Directivas de buzones de dispositivos móviles en Exchange Online
En Microsoft 365 o Office 365, puede crear directivas de buzón de dispositivo móvil para aplicar un conjunto común de directivas o configuración de seguridad a una colección de usuarios. Se crea una directiva de buzón de dispositivo móvil predeterminada en cada organización de Microsoft 365 o Office 365.
Resumen de las directivas de buzones de dispositivos móviles
Puede usar las directivas de buzones de dispositivos móviles para administrar diferentes parámetros de configuración. Por ejemplo, los siguientes:
- Solicitar una contraseña
- Especificar la longitud mínima de la contraseña
- Permitir un PIN numérico o requerir caracteres especiales en la contraseña
- Designar el tiempo que puede permanecer inactivo un dispositivo antes de solicitar al usuario que vuelva a escribir la contraseña
- Borrar un dispositivo tras un número específico de intentos de contraseña erróneos
Configuración de contraseñas de dispositivos móviles y biometría
Muchos dispositivos móviles admiten biometría como Apple Touch ID o Face ID. Las directivas de buzón de dispositivo móvil de Exchange no controlan si se puede usar la biometría en lugar de escribir el PIN del dispositivo. Las directivas de buzón de dispositivo móvil se pueden configurar para requerir un PIN de dispositivo, pero los usuarios controlan si usan biometría después de cumplir con el requisito del PIN del dispositivo.
Los clientes que necesiten un control avanzado sobre el uso de la biometría deben tener en cuenta soluciones de inscripción de dispositivos, como Microsoft Intune. Consulte Implementación de outlook para iOS y configuración de aplicaciones Android para obtener más información.
Configuración de contraseña de dispositivo móvil y Android
Android 9.0 y versiones anteriores usan la funcionalidad de administrador de dispositivos Android para administrar la configuración de contraseña del dispositivo definida en una directiva de buzón de dispositivo móvil.
Con Android 10.0 y versiones posteriores, Android ha quitado la funcionalidad de administrador de dispositivos. En su lugar, las aplicaciones que requieren un bloqueo de pantalla consultan la complejidad del bloqueo de pantalla del dispositivo (o del perfil de trabajo) mediante la API getPasswordComplexity . Las aplicaciones que requieren un bloqueo de pantalla más seguro dirigen al usuario a la configuración de bloqueo de pantalla del sistema, lo que permite al usuario actualizar la configuración de seguridad para que sea compatible. En ningún momento la aplicación conoce la contraseña del usuario; la aplicación solo conoce el nivel de complejidad de la contraseña. Android admite los cuatro niveles de complejidad de contraseña siguientes:
| Nivel de complejidad de contraseña | Requisitos de contraseña |
|---|---|
| Ninguno | No se configuran los requisitos de contraseña |
| Bajo | La contraseña puede ser un patrón o un PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468) |
| Mediano | Contraseñas que cumplen uno de los siguientes criterios:
|
| Alto | Contraseñas que cumplen uno de los siguientes criterios:
|
Los niveles de complejidad de contraseña de Android se asignan a la siguiente configuración de directiva de buzón de dispositivo móvil de Exchange:
| Configuración de directiva de buzón de dispositivo móvil | Nivel de complejidad de contraseña de Android |
|---|---|
| Contraseña habilitada = false | Ninguno |
| Permitir contraseña simple = true Longitud mínima de < la contraseña 4 |
Bajo |
| Contraseña alfanumérica requerida = false Longitud mínima de >la contraseña = 4 Longitud mínima de < la contraseña 8 |
Mediano |
| Contraseña alfanumérica requerida = true Longitud mínima de < la contraseña 6 |
Mediano |
| Contraseña alfanumérica requerida = false Longitud mínima de >la contraseña = 8 |
Alto |
| Contraseña alfanumérica requerida = true Longitud mínima de >la contraseña = 6 |
Alto |
Configuración de directivas de buzón de dispositivo móvil
La siguiente tabla resume la configuración que puede especificar mediante las directivas de buzones de dispositivos móviles.
Configuración de la directiva de buzón de dispositivo móvil:
| Configuración | Descripción |
|---|---|
| Permitir Bluetooth | Esta configuración especifica si el dispositivo móvil admite conexiones Bluetooth. Las opciones disponibles son Deshabilitado, Solo manos libres y Permitir. El valor predeterminado es Admitir. |
| Permitir explorador | Esta configuración especifica si se permite Pocket Internet Explorer en el dispositivo móvil. Esta configuración no afecta a exploradores de terceros que estén instalados en el dispositivo móvil. El valor predeterminado es $true. |
| Permitir cámara | Esta configuración especifica si se puede usar la cámara del dispositivo móvil. El valor predeterminado es $true. |
| Permitir correo electrónico del consumidor | Esta configuración especifica si el usuario del dispositivo móvil puede configurar una cuenta de correo personal (POP3 o IMAP4) en el dispositivo móvil. El valor predeterminado es $true. Esta configuración no controla el acceso a las cuentas de correo que usan programas de correo de terceros para dispositivos móviles. |
| Permitir Desktop Sync | Esta configuración especifica si el dispositivo móvil se puede sincronizar con un equipo por cable, Bluetooth o conexión IrDA. El valor predeterminado es $true. |
| Permitir la administración de dispositivos externos | Esta configuración permite especificar si un programa de administración de dispositivo externo tiene permiso para administrar el dispositivo. |
| Permitir correo electrónico HTML | Esta configuración especifica si el correo electrónico sincronizado con el dispositivo móvil puede tener formato HTML. Si esta configuración se establece en $false, todo el correo electrónico se convierte en texto sin formato. |
| Permitir el uso compartido de Internet | Esta configuración especifica si el dispositivo móvil se puede usar como módem de un equipo de escritorio o portátil. El valor predeterminado es $true. |
| AllowIrDA | Esta configuración especifica si se permiten las conexiones infrarrojas a y desde el dispositivo móvil. |
| Permitir la actualización de OTA para móviles | Esta configuración especifica si la configuración de la directiva de buzones de dispositivos móviles se puede enviar al dispositivo a través de una conexión de datos celular. El valor predeterminado es true. |
| Permitir dispositivos no aprovisionables | Esta configuración especifica si los dispositivos móviles que pueden no admitir la aplicación de toda la configuración de directiva pueden conectarse a Office 365 mediante Exchange ActiveSync. Permitir dispositivos móviles no aprovisionables puede tener implicaciones de seguridad. Por ejemplo, es posible que algunos de los dispositivos no aprovisionables no puedan implementar los requisitos de contraseña de una organización. |
| Permitir POPIMAPEmail | Esta configuración especifica si el usuario puede configurar una cuenta de correo POP3 o IMAP4 en el dispositivo móvil. El valor predeterminado es $true. Esta configuración no controla el acceso de los programas de correo de terceros. |
| Permitir escritorio remoto | Esta configuración especifica si el dispositivo móvil puede iniciar una conexión de escritorio remoto. El valor predeterminado es $true. |
| Permitir contraseña sencilla | Esta configuración habilita o deshabilita la habilidad de usar una contraseña sencilla como 1111 o 1234. El valor predeterminado es $true. |
| Permitir la negociación del algoritmo de cifrado S/MIME | Esta configuración especifica si la aplicación de mensajería del dispositivo móvil puede negociar el algoritmo de cifrado en caso de que el certificado de un destinatario no admita el algoritmo de cifrado especificado. |
| Permitir certificados de software S/MIME | Esta configuración especifica si se permiten los certificados de software S/MIME en dispositivos móviles. |
| Permitir tarjeta de almacenamiento | Esta configuración especifica si el dispositivo móvil puede tener acceso a la información que está almacenada en una tarjeta de almacenamiento. |
| Permitir mensajería de texto | Esta configuración especifica si la mensajería de texto se permite desde el dispositivo móvil. El valor predeterminado es $true. |
| Permitir aplicaciones sin firmar | Esta configuración especifica si las aplicaciones sin firmar se pueden instalar en el dispositivo móvil. El valor predeterminado es $true. |
| Permitir la instalación de paquetes sin firmar | Esta configuración especifica si los paquetes de instalación sin firmar se pueden ejecutar en el dispositivo móvil. El valor predeterminado es $true. |
| Permitir Wi-Fi | Esta configuración especifica si el acceso inalámbrico a Internet se permite en el dispositivo móvil. El valor predeterminado es $true. |
| Se requiere contraseña alfanumérica | Esta configuración requiere que una contraseña contenga caracteres numéricos y no numéricos. El valor predeterminado es $true. |
| Lista de aplicaciones aprobada | Esta configuración almacena una lista de aplicaciones aprobadas que se pueden ejecutar en el dispositivo móvil. |
| Datos adjuntos habilitados | Esta configuración permite que los datos adjuntos se descarguen al dispositivo móvil. El valor predeterminado es $true. |
| Cifrado de dispositivos habilitado | Esta configuración permite el cifrado en el dispositivo móvil. No todos los dispositivos móviles pueden imponer el cifrado. Para obtener más información, vea la documentación del sistema operativo móvil y del dispositivo. |
| Intervalo de actualización de la directiva de dispositivos | Esta configuración especifica la frecuencia con la que se envía la directiva de buzones de dispositivos móviles del servidor al dispositivo móvil. |
| IRM habilitado | Esta configuración especifica si Information Rights Management (IRMB) está habilitado en el dispositivo móvil. |
| Tamaño máximo del archivo adjunto | Esta configuración controla el tamaño máximo de los datos adjuntos que se puede descargar al dispositivo móvil. El valor predeterminado es Ilimitado. |
| Filtro máximo de antigüedad del calendario | Esta configuración especifica el intervalo máximo de días de calendario que se puede sincronizar a este dispositivo móvil. Se aceptan los siguientes valores: todas TwoWeeks OneMonth ThreeMonths SixMonths |
| Filtro de antigüedad máxima del correo electrónico | Esta configuración especifica el número máximo de días en que los elementos de correo electrónico se sincronizarán con el dispositivo móvil. Se aceptan los siguientes valores: todas OneDay Tres días OneWeek TwoWeeks OneMonth |
| Tamaño máximo de truncamiento del cuerpo del correo electrónico | Esta configuración especifica el tamaño máximo con el que los mensajes de correo electrónico se truncarán cuando se sincronicen con el dispositivo móvil. El valor se especifica en kilobytes (KB). |
| Tamaño máximo de truncamiento del cuerpo en HTML del correo electrónico | Esta configuración especifica el tamaño máximo con el que los mensajes de correo electrónico HTML se truncarán cuando se sincronicen con el dispositivo móvil. El valor se especifica en kilobytes (KB). |
| Tiempo máximo de bloqueo de inactividad | Esta configuración especifica el tiempo que puede estar inactivo el dispositivo móvil antes de que se necesite una contraseña para volver a activarlo. Puede escribir cualquier intervalo entre 30 segundos y 1 hora. El valor predeterminado es de 15 minutos. |
| Número máximo de intentos fallidos de contraseña | Esta configuración especifica el número de intentos que puede realizar un usuario para escribir la contraseña correcta para el dispositivo móvil. Puede escribir cualquier número comprendido entre 4 y 16. El valor predeterminado es 8. |
| Número mínimo de caracteres complejos de contraseña | Esta configuración especifica el número mínimo de caracteres complejos necesarios en la contraseña del dispositivo móvil. Un carácter complejo es un carácter que no sea una letra. |
| Longitud mínima de la contraseña | Esta configuración especifica el número mínimo de caracteres de la contraseña del dispositivo móvil. Puede escribir cualquier número comprendido entre 1 y 16. El valor predeterminado es 4. |
| Contraseña habilitada | Esta configuración habilita la contraseña del dispositivo móvil. |
| Expiración de contraseña | Esta configuración permite que el administrador pueda configurar un intervalo del tiempo tras el que es necesario cambiar la contraseña del dispositivo móvil. |
| Historial de contraseñas | Esta configuración especifica el número de contraseñas antiguas que pueden almacenarse en el buzón del usuario. Un usuario no puede volver a usar una contraseña almacenada. |
| Recuperación de contraseña habilitada | Al habilitar esta configuración, el dispositivo móvil genera una contraseña de recuperación que se envía al servidor. Si el usuario olvida la contraseña del dispositivo móvil, se puede usar la contraseña de recuperación para desbloquearlo y permitir al usuario crear una nueva contraseña para dicho dispositivo. |
| Requerimiento de cifrado del dispositivo | Esta configuración especifica si se requiere un cifrado del dispositivo. Si se establece en $true, el dispositivo móvil debe ser capaz de admitir e implementar el cifrado para sincronizarse con el servidor. |
| Requiere mensajes S/MINE cifrados | Esta configuración especifica si los mensajes S/MIME deben cifrarse. El valor predeterminado es $false. |
| Requerimiento del algoritmo S/MIME de cifrado | Esta configuración especifica qué algoritmo requerido se debe usar al cifrar un mensaje S/MIME. |
| Requiere sincronización manual durante la movilidad | Esta configuración especifica si el dispositivo móvil se debe sincronizar manualmente durante la movilidad. Permitir la sincronización automática al movilizarse llevará a costos de datos más que esperados para el plan de datos del dispositivo móvil. |
| Requerimiento del algoritmo S/MIME firmado | Esta configuración especifica qué algoritmo requerido se debe usar al firmar un mensaje. |
| Requerimiento de mensajes S/MIME firmados | Esta configuración especifica si el dispositivo debe enviar mensajes S/MIME firmados. |
| Requiere cifrado de tarjeta de almacenamiento | Esta configuración especifica si la tarjeta de almacenamiento debe cifrarse. No todos los sistemas operativos de dispositivos móviles admiten el cifrado de la tarjeta de almacenamiento. Para obtener más información, vea la documentación del dispositivo y la del sistema operativo del mismo. |
| Lista de aplicaciones InROM sin aprobar | Esta configuración especifica una lista de aplicaciones que no se pueden ejecutar en ROM. |
Administración de directivas de buzón de dispositivo móvil
Las directivas de buzón de dispositivo móvil se pueden crear, modificar o eliminar en el Centro de administración de Exchange (EAC) o Exchange Online PowerShell. Si crea una directiva en el EAC, solamente puede configurar un subconjunto de configuraciones disponibles. Puede configurar el resto de las opciones mediante Exchange Online PowerShell.
¿Qué necesita saber antes de empezar?
Estimated time to complete: 15 minutes.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la característica "Dispositivos móviles" en el tema Permisos de características en Exchange Online.
Para abrir el Centro de administración de Exchange (EAC), consulte Centro de administración de Exchange en Exchange Online. Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.
Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Online.
Cree una nueva directiva de buzón de correo para dispositivos móviles
Utilice la EAC para crear una nueva directiva de buzón de correo para dispositivos móviles
Nota:
Solamente puede establecer un subconjunto de configuraciones de directivas de buzón de correo para dispositivos móviles en la EAC. Para establecer toda la configuración de directiva de buzón de dispositivo móvil, debe usar el Exchange Online PowerShell.
En el EAC, haga clic enDirectivas de buzón de dispositivomóvil> y, a continuación, haga clic en Agregar
Utilice las diferentes casillas de verificación y las listas desplegables para configurar las configuraciones de la directiva de buzón de correo para dispositivos móviles.
Advertencia
Seleccione Esta es la directiva predeterminada para que la nueva directiva de buzón móvil sea la directiva de buzón móvil predeterminada. Después de establecer una directiva de buzón móvil como la directiva predeterminada, a todos los usuarios nuevos se les asignará automáticamente esta directiva cuando sean creados.
Haga clic en Guardar.
Use el Exchange Online PowerShell para crear una nueva directiva de buzón de dispositivo móvil
Cree una nueva directiva de buzón de dispositivo móvil mediante el cmdlet New-MobileDeviceMailboxPolicy .
En el Exchange Online PowerShell, ejecute el siguiente comando.
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar si creó una directiva de buzón de correo para dispositivos móviles correctamente, utilice una de las siguientes opciones:
En el EAC, haga clic en Directivas> debuzón de dispositivo móvil móvil y compruebe que la nueva directiva se muestra en la vista Lista.
En el Exchange Online PowerShell, ejecute el siguiente comando.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obtener más información sobre este cmdlet, vea Get-MobileDeviceMailboxPolicy.
Utilice la EAC para editar una directiva de buzón de correo para dispositivos móviles
Nota:
Solamente puede editar un subconjunto de configuraciones de directivas de buzón de correo para dispositivos móviles en la EAC. Para editar toda la configuración de directiva de buzón de dispositivo móvil, debe usar el Exchange Online PowerShell.
En el EAC, haga clic en Directivas> debuzón de dispositivos móviles.
Seleccione una directiva en la vista Lista y, a continuación, haga clic en el
Utilice las fichas General y Seguridad para editar las configuraciones de directivas de buzón de correo para dispositivos móviles.
Haga clic en Guardar para actualizar la directiva.
Use el Exchange Online PowerShell para editar la configuración de la directiva de buzón de dispositivo móvil.
Edite una directiva de buzón de dispositivo móvil mediante el cmdlet Set-MobileDeviceMailboxPolicy .
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar si editó una directiva de buzón de correo para dispositivos móviles correctamente, asegúrese de hacer lo siguiente:
En el EAC, haga clic en Directiva> debuzón de dispositivo móvil y, a continuación, elija una directiva específica. En el panel de Detalles, verá mencionado un número de las configuraciones de la directiva.
En el Shell, ejecute el siguiente comando.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obtener más información sobre este cmdlet, vea Get-MobileDeviceMailboxPolicy.