Marco de protección de datos con directivas de protección de aplicaciones
A medida que más organizaciones implementan estrategias de dispositivos móviles para acceder a datos profesionales o educativos, la protección contra la pérdida de datos es fundamental. la solución de administración de aplicaciones móviles de Intune para protegerse contra la pérdida de datos es Directivas de protección de aplicaciones (APP). LA APLICACIÓN son reglas que garantizan que los datos de una organización permanezcan seguros o contenidos en una aplicación administrada, independientemente de si el dispositivo está inscrito. Para obtener más información, consulte introducción a las directivas de Protección de aplicaciones.
Al configurar directivas de Protección de aplicaciones, el número de varias opciones y opciones permite a las organizaciones adaptar la protección a sus necesidades específicas. Debido a esta flexibilidad, puede que no sea obvio qué permutación de la configuración de directiva es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar los esfuerzos de protección de puntos de conexión de cliente, Microsoft ha introducido una nueva taxonomía para las configuraciones de seguridad en Windows 10 y Intune está aprovechando una taxonomía similar para su marco de protección de datos de APLICACIONES para la administración de aplicaciones móviles.
El marco de configuración de protección de datos de APP se organiza en tres escenarios de configuración distintos:
Protección de datos básica de empresa de nivel 1: Microsoft recomienda esta configuración como configuración de protección de datos mínima para un dispositivo empresarial.
Protección de datos mejorada para empresas de nivel 2: Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial o confidencial. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.
Alta protección de datos de nivel 3 empresarial: Microsoft recomienda esta configuración para los dispositivos ejecutados por una organización con un equipo de seguridad más grande o más sofisticado, o para usuarios o grupos específicos que están en un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material para la organización). Una organización que probablemente esté dirigida por adversarios sofisticados y bien financiados debe aspirar a esta configuración.
Metodología de implementación de APP Data Protection Framework
Al igual que con cualquier implementación de software, características o configuración nuevos, Microsoft recomienda invertir en una metodología de anillos para probar la validación antes de implementar el marco de protección de datos de APP. La definición de anillos de implementación suele ser un evento único (o al menos poco frecuente), pero EL TI debe volver a consultar estos grupos para asegurarse de que la secuenciación sigue siendo correcta.
Microsoft recomienda el siguiente enfoque de anillo de implementación para el marco de protección de datos de APP:
| Anillo de implementación | Tenant | Equipos de evaluación | Salida | Escala de tiempo |
|---|---|---|---|---|
| Control de calidad | Inquilino de preproducción | Propietarios de funcionalidades móviles, seguridad, evaluación de riesgos, privacidad, experiencia de usuario | Validación del escenario funcional, documentación de borrador | De 0 a 30 días |
| Preview | Inquilino de producción | Propietarios de funcionalidades móviles, experiencia de usuario | Validación del escenario del usuario final, documentación orientada al usuario | De 7 a 14 días, después del control de calidad |
| Producción | Inquilino de producción | Propietarios de funcionalidades móviles, departamento de soporte técnico de TI | N/D | De 7 días a varias semanas, después de la versión preliminar |
Como indica la tabla anterior, todos los cambios en las directivas de Protección de aplicaciones deben realizarse primero en un entorno de preproducción para comprender las implicaciones de la configuración de directivas. Una vez completadas las pruebas, los cambios se pueden mover a producción y aplicarse a un subconjunto de usuarios de producción, por lo general, el departamento de TI y otros grupos aplicables. Y, por último, el lanzamiento se puede completar en el resto de la comunidad de usuarios móviles. La implementación en producción puede tardar más tiempo en función de la escala de impacto en relación con el cambio. Si no hay ningún impacto en el usuario, el cambio debe implementarse rápidamente, mientras que, si el cambio tiene como resultado un impacto en el usuario, es posible que el lanzamiento tenga que ir más lento debido a la necesidad de comunicar los cambios al rellenado de usuarios.
Al probar los cambios en una aplicación, tenga en cuenta el tiempo de entrega. Se puede supervisar el estado de la entrega de aplicaciones para un usuario determinado. Para obtener más información, consulte Supervisión de directivas de protección de aplicaciones.
La configuración de aplicación individual para cada aplicación se puede validar en dispositivos mediante Microsoft Edge y la dirección URL about:Intunehelp. Para obtener más información, consulte Revisión de los registros de protección de aplicaciones cliente y Uso de Microsoft Edge para iOS y Android para acceder a los registros de aplicaciones administradas.
Configuración de APP Data Protection Framework
La siguiente configuración de directiva de Protección de aplicaciones debe estar habilitada para las aplicaciones aplicables y asignada a todos los usuarios móviles. Para obtener más información sobre cada configuración de directiva, consulte Configuración de directivas de protección de aplicaciones de iOS y Configuración de directivas de protección de aplicaciones Android.
Microsoft recomienda revisar y categorizar escenarios de uso y, a continuación, configurar usuarios mediante las instrucciones prescriptivas para ese nivel. Al igual que con cualquier marco, es posible que sea necesario ajustar la configuración dentro de un nivel correspondiente en función de las necesidades de la organización, ya que la protección de datos debe evaluar el entorno de amenaza, el apetito de riesgo y el impacto en la facilidad de uso.
Los administradores pueden incorporar los siguientes niveles de configuración dentro de su metodología de implementación en anillo para el uso de pruebas y producción importando el ejemplo Intune plantillas JSON de App Protection Policy Configuration Framework con los scripts de PowerShell de Intune.
Nota:
Al usar MAM para Windows, consulte Protección de aplicaciones configuración de directivas para Windows.
Directivas de acceso condicional
Para asegurarse de que solo las aplicaciones compatibles con App Protection Poliies acceden a datos de cuentas profesionales o educativas, se requieren directivas de acceso condicional Microsoft Entra. Estas directivas se describen en Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones.
Consulte Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones con dispositivos móviles en Acceso condicional: Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones para conocer los pasos para implementar las directivas específicas. Por último, implemente los pasos descritos en Bloquear la autenticación heredada para bloquear aplicaciones iOS y Android compatibles con la autenticación heredada.
Nota:
Estas directivas aprovechan los controles de concesión Requerir aplicación cliente aprobada y Requerir directiva de protección de aplicaciones.
Aplicaciones que se incluirán en las directivas de Protección de aplicaciones
Para cada directiva de App Protection, el grupo de Microsoft Apps principal está destinado, lo que incluye las siguientes aplicaciones:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- Tareas pendientes
- Word
Las directivas deben incluir otras aplicaciones de Microsoft basadas en necesidades empresariales, aplicaciones públicas de terceros adicionales que hayan integrado el SDK de Intune que se usa en la organización, así como aplicaciones de línea de negocio que hayan integrado el SDK de Intune (o que se hayan encapsulado).
Protección de datos básica de empresa de nivel 1
El nivel 1 es la configuración mínima de protección de datos para un dispositivo móvil empresarial. Esta configuración reemplaza la necesidad de directivas básicas de acceso a dispositivos Exchange Online al requerir un PIN para acceder a los datos profesionales o educativos, cifrar los datos de la cuenta profesional o educativa y proporcionar la capacidad de borrar selectivamente los datos de la escuela o del trabajo. Sin embargo, a diferencia de Exchange Online directivas de acceso a dispositivos, la siguiente configuración de directiva de protección de aplicaciones se aplica a todas las aplicaciones seleccionadas en la directiva, lo que garantiza que el acceso a los datos esté protegido más allá de los escenarios de mensajería móvil.
Las directivas del nivel 1 aplican un nivel de acceso a datos razonable al tiempo que minimizan el impacto en los usuarios y reflejan la configuración predeterminada de los requisitos de acceso y protección de datos al crear una directiva de protección de aplicaciones dentro de Microsoft Intune.
Protección de datos
| Configuración | Descripción de la configuración | Valor | Plataforma |
|---|---|---|---|
| Transferencia de datos | Copia de seguridad de datos de la organización para... | Permitir | iOS/iPadOS, Android |
| Transferencia de datos | Envío de datos de la organización a otras aplicaciones | Todas las aplicaciones | iOS/iPadOS, Android |
| Transferencia de datos | Envío de datos de la organización a | Todos los destinos | Windows |
| Transferencia de datos | Recibir datos de otras aplicaciones | Todas las aplicaciones | iOS/iPadOS, Android |
| Transferencia de datos | Recibir datos de | Todos los orígenes | Windows |
| Transferencia de datos | Restringir cortar, copiar y pegar entre aplicaciones | Cualquier aplicación | iOS/iPadOS, Android |
| Transferencia de datos | Permitir cortar, copiar y pegar para | Cualquier destino y cualquier origen | Windows |
| Transferencia de datos | Teclados de terceros | Permitir | iOS/iPadOS |
| Transferencia de datos | Teclados aprobados | No es necesario | Android |
| Transferencia de datos | Captura de pantalla y Google Assistant | Permitir | Android |
| Cifrado | Cifrado de datos de la organización | Obligatoria | iOS/iPadOS, Android |
| Cifrado | Cifrado de datos de la organización en dispositivos inscritos | Obligatoria | Android |
| Funcionalidad | Sincronización de la aplicación con la aplicación de contactos nativos | Permitir | iOS/iPadOS, Android |
| Funcionalidad | Impresión de datos de la organización | Permitir | iOS/iPadOS, Android, Windows |
| Funcionalidad | Restringir la transferencia de contenido web con otras aplicaciones | Cualquier aplicación | iOS/iPadOS, Android |
| Funcionalidad | Notificaciones de datos de la organización | Permitir | iOS/iPadOS, Android |
Requisitos de acceso
| Configuración | Valor | Plataforma | Notas |
|---|---|---|---|
| PIN para acceder | Obligatoria | iOS/iPadOS, Android | |
| Tipo de PIN | Numérico | iOS/iPadOS, Android | |
| PIN simple | Permitir | iOS/iPadOS, Android | |
| Seleccione Longitud mínima del PIN | 4 | iOS/iPadOS, Android | |
| Touch ID en lugar de PIN para el acceso (iOS 8+/iPadOS) | Permitir | iOS/iPadOS | |
| Invalidación de la biometría con el PIN después del tiempo de espera | Obligatoria | iOS/iPadOS, Android | |
| Tiempo de espera (minutos de actividad) | 1440 | iOS/iPadOS, Android | |
| Face ID en lugar de PIN para el acceso (iOS 11+/iPadOS) | Permitir | iOS/iPadOS | |
| Biometría en lugar de PIN para el acceso | Permitir | iOS/iPadOS, Android | |
| Restablecimiento del PIN después de un número de días | No | iOS/iPadOS, Android | |
| Seleccionar el número de valores de PIN anteriores que se van a mantener | 0 | Android | |
| PIN de aplicación cuando está establecido el PIN del dispositivo | Obligatoria | iOS/iPadOS, Android | Si el dispositivo está inscrito en Intune, los administradores pueden considerar la posibilidad de establecerlo en "No necesario" si están aplicando un PIN de dispositivo seguro a través de una directiva de cumplimiento de dispositivos. |
| Credenciales de cuenta profesional o educativa para el acceso | No es necesario | iOS/iPadOS, Android | |
| Volver a comprobar los requisitos de acceso tras (minutos de inactividad) | 30 | iOS/iPadOS, Android |
Lanzamiento condicional
| Configuración | Descripción de la configuración | Valor/acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones de la aplicación | N.º máximo de intentos de PIN | 5/ Restablecer PIN | iOS/iPadOS, Android | |
| Condiciones de la aplicación | Período de gracia sin conexión | 10080/ Bloquear acceso (minutos) | iOS/iPadOS, Android, Windows | |
| Condiciones de la aplicación | Período de gracia sin conexión | 90 / Borrar datos (días) | iOS/iPadOS, Android, Windows | |
| Condiciones del dispositivo | Dispositivos con jailbreak o rooting | N/A/Bloquear acceso | iOS/iPadOS, Android | |
| Condiciones del dispositivo | Certificación de dispositivo SafetyNet | Integridad básica y dispositivos certificados/Bloquear acceso | Android | Esta configuración configura la comprobación de integridad del dispositivo de Google Play en los dispositivos del usuario final. La integridad básica valida la integridad del dispositivo. Por ejemplo, dispositivos con rooting, emuladores, dispositivos virtuales y cualquier otro dispositivo con signos de error de integridad básica por manipulación. La opción de integridad básica y dispositivos certificados valida la compatibilidad del dispositivo con los servicios de Google. Solo superan esta comprobación aquellos dispositivos que no se han manipulado y estén certificados por Google. |
| Condiciones del dispositivo | Requerir examen de amenazas en aplicaciones | N/A/Bloquear acceso | Android | Este valor garantiza que el examen de verificación de aplicaciones de Google está activado para los dispositivos de los usuarios finales. Si se configura, el usuario final se bloqueará el acceso hasta que active el examen de aplicaciones de Google en su dispositivo Android. |
| Condiciones del dispositivo | Nivel máximo de amenazas de dispositivo permitido | Acceso bajo/bloqueado | Windows | |
| Condiciones del dispositivo | Requerir bloqueo de dispositivo | Baja/Advertencia | Android | Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña. |
Nota:
La configuración de inicio condicional de Windows se etiqueta como Comprobaciones de estado.
Protección de datos mejorada para empresas de nivel 2
El nivel 2 es la configuración de protección de datos recomendada como estándar para los dispositivos en los que los usuarios acceden a información más confidencial. Estos dispositivos son un objetivo natural en las empresas de hoy en día. Estas recomendaciones no suponen un gran personal de profesionales de seguridad altamente cualificados y, por lo tanto, deben ser accesibles para la mayoría de las organizaciones empresariales. Esta configuración se expande a la configuración del nivel 1 mediante la restricción de escenarios de transferencia de datos y la necesidad de una versión mínima del sistema operativo.
Importante
La configuración de directiva aplicada en el nivel 2 incluye todas las opciones de configuración de directiva recomendadas para el nivel 1. Sin embargo, el nivel 2 solo enumera las opciones que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 1. Aunque esta configuración puede tener un impacto ligeramente mayor en los usuarios o en las aplicaciones, aplican un nivel de protección de datos más acorde con los riesgos a los que se enfrentan los usuarios con acceso a información confidencial en dispositivos móviles.
Protección de datos
| Configuración | Descripción de la configuración | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferencia de datos | Copia de seguridad de datos de la organización para... | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Envío de datos de la organización a otras aplicaciones | Aplicaciones administradas por directivas | iOS/iPadOS, Android | Con iOS/iPadOS, los administradores pueden configurar este valor para que sea "Aplicaciones administradas por directivas", "Aplicaciones administradas por directivas con uso compartido del sistema operativo" o "Aplicaciones administradas por directivas con filtrado de Open-In/Share". Las aplicaciones administradas por directivas con uso compartido del sistema operativo están disponibles cuando el dispositivo también está inscrito con Intune. Esta configuración permite la transferencia de datos a otras aplicaciones administradas por directivas y las transferencias de archivos a otras aplicaciones administradas por Intune. Las aplicaciones administradas por directivas con filtrado de open-in/share filtran los cuadros de diálogo Abrir o compartir del sistema operativo para mostrar solo las aplicaciones administradas por directivas. Para obtener más información, consulte configuración de directivas de protección de aplicaciones de iOS. |
| Transferencia de datos | Envío o datos a | Sin destinos | Windows | |
| Transferencia de datos | Recibir datos de | Sin orígenes | Windows | |
| Transferencia de datos | Seleccionar las aplicaciones que quedan exentas | Valor predeterminado/ skype; app-settings; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Transferencia de datos | Guardar copias de los datos de la organización | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir a los usuarios guardar copias en los servicios seleccionados | OneDrive para la Empresa, SharePoint Online, Biblioteca de fotos | iOS/iPadOS, Android | |
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Cualquier de aplicación de marcador | iOS/iPadOS, Android | |
| Transferencia de datos | Restringir cortar, copiar y pegar entre aplicaciones | Aplicaciones administradas por directivas con pegado | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir cortar, copiar y pegar para | Sin destino ni origen | Windows | |
| Transferencia de datos | Captura de pantalla y Google Assistant | Bloquear | Android | |
| Funcionalidad | Restringir la transferencia de contenido web con otras aplicaciones | Microsoft Edge | iOS/iPadOS, Android | |
| Funcionalidad | Notificaciones de datos de la organización | Bloquear datos de la organización | iOS/iPadOS, Android | Para obtener una lista de las aplicaciones que admiten esta configuración, consulte configuración de directivas de protección de aplicaciones de iOS y configuración de directivas de protección de aplicaciones Android. |
Lanzamiento condicional
| Configuración | Descripción de la configuración | Valor/acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones de la aplicación | Cuenta deshabilitada | N/A/Bloquear acceso | iOS/iPadOS, Android, Windows | |
| Condiciones del dispositivo | Versión mínima del sistema operativo |
Formato: Major.Minor.Build Ejemplo: 14.8 /Bloquear acceso |
iOS/iPadOS | Microsoft recomienda configurar la versión principal mínima de iOS para que coincida con las versiones de iOS compatibles con las aplicaciones de Microsoft. Las aplicaciones de Microsoft admiten un enfoque N-1 en el que N es la versión de versión principal de iOS actual. En el caso de los valores de versión secundaria y de compilación, Microsoft recomienda garantizar que los dispositivos estén actualizados con las actualizaciones de seguridad respectivas. Consulte Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple. |
| Condiciones del dispositivo | Versión mínima del sistema operativo |
Formato: Major.Minor Ejemplo: 9.0 /Bloquear acceso |
Android | Microsoft recomienda configurar la versión principal mínima de Android para que coincida con las versiones de Android compatibles con las aplicaciones de Microsoft. Los OEM y los dispositivos que se adhieren a los requisitos recomendados de Android Enterprise deben ser compatibles con la versión de publicación actual y una actualización posterior. Actualmente, Android recomienda Android 9.0 y versiones posteriores para los profesionales que trabajan con datos. Consulte Android Enterprise Recommended requirements for Android's latest recommendations (Requisitos recomendados de Android Enterprise para las recomendaciones más recientes de Android) |
| Condiciones del dispositivo | Versión mínima del sistema operativo |
Formato: Compilación Ejemplo: 10.0.22621.2506 / Bloquear acceso |
Windows | Microsoft recomienda configurar la compilación mínima de Windows para que coincida con las versiones compatibles de Windows para aplicaciones de Microsoft. Actualmente, Microsoft recomienda lo siguiente:
|
| Condiciones del dispositivo | Versión de revisión mínima |
Formato: AAAA-MM-DD Ejemplo: 2020-01-01 /Bloquear acceso |
Android | Los dispositivos Android pueden recibir actualizaciones de seguridad mensuales, pero la versión depende del OEM o de los operadores. Las organizaciones deben asegurarse de que los dispositivos Android implementados reciban actualizaciones de seguridad antes de implementar esta configuración. Consulte Los boletines de seguridad de Android para obtener las versiones de revisión más recientes. |
| Condiciones del dispositivo | Tipo de evaluación de SafetyNet requerido | Clave respaldada por hardware | Android | La atestación respaldada por hardware mejora la comprobación del servicio Play Integrity de Google existente mediante la aplicación de un nuevo tipo de evaluación denominado Hardware Backed, lo que proporciona una detección raíz más sólida en respuesta a los tipos más recientes de herramientas y métodos de rooting que no siempre se pueden detectar de forma confiable mediante una solución de solo software. Como su nombre indica, la atestación respaldada por hardware usa un componente basado en hardware, que se incluye con dispositivos instalados con Android 8.1 y versiones posteriores. Es poco probable que los dispositivos que se actualizaron desde una versión anterior de Android a Android 8.1 tengan los componentes basados en hardware necesarios para la atestación basada en hardware. Aunque esta configuración debe ser ampliamente compatible a partir de los dispositivos que se suministran con Android 8.1, Microsoft recomienda encarecidamente probar los dispositivos individualmente antes de habilitar esta configuración de directiva en general. |
| Condiciones del dispositivo | Requerir bloqueo de dispositivo | Acceso medio/en bloque | Android | Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña. |
| Condiciones del dispositivo | Atestación de dispositivos Samsung Knox | Bloquear acceso | Android | Microsoft recomienda configurar la configuración de atestación de dispositivos Samsung Knox en Bloquear el acceso para asegurarse de que la cuenta de usuario está bloqueada si el dispositivo no cumple la comprobación basada en hardware de Samsung Knox del estado del dispositivo. Esta configuración comprueba todas las Intune respuestas del cliente MAM al servicio Intune se enviaron desde un dispositivo en buen estado. Esta configuración se aplica a todos los dispositivos de destino. Para aplicar esta configuración solo a dispositivos Samsung, puede usar filtros de asignación "Aplicaciones administradas". Para obtener más información sobre los filtros de asignación, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune. |
| Condiciones de la aplicación | Período de gracia sin conexión | 30 / Borrar datos (días) | iOS/iPadOS, Android, Windows |
Nota:
La configuración de inicio condicional de Windows se etiqueta como Comprobaciones de estado.
Protección de datos alta empresarial de nivel 3
El nivel 3 es la configuración de protección de datos recomendada como estándar para organizaciones con organizaciones de seguridad grandes y sofisticadas, o para usuarios y grupos específicos a los que se dirigirán de forma exclusiva los adversarios. Estas organizaciones suelen estar destinadas a adversarios sofisticados y bien financiados, y, como tal, merecen las restricciones y controles adicionales descritos. Esta configuración se expande a la configuración en el nivel 2 mediante la restricción de escenarios de transferencia de datos adicionales, el aumento de la complejidad de la configuración del PIN y la incorporación de la detección de amenazas móviles.
Importante
La configuración de directiva aplicada en el nivel 3 incluye todas las opciones de configuración de directiva recomendadas para el nivel 2, pero solo enumera las opciones siguientes que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 2. Esta configuración de directiva puede tener un impacto potencialmente significativo para los usuarios o para las aplicaciones, lo que exige un nivel de seguridad acorde con los riesgos a los que se enfrentan las organizaciones de destino.
Protección de datos
| Configuración | Descripción de la configuración | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Cualquier aplicación de marcado administrada por directivas | Android | Los administradores también pueden configurar esta configuración para usar una aplicación de marcador que no admita directivas de protección de aplicaciones seleccionando Una aplicación de marcador específica y proporcionando los valores de Id . de paquete de aplicación de marcador y Nombre de aplicación de marcador . |
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Una aplicación de marcador específica | iOS/iPadOS | |
| Transferencia de datos | Esquema de la dirección URL de la aplicación de marcador | replace_with_dialer_app_url_scheme | iOS/iPadOS | En iOS/iPadOS, este valor debe reemplazarse por el esquema de dirección URL de la aplicación de marcado personalizada que se usa. Si no se conoce el esquema de dirección URL, póngase en contacto con el desarrollador de la aplicación para obtener más información. Para obtener más información sobre los esquemas de direcciones URL, consulte Definición de un esquema de dirección URL personalizado para la aplicación. |
| Transferencia de datos | Recibir datos de otras aplicaciones | Aplicaciones administradas por directivas | iOS/iPadOS, Android | |
| Transferencia de datos | Abrir datos en documentos de la organización | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir a los usuarios abrir datos de servicios seleccionados | OneDrive para la Empresa, SharePoint, Cámara, Biblioteca de fotos | iOS/iPadOS, Android | Para obtener información relacionada, consulte Configuración de directivas de protección de aplicaciones android y configuración de directivas de protección de aplicaciones de iOS. |
| Transferencia de datos | Teclados de terceros | Bloquear | iOS/iPadOS | En iOS/iPadOS, esto impide que todos los teclados de terceros funcionen dentro de la aplicación. |
| Transferencia de datos | Teclados aprobados | Obligatoria | Android | |
| Transferencia de datos | Selección de teclados para aprobar | agregar o quitar teclados | Android | Con Android, los teclados deben seleccionarse para poder usarse en función de los dispositivos Android implementados. |
| Funcionalidad | Imprimir datos de la organización | Bloquear | iOS/iPadOS, Android, Windows |
Requisitos de acceso
| Configuración | Valor | Plataforma |
|---|---|---|
| PIN simple | Bloquear | iOS/iPadOS, Android |
| Seleccione Longitud mínima del PIN | 6 | iOS/iPadOS, Android |
| Restablecimiento del PIN después de un número de días | Sí | iOS/iPadOS, Android |
| Número de días | 365 | iOS/iPadOS, Android |
| Biometría de clase 3 (Android 9.0+) | Obligatoria | Android |
| Invalidación de biometría con PIN después de actualizaciones biométricas | Obligatoria | Android |
Lanzamiento condicional
| Configuración | Descripción de la configuración | Valor/acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones del dispositivo | Requerir bloqueo de dispositivo | Acceso alto o en bloque | Android | Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña. |
| Condiciones del dispositivo | Nivel máximo de amenazas de dispositivo permitido | Acceso protegido o bloqueado | Windows | |
| Condiciones del dispositivo | Dispositivos con jailbreak o rooting | N/A/Borrar datos | iOS/iPadOS, Android | |
| Condiciones del dispositivo | Nivel máximo de amenaza permitida | Acceso protegido o bloqueado | iOS/iPadOS, Android | Los dispositivos no inscritos se pueden inspeccionar en busca de amenazas mediante Mobile Threat Defense. Para obtener más información, consulte Mobile Threat Defense para dispositivos no inscritos. Si el dispositivo está inscrito, esta configuración se puede omitir en favor de la implementación de Mobile Threat Defense para dispositivos inscritos. Para más información, consulte Defensa contra amenazas móviles para dispositivos inscritos. |
| Condiciones del dispositivo | Versión máxima del sistema operativo |
Formato: Major.Minor Ejemplo: 11.0 / Bloquear acceso |
Android | Microsoft recomienda configurar la versión principal de Android máxima para garantizar que no se usen versiones beta o no compatibles del sistema operativo. Consulte Android Enterprise Recommended requirements for Android's latest recommendations (Requisitos recomendados de Android Enterprise para las recomendaciones más recientes de Android) |
| Condiciones del dispositivo | Versión máxima del sistema operativo |
Formato: Major.Minor.Build Ejemplo: 15.0 / Bloquear acceso |
iOS/iPadOS | Microsoft recomienda configurar la versión principal máxima de iOS/iPadOS para garantizar que no se usen versiones beta o no compatibles del sistema operativo. Consulte Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple. |
| Condiciones del dispositivo | Versión máxima del sistema operativo |
Formato: Major.Minor Ejemplo: 22631. / Bloquear el acceso |
Windows | Microsoft recomienda configurar la versión principal máxima de Windows para garantizar que no se usen versiones beta o no compatibles del sistema operativo. |
| Condiciones del dispositivo | Atestación de dispositivos Samsung Knox | Borrar datos | Android | Microsoft recomienda configurar la configuración de atestación del dispositivo Samsung Knox en Borrar datos para asegurarse de que los datos de la organización se quitan si el dispositivo no cumple la comprobación basada en hardware de Knox de Samsung del estado del dispositivo. Esta configuración comprueba todas las Intune respuestas del cliente MAM al servicio Intune se enviaron desde un dispositivo en buen estado. Esta configuración se aplicará a todos los dispositivos de destino. Para aplicar esta configuración solo a dispositivos Samsung, puede usar filtros de asignación "Aplicaciones administradas". Para obtener más información sobre los filtros de asignación, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune. |
| Condiciones de la aplicación | Período de gracia sin conexión | 30 / Bloquear acceso (días) | iOS/iPadOS, Android, Windows |
Pasos siguientes
Los administradores pueden incorporar los niveles de configuración anteriores dentro de su metodología de implementación en anillo para probar y usar la producción importando el ejemplo Intune plantillas JSON de App Protection Policy Configuration Framework con scripts de PowerShell de Intune.