Comparteix a través de


Paso 2: Agregar, configurar y proteger aplicaciones con Intune

El siguiente paso al implementar Intune es agregar y proteger aplicaciones que acceden a los datos de la organización.

Diagrama que muestra cómo empezar a trabajar con Microsoft Intune con el paso 2, que es agregar y proteger aplicaciones mediante Microsoft Intune.

La administración de aplicaciones en dispositivos de su organización es una parte central de un ecosistema empresarial seguro y productivo. Puede usar Microsoft Intune para administrar las aplicaciones que usa el personal de su empresa. Al administrar aplicaciones, puede ayudar a controlar qué aplicaciones usa su empresa, así como la configuración y protección de las aplicaciones. Esta funcionalidad se denomina administración de aplicaciones móviles (MAM). MAM en Intune está diseñado para proteger los datos de la organización en el nivel de aplicación, incluidas las aplicaciones personalizadas y las aplicaciones de la tienda. La administración de aplicaciones se puede usar en dispositivos propiedad de la organización y en dispositivos personales. Cuando se usa con dispositivos personales, solo se administra el acceso y los datos relacionados con la organización. Este tipo de administración de aplicaciones se denomina MAM sin inscripción o, desde una perspectiva del usuario final, traiga su propio dispositivo (BYOD).

Configuraciones de MAM

Cuando se usan aplicaciones sin restricciones, se pueden entremezclar los datos empresariales y personales. Los datos de la empresa pueden acabar en ubicaciones como el almacenamiento personal o ser transferidos a aplicaciones fuera de su alcance y provocar la pérdida de datos. Una de las principales razones para usar MAM sin inscripción de dispositivos o Intune MDM + MAM es ayudar a proteger los datos de su organización.

Microsoft Intune admite dos configuraciones mam:

MAM sin administración de dispositivos

Esta configuración permite que las aplicaciones de la organización se administren mediante Intune, pero no inscribe los dispositivos para que los administre Intune. Esta configuración se conoce normalmente como MAM sin inscripción de dispositivos. Los administradores de TI pueden administrar aplicaciones mediante MAM mediante directivas de configuración y protección de Intune en dispositivos no inscritos con Intune administración de dispositivos móviles (MDM).

Nota:

Esta configuración incluye la administración de aplicaciones con Intune en dispositivos inscritos con proveedores de administración de movilidad empresarial (EMM) de terceros. Puede usar Intune directivas de protección de aplicaciones independientemente de cualquier solución MDM. Esta independencia le ayuda a proteger los datos de la empresa tanto si inscribe los dispositivos en una solución de administración de dispositivos como si no. Mediante la implementación de directivas de nivel de aplicación, puede restringir el acceso a los recursos de la empresa y mantener los datos dentro del ámbito del departamento de TI.

Mobile Application Management (MAM) es ideal para ayudar a proteger los datos de la organización en los dispositivos móviles que usan los miembros de la organización para tareas personales y profesionales. Al mismo tiempo que se asegura de que los miembros de su organización pueden ser productivos, quiere evitar la pérdida de datos, intencionada e involuntaria. También quiere proteger los datos de la empresa a los que se accede desde dispositivos no administrados por usted. MAM permite administrar y proteger los datos de la organización dentro de una aplicación.

Sugerencia

Muchas de las aplicaciones de productividad, como las aplicaciones de Microsoft Office, se pueden administrar mediante MAM de Intune. Consulte la lista oficial de aplicaciones protegidas de Microsoft Intune, disponible para uso público.

En el caso de los dispositivos BYOD no inscritos en ninguna solución MDM, las directivas de protección de aplicaciones pueden ayudar a proteger los datos de la empresa en el nivel de aplicación. Sin embargo, existen algunas limitaciones que se deben tener en cuenta, como:

  • No se puede implementar aplicaciones en el dispositivo. El usuario final debe obtener las aplicaciones de la tienda.
  • No se puede proporcionar perfiles de certificados en estos dispositivos.
  • No se puede proporcionar la configuración de Wi-Fi y VPN de compañía en estos dispositivos.

Para obtener más información sobre la protección de aplicaciones en Intune, consulte introducción a las directivas de Protección de aplicaciones.

MAM con administración de dispositivos

Esta configuración permite administrar las aplicaciones y los dispositivos de la organización. Esta configuración se conoce normalmente como MAM + MDM. Los administradores de TI pueden administrar aplicaciones mediante MAM en dispositivos inscritos con Intune MDM.

MDM, además de MAM, garantiza que el dispositivo esté protegido. Por ejemplo, puede solicitar un PIN para acceder al dispositivo o puede implementar aplicaciones administradas en el dispositivo. También puede implementar aplicaciones en dispositivos a través de la solución MDM para proporcionarle más control sobre la administración de aplicaciones.

El uso de MDM con directivas de protección de aplicaciones tiene ventajas adicionales, y las empresas pueden usar directivas de protección de aplicaciones con y sin MDM al mismo tiempo. Por ejemplo, un miembro de la organización podría tener un teléfono emitido por la empresa y su propia tableta personal. El teléfono de la empresa podría inscribirse en MDM y protegerse mediante directivas de protección de aplicaciones, mientras que el dispositivo personal solo está protegido por directivas de protección de aplicaciones.

En los dispositivos inscritos que usan un servicio MDM, las directivas de protección de aplicaciones pueden agregar una capa adicional de protección. Por ejemplo, un usuario inicia sesión en un dispositivo con sus credenciales de organización. Dado que se usan datos de la organización, las directivas de protección de aplicaciones controlan cómo se guardan y se comparten los datos. Cuando los usuarios inician sesión con su identidad personal, no se aplican esas mismas protecciones (acceso y restricciones). De esta manera, el departamento de TI controla los datos de la organización, mientras que los usuarios finales mantienen el control y la privacidad de sus datos personales.

La solución MDM agrega valor al proporcionar lo siguiente:

  • Inscribe el dispositivo
  • Implementa las aplicaciones en el dispositivo
  • Proporciona el cumplimiento y la administración continua de los dispositivos

Las directivas de protección de aplicaciones agregan valor al proporcionar lo siguiente:

  • Ayudan a evitar la fuga de datos de la compañía a aplicaciones y servicios de consumidor.
  • Aplican restricciones (Guardar como, Portapapeles, PIN, etc.) a las aplicaciones cliente.
  • Borran datos de compañía de las aplicaciones cuando es necesario sin borrar esas aplicaciones del dispositivo.

Ventajas de MAM con Intune

Cuando las aplicaciones se administran en Intune, los administradores pueden hacer lo siguiente:

  • Proteja los datos de la empresa en el nivel de aplicación. Puede agregar y asignar aplicaciones móviles a grupos de usuarios y dispositivos. Esto permite proteger los datos de la empresa en el nivel de aplicación. Puede proteger los datos de la empresa en dispositivos administrados y no administrados porque la administración de aplicaciones móviles no requiere administración de dispositivos. La administración se centra en la identidad del usuario, lo que elimina la necesidad de administrar dispositivos.
  • Configure las aplicaciones para que se inicien o ejecuten con una configuración específica habilitada. Además, puede actualizar las aplicaciones existentes que ya están en el dispositivo.
  • Asigne directivas para limitar el acceso e impedir que los datos se usen fuera de la organización. Elija la configuración de estas directivas en función de los requisitos de su organización. Por ejemplo, puede:
    • Solicitar un PIN para abrir una aplicación en un contexto de trabajo.
    • Bloquear la ejecución de aplicaciones administradas en dispositivos con Jailbreak o rooting
    • Controlar el uso compartido de datos entre aplicaciones.
    • Evite guardar los datos de la aplicación de empresa en una ubicación de almacenamiento personal mediante directivas de reubicación de datos, como Guardar copias de datos de la organización y Restringir cortar, copiar y pegar.
  • Admite aplicaciones en una variedad de plataformas y sistemas operativos. Cada plataforma es diferente. Intune proporciona la configuración disponible específicamente para cada plataforma admitida.
  • Consulta los informes sobre qué aplicaciones se usan y realiza un seguimiento de su uso. Además, Intune proporciona análisis de puntos de conexión para ayudarle a evaluar y resolver problemas.
  • Realizar un borrado selectivo para quita de las aplicaciones únicamente los datos de la organización.
  • Asegúrese de que los datos personales se mantienen separados de los datos administrados. La productividad del usuario final no se ve afectada y no se aplican las directivas cuando se usa la aplicación en un contexto personal. Las directivas se aplican solo en un contexto de trabajo, lo que permite proteger los datos de la empresa sin tocar los datos personales.

Agregar aplicaciones a Intune

El primer paso al proporcionar aplicaciones a su organización es agregar las aplicaciones a Intune antes de asignarlas a dispositivos o usuarios de Intune. Aunque puede trabajar con muchos tipos de aplicaciones diferentes, los procedimientos básicos son los mismos. Con Intune, puede agregar diferentes tipos de aplicaciones, incluidas las aplicaciones escritas internamente (línea de negocio), las aplicaciones de la tienda, las aplicaciones integradas y las aplicaciones en la web.

Los usuarios de aplicaciones y dispositivos de la empresa (los empleados de la empresa) podrían tener diferentes requisitos de aplicaciones. Antes de agregar aplicaciones a Intune y de ponerlas a disposición de los trabajadores, es posible que le resulte útil evaluar y comprender algunos conceptos básicos de la aplicación. Hay varios tipos de aplicaciones disponibles para Intune. Debe determinar los requisitos de la aplicación que necesitan los usuarios de la empresa, como las plataformas y las funciones que necesitan los trabajadores. Debe determinar si va a utilizar Intune para administrar los dispositivos (incluidas las aplicaciones) o si dejará que Intune administre las aplicaciones sin administrar los dispositivos. Además, debe determinar las aplicaciones y funcionalidades que necesitan los trabajadores y quién las necesita. La información de este artículo le ayudará a comenzar.

Antes de agregar aplicaciones a Intune, considere la posibilidad de revisar los tipos de aplicación de soporte técnico y evaluar los requisitos de la aplicación. Para más información, vea Agregar aplicaciones a Microsoft Intune.

Sugerencia

Para comprender mejor los tipos de aplicaciones, las compras de aplicaciones y las licencias de aplicaciones para Intune, consulte la solución Compra y adición de aplicaciones para Microsoft Intune. Este contenido de la solución también proporciona los pasos recomendados para evaluar los requisitos de la aplicación, crear categorías de aplicaciones, comprar aplicaciones y agregar aplicaciones. Además, en este contenido de la solución se explica cómo administrar aplicaciones y licencias de aplicaciones.

Agregar aplicaciones de Microsoft

Intune incluye varias aplicaciones de Microsoft basadas en la licencia de Microsoft que se usa para Intune. Para obtener más información sobre las distintas licencias empresariales de Microsoft disponibles que incluyen Intune, consulte licencias de Microsoft Intune. Para comparar las diferentes aplicaciones de Microsoft que están disponibles con Microsoft 365, consulte las opciones de licencia disponibles con Microsoft 365. Para ver todas las opciones de cada plan (incluidas las aplicaciones de Microsoft disponibles), descargue la tabla de comparación de suscripciones de Microsoft completa y busque los planes que incluyen Microsoft Intune.

Uno de los tipos de aplicaciones disponibles son las aplicaciones de Microsoft 365 para dispositivos Windows 10. Al seleccionar este tipo de aplicación en Intune, puede asignar e instalar aplicaciones de Microsoft 365 a los dispositivos que administre que ejecuten Windows 10. También puede asignar e instalar aplicaciones para el cliente de escritorio de Microsoft Project Online y microsoft Visio Online Plan 2, si posee licencias para ellas. Las aplicaciones de Microsoft 365 disponibles se muestran como una sola entrada en la lista de aplicaciones de la consola de Intune en Azure.

Agregue las siguientes aplicaciones principales de Microsoft a Intune:

  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word

Para obtener más información sobre cómo agregar aplicaciones de Microsoft a Intune, vaya a los temas siguientes:

Agregar aplicaciones de la tienda (opcional)

Muchas de las aplicaciones de la tienda estándar que se muestran en la consola de Intune están disponibles de forma gratuita para agregar e implementar en los miembros de la organización. Además, puedes comprar aplicaciones de la tienda para cada plataforma de dispositivo.

En la tabla siguiente se proporcionan las distintas categorías disponibles para las aplicaciones de la tienda:

Categoría de aplicación de la Tienda Descripción
Aplicaciones de la tienda gratuita Puede agregar libremente estas aplicaciones a Intune e implementarlas en los miembros de la organización. Estas aplicaciones no requieren ningún costo adicional para su uso.
Aplicaciones compradas Debe comprar licencias para estas aplicaciones antes de agregarlas a Intune. Cada plataforma de dispositivo (Windows, iOS, Android) ofrece un método estándar para comprar licencias para estas aplicaciones. Intune proporciona métodos para administrar la licencia de aplicación para cada usuario final.
Aplicaciones que requieren una cuenta, una suscripción o una licencia del desarrollador de aplicaciones Puede agregar e implementar libremente estas aplicaciones desde Intune, sin embargo, la aplicación puede requerir una cuenta, una suscripción o una licencia del proveedor de la aplicación. Para obtener una lista de las aplicaciones que admiten Intune funcionalidad de administración, consulte Aplicaciones de productividad de asociados y Aplicaciones de UEM de partners. NOTA: En el caso de las aplicaciones que pueden requerir una cuenta, una suscripción o una licencia, debe ponerse en contacto con el proveedor de aplicaciones para obtener detalles específicos de la aplicación.
Aplicaciones incluidas con su licencia de Intune La licencia que usa con Microsoft Intune puede incluir las licencias de aplicación que necesita.

Nota:

Además de comprar licencias de aplicaciones, puede crear directivas de Intune que permitan a los usuarios finales agregar cuentas personales a sus dispositivos para comprar aplicaciones no administradas.

Para obtener más información sobre cómo agregar aplicaciones de Microsoft a Intune, vaya a los temas siguientes:

Configuración de aplicaciones mediante Intune

Las directivas de configuración de aplicaciones pueden ayudarle a eliminar los problemas de configuración de la aplicación, ya que le permiten seleccionar la configuración de una directiva. Esa directiva se asigna a los usuarios finales antes de ejecutar una aplicación específica. A continuación, la configuración se proporciona automáticamente cuando la aplicación está configurada en el dispositivo del usuario final. Los usuarios finales no necesitan tomar medidas. Las opciones de configuración son únicas para cada aplicación.

Puede crear y usar directivas de configuración de aplicaciones para proporcionar opciones de configuración para aplicaciones iOS/iPadOS o Android. Estas opciones de configuración permiten personalizar una aplicación mediante la configuración y administración de la aplicación. Las opciones de la directiva de configuración se usan cuando la aplicación comprueba estas opciones, normalmente la primera vez que se ejecuta la aplicación.

Una configuración de la aplicación, por ejemplo, puede requerir que especifique cualquiera de los detalles siguientes:

  • Un número de puerto personalizado
  • Configuración de idioma
  • Configuración de seguridad
  • Configuración de personalización de marca, como un logotipo de empresa

Si los usuarios finales entraran en esta configuración en su lugar, podrían hacerlo incorrectamente. Las directivas de configuración de aplicaciones pueden ayudar a proporcionar coherencia en una empresa y reducir las llamadas del departamento de soporte técnico de los usuarios finales que intentan configurar la configuración por su cuenta. Mediante el uso de directivas de configuración de aplicaciones, la adopción de nuevas aplicaciones puede ser más fácil y rápida.

Los desarrolladores de la aplicación deciden en última instancia los parámetros de configuración disponibles. Se debe revisar la documentación del proveedor de aplicaciones para ver si una aplicación admite la configuración y qué configuraciones están disponibles. En algunas aplicaciones, Intune rellenará los valores de configuración disponibles.

Para obtener más información sobre la configuración de la aplicación, vaya a los temas siguientes:

Configurar Microsoft Outlook

La aplicación Outlook para iOS y Android está diseñada para permitir que los usuarios de su organización hagan más desde sus dispositivos móviles, reuniendo correo electrónico, calendario, contactos y otros archivos.

Las funcionalidades de protección más completas y amplias para los datos de Microsoft 365 están disponibles cuando se suscribe al conjunto de Enterprise Mobility + Security, que incluye Microsoft Intune y las características P1 o P2 de Microsoft Entra ID, como el acceso condicional. Como mínimo, querrá implementar una directiva de acceso condicional que permita la conectividad a Outlook para iOS y Android desde dispositivos móviles y una directiva de protección de aplicaciones Intune que garantice que la experiencia de colaboración está protegida.

Para obtener más información sobre cómo configurar Microsoft Outlook, vaya al tema siguiente:

Configurar Microsoft Edge

Edge para iOS y Android está diseñado para permitir que los usuarios naveguen por la Web y admite varias identidades. Los usuarios pueden agregar una cuenta profesional, así como una cuenta personal, para la exploración. Hay una separación completa entre las dos identidades, que es como lo que se ofrece en otras aplicaciones móviles de Microsoft.

Para obtener más información sobre cómo configurar Microsoft Edge, vaya al tema siguiente:

Configurar VPN

Las redes privadas virtuales (VPN) permiten a los usuarios acceder a los recursos de la organización de forma remota, incluidos desde casa, hoteles, cafés y mucho más. En Microsoft Intune, puede configurar aplicaciones cliente VPN en dispositivos Android Enterprise mediante una directiva de configuración de aplicaciones. A continuación, implemente esta directiva con su configuración de VPN en los dispositivos de la organización.

También puede crear directivas de VPN que usan aplicaciones específicas. Esta característica se denomina VPN por aplicación. Cuando la aplicación está activa, puede conectarse a la VPN y acceder a los recursos a través de la VPN. Cuando la aplicación no está activa, no se usa la VPN.

Para obtener más información sobre cómo configurar el correo electrónico, vaya al tema siguiente:

Protección de aplicaciones mediante Intune

Las directivas de protección de aplicaciones (APP) que garantizan los datos de la organización siguen siendo seguras o se encuentran en una aplicación administrada. Una directiva puede ser una regla que se aplica cuando el usuario intenta acceder o mover datos "corporativos", o un conjunto de acciones que se prohíben o supervisan cuando el usuario está dentro de la aplicación. Una aplicación administrada es aquella que tiene las directivas de protección de aplicaciones aplicadas y puede ser administrada por Intune.

Las directivas de protección de aplicaciones de Administración de aplicaciones móviles (MAM) le permiten administrar y proteger los datos de su organización dentro de una aplicación. Muchas de las aplicaciones de productividad, como las aplicaciones de Microsoft Office, se pueden administrar mediante MAM de Intune. Consulte la lista oficial de aplicaciones protegidas de Microsoft Intune, disponible para uso público.

Una de las principales formas en que Intune proporciona seguridad de aplicaciones móviles es a través de directivas. Protección de aplicaciones directivas le permiten realizar las siguientes acciones:

  • Use Microsoft Entra identidad para aislar los datos de la organización de los datos personales. De este modo, la información personal se mantiene al margen del departamento de TI de la organización. A los datos a los que se accede mediante credenciales de la organización se les proporciona protección de seguridad adicional.
  • Ayude a proteger el acceso en dispositivos personales mediante la restricción de las acciones que los usuarios pueden realizar con los datos de la organización, como copiar y pegar, guardar y ver.
  • Cree e implemente en dispositivos inscritos en Intune, inscritos en otro servicio de administración de dispositivos móviles (MDM) o no inscritos en ningún servicio MDM.

Nota:

Protección de aplicaciones directivas están diseñadas para aplicarse uniformemente en un grupo de aplicaciones, como aplicar una directiva en todas las aplicaciones móviles de Office.

Las organizaciones pueden usar directivas de protección de aplicaciones con y sin MDM al mismo tiempo. Por ejemplo, considere a un empleado que usa una tableta emitida por la empresa y su propio teléfono personal. La tableta de la empresa está inscrita en MDM y protegida por directivas de protección de aplicaciones mientras que su teléfono personal solo está protegido por directivas de protección de aplicaciones.

Para obtener más información sobre la protección de aplicaciones en Intune, vaya a los temas siguientes:

Niveles de protección de aplicaciones

A medida que más organizaciones implementan estrategias de dispositivos móviles para acceder a datos profesionales o educativos, la protección contra la pérdida de datos es fundamental. la solución de administración de aplicaciones móviles de Intune para protegerse contra la pérdida de datos es Directivas de protección de aplicaciones (APP). LA APLICACIÓN son reglas que garantizan que los datos de una organización permanezcan seguros o contenidos en una aplicación administrada, independientemente de si el dispositivo está inscrito.

Al configurar directivas de Protección de aplicaciones, las distintas opciones y opciones disponibles permiten a las organizaciones personalizar la protección según sus necesidades específicas. Debido a esta flexibilidad, puede que no sea obvio qué permutación de la configuración de directiva es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar los esfuerzos de protección de puntos de conexión de cliente, Microsoft ha introducido una nueva taxonomía para las configuraciones de seguridad en Windows 10 y Intune está aprovechando una taxonomía similar para su marco de protección de datos de APLICACIONES para la administración de aplicaciones móviles.

El marco de configuración de protección de datos de APP se organiza en tres escenarios de configuración distintos:

  • Protección de datos básica de empresa de nivel 1: Microsoft recomienda esta configuración como configuración de protección de datos mínima para un dispositivo empresarial.

  • Protección de datos mejorada para empresas de nivel 2: Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial o confidencial. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.

  • Alta protección de datos de nivel 3 empresarial: Microsoft recomienda esta configuración para los dispositivos ejecutados por una organización con un equipo de seguridad más grande o más sofisticado, o para usuarios o grupos específicos que están en un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material para la organización). Una organización que probablemente esté dirigida por adversarios sofisticados y bien financiados debe aspirar a esta configuración.

Protección básica de aplicaciones (nivel 1)

La protección básica de aplicaciones en Intune (nivel 1) es la configuración de protección de datos mínima para un dispositivo móvil empresarial. Esta configuración reemplaza la necesidad de directivas básicas de acceso a dispositivos Exchange Online al requerir un PIN para acceder a los datos profesionales o educativos, cifrar los datos de la cuenta profesional o educativa y proporcionar la capacidad de borrar selectivamente los datos de la escuela o del trabajo. Sin embargo, a diferencia de Exchange Online directivas de acceso a dispositivos, la siguiente configuración de directiva de protección de aplicaciones se aplica a todas las aplicaciones seleccionadas en la directiva, lo que garantiza que el acceso a los datos esté protegido más allá de los escenarios de mensajería móvil.

Las directivas del nivel 1 aplican un nivel de acceso a datos razonable al tiempo que minimizan el impacto en los usuarios y reflejan la configuración predeterminada de los requisitos de acceso y protección de datos al crear una directiva de protección de aplicaciones dentro de Microsoft Intune.

Para obtener información específica sobre la protección de datos, los requisitos de acceso y la configuración de inicio condicional para la protección básica de aplicaciones, vaya al tema siguiente:

Protección mejorada de aplicaciones (nivel 2)

La protección mejorada de aplicaciones en Intune (nivel 2) es la configuración de protección de datos recomendada como estándar para los dispositivos en los que los usuarios acceden a información más confidencial. Estos dispositivos son un objetivo natural en las empresas de hoy en día. Estas recomendaciones no suponen un gran personal de profesionales de seguridad altamente cualificados y, por lo tanto, deben ser accesibles para la mayoría de las organizaciones empresariales. Esta configuración se expande en el nivel 1 mediante la restricción de escenarios de transferencia de datos y la necesidad de una versión mínima del sistema operativo.

La configuración de directiva aplicada en el nivel 2 incluye todas las opciones de configuración de directiva recomendadas para el nivel 1, pero solo enumera las opciones siguientes que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 1. Aunque esta configuración puede tener un impacto ligeramente mayor en los usuarios o en las aplicaciones, aplican un nivel de protección de datos más acorde con los riesgos a los que se enfrentan los usuarios con acceso a información confidencial en dispositivos móviles.

Para obtener información sobre la protección de datos específica y la configuración de inicio condicional para la protección mejorada de aplicaciones, vaya al tema siguiente:

Alta protección de aplicaciones (nivel 3)

La alta protección de aplicaciones para Intune (nivel 3) es la configuración de protección de datos recomendada como estándar para organizaciones con organizaciones de seguridad grandes y sofisticadas, o para usuarios y grupos específicos a los que se dirigirán de forma exclusiva los adversarios. Estas organizaciones suelen estar destinadas a adversarios sofisticados y bien financiados, y, como tal, merecen las restricciones y controles adicionales descritos. Esta configuración se expande a la configuración en el nivel 2 mediante la restricción de escenarios de transferencia de datos adicionales, el aumento de la complejidad de la configuración del PIN y la incorporación de la detección de amenazas móviles.

La configuración de directiva aplicada en el nivel 3 incluye todas las opciones de configuración de directiva recomendadas para el nivel 2, pero solo enumera las opciones siguientes que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 2. Esta configuración de directiva puede tener un impacto potencialmente significativo para los usuarios o para las aplicaciones, lo que exige un nivel de seguridad acorde con los riesgos a los que se enfrentan las organizaciones de destino.

Para obtener información específica sobre la protección de datos, los requisitos de acceso y la configuración de inicio condicional para la protección básica de aplicaciones, vaya al tema siguiente:

Proteja el correo electrónico de Exchange Online en los dispositivos administrados

Puede usar directivas de cumplimiento de dispositivos con acceso condicional para asegurarse de que los dispositivos de la organización puedan acceder a Exchange Online correo electrónico solo si se administran mediante Intune y mediante una aplicación de correo electrónico aprobada. Puede crear una directiva de cumplimiento de dispositivos Intune para establecer las condiciones que debe cumplir un dispositivo para que se considere compatible. También puede crear una directiva de acceso condicional de Microsoft Entra que requiera que los dispositivos se inscriban en Intune, cumplan con las directivas de Intune y usen la aplicación móvil de Outlook aprobada para acceder a Exchange Online correo electrónico.

Para obtener más información sobre la protección de Exchange Online, vaya al tema siguiente:

Requisitos del usuario final para usar las directivas de protección de aplicaciones

En la lista siguiente se proporcionan los requisitos del usuario final para usar directivas de protección de aplicaciones en aplicaciones administradas por Intune se incluyen las siguientes:

  • El usuario final debe tener una cuenta de Microsoft Entra. Consulte Agregar usuarios y conceder permiso administrativo a Intune para obtener información sobre cómo crear usuarios Intune en Microsoft Entra ID.
  • El usuario final debe tener una licencia para Microsoft Intune asignada a su cuenta de Microsoft Entra. Vea Administrar licencias de Intune para obtener información sobre cómo asignar licencias de Intune a los usuarios finales.
  • El usuario final debe pertenecer a un grupo de seguridad al que se aplique una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe aplicarse a la aplicación específica que se usa. Protección de aplicaciones directivas se pueden crear e implementar en el centro de administración de Microsoft Intune. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.
  • El usuario final debe iniciar sesión en la aplicación con su cuenta de Microsoft Entra.
  1. Configuración de Microsoft Intune
  2. 🡺 Agregar, configurar y proteger aplicaciones (está aquí)
  3. Planeamiento de directivas de cumplimiento
  4. Configurar características de dispositivo
  5. Inscribir dispositivos