Protección de datos para Windows MAM

Puede habilitar el acceso protegido de Administración de aplicaciones móviles (MAM) a los datos de la organización en dispositivos Windows personales. Esta funcionalidad usa la siguiente funcionalidad:

• Directivas de configuración de aplicaciones (ACP) de Intune para personalizar la experiencia del usuario de la organización
• Directivas de protección de aplicaciones (APP) de Intune para proteger los datos de la organización y asegurarse de que el dispositivo cliente está en buen estado
• Seguridad de Windows Center client threat defense integrada con intune APP para detectar amenazas de estado locales en dispositivos Windows personales
• Acceso condicional de Application Protection para asegurarse de que el dispositivo está protegido y en buen estado antes de conceder acceso al servicio protegido a través de Microsoft Entra id.

Nota:

Intune Mobile Application Management (MAM) para Windows está disponible para Windows 10, compilación 19045.3636, KB5031445 o posterior y Windows 11, compilación 10.0.22621.2506, KB5031455 (22H2) o posterior. Esto incluye los cambios auxiliares para Microsoft Intune (versión 2309), Microsoft Edge (rama estable v117 y versiones posteriores para Windows 11 y v118.0.2088.71 y versiones posteriores para Windows 11) y Seguridad de Windows Center (v 1.0.2310.2002 y versiones posteriores). El acceso condicional de App Protection está disponible con carácter general.

Windows MAM se admite en entornos de nube gubernamentales. Para obtener información relacionada, consulte Implementación de aplicaciones mediante Intune en los entornos GCC High y DoD.

Para obtener más información sobre MAM, consulte Conceptos básicos de Administración de aplicaciones móviles (MAM).

Tanto los usuarios finales como las organizaciones deben tener acceso a la organización protegido desde dispositivos personales. Las organizaciones deben asegurarse de que los datos corporativos están protegidos en dispositivos personales y no administrados. Como administrador de Intune, tiene la responsabilidad de determinar cómo los miembros (usuarios finales) de su organización acceden a los recursos corporativos de forma protegida desde un dispositivo no administrado. Debe asegurarse al acceder a los datos de la organización, de que los dispositivos no administrados están en buen estado, de que las aplicaciones se adhieren a las directivas de protección de los datos de la organización y de que los recursos no administrados del usuario final en su dispositivo no se ven afectados por las directivas de la organización.

Como administrador de Intune, debe tener la siguiente funcionalidad de administración de aplicaciones:

• Capacidad de implementar directivas de protección de aplicaciones en aplicaciones o usuarios protegidos por el SDK de aplicaciones de Intune, lo que incluye lo siguiente:
  • Configuración de protección de datos
  • Comprobaciones de estado (también conocida como configuración de inicio condicional)
• Capacidad de requerir directivas de protección de aplicaciones a través del acceso condicional
• Capacidad de realizar una comprobación adicional del estado del cliente a través de Seguridad de Windows centro haciendo lo siguiente:
  • Diseño del nivel de riesgo de Seguridad de Windows Center para permitir que los usuarios finales accedan a los recursos corporativos
  • Configuración del conector basado en inquilinos en Microsoft Intune para Seguridad de Windows Center
• Capacidad de implementar un comando de borrado selectivo en aplicaciones protegidas

Los miembros de la organización (usuarios finales) esperan tener la siguiente funcionalidad para sus cuentas:

• Capacidad de iniciar sesión en Microsoft Entra identificador para acceder a sitios protegidos por acceso condicional
• Capacidad de comprobar el estado de mantenimiento del dispositivo cliente, en el caso de que un dispositivo se considere incorrecto
• Capacidad de revocar el acceso a los recursos cuando un dispositivo sigue en mal estado
• Capacidad de estar informado, con pasos de corrección claros, cuando el acceso está controlado por una directiva de administrador

Nota:

Para obtener información relacionada con el identificador de Microsoft Entra, consulte Requerir una directiva de protección de aplicaciones en dispositivos Windows.

Cumplimiento del acceso condicional

La prevención de la pérdida de datos forma parte de la protección de los datos de la organización. La prevención de pérdida de datos (DLP) solo es eficaz si no se puede acceder a los datos de la organización desde ningún sistema o dispositivo sin protección. El acceso condicional de App Protection usa el acceso condicional (CA) para asegurarse de que las directivas de protección de aplicaciones (APP) se admiten y aplican en una aplicación cliente antes de permitir el acceso a recursos protegidos (como datos de la organización). APP CA permitirá a los usuarios finales con dispositivos Windows personales usar aplicaciones administradas por aplicaciones, incluido Microsoft Edge, para acceder a Microsoft Entra recursos sin administrar completamente su dispositivo personal.

Este servicio MAM sincroniza el estado de cumplimiento por usuario, aplicación y dispositivo con el servicio Microsoft Entra CA. Esto incluye la información sobre amenazas recibida de los proveedores de Mobile Threat Defense (MTD) a partir de Seguridad de Windows Center.

Nota:

Este servicio MAM usa el mismo flujo de trabajo de cumplimiento de acceso condicional que se usa para administrar Microsoft Edge en dispositivos iOS y Android.

Cuando se detecta un cambio, el servicio MAM actualiza inmediatamente el estado de cumplimiento del dispositivo. El servicio también incluye el estado de mantenimiento de MTD como parte del estado de cumplimiento.

Nota:

El servicio MAM evalúa el estado mtd en el servicio. Esto se hace independientemente del cliente mam y la plataforma del cliente.

El cliente MAM comunica el estado de mantenimiento del cliente (o metadatos de mantenimiento) al servicio MAM al realizar el registro. El estado de mantenimiento incluye cualquier error de las comprobaciones de estado de APP para las condiciones de bloqueo o borrado . Además, Microsoft Entra id. guía a los usuarios finales a través de los pasos de corrección cuando intentan acceder a un recurso de CA bloqueado.

Cumplimiento del acceso condicional

Las organizaciones pueden usar Microsoft Entra directivas de acceso condicional para garantizar que los usuarios solo puedan acceder a contenido profesional o educativo mediante aplicaciones administradas por directivas en Windows. Para ello, necesitará una directiva de acceso condicional destinada a todos los posibles usuarios. Siga los pasos descritos en Requerir una directiva de protección de aplicaciones en dispositivos Windows, que permite a Microsoft Edge para Windows, pero impide que otros exploradores web se conecten a puntos de conexión de Microsoft 365.

Con el acceso condicional, también puede dirigirse a sitios locales que haya expuesto a usuarios externos a través del proxy de aplicación Microsoft Entra.

Estado de defensa contra amenazas

El estado de mantenimiento de un dispositivo de propiedad personal se comprueba antes de permitir el acceso a los datos de la organización. La detección de amenazas mam se puede conectar con Seguridad de Windows Center. Seguridad de Windows Center proporciona una evaluación del estado del dispositivo cliente a la aplicación de Intune a través de un conector de servicio a servicio. Esta evaluación admite la disponibilidad del flujo y el acceso a los datos de la organización en dispositivos personales no administrados.

El estado de mantenimiento incluye los detalles siguientes:

• Identificadores de usuario, aplicación y dispositivo
• Un estado de mantenimiento predefinido
• Hora de la última actualización de estado de mantenimiento

El estado de mantenimiento solo se envía para los usuarios inscritos en MAM. Los usuarios finales pueden dejar de enviar datos cerrando sesión de su cuenta de organización en aplicaciones protegidas. Los administradores pueden dejar de enviar datos quitando el conector de Seguridad de Windows de Microsoft Intune.

Para obtener información relacionada, consulte Creación de una directiva de protección de aplicaciones MTD para Windows.

Crear directivas de protección de aplicaciones de Intune

Las directivas de protección de aplicaciones (APP) definen qué aplicaciones se permiten y las acciones que se pueden realizar con los datos de la organización. Las opciones disponibles en las APP permiten a las organizaciones adaptar la protección a sus necesidades concretas. Para algunas de ellas, puede que no sea obvio qué configuración de directivas es necesaria para implementar un escenario completo.

Como administrador, puede configurar cómo se protegen los datos a través de APP. Esta configuración se aplica a la interacción de la aplicación nativa de Windows con los datos. La configuración de la aplicación se segmenta en tres categorías:

• Protección de datos : esta configuración controla cómo los datos pueden entrar y salir de un contexto de organización (cuenta, documento, ubicación, servicios) para el usuario.

• Comprobaciones de estado (inicio condicional): esta configuración controla las condiciones del dispositivo necesarias para acceder a los datos de la organización y las acciones de corrección si no se cumplen las condiciones.

Para ayudar a las organizaciones a priorizar la protección de puntos de conexión de cliente, Microsoft ha introducido taxonomía para su marco de protección de datos de APLICACIONES para la administración de aplicaciones móviles.

A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.

Para obtener más información sobre la configuración disponible, consulta Configuración de directivas de protección de aplicaciones de Windows.

Pasos siguientes

• ¿Qué son las directivas de protección de aplicaciones?
• Directivas de configuración de aplicaciones para Microsoft Intune