Preguntas más frecuentes sobre MAM y la protección de aplicaciones

En este artículo se proporcionan respuestas a algunas preguntas más frecuentes sobre Intune administración de aplicaciones móviles (MAM) y Intune protección de aplicaciones.

Conceptos básicos de MAM

¿Qué es MAM?

Introducción a MAM

Directivas de protección de aplicaciones

¿Qué son las directivas de protección de aplicaciones?

Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Una directiva es una regla que Intune aplica cuando el usuario intenta acceder a datos "corporativos" o moverlos. También puede definir acciones que Intune bloques o monitores mientras el usuario está en la aplicación.

¿Qué son ejemplos de directivas de protección de aplicaciones?

Para obtener más información sobre cada configuración de directiva de protección de aplicaciones, consulte Configuración de directivas de protección de aplicaciones android y configuración de directivas de protección de aplicaciones de iOS/iPadOS.

¿Es posible que las directivas MDM y MAM se apliquen al mismo usuario al mismo tiempo para distintos dispositivos?

Si aplica una directiva MAM al usuario sin establecer el estado de administración de dispositivos, el usuario obtiene la directiva MAM en el dispositivo personal, también conocido como bring-your-own-device (BYOD) y el dispositivo administrado Intune. También puede aplicar una directiva mam basada en el estado de administración de dispositivos. Por lo tanto, al crear una directiva de protección de aplicaciones, junto a Destino a aplicaciones en todos los tipos de dispositivos, seleccionaría No. A continuación, elija una de las siguientes opciones:

• Aplique una directiva de MAM menos estricta a los dispositivos administrados por Intune y aplique una más estricta a los dispositivos no inscritos en MDM.
• Aplique una directiva MAM igualmente estricta a los dispositivos administrados por Intune y a los dispositivos no administrados por Microsoft.
• Aplique una directiva MAM sólo a los dispositivos no inscritos.

Para obtener más información, consulte Supervisión de directivas de protección de aplicaciones.

Aplicaciones que puede administrar con directivas de protección de aplicaciones

¿Qué aplicaciones se pueden administrar mediante directivas de protección de aplicaciones?

Cualquier aplicación integrada con el SDK de Intune App o encapsulada por el Intune App Wrapping Tool se puede administrar mediante Intune directivas de protección de aplicaciones. Vea la lista oficial de las aplicaciones administradas por Intune disponibles para uso público.

¿Cuáles son los requisitos de línea base para usar directivas de protección de aplicaciones en una aplicación administrada Intune?

• El usuario final debe tener una cuenta de Microsoft Entra. Para obtener más información sobre cómo crear usuarios Intune en Microsoft Entra ID, vea Agregar usuarios y conceder permiso administrativo a Intune.

• El usuario final debe tener una licencia para Microsoft Intune asignada a su cuenta de Microsoft Entra. Para obtener más información sobre cómo asignar licencias de Intune a los usuarios finales, consulte Administración de licencias de Intune.

• El usuario final debe pertenecer a un grupo de seguridad dirigido por una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe aplicarse a la aplicación específica que se usa. Protección de aplicaciones directivas se pueden crear e implementar en el centro de administración de Microsoft Intune. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.

• El usuario final debe iniciar sesión en la aplicación con su cuenta de Microsoft Entra.

¿Qué ocurre si quiero habilitar una aplicación con Intune App Protection, pero no usa una plataforma de desarrollo de aplicaciones compatible?

El equipo de desarrollo del SDK de Intune comprueba y mantiene de forma activa la compatibilidad con las aplicaciones creadas con las plataformas nativas de Android, iOS/iPadOS (Obj-C, Swift), Xamarin y Xamarin.Forms. Algunos clientes integran correctamente el SDK de Intune con otras plataformas, como React Native y NativeScript. Sin embargo, Microsoft no proporciona instrucciones ni complementos para plataformas distintas de las admitidas.

¿El SDK de Intune APP admite la biblioteca de autenticación de Microsoft (MSAL)?

El SDK de Intune App puede usar la biblioteca de autenticación de Microsoft para sus escenarios de autenticación e inicio condicional. También se basa en MSAL para registrar la identidad de usuario con el servicio MAM para la administración sin escenarios de inscripción de dispositivos.

¿Cuáles son los otros requisitos para usar la aplicación móvil de Outlook?

• El usuario final debe tener instalada la aplicación móvil de Outlook en su dispositivo.

• El usuario final debe tener un buzón y una licencia de Microsoft 365 Exchange Online vinculado a su cuenta de Microsoft Entra.

  Nota:

  Actualmente, la aplicación móvil de Outlook solo admite Intune App Protection para Microsoft Exchange Online y Exchange Server con autenticación moderna híbrida y no admite Exchange en Office 365 Dedicado.

¿Cuáles son los demás requisitos para usar las aplicaciones de Word, Excel y PowerPoint?

• El usuario final debe tener una licencia para Aplicaciones Microsoft 365 para negocios o empresa vinculada a su cuenta de Microsoft Entra. La suscripción debe incluir las aplicaciones de Office en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con el almacenamiento en la nube de OneDrive y el uso compartido de archivos para empresas. Las licencias de Microsoft 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.

• El usuario final debe tener una ubicación administrada configurada con la funcionalidad pormenorizada Guardar como en la configuración de directiva de protección de aplicaciones "Guardar copias de los datos de la organización". Por ejemplo, si la ubicación administrada es OneDrive, la aplicación de OneDrive debe configurarse en la aplicación de Word, Excel o PowerPoint del usuario final.

• Si la ubicación administrada es OneDrive, la aplicación debe ser objeto de la directiva de protección de aplicaciones implementada para el usuario final.

  Nota:

  Las aplicaciones móviles de Office actualmente sólo son compatibles con SharePoint Online y no con SharePoint local.

¿Por qué se necesita una ubicación administrada (es decir, OneDrive) para Office?

Intune marca todos los datos de la aplicación como "corporativos" o "personales". Los datos se consideran "corporativos" cuando se originan desde una ubicación empresarial. En el caso de las aplicaciones de Office, Intune trata el correo electrónico (Exchange) y el almacenamiento en la nube (OneDrive) como ubicaciones empresariales.

¿Cuáles son los demás requisitos para usar Skype Empresarial?

Consulte los requisitos de licencias de Skype Empresarial. Para ver las configuraciones híbridas y locales de Skype Empresarial (SfB), consulte Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID ,respectivamente.

Características de protección de aplicaciones

¿Qué es la compatibilidad con varias identidades?

La compatibilidad con varias identidades es la posibilidad de que el SDK de aplicaciones de Intune solo aplique directivas de protección de aplicaciones a la cuenta profesional o educativa que haya iniciado sesión en la aplicación. Si se ha iniciado sesión en la aplicación con una cuenta personal, los datos no se modifican.

¿Cuál es el propósito de la compatibilidad con varias identidades?

La compatibilidad con varias identidades permite que las aplicaciones con audiencias "corporativas" y de consumidor (es decir, las aplicaciones de Office) se publiquen públicamente con Intune funcionalidades de protección de aplicaciones para las cuentas "corporativas".

¿Qué ocurre con Outlook y varias identidades?

Dado que Outlook tiene una vista de correo electrónico combinada de correos electrónicos personales y "corporativos", la aplicación de Outlook solicita el PIN de Intune al iniciarse.

¿Cuál es el PIN de la aplicación Intune?

El número de identificación personal (PIN) es un código de acceso utilizado para verificar que el usuario correcto está accediendo a los datos de la organización en una aplicación.

¿Cuándo se solicita al usuario que escriba su PIN?

Intune solicita el PIN de la aplicación del usuario cuando este esté a punto de acceder a los datos "corporativos". En aplicaciones de varias identidades, como Word/Excel/PowerPoint, se solicita al usuario su PIN cuando intenta abrir un documento o archivo "corporativo". En las aplicaciones de identidad única, como las aplicaciones de línea de negocio administradas mediante el Intune App Wrapping Tool, se solicita el PIN al iniciarse, ya que el SDK de la aplicación de Intune sabe que la experiencia del usuario en la aplicación siempre es "corporativa".

¿Con qué frecuencia se solicita a los usuarios el PIN de Intune?

El administrador de TI puede definir la configuración de directiva de protección de aplicaciones Intune "Volver a comprobar los requisitos de acceso después de (minutos)" en el centro de administración de Microsoft Intune. Esta configuración especifica la cantidad de tiempo antes de que se comprueben los requisitos de acceso en el dispositivo y se vuelve a mostrar la pantalla del PIN de la aplicación. Sin embargo, los detalles importantes sobre el PIN que afectan a la frecuencia con la que se solicita a los usuarios son:

• El PIN se comparte entre las aplicaciones del mismo publicador para mejorar la facilidad de uso: En iOS/iPadOS, un PIN de aplicación se comparte entre todas las aplicaciones del mismo publicador de aplicaciones. En Android, un PIN de aplicación se comparte entre todas las aplicaciones.
• El comportamiento "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar un dispositivo: Un "temporizador de PIN" realiza un seguimiento del número de minutos de inactividad que determinan cuándo mostrar el PIN de la aplicación Intune a continuación. En iOS/iPadOS, el temporizador de PIN no se ve afectado por el reinicio del dispositivo. Por lo tanto, el reinicio del dispositivo no tiene ningún efecto en el número de minutos que el usuario está inactivo desde una aplicación de iOS/iPadOS con Intune directiva de PIN. En Android, el temporizador del PIN se restablece al reiniciar el dispositivo. Por lo tanto, es probable que las aplicaciones Android con Intune directiva de PIN soliciten un PIN de aplicación independientemente del valor de configuración "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar el dispositivo.
• La naturaleza gradual del temporizador asociado al PIN: Una vez que se escribe un PIN para acceder a una aplicación (aplicación A) y la aplicación deja el primer plano (foco de entrada principal) en el dispositivo, el temporizador del PIN se restablece para ese PIN. Cualquier aplicación (aplicación B) que comparta este PIN no solicita al usuario la entrada de PIN porque el temporizador se ha restablecido. La solicitud se volverá a mostrar una vez que se haya alcanzado el valor establecido en "Volver a comprobar los requisitos de acceso tras (minutos)".

En dispositivos iOS/iPadOS, las aplicaciones de distintos publicadores pueden compartir el mismo PIN. Sin embargo, cuando se alcanza el valor Volver a comprobar los requisitos de acceso después de (minutos), Intune solicita al usuario un PIN si la aplicación no era el foco de entrada principal. Así, por ejemplo, un usuario tiene la aplicación A del editor X y la aplicación B del editor Y, y esas dos aplicaciones comparten el mismo PIN. El usuario se centra en la aplicación A (en primer plano) y la aplicación B está minimizada. Después de que se consiga el valor Volver a comprobar los requisitos de acceso después de (minutos) y el usuario cambie a la aplicación B, el PIN será requerido.

Nota:

Para comprobar los requisitos de acceso del usuario con más frecuencia (es decir, la solicitud de PIN), especialmente para una aplicación usada con frecuencia, reduzca el valor de la configuración "Volver a comprobar los requisitos de acceso después de (minutos)".

¿Cómo funciona el PIN de Intune con los PIN de aplicación integrados para Outlook y OneDrive?

El PIN de Intune funciona en función de un temporizador basado en inactividad (el valor de "Volver a comprobar los requisitos de acceso después de (minutos)"). De este modo, las solicitudes de PIN de Intune aparecen independientemente de las solicitudes de PIN de las aplicaciones integradas de Outlook y OneDrive, que suelen estar vinculados al inicio de la aplicación de forma predeterminada. Si el usuario recibe ambas solicitudes de PIN al mismo tiempo, el comportamiento esperado debería ser que el PIN de Intune tenga prioridad.

¿El PIN es seguro?

El PIN sirve para que sólo el usuario correcto pueda acceder a los datos de su organización en la aplicación. Por lo tanto, el usuario debe iniciar sesión con su cuenta profesional o educativa para poder establecer o restablecer el PIN de la aplicación de Intune. Microsoft Entra ID controla esta autenticación a través del intercambio seguro de tokens y no es transparente para el SDK de Intune App. Desde una perspectiva de seguridad, la mejor manera de proteger los datos profesionales o educativos es cifrarlos. El cifrado no está relacionado con el PIN de la aplicación, pero es su propia directiva de protección de aplicaciones.

¿Cómo protege Intune el PIN frente a ataques por fuerza bruta?

Como parte de la directiva de PIN de la aplicación, el administrador de TI puede establecer el número máximo de veces que un usuario puede intentar autenticar su PIN antes de bloquear la aplicación. Una vez que se cumple el número de intentos, el SDK de la aplicación de Intune puede borrar los datos "corporativos" de la aplicación.

¿Por qué tengo que establecer un PIN dos veces en las aplicaciones del mismo publicador?

MAM en iOS/iPadOS admite PIN de nivel de aplicación con caracteres alfanuméricos y especiales (denominados código de acceso). Para aplicar la configuración del código de acceso, las aplicaciones como Word, Excel, PowerPoint, Outlook, Managed Browser y Yammer deben integrar el SDK de Intune App para iOS/iPadOS. Sin esta integración, Intune no puede aplicar la configuración de código de acceso para esas aplicaciones. Intune introdujo esta característica en la versión 7.1.12 del SDK para iOS/iPadOS.

Para admitir esta característica y mantener la compatibilidad con versiones anteriores del SDK de Intune para iOS/iPadOS, la versión 7.1.12 y posteriores controlan todos los PIN (numéricos o código de acceso) por separado del PIN numérico usado en versiones anteriores. Por lo tanto, si un dispositivo tiene aplicaciones con Intune SDK para versiones de iOS/iPadOS anteriores a la 7.1.12 Y posteriores a la 7.1.12 del mismo publicador, tendrán que configurar dos PIN.

Dicho esto, los dos PIN (para cada aplicación) no están relacionados de ninguna manera. Deben cumplir la directiva de protección de aplicaciones aplicada a la aplicación. Por lo tanto, solo si las aplicaciones A y B tienen las mismas directivas aplicadas (con respecto al PIN), el usuario podría configurar el mismo PIN dos veces.

Este comportamiento es específico para el PIN en aplicaciones iOS/iPadOS que ya están habilitadas con la Administración de aplicaciones móviles de Intune. Con el tiempo, a medidas que las aplicaciones adoptan las versiones posteriores del SDK de Intune para iOS/iPadOS, el hecho de tener que establecer un PIN dos veces en las aplicaciones del mismo editor dejará de ser un problema importante.

Nota:

Las versiones de la aplicación determinan si es posible un PIN compartido. Por ejemplo, si la aplicación A usa una versión del SDK anterior a la 7.1.12 y la aplicación B usa la versión 7.1.12 o posterior, el usuario debe configurar un PIN independiente para cada aplicación, incluso si procede del mismo publicador. Sin embargo, si las aplicaciones A y C usan versiones anteriores a la 7.1.12, comparten un PIN. Del mismo modo, las aplicaciones B y D comparten un PIN si ambas usan SDK 7.1.12 o posterior.

¿Y el cifrado?

Los administradores de TI pueden implementar una directiva de protección de aplicaciones que requiere cifrar los datos de aplicaciones. Como parte de la directiva, el administrador de TI también puede especificar cuándo se cifra el contenido.

¿Cómo Intune cifrar los datos?

Intune cifra los datos según la configuración de la directiva de protección de aplicaciones para el cifrado. Para obtener más información, consulte Configuración de directivas de protección de aplicaciones android y configuración de directivas de protección de aplicaciones de iOS/iPadOS.

¿Qué se cifra?

Solo se cifran los datos marcados como "corporativos" según la directiva de protección de la aplicación del administrador de TI. Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa. En el caso de las aplicaciones de Office, Intune trata el correo electrónico (Exchange) y el almacenamiento en la nube (OneDrive) como ubicaciones empresariales. En el caso de las aplicaciones de línea de negocio administradas por el Intune App Wrapping Tool, todos los datos de la aplicación se consideran "corporativos".

¿Cómo Intune borrar datos de forma remota?

Intune puede borrar los datos de la aplicación de tres maneras diferentes: borrado completo del dispositivo, borrado selectivo de MDM y borrado selectivo de MAM. Para obtener más información sobre el borrado remoto de MDM, vea Eliminación de dispositivos mediante Borrar o Retirar. Para obtener más información sobre el borrado selectivo mediante MAM, consulte la acción Retirar y Borrado solo de datos corporativos de aplicaciones administradas por Intune.

¿Qué es el borrado?

Borrar quita todos los datos de usuario y la configuración del dispositivo restaurando el dispositivo a su configuración predeterminada de fábrica. El dispositivo se quita de Intune.

Nota:

El borrado solo se puede lograr en dispositivos inscritos con Intune administración de dispositivos móviles (MDM).

¿Qué es el borrado selectivo de MDM?

El borrado selectivo de MDM solo quita los datos de la empresa del dispositivo sin afectar a los datos personales. Para obtener más información, consulte Eliminación de dispositivos: retirada.

¿Qué es el borrado selectivo para MAM?

El borrado selectivo de MAM simplemente quita los datos de la aplicación de empresa de la aplicación. La solicitud se inicia mediante el centro de administración de Microsoft Intune. Para obtener información sobre cómo iniciar una solicitud de borrado, consulte Borrado solo de datos corporativos de aplicaciones.

¿Con qué rapidez se produce el borrado selectivo para MAM?

Si el usuario usa la aplicación cuando se inicia el borrado selectivo, el SDK de aplicación de Intune comprueba cada 30 minutos si hay una solicitud de borrado selectivo del servicio Intune MAM. También comprueba el borrado selectivo cuando el usuario inicia la aplicación por primera vez e inicia sesión con su cuenta profesional o educativa.

¿Por qué los servicios locales no funcionan con Intune aplicaciones protegidas?

Intune protección de aplicaciones depende de la identidad del usuario para que sea coherente entre la aplicación y el SDK de la aplicación de Intune. La única manera de garantizar esto es a través de la autenticación moderna. Hay escenarios en los que las aplicaciones pueden funcionar con una configuración local, pero no son coherentes ni están garantizadas.

¿Hay alguna manera segura de abrir vínculos web desde aplicaciones administradas?

Sí. El administrador de TI puede implementar y establecer la directiva de protección de aplicaciones para la aplicación Microsoft Edge. El administrador de TI puede requerir que todos los vínculos web de las aplicaciones administradas por Intune se abran mediante la aplicación Microsoft Edge.

Experiencia de la aplicación en Android

¿Por qué se necesita la aplicación Portal de empresa para que Intune protección de aplicaciones funcione en dispositivos Android?

Aplicación del Portal de empresa y protección de aplicaciones de Intune

¿Cómo funcionan varias Intune configuración de acceso de protección de aplicaciones configuradas para el mismo conjunto de aplicaciones y usuarios en Android?

Intune directivas de protección de aplicaciones para el acceso se aplican en un orden específico en los dispositivos de usuario final a medida que intentan acceder a una aplicación de destino desde su cuenta corporativa. En general, un bloque tendría prioridad y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable al usuario/aplicación específico, un ajuste de versión mínima de parche de Android que advierta al usuario que debe tomar una actualización de parche se aplicará después del ajuste de versión mínima de parche de Android que bloquea el acceso del usuario. Por tanto, en el caso en que el administrador de TI configure la versión de revisión de Android mínima en 01-03-2018 y la versión de revisión de Android mínima (solo advertencia) en 01-02-2018, mientras el dispositivo que intenta obtener acceso a la aplicación esté en una versión de revisión 01-01-2018, se bloquearía al usuario final en función del valor más restrictivo para la versión de revisión de Android mínima que provoque el bloqueo del acceso.

Cuando se trabaja con diferentes tipos de configuraciones, un requisito de versión de la aplicación tendría prioridad, seguido por el requisito de versión de sistema operativo de Android y el requisito de versión de revisión de Android. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración.

Intune directivas de Protección de aplicaciones proporcionan la funcionalidad para que los administradores requieran que los dispositivos de usuario final pasen la comprobación de integridad de dispositivos Android de Google Play. ¿Con qué frecuencia se envía al servicio un nuevo resultado de comprobación de integridad del dispositivo de Google Play?

El servicio Intune se pone en contacto con Google Play en un intervalo no configurado determinado por la carga del servicio. Cualquier acción configurada por el administrador de TI para la configuración de comprobación de integridad del dispositivo de Google Play se realizará en función del último resultado notificado al servicio Intune en el momento del inicio condicional. Si el resultado de la integridad del dispositivo de Google es compatible, no se realiza ninguna acción. Si el resultado de la integridad del dispositivo de Google no es conforme, la acción configurada por el administrador de TI se realiza inmediatamente. Si se produce un error en la solicitud a la comprobación de integridad del dispositivo de Google Play por cualquier motivo, el resultado almacenado en caché de la solicitud anterior se usará durante un máximo de 24 horas o el siguiente reinicio del dispositivo, que se producirá primero. En ese momento, Intune directivas de Protección de aplicaciones bloquean el acceso hasta que se puede obtener un resultado actual.

Intune directivas de Protección de aplicaciones proporcionan la funcionalidad para que los administradores requieran que los dispositivos de usuario final envíen señales a través de la API Verify Apps de Google para dispositivos Android. ¿Cómo puede un usuario final activar el examen de la aplicación para que no se le bloquee el acceso debido a esto?

Las instrucciones sobre cómo hacerlo varían ligeramente según el dispositivo. Lo habitual es ir a Google Play Store y, luego, hacer clic en Mis aplicaciones y juegos. A continuación, debe hacer clic en el resultado del último examen de la aplicación, lo que le llevará al menú de Play Protect. Asegúrese de que la opción de Escanear el dispositivo en busca de amenazas de seguridad esté activada.

¿Qué comprueba realmente play integrity API de Google en dispositivos Android? ¿Cuál es la diferencia entre los valores configurables de "Comprobar la integridad básica" y "Comprobar la integridad básica & dispositivos certificados"?

Intune aplica las API de integridad de Google Play para agregar a nuestras comprobaciones de detección raíz existentes para los dispositivos no inscritos. Google desarrolló y mantuvo este conjunto de API para que las aplicaciones androide adopten si no quieren que sus aplicaciones se ejecuten en dispositivos rooteados. La aplicación Android Pay incorporó esto, por ejemplo. Aunque Google no comparte públicamente la totalidad de las comprobaciones de detección raíz que se producen, esperamos que estas API detecten usuarios que han rooteado sus dispositivos. A estos usuarios se les puede bloquear el acceso o borrar sus cuentas corporativas de las aplicaciones habilitadas por la directiva. "Comprobar la integridad básica" le indica la integridad general del dispositivo. Los dispositivos arraigados, los emuladores, los dispositivos virtuales y los dispositivos con signos de manipulación fallan en la integridad básica. "Comprobar la integridad básica & dispositivos certificados" le indica la compatibilidad del dispositivo con los servicios de Google. Sólo los dispositivos no modificados que han sido certificados por Google pueden pasar esta comprobación. Entre los dispositivos que producen errores se incluyen:

• Dispositivos que producen error en la integridad básica
• Dispositivos con un cargador de arranque desbloqueado
• Dispositivos con una imagen de sistema personalizada o ROM
• Dispositivos que el fabricante no ha pedido o aprobado la certificación de Google
• Dispositivos con una imagen de sistema creada directamente desde los archivos de origen del Android Open Source Program
• Dispositivos con una imagen de sistema de versión preliminar beta o de desarrollador

Consulte la documentación de Google sobre Play Integrity API para obtener detalles técnicos.

Hay dos comprobaciones similares en la sección Inicio condicional al crear una directiva de protección de aplicaciones de Intune para dispositivos Android. ¿Debería requerir la configuración "Veredicto de integridad de reproducción" o la opción "Dispositivos liberados o rooteados"?

Las comprobaciones de La API de integridad de Google Play requieren que el usuario final esté en línea, al menos durante el tiempo en que se ejecuta el "recorrido de ida y vuelta" para determinar los resultados de la atestación. Si el usuario final está sin conexión, el administrador de TI todavía puede esperar que se aplique un resultado de la configuración "dispositivos liberados o rooteados". Dicho esto, si el usuario final ha estado sin conexión demasiado tiempo, entra en juego el valor "Período de gracia sin conexión" y todo el acceso a los datos profesionales o educativos se bloquea una vez alcanzado ese valor del temporizador, hasta que esté disponible el acceso a la red. Activar ambas opciones permite un enfoque por capas para mantener los dispositivos del usuario final en buen estado, lo que es importante cuando los usuarios finales acceden a datos profesionales o educativos en dispositivos móviles.

La configuración de la directiva de protección de aplicaciones que aplica las API de Protección de Google Play requiere que Google Play Services funcione. ¿Qué ocurre si no se permite Google Play Services en la ubicación donde podría estar el usuario final?

Tanto la configuración "Veredicto de integridad de Reproducción" como "Examen de amenazas en aplicaciones" requieren que la versión determinada de Google de Google Play Services funcione correctamente. Dado que se trata de una configuración que se encuentra en el área de seguridad, el usuario final se bloquea si está destinado a esta configuración y no cumple la versión adecuada de Google Play Services o no tiene acceso a Google Play Services.

Experiencia de la aplicación en iOS

¿Qué ocurre si agregar o quitar una huella digital o una cara a mi dispositivo?

Las directivas de protección de aplicaciones de Intune permiten controlar el acceso a las aplicaciones sólo al usuario con licencia de Intune. Una de las maneras de controlar el acceso a la aplicación es exigir Touch ID o Face ID de Apple en dispositivos admitidos. Intune implementa un comportamiento en el que, si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se cumple el siguiente valor de tiempo de espera de inactividad. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital. Si el usuario Intune no tiene un PIN establecido, se le lleva a configurar un PIN de Intune.

La intención de esto es seguir manteniendo los datos de la organización dentro de la aplicación seguros y protegidos en el nivel de aplicación. Esta característica solo está disponible para iOS/iPadOS y requiere la participación de aplicaciones que integren Intune APP SDK para iOS/iPadOS, versión 9.0.1 o posterior. La integración del SDK es necesaria para poder aplicar el comportamiento en las aplicaciones de destino. Esta integración ocurre de manera gradual y depende de los equipos de la aplicación específica. Algunas de las aplicaciones que participan son WXP, Outlook, Managed Browser y Yammer.

Puedo usar la extensión de recurso compartido de iOS para abrir datos profesionales o educativos en aplicaciones no administradas, incluso con la directiva de transferencia de datos establecida en "solo aplicaciones administradas" o "sin aplicaciones". ¿No se filtran datos?

Intune directiva de protección de aplicaciones no puede controlar la extensión de recurso compartido de iOS sin administrar el dispositivo. Por lo tanto, Intune cifra los datos "corporativos" antes de que se compartan fuera de la aplicación. Para validarlo, intente abrir el archivo "corporativo" fuera de la aplicación administrada. El archivo debe estar cifrado y no debe poder abrirse fuera de la aplicación administrada.

¿Cómo funcionan varias Intune configuración de acceso de protección de aplicaciones configuradas para el mismo conjunto de aplicaciones y usuarios en iOS?

Intune directivas de protección de aplicaciones para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, un borrado tendría prioridad, seguido de un bloque y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable a la aplicación o usuario específico, una configuración de sistema operativo mínima de iOS/iPadOS que advierte al usuario que actualice la versión de iOS/iPadOS se aplicará después de la configuración de sistema operativo mínima de iOS/iPadOS que bloquea el acceso del usuario. Por lo tanto, en el escenario en el que el administrador de TI configura el sistema operativo iOS/iPadOS mínimo en 11.0.0.0 y el sistema operativo iOS/iPadOS mínimo (solo advertencia) en 11.1.0.0, mientras el dispositivo que intentaba acceder a la aplicación estaba en iOS/iPadOS 10, el usuario final se bloquearía en función de la configuración más restrictiva para la versión mínima del sistema operativo iOS/iPadOS que da lugar a un acceso bloqueado.

Al tratar con diferentes tipos de configuración, tendría prioridad un requisito de versión del SDK de aplicación de Intune y, a continuación, un requisito de versión de la aplicación, seguido del requisito de versión del sistema operativo iOS/iPadOS. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración. Se recomienda configurar el requisito de versión del SDK de Intune aplicación solo según las instrucciones del equipo de Intune producto para escenarios de bloqueo esenciales.

Vea también

• Implementar Intune
• Creación de un plan de lanzamiento
• Configuración de la directiva de administración de aplicaciones móviles de Android en Microsoft Intune
• Configuración de directivas de administración de aplicaciones móviles de iOS/iPadOS
• actualización de directivas de directivas de Protección de aplicaciones
• Validación de las directivas de protección de aplicaciones
• Agregar directivas de configuración de aplicaciones para aplicaciones administradas sin inscripción de dispositivo
• Cómo obtener soporte técnico en Microsoft Intune

En este artículo se proporcionan respuestas a algunas preguntas más frecuentes sobre Intune administración de aplicaciones móviles (MAM) y Intune protección de aplicaciones.

Introducción a MAM

Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Una directiva es una regla que Intune aplica cuando el usuario intenta acceder a datos "corporativos" o moverlos. También puede definir acciones que Intune bloques o monitores mientras el usuario está en la aplicación.

Para obtener más información sobre cada configuración de directiva de protección de aplicaciones, consulte Configuración de directivas de protección de aplicaciones android y configuración de directivas de protección de aplicaciones de iOS/iPadOS.

Si aplica una directiva MAM al usuario sin establecer el estado de administración de dispositivos, el usuario obtiene la directiva MAM en el dispositivo personal, también conocido como bring-your-own-device (BYOD) y el dispositivo administrado Intune. También puede aplicar una directiva mam basada en el estado de administración de dispositivos. Por lo tanto, al crear una directiva de protección de aplicaciones, junto a Destino a aplicaciones en todos los tipos de dispositivos, seleccionaría No. A continuación, elija una de las siguientes opciones:

• Aplique una directiva de MAM menos estricta a los dispositivos administrados por Intune y aplique una más estricta a los dispositivos no inscritos en MDM.
• Aplique una directiva MAM igualmente estricta a los dispositivos administrados por Intune y a los dispositivos no administrados por Microsoft.
• Aplique una directiva MAM sólo a los dispositivos no inscritos.

Para obtener más información, consulte Supervisión de directivas de protección de aplicaciones.

Cualquier aplicación integrada con el SDK de Intune App o encapsulada por el Intune App Wrapping Tool se puede administrar mediante Intune directivas de protección de aplicaciones. Vea la lista oficial de las aplicaciones administradas por Intune disponibles para uso público.

• El usuario final debe tener una cuenta de Microsoft Entra. Para obtener más información sobre cómo crear usuarios Intune en Microsoft Entra ID, vea Agregar usuarios y conceder permiso administrativo a Intune.

• El usuario final debe tener una licencia para Microsoft Intune asignada a su cuenta de Microsoft Entra. Para obtener más información sobre cómo asignar licencias de Intune a los usuarios finales, consulte Administración de licencias de Intune.

• El usuario final debe pertenecer a un grupo de seguridad dirigido por una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe aplicarse a la aplicación específica que se usa. Protección de aplicaciones directivas se pueden crear e implementar en el centro de administración de Microsoft Intune. Actualmente se pueden crear grupos de seguridad en el Centro de administración de Microsoft 365.

• El usuario final debe iniciar sesión en la aplicación con su cuenta de Microsoft Entra.

El equipo de desarrollo del SDK de Intune comprueba y mantiene de forma activa la compatibilidad con las aplicaciones creadas con las plataformas nativas de Android, iOS/iPadOS (Obj-C, Swift), Xamarin y Xamarin.Forms. Algunos clientes integran correctamente el SDK de Intune con otras plataformas, como React Native y NativeScript. Sin embargo, Microsoft no proporciona instrucciones ni complementos para plataformas distintas de las admitidas.

El SDK de Intune App puede usar la biblioteca de autenticación de Microsoft para sus escenarios de autenticación e inicio condicional. También se basa en MSAL para registrar la identidad de usuario con el servicio MAM para la administración sin escenarios de inscripción de dispositivos.

• El usuario final debe tener instalada la aplicación móvil de Outlook en su dispositivo.

• El usuario final debe tener un buzón y una licencia de Microsoft 365 Exchange Online vinculado a su cuenta de Microsoft Entra.

  Nota:

  Actualmente, la aplicación móvil de Outlook solo admite Intune App Protection para Microsoft Exchange Online y Exchange Server con autenticación moderna híbrida y no admite Exchange en Office 365 Dedicado.

• El usuario final debe tener una licencia para Aplicaciones Microsoft 365 para negocios o empresa vinculada a su cuenta de Microsoft Entra. La suscripción debe incluir las aplicaciones de Office en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con el almacenamiento en la nube de OneDrive y el uso compartido de archivos para empresas. Las licencias de Microsoft 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.

• El usuario final debe tener una ubicación administrada configurada con la funcionalidad pormenorizada Guardar como en la configuración de directiva de protección de aplicaciones "Guardar copias de los datos de la organización". Por ejemplo, si la ubicación administrada es OneDrive, la aplicación de OneDrive debe configurarse en la aplicación de Word, Excel o PowerPoint del usuario final.

• Si la ubicación administrada es OneDrive, la aplicación debe ser objeto de la directiva de protección de aplicaciones implementada para el usuario final.

  Nota:

  Las aplicaciones móviles de Office actualmente sólo son compatibles con SharePoint Online y no con SharePoint local.

Intune marca todos los datos de la aplicación como "corporativos" o "personales". Los datos se consideran "corporativos" cuando se originan desde una ubicación empresarial. En el caso de las aplicaciones de Office, Intune trata el correo electrónico (Exchange) y el almacenamiento en la nube (OneDrive) como ubicaciones empresariales.

Consulte los requisitos de licencias de Skype Empresarial. Para ver las configuraciones híbridas y locales de Skype Empresarial (SfB), consulte Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID ,respectivamente.

La compatibilidad con varias identidades es la posibilidad de que el SDK de aplicaciones de Intune solo aplique directivas de protección de aplicaciones a la cuenta profesional o educativa que haya iniciado sesión en la aplicación. Si se ha iniciado sesión en la aplicación con una cuenta personal, los datos no se modifican.

La compatibilidad con varias identidades permite que las aplicaciones con audiencias "corporativas" y de consumidor (es decir, las aplicaciones de Office) se publiquen públicamente con Intune funcionalidades de protección de aplicaciones para las cuentas "corporativas".

Dado que Outlook tiene una vista de correo electrónico combinada de correos electrónicos personales y "corporativos", la aplicación de Outlook solicita el PIN de Intune al iniciarse.

El número de identificación personal (PIN) es un código de acceso utilizado para verificar que el usuario correcto está accediendo a los datos de la organización en una aplicación.

Intune solicita el PIN de la aplicación del usuario cuando este esté a punto de acceder a los datos "corporativos". En aplicaciones de varias identidades, como Word/Excel/PowerPoint, se solicita al usuario su PIN cuando intenta abrir un documento o archivo "corporativo". En las aplicaciones de identidad única, como las aplicaciones de línea de negocio administradas mediante el Intune App Wrapping Tool, se solicita el PIN al iniciarse, ya que el SDK de la aplicación de Intune sabe que la experiencia del usuario en la aplicación siempre es "corporativa".

El administrador de TI puede definir la configuración de directiva de protección de aplicaciones Intune "Volver a comprobar los requisitos de acceso después de (minutos)" en el centro de administración de Microsoft Intune. Esta configuración especifica la cantidad de tiempo antes de que se comprueben los requisitos de acceso en el dispositivo y se vuelve a mostrar la pantalla del PIN de la aplicación. Sin embargo, los detalles importantes sobre el PIN que afectan a la frecuencia con la que se solicita a los usuarios son:

• El PIN se comparte entre las aplicaciones del mismo publicador para mejorar la facilidad de uso: En iOS/iPadOS, un PIN de aplicación se comparte entre todas las aplicaciones del mismo publicador de aplicaciones. En Android, un PIN de aplicación se comparte entre todas las aplicaciones.
• El comportamiento "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar un dispositivo: Un "temporizador de PIN" realiza un seguimiento del número de minutos de inactividad que determinan cuándo mostrar el PIN de la aplicación Intune a continuación. En iOS/iPadOS, el temporizador de PIN no se ve afectado por el reinicio del dispositivo. Por lo tanto, el reinicio del dispositivo no tiene ningún efecto en el número de minutos que el usuario está inactivo desde una aplicación de iOS/iPadOS con Intune directiva de PIN. En Android, el temporizador del PIN se restablece al reiniciar el dispositivo. Por lo tanto, es probable que las aplicaciones Android con Intune directiva de PIN soliciten un PIN de aplicación independientemente del valor de configuración "Volver a comprobar los requisitos de acceso después de (minutos)" después de reiniciar el dispositivo.
• La naturaleza gradual del temporizador asociado al PIN: Una vez que se escribe un PIN para acceder a una aplicación (aplicación A) y la aplicación deja el primer plano (foco de entrada principal) en el dispositivo, el temporizador del PIN se restablece para ese PIN. Cualquier aplicación (aplicación B) que comparta este PIN no solicita al usuario la entrada de PIN porque el temporizador se ha restablecido. La solicitud se volverá a mostrar una vez que se haya alcanzado el valor establecido en "Volver a comprobar los requisitos de acceso tras (minutos)".

En dispositivos iOS/iPadOS, las aplicaciones de distintos publicadores pueden compartir el mismo PIN. Sin embargo, cuando se alcanza el valor Volver a comprobar los requisitos de acceso después de (minutos), Intune solicita al usuario un PIN si la aplicación no era el foco de entrada principal. Así, por ejemplo, un usuario tiene la aplicación A del editor X y la aplicación B del editor Y, y esas dos aplicaciones comparten el mismo PIN. El usuario se centra en la aplicación A (en primer plano) y la aplicación B está minimizada. Después de que se consiga el valor Volver a comprobar los requisitos de acceso después de (minutos) y el usuario cambie a la aplicación B, el PIN será requerido.

Nota:

Para comprobar los requisitos de acceso del usuario con más frecuencia (es decir, la solicitud de PIN), especialmente para una aplicación usada con frecuencia, reduzca el valor de la configuración "Volver a comprobar los requisitos de acceso después de (minutos)".

El PIN de Intune funciona en función de un temporizador basado en inactividad (el valor de "Volver a comprobar los requisitos de acceso después de (minutos)"). De este modo, las solicitudes de PIN de Intune aparecen independientemente de las solicitudes de PIN de las aplicaciones integradas de Outlook y OneDrive, que suelen estar vinculados al inicio de la aplicación de forma predeterminada. Si el usuario recibe ambas solicitudes de PIN al mismo tiempo, el comportamiento esperado debería ser que el PIN de Intune tenga prioridad.

El PIN sirve para que sólo el usuario correcto pueda acceder a los datos de su organización en la aplicación. Por lo tanto, el usuario debe iniciar sesión con su cuenta profesional o educativa para poder establecer o restablecer el PIN de la aplicación de Intune. Microsoft Entra ID controla esta autenticación a través del intercambio seguro de tokens y no es transparente para el SDK de Intune App. Desde una perspectiva de seguridad, la mejor manera de proteger los datos profesionales o educativos es cifrarlos. El cifrado no está relacionado con el PIN de la aplicación, pero es su propia directiva de protección de aplicaciones.

Como parte de la directiva de PIN de la aplicación, el administrador de TI puede establecer el número máximo de veces que un usuario puede intentar autenticar su PIN antes de bloquear la aplicación. Una vez que se cumple el número de intentos, el SDK de la aplicación de Intune puede borrar los datos "corporativos" de la aplicación.

MAM en iOS/iPadOS admite PIN de nivel de aplicación con caracteres alfanuméricos y especiales (denominados código de acceso). Para aplicar la configuración del código de acceso, las aplicaciones como Word, Excel, PowerPoint, Outlook, Managed Browser y Yammer deben integrar el SDK de Intune App para iOS/iPadOS. Sin esta integración, Intune no puede aplicar la configuración de código de acceso para esas aplicaciones. Intune introdujo esta característica en la versión 7.1.12 del SDK para iOS/iPadOS.

Para admitir esta característica y mantener la compatibilidad con versiones anteriores del SDK de Intune para iOS/iPadOS, la versión 7.1.12 y posteriores controlan todos los PIN (numéricos o código de acceso) por separado del PIN numérico usado en versiones anteriores. Por lo tanto, si un dispositivo tiene aplicaciones con Intune SDK para versiones de iOS/iPadOS anteriores a la 7.1.12 Y posteriores a la 7.1.12 del mismo publicador, tendrán que configurar dos PIN.

Dicho esto, los dos PIN (para cada aplicación) no están relacionados de ninguna manera. Deben cumplir la directiva de protección de aplicaciones aplicada a la aplicación. Por lo tanto, solo si las aplicaciones A y B tienen las mismas directivas aplicadas (con respecto al PIN), el usuario podría configurar el mismo PIN dos veces.

Este comportamiento es específico para el PIN en aplicaciones iOS/iPadOS que ya están habilitadas con la Administración de aplicaciones móviles de Intune. Con el tiempo, a medidas que las aplicaciones adoptan las versiones posteriores del SDK de Intune para iOS/iPadOS, el hecho de tener que establecer un PIN dos veces en las aplicaciones del mismo editor dejará de ser un problema importante.

Nota:

Las versiones de la aplicación determinan si es posible un PIN compartido. Por ejemplo, si la aplicación A usa una versión del SDK anterior a la 7.1.12 y la aplicación B usa la versión 7.1.12 o posterior, el usuario debe configurar un PIN independiente para cada aplicación, incluso si procede del mismo publicador. Sin embargo, si las aplicaciones A y C usan versiones anteriores a la 7.1.12, comparten un PIN. Del mismo modo, las aplicaciones B y D comparten un PIN si ambas usan SDK 7.1.12 o posterior.

Los administradores de TI pueden implementar una directiva de protección de aplicaciones que requiere cifrar los datos de aplicaciones. Como parte de la directiva, el administrador de TI también puede especificar cuándo se cifra el contenido.

Intune cifra los datos según la configuración de la directiva de protección de aplicaciones para el cifrado. Para obtener más información, consulte Configuración de directivas de protección de aplicaciones android y configuración de directivas de protección de aplicaciones de iOS/iPadOS.

Solo se cifran los datos marcados como "corporativos" según la directiva de protección de la aplicación del administrador de TI. Los datos se consideran "corporativos" cuando se originan desde una ubicación de la empresa. En el caso de las aplicaciones de Office, Intune trata el correo electrónico (Exchange) y el almacenamiento en la nube (OneDrive) como ubicaciones empresariales. En el caso de las aplicaciones de línea de negocio administradas por el Intune App Wrapping Tool, todos los datos de la aplicación se consideran "corporativos".

Intune puede borrar los datos de la aplicación de tres maneras diferentes: borrado completo del dispositivo, borrado selectivo de MDM y borrado selectivo de MAM. Para obtener más información sobre el borrado remoto de MDM, vea Eliminación de dispositivos mediante Borrar o Retirar. Para obtener más información sobre el borrado selectivo mediante MAM, consulte la acción Retirar y Borrado solo de datos corporativos de aplicaciones administradas por Intune.

Borrar quita todos los datos de usuario y la configuración del dispositivo restaurando el dispositivo a su configuración predeterminada de fábrica. El dispositivo se quita de Intune.

Nota:

El borrado solo se puede lograr en dispositivos inscritos con Intune administración de dispositivos móviles (MDM).

El borrado selectivo de MDM solo quita los datos de la empresa del dispositivo sin afectar a los datos personales. Para obtener más información, consulte Eliminación de dispositivos: retirada.

El borrado selectivo de MAM simplemente quita los datos de la aplicación de empresa de la aplicación. La solicitud se inicia mediante el centro de administración de Microsoft Intune. Para obtener información sobre cómo iniciar una solicitud de borrado, consulte Borrado solo de datos corporativos de aplicaciones.

Si el usuario usa la aplicación cuando se inicia el borrado selectivo, el SDK de aplicación de Intune comprueba cada 30 minutos si hay una solicitud de borrado selectivo del servicio Intune MAM. También comprueba el borrado selectivo cuando el usuario inicia la aplicación por primera vez e inicia sesión con su cuenta profesional o educativa.

Intune protección de aplicaciones depende de la identidad del usuario para que sea coherente entre la aplicación y el SDK de la aplicación de Intune. La única manera de garantizar esto es a través de la autenticación moderna. Hay escenarios en los que las aplicaciones pueden funcionar con una configuración local, pero no son coherentes ni están garantizadas.

Sí. El administrador de TI puede implementar y establecer la directiva de protección de aplicaciones para la aplicación Microsoft Edge. El administrador de TI puede requerir que todos los vínculos web de las aplicaciones administradas por Intune se abran mediante la aplicación Microsoft Edge.

Aplicación del Portal de empresa y protección de aplicaciones de Intune

Intune directivas de protección de aplicaciones para el acceso se aplican en un orden específico en los dispositivos de usuario final a medida que intentan acceder a una aplicación de destino desde su cuenta corporativa. En general, un bloque tendría prioridad y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable al usuario/aplicación específico, un ajuste de versión mínima de parche de Android que advierta al usuario que debe tomar una actualización de parche se aplicará después del ajuste de versión mínima de parche de Android que bloquea el acceso del usuario. Por tanto, en el caso en que el administrador de TI configure la versión de revisión de Android mínima en 01-03-2018 y la versión de revisión de Android mínima (solo advertencia) en 01-02-2018, mientras el dispositivo que intenta obtener acceso a la aplicación esté en una versión de revisión 01-01-2018, se bloquearía al usuario final en función del valor más restrictivo para la versión de revisión de Android mínima que provoque el bloqueo del acceso.

Cuando se trabaja con diferentes tipos de configuraciones, un requisito de versión de la aplicación tendría prioridad, seguido por el requisito de versión de sistema operativo de Android y el requisito de versión de revisión de Android. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración.

El servicio Intune se pone en contacto con Google Play en un intervalo no configurado determinado por la carga del servicio. Cualquier acción configurada por el administrador de TI para la configuración de comprobación de integridad del dispositivo de Google Play se realizará en función del último resultado notificado al servicio Intune en el momento del inicio condicional. Si el resultado de la integridad del dispositivo de Google es compatible, no se realiza ninguna acción. Si el resultado de la integridad del dispositivo de Google no es conforme, la acción configurada por el administrador de TI se realiza inmediatamente. Si se produce un error en la solicitud a la comprobación de integridad del dispositivo de Google Play por cualquier motivo, el resultado almacenado en caché de la solicitud anterior se usará durante un máximo de 24 horas o el siguiente reinicio del dispositivo, que se producirá primero. En ese momento, Intune directivas de Protección de aplicaciones bloquean el acceso hasta que se puede obtener un resultado actual.

Las instrucciones sobre cómo hacerlo varían ligeramente según el dispositivo. Lo habitual es ir a Google Play Store y, luego, hacer clic en Mis aplicaciones y juegos. A continuación, debe hacer clic en el resultado del último examen de la aplicación, lo que le llevará al menú de Play Protect. Asegúrese de que la opción de Escanear el dispositivo en busca de amenazas de seguridad esté activada.

Intune aplica las API de integridad de Google Play para agregar a nuestras comprobaciones de detección raíz existentes para los dispositivos no inscritos. Google desarrolló y mantuvo este conjunto de API para que las aplicaciones androide adopten si no quieren que sus aplicaciones se ejecuten en dispositivos rooteados. La aplicación Android Pay incorporó esto, por ejemplo. Aunque Google no comparte públicamente la totalidad de las comprobaciones de detección raíz que se producen, esperamos que estas API detecten usuarios que han rooteado sus dispositivos. A estos usuarios se les puede bloquear el acceso o borrar sus cuentas corporativas de las aplicaciones habilitadas por la directiva. "Comprobar la integridad básica" le indica la integridad general del dispositivo. Los dispositivos arraigados, los emuladores, los dispositivos virtuales y los dispositivos con signos de manipulación fallan en la integridad básica. "Comprobar la integridad básica & dispositivos certificados" le indica la compatibilidad del dispositivo con los servicios de Google. Sólo los dispositivos no modificados que han sido certificados por Google pueden pasar esta comprobación. Entre los dispositivos que producen errores se incluyen:

• Dispositivos que producen error en la integridad básica
• Dispositivos con un cargador de arranque desbloqueado
• Dispositivos con una imagen de sistema personalizada o ROM
• Dispositivos que el fabricante no ha pedido o aprobado la certificación de Google
• Dispositivos con una imagen de sistema creada directamente desde los archivos de origen del Android Open Source Program
• Dispositivos con una imagen de sistema de versión preliminar beta o de desarrollador

Consulte la documentación de Google sobre Play Integrity API para obtener detalles técnicos.

Las comprobaciones de La API de integridad de Google Play requieren que el usuario final esté en línea, al menos durante el tiempo en que se ejecuta el "recorrido de ida y vuelta" para determinar los resultados de la atestación. Si el usuario final está sin conexión, el administrador de TI todavía puede esperar que se aplique un resultado de la configuración "dispositivos liberados o rooteados". Dicho esto, si el usuario final ha estado sin conexión demasiado tiempo, entra en juego el valor "Período de gracia sin conexión" y todo el acceso a los datos profesionales o educativos se bloquea una vez alcanzado ese valor del temporizador, hasta que esté disponible el acceso a la red. Activar ambas opciones permite un enfoque por capas para mantener los dispositivos del usuario final en buen estado, lo que es importante cuando los usuarios finales acceden a datos profesionales o educativos en dispositivos móviles.

Tanto la configuración "Veredicto de integridad de Reproducción" como "Examen de amenazas en aplicaciones" requieren que la versión determinada de Google de Google Play Services funcione correctamente. Dado que se trata de una configuración que se encuentra en el área de seguridad, el usuario final se bloquea si está destinado a esta configuración y no cumple la versión adecuada de Google Play Services o no tiene acceso a Google Play Services.

Las directivas de protección de aplicaciones de Intune permiten controlar el acceso a las aplicaciones sólo al usuario con licencia de Intune. Una de las maneras de controlar el acceso a la aplicación es exigir Touch ID o Face ID de Apple en dispositivos admitidos. Intune implementa un comportamiento en el que, si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se cumple el siguiente valor de tiempo de espera de inactividad. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital. Si el usuario Intune no tiene un PIN establecido, se le lleva a configurar un PIN de Intune.

La intención de esto es seguir manteniendo los datos de la organización dentro de la aplicación seguros y protegidos en el nivel de aplicación. Esta característica solo está disponible para iOS/iPadOS y requiere la participación de aplicaciones que integren Intune APP SDK para iOS/iPadOS, versión 9.0.1 o posterior. La integración del SDK es necesaria para poder aplicar el comportamiento en las aplicaciones de destino. Esta integración ocurre de manera gradual y depende de los equipos de la aplicación específica. Algunas de las aplicaciones que participan son WXP, Outlook, Managed Browser y Yammer.

Intune directiva de protección de aplicaciones no puede controlar la extensión de recurso compartido de iOS sin administrar el dispositivo. Por lo tanto, Intune cifra los datos "corporativos" antes de que se compartan fuera de la aplicación. Para validarlo, intente abrir el archivo "corporativo" fuera de la aplicación administrada. El archivo debe estar cifrado y no debe poder abrirse fuera de la aplicación administrada.

Intune directivas de protección de aplicaciones para el acceso se aplicarán en un orden específico en los dispositivos de usuario final cuando intenten acceder a una aplicación de destino desde su cuenta corporativa. En general, un borrado tendría prioridad, seguido de un bloque y, a continuación, una advertencia descartable. Por ejemplo, si es aplicable a la aplicación o usuario específico, una configuración de sistema operativo mínima de iOS/iPadOS que advierte al usuario que actualice la versión de iOS/iPadOS se aplicará después de la configuración de sistema operativo mínima de iOS/iPadOS que bloquea el acceso del usuario. Por lo tanto, en el escenario en el que el administrador de TI configura el sistema operativo iOS/iPadOS mínimo en 11.0.0.0 y el sistema operativo iOS/iPadOS mínimo (solo advertencia) en 11.1.0.0, mientras el dispositivo que intentaba acceder a la aplicación estaba en iOS/iPadOS 10, el usuario final se bloquearía en función de la configuración más restrictiva para la versión mínima del sistema operativo iOS/iPadOS que da lugar a un acceso bloqueado.

Al tratar con diferentes tipos de configuración, tendría prioridad un requisito de versión del SDK de aplicación de Intune y, a continuación, un requisito de versión de la aplicación, seguido del requisito de versión del sistema operativo iOS/iPadOS. Luego, se comprueban en el mismo orden las advertencias para todos los tipos de configuración. Se recomienda configurar el requisito de versión del SDK de Intune aplicación solo según las instrucciones del equipo de Intune producto para escenarios de bloqueo esenciales.

Vea también

• Implementar Intune
• Creación de un plan de lanzamiento
• Configuración de la directiva de administración de aplicaciones móviles de Android en Microsoft Intune
• Configuración de directivas de administración de aplicaciones móviles de iOS/iPadOS
• actualización de directivas de directivas de Protección de aplicaciones
• Validación de las directivas de protección de aplicaciones
• Agregar directivas de configuración de aplicaciones para aplicaciones administradas sin inscripción de dispositivo
• Cómo obtener soporte técnico en Microsoft Intune