Directivas de configuración de aplicaciones para Microsoft Intune

  • Artículo

Las directivas de configuración de aplicaciones pueden ayudarle a eliminar los problemas de configuración de la aplicación, ya que le permiten asignar valores de configuración a una directiva que se asigna a los usuarios finales antes de que ejecuten la aplicación. A continuación, la configuración se proporciona automáticamente cuando la aplicación está configurada en el dispositivo de los usuarios finales y los usuarios finales no necesitan realizar ninguna acción. Las opciones de configuración son únicas para cada aplicación.

Puede crear y usar directivas de configuración de aplicaciones para proporcionar opciones de configuración para aplicaciones iOS/iPadOS o Android. Estas opciones de configuración permiten personalizar una aplicación mediante la configuración y administración de la aplicación. Las opciones de la directiva de configuración se usan cuando la aplicación comprueba estas opciones, normalmente la primera vez que se ejecuta la aplicación.

Una configuración de la aplicación, por ejemplo, puede requerir que especifique cualquiera de los detalles siguientes:

  • Un número de puerto personalizado
  • Configuración de idioma
  • Configuración de seguridad
  • Configuración de personalización de marca, como un logotipo de empresa

Si los usuarios finales entraran en esta configuración en su lugar, podrían hacerlo incorrectamente. Las directivas de configuración de aplicaciones pueden ayudar a proporcionar coherencia en una empresa y reducir las llamadas del departamento de soporte técnico de los usuarios finales que intentan configurar la configuración por su cuenta. Mediante el uso de directivas de configuración de aplicaciones, la adopción de nuevas aplicaciones puede ser más fácil y rápida.

Los desarrolladores de la aplicación deciden los parámetros de configuración disponibles y la implementación de los parámetros de configuración. Se debe revisar la documentación del proveedor de aplicaciones para ver qué configuraciones están disponibles y cómo influyen las configuraciones en el comportamiento de la aplicación. En algunas aplicaciones, Intune rellenará los valores de configuración disponibles.

Nota:

En Google Play Store administrado, las aplicaciones que admiten la configuración se marcarán como tales:

Captura de pantalla de una aplicación configurada

Solo verá aplicaciones de Google Play Store administrado, no de Google Play Store, cuando use Dispositivos administrados como tipo de inscripción para dispositivos Android.

Puede asignar una directiva de configuración de aplicaciones a un grupo de usuarios finales y dispositivos mediante una combinación de asignaciones de inclusión y exclusión. Como parte del proceso para agregar o actualizar una directiva de configuración de aplicaciones, puede establecer las asignaciones de la directiva de configuración de aplicaciones. Al establecer las asignaciones de la directiva, puede elegir incluir y excluir los grupos de usuarios finales a los que se aplica la directiva. Al elegir incluir uno o varios grupos, puede elegir seleccionar grupos específicos para incluir o seleccionar grupos integrados. Los grupos integrados incluyen Todos los usuarios, Todos los dispositivos y Todos los usuarios + Todos los dispositivos.

También puede usar filtros para refinar el ámbito de asignación al implementar directivas de configuración de aplicaciones para dispositivos iOS y Android administrados. Primero debe crear un filtro con cualquiera de las propiedades disponibles para iOS y Android. A continuación, en Microsoft Intune centro de administración, puede asignar la directiva de configuración de aplicaciones administradas seleccionando Aplicaciones>Directivas de configuración> de aplicacionesAgregar>dispositivos administrados y vaya a la página de asignación. Después de seleccionar un grupo, puede refinar la aplicabilidad de la directiva si elige un filtro y decide usarlo en el modo Incluir o Excluir .

La carga de trabajo de directivas de configuración de aplicaciones proporciona una lista de directivas de configuración de aplicaciones que se han creado para el inquilino. En esta lista se proporcionan detalles, como Nombre, Plataforma, Actualizado, Tipo de inscripción y Etiquetas de ámbito. Para obtener más información sobre una directiva de configuración de aplicaciones específica, seleccione la directiva. En el panel Información general de la directiva, puede ver detalles específicos, como el estado de la directiva en función del dispositivo y en función del usuario, así como si se ha asignado la directiva.

Aplicaciones que admiten la configuración de aplicaciones

La configuración de la aplicación se puede entregar a través del canal del sistema operativo de administración de dispositivos móviles (MDM) en dispositivos inscritos (canal de App Configuration administrado para iOS o Android en el canal Enterprise para Android) o a través del canal administración de aplicaciones móviles (MAM).

Intune representa estos diferentes canales de directiva de configuración de aplicaciones como:

  • Dispositivos administrados : Intune administra el dispositivo como proveedor unificado de administración de puntos de conexión. La aplicación debe estar anclada al perfil de administración en iOS/iPadOS o implementarse a través de Google Play administrado en dispositivos Android. Además, la aplicación admite la configuración de la aplicación deseada.
  • Aplicaciones administradas : una aplicación que ha integrado el SDK de aplicaciones de Intune o que se ha encapsulado mediante la herramienta de ajuste de Intune y admite directivas de protección de aplicaciones (APP). En esta configuración, no importa el estado de inscripción del dispositivo ni cómo se entrega la aplicación al dispositivo. La aplicación admite la configuración de la aplicación deseada.

Tipo de inscripción de dispositivo

Las aplicaciones pueden controlar las opciones de la directiva de configuración de aplicaciones de forma diferente con respecto a las preferencias del usuario. Por ejemplo, con Outlook para iOS y Android, la configuración de la aplicación Bandeja de entrada centrada respetará la configuración del usuario, lo que permite al usuario invalidar la intención del administrador. Otras opciones de configuración pueden permitirle controlar si un usuario puede o no cambiar la configuración en función de la intención del administrador.

Nota:

Intune requiere Android 8.x o una versión posterior para los escenarios de inscripción de dispositivos y la configuración de aplicaciones entregada a través de las directivas de configuración de aplicaciones de los dispositivos administrados. Este requisito no se aplica a dispositivos Android de Microsoft Teams, ya que estos dispositivos seguirán siendo compatibles.

Para las directivas de protección de la aplicación Intune y la configuración de aplicaciones entregadas a través de directivas de configuración de aplicaciones administradas, Intune requiere Android 9.0 o una versión superior.

Dispositivos administrados

Al seleccionar Dispositivos administrados como tipo de inscripción de dispositivos, se hace referencia específicamente a las aplicaciones implementadas por Intune en el dispositivo inscrito y, por tanto, Intune las administra como proveedor de inscripción.

Para admitir la configuración de aplicaciones implementadas a través de Intune en dispositivos inscritos, las aplicaciones deben escribirse para admitir el uso de configuraciones de aplicaciones según lo definido por el sistema operativo. Consulte al proveedor de la aplicación para obtener más información sobre las claves de configuración de la aplicación que admiten para su entrega a través del canal del sistema operativo MDM. Por lo general, hay cuatro escenarios para la entrega de la configuración de aplicaciones en el uso del canal del sistema operativo de MDM:

  • Permitir solo cuentas profesionales o educativas
  • Opciones de configuración de la cuenta
  • Opciones de configuración general de la aplicación
  • Opciones de configuración de S/MIME

Aplicaciones administradas

Al seleccionar Aplicaciones administradas como Tipo de inscripción de dispositivos, se hace referencia específicamente a las aplicaciones configuradas con una directiva de protección de aplicaciones de Intune en los dispositivos, independientemente del estado de inscripción.

Para admitir la configuración de las aplicaciones a través del canal de MAM, la aplicación debe integrarse con el SDK de aplicaciones de Intune. Las aplicaciones de línea de negocio pueden integrar el SDK de aplicaciones de Intune o usar la herramienta de ajuste de Intune. Para obtener una comparación entre el SDK de aplicaciones de Intune y la herramienta de ajuste de Intune, consulte Preparar aplicaciones de línea de negocio para directivas de protección de aplicaciones.

La entrega de la configuración de la aplicación a través del canal MAM no requiere que el dispositivo se inscriba o que la aplicación se administre o entregue a través de la solución unificada de administración de puntos de conexión. Hay tres escenarios para la entrega de la configuración de aplicaciones mediante el canal de MAM:

  • Opciones de configuración general de la aplicación
  • Opciones de configuración de S/MIME
  • Configuración avanzada de protección de datos de aplicaciones que amplía las funcionalidades que ofrecen las directivas de Protección de aplicaciones

Nota:

Las aplicaciones administradas de Intune se protegerán con un intervalo de 30 minutos para el estado de la directiva de App Configuration de Intune, cuando se implementen junto con una directiva de Protección de aplicaciones de Intune. Si no se asigna una política de protección de aplicaciones de Intune al usuario, el intervalo de verificación de la política de configuración de aplicaciones de Intune se establece en 720 minutos.

Para obtener información sobre qué aplicaciones admiten la configuración de aplicaciones a través del canal de MAM, consulte Aplicaciones protegidas de Microsoft Intune.

Directivas de configuración de aplicaciones de Android Enterprise

Para las directivas de configuración de aplicaciones de Android Enterprise, puede seleccionar el tipo de inscripción de dispositivos antes de crear un perfil de configuración de la aplicación. Puede tener en cuenta los perfiles de certificados que se basan en el tipo de inscripción.

El tipo de inscripción puede ser uno de los siguientes:

  • Todos los tipos de perfil: si se crea un perfil nuevo y se selecciona Todos los tipos de perfil para el tipo de inscripción de dispositivos, no podrá asociar un perfil de certificado a la directiva de configuración de la aplicación. Esta opción admite la autenticación de nombre de usuario y contraseña. Si usa la autenticación basada en certificados, no use esta opción.
  • Solo perfiles de trabajo totalmente administrados, dedicados y Corporate-Owned: si se crea un perfil nuevo y se selecciona Solo perfil de trabajo totalmente administrado, dedicado y Corporate-Owned, se pueden usar directivas de certificado de perfil de trabajo totalmente administradas, dedicadas y Corporate-Owned creadas enConfiguración dedispositivos>. Esta opción admite la autenticación basada en certificados y la autenticación de nombre de usuario y contraseña. Totalmente administrado se relaciona con dispositivos Android Enterprise totalmente administrados (COBO). Dedicado se relaciona con dispositivos dedicados de Android Enterprise (COSU). El perfil de trabajo de propiedad corporativa está relacionado con el perfil de trabajo corporativo (COPE) de Android Enterprise.
  • Solo perfil de trabajo de propiedad personal: si se crea un perfil nuevo y solo se selecciona Perfil de trabajo de propiedad personal, se pueden usar directivas de certificado de perfil de trabajo creadas enConfiguración dedispositivos>. Esta opción admite la autenticación basada en certificados y la autenticación de nombre de usuario y contraseña.

Nota:

Si implementa un perfil de configuración de Gmail o Nueve en un perfil de trabajo de dispositivo dedicado de Android Enterprise que no implique a un usuario, se producirá un error porque Intune no puede resolver el usuario.

Importante

Las directivas existentes creadas antes del lanzamiento de esta característica (versión de abril de 2020 - 2004) que no tengan ningún perfil de certificado asociado a la directiva tendrán como valor predeterminado Todos los tipos de perfil para el tipo de inscripción de dispositivos. Además, las directivas existentes creadas antes de la publicación de esta característica que tienen perfiles de certificado asociados a ellas tendrán como valor predeterminado solo perfil de trabajo.

Las directivas existentes no corregirán ni emitirán nuevos certificados.

Validar la directiva de configuración de aplicaciones aplicada

Puede validar la directiva de configuración de la aplicación mediante los tres métodos siguientes:

  1. Comprobar la directiva de configuración de aplicaciones visiblemente en el dispositivo. Confirmar que la aplicación de destino muestra el comportamiento aplicado en la directiva de configuración de aplicaciones.

  2. Compruebe a través de registros de diagnóstico (consulte la sección Registros de diagnóstico a continuación).

  3. Compruebe en el centro de administración de Microsoft Intune. En el centro de administración de Microsoft Intune, seleccione Aplicaciones>Todas las aplicaciones>, seleccione la aplicación relacionada*. A continuación, en la sección Supervisión , seleccione Estado de instalación del dispositivo: El informe de estado de instalación del dispositivo supervisa los registros más recientes de todos los dispositivos a los que se ha destinado la directiva de configuración. Primera captura de pantalla del estado de instalación del dispositivo

    Además, en el centro de administración de Microsoft Intune, seleccione Dispositivos>Todos los dispositivos> seleccione unaconfiguración de aplicaciónde dispositivo>. El panel configuración de la aplicación** mostrará todas las directivas asignadas y su estado:

    Captura de pantalla de la configuración de la aplicación

Registros de diagnóstico

Configuración de iOS/iPadOS en dispositivos no administrados

Puede validar la configuración de iOS/iPadOS con el registro de diagnóstico de Intune para la configuración implementada a través de las directivas de configuración de aplicaciones administradas. Además de los pasos siguientes, puede acceder a los registros de aplicaciones administradas mediante Microsoft Edge. Para obtener más información, consulte Uso de Microsoft Edge para iOS y Android para acceder a los registros de aplicaciones administradas.

  1. Si aún no está instalado en el dispositivo, descargue e instale Microsoft Edge desde el App Store. Para obtener más información, consulte Microsoft Intune aplicaciones protegidas.

  2. Inicie Microsoft Edge y escriba about:intunehelp en el cuadro de dirección.

  3. Haga clic en Introducción.

  4. Haga clic en Compartir registros.

  5. Usa la aplicación de correo que prefieras para enviarte el registro para que puedan verse en tu PC.

  6. Revise IntuneMAMDiagnostics.txt en el visor de archivos de texto.

  7. Busque ApplicationConfiguration. Los resultados tendrán un aspecto similar al siguiente:

        {
        (
            {
                Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                Value = "https://www.aol.com";
            },
            {
                Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
            }
        );
    },
    {
        ApplicationConfiguration =             
        (
            {
            Name = IntuneMAMUPN;
            Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
            },
            {
            Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
            Value = true;
            }
        );
    }

Los detalles de configuración de la aplicación deben coincidir con las directivas de configuración de la aplicación configuradas para el inquilino.

Configuración de la aplicación de destino

Configuración de iOS/iPadOS en dispositivos administrados

Puede validar la configuración de iOS/iPadOS con el registro de diagnóstico de Intune en dispositivos administrados para la configuración de la aplicación administrada.

  1. Si aún no está instalado en el dispositivo, descargue e instale Microsoft Edge desde el App Store. Para obtener más información, consulte Microsoft Intune aplicaciones protegidas.
  2. Inicie Microsoft Edge y escriba about:intunehelp en el cuadro de dirección.
  3. Haga clic en Introducción.
  4. Haga clic en Compartir registros.
  5. Usa la aplicación de correo que prefieras para enviarte el registro para que puedan verse en tu PC.
  6. Revise IntuneMAMDiagnostics.txt en el visor de archivos de texto.
  7. Busque AppConfig. Los resultados deben coincidir con las directivas de configuración de la aplicación configuradas para el inquilino.

Configuración de Android en dispositivos administrados

Puede validar la configuración de Android con el inicio de sesión de diagnóstico de Intune en dispositivos administrados para la configuración de la aplicación administrada.

Para recopilar registros de un dispositivo Android, usted o el usuario final deben descargar los registros del dispositivo a través de una conexión USB (o el Explorador de archivos equivalente en el dispositivo). Estos son los pasos:

  1. Conecte el dispositivo Android al equipo con el cable USB.

  2. En el equipo, busque un directorio que tenga el nombre del dispositivo. En ese directorio, busque Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

  3. En la com.microsoft.windowsintune.companyportal carpeta , abra la carpeta Archivos y abra OMADMLog_0.

  4. Busque para AppConfigHelper buscar mensajes relacionados con la configuración de la aplicación. Los resultados tendrán un aspecto similar al siguiente bloque de datos:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph API compatibilidad con la configuración de aplicaciones

Puede usar Graph API para realizar tareas de configuración de aplicaciones. Para obtener más información, consulte Graph API Referencia de configuración de destino de MAM. Para obtener más información sobre Intune y Graph, consulte Trabajar con Intune en Microsoft Graph.

Solución de problemas

Uso de registros para mostrar un parámetro de configuración

Cuando los registros muestran un parámetro de configuración que se confirma que se aplica pero que no parece funcionar, puede haber un problema con la implementación de configuración por parte del desarrollador de la aplicación. Ponerse en contacto primero con ese desarrollador de aplicaciones o comprobar sus knowledge base puede guardar una llamada de soporte técnico con Microsoft. Si se trata de un problema con cómo se controla la configuración dentro de una aplicación, tendría que abordarse en una versión actualizada futura de esa aplicación.

Pasos siguientes

Dispositivos administrados

Aplicaciones administradas