Administración de experiencias de colaboración en Microsoft 365 (Office) para iOS y Android con Microsoft Intune
Microsoft 365 (Office) para iOS y Android ofrece varias ventajas clave, entre las que se incluyen:
- Combinar Word, Excel y PowerPoint de forma que se simplifique la experiencia con menos aplicaciones para descargar o cambiar entre ellas. Menos almacenamiento telefónico que la instalación de aplicaciones individuales, mientras se mantienen prácticamente todas las funcionalidades de las aplicaciones móviles existentes que los usuarios ya conocen y usan.
- Integrar la tecnología de Microsoft Lens para mayor eficacia de la cámara con funcionalidades como convertir imágenes en documentos editables de Word y Excel, digitalizar archivos PDF y capturar pizarras con mejoras digitales automáticas para facilitar la lectura del contenido.
- Agregar nuevas funciones para tareas comunes que las personas suelen encontrar al trabajar en un teléfono, como hacer notas rápidas, firmar archivos PDF, digitalizar códigos QR y transferir archivos entre dispositivos.
Las funcionalidades de protección más completas y amplias para los datos de Microsoft 365 están disponibles cuando se suscribe al conjunto de Enterprise Mobility + Security, que incluye Microsoft Intune y las características P1 o P2 de Microsoft Entra ID, como el acceso condicional. Como mínimo, le conviene implementar una directiva de acceso condicional que permita la conectividad a Microsoft 365 (Office) para iOS y Android desde dispositivos móviles y una directiva de protección de aplicaciones de Intune que garantice la protección de la experiencia de colaboración.
Aplicar el acceso condicional
Las organizaciones pueden usar directivas de acceso condicional de Microsoft Entra para asegurarse de que los usuarios solo puedan acceder al contenido profesional o educativo mediante Microsoft 365 (Office) para iOS y Android. Para ello, necesitará una directiva de acceso condicional destinada a todos los usuarios potenciales. Estas directivas se describen en Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones.
Siga los pasos de Requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones con dispositivos móviles, que permite Microsoft 365 (Office) para iOS y Android, pero impide que los clientes de dispositivos móviles compatibles con OAuth de terceros se conecten a puntos de conexión de Microsoft 365.
Nota:
Esta directiva garantiza que los usuarios móviles puedan acceder a todos los puntos de conexión Microsoft 365 mediante las aplicaciones aplicables.
Nota:
Para aprovechar las directivas de acceso condicional basadas en aplicaciones, la aplicación Microsoft Authenticator debe instalarse en los dispositivos iOS. En el caso de los dispositivos Android, se requiere la aplicación Portal de empresa de Intune. Para obtener más información, consulte Acceso condicional basado en aplicaciones con Intune.
Crear directivas de protección de aplicaciones de Intune
Las directivas de protección de aplicaciones (APP) definen qué aplicaciones se permiten y las acciones que se pueden realizar con los datos de la organización. Las opciones disponibles en las APP permiten a las organizaciones adaptar la protección a sus necesidades concretas. Para algunas de ellas, puede que no sea obvio qué configuración de directivas es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar la protección del punto de conexión del cliente móvil, Microsoft ha introducido la taxonomía para su marco de protección de datos de APP para la administración de aplicaciones móviles de iOS y Android.
El marco de protección de datos de APP se organiza en tres niveles de configuración distintos, cada uno de ellos basado en el nivel anterior:
- La protección de datos empresariales básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. Se trata de una configuración de nivel de entrada que proporciona un control de protección de datos similar en las directivas de buzón de Exchange Online y que introduce tecnologías informáticas y el rellenado de usuarios en APP.
- La protección de datos empresariales mejorada (nivel 2) incorpora mecanismos para la prevención de la pérdida de datos de APP y requisitos mínimos para el sistema operativo. Esta es la configuración aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
- La protección de datos empresariales alta (nivel 3) incorpora mecanismos avanzados para la protección de datos, configuración de PIN mejorada y defensa contra amenazas móviles de APP. Esta configuración es conveniente para los usuarios que acceden a datos de alto riesgo.
A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.
Independientemente de si el dispositivo está inscrito en una solución de administración unificada de puntos de conexión (UEM), es necesario crear una directiva de protección de aplicaciones de Intune para las aplicaciones iOS y Android siguiendo los pasos descritos en Cómo crear y asignar directivas de protección de aplicaciones. Estas directivas, como mínimo, deben cumplir las siguientes condiciones:
Incluyen todas las aplicaciones móviles de Microsoft 365, como Edge, Outlook, OneDrive, Microsoft 365 (Office) o Teams, ya que esto garantiza que los usuarios puedan acceder y manipular datos profesionales o educativos dentro de cualquier aplicación de Microsoft de forma segura.
Se asignan a todos los usuarios. Esto garantiza que todos los usuarios estén protegidos, independientemente de si usan Microsoft 365 (Office) para iOS o Android.
Determine qué nivel de marco cumple sus requisitos. La mayoría de las organizaciones deben implementar la configuración definida en Protección de datos mejorada para la empresa (nivel 2), ya que permite controles de requisitos de acceso y protección de datos.
Para obtener más información sobre la configuración disponible, consulte Configuración de directivas de protección de aplicaciones Android y Configuración de directivas de protección de aplicaciones iOS.
Importante
Para aplicar directivas de protección de aplicaciones Intune en aplicaciones en dispositivos Android que no están inscritos en Intune, el usuario también debe instalar el Portal de empresa de Intune. Para las directivas de Android App Protection, agregue las aplicaciones Office Hub, Office Hub [HL] y Office Hub [ROW]. Para obtener más información, vea Sugerencia de soporte técnico: Cómo habilitar Intune directivas de protección de aplicaciones con Office Mobile.
Uso de la configuración de la aplicación
Microsoft 365 (Office) para iOS y Android admite la configuración de la aplicación que permite a los administradores de la administración unificada de puntos de conexión, como Microsoft Intune, personalizar el comportamiento de la aplicación.
La configuración de aplicaciones se puede entregar a través del canal del sistema operativo de administración de dispositivos móviles (MDM) en dispositivos inscritos (canal de Configuración de aplicaciones administradas para iOS o Android en el canal Enterprise para Android) o a través del canal Directiva de protección de aplicaciones (APP) de Intune. Microsoft 365 (Office) para iOS y Android admite los siguientes escenarios de configuración:
- Permitir solo cuentas profesionales o educativas
- Configuración de la aplicación general
- Configuración de protección de datos
Importante
Para escenarios de configuración que requieren la inscripción de dispositivos en Android, los dispositivos deben estar inscritos en Android Enterprise y Microsoft 365 (Office); para Android la implementación debe hacerse a través de Google Play Store administrado. Para obtener más información, consulte Configurar la inscripción de dispositivos de perfil de trabajo de propiedad personal de Android Enterprise y Agregar directivas de configuración de aplicaciones para dispositivos de Android Enterprise administrados. Para las configuraciones de aplicaciones Android, agregue las aplicaciones Office Hub, Office Hub [HL], y Office Hub [ROW]. Para obtener más información, vea Sugerencia de soporte técnico: Cómo habilitar Intune directivas de protección de aplicaciones con Office Mobile.
Cada escenario de configuración resalta sus requisitos específicos. Por ejemplo, si el escenario de configuración requiere la inscripción de dispositivos y, por tanto, funciona con cualquier proveedor de UEM, o si requiere directivas de protección de aplicaciones de Intune.
Importante
Las claves de configuración de la aplicación distinguen mayúsculas de minúsculas. Use las mayúsculas y minúsculas de manera adecuada para asegurarse de que la configuración surte efecto.
Nota:
Con Microsoft Intune, la configuración de aplicaciones que se entrega a través del canal del sistema operativo MDM se conoce como una directiva de configuración de dispositivos (ACP) de dispositivos administrados; la configuración de aplicaciones que se entrega a través del canal Directiva de protección de aplicaciones se conoce como una directiva de configuración de aplicaciones de aplicaciones administradas.
Permitir solo cuentas profesionales o educativas
Respetar las directivas de seguridad y el cumplimiento de los datos de nuestros clientes más grandes y altamente regulados es un pilar clave para el valor de Microsoft 365. Algunas empresas tienen un requisito para capturar toda la información de comunicaciones dentro de su entorno corporativo, así como asegurarse de que los dispositivos solo se usan para las comunicaciones corporativas. Para admitir estos requisitos, Microsoft 365 (Office) y Android en dispositivos inscritos se puede configurar para permitir que se aprovisione una sola cuenta corporativa dentro de la aplicación.
Puede obtener más información sobre cómo configurar el valor de modo de cuentas permitidas de la organización aquí:
Este escenario de configuración solo funciona con dispositivos inscritos. Sin embargo, se admite cualquier proveedor de UEM. Si no usa Microsoft Intune, debe consultar la documentación de UEM sobre cómo implementar estas claves de configuración.
Escenarios generales de configuración de la aplicación
Microsoft 365 (Office) para iOS/iPadOS y Android permite a los administradores personalizar la configuración predeterminada para varias opciones de configuración en la aplicación con directivas de configuración de aplicaciones de iOS/iPadOS o Android. Esta funcionalidad se ofrece tanto para dispositivos inscritos a través de cualquier proveedor de UEM como para dispositivos que no están inscritos cuando Microsoft 365 (Office) para iOS y Android tiene aplicada una Directiva de protección de aplicaciones de Intune.
Nota:
Si una Directiva de protección de aplicaciones está destinada a los usuarios, se recomienda implementar la configuración general de la aplicación en un modelo de inscripción de aplicaciones administradas. Esto garantiza que la directiva de protección de aplicaciones se implemente tanto en dispositivos inscritos como en dispositivos no inscritos.
Microsoft 365 (Office) admite las siguientes opciones de configuración:
- Administrar la creación de Notas adhesivas
- Establecer las preferencias de complementos
- Administrar las aplicaciones de Teams que se ejecutan en Microsoft 365 (Office) para iOS y Android
- Habilitar o deshabilitar la fuente de Microsoft 365 para iOS y Android
Administrar la creación de Notas adhesivas
De forma predeterminada, Microsoft 365 (Office) para iOS y Android permite a los usuarios crear Notas adhesivas. Para los usuarios con buzones de Exchange Online, las notas se sincronizan en el buzón del usuario. Para los usuarios con buzones locales, estas notas solo se almacenan en el dispositivo local.
Clave | Valor |
---|---|
com.microsoft.office.NotesCreationEnabled |
true (valor predeterminado) habilita la creación de Notas adhesivas para la cuenta profesional o educativa. false deshabilita la creación de Notas adhesivas para la cuenta profesional o educativa |
Establecer las preferencias de complementos
En el caso de los dispositivos iOS/iPadOS que ejecutan Office, usted (como administrador) puede establecer si los complementos de Microsoft 365 (Office) están habilitados. Esta configuración de aplicación se puede implementar mediante una directiva de configuración de aplicaciones en Intune.
Clave | Valor |
---|---|
com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (valor predeterminado) deshabilita toda la plataforma del complemento. false habilita la plataforma de complementos |
Si necesita habilitar o deshabilitar la parte de la Tienda Microsoft 365 (Office) de la plataforma para dispositivos iOS, puede usar la siguiente clave.
Clave | Valor |
---|---|
com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true (valor predeterminado) deshabilita solo la parte de la Tienda Microsoft 365 (Office) de la plataforma. false habilita la parte de la Tienda Microsoft 365 (Office) de la plataforma NOTA: La instalación local seguirá funcionando. |
Para obtener más información sobre cómo agregar claves de configuración, consulte Agregar directivas de configuración de aplicaciones para dispositivos iOS/iPadOS administrados.
Administrar las aplicaciones de Teams que se ejecutan en Microsoft 365 (Office) para iOS y Android
Los administradores de TI pueden administrar el acceso a las aplicaciones de Teams mediante la creación de directivas de permisos personalizadas y asignar estas directivas a los usuarios mediante el centro de administración de Teams. Ahora también puede ejecutar aplicaciones de pestaña personal de Teams en Microsoft 365 (Office) para iOS y Android. Las aplicaciones de pestaña personal de Teams creadas con el SDK de cliente JavaScript v2 de Microsoft Teams (versión 2.0.0) y el manifiesto de la aplicación de Teams (versión 1.13) aparecen en Microsoft 365 (Office) para iOS y Android en el menú "Aplicaciones".
Puede haber requisitos de administración adicionales específicos de Microsoft 365 (Office) para iOS y Android. Además, podrá:
- Permitir solamente que usuarios específicos de su organización prueben aplicaciones de Teams mejoradas en Microsoft 365 (Office) para iOS y Android, o
- Impedir que todos los usuarios de su organización usen aplicaciones de Teams mejoradas en Microsoft 365 (Office) para iOS y Android.
Para administrar esto, puede usar la siguiente clave:
Clave | Valor |
---|---|
com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (valor predeterminado) habilita las aplicaciones de Teams en Microsoft 365 (Office) para iOS y Android false deshabilita las aplicaciones de Teams en Microsoft 365 (Office) para iOS y Android |
Esta clave se puede usar tanto en dispositivos administrados como en aplicaciones administradas.
Configurar la protección de datos en Microsoft 365 (Office)
Puede habilitar o deshabilitar el almacenamiento en caché sin conexión cuando Guardar como en el almacenamiento local esté bloqueado por la directiva de protección de aplicaciones.
Importante
Esta configuración solo es aplicable a la aplicación de Microsoft 365 (Office) en Android. Para establecer esta configuración, use la clave siguiente:
Clave | Valor |
---|---|
com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false (valor predeterminado) deshabilita el almacenamiento en caché sin conexión cuando se bloquea Guardar como en el almacenamiento local true habilita el almacenamiento en caché sin conexión cuando se bloquea Guardar como en el almacenamiento local. |
Habilitar o deshabilitar la fuente de Microsoft 365 para iOS y Android
Ahora, los administradores pueden habilitar o deshabilitar la fuente de Microsoft 365 mediante la configuración siguiente en el centro de administración de Intune. Para implementar esta configuración de aplicación, use una directiva de configuración de aplicaciones en Intune.
Para administrar la fuente de Microsoft 365, puede usar la clave siguiente:
Clave | Valor |
---|---|
com.microsoft.office.officemobile.Feed.IsAllowed |
true (valor predeterminado) se habilita la fuente para el inquilino false se deshabilita la fuente para el inquilino |
Esta clave se puede usar en dispositivos administrados y en aplicaciones administradas.
Copilot con protección de datos empresarial
Ahora, los administradores pueden habilitar o deshabilitar la aplicación de Copilot en Microsoft 365 mediante la configuración siguiente en el centro de administración de Intune. Para implementar esta configuración de aplicación, use una directiva de configuración de aplicaciones en Intune.
Para administrar la aplicación Copilot en Microsoft 365, puede usar la siguiente clave:
Clave | Valor |
---|---|
com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
True (valor predeterminado) Copilot está habilitado para el inquilino false Copilot esta deshabilitado para el inquilino |
Esta clave se puede usar en dispositivos administrados y en aplicaciones administradas.