En este artículo se proporcionan respuestas a algunas preguntas más frecuentes sobre Intune administración de aplicaciones móviles (MAM) y Intune protección de aplicaciones.
Conceptos básicos de MAM
¿Qué es MAM?
Directivas de protección de aplicaciones
¿Qué son las directivas de protección de aplicaciones?
Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Una directiva puede ser una regla que se aplica cuando el usuario intenta acceder o mover datos "corporativos", o un conjunto de acciones que se prohíben o supervisan cuando el usuario está dentro de la aplicación.
¿Qué son ejemplos de directivas de protección de aplicaciones?
Consulte la configuración de directivas de protección de aplicaciones de Android y la configuración de directivas de protección de aplicaciones de iOS/iPadOS para obtener información detallada sobre cada configuración de directiva de protección de aplicaciones.
¿Es posible que las directivas MDM y MAM se apliquen al mismo usuario al mismo tiempo para distintos dispositivos?
Si aplica una directiva MAM al usuario sin establecer el estado de administración de dispositivos, el usuario obtiene la directiva MAM tanto en el dispositivo BYOD como en el dispositivo administrado Intune. También puede aplicar una directiva mam basada en el estado de administración de dispositivos. Por lo tanto, al crear una directiva de protección de aplicaciones, junto a Destino a aplicaciones en todos los tipos de dispositivos, seleccionaría No. Luego, realice cualquiera de las siguientes acciones:
- Aplique una directiva de MAM menos estricta a los dispositivos administrados por Intune y aplique una más estricta a los dispositivos no inscritos en MDM.
- Aplique una directiva MAM igualmente estricta a Intune dispositivos administrados como a dispositivos administrados de terceros.
- Aplique una directiva MAM sólo a los dispositivos no inscritos.
Para obtener más información, consulte Supervisión de directivas de protección de aplicaciones.
Aplicaciones que puede administrar con directivas de protección de aplicaciones
¿Qué aplicaciones se pueden administrar mediante directivas de protección de aplicaciones?
Cualquier aplicación que se haya integrado con el SDK de aplicación de Intune o que esté encapsulada por el Intune App Wrapping Tool se puede administrar mediante directivas de protección de aplicaciones Intune. Vea la lista oficial de las aplicaciones administradas por Intune disponibles para uso público.
¿Cuáles son los requisitos de línea base para usar directivas de protección de aplicaciones en una aplicación administrada Intune?
El usuario final debe tener una cuenta de Microsoft Entra. Consulte Agregar usuarios y conceder permiso administrativo a Intune para obtener información sobre cómo crear usuarios Intune en Microsoft Entra ID.
El usuario final debe tener una licencia para Microsoft Intune asignada a su cuenta de Microsoft Entra. Vea Administrar licencias de Intune para obtener información sobre cómo asignar licencias de Intune a los usuarios finales.
El usuario final debe pertenecer a un grupo de seguridad al que se aplique una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe aplicarse a la aplicación específica que se usa. Protección de aplicaciones directivas se pueden crear e implementar en el centro de administración de Microsoft Intune. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.
El usuario final debe iniciar sesión en la aplicación con su cuenta de Microsoft Entra.
¿Qué ocurre si quiero habilitar una aplicación con Intune App Protection, pero no usa una plataforma de desarrollo de aplicaciones compatible?
El equipo de desarrollo del SDK de Intune comprueba y mantiene de forma activa la compatibilidad con las aplicaciones creadas con las plataformas nativas de Android, iOS/iPadOS (Obj-C, Swift), Xamarin y Xamarin.Forms. Aunque algunos clientes han tenido éxito con la integración del SDK de Intune con otras plataformas como React Native y NativeScript, no proporcionamos instrucciones ni complementos explícitos para los desarrolladores de aplicaciones que usen otra cosa que no sea nuestras plataformas admitidas.
¿El SDK de Intune APP admite la biblioteca de autenticación de Microsoft (MSAL)?
El SDK de Intune App puede usar la biblioteca de autenticación de Microsoft para sus escenarios de autenticación e inicio condicional. También se basa en MSAL para registrar la identidad de usuario con el servicio MAM para la administración sin escenarios de inscripción de dispositivos.
¿Cuáles son los requisitos adicionales para usar la aplicación móvil de Outlook?
El usuario final debe tener instalada la aplicación móvil de Outlook en su dispositivo.
El usuario final debe tener un buzón y una licencia de Microsoft 365 Exchange Online vinculado a su cuenta de Microsoft Entra.
Nota:
Actualmente, la aplicación móvil de Outlook solo admite Intune App Protection para Microsoft Exchange Online y Exchange Server con autenticación moderna híbrida y no admite Exchange en Office 365 Dedicado.
¿Cuáles son los requisitos adicionales para usar las aplicaciones de Word, Excel y PowerPoint?
El usuario final debe tener una licencia para Aplicaciones Microsoft 365 para negocios o empresa vinculada a su cuenta de Microsoft Entra. La suscripción debe incluir las aplicaciones de Office en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con OneDrive para la Empresa. Las licencias de Microsoft 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.
El usuario final debe tener una ubicación administrada configurada con la funcionalidad pormenorizada Guardar como en la configuración de directiva de protección de aplicaciones "Guardar copias de los datos de la organización". Por ejemplo, si la ubicación administrada es OneDrive, la aplicación de OneDrive debe configurarse en la aplicación de Word, Excel o PowerPoint del usuario final.
Si la ubicación administrada es OneDrive, la aplicación debe ser objeto de la directiva de protección de aplicaciones implementada para el usuario final.
Nota:
Las aplicaciones móviles de Office actualmente sólo son compatibles con SharePoint Online y no con SharePoint local.
¿Por qué se necesita una ubicación administrada (es decir, OneDrive) para Office?
Intune marca todos los datos de la aplicación como "corporativos" o "personales". Los datos se consideran "corporativos" cuando se originan desde una ubicación empresarial. Para las aplicaciones de Office, Intune considera las siguientes ubicaciones de la empresa: correo electrónico (Exchange) o almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa).
¿Cuáles son los requisitos adicionales para usar Skype Empresarial?
Consulte los requisitos de licencias de Skype Empresarial. Para ver las configuraciones híbridas y locales de Skype Empresarial (SfB), consulte Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID ,respectivamente.
Características de protección de aplicaciones
¿Qué es la compatibilidad con varias identidades?
La compatibilidad con varias identidades es la posibilidad de que el SDK de aplicaciones de Intune solo aplique directivas de protección de aplicaciones a la cuenta profesional o educativa que haya iniciado sesión en la aplicación. Si se ha iniciado sesión en la aplicación con una cuenta personal, los datos no se modifican.
¿Cuál es el propósito de la compatibilidad con varias identidades?
La compatibilidad con varias identidades permite que las aplicaciones con audiencias "corporativas" y de consumidores (es decir, las aplicaciones de Office) se publiquen públicamente con Intune funcionalidades de protección de aplicaciones para las cuentas "corporativas".
¿Qué ocurre con Outlook y varias identidades?
Dado que Outlook tiene una vista de correo electrónico combinada de correos electrónicos personales y "corporativos", la aplicación de Outlook solicita el PIN de Intune al iniciarse.
¿Cuál es el PIN de la aplicación Intune?
El número de identificación personal (PIN) es un código de acceso utilizado para verificar que el usuario correcto está accediendo a los datos de la organización en una aplicación.
¿Cuándo se solicita al usuario que escriba su PIN?
Intune solicita el PIN de la aplicación del usuario cuando este esté a punto de acceder a los datos "corporativos". En aplicaciones de varias identidades, como Word/Excel/PowerPoint, se solicita al usuario su PIN cuando intenta abrir un documento o archivo "corporativo". En las aplicaciones de identidad única, como las aplicaciones de línea de negocio administradas mediante el Intune App Wrapping Tool, se solicita el PIN al iniciarse, ya que el SDK de la aplicación de Intune sabe que la experiencia del usuario en la aplicación siempre es "corporativa".
¿Con qué frecuencia se le pedirá al usuario el PIN de Intune?
El administrador de TI puede definir la configuración de directiva de protección de aplicaciones Intune "Volver a comprobar los requisitos de acceso después de (minutos)" en el centro de administración de Microsoft Intune. Esta configuración especifica la cantidad de tiempo antes de que se comprueben los requisitos de acceso en el dispositivo y se vuelve a mostrar la pantalla del PIN de la aplicación. Sin embargo, los detalles importantes sobre el PIN que afectan a la frecuencia con la que se solicitará al usuario son los siguientes:
- El PIN se comparte entre las aplicaciones del mismo publicador para mejorar la facilidad de uso: En iOS/iPadOS, un PIN de aplicación se comparte entre todas las aplicaciones del mismo publicador de aplicaciones. En el caso de Android, un PIN de aplicación se comparte entre todas las aplicaciones.
- El comportamiento "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar un dispositivo: Un "temporizador de PIN" realiza un seguimiento del número de minutos de inactividad que determinan cuándo mostrar el PIN de la aplicación Intune a continuación. En iOS/iPadOS, el temporizador de PIN no se ve afectado por el reinicio del dispositivo. Por lo tanto, el reinicio del dispositivo no tiene ningún efecto en el número de minutos que el usuario ha estado inactivo desde una aplicación de iOS/iPadOS con Intune directiva de PIN. En Android, el temporizador del PIN se restablece al reiniciar el dispositivo. Por lo tanto, es probable que las aplicaciones Android con Intune directiva de PIN soliciten un PIN de aplicación independientemente del valor de configuración "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar el dispositivo.
- La naturaleza gradual del temporizador asociado al PIN: Una vez que se escribe un PIN para acceder a una aplicación (aplicación A) y la aplicación deja el primer plano (foco de entrada principal) en el dispositivo, el temporizador del PIN se restablece para ese PIN. Cualquier aplicación (aplicación B) que comparta este PIN no solicitará al usuario la entrada de PIN porque el temporizador se ha restablecido. La solicitud se volverá a mostrar una vez que se haya alcanzado el valor establecido en "Volver a comprobar los requisitos de acceso tras (minutos)".
En el caso de los dispositivos iOS/iPadOS, incluso si el PIN se comparte entre aplicaciones de distintos publicadores, el mensaje se mostrará de nuevo cuando se vuelva a cumplir el valor Volver a comprobar los requisitos de acceso después de (minutos) para la aplicación que no sea el foco de entrada principal. Así, por ejemplo, un usuario tiene la aplicación A del editor X y la aplicación B del editor Y, y esas dos aplicaciones comparten el mismo PIN. El usuario se centra en la aplicación A (en primer plano) y la aplicación B está minimizada. Después de que se consiga el valor Volver a comprobar los requisitos de acceso después de (minutos) y el usuario cambie a la aplicación B, el PIN será requerido.
Nota:
Para comprobar los requisitos de acceso del usuario con más frecuencia (es decir, la solicitud de PIN), especialmente para una aplicación usada con frecuencia, se recomienda reducir el valor de la configuración "Volver a comprobar los requisitos de acceso después de (minutos)".
¿Cómo funciona el PIN de Intune con los PIN de aplicación integrados para Outlook y OneDrive?
El PIN de Intune funciona en función de un temporizador basado en inactividad (el valor de "Volver a comprobar los requisitos de acceso después de (minutos)"). De este modo, las solicitudes de PIN de Intune aparecen independientemente de las solicitudes de PIN de las aplicaciones integradas de Outlook y OneDrive, que suelen estar vinculados al inicio de la aplicación de forma predeterminada. Si el usuario recibe ambas solicitudes de PIN al mismo tiempo, el comportamiento esperado debería ser que el PIN de Intune tenga prioridad.
¿El PIN es seguro?
El PIN sirve para que sólo el usuario correcto pueda acceder a los datos de su organización en la aplicación. Por lo tanto, el usuario debe iniciar sesión con su cuenta profesional o educativa para poder establecer o restablecer el PIN de la aplicación de Intune. Esta autenticación se controla mediante Microsoft Entra ID a través del intercambio seguro de tokens y no es transparente para el SDK de Intune App. Desde una perspectiva de seguridad, la mejor manera de proteger los datos profesionales o educativos es cifrarlos. El cifrado no está relacionado con el PIN de la aplicación, pero es su propia directiva de protección de aplicaciones.
¿Cómo protege Intune el PIN frente a ataques por fuerza bruta?
Como parte de la directiva de PIN de la aplicación, el administrador de TI puede establecer el número máximo de veces que un usuario puede intentar autenticar su PIN antes de bloquear la aplicación. Una vez que se ha alcanzado el número de intentos, el SDK de la aplicación de Intune puede borrar los datos "corporativos" de la aplicación.
¿Por qué tengo que establecer un PIN dos veces en las aplicaciones del mismo publicador?
MAM (en iOS/iPadOS) actualmente permite el PIN de nivel de aplicación con caracteres alfanuméricos y especiales (denominado "código de acceso") que requiere la participación de aplicaciones (es decir, WXP, Outlook, Managed Browser, Yammer) para integrar la Intune APP SDK para iOS/iPadOS. Sin esto, la configuración del código de acceso no se aplica correctamente para las aplicaciones de destino. Se trata de una característica publicada en el SDK de Intune para iOS/iPadOS v. 7.1.12.
Para admitir esta característica y garantizar la compatibilidad con versiones anteriores del SDK de Intune para iOS/iPadOS, todos los PIN (ya sean numéricos o un código de acceso) de la versión 7.1.12+ se tratan por separado a partir del PIN numérico en versiones anteriores del SDK. Por lo tanto, si un dispositivo tiene aplicaciones con Intune SDK para versiones de iOS/iPadOS anteriores a la 7.1.12 Y posteriores a la 7.1.12 del mismo publicador, tendrán que configurar dos PIN.
Dicho esto, los dos PIN (para cada aplicación) no están relacionados de ninguna manera, es decir, deben cumplir la directiva de protección de aplicaciones que se aplica a la aplicación. Por lo tanto, sólo si las aplicaciones A y B tienen las mismas directivas aplicadas (con respecto al PIN), el usuario puede configurar el mismo PIN dos veces.
Este comportamiento es específico para el PIN en aplicaciones iOS/iPadOS que ya están habilitadas con la Administración de aplicaciones móviles de Intune. Con el tiempo, a medidas que las aplicaciones adoptan las versiones posteriores del SDK de Intune para iOS/iPadOS, el hecho de tener que establecer un PIN dos veces en las aplicaciones del mismo editor dejará de ser un problema importante. Consulte la siguiente nota para obtener un ejemplo.
Nota:
Por ejemplo, si la aplicación A se compila con una versión anterior a la 7.1.12 y la aplicación B se compila con una versión mayor o igual que 7.1.12 del mismo publicador, el usuario final tendrá que configurar los PIN por separado para A y B si ambos están instalados en un dispositivo iOS/iPadOS.
Si una aplicación C que tiene sdk versión 7.1.9 está instalada en el dispositivo, compartirá el mismo PIN que la aplicación A.
Una aplicación D compilada con la versión 7.1.14 compartirá el mismo PIN que la aplicación B.
Si sólo están instaladas las aplicaciones A y C en un dispositivo, será necesario establecer un solo PIN. Esto mismo se aplica si solo se instalan las aplicaciones B y D en un dispositivo.
¿Y el cifrado?
Los administradores de TI pueden implementar una directiva de protección de aplicaciones que requiere cifrar los datos de aplicaciones. Como parte de la directiva, el administrador de TI también puede especificar cuándo se cifra el contenido.
¿Cómo Intune cifrar los datos?
Vea la configuración de directivas de protección de aplicaciones Android y la configuración de la protección de aplicaciones iOS/iPadOS para obtener información detallada sobre la configuración de directiva de protección de aplicaciones de cifrado.
¿Qué se cifra?
Solo se cifran los datos marcados como "corporativos" según la directiva de protección de la aplicación del administrador de TI. Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa. Para las aplicaciones de Office, Intune considera las siguientes ubicaciones de la empresa: correo electrónico (Exchange) o almacenamiento en la nube (aplicación OneDrive con una cuenta de OneDrive para la Empresa). En el caso de las aplicaciones de línea de negocio administradas por el Intune App Wrapping Tool, todos los datos de la aplicación se consideran "corporativos".
¿Cómo Intune borrar datos de forma remota?
Intune puede borrar los datos de la aplicación de tres maneras diferentes: borrado completo del dispositivo, borrado selectivo de MDM y borrado selectivo de MAM. Para obtener más información sobre el borrado remoto de MDM, vea Eliminación de dispositivos mediante Borrar o Retirar. Para obtener más información sobre el borrado selectivo mediante MAM, consulte la acción Retirar y Borrado solo de datos corporativos de aplicaciones administradas por Intune.
¿Qué es el borrado?
Borrar quita todos los datos de usuario y la configuración del dispositivo restaurando el dispositivo a su configuración predeterminada de fábrica. El dispositivo se quita de Intune.
Nota:
El borrado solo se puede lograr en dispositivos inscritos con Intune administración de dispositivos móviles (MDM).
¿Qué es el borrado selectivo de MDM?
Consulte Eliminación de dispositivos: retirar para obtener información sobre cómo eliminar datos de la empresa.
¿Qué es el borrado selectivo para MAM?
El borrado selectivo de MAM simplemente quita los datos de la aplicación de empresa de la aplicación. La solicitud se inicia mediante el centro de administración de Microsoft Intune. Para obtener información sobre cómo iniciar una solicitud de borrado, consulte Borrado solo de datos corporativos de aplicaciones.
¿Con qué rapidez se produce el borrado selectivo para MAM?
Si el usuario usa la aplicación cuando se inicia el borrado selectivo, el SDK de aplicación de Intune comprueba cada 30 minutos si hay una solicitud de borrado selectivo del servicio Intune MAM. También comprueba el borrado selectivo cuando el usuario inicia la aplicación por primera vez e inicia sesión con su cuenta profesional o educativa.
¿Por qué los servicios locales no funcionan con Intune aplicaciones protegidas?
Intune protección de aplicaciones depende de la identidad del usuario para que sea coherente entre la aplicación y el SDK de la aplicación de Intune. La única manera de garantizar esto es a través de la autenticación moderna. Hay escenarios en los que las aplicaciones pueden funcionar con una configuración local, pero no son coherentes ni están garantizadas.
¿Hay alguna manera segura de abrir vínculos web desde aplicaciones administradas?
Sí. El administrador de TI puede implementar y establecer la directiva de protección de aplicaciones para la aplicación Microsoft Edge. El administrador de TI puede requerir que todos los vínculos web de las aplicaciones administradas por Intune se abran mediante la aplicación Microsoft Edge.
Experiencia de la aplicación en Android
¿Por qué se necesita la aplicación Portal de empresa para que Intune protección de aplicaciones funcione en dispositivos Android?
¿Cómo funcionan varias Intune configuración de acceso de protección de aplicaciones configuradas para el mismo conjunto de aplicaciones y usuarios en Android?
Intune directivas de protección de aplicaciones para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, un bloque tendría prioridad y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable al usuario/aplicación específico, un ajuste de versión mínima de parche de Android que advierta al usuario que debe tomar una actualización de parche se aplicará después del ajuste de versión mínima de parche de Android que bloquea el acceso del usuario. Por tanto, en el caso en que el administrador de TI configure la versión de revisión de Android mínima en 01-03-2018 y la versión de revisión de Android mínima (solo advertencia) en 01-02-2018, mientras el dispositivo que intenta obtener acceso a la aplicación esté en una versión de revisión 01-01-2018, se bloquearía al usuario final en función del valor más restrictivo para la versión de revisión de Android mínima que provoque el bloqueo del acceso.
Cuando se trabaja con diferentes tipos de configuraciones, un requisito de versión de la aplicación tendría prioridad, seguido por el requisito de versión de sistema operativo de Android y el requisito de versión de revisión de Android. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración.
Intune directivas de Protección de aplicaciones proporcionan la funcionalidad para que los administradores requieran que los dispositivos de usuario final pasen la comprobación de integridad de dispositivos Android de Google Play. ¿Con qué frecuencia se envía al servicio un nuevo resultado de comprobación de integridad del dispositivo de Google Play?
El servicio Intune se pondrá en contacto con Google Play en un intervalo no configurable determinado por la carga del servicio. Cualquier acción configurada por el administrador de TI para la configuración de comprobación de integridad del dispositivo de Google Play se realizará en función del último resultado notificado al servicio Intune en el momento del inicio condicional. Si el resultado de la integridad del dispositivo de Google es compatible, no se realiza ninguna acción. Si el resultado de la integridad del dispositivo de Google no es compatible, la acción configurada por el administrador de TI se realizará inmediatamente. Si se produce un error en la solicitud a la comprobación de integridad del dispositivo de Google Play por cualquier motivo, el resultado almacenado en caché de la solicitud anterior se usará durante un máximo de 24 horas o el siguiente reinicio del dispositivo, que se producirá primero. En ese momento, Intune directivas de Protección de aplicaciones bloqueará el acceso hasta que se pueda obtener un resultado actual.
Intune directivas de Protección de aplicaciones proporcionan la funcionalidad para que los administradores requieran que los dispositivos de usuario final envíen señales a través de la API Verify Apps de Google para dispositivos Android. ¿Cómo puede un usuario final activar el examen de la aplicación para que no se le bloquee el acceso debido a esto?
Las instrucciones sobre cómo hacerlo varían ligeramente según el dispositivo. Lo habitual es ir a Google Play Store y, luego, hacer clic en Mis aplicaciones y juegos. A continuación, debe hacer clic en el resultado del último examen de la aplicación, lo que le llevará al menú de Play Protect. Asegúrese de que la opción de Escanear el dispositivo en busca de amenazas de seguridad esté activada.
¿Qué comprueba realmente play integrity API de Google en dispositivos Android? ¿Cuál es la diferencia entre los valores configurables de "Comprobar la integridad básica" y "Comprobar la integridad básica & dispositivos certificados"?
Intune aprovecha las API de integridad de Google Play para agregar a nuestras comprobaciones de detección raíz existentes para los dispositivos no inscritos. Google ha desarrollado y mantenido este conjunto de API para que las aplicaciones androide adopten si no quieren que sus aplicaciones se ejecuten en dispositivos rooteados. La aplicación Android Pay ha incorporado esto, por ejemplo. Aunque Google no comparte públicamente la totalidad de las comprobaciones de detección raíz que se producen, esperamos que estas API detecten usuarios que han rooteado sus dispositivos. A estos usuarios se les puede bloquear el acceso o borrar sus cuentas corporativas de las aplicaciones habilitadas por la directiva. "Comprobar la integridad básica" le indica la integridad general del dispositivo. Los dispositivos arraigados, los emuladores, los dispositivos virtuales y los dispositivos con signos de manipulación fallan en la integridad básica. "Comprobar la integridad básica & dispositivos certificados" le indica la compatibilidad del dispositivo con los servicios de Google. Sólo los dispositivos no modificados que han sido certificados por Google pueden pasar esta comprobación. Entre los dispositivos que producirán un error se incluyen los siguientes:
- Dispositivos que producen error en la integridad básica
- Dispositivos con un cargador de arranque desbloqueado
- Dispositivos con una imagen de sistema personalizada o ROM
- Dispositivos para los que el fabricante no ha solicitado o superado la certificación de Google
- Dispositivos con una imagen de sistema creada directamente desde los archivos de origen del Android Open Source Program
- Dispositivos con una imagen de sistema de versión preliminar beta o de desarrollador
Consulte la documentación de Google sobre Play Integrity API para obtener detalles técnicos.
Hay dos comprobaciones similares en la sección Inicio condicional al crear una directiva de protección de aplicaciones de Intune para dispositivos Android. ¿Debería requerir la configuración "Veredicto de integridad de reproducción" o la opción "Dispositivos liberados o rooteados"?
Las comprobaciones de la API de integridad de Google Play requieren que el usuario final esté en línea, al menos durante el tiempo en que se ejecuta el "recorrido de ida y vuelta" para determinar los resultados de la atestación. Si el usuario final está sin conexión, el administrador de TI todavía puede esperar que se aplique un resultado de la configuración "dispositivos liberados o rooteados". Dicho esto, si el usuario final ha estado sin conexión demasiado tiempo, entra en juego el valor "Período de gracia sin conexión" y todo el acceso a los datos profesionales o educativos se bloquea una vez alcanzado ese valor del temporizador, hasta que esté disponible el acceso a la red. Activar ambas opciones permite un enfoque por capas para mantener los dispositivos del usuario final en buen estado, lo que es importante cuando los usuarios finales acceden a datos profesionales o educativos en dispositivos móviles.
La configuración de directivas de protección de aplicaciones que utilicen las API de Google Play Protect requiere Google Play Services para su funcionamiento. ¿Qué ocurre si no se permite Google Play Services en la ubicación donde puede estar el usuario final?
Tanto la configuración "Veredicto de integridad de reproducción" como "Examen de amenazas en aplicaciones" requieren que la versión determinada de Google de Google Play Services funcione correctamente. Dado que se trata de configuraciones que se encuentran en el área de seguridad, el usuario final se bloqueará si se ha dirigido a esta configuración y no cumple la versión adecuada de Google Play Services o no tiene acceso a Google Play Services.
Experiencia de la aplicación en iOS
¿Qué ocurre si agregar o quitar una huella digital o una cara a mi dispositivo?
Las directivas de protección de aplicaciones de Intune permiten controlar el acceso a las aplicaciones sólo al usuario con licencia de Intune. Una de las maneras de controlar el acceso a la aplicación es exigir Touch ID o Face ID de Apple en dispositivos admitidos. Intune implementa un comportamiento en el que, si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se cumple el siguiente valor de tiempo de espera de inactividad. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital. Si el usuario Intune no tiene un PIN establecido, se le lleva a configurar un PIN de Intune.
La intención de esto es seguir manteniendo los datos de la organización dentro de la aplicación seguros y protegidos en el nivel de aplicación. Esta característica solo está disponible para iOS/iPadOS y requiere la participación de aplicaciones que integren Intune APP SDK para iOS/iPadOS, versión 9.0.1 o posterior. La integración del SDK es necesaria para poder aplicar el comportamiento en las aplicaciones de destino. Esta integración ocurre de manera gradual y depende de los equipos de la aplicación específica. Algunas de las aplicaciones que participan son WXP, Outlook, Managed Browser y Yammer.
Puedo usar la extensión de recurso compartido de iOS para abrir datos profesionales o educativos en aplicaciones no administradas, incluso con la directiva de transferencia de datos establecida en "solo aplicaciones administradas" o "sin aplicaciones". ¿No se filtran datos?
Intune directiva de protección de aplicaciones no puede controlar la extensión de recurso compartido de iOS sin administrar el dispositivo. Por lo tanto, Intune cifra los datos "corporativos" antes de que se compartan fuera de la aplicación. Para validarlo, intente abrir el archivo "corporativo" fuera de la aplicación administrada. El archivo debe estar cifrado y no debe poder abrirse fuera de la aplicación administrada.
¿Cómo funcionan varias Intune configuración de acceso de protección de aplicaciones configuradas para el mismo conjunto de aplicaciones y usuarios en iOS?
Intune directivas de protección de aplicaciones para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, un borrado tendría prioridad, seguido de un bloque y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable a la aplicación o usuario específico, una configuración de sistema operativo mínima de iOS/iPadOS que advierte al usuario que actualice la versión de iOS/iPadOS se aplicará después de la configuración de sistema operativo mínima de iOS/iPadOS que bloquea el acceso del usuario. Por lo tanto, en el escenario en el que el administrador de TI configura el sistema operativo iOS/iPadOS mínimo en 11.0.0.0 y el sistema operativo iOS/iPadOS mínimo (solo advertencia) en 11.1.0.0, mientras el dispositivo que intentaba acceder a la aplicación estaba en iOS/iPadOS 10, el usuario final se bloquearía en función de la configuración más restrictiva para la versión mínima del sistema operativo iOS/iPadOS que da lugar a un acceso bloqueado.
Al tratar con diferentes tipos de configuración, tendría prioridad un requisito de versión del SDK de aplicación de Intune y, a continuación, un requisito de versión de la aplicación, seguido del requisito de versión del sistema operativo iOS/iPadOS. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración. Se recomienda configurar el requisito de versión del SDK de Intune aplicación solo según las instrucciones del equipo de Intune producto para escenarios de bloqueo esenciales.
Vea también
- Implementar Intune
- Creación de un plan de lanzamiento
- Configuración de la directiva de administración de aplicaciones móviles de Android en Microsoft Intune
- Configuración de directivas de administración de aplicaciones móviles de iOS/iPadOS
- actualización de directivas de directivas de Protección de aplicaciones
- Validación de las directivas de protección de aplicaciones
- Agregar directivas de configuración de aplicaciones para aplicaciones administradas sin inscripción de dispositivo
- Cómo obtener soporte técnico en Microsoft Intune