Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones

Los usuarios utilizan sus dispositivos móviles habitualmente para tareas personales y profesionales. A la vez que se aseguran de que el personal pueda ser productivo, las organizaciones también quieren evitar la pérdida de datos de aplicaciones que se encuentren en dispositivos que no administren completamente.

Con el acceso condicional, las organizaciones pueden restringir el acceso a aplicaciones cliente aprobadas (con capacidad para la autenticación moderna) con directivas de protección de aplicaciones de Intune. En el caso de las aplicaciones cliente anteriores que puede que no admitan directivas de protección de aplicaciones, los administradores pueden restringir el acceso a las aplicaciones cliente aprobadas.

Advertencia

Las directivas de protección de aplicaciones son compatibles con iOS y Android cuando las aplicaciones cumplen requisitos específicos. Las directivas de protección de aplicaciones son compatibles en Windows en la versión preliminar solo para el navegador Microsoft Edge. No todas las aplicaciones se admiten como aplicaciones aprobadas ni admiten directivas de protección de aplicaciones. Para ver una lista de algunas de las aplicaciones cliente comunes, consulte Requisito de la política de protección de aplicaciones. Si la aplicación no se encuentra en la lista, póngase en contacto con su desarrollador. Para requerir aplicaciones cliente aprobadas o aplicar directivas de protección de aplicaciones para dispositivos iOS y Android, estos dispositivos deben registrarse primero en Microsoft Entra ID.

Nota:

Requerir uno de los controles seleccionados en los controles de concesión es como una cláusula OR. Esto se usa dentro de la directiva para permitir que los usuarios usen aplicaciones compatibles con la directiva de Requerir protección de aplicaciones o Requerir controles de concesión de aplicaciones cliente aprobados. Requerir la directiva de protección de aplicaciones se aplica cuando la aplicación admite ese control de concesión.

Para más información sobre las ventajas que aporta el uso de directivas de protección de aplicaciones, consulte el artículo Introducción a las directivas de protección de aplicaciones.

Las siguientes directivas se colocan inicialmente en modo de solo informe, para que los administradores puedan determinar el impacto que tendrán en los usuarios existentes. Cuando los administradores estén seguros de que la directiva se aplica según lo previsto, pueden cambiar a Activado o ensayar la implementación agregando grupos específicos y excluyendo otros.

Requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones con dispositivos móviles.

Los siguientes pasos le ayudarán a crear una directiva de acceso condicional que requiera una aplicación cliente aprobada o una directiva de protección de aplicaciones cuando use algún dispositivo iOS, iPadOS o Android. Esta directiva impide el uso de clientes Exchange ActiveSync mediante la autenticación básica en dispositivos móviles. Esta directiva funciona conjuntamente con una directiva de protección de aplicaciones creada en Microsoft Intune.

Las organizaciones pueden optar por implementar esta directiva siguiendo los pasos siguientes o usando las Plantillas de acceso condicional.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Entra ID>Acceso Condicional.
3. Selecciona Crear nueva directiva.
4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus políticas.
5. En Asignaciones, selecciona Usuarios o identidades de carga de trabajo.
   1. En Incluir, seleccione Todos los usuarios.
   2. En Excluir, seleccione Usuarios y grupos, y excluya al menos una cuenta para evitar que se le bloquee. Si no excluye ninguna cuenta, no podrá crear la directiva.
6. En Recursos de destino>(anteriormente aplicaciones en la nube)>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube").
7. En Condiciones>Plataformas de dispositivo, seleccione Sí en Configurar.
   1. En Incluir, seleccione Plataformas de dispositivo.
   2. Elija Android e iOS.
   3. Seleccione Listo.
8. En Controles de acceso>Conceder, seleccione Conceder acceso.
   1. Seleccione Requerir aplicación cliente aprobada o Requerir directiva de protección de aplicaciones.
   2. En el caso de controles múltiples, seleccione Requerir uno de los controles seleccionados.
9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
10. Seleccione Crear para crear para habilitar la directiva.

Nota:

Cuando se crea una directiva en modo de solo informe para el control "Requerir directiva de protección de aplicaciones", el registro de inicio de sesión puede mostrar el resultado como "Solo informe: Error" en la pestaña "Acceso condicional" cuando se cumplen todas las condiciones de directiva configuradas. Esto se debe a que el control no se satisificó en modo de solo informe. Una vez habilitada la directiva, el control se aplica a la aplicación y no se bloqueará el inicio de sesión.

Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, mueva el botón de alternancia Habilitar directiva de solo informe a Activado.

Sugerencia

Las organizaciones también deben implementar una directiva que bloquee el acceso desde plataformas de dispositivos no admitidas o desconocidas junto con esta directiva.

Bloqueo de Exchange ActiveSync en todos los dispositivos

Esta directiva impide que todos los clientes de Exchange ActiveSync que usan la autenticación básica se conecten a Exchange Online.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Entra ID>Acceso Condicional.
3. Selecciona Crear nueva directiva.
4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus políticas.
5. En Asignaciones, selecciona Usuarios o identidades de carga de trabajo.
   1. En Incluir, seleccione Todos los usuarios.
   2. En Excluir, seleccione Usuarios y grupos, y excluya al menos una cuenta para evitar que se le bloquee. Si no excluye ninguna cuenta, no podrá crear la directiva.
   3. Seleccione Listo.
6. En Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir, seleccione Seleccionar recursos.
   1. Seleccione Office 365 Exchange Online.
   2. Elija Seleccionar.
7. En Condiciones>Aplicaciones cliente, establezca Configurar en Sí.
   1. Desactive todas las opciones excepto los clientes de Exchange ActiveSync.
   2. Seleccione Listo.
8. En Controles de acceso>Conceder, seleccione Conceder acceso.
   1. Seleccione Requerir la directiva de protección de aplicaciones.
9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
10. Seleccione Crear para crear para habilitar la directiva.

Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, mueva el botón de alternancia Habilitar directiva de solo informe a Activado.

Contenido relacionado

• Introducción general a las directivas de protección de aplicaciones
• Políticas comunes de acceso condicional
• Migrar la aplicación cliente aprobada a la directiva de protección de aplicaciones en el acceso condicional