Compartir a través de

Configuración de directivas de protección de aplicaciones Android en Microsoft Intune

  • Artículo

En este artículo se describe la configuración de la directiva de protección de aplicaciones para dispositivos Android. La configuración de directiva que se describe se puede configurar para una directiva de protección de aplicaciones en el panel Configuración del portal. Hay tres categorías de configuración de directiva: configuración de protección de datos, requisitos de acceso e inicio condicional. En este artículo, el término aplicaciones administradas por directivas hace referencia a las aplicaciones que están configuradas con directivas de protección de aplicaciones.

Importante

El Portal de empresa de Intune es necesario en el dispositivo para recibir directivas de protección de aplicaciones para dispositivos Android.

Intune Managed Browser se ha retirado. Use Microsoft Edge para la experiencia de explorador de Intune protegida.

Protección de datos

Transferencia de datos

Configuración Cómo se usa Valor predeterminado
Copia de seguridad de datos de la organización en servicios de copia de seguridad de Android Seleccione Bloquear para evitar que esta aplicación realice copias de seguridad de datos profesionales o educativos en el servicio De copia de seguridad de Android.

Seleccione Permitir para permitir que esta aplicación realice una copia de seguridad de datos profesionales o educativos.		 Permitir
Envío de datos de la organización a otras aplicaciones Especifique qué aplicaciones pueden recibir datos de esta aplicación:
  • Aplicaciones administradas por directivas: permite las transferencias solo para otras aplicaciones administradas por directivas.
  • Todas las aplicaciones: permite la transferencia a cualquier aplicación.
  • Ninguno: no permita la transferencia de datos a ninguna aplicación, incluidas otras aplicaciones administradas por directivas.

Hay aplicaciones y servicios exentos a los que Intune puede permitir la transferencia de datos de forma predeterminada. Además, puede crear sus propias excepciones si necesita permitir que los datos se transfieran a una aplicación que no admita las directivas de protección de aplicaciones de Intune. Para obtener más información, consulte Exenciones de transferencia de datos.

Esta directiva también se puede aplicar a vínculos de aplicaciones de Android. Los vínculos web generales se administran mediante la configuración de directiva Abrir vínculos a aplicaciones en Intune Managed Browser.

Nota:

Intune no admite actualmente la característica Aplicaciones instantáneas de Android. Intune bloqueará cualquier conexión de datos hacia o desde la aplicación. Para obtener más información, consulte Aplicaciones instantáneas de Android en la documentación de Android Developer.

Si Send org data to other apps (Enviar datos de la organización a otras aplicaciones ) está configurado en Todas las aplicaciones, es posible que los datos de texto se sigan transfiriendo mediante el uso compartido del sistema operativo al Portapapeles.

 Todas las aplicaciones
    Seleccionar las aplicaciones que quedan exentas
 Esta opción está disponible si selecciona Aplicaciones administradas por directivas en la opción anterior.
    Guardar copias de los datos de la organización
 Elija Bloquear para deshabilitar el uso de la opción Guardar como en esta aplicación. Elija Permitir si quiere permitir el uso de Guardar como. Cuando se establece en Bloquear, puede configurar la opción Permitir al usuario guardar copias en los servicios seleccionados.

Nota:
  • Esta configuración es compatible con Microsoft Excel, OneNote, PowerPoint, Word y Edge. También puede ser compatible con aplicaciones de terceros y LOB.
  • Esta configuración solo se puede configurar cuando la opción Enviar datos de la organización a otras aplicaciones se establece en Aplicaciones administradas por directivas.
  • El valor de esta configuración será "Permitir" cuando la opción Enviar datos de la organización a otras aplicaciones esté establecida en Todas las aplicaciones.
  • Esta configuración será "Bloquear" sin ubicaciones de servicio permitidas cuando la configuración Enviar datos de la organización a otras aplicaciones esté establecida en Ninguno.
  • Esta configuración guardará los archivos como cifrados si Cifrar datos de la organización está establecido en Requerir.
Permitir
      Permitir al usuario guardar copias en los servicios seleccionados
 Los usuarios pueden guardar en los servicios seleccionados (OneDrive para la Empresa, SharePoint, Biblioteca de fotos, Box y Almacenamiento local). Todos los demás servicios se bloquearán. 0 seleccionados
    Transferencia de datos de telecomunicaciones a
 Normalmente, cuando un usuario selecciona un número de teléfono hipervinculado en una aplicación, se abre una aplicación de marcador con el número de teléfono previamente rellenado y lista para llamar. Para esta configuración, elija cómo controlar este tipo de transferencia de contenido cuando se inicia desde una aplicación administrada por directivas:
  • Ninguno, no transfiera estos datos entre aplicaciones: no transfiera datos de comunicación cuando se detecte un número de teléfono.
  • Una aplicación de marcador específica: permite que una aplicación de marcador específica inicie contacto cuando se detecte un número de teléfono.
  • Cualquier aplicación de marcador administrada por directivas: permita que cualquier aplicación de marcador administrada por directivas inicie contacto cuando se detecte un número de teléfono.
  • Cualquier aplicación de marcador: permite usar una aplicación de marcador para iniciar contacto cuando se detecte un número de teléfono.
 Cualquier de aplicación de marcador
      Identificador del paquete de aplicación de marcador
 Cuando se haya seleccionado una aplicación de marcador específica, debe proporcionar el identificador del paquete de la aplicación. Blank
      Nombre de aplicación del marcador
 Cuando se haya seleccionado una aplicación de marcador específica, debe proporcionar el nombre de la aplicación de marcado. Blank
    Transferencia de datos de mensajería a
 Normalmente, cuando un usuario selecciona un número de teléfono hipervinculado en una aplicación, se abre una aplicación de marcador con el número de teléfono previamente rellenado y lista para llamar. Para esta configuración, elija cómo controlar este tipo de transferencia de contenido cuando se inicia desde una aplicación administrada por directivas. Para esta configuración, elija cómo controlar este tipo de transferencia de contenido cuando se inicia desde una aplicación administrada por directivas:
  • Ninguno, no transfiera estos datos entre aplicaciones: no transfiera datos de comunicación cuando se detecte un número de teléfono.
  • Una aplicación de mensajería específica: permite que se use una aplicación de mensajería específica para iniciar contacto cuando se detecte un número de teléfono.
  • Cualquier aplicación de mensajería administrada por directivas: permita que se use cualquier aplicación de mensajería administrada por directivas para iniciar contacto cuando se detecte un número de teléfono.
  • Cualquier aplicación de mensajería: permite que cualquier aplicación de mensajería se use para iniciar contacto cuando se detecte un número de teléfono.
 Cualquier aplicación de mensajería
      Identificador del paquete de aplicación de mensajería
 Cuando se haya seleccionado una aplicación de mensajería específica, debe proporcionar el identificador del paquete de la aplicación. Blank
      Nombre de la aplicación de mensajería
 Cuando se haya seleccionado una aplicación de mensajería específica, debe proporcionar el nombre de la aplicación de mensajería. Blank
Recibir datos de otras aplicaciones Especifique qué aplicaciones pueden transferir datos a esta aplicación:
  • Aplicaciones administradas por directivas: permite las transferencias solo desde otras aplicaciones administradas por directivas.
  • Todas las aplicaciones: permite la transferencia de datos desde cualquier aplicación.
  • Ninguno: no permita la transferencia de datos desde ninguna aplicación, incluidas otras aplicaciones administradas por directivas.

Hay algunas aplicaciones y servicios exentos desde los que Intune pueden permitir la transferencia de datos. Consulte Exenciones de transferencia de datos para obtener una lista completa de aplicaciones y servicios.

 Todas las aplicaciones
    Abrir datos en documentos de la organización
 Seleccione Bloquear para deshabilitar el uso de la opción Abrir u otras opciones para compartir datos entre cuentas de esta aplicación. Seleccione Permitir si quiere permitir el uso de Abrir.

Cuando se establece en Bloquear, puede configurar el valor Permitir a los usuarios abrir datos de los servicios seleccionados a fin de especificar los servicios permitidos para las ubicaciones de datos de la organización.

Nota:
  • Esta configuración solo se puede configurar cuando la opción Recibir datos de otras aplicaciones está establecida en Aplicaciones administradas por directivas.
  • Esta configuración será "Permitir" cuando la configuración Recibir datos de otras aplicaciones esté establecida en Todas las aplicaciones.
  • El valor de esta configuración será "Bloquear", sin ubicaciones del servicio permitidas, cuando la opción Recibir datos de otras aplicaciones esté establecida en Ninguna.
  • Las aplicaciones siguientes admiten esta configuración:
    • OneDrive 6.14.1 o posterior.
    • Outlook para Android 4.2039.2 o posterior.
    • Teams para Android 1416/1.0.0.2021173701 o posterior.

Permitir
      Permitir a los usuarios abrir datos de servicios seleccionados
 Seleccione los servicios de almacenamiento de aplicaciones desde los que los usuarios pueden abrir datos. El resto de servicios se bloquean. La selección de ningún servicio impedirá que los usuarios abran datos.

Servicios compatibles:
  • OneDrive para la Empresa
  • SharePoint Online
  • Cámara
  • Biblioteca de fotos
Nota: La cámara no incluye el acceso a fotos ni a la Galería de fotos. Al seleccionar Biblioteca de fotos (incluye la herramienta selector de fotos de Android) en la opción Permitir a los usuarios abrir datos de los servicios seleccionados dentro de Intune, puede permitir que las cuentas administradas permitan la entrada de imágenes o vídeos desde el almacenamiento local de su dispositivo a sus aplicaciones administradas.		 Todos los seleccionados
Restringir cortar, copiar y pegar entre otras aplicaciones Especifique cuándo pueden usarse las acciones de cortar, copiar y pegar con esta aplicación. Elija entre:
  • Bloqueado: no permita acciones de cortar, copiar y pegar entre esta aplicación y cualquier otra aplicación.
  • Aplicaciones administradas por directivas: permite las acciones de cortar, copiar y pegar entre esta aplicación y otras aplicaciones administradas por directivas.
  • Aplicaciones administradas por directivas con pegar: permite cortar o copiar entre esta aplicación y otras aplicaciones administradas por directivas. Permite que los datos de cualquier aplicación se peguen en esta aplicación.
  • Cualquier aplicación: no se aplican restricciones a las acciones de cortar, copiar y pegar en esta aplicación y desde ella.
 Cualquier aplicación
    Límite de caracteres para cortar y copiar en cualquier aplicación
 Especifique el número de caracteres que se pueden cortar o copiar de los datos y cuentas de la organización. Esto permitirá compartir el número especificado de caracteres cuando, de lo contrario, se bloquearía mediante la configuración "Restringir cortar, copiar y pegar con otras aplicaciones".

Valor predeterminado = 0

Nota: Requiere Portal de empresa de Intune versión 5.0.4364.0 o posterior.

 0
Captura de pantalla y Google Assistant Seleccione Bloquear para bloquear la captura de pantalla, bloquear el círculo para buscar y bloquear el acceso de Google Assistant a los datos de la organización en el dispositivo al usar esta aplicación. Al elegir Bloquear , también se desenfocará la imagen de vista previa del conmutador de aplicaciones al usar esta aplicación con una cuenta profesional o educativa.

Nota: Google Assistant puede ser accesible para los usuarios en escenarios que no tienen acceso a los datos de la organización.

 Bloquear
Teclados aprobados Seleccione Requerir y especifique una lista de teclados aprobados para esta directiva.

Los usuarios que no usan un teclado aprobado reciben un mensaje para descargar e instalar un teclado aprobado antes de poder usar la aplicación protegida. Esta configuración requiere que la aplicación tenga el SDK de Intune para Android versión 6.2.0 o posterior.

 No requerida
    Selección de teclados para aprobar
 Esta opción está disponible al seleccionar Requerir para la opción anterior. Elija Seleccionar para administrar la lista de teclados y métodos de entrada que se pueden usar con aplicaciones protegidas por esta directiva. Puede agregar teclados adicionales a la lista y quitar cualquiera de las opciones predeterminadas. Debe tener al menos un teclado aprobado para guardar la configuración. Con el tiempo, Microsoft puede agregar teclados adicionales a la lista para las nuevas directivas de Protección de aplicaciones, lo que requerirá que los administradores revisen y actualicen las directivas existentes según sea necesario.

Para agregar un teclado, especifique lo siguiente:

  • Nombre: nombre descriptivo que identifica el teclado y que es visible para el usuario.
  • Id. de paquete: el identificador de paquete de la aplicación en Google Play Store. Por ejemplo, si la dirección URL de la aplicación en play store es https://play.google.com/store/details?id=com.contoskeyboard.android.prod, el identificador de paquete es com.contosokeyboard.android.prod. Este identificador de paquete se presenta al usuario como un vínculo sencillo para descargar el teclado de Google Play.

Nota: Se permitirá a un usuario asignado varias directivas de Protección de aplicaciones usar solo los teclados aprobados comunes a todas las directivas.

Cifrado

Configuración Cómo se usa Valor predeterminado
Cifrado de datos de la organización Elija Requerir para habilitar el cifrado de datos profesionales o educativos en esta aplicación. Intune usa un esquema de cifrado AES wolfSSL de 256 bits junto con el sistema Android Keystore para cifrar de forma segura los datos de la aplicación. Los datos se cifran sincrónicamente durante las tareas de E/S de archivos. El contenido del almacenamiento del dispositivo siempre está cifrado y solo lo pueden abrir las aplicaciones que admiten las directivas de protección de aplicaciones de Intune y que tienen asignada la directiva. Los nuevos archivos se cifrarán con claves de 256 bits. Los archivos cifrados de 128 bits existentes se someterán a un intento de migración a claves de 256 bits, pero el proceso no está garantizado. Los archivos cifrados con claves de 128 bits seguirán siendo legibles.

El método de cifrado se valida con FIPS 140-2; Para obtener más información, vea wolfCrypt FIPS 140-2 y FIPS 140-3.		 Obligatoria
    Cifrado de datos de la organización en dispositivos inscritos
 Seleccione Requerir para aplicar el cifrado de datos de la organización con Intune cifrado de la capa de aplicación en todos los dispositivos. Seleccione No necesario para no aplicar el cifrado de datos de la organización con Intune cifrado de capa de aplicación en dispositivos inscritos. Obligatoria

Funcionalidad

Configuración Cómo se usa Valor predeterminado
Sincronizar datos de aplicaciones administradas por directivas con aplicaciones o complementos nativos Elija Bloquear para evitar que las aplicaciones administradas por directivas guarden datos en las aplicaciones nativas del dispositivo (contactos, calendario y widgets) y para evitar el uso de complementos dentro de las aplicaciones administradas por directivas. Si no es compatible con la aplicación, se permitirá guardar datos en aplicaciones nativas y usar complementos.

Si elige Permitir, la aplicación administrada por directivas puede guardar datos en las aplicaciones nativas o usar complementos, si esas características se admiten y habilitan dentro de la aplicación administrada por directivas.

Las aplicaciones pueden proporcionar controles adicionales para personalizar el comportamiento de sincronización de datos en aplicaciones nativas específicas o no respetan este control.

Nota: Al realizar un borrado selectivo para quitar datos profesionales o educativos de la aplicación, se quitan los datos sincronizados directamente desde la aplicación administrada por la directiva a la aplicación nativa. No se borrarán los datos sincronizados desde la aplicación nativa con otro origen externo.

Nota: Las siguientes aplicaciones admiten esta característica:		 Permitir
Impresión de datos de la organización Elija Bloquear para evitar que la aplicación imprima datos profesionales o educativos. Si dejas esta configuración establecida en Permitir, que es el valor predeterminado, los usuarios podrán exportar e imprimir todos los datos de la organización. Permitir
Restringir la transferencia de contenido web con otras aplicaciones Especifique cómo se debe abrir el contenido web (vínculos http/https) en las aplicaciones administradas por directivas. Elija entre:
  • Cualquier aplicación: permite los vínculos web en cualquier aplicación.
  • Intune Managed Browser: permite que el contenido web solo se abra en Intune Managed Browser. Este explorador está administrado por directivas.
  • Microsoft Edge: permite que el contenido web solo se abra en Microsoft Edge. Este explorador está administrado por directivas.
  • Explorador no administrado: permite que el contenido web se abra solo en el explorador no administrado definido por la configuración de Identificador de explorador no administrado. No se administrará el contenido web en el explorador de destino.
    Nota: Requiere Portal de empresa de Intune versión 5.0.4415.0 o posterior.


    • Exploradores administrados por directivas
    En Android, los usuarios finales pueden elegir entre otras aplicaciones administradas por directivas que admiten vínculos http/https si no Intune Managed Browser ni Microsoft Edge están instalados.

    Si se necesita un explorador administrado por directivas pero no está instalado, se pedirá a los usuarios finales que instalen Microsoft Edge.

    Si se requiere un explorador administrado por directivas, los vínculos de aplicación de Android se administran mediante la configuración de directiva Permitir que la aplicación transfiera datos a otras aplicaciones .

    Inscripción de dispositivos de Intune
    Si usa Intune para administrar los dispositivos, consulte Administración del acceso a Internet mediante directivas de explorador administrado con Microsoft Intune.

    Microsoft Edge administrado por directivas
    El explorador Microsoft Edge para dispositivos móviles (iOS/iPadOS y Android) admite las directivas de protección de aplicaciones de Intune. Los usuarios que inicien sesión con sus cuentas de Microsoft Entra corporativas en la aplicación del explorador Microsoft Edge estarán protegidos por Intune. El explorador Microsoft Edge integra el SDK de aplicaciones y admite todas sus directivas de protección de datos, con la excepción de evitar:

    • Guardar como: el explorador Microsoft Edge no permite a un usuario agregar conexiones directas desde la aplicación a proveedores de almacenamiento en la nube (como OneDrive).
    • Sincronización de contactos: el explorador Microsoft Edge no guarda en listas de contactos nativas.
    Nota:El SDK de la aplicación no puede determinar si una aplicación de destino es un explorador. En dispositivos Android, se permiten otras aplicaciones de explorador administrado que admiten la intención http/https.
 Sin configurar
    Identificador de explorador no administrado
 Escriba el identificador de aplicación para un único explorador. El contenido web (vínculos http/https) de las aplicaciones administradas por directivas se abrirá en el explorador especificado. No se administrará el contenido web en el explorador de destino. Blank
    Nombre del explorador no administrado
 Escriba el nombre de la aplicación para el explorador asociado al identificador de explorador no administrado. Este nombre se mostrará a los usuarios si el explorador especificado no está instalado. Blank
Notificaciones de datos de la organización Especifique la cantidad de datos de la organización que se comparten a través de las notificaciones del sistema operativo para las cuentas de la organización. Esta configuración de directiva afectará al dispositivo local y a todos los dispositivos conectados, como ponibles y altavoces inteligentes. Las aplicaciones pueden proporcionar controles adicionales para personalizar el comportamiento de las notificaciones o pueden optar por no respetar todos los valores. Seleccionar desde:
  • Bloquear: no comparta notificaciones.
    • Si la aplicación no lo admite, se permiten las notificaciones.
  • Bloquear datos de la organización: no comparta datos de la organización en las notificaciones. Por ejemplo, "Tiene correo nuevo"; "Tienes una reunión".
    • Si la aplicación no lo admite, se bloquearán las notificaciones.
  • Permitir: comparte los datos de la organización en las notificaciones

Nota: Esta configuración requiere compatibilidad con la aplicación:

  • Outlook para Android 4.0.95 o posterior
  • Teams para Android 1416/1.0.0.2020092202 o posterior.
 Permitir

Exenciones de transferencia de datos

Hay algunas aplicaciones y servicios de plataforma exentos que Intune directivas de protección de aplicaciones permiten la transferencia de datos hacia y desde. Por ejemplo, todas las aplicaciones administradas por Intune en Android deben poder transferir datos hacia y desde google text-to-speech, de modo que el texto de la pantalla del dispositivo móvil se pueda leer en voz alta. Esta lista está sujeta a cambios y refleja los servicios y las aplicaciones que se consideran útiles para una productividad segura.

Exenciones completas

Estas aplicaciones y servicios están totalmente permitidos para la transferencia de datos hacia y desde aplicaciones administradas por Intune.

Nombre de aplicación o servicio Descripción
com.android.phone Aplicación de teléfono nativa
com.android.vending Google Play Store
com.google.android.webview WebView, que es necesario para muchas aplicaciones, incluido Outlook.
com.android.webview Webview, que es necesario para muchas aplicaciones, incluido Outlook.
com.google.android.tts Texto a voz de Google
com.android.providers.settings Configuración del sistema Android
com.android.settings Configuración del sistema Android
com.azure.authenticator Aplicación Azure Authenticator, que es necesaria para la autenticación correcta en muchos escenarios.
com.microsoft.windowsintune.companyportal Portal de empresa de Intune
com.android.providers.contacts Aplicación de contactos nativos

Exenciones condicionales

Estas aplicaciones y servicios solo se permiten para la transferencia de datos hacia y desde aplicaciones administradas por Intune en determinadas condiciones.

Nombre de aplicación o servicio Descripción Condición de exención
com.android.chrome Explorador Google Chrome Chrome se usa para algunos componentes de WebView en Android 7.0+ y nunca se oculta de la vista. Sin embargo, el flujo de datos hacia y desde la aplicación siempre está restringido.
com.skype.raider Skype La aplicación de Skype solo se permite para determinadas acciones que dan lugar a una llamada telefónica.
com.android.providers.media Proveedor de contenido multimedia de Android El proveedor de contenido multimedia solo se permite para la acción de selección de tono.
com.google.android.gms; com.google.android.gsf Paquetes de Google Play Services Estos paquetes se permiten para acciones de Google Cloud Messaging, como notificaciones push.
com.google.android.apps.maps Google Maps Las direcciones se permiten para la navegación.
com.android.documentsui Selector de documentos de Android Se permite al abrir o crear un archivo.
com.google.android.documentsui Selector de documentos de Android (Android 10+) Se permite al abrir o crear un archivo.

Para obtener más información, consulte Excepciones de directivas de transferencia de datos para aplicaciones.

Requisitos de acceso

Configuración Cómo se usa
PIN para acceder Seleccione Requerir para exigir un PIN para usar esta aplicación. Se pedirá al usuario que configure este PIN la primera vez que ejecute la aplicación en un contexto profesional o educativo.

Valor predeterminado = Requerir

Puede configurar la seguridad del PIN con la configuración disponible en la sección PIN para acceder.

Nota: Los usuarios finales a los que se les permite acceder a la aplicación pueden restablecer el PIN de la aplicación. Es posible que esta configuración no esté visible en algunos casos en dispositivos Android. Los dispositivos Android tienen una limitación máxima de cuatro accesos directos disponibles. Cuando se alcanza el máximo, el usuario final debe quitar los accesos directos personalizados (o acceder al acceso directo desde una vista de aplicación administrada diferente) para ver el acceso directo del PIN de la aplicación de restablecimiento. Como alternativa, el usuario final podría anclar el acceso directo a su página principal.

    Tipo de PIN
 Establezca un requisito de PIN numérico o de tipo contraseña antes de acceder a una aplicación en la que se empleen directivas de protección de aplicaciones. Los requisitos numéricos solo implican números, mientras que una contraseña se puede definir con al menos 1 letra o 1 carácter especial.

Valor predeterminado = Numérico

Nota: Los caracteres especiales permitidos incluyen los caracteres y símbolos especiales en el teclado en inglés de Android.
    Simple PIN
 Seleccione Permitir para permitir que los usuarios usen secuencias de PIN simples como 1234, 1111, abcd o aaaa. Seleccione Bloques para evitar que usen secuencias simples. Las secuencias simples se comprueban en ventanas deslizantes de tres caracteres. Si block está configurado, el usuario final no aceptaría 1235 o 1112 como PIN establecido por el usuario final, pero se permitiría 1122.

Valor predeterminado = Permitir

Nota: Si se configura el PIN de tipo código de acceso y el PIN simple se establece en Permitir, el usuario necesita al menos una letra o al menos un carácter especial en su PIN. Si se configura el PIN de tipo código de acceso y el PIN simple se establece en Bloquear, el usuario necesita al menos un número y una letra y al menos un carácter especial en su PIN.
    Selección de la longitud mínima del PIN
 Especifique el número mínimo de dígitos en una secuencia de PIN.

Valor predeterminado = 4
    Biometría en lugar de PIN para el acceso
 Seleccione Permitir para permitir que el usuario use la biometría para autenticar a los usuarios en dispositivos Android. Si se permite, la biometría se usa para acceder a la aplicación en dispositivos Android 10 o posteriores.
    Invalidación de biometría con PIN después del tiempo de espera
 Para usar esta configuración, seleccione Requerir y, después, configure un tiempo de espera de inactividad.

Valor predeterminado = Requerir
      Tiempo de espera (minutos de inactividad)
 Especifique un tiempo en minutos después del cual un código de acceso o un PIN numérico (configurado) invalidarán el uso de una biométrica. Este valor de tiempo de espera debe ser mayor que el valor especificado en "Volver a comprobar los requisitos de acceso tras (minutos de inactividad)".

Valor predeterminado = 30
    Biometría de clase 3 (Android 9.0+)
 Seleccione Requerir para requerir que el usuario inicie sesión con la biometría de clase 3. Para obtener más información sobre la biometría de clase 3, consulte Biometría en la documentación de Google.
    Invalidación de la biometría con PIN después de las actualizaciones biométricas
 Seleccione Requerir para invalidar el uso de biometría con PIN cuando se detecte un cambio en la biometría.

NOTA:
Esta configuración solo surte efecto una vez que se haya usado una biométrica para acceder a la aplicación. En función del fabricante del dispositivo Android, no todas las formas de biometría pueden ser compatibles con operaciones criptográficas. Actualmente, las operaciones criptográficas son compatibles con cualquier biometría (por ejemplo, huella digital, iris o cara) en el dispositivo que cumpla o supere los requisitos de biometría de clase 3, tal como se define en la documentación de Android. Vea la BIOMETRIC_STRONG constante de la interfaz BiometricManager.Authenticators y el authenticate método de la clase BiometricPrompt . Es posible que tenga que ponerse en contacto con el fabricante del dispositivo para comprender las limitaciones específicas del dispositivo.
    Restablecimiento del PIN después de un número de días
 Seleccione para requerir que los usuarios cambien el PIN de la aplicación después de un período de tiempo establecido en días.

Si se establece en , configure el número de días antes de que se solicite el restablecimiento del PIN.

Valor predeterminado = No
      Número de días
 Configure el número de días antes de que se solicite el restablecimiento del PIN.

Valor predeterminado = 90
    Seleccionar el número de valores de PIN anteriores que se van a mantener
 Esta configuración especifica el número de PIN anteriores que Intune mantendrá. Los PIN nuevos deben ser diferentes de los que Intune mantienen.

Valor predeterminado = 0
    PIN de aplicación cuando está establecido el PIN del dispositivo
 Seleccione No necesario para deshabilitar el PIN de la aplicación cuando se detecte un bloqueo de dispositivo en un dispositivo inscrito con Portal de empresa configurado.

Valor predeterminado = Requerir.
Credenciales de cuenta profesional o educativa para el acceso Elija Requerir para requerir que el usuario inicie sesión con su cuenta profesional o educativa en lugar de escribir un PIN para el acceso a la aplicación. Cuando se establece en Requerir y se activan las solicitudes de PIN o biométricas, se muestran tanto las credenciales corporativas como el PIN o las solicitudes biométricas.

Valor predeterminado = No obligatorio
Volver a comprobar los requisitos de acceso tras (minutos de inactividad) Configure el siguiente valor:
  • Tiempo de espera: este es el número de minutos antes de que se vuelvan a comprobar los requisitos de acceso (definidos anteriormente en la directiva). Por ejemplo, si un administrador activa el PIN y bloquea los dispositivos liberados en la directiva, cuando un usuario abre una aplicación administrada por Intune, debe escribir un PIN y usar la aplicación en un dispositivo que no esté liberado. Al usar esta configuración, el usuario no tendrá que escribir un PIN ni someterse a otra comprobación de detección de raíz en ninguna aplicación administrada por Intune durante un período de tiempo igual al valor configurado.

    Este formato de configuración de directiva admite un número entero positivo.

    Valor predeterminado = 30 minutos

    Nota: En Android, el PIN se comparte con todas las aplicaciones administradas por Intune. El temporizador de PIN se restablece una vez que la aplicación deja el primer plano en el dispositivo. El usuario no tendrá que escribir un PIN en ninguna aplicación administrada Intune que comparta su PIN durante el tiempo de espera definido en esta configuración.

Nota:

Para obtener más información sobre cómo funcionan varias Intune configuración de protección de aplicaciones configurada en la sección Acceso al mismo conjunto de aplicaciones y usuarios en Android, consulte Intune preguntas más frecuentes sobre MAM y Borrado selectivo de datos mediante acciones de acceso a directivas de protección de aplicaciones en Intune.

Lanzamiento condicional

Configure los valores de inicio condicional para establecer los requisitos de seguridad de inicio de sesión para la directiva de protección de aplicaciones.

De forma predeterminada, se proporcionan varias configuraciones con acciones y valores preconfigurados. Puede eliminar algunas opciones, como la versión mínima del sistema operativo. También puede seleccionar una configuración adicional en la lista desplegable Seleccionar una.

Condiciones de la aplicación

Configuración Cómo se usa
N.º máximo de intentos de PIN Especifique el número de intentos que tiene el usuario para escribir correctamente el PIN antes de que se lleve a cabo la acción configurada. Si el usuario no puede escribir correctamente su PIN después de los intentos de PIN máximos, el usuario debe restablecer su pin después de iniciar sesión correctamente en su cuenta y completar un desafío de Multi-Factor Authentication (MFA) si es necesario. Este formato de configuración de directiva admite un número entero positivo.

Las acciones incluyen:

  • Restablecer PIN: el usuario debe restablecer el PIN.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Valor predeterminado = 5
Período de gracia sin conexión El número de minutos que las aplicaciones administradas pueden ejecutarse sin conexión. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación.

Las acciones incluyen:

  • Bloquear acceso (minutos): el número de minutos que las aplicaciones administradas pueden ejecutarse sin conexión. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación. Una vez expirado este período, la aplicación requiere la autenticación del usuario para Microsoft Entra ID para que la aplicación pueda seguir ejecutándose.

    Este formato de la configuración de directiva admite un número entero positivo.

    Valor predeterminado = 1440 minutos (24 horas)

    Nota: La configuración del temporizador del período de gracia sin conexión para que el acceso de bloqueo sea menor que el valor predeterminado puede dar lugar a interrupciones del usuario más frecuentes a medida que se actualiza la directiva. No se recomienda elegir un valor de menos de 30 minutos, ya que puede provocar interrupciones del usuario en cada inicio o reanudación de la aplicación.
  • Borrar datos (días): después de estos días (definidos por el administrador) de ejecución sin conexión, la aplicación necesitará que el usuario se conecte a la red y vuelva a autenticarse. Si el usuario se autentica correctamente, puede seguir teniendo acceso a sus datos y el intervalo sin conexión se restablecerá. Si el usuario no se autentica, la aplicación realizará un borrado selectivo de la cuenta y los datos del usuario. Para obtener más información, vea How to wipe only corporate data from Intune-managed apps (Cómo borrar solo datos corporativos de aplicaciones administradas por Intune). Este formato de la configuración de directiva admite un número entero positivo.

    Valor predeterminado = 90 días
Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.
Versión mínima de la aplicación Especifique un valor para el valor de versión mínima de la aplicación.

Las acciones incluyen:

  • Advertir: el usuario ve una notificación si la versión de la aplicación del dispositivo no cumple el requisito. Se puede descartar esta notificación.
  • Bloquear acceso: se bloquea el acceso al usuario si la versión de la aplicación del dispositivo no cumple el requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Como las aplicaciones a menudo tienen esquemas de control de versiones distintos entre sí, cree una directiva con una versión de aplicación mínima destinada a una aplicación (por ejemplo, directiva de versión de Outlook).

Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.

Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.

Además, puede configurar dónde los usuarios finales pueden obtener una versión actualizada de una aplicación de línea de negocio (LOB). Los usuarios finales verán esta característica en el cuadro de diálogo de inicio condicional Versión mínima de la aplicación, que le pedirá a los usuarios finales que actualicen a una versión mínima de la aplicación de LOB. En Android, esta característica usa el Portal de empresa. Para configurar dónde un usuario final debería actualizar una aplicación de LOB, la aplicación necesita que se le envíe una directiva de configuración de aplicación administrada con la clave com.microsoft.intune.myappstore. El valor enviado definirá desde qué tienda descargará la aplicación el usuario final. Si la aplicación se implementa a través de Portal de empresa, el valor debe ser CompanyPortal. En el caso de cualquier otra tienda, debe escribir una dirección URL completa.
Cuenta deshabilitada No se puede establecer ningún valor para esta configuración.

Las acciones incluyen:

  • Bloquear acceso : se bloquea el acceso al usuario porque su cuenta se ha deshabilitado.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Tiempo no laborable No se puede establecer ningún valor para esta configuración.

Las acciones incluyen:

  • Bloquear acceso : se bloquea el acceso al usuario porque la cuenta de usuario asociada a la aplicación está en tiempo no laborable.
  • Advertir : el usuario ve una notificación si la cuenta de usuario asociada a la aplicación está en tiempo no laborable. La notificación se puede descartar.
Nota: Esta configuración solo debe configurarse si el inquilino se ha integrado con la API de tiempo de trabajo. Para obtener más información sobre la integración de esta configuración con la API de tiempo de trabajo, consulte Limitar el acceso a Microsoft Teams cuando los trabajadores de primera línea están fuera del turno. La configuración de esta configuración sin integrarse con la API de tiempo de trabajo podría dar lugar a que las cuentas se bloqueen debido a que falta el estado de tiempo de trabajo de la cuenta administrada asociada a la aplicación.

Las siguientes aplicaciones admiten esta característica con Portal de empresa v5.0.5849.0 o posterior:

  • Teams para Android v1416/1.0.0.2023226005 (2023226050) o posterior
  • Edge para Android v125.0.2535.96 o posterior

Condiciones del dispositivo

Configuración Cómo se usa
Dispositivos con jailbreak o rooting Especifique si desea bloquear el acceso al dispositivo o borrar los datos del dispositivo para los dispositivos con jailbreak o rooteados. Las acciones incluyen:
  • Bloquear acceso: impida que esta aplicación se ejecute en dispositivos con jailbreak o rooting. El usuario sigue siendo capaz de usar esta aplicación para tareas personales, pero tendrá que usar un dispositivo diferente para acceder a los datos profesionales o educativos de esta aplicación.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Versión mínima del sistema operativo Especifique un sistema operativo Android mínimo necesario para usar esta aplicación. Las versiones del sistema operativo inferiores a la versión mínima del sistema operativo especificada desencadenarán las acciones. Las acciones incluyen:
  • Advertir : el usuario verá una notificación si la versión de Android en el dispositivo no cumple el requisito. Se puede descartar esta notificación.
  • Bloquear el acceso : se bloqueará el acceso al usuario si la versión de Android en el dispositivo no cumple este requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.
Versión máxima del sistema operativo Especifique un sistema operativo Android máximo necesario para usar esta aplicación. Las versiones del sistema operativo inferiores a la versión máxima del sistema operativo especificada desencadenarán las acciones. Las acciones incluyen:
  • Advertir : el usuario verá una notificación si la versión de Android en el dispositivo no cumple el requisito. Se puede descartar esta notificación.
  • Bloquear el acceso : se bloqueará el acceso al usuario si la versión de Android en el dispositivo no cumple este requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.
Versión de revisión mínima Requerir que los dispositivos tengan una revisión de seguridad mínima de Android publicada por Google.
  • Advertir : el usuario verá una notificación si la versión de Android en el dispositivo no cumple el requisito. Se puede descartar esta notificación.
  • Bloquear el acceso : se bloqueará el acceso al usuario si la versión de Android en el dispositivo no cumple este requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Esta configuración de directiva admite el formato de fecha de AAAA-MM-DD.
Fabricantes de dispositivos Especifique una lista separada por punto y coma de fabricantes. Estos valores no distinguen entre mayúsculas y minúsculas. Las acciones incluyen:
  • Permitir especificado (Bloquear no especificado): solo los dispositivos que coincidan con el fabricante especificado pueden usar la aplicación. Todos los demás dispositivos están bloqueados.
  • Permitir especificados (borrar no especificados): la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Para más información sobre el uso de esta configuración, consulte Acciones de inicio condicional.
Veredicto de integridad de juego Protección de aplicaciones directivas admiten algunas de las API de integridad de Google Play. En concreto, esta configuración configura la comprobación de play integrity de Google en los dispositivos de usuario final para validar la integridad de esos dispositivos. Especifique la integridad básica o la integridad básica y la integridad del dispositivo.

La integridad básica le indica la integridad general del dispositivo. Los dispositivos arraigados, los emuladores, los dispositivos virtuales y los dispositivos con signos de manipulación fallan en la integridad básica. La integridad básica & dispositivos certificados le indica la compatibilidad del dispositivo con los servicios de Google. Sólo los dispositivos no modificados que han sido certificados por Google pueden pasar esta comprobación.

Si selecciona Reproducir veredicto de integridad según sea necesario para el inicio condicional, puede especificar que se use una comprobación de integridad segura como tipo de evaluación. La presencia de una comprobación de integridad segura, ya que el tipo de evaluación indicará una mayor integridad de un dispositivo. La directiva MAM bloqueará los dispositivos que no admitan comprobaciones de integridad seguras si están destinados a esta configuración. La comprobación de integridad sólida proporciona una detección raíz más sólida en respuesta a los tipos más recientes de herramientas y métodos de rooteo que no siempre se pueden detectar de forma confiable mediante una solución de solo software. En APP, la atestación de hardware se habilitará estableciendo El tipo de evaluación de veredicto de integridad de Play en Comprobar la integridad segura una vez configurado el veredicto de integridad de Play y el tipo de evaluación de SafetyNet requerido para comprobar la integridad fuerte una vez configurada la comprobación de integridad del dispositivo . La atestación respaldada por hardware aprovecha un componente basado en hardware que se incluye con dispositivos instalados con Android 8.1 y versiones posteriores. Es poco probable que los dispositivos que se actualizaron desde una versión anterior de Android a Android 8.1 tengan los componentes basados en hardware necesarios para la atestación basada en hardware. Aunque esta configuración debe ser ampliamente compatible a partir de los dispositivos que se suministran con Android 8.1, Microsoft recomienda encarecidamente probar los dispositivos individualmente antes de habilitar esta configuración de directiva en general.

Importante: Los dispositivos que no admiten este tipo de evaluación se bloquearán o borrarán en función de la acción Comprobación de integridad del dispositivo. Las organizaciones que quieran usar esta funcionalidad deberán asegurarse de que los usuarios tengan dispositivos compatibles. Para obtener más información sobre los dispositivos recomendados de Google, consulte Requisitos recomendados de Android Enterprise.

Las acciones incluyen:

  • Advertir : el usuario ve una notificación si el dispositivo no cumple la comprobación de integridad del dispositivo de Google en función del valor configurado. Se puede descartar esta notificación.
  • Bloquear acceso : se bloquea el acceso al usuario si el dispositivo no cumple la comprobación de integridad del dispositivo de Google en función del valor configurado.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Para ver las preguntas más frecuentes relacionadas con esta configuración, consulte Preguntas más frecuentes sobre mam y protección de aplicaciones.
Requerir examen de amenazas en aplicaciones Protección de aplicaciones directivas admiten algunas de las API de Google Play Protect. Esta configuración, en particular, garantiza que el examen Comprobar aplicaciones de Google esté activado para los dispositivos del usuario final. Si se ha configurado, se bloqueará el acceso al usuario hasta que se active el examen de aplicaciones de Google en su dispositivo Android. Las acciones incluyen:
  • Advertir : el usuario ve una notificación si el examen de Comprobar aplicaciones de Google en el dispositivo no está activado. Se puede descartar esta notificación.
  • Bloquear acceso : se bloquea el acceso al usuario si el examen Comprobar aplicaciones de Google en el dispositivo no está activado.
Los resultados del examen Comprobar aplicaciones de Google se muestran en el informe Aplicaciones potencialmente dañinas de la consola.
Tipo de evaluación SafetyNet requerido La atestación respaldada por hardware mejora la comprobación del servicio de atestación SafetyNet existente. Puede establecer el valor en Clave respaldada por hardware después de establecer la atestación del dispositivo SafteyNet.
Requerir bloqueo de dispositivo Esta configuración determina si el dispositivo Android tiene un PIN de dispositivo que cumple el requisito mínimo de contraseña. La directiva de Protección de aplicaciones puede tomar medidas si el bloqueo del dispositivo no cumple el requisito mínimo de contraseña.

Entre los valores se incluyen:

  • Baja complejidad
  • Complejidad media
  • Alta complejidad

Este valor de complejidad está destinado a Android 12+. En el caso de los dispositivos que funcionan en Android 11 y versiones anteriores, si se establece un valor de complejidad bajo, medio o alto, el comportamiento esperado será bajo. Para obtener más información, consulte la documentación para desarrolladores de Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM y PASSWORD_COMPLEXITY_HIGH.

Las acciones incluyen:

  • Advertir : el usuario ve una notificación si el bloqueo del dispositivo no cumple el requisito mínimo de contraseña. La notificación se puede descartar.
  • Bloquear el acceso : se bloqueará el acceso al usuario si el bloqueo del dispositivo no cumple el requisito mínimo de contraseña.
  • Borrar datos : la cuenta de usuario asociada a la aplicación se borra del dispositivo si el bloqueo del dispositivo no cumple el requisito mínimo de contraseña.
Versión mínima Portal de empresa Mediante el uso de la versión min Portal de empresa, puede especificar una versión definida mínima específica de la Portal de empresa que se aplica en un dispositivo de usuario final. Esta configuración de inicio condicional permite establecer valores en Bloquear acceso, Borrar datos y Advertir como posibles acciones cuando no se cumple cada valor. Los formatos posibles para este valor siguen el patrón [Principal].[ Minor], [Major].[ Menor]. [Compilación], o [Principal].[ Menor]. [Compilación]. [Revisión]. Dado que es posible que algunos usuarios finales no prefieran una actualización forzada de aplicaciones en el lugar, la opción "advertir" puede ser ideal al configurar esta configuración. Google Play Store hace un buen trabajo de enviar solo los bytes delta para las actualizaciones de la aplicación, pero esto puede seguir siendo una gran cantidad de datos que el usuario puede no desear utilizar si se encuentran en los datos en el momento de la actualización. Forzar una actualización y, por tanto, descargar una aplicación actualizada podría dar lugar a cargos de datos inesperados en el momento de la actualización. Para obtener más información, consulte Configuración de directivas de Android.
Antigüedad máxima de la versión Portal de empresa (días) Puede establecer un número máximo de días como la antigüedad de la versión de Portal de empresa (CP) para dispositivos Android. Esta configuración garantiza que los usuarios finales se encuentren dentro de un determinado intervalo de versiones de CP (en días). El valor debe estar entre 0 y 365 días. Cuando no se cumple la configuración de los dispositivos, se desencadena la acción de esta configuración. Entre las acciones se incluyen Bloquear acceso, Borrar datos o Advertir. Para obtener información relacionada, consulte Configuración de directivas de Android. Nota: La antigüedad de la compilación de Portal de empresa la determina Google Play en el dispositivo del usuario final.
Atestación de dispositivos Samsung Knox Especifique si se requiere la comprobación de atestación del dispositivo Samsung Knox. Solo los dispositivos sin modificar comprobados por Samsung pueden pasar esta comprobación. Para obtener la lista de dispositivos compatibles, consulte samsungknox.com.

Con esta configuración, Microsoft Intune también comprobará la comunicación desde el Portal de empresa al servicio Intune que se envió desde un dispositivo en buen estado.

Las acciones incluyen:
  • Advertencia : el usuario ve una notificación si el dispositivo no cumple la comprobación de atestación del dispositivo Samsung Knox. Se puede descartar esta notificación.
  • Bloquear acceso : se bloquea el acceso a la cuenta de usuario si el dispositivo no cumple la comprobación de atestación del dispositivo Knox de Samsung.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.

Nota: El usuario debe aceptar los términos de Samsung Knox antes de que se pueda realizar la comprobación de atestación del dispositivo. Si el usuario no acepta los términos de Samsung Knox, se producirá la acción especificada.

Nota: Esta configuración se aplicará a todos los dispositivos de destino. Para aplicar esta configuración solo a dispositivos Samsung, puede usar filtros de asignación "Aplicaciones administradas". Para obtener más información sobre los filtros de asignación, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune.
Nivel máximo de amenazas de dispositivo permitido Las directivas de protección de aplicaciones pueden aprovechar el conector de MTD de Intune. Especifique un nivel de amenaza máximo aceptable para usar esta aplicación. Las amenazas vienen determinadas por la aplicación de proveedor de Mobile Threat Defense (MTD) que se haya seleccionado en el dispositivo del usuario final. Especifique Protegido, Bajo, Medio o Alto. El nivel Protegido no requiere ninguna amenaza en el dispositivo y es el valor configurable más restrictivo, mientras que Alto requiere básicamente una conexión activa de Intune a MTD.

Las acciones incluyen:

  • Bloquear acceso: se impedirá el acceso del usuario si el nivel de amenaza determinado por la aplicación de proveedor de Mobile Threat Defense (MTD) seleccionada en el dispositivo del usuario final no cumple este requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Para obtener más información sobre el uso de esta configuración, consulte Habilitación del conector de Mobile Threat Defense en Intune para dispositivos no inscritos.
Servicio MTD principal Si ha configurado varios conectores Intune-MTD, especifique la aplicación de proveedor de MTD principal que se debe usar en el dispositivo del usuario final.

Entre los valores se incluyen:

  • Microsoft Defender para punto de conexión: si el conector MTD está configurado, especifique Microsoft Defender para punto de conexión proporcionará la información de nivel de amenaza del dispositivo.
  • Mobile Threat Defense (no Microsoft): si el conector MTD está configurado, especifique el MTD que no sea de Microsoft y proporcionará la información de nivel de amenaza del dispositivo.

Debe configurar la opción "Nivel máximo de amenaza de dispositivo permitido" para usar esta configuración.

No hay ninguna acción para esta configuración.