Guía de implementación: Administración de dispositivos Android en Microsoft Intune

Intune admite la administración de dispositivos móviles (MDM) de Android para conceder acceso seguro a los usuarios al correo electrónico, los datos y las aplicaciones profesionales. En esta guía se proporcionan recursos específicos de Android para ayudarle a configurar la inscripción en Intune e implementar aplicaciones y directivas en usuarios y dispositivos.

Requisitos previos

Antes de comenzar, complete estos requisitos previos para habilitar la administración de dispositivos Android en Intune. Para obtener información más detallada sobre cómo configurar Intune, incorporar dispositivos o trasladarlos a esta plataforma, consulte la guía de implementación de la configuración de Intune.

Planear la implementación

Use la Guía de planificación de Microsoft Intune para obtener ayuda con la planificación, el diseño y la implementación de Microsoft Intune en su organización. La guía proporciona información para ayudarle a:

  • Determinar los objetivos, los escenarios de casos de uso y los requisitos.
  • Crear planes de implementación y comunicación.
  • Crear planes de compatibilidad, pruebas y validación.

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Aprovechamiento del marco de configuración de seguridad de Android Enterprise

El marco de configuración de seguridad de Android Enterprise consta de una serie de recomendaciones de configuración de las directivas de configuración y cumplimiento de los dispositivos. Estas recomendaciones le pueden ayudar a adaptar la protección de seguridad de los dispositivos móviles de la organización a sus necesidades específicas. Puede aplicarlas a dispositivos totalmente administrados o de propiedad personal con perfiles de trabajo.

La taxonomía para este marco es similar a la que se usa para las configuraciones de seguridad en iOS. Incluye opciones de configuración recomendadas para seguridad de nivel básico, mejorado y alto. Cada nivel de seguridad se basa en el anterior para ofrecer más protección que el último.

Los niveles de seguridad de los dispositivos de propiedad personal con perfil de trabajo son:

  • Seguridad básica (nivel 1): esta configuración se recomienda como configuración de seguridad mínima para los dispositivos personales donde los usuarios acceden a datos profesionales o educativos. Esta configuración presenta los requisitos de contraseña, separa los datos profesionales y personales y valida la atestación de dispositivos Android.

  • Seguridad alta (nivel 3): esta configuración se recomienda para los dispositivos de usuarios o grupos específicos que son de alto riesgo. Por ejemplo, usuarios que controlan datos muy delicados cuya divulgación no autorizada causaría pérdidas materiales considerables a la organización. Esta configuración presenta la defensa contra amenazas móviles o la Protección contra amenazas avanzada (ATP) de Microsoft Defender, aplica requisitos de versión de Android más estrictos, aplica directivas de contraseñas más seguras y restringe aún más la separación personal y profesional.

Los niveles de seguridad de los dispositivos totalmente administrados son:

  • Seguridad básica (nivel 1): esta configuración se recomienda como configuración de seguridad mínima para los dispositivos supervisados utilizados para acceder a datos profesionales o educativos. Aplica los requisitos de contraseña, la versión mínima de Android y ciertas restricciones de dispositivos.

  • Seguridad mejorada (nivel 2): esta configuración se recomienda para los dispositivos utilizados para acceder a información confidencial. Aplica directivas de contraseñas más seguras y deshabilita las funcionalidades de usuario y cuenta. Es aplicable a la mayoría de los usuarios de dispositivos móviles que acceden a los datos profesionales o educativos en un dispositivo.

  • Seguridad alta (nivel 3): esta configuración se recomienda para los dispositivos de usuarios o grupos específicos que son de alto riesgo. Por ejemplo, usuarios que controlan datos muy delicados cuya divulgación no autorizada causaría pérdidas materiales considerables a la organización. Esta configuración aplica requisitos de versión de Android más estrictos y otras restricciones de dispositivos, e introduce la defensa contra amenazas móviles o ATP de Microsoft Defender.

Para obtener más información sobre el marco de seguridad, consulte los artículos que se enumeran en la siguiente tabla.

Tarea Detalles
Obtener información sobre la metodología de implementación del marco de Android Enterprise Obtenga información sobre la metodología recomendada por Microsoft para implementar el marco de configuración de seguridad.
Configurar restricciones de inscripción de dispositivos para dispositivos de propiedad personal Aplique estas restricciones para establecer un nivel de seguridad básico o alto en dispositivos de propiedad personal con perfil de trabajo.
No permitir cuentas personales en dispositivos Android Enterprise Impida que las personas inicien sesión en aplicaciones de Microsoft con una cuenta personal en dispositivos profesionales o educativos.
Configuración de las opciones de seguridad para dispositivos de propiedad personal Aplique esta configuración para establecer un nivel de seguridad básico o alto en dispositivos de propiedad personal con perfil de trabajo.
Configuración de las opciones de seguridad para dispositivos totalmente administrados Aplique esta configuración para establecer un nivel de seguridad básico, mejorado o alto en dispositivos de propiedad corporativa y totalmente administrados.

Crear reglas de cumplimiento

Use directivas de cumplimiento para definir las reglas y condiciones que deben cumplir los usuarios y dispositivos para acceder a los recursos protegidos de la organización. También puede crear directivas de acceso condicional, que funcionan junto con los resultados de cumplimiento de dispositivos para bloquear el acceso a los recursos desde dispositivos no compatibles. Para obtener una explicación detallada sobre las directivas de cumplimiento y cómo empezar, consulte Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune.

Las siguientes tareas se aplican a las plataformas de Android Enterprise y Administrador de dispositivos Android.

Tarea Detalles
Crear una directiva de cumplimiento Obtenga instrucciones paso a paso sobre cómo crear y asignar una directiva de cumplimiento a grupos de usuarios y dispositivos.
Agregar acciones para incumplimiento Elija lo que sucede cuando los dispositivos ya no cumplen las condiciones de la directiva de cumplimiento. Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva.
Crear una directiva de acceso condicional basada en dispositivos o basada en aplicaciones. Especifique la aplicación o los servicios que desea proteger y defina las condiciones de acceso.
Bloquear el acceso a aplicaciones que no usan la autenticación moderna Cree una directiva de acceso condicional basada en aplicaciones para bloquear las aplicaciones que usan métodos de autenticación distintos de OAuth2. Por ejemplo, puede bloquear las aplicaciones que usan la autenticación básica y basada en formularios. Antes de bloquear cualquier acceso, inicie sesión en Microsoft Entra id. y revise el informe de actividad de métodos de autenticación para ver si los usuarios usan la autenticación básica para acceder a elementos esenciales (como quioscos de calendario de salas de reuniones) que olvidó o no conoce.

Configuración de la seguridad del punto de conexión

Use las características de seguridad del punto de conexión de Intune para configurar la seguridad de los dispositivos y administrar las tareas de seguridad de los dispositivos en riesgo.

Las siguientes tareas se aplican a las plataformas de Android Enterprise y Administrador de dispositivos Android.

Tarea Detalles
Administrar dispositivos con características de seguridad del punto de conexión Use la configuración de seguridad de puntos de conexión en Intune para administrar de forma eficaz la seguridad de los dispositivos y corregir los problemas de los dispositivos.
Habilitar el conector de defensa contra amenazas móviles (MTD) para dispositivos inscritos Habilite la conexión de MTD en Intune para que las aplicaciones asociadas de MTD puedan funcionar con Intune y sus directivas de cumplimiento de dispositivos de MTD. Si no usa Microsoft Defender para punto de conexión, considere la posibilidad de habilitar el conector para que pueda usar otra solución de defensa contra amenazas móviles. También puede habilitar el conector MTD para dispositivos no inscritos en Intune.
Crear una directiva de protección de aplicaciones de MTD Cree una directiva de protección de aplicaciones de Intune que evalúe los riesgos y limite el acceso de un dispositivo a aplicaciones profesionales o educativas.
Crear una directiva de cumplimiento de dispositivos de MTD Cree una directiva de protección de aplicaciones de Intune que evalúe el riesgo y limite el acceso corporativo de un dispositivo en función del nivel de amenaza.
Agregar y asignar aplicaciones de MTD Agregue e implemente aplicaciones de MTD en Intune. Estas aplicaciones funcionan con las directivas de cumplimiento de dispositivos y de protección de aplicaciones para identificar y ayudar a corregir las amenazas de los dispositivos. También puede asignar aplicaciones de MTD a dispositivos no inscritos en Intune.

Configurar los ajustes del dispositivo

Use Microsoft Intune para habilitar o deshabilitar la configuración y las características en dispositivos. Para configurar y aplicar estas opciones, cree un perfil de dispositivo y, a continuación, asigne el perfil a los grupos de su organización. Los dispositivos reciben el perfil una vez que se inscriben.

Tarea Detalles Plataforma
Creación de un perfil de dispositivo en Microsoft Intune Obtenga información sobre los diferentes tipos de perfiles de dispositivo que puede crear para su organización. Android Enterprise, Administrador de dispositivos Android
Configurar perfil Wi-Fi Este perfil permite a los usuarios buscar la red Wi-Fi de su organización y conectarse a ella. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración de Wi-Fi para la configuración de Wi-Fi de Android Enterprise o la configuración de Wi-Fi del Administrador de dispositivos Android. Android Enterprise, Administrador de dispositivos Android
Configurar el perfil de VPN Configure una opción de VPN segura, como Microsoft Tunnel, para las personas que se conectan a la red de su organización. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración de VPN para la configuración de VPN de Android Enterprise o la configuración de VPN del Administrador de dispositivos Android. Android Enterprise, Administrador de dispositivos Android
Configurar el perfil de correo electrónico Configure los valores de correo electrónico para que los usuarios puedan conectarse a un servidor de correo electrónico y acceder a su dirección de correo electrónico profesional o educativa. Para obtener una descripción de la configuración de esta área, consulte la configuración de correo electrónico de Android Enterprise o la configuración de correo electrónico del Administrador de dispositivos Android. Android Enterprise, Administrador de dispositivos Android
Restringir las características del dispositivo Proteja a los usuarios contra el acceso no autorizado y las distracciones limitando las características del dispositivo que pueden usar en su entorno profesional o educativo. Para obtener una descripción de la configuración de esta área, consulte la configuración de dispositivo Android Enterprise o la configuración de dispositivo del Administrador de dispositivos Android. Android Enterprise, Administrador de dispositivos Android
Configurar opciones personalizadas para el Administrador de dispositivos Android Agregue o cree opciones personalizadas que no están integradas en Intune, como un perfil de VPN por aplicación y la protección web con Microsoft Defender para punto de conexión. Administrador de dispositivos Android
Configurar aplicaciones Samsung Knox Cree un perfil personalizado para permitir y bloquear aplicaciones para dispositivos Samsung Knox Standard. Administrador de dispositivos Android
Crear un perfil personalizado para Android Enterprise Agregue o cree opciones personalizadas que no están integradas en Intune para dispositivos de propiedad personal. Android Enterprise
Configurar un perfil de Mobility Extensions (MX) de Zebra Use perfiles de Mobility Extensions (MX) de Zebra para personalizar o agregar más ajustes específicos de Zebra en Intune. Administrador de dispositivos Android
Crear un perfil de configuración de OEMConfig Use OEMConfig para agregar, crear y personalizar la configuración específica de OEM para dispositivos Android Enterprise. Android Enterprise
Personalizar la marca y la experiencia de inscripción Personalice el Portal de empresa de Intune y las aplicaciones de Microsoft Intune con la personalización de marca de su organización para crear una experiencia familiar para las personas que inscriban sus dispositivos. Android Enterprise, Administrador de dispositivos Android

Configuración de métodos de autenticación seguros

Configure métodos de autenticación en Intune para asegurarse de que solo las personas autorizadas acceden a los recursos internos. Intune admite la autenticación multifactor, los certificados SCEP y PKCS y las credenciales derivadas. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.

Tarea Detalles Plataforma
Requerir autenticación multifactor (MFA) Obligue a las personas a proporcionar dos formas de credenciales en el momento de la inscripción. Android Enterprise
Cree de un perfil de certificado de confianza Cree e implemente un perfil de certificado de confianza antes de crear un perfil de certificado SCEP, PKCS o PKCS importado. El perfil de certificado de confianza implementa el certificado raíz de confianza en dispositivos mediante certificados SCEP, PKCS y PKCS importados. Android Enterprise, Administrador de dispositivos Android
Use certificados SCEP con Intune Obtenga información sobre lo que se necesita para usar certificados SCEP con Intune y configure la infraestructura necesaria. Después de hacerlo, puede crear un perfil de certificado SCEP o configurar una entidad de certificación de terceros con SCEP. Android Enterprise
Usar certificados PKCS con Intune Configure la infraestructura necesaria (por ejemplo, los conectores de certificados locales), exporte un certificado PKCS y agregue el certificado a un perfil de configuración de dispositivos de Intune. Android Enterprise, Administrador de dispositivos Android
Usar certificados PKCS importados con Intune Configure los certificados PKCS importados, que le permiten configurar y usar S/MIME para cifrar el correo electrónico. Android Enterprise, Administrador de dispositivos Android
Configurar un emisor de credenciales derivadas Aprovisione dispositivos Android con certificados derivados de tarjetas inteligentes de usuario. Android Enterprise

Implementar aplicaciones

Al configurar aplicaciones y directivas de aplicaciones, piense en los requisitos de su organización, como las plataformas que admitirá, las tareas que realizan los usuarios, el tipo de aplicaciones que necesitan para completar esas tareas y, por último, quién las necesita. Puede usar Intune para administrar todo el dispositivo (incluidas las aplicaciones) o para administrar solo las aplicaciones.

Tarea Detalles Plataforma
Agregar aplicaciones de Google Play Store Agregue aplicaciones de Android desde Google Play Store. Administrador de dispositivos Android
Agregar aplicaciones de Google Play administrado Agregue aplicaciones de la tienda, aplicaciones de línea de negocio (LOB) y aplicaciones web a través de Google Play Store administrado. Android Enterprise
Agregar aplicaciones del sistema de Android Enterprise Use Intune para habilitar y deshabilitar aplicaciones del sistema de Android Enterprise. Android Enterprise
Agregar aplicaciones web Agregue aplicaciones web a Intune y asígnelas a grupos. Administrador de dispositivos Android
Agregar aplicaciones integradas Agregue aplicaciones integradas a Intune y asígnelas a grupos. Android Enterprise, Administrador de dispositivos Android
Adición de aplicaciones de línea de negocio Agregue aplicaciones de línea de negocio (LOB) de Android a Intune y asígnelas a grupos. Administrador de dispositivos Android
Asignar aplicaciones a grupos Asigne aplicaciones a usuarios y dispositivos. Android Enterprise, Administrador de dispositivos Android
Inclusión y exclusión de asignaciones de aplicaciones Controle el acceso y la disponibilidad de una aplicación mediante la inclusión y exclusión de grupos seleccionados de la asignación. Android Enterprise, Administrador de dispositivos Android
Crear una directiva de protección de aplicaciones de Android Mantenga los datos de su organización dentro de aplicaciones administradas como Outlook y Word. Para obtener más información sobre cada opción de configuración, consulte la configuración de directivas de protección de aplicaciones de Android. Android Enterprise, Administrador de dispositivos Android
Validar la directiva de protección de aplicaciones Compruebe que su directiva de protección de aplicaciones esté configurada y funcione correctamente antes de implementarla en toda la organización. Android Enterprise, Administrador de dispositivos Android
Crear una directiva de configuración de aplicaciones Aplique opciones de configuración personalizadas a aplicaciones de Android en dispositivos inscritos. También puede aplicar estos tipos de directivas a aplicaciones administradas sin inscripción de dispositivos. Android Enterprise, Administrador de dispositivos Android
Configurar Microsoft Edge Use las directivas de configuración y protección de aplicaciones de Intune con Microsoft Edge para Android a fin de garantizar que se apliquen medidas de seguridad al acceder a los sitios web corporativos. Android Enterprise, Administrador de dispositivos Android
Configurar Google Chrome Use una directiva de configuración de aplicaciones de Intune para configurar Google Chrome en dispositivos Android inscritos en Intune. Android Enterprise
Configuración de la aplicación microsoft Managed Home Screen Configure Managed Home Screen en dispositivos Android Enterprise de propiedad corporativa, dedicados, inscritos mediante Intune y ejecutados en modo de pantalla completa con varias aplicaciones. Android Enterprise
Configuración de la aplicación Microsoft Launcher Configure Microsoft Launcher para personalizar la experiencia de pantalla principal en los dispositivos totalmente administrados de la organización. Android Enterprise
Configurar aplicaciones de Microsoft Office Use las directivas de configuración y protección de aplicaciones de Intune con aplicaciones de Office a fin de garantizar que se apliquen medidas de seguridad al acceder a los archivos corporativos. Android Enterprise
Configurar Microsoft Teams Use las directivas de configuración y protección de aplicaciones de Intune con Teams a fin de garantizar que se apliquen medidas de seguridad al acceder a experiencias de colaboración en equipo. Android Enterprise
Configurar Microsoft Outlook Use las directivas de configuración y protección de aplicaciones de Intune con Outlook a fin de garantizar que se apliquen medidas de seguridad al acceder al correo electrónico y los calendarios corporativos. Android Enterprise

Inscribir dispositivos

La inscripción de dispositivos les permite recibir las directivas que cree, por lo que debe tener sus Microsoft Entra grupos de usuarios y grupos de dispositivos listos.

Intune admite los siguientes métodos de inscripción para dispositivos Android:

  • Bring-your-own-device (BYOD): dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
  • Dispositivos Android Enterprise dedicados de propiedad corporativa
  • Dispositivos Android Enterprise de propiedad corporativa totalmente administrados
  • Perfil de trabajo de propiedad corporativa de Android Enterprise
  • Administrador de dispositivos Android

Para obtener información sobre cada método de inscripción y cómo elegir el adecuado para su organización, consulte la Guía de inscripción de dispositivos Android para Microsoft Intune.

Tarea Detalles Plataforma
Conectar una cuenta de Intune a una cuenta de Google Play administrado Para habilitar la administración de Android Enterprise en Intune, conecte la cuenta de inquilino de Intune a la cuenta de Google Play administrado. Android Enterprise
Configuración de la inscripción de perfil de trabajo para dispositivos de propiedad personal Configure la administración de perfiles de trabajo para dispositivos de propiedad personal. Este método de inscripción crea un área independiente en el dispositivo para los datos relacionados con el trabajo, de modo que las cosas personales no se ven afectadas. Android Enterprise
Configurar la inscripción de perfiles de trabajo para dispositivos de propiedad corporativa Configure la administración de perfiles de trabajo para dispositivos de propiedad corporativa diseñados para uso personal y profesional. Este método de inscripción crea un área independiente en el dispositivo para los datos relacionados con el trabajo, de modo que las cosas personales no se ven afectadas. Android Enterprise
Configurar la inscripción para dispositivos dedicados Configure la inscripción para dispositivos de propiedad corporativa de tipo pantalla completa de un solo uso. Android Enterprise
Configurar la inscripción para dispositivos totalmente administrados Configure la inscripción para dispositivos de propiedad corporativa asociados a un único usuario y utilizados exclusivamente para el trabajo. Android Enterprise
Inscribir dispositivos de perfil de trabajo de propiedad corporativa, dedicados y totalmente administrados Después de configurar Intune para la inscripción de Android Enterprise, inscriba dispositivos mediante uno de los cinco métodos de inscripción admitidos. Android Enterprise
Configuración de la inscripción del administrador de dispositivos Configure la inscripción del Administrador de dispositivos Android. Android Enterprise ha reemplazado este método de administración de dispositivos, por lo que no se recomienda inscribir nuevos dispositivos de esta manera. Administrador de dispositivos Android
Usar Samsung Knox Mobile Enrollment para inscribir automáticamente dispositivos Android Configure Intune para Samsung Knox Mobile Enrollment (KME), que le permite inscribir automáticamente un gran número de dispositivos Android de propiedad corporativa. Android Enterprise, Administrador de dispositivos Android
Identificar dispositivos como corporativos Asigne el estado de propiedad corporativa a los dispositivos para habilitar más funcionalidades de administración e identificación en Intune. El estado de propiedad corporativa no se puede asignar a los dispositivos inscritos a través de Apple Business Manager. Android Enterprise, Administrador de dispositivos Android
Cambiar la propiedad del dispositivo Una vez inscrito un dispositivo, puede cambiar su etiqueta de propiedad en Intune a propiedad corporativa o personal. Este ajuste cambia la forma en que puede administrar el dispositivo. Android Enterprise, Administrador de dispositivos Android
Solucionar problemas de inscripción Solucione los problemas que se producen durante la inscripción o busque opciones para resolverlos. Android Enterprise, Administrador de dispositivos Android

Ejecución de acciones remotas

Una vez configurados los dispositivos, podrá usar acciones remotas en Intune para administrar los dispositivos y solucionar sus problemas a distancia. La disponibilidad varía según la plataforma del dispositivo. Si una acción falta en el portal o está deshabilitada, no se admite en el dispositivo.

Tarea Detalles
Ejecutar acciones remotas en Intune Obtenga información sobre cómo explorar en profundidad dispositivos individuales en Intune, así como administrarlos de forma remota y solucionar sus problemas. En este artículo se enumeran todas las acciones remotas disponibles en Intune y los vínculos a esos procedimientos.
Corregir las vulnerabilidades que identifica Microsoft Defender para punto de conexión Integre Intune con Microsoft Defender para punto de conexión para aprovechar las ventajas de la administración de amenazas y vulnerabilidades de Defender y usar Intune para corregir las debilidades de los puntos de conexión que se han identificado con la funcionalidad de administración de vulnerabilidades de Defender.
Borrar datos corporativos desde aplicaciones administradas por Intune De forma selectiva, quite los datos relacionados con el trabajo de un dispositivo.

Siguientes pasos

Consulte estos tutoriales de inscripción para aprender a realizar algunas de las tareas principales en Intune. Los tutoriales son contenidos de nivel 100 - 200 para usuarios nuevos en Intune o en un escenario específico.

Para obtener la versión de iOS/iPadOS de esta guía, consulte Guía de implementación: Administración de dispositivos iOS/iPadOS en Microsoft Intune.