sus necesidades concretas. Para algunas de ellas, puede que no sea obvio qué configuración de directivas es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar la protección del punto de conexión del cliente móvil, Microsoft ha introducido la taxonomía para su marco de protección de datos de APP para la administración de aplicaciones móviles de iOS y Android.

El marco de protección de datos de APP se organiza en tres niveles de configuración distintos, cada uno de ellos basado en el nivel anterior:

  • La protección de datos empresariales básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. Se trata de una configuración de nivel de entrada que proporciona un control de protección de datos similar en las directivas de buzón de Exchange Online y que introduce tecnologías informáticas y el rellenado de usuarios en APP.
  • La protección de datos empresariales mejorada (nivel 2) incorpora mecanismos para la prevención de la pérdida de datos de APP y requisitos mínimos para el sistema operativo. Esta es la configuración aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
  • La protección de datos empresariales alta (nivel 3) incorpora mecanismos avanzados para la protección de datos, configuración de PIN mejorada y defensa contra amenazas móviles de APP. Esta configuración es conveniente para los usuarios que acceden a datos de alto riesgo.

A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.

Si estás buscando una lista de aplicaciones que han integrado el SDK de Intune, consulta Microsoft Intune aplicaciones protegidas.

Para obtener información sobre cómo agregar las aplicaciones de línea de negocio (LOB) de la organización a Microsoft Intune para preparar las directivas de protección de aplicaciones, vea Agregar aplicaciones a Microsoft Intune.

Directivas de protección de aplicaciones para aplicaciones iOS/iPadOS y Android

Cuando creas una directiva de protección de aplicaciones para aplicaciones iOS/iPadOS y Android, sigues un flujo de proceso moderno de Intune que da como resultado una nueva directiva de protección de aplicaciones. Para obtener información acerca de cómo crear directivas de protección de aplicaciones para Windows aplicaciones, vea Create and deploy Windows Information Protection (WIP) policy with Intune.

Crear una directiva de protección de aplicaciones de iOS/iPadOS o Android

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Aplicaciones > Directivas de protección de aplicaciones. Esta selección abre los detalles de directivas de protección de aplicaciones, donde se crean nuevas directivas y se editan las directivas existentes.

  3. Seleccione Crear una directiva y seleccione iOS/iPadOS o Android. Se muestra el panel Crear directiva.

  4. En la página Datos básicos, agregue los siguientes valores:

    Valor Descripción
    Name El nombre de esta directiva de protección de aplicaciones.
    Descripción [Opcional] La descripción de esta directiva de protección de aplicaciones.

    El valor Plataforma se establece según su elección anterior.

    Captura de pantalla de la página Conceptos básicos del panel Crear directiva

  5. Haga clic en Siguiente para mostrar la página Aplicaciones.
    La página Aplicaciones le permite elegir cómo quiere aplicar esta directiva a las aplicaciones en diferentes dispositivos. Debe agregar, al menos, una aplicación.

    Valor/Opción Descripción
    Destino de aplicaciones en todos los tipos de dispositivos Usa esta opción para dirigir la directiva a aplicaciones en dispositivos de cualquier estado de administración. Elige No para seleccionar aplicaciones de destino en tipos de dispositivos específicos. Para obtener información, consulta Directivas de protección de aplicaciones de destino basadas en el estado de administración de dispositivos.
    Tipos de dispositivo Usa esta opción para especificar si esta directiva se aplica a dispositivos administrados mdm o a dispositivos no administrados. Para las directivas de iOS/iPadOS APP, selecciona desde Dispositivos administrados y no administrados. Para las directivas de ANDROID APP, selecciona entre No administrado, Administrador de dispositivos Android y Android Enterprise.
    Directiva de destino para En el cuadro desplegable Directiva de destino a, elija dirigir la directiva de protección de aplicaciones a Todas las aplicaciones, Microsoft Apps o Microsoft Apps.

    -Todas las aplicaciones incluyen todas las aplicaciones de Microsoft y los asociados que han integrado el SDK de Intune.
    -Microsoft Apps incluye todas las aplicaciones de Microsoft que han integrado el SDK de Intune.
    -Core Microsoft Apps incluye las siguientes aplicaciones: Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do y Word.

    Después, puedes seleccionar Ver una lista de las aplicaciones destinadas para ver una lista de las aplicaciones que se verán afectadas por esta directiva.
    Aplicaciones públicas Si no quieres seleccionar uno de los grupos de aplicaciones predefinidos, puedes elegir seleccionar aplicaciones individuales seleccionando Aplicaciones seleccionadas en el cuadro desplegable Directiva de destino a. Haz clic en Seleccionar aplicaciones públicas para seleccionar las aplicaciones públicas a las que dirigir.
    Aplicaciones personalizadas Si no quieres seleccionar uno de los grupos de aplicaciones predefinidos, puedes elegir seleccionar aplicaciones individuales seleccionando Aplicaciones seleccionadas en el cuadro desplegable Directiva de destino a. Haz clic en Seleccionar aplicaciones personalizadas para seleccionar aplicaciones personalizadas a las que dirigir en función de un identificador de agrupación.

    Las aplicaciones que has seleccionado aparecerán en la lista de aplicaciones públicas y personalizadas.

    Nota

    Las aplicaciones públicas son compatibles con aplicaciones de Microsoft y asociados que se usan con frecuencia con Microsoft Intune. Estas aplicaciones protegidas de Intune están habilitadas con un amplio conjunto de compatibilidad con directivas de protección de aplicaciones móviles. Para obtener más información, consulta Microsoft Intune aplicaciones protegidas. Las aplicaciones personalizadas son aplicaciones de LOB que se han integrado con el SDK de Intune o que se han ajustado mediante el App Wrapping Tool Intune. Para obtener más información, Microsoft Intune Introducción al SDK de aplicaciones y Preparar aplicaciones de línea de negocio para directivas de protección de aplicaciones.

  6. Haga clic en Siguiente para mostrar la página Protección de datos.
    Esta página proporciona la configuración para los controles de prevención de pérdida de datos (DLP), incluidas las restricciones de cortar, copiar, pegar y guardar como. Estas opciones determinan el modo en que los usuarios interactúan con los datos en las aplicaciones que aplican esta directiva de protección de aplicaciones.

    Configuración de protección de datos:

  7. Haga clic en Siguiente para mostrar la página Requisitos de Access.
    Esta página proporciona opciones para permitirle configurar los requisitos de PIN y credenciales que los usuarios deben cumplir para acceder a las aplicaciones en un contexto de trabajo.

    Configuración de requisitos de acceso:

    • Requisitos de acceso de iOS/iPadOS: para obtener información, vea configuración de directiva de protección de aplicaciones de iOS/iPadOS- Requisitos de Access.
    • Requisitos de acceso a Android: para obtener información, consulta Configuración de la directiva de protección de aplicaciones de Android: requisitos de acceso.

  8. Haga clic en Siguiente para mostrar la página Inicio condicional.
    Esta página proporciona opciones de configuración para establecer los requisitos de seguridad de inicio de sesión para su directiva de protección de aplicaciones. Seleccione un Valor y escriba el Valor que deben reunir los usuarios para iniciar sesión en la aplicación de su compañía. Después, seleccione la Acción que quiere realizar si los usuarios no cumplen sus requisitos. En algunos casos, se pueden configurar varias acciones para un único valor.

    Configuración de inicio condicional:

  9. Haga clic en Siguiente para mostrar la página Asignaciones.
    La página Asignaciones permite asignar la directiva de protección de aplicaciones a grupos de usuarios. Debe aplicar la directiva a un grupo de usuarios para que la directiva surta efecto.

  10. Haga clic en Siguiente: Revisar + crear para revisar los valores y la configuración que ha especificado para esta directiva de protección de aplicaciones.

  11. Cuando haya terminado, haga clic en Crear para crear la directiva de protección de aplicaciones en Intune.

    Sugerencia

    Esta configuración de directiva solo se aplica cuando se usan aplicaciones en el contexto de trabajo. Cuando los usuarios finales usan la aplicación para realizar una tarea personal, estas directivas no les afectan. Tenga en cuenta que al crear un nuevo archivo se considera un archivo personal.

    Importante

    Las directivas de protección de aplicaciones pueden tardar tiempo en aplicarse a dispositivos existentes. Los usuarios finales verán una notificación en el dispositivo cuando se aplique la directiva de protección de aplicaciones. Aplica las directivas de protección de aplicaciones a los dispositivos antes de aplicar reglas de acceso condidtional.

Los usuarios finales pueden descargar las aplicaciones desde la Tienda de aplicaciones o Google Play. Para más información, vea:

Cambiar directivas existentes

Puede editar una directiva existente y aplicarla a los usuarios de destino. Sin embargo, al cambiar las directivas existentes, los usuarios que ya han iniciado sesión en las aplicaciones no verán los cambios durante un período de ocho horas.

Para ver el efecto de los cambios inmediatamente, el usuario final debe cerrar sesión en la aplicación y, a continuación, volver a iniciar sesión.

Para cambiar la lista de aplicaciones asociadas a la directiva

  1. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea cambiar.

  2. En el panel Protección de aplicaciones de Intune, seleccione Propiedades.

  3. Junto a la sección aplicaciones, seleccione Editar.

  4. La página Aplicaciones le permite elegir cómo quiere aplicar esta directiva a las aplicaciones en diferentes dispositivos. Debe agregar, al menos, una aplicación.

    Valor/Opción Descripción
    Destino de aplicaciones en todos los tipos de dispositivos Usa esta opción para dirigir la directiva a aplicaciones en dispositivos de cualquier estado de administración. Elige No para seleccionar aplicaciones de destino en tipos de dispositivos específicos. Es posible que sea necesaria una configuración adicional de la aplicación para esta configuración. Para obtener más información, consulta Directivas de protección de aplicaciones de destino basadas en el estado de administración de dispositivos.
    Tipos de dispositivo Usa esta opción para especificar si esta directiva se aplica a dispositivos administrados mdm o a dispositivos no administrados. Para las directivas de iOS/iPadOS APP, selecciona desde Dispositivos administrados y no administrados. Para las directivas de ANDROID APP, selecciona entre No administrado, Administrador de dispositivos Android y Android Enterprise.
    Aplicaciones públicas En el cuadro desplegable Directiva de destino a, elija dirigir la directiva de protección de aplicaciones a Todas las aplicaciones públicas, Microsoft Apps o Core Microsoft Apps. Después, puedes seleccionar Ver una lista de las aplicaciones destinadas para ver una lista de las aplicaciones que se verán afectadas por esta directiva.

    Si es necesario, puedes elegir seleccionar aplicaciones individuales haciendo clic en Seleccionar aplicaciones públicas.
    Aplicaciones personalizadas Haz clic en Seleccionar aplicaciones personalizadas para seleccionar aplicaciones personalizadas a las que dirigir en función de un identificador de agrupación.

    Las aplicaciones que has seleccionado aparecerán en la lista de aplicaciones públicas y personalizadas.

  5. Haz clic en Revisar + crear para revisar las aplicaciones seleccionadas para esta directiva.

  6. Cuando haya terminado, haga clic en Guardar para actualizar la directiva de protección de aplicaciones.

Para cambiar la lista de grupos de usuarios

  1. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea cambiar.

  2. En el panel Protección de aplicaciones de Intune, seleccione Propiedades.

  3. Junto a la sección asignaciones, seleccione Editar.

  4. Para agregar un nuevo grupo de usuarios a la directiva, en la pestaña Incluir elija Seleccionar grupos para incluir y seleccione el grupo de usuarios. Elija Seleccionar para agregar el grupo.

  5. Para excluir un grupo de usuarios, en la pestaña Excluir elija Seleccionar grupos para excluir y seleccione el grupo de usuarios. Elija Seleccionar para quitar el grupo de usuarios.

  6. Para eliminar grupos que se agregaron anteriormente, en las pestañas Incluir o Excluir, seleccione los puntos suspensivos (...) y seleccione Eliminar.

  7. Haga clic en Revisar y crear para revisar los grupos de usuarios seleccionados para esta directiva.

  8. Una vez que los cambios en las asignaciones estén listos, seleccione Guardar para guardar la configuración e implementar la directiva en el nuevo conjunto de usuarios. Si selecciona Cancelar antes de guardar la configuración, descartará todos los cambios realizados en las pestañas Incluir y Excluir.

Para cambiar la configuración de directiva

  1. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea cambiar.

  2. En el panel Protección de aplicaciones de Intune, seleccione Propiedades.

  3. Junto a la sección correspondiente a la configuración que desea cambiar, seleccione Editar. A continuación, cambie la configuración a nuevos valores.

  4. Haga clic en Revisar y crear para revisar la configuración actualizada de esta directiva.

  5. Seleccione guardar para guardar los cambios. Repita el proceso para seleccionar un área de configuración y modificar y, a continuación, guardar los cambios, hasta que se completen todos los cambios. A continuación, puede cerrar el panel Intune App Protection - Properties.

Directivas de protección de aplicaciones de destino basadas en el estado de administración de dispositivos

En muchas organizaciones, es común permitir a los usuarios finales usar dispositivos administrados de Administración de dispositivos móviles (MDM) de Intune, como dispositivos corporativos y dispositivos no administrados protegidos solo con directivas de protección de aplicaciones de Intune. Los dispositivos no administrados a menudo se conocen como Bring Your Own Devices (BYOD).

Dado que las directivas de protección de aplicaciones de Intune están dirigidas a la identidad de un usuario, la configuración de protección de un usuario puede aplicarse tanto a dispositivos inscritos (administrados por MDM) como a dispositivos no inscritos (sin MDM). Por lo tanto, puedes dirigir una directiva de protección de aplicaciones de Intune a dispositivos iOS/iPadOS y Android inscritos o no inscritos en Intune. Puedes tener una directiva de protección para dispositivos no administrados en los que haya controles estrictos de prevención de pérdida de datos (DLP) y una directiva de protección independiente para dispositivos administrados mdm, donde los controles DLP pueden ser un poco más distendidos. Para obtener más información sobre cómo funciona esto en dispositivos Android Enterprise personales, consulta Directivas de protección de aplicaciones y perfiles de trabajo.

Para crear estas directivas, vaya a Aplicaciones Directivas de protección de aplicaciones en la consola de Intune y, a continuación, > seleccione Crear directiva. También puedes editar una directiva de protección de aplicaciones existente. Para que la directiva de protección de aplicaciones se aplique a dispositivos administrados y no administrados, vaya a la página Aplicaciones y confirme que Destino de aplicaciones en todos los tipos de dispositivo está establecido en , el valor predeterminado. Si quieres asignar granularmente en función del estado de administración, establece Destino en aplicaciones en todos los tipos de dispositivo en No.

Tipos de dispositivo

  • No administrado: para dispositivos iOS/iPadOS, los dispositivos no administrados son dispositivos en los que la administración de MDM de Intune o una solución MDM/EMM de terceros no pasa la IntuneMAMUPN clave. En el caso de los dispositivos Android, los dispositivos no administrados son dispositivos en los que no se ha detectado la administración de MDM de Intune. Esto incluye dispositivos administrados por proveedores de MDM de terceros.
  • Dispositivos administrados de Intune: los dispositivos administrados se administran mediante MDM de Intune.
  • Administrador de dispositivos Android: dispositivos administrados por Intune mediante la API de administración de dispositivos Android.
  • Android Enterprise: dispositivos administrados por Intune que usan Perfiles de trabajo de Android Enterprise o Android Enterprise administración completa de dispositivos.

En Android, los dispositivos Android pedirán instalar la aplicación Portal de empresa de Intune independientemente del tipo de dispositivo elegido. Por ejemplo, si selecciona "Android Enterprise", se seguirá solicitando a los usuarios con dispositivos Android no administrados.

Para iOS/iPadOS, para que la selección "Tipo de dispositivo" se aplique a los dispositivos administrados de Intune, se requieren opciones de configuración de aplicaciones adicionales. Estas configuraciones comunicarán al servicio app que se administra una aplicación determinada y que la configuración de LA APLICACIÓN no se aplicará:

Nota

Para obtener información específica de soporte técnico de iOS/iPadOS sobre directivas de protección de aplicaciones basadas en el estado de administración de dispositivos, consulte Directivas de protección mam dirigidas en función del estado de administración.

Configuración de la directiva

Para ver una lista completa de la configuración de directiva para iOS/iPadOS y Android, seleccione uno de los siguientes vínculos:

Pasos siguientes

Supervisar el cumplimiento y el estado del usuario

Consulte también