Asignación de aplicaciones a grupos con Microsoft Intune
Después de agregar una aplicación a Microsoft Intune, puedes asignar la aplicación a usuarios y dispositivos. Es importante tener en cuenta que puedes implementar una aplicación en un dispositivo independientemente de si intune administra el dispositivo.
Nota
La intención de implementación Disponible para dispositivos inscritos solo se admite para grupos de dispositivos al dirigirse Enterprise dispositivos totalmente administrados (COBO) y Dispositivos Android Enterprise de propiedad corporativa habilitados personalmente (COPE).
En la tabla siguiente se enumeran las distintas opciones para asignar aplicaciones a usuarios y dispositivos:
| Opción | Dispositivos inscritos en Intune | Dispositivos no inscritos en Intune |
|---|---|---|
| Asignar a usuarios | Sí | Sí |
| Asignar a dispositivos | Sí | No |
| Asignar aplicaciones o aplicaciones ajustadas que incorporen el SDK de Intune (para directivas de protección de aplicaciones) | Sí | Sí |
| Asignar aplicaciones como disponibles | Sí | Sí |
| Asignar aplicaciones como necesarias | Sí | No |
| Desinstalar aplicaciones | Sí | No |
| Recibir actualizaciones de aplicaciones de Intune | Sí | No |
| Los usuarios finales instalan aplicaciones disponibles desde la Portal de empresa aplicación | Sí | No |
| Los usuarios finales instalan aplicaciones disponibles desde el sitio web Portal de empresa | Sí | Sí |
Nota
Actualmente, puedes asignar aplicaciones de iOS/iPadOS y Android (aplicaciones de línea de negocio y compradas en la tienda) a dispositivos que no están inscritos en Intune.
Para recibir las actualizaciones de la aplicación en dispositivos que no se inscriban con Intune, los usuarios del dispositivo deberán ir al portal de la empresa de su organización e instalar manualmente las actualizaciones de la aplicación.
Las asignaciones disponibles solo son válidas para grupos de usuarios, no para grupos de dispositivos.
Asignar una aplicación
Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.
Seleccione Aplicaciones > Todas las aplicaciones.
En el panel Aplicaciones, selecciona la aplicación que quieras asignar.
En la sección Administrar del menú, seleccione Asignaciones.
Selecciona Agregar grupo para abrir el panel Agregar grupo relacionado con la aplicación.
Para la aplicación específica, seleccione un tipo de asignación:
Disponible para dispositivos inscritos: asigna la aplicación a grupos de usuarios que pueden instalar la aplicación desde la Portal de empresa o el sitio web.
Disponible con o sin inscripción: asigne esta aplicación a grupos de usuarios cuyos dispositivos no estén inscritos en Intune. Los usuarios deben tener asignada una licencia de Intune, consulte Intune Licenses.
Requerida: la aplicación se instala en dispositivos de los grupos seleccionados. Algunas plataformas pueden tener avisos adicionales para que el usuario final confirme antes de que comience la instalación de la aplicación.
Desinstalar: la aplicación se desinstala de los dispositivos de los grupos seleccionados si Intune ha instalado previamente la aplicación en el dispositivo mediante una asignación "Disponible para dispositivos inscritos" o "Obligatorio" con la misma implementación.
Nota
Solo para aplicaciones iOS/iPadOS:
- Para configurar lo que sucede con las aplicaciones administradas cuando los dispositivos ya no se administran, puedes seleccionar la configuración prevista en Desinstalar al quitar dispositivos. Para obtener más información, consulta Configuración de desinstalación de aplicaciones para aplicaciones administradas de iOS/iPadOS.
- Si has creado un perfil vpn de iOS/iPadOS que contiene la configuración de VPN por aplicación, puedes seleccionar el perfil vpn en VPN. Cuando se ejecuta la aplicación, se abre la conexión VPN. Para obtener más información, consulta Configuración de VPN para dispositivos iOS/iPadOS.
- Para configurar si los usuarios finales instalan una aplicación iOS/iPadOS necesaria como una aplicación extraíble, puedes seleccionar la configuración en Instalar como extraíble.
Solo para aplicaciones Android:
- Si implementas una aplicación Android como Disponible con o sin inscripción, el estado de los informes solo estará disponible en los dispositivos inscritos.
Para disponible para dispositivos inscritos:
- La aplicación solo se muestra como disponible si el usuario que ha iniciado sesión en el Portal de empresa es el usuario principal que inscribió el dispositivo y la aplicación es aplicable al dispositivo.
Para seleccionar los grupos de usuarios que se ven afectados por esta asignación de aplicaciones, seleccione Grupos incluidos.
Después de seleccionar uno o varios grupos para incluir, seleccione Seleccionar.
En el panel Asignar, seleccione Aceptar para completar la selección de grupos incluidos.
Si quiere excluir algún grupo de usuarios para que no se vea afectado por esta asignación de aplicaciones, seleccione Excluir grupos.
Si ha elegido excluir algún grupo, en Seleccionar grupos, seleccione Seleccionar.
En el panel Agregar grupo, seleccione Aceptar.
En el panel Asignaciones de aplicaciones, seleccione Guardar.
La aplicación ahora está asignada a los grupos seleccionados. Para obtener más información acerca de cómo incluir y excluir asignaciones de aplicaciones, vea Include and exclude app assignments.
Cómo se resuelven los conflictos entre los propósitos de la aplicación
Se impide que un único grupo esté dirigido para varios propósitos de asignación de aplicaciones, pero si un usuario o un dispositivo es miembro de varios grupos que están asignados con diferentes intenciones, se produciría un conflicto. No se recomienda crear conflictos de asignación para aplicaciones. La información de la tabla siguiente puede ayudarle a comprender la intención resultante cuando se produce un conflicto:
| Intención del grupo 1 | Intención del grupo 2 | Intención resultante |
|---|---|---|
| Usuario requerido | Usuario disponible | Obligatorio y disponible |
| Usuario requerido | Desinstalación de usuarios | Necesario |
| Usuario disponible | Desinstalación de usuarios | Desinstalar |
| Usuario requerido | Dispositivo necesario | Ambos existen, Intune trata requerido |
| Usuario requerido | Desinstalación de dispositivos | Ambos existen, Intune resuelve requerido |
| Usuario disponible | Dispositivo necesario | Ambos existen, Intune resuelve requerido (obligatorio y disponible) |
| Usuario disponible | Desinstalación de dispositivos | Ambos existen, Intune resuelve Disponible. La aplicación aparece en el Portal de empresa. Si la aplicación ya está instalada (como una aplicación necesaria con el propósito anterior), la aplicación se desinstala. Si el usuario selecciona Instalar en el Portal de empresa, la aplicación está instalada y no se respeta la intención de desinstalación. |
| Desinstalación de usuarios | Dispositivo necesario | Ambos existen, Intune resuelve requerido |
| Desinstalación de usuarios | Desinstalación de dispositivos | Ambos existen, Intune resuelve la desinstalación |
| Dispositivo necesario | Desinstalación de dispositivos | Necesario |
| Usuario requerido y disponible | Usuario disponible | Obligatorio y disponible |
| Usuario requerido y disponible | Desinstalación de usuarios | Obligatorio y disponible |
| Usuario requerido y disponible | Dispositivo necesario | Ambos existen, obligatorios y disponibles |
| Usuario requerido y disponible | Desinstalación de dispositivos | Ambos existen, Intune resuelve requerido (obligatorio y disponible) |
| Usuario disponible sin inscripción | Usuario requerido y disponible | Obligatorio y disponible |
| Usuario disponible sin inscripción | Usuario requerido | Necesario |
| Usuario disponible sin inscripción | Usuario disponible | Disponible |
| Usuario disponible sin inscripción | Dispositivo necesario | Obligatorio y disponible sin inscripción |
| Usuario disponible sin inscripción | Desinstalación de dispositivos | Desinstalar y Disponible sin inscripción. Si el usuario no instaló la aplicación desde el Portal de empresa, se respetará la desinstalación. Si el usuario instala la aplicación desde el Portal de empresa, la instalación se prioriza sobre la desinstalación. |
Nota
Solo para aplicaciones de la tienda iOS administradas, cuando agregas estas aplicaciones a Microsoft Intune y las asignas como Requeridas, las aplicaciones se crean automáticamente con intenciones requeridas y disponibles.
Las aplicaciones de la Tienda iOS (no las aplicaciones VPP de iOS/iPadOS) dirigidas con la intención necesaria se aplicarán en el dispositivo en el momento de la entrada del dispositivo y también se mostrarán en la aplicación Portal de empresa.
Cuando se producen conflictos en la configuración Desinstalar al quitar el dispositivo, la aplicación no se quita del dispositivo cuando el dispositivo ya no se administra.
Implementación de aplicaciones administradas de Google Play en dispositivos no administrados
Para dispositivos Android en un escenario de implementación de directivas de protección de aplicaciones sin inscripción (APP-WE), puedes usar Google Play administrado para implementar aplicaciones de tienda y aplicaciones de línea de negocio (LOB) para los usuarios. Las aplicaciones administradas de Google Play dirigidas como Disponibles con o sin inscripción aparecerán en la aplicación Play Store en el dispositivo del usuario final y no en la aplicación Portal de empresa usuario. El usuario final examinará e instalará las aplicaciones implementadas de esta manera desde la aplicación Reproducir. Dado que las aplicaciones se instalan desde Google Play administrado, el usuario final no tendrá que modificar la configuración del dispositivo para permitir la instalación de aplicaciones desde orígenes desconocidos, lo que significa que los dispositivos serán más seguros. Si el desarrollador de la aplicación publica una nueva versión de una aplicación en Play que se instaló en el dispositivo de un usuario, Play actualizará automáticamente la aplicación.
Pasos para asignar una aplicación administrada de Google Play a dispositivos no administrados:
Conectar inquilino de Intune a Google Play administrado. Si ya has hecho esto para administrar dispositivos de perfil de trabajo de propiedad personal, dedicados, totalmente administrados o propiedad de Android Enterprise, no es necesario hacerlo de nuevo.
Agrega aplicaciones de Google Play administrado a la consola de Intune.
Dirigir aplicaciones administradas de Google Play como Disponibles con o sin inscripción en el grupo de usuarios deseado. Los dispositivos no inscritos no admiten la segmentación de aplicaciones requeridas y desinstaladas.
Asignar una directiva de Protección de aplicaciones al grupo de usuarios.
El usuario inicia sesión en cualquier aplicación protegida.
La próxima vez que el usuario final abra la aplicación Portal de empresa y complete el proceso de inicio de sesión, verá un mensaje que indica en la sección Aplicaciones que hay aplicaciones disponibles para ellas. El usuario puede seleccionar esta notificación para navegar a la Play Store.
Nota
Puedes configurar las opciones de configuración de inscripción de dispositivos para que estén disponibles, sin mensajes o no disponibles. Esta configuración impedirá que el usuario inscriba su dispositivo de forma involuntara o reciba notificaciones para inscribir su dispositivo después de iniciar sesión en el Portal de empresa.
El usuario final puede expandir el menú contextual dentro de la aplicación Play Store y cambiar entre su cuenta personal de Google (donde ven sus aplicaciones personales) y su cuenta de trabajo (donde verán las aplicaciones de tienda y LOB dirigidas a ellos). Los usuarios finales instalan las aplicaciones pulsando Instalar en la aplicación Play Store.
Cuando se emite un borrado selectivo de APP en la consola de Intune, la cuenta de trabajo se quitará automáticamente de la aplicación Play Store y el usuario final ya no verá aplicaciones de trabajo en el catálogo de aplicaciones de Play Store. Cuando se quita la cuenta de trabajo de un dispositivo, las aplicaciones instaladas desde la Play Store permanecerán instaladas en el dispositivo y no se desinstalarán.
Configuración de desinstalación de aplicaciones para aplicaciones administradas de iOS
Para dispositivos iOS/iPadOS, puedes elegir qué sucede con las aplicaciones administradas al desenrollar el dispositivo de Intune o quitar el perfil de administración mediante la configuración Desinstalar al quitar dispositivos. Esta configuración solo se aplica a las aplicaciones después de inscribir el dispositivo y de que las aplicaciones se instalen como administradas. La configuración no se puede configurar para aplicaciones web o vínculos web. Solo los datos protegidos por la Administración de aplicaciones móviles (MAM) se quitan después de retirarse mediante un borrado selectivo de aplicaciones.
Los valores predeterminados de la configuración se han prepoblado para las nuevas asignaciones de la siguiente manera:
| Tipo de aplicación de iOS | Configuración predeterminada de "Desinstalar en la eliminación del dispositivo" |
|---|---|
| Aplicación de línea de negocio | Sí |
| Aplicación de la tienda | No |
| Aplicación VPP | No |
| Aplicación integrada | No |
Nota
Tipos de asignación "disponibles": Si actualizas esta configuración para grupos "disponibles para dispositivos inscritos" o "disponibles con o sin inscripción", los usuarios que ya tengan la aplicación administrada no tendrán la configuración actualizada hasta que sincronicen el dispositivo con Intune y vuelvan a instalar la aplicación.
Asignaciones preexistentes: La configuración de desinstalación de aplicaciones se introdujo en mayo de 2019. Las asignaciones que existían antes de esta fecha no estánmodificadas y todas las aplicaciones administradas se quitarán al quitar el dispositivo de la administración. Si la asignación se creó antes de mayo de 2019, es posible que deba establecer explícitamente la configuración de desinstalación de aplicaciones, ya que es posible que no se aplique la configuración predeterminada anterior.
Pasos siguientes
Para obtener más información sobre cómo supervisar las asignaciones de aplicaciones, consulta Cómo supervisar aplicaciones.