configuración de directivas de Protección de aplicaciones para Windows

En este artículo se describe la configuración de la directiva de protección de aplicaciones (APP) para Windows. La configuración de directiva que se describe se puede configurar para una directiva de protección de aplicaciones en el panel Configuración del Centro de administración de Intune al realizar una nueva directiva.

Puede habilitar el acceso mam protegido a los datos de la organización a través de Microsoft Edge en dispositivos Windows personales. Esta funcionalidad se conoce como Mam de Windows y proporciona funcionalidad mediante directivas de configuración de aplicaciones (ACP) de Intune, directivas de protección de aplicaciones de Intune (APP), Seguridad de Windows Center client threat defense y acceso condicional de Application Protection. Para obtener más información sobre Windows MAM, consulte Protección de datos para Windows MAM, Creación de una directiva de protección de aplicaciones MTD para Windows y Configuración de Microsoft Edge para Windows con Intune.

Hay dos categorías de configuración de directivas de protección de aplicaciones para Windows:

• Protección de datos
• Comprobaciones de estado

Importante

Intune MAM en Windows admite dispositivos no administrados. Si un dispositivo ya está administrado, se bloqueará la inscripción de MAM de Intune y no se aplicará la configuración de la aplicación. Si un dispositivo se administra después de la inscripción de MAM, ya no se aplicará la configuración de la aplicación.

Protección de datos

La configuración de protección de datos afecta a los datos y el contexto de la organización. Como administrador, puede controlar el movimiento de los datos dentro y fuera del contexto de protección de la organización. El contexto de la organización se define mediante documentos, servicios y sitios a los que accede la cuenta de organización especificada. La siguiente configuración de directiva ayuda a controlar los datos externos recibidos en el contexto de la organización y los datos de la organización enviados fuera del contexto de la organización.

Transferencia de datos

Configuración	Cómo se usa	Valor predeterminado
Recibir datos de	Seleccione una de las siguientes opciones para especificar los orígenes de los que los usuarios de la organización pueden recibir datos: Todos los orígenes: los usuarios de la organización pueden abrir datos desde cualquier cuenta, documento, ubicación o aplicación en el contexto de la organización. Ningún origen: los usuarios de la organización no pueden abrir datos de cuentas externas, documentos, ubicaciones o aplicaciones en el contexto de la organización. NOTA: Para Microsoft Edge, Ningún origen controla el comportamiento de carga de archivos mediante arrastrar y colocar o el cuadro de diálogo de apertura de archivos. Se bloqueará la visualización y el uso compartido de archivos locales entre sitios o pestañas.	Todos los orígenes
Envío de datos de la organización a	Seleccione una de las siguientes opciones para especificar los destinos a los que los usuarios de la organización pueden enviar datos: Todos los destinos: los usuarios de la organización pueden enviar datos de la organización a cualquier cuenta, documento, ubicación o aplicación. No hay destinos: los usuarios de la organización no pueden enviar datos de la organización a cuentas externas, documentos, ubicaciones o aplicaciones desde el contexto de la organización. NOTA: Para Microsoft Edge, No destinations bloquea la descarga de archivos. Esto significa que se bloqueará el uso compartido de archivos entre sitios o pestañas.	Todos los destinos
Permitir cortar, copiar y pegar para	Seleccione una de las siguientes opciones para especificar los orígenes y destinos que los usuarios de la organización pueden cortar, copiar o pegar datos de la organización: Cualquier destino y cualquier origen: los usuarios de la organización pueden pegar y cortar o copiar datos en cualquier cuenta, documento, ubicación o aplicación. Sin destino ni origen: los usuarios de la organización no pueden cortar, copiar o pegar datos hacia o desde cuentas externas, documentos, ubicaciones o aplicaciones desde o hacia el contexto de la organización. NOTA: Para Microsoft Edge, no hay ningún comportamiento de cortar, copiar y pegar bloques de origen o destino solo dentro del contenido web. Cortar, copiar y pegar están deshabilitados de todo el contenido web, pero no de los controles de la aplicación, incluida la barra de direcciones.	Cualquier destino y cualquier origen

Funcionalidad

Configuración	Cómo se usa	Valor predeterminado
Impresión de datos de la organización	Seleccione Bloquear para evitar la impresión de datos de la organización. Seleccione Permitir para permitir la impresión de datos de la organización. Los datos personales o no administrados no se ven afectados.	Permitir

Comprobaciones de estado

Establezca las condiciones de comprobación de estado de la directiva de protección de aplicaciones. Seleccione una configuración y escriba el valor que deben cumplir los usuarios para acceder a los datos de la organización. A continuación, seleccione la acción que desea realizar si los usuarios no cumplen los requisitos condicionales. En algunos casos, se pueden configurar varias acciones para un único valor. Para obtener más información, vea Acciones de comprobación de estado.

Condiciones de la aplicación

Configure las siguientes opciones de comprobación de estado para comprobar la configuración de la aplicación antes de permitir el acceso a las cuentas y los datos de la organización.

Nota:

El término aplicación administrada por directivas hace referencia a las aplicaciones configuradas con directivas de protección de aplicaciones.

Configuración	Cómo se usa	Valor predeterminado
Período de gracia sin conexión	El número de minutos que la aplicación administrada por directivas puede ejecutarse sin conexión. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación. Las acciones incluyen: Bloquear acceso (minutos): el número de minutos que las aplicaciones administradas por directivas pueden ejecutarse sin conexión. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación. Una vez que expire el período configurado, la aplicación bloqueará el acceso a datos profesionales o educativos hasta que esté disponible el acceso a la red. El temporizador del período de gracia sin conexión para bloquear el acceso a datos se calcula en función de la última protección con el servicio Intune. Este formato de configuración de directiva admite un número entero positivo. Borrar datos (días): después de estos muchos días (definidos por el administrador) de ejecución sin conexión, la aplicación requerirá que el usuario se conecte a la red y vuelva a autenticarse. Si el usuario se autentica correctamente, puede seguir teniendo acceso a sus datos y el intervalo sin conexión se restablecerá. Si el usuario no puede autenticarse, la aplicación realizará un borrado selectivo de los datos y la cuenta de los usuarios. Vea Borrado solo de datos corporativos de aplicaciones administradas por Intune para obtener más información sobre qué datos se eliminan con un borrado selectivo. La aplicación calcula el temporizador del período de gracia sin conexión para limpiar los datos en función de la última protección con el servicio Intune. Este formato de la configuración de directiva admite un número entero positivo. Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.	Bloquear acceso (minutos): 720 minutos (12 horas) Borrar datos (días): 90 días
Versión mínima de la aplicación	Especifique un valor para el valor de versión mínima de la aplicación. Las acciones incluyen: Advertir: el usuario ve una notificación si la versión de la aplicación del dispositivo no cumple el requisito. Se puede descartar esta notificación. Bloquear acceso: se bloquea el acceso al usuario si la versión de la aplicación del dispositivo no cumple el requisito. Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo. Como las aplicaciones suelen tener esquemas de control de versiones distintos entre ellas, cree una directiva con una versión mínima de la aplicación destinada a una aplicación. Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente. Esta configuración de directiva admite la coincidencia de formatos de versión de lote de aplicaciones de Windows (major.minor o major.minor.patch).	Sin valor predeterminado
Versión mínima del SDK	especifique un valor mínimo para la versión del SDK de Intune. Las acciones incluyen: Bloquear acceso: se bloquea el acceso al usuario si la versión del SDK de la directiva de protección de aplicaciones de Intune de la aplicación no cumple el requisito. Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo. Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.	Sin valor predeterminado
Cuenta deshabilitada	Especifique una acción automatizada si la cuenta de Microsoft Entra para el usuario está deshabilitada. Administración solo puede especificar una acción. No se puede establecer ningún valor para esta configuración. Las acciones incluyen: Bloquear el acceso: cuando se ha confirmado que el usuario se ha deshabilitado en Microsoft Entra identificador, la aplicación bloquea el acceso a los datos profesionales o educativos. Borrar datos: cuando hayamos confirmado que el usuario se ha deshabilitado en Microsoft Entra identificador, la aplicación realizará un borrado selectivo de la cuenta y los datos de los usuarios. NOTA: Si no se puede confirmar el estado del usuario debido a conectividad, autenticación o cualquier otro motivo, estas acciones (bloquear el acceso y borrar datos) no se aplicarán.	Sin valor predeterminado

Condiciones del dispositivo

Configure las siguientes opciones de comprobación de estado para comprobar la configuración del dispositivo antes de permitir el acceso a las cuentas y los datos de la organización. Se puede configurar una configuración similar basada en dispositivos para dispositivos inscritos. Obtenga más información sobre cómo configurar la configuración de cumplimiento de dispositivos para dispositivos inscritos.

Configuración	Cómo se usa	Valor predeterminado
Versión mínima del sistema operativo	Especifique un sistema operativo Windows mínimo para usar esta aplicación. Las acciones incluyen: Advertir : el usuario verá una notificación si la versión de Windows en el dispositivo no cumple el requisito. Se puede descartar esta notificación. Bloquear el acceso : se bloqueará el acceso al usuario si la versión de Windows en el dispositivo no cumple este requisito. Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo. Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente. Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.
Versión máxima del sistema operativo	Especifique un sistema operativo Windows máximo para usar esta aplicación. Las acciones incluyen: Advertir : el usuario verá una notificación si la versión de Windows en el dispositivo no cumple el requisito. Se puede descartar esta notificación. Bloquear el acceso : se bloqueará el acceso al usuario si la versión de Windows en el dispositivo no cumple este requisito. Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo. Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente. Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.
Nivel máximo de amenazas de dispositivo permitido	Las directivas de protección de aplicaciones pueden aprovechar el conector de MTD de Intune. Especifique un nivel de amenaza máximo aceptable para usar esta aplicación. Las amenazas vienen determinadas por la aplicación de proveedor de Mobile Threat Defense (MTD) que se haya seleccionado en el dispositivo del usuario final. Especifique Protegido, Bajo, Medio o Alto. El nivel Protegido no requiere ninguna amenaza en el dispositivo y es el valor configurable más restrictivo, mientras que Alto requiere básicamente una conexión activa de Intune a MTD. Las acciones incluyen: Bloquear acceso: se impedirá el acceso del usuario si el nivel de amenaza determinado por la aplicación de proveedor de Mobile Threat Defense (MTD) seleccionada en el dispositivo del usuario final no cumple este requisito. Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo. Para más información sobre el uso de esta opción, consulte Habilitación de MTD para dispositivos no inscritos.

Información adicional

Para obtener más información sobre APP para dispositivos Windows, consulte los siguientes recursos:

• Información general de las directivas de protección de aplicaciones
• Protección de datos para Windows MAM
• Creación de una directiva de protección de aplicaciones de MTD para Windows
• Adición de una directiva de configuración de aplicaciones para aplicaciones administradas en dispositivos Windows
• Configuración de Microsoft Edge para Windows con Intune
• Requerir una directiva de protección de aplicaciones en dispositivos Windows