Creación de directivas de seguridad de dispositivos en Basic Mobility and Security
Puede usar Basic Mobility and Security para crear directivas de dispositivo que ayuden a proteger la información de su organización en Microsoft 365 frente al acceso no autorizado. Puede aplicar directivas a cualquier dispositivo móvil de su organización en el que el usuario del dispositivo tenga una licencia de Microsoft 365 aplicable y haya inscrito el dispositivo en Basic Mobility and Security.
Antes de empezar
Importante
Para poder crear una directiva de dispositivo móvil, debe activar y configurar Basic Mobility and Security. Para obtener más información, consulte Información general sobre la movilidad básica y la seguridad para Microsoft 365.
- Obtenga información sobre los dispositivos, las aplicaciones de dispositivos móviles y la configuración de seguridad que admite Basic Mobility and Security. Consulte Funcionalidades de movilidad y seguridad básicas.
- Cree grupos de seguridad que incluyan usuarios de Microsoft 365 en los que quiera implementar directivas en y para los usuarios que quiera excluir de que se bloquee el acceso a Microsoft 365. Antes de implementar una nueva directiva en la organización, se recomienda probarla implementándola para un número reducido de usuarios. Puede crear y usar un grupo de seguridad que incluya solo a usted o a un número pequeño de usuarios de Microsoft 365 que puedan probar la directiva automáticamente. Para obtener más información sobre los grupos de seguridad, consulte Creación, edición o eliminación de un grupo de seguridad.
- Para crear e implementar directivas básicas de movilidad y seguridad en Microsoft 365, debe ser administrador de cumplimiento. Para obtener más información, consulta Roles integrados de Microsoft Entra.
- Antes de implementar directivas, informe a su organización de los posibles impactos de inscribir un dispositivo en Basic Mobility and Security. En función de cómo configure las directivas, se puede impedir que los dispositivos no conformes accedan a Microsoft 365 y a los datos, incluidas las aplicaciones instaladas, las fotos y la información personal en un dispositivo inscrito, y se pueden eliminar los datos.
Nota:
Las directivas y las reglas de acceso creadas en Basic Mobility and Security for Microsoft 365 Business Standard invalidan las directivas de buzón de dispositivo móvil de Exchange ActiveSync y las reglas de acceso a dispositivos creadas en el Centro de administración de Exchange. Después de inscribir un dispositivo en Basic Mobility and Security for Microsoft 365 Business Standard, se omite cualquier directiva de buzón de dispositivo móvil de Exchange ActiveSync o regla de acceso al dispositivo aplicada al dispositivo. Para más información sobre Exchange ActiveSync, consulte Exchange ActiveSync en Exchange Online.
Paso 1: Creación de una directiva de dispositivo e implementación en un grupo de prueba
Antes de empezar, asegúrese de que ha activado y configurado Basic Mobility and Security. Para obtener instrucciones, consulte Información general sobre la movilidad y la seguridad básicas.
En el explorador, vaya a https://compliance.microsoft.com/basicmobilityandsecurity.
En la pestaña Directivas , seleccione Crear.
En la página Nombre de directiva , agregue y nombre y una descripción y seleccione Siguiente.
En la página Requisitos de acceso , especifique los requisitos que desea aplicar a los dispositivos móviles de su organización y seleccione Siguiente.
En la página Configuraciones , seleccione Requisitos de configuración para su organización y seleccione Siguiente.
En la página Implementación , elija un grupo de seguridad al que aplicar esta directiva.
En la página Revisar , compruebe las selecciones y elija Enviar.
La directiva se inserta en el dispositivo de cada usuario a la que se aplica la directiva la próxima vez que inicie sesión en Microsoft 365 mediante su dispositivo móvil. Si los usuarios no han aplicado una directiva a su dispositivo móvil antes, después de implementar la directiva, reciben una notificación en su dispositivo que incluye los pasos para inscribir y activar Basic Mobility and Security. Para obtener más información, consulta Inscribir tu dispositivo móvil con Basic Mobility and Security. Hasta que completen la inscripción en Basic Mobility and Security hospedada por el servicio intune, el acceso al correo electrónico, OneDrive y otros servicios está restringido. Después de completar la inscripción mediante la aplicación Portal de empresa de Intune, pueden usar los servicios y la directiva se aplica a su dispositivo.
Paso 2: Comprobar que la directiva funciona
Después de crear una directiva de dispositivo, compruebe que la directiva funciona como espera antes de implementarla en su organización.
- En el explorador, vaya a https://compliance.microsoft.com/basicmobilityandsecurity.
- Seleccione Ver la lista de dispositivos administrados.
- Compruebe el estado de los dispositivos de usuario a los que se ha aplicado la directiva. Quiere que el estado de los dispositivos se administre.
- También puede realizar un borrado completo o selectivo en un dispositivo si hace clic en el botón Restablecer fábrica o Quitar datos de la empresa del botón Administrar después de seleccionar un dispositivo. Para obtener instrucciones, consulte Borrado de un dispositivo móvil en Basic Mobility and Security.
Paso 3: Implementación de una directiva en la organización
Después de crear una directiva de dispositivo y comprobar que funciona según lo esperado, impleméntela en su organización.
- En el explorador, escriba: https://compliance.microsoft.com/basicmobilityandsecurity.
- Seleccione la directiva que desea implementar y elija Editar junto a Grupos aplicados.
- Busque un grupo para agregar y haga clic en Seleccionar.
- Seleccione Cerrar y cambiar la configuración.
- Seleccione Cerrar y editar directiva.
La directiva se inserta en el dispositivo móvil de cada usuario a la que se aplica la directiva la próxima vez que inicie sesión en Microsoft 365 desde su dispositivo móvil. Si los usuarios no han aplicado una directiva a su dispositivo móvil, reciben una notificación en su dispositivo con los pasos necesarios para inscribirla y activarla para Basic Mobility and Security. Una vez completada la inscripción, la directiva se aplica a su dispositivo. Para obtener más información, consulta Inscribir tu dispositivo móvil con Basic Mobility and Security.
Paso 4: Bloquear el acceso al correo electrónico para dispositivos no compatibles
Para ayudar a proteger la información de su organización, debe bloquear el acceso de la aplicación al correo electrónico de Microsoft 365 para dispositivos móviles que no son compatibles con Basic Mobility and Security. Para obtener una lista de los dispositivos admitidos, consulte Dispositivos compatibles.
Para bloquear el acceso a la aplicación:
En el explorador, escriba https://compliance.microsoft.com/basicmobilityandsecurity.
Seleccione la pestaña Configuración de la organización .
Para bloquear dispositivos no admitidos, elija Acceso en Si un dispositivo no es compatible con Basic Mobility and Security for Microsoft 365 y, a continuación, seleccione Guardar.
Paso 5: Elija los grupos de seguridad que desea excluir de las comprobaciones de acceso condicional
Si desea excluir algunas personas de las comprobaciones de acceso condicional en sus dispositivos móviles y ha creado uno o más grupos de seguridad para estas personas, agregue los grupos de seguridad aquí. Las personas de estos grupos no tendrán ninguna directiva aplicada para sus dispositivos móviles compatibles. Esta es la opción recomendada si ya no desea usar Basic Mobility and Security en su organización.
En el explorador, escriba https://compliance.microsoft.com/basicmobilityandsecurity.
Seleccione la pestaña Configuración de la organización .
Seleccione Agregar para agregar el grupo de seguridad que tiene usuarios que desea excluir de tener bloqueado el acceso a Microsoft 365. Cuando se ha agregado un usuario a esta lista, puede acceder al correo electrónico de Microsoft 365 cuando usa un dispositivo no compatible.
Seleccione el grupo de seguridad que desea usar en el panel Seleccionar grupo .
Seleccione el nombre y, a continuación, Agregar>guardar.
En el panel Configuración de la organización , elija Guardar.
¿Cuál es el impacto de las directivas de seguridad en distintos tipos de dispositivos?
Cuando se aplica una directiva a los dispositivos de usuario, el impacto en cada dispositivo varía un poco entre los tipos de dispositivo. Consulte la siguiente tabla para obtener ejemplos del impacto de las directivas en diferentes dispositivos.
| Directiva de seguridad | Android | Samsung KNOX | iOS | Notas |
|---|---|---|---|---|
| Requerir copia de seguridad cifrada | No | Sí | Sí | Se requiere una copia de seguridad cifrada de iOS. |
| Bloquear copia de seguridad de la nube | Sí | Sí | Sí | Bloquee la copia de seguridad de Google en Android (atenuado), la copia de seguridad en la nube en iOS supervisado. |
| Bloquear sincronización de documentos | No | No | Sí | iOS: bloquee documentos en la nube en dispositivos iOS supervisados. |
| Bloquear sincronización de fotos | No | No | Sí | iOS (nativo): Bloquear Photo Stream. |
| Bloquear captura de pantalla | No | Sí | Sí | Se bloquea cuando se intenta. |
| Bloquear videoconferencia | No | No | Sí | FaceTime bloqueado en dispositivos iOS supervisados, no en Skype u otros. |
| Bloquear el envío de datos de diagnóstico | No | Sí | Sí | Bloquear el envío de informes de bloqueo de Google en Android. |
| Bloquear el acceso a la tienda de aplicaciones | No | Sí | Sí | Icono de la tienda de aplicaciones que falta en la página principal de Android, deshabilitado en Windows y dispositivos iOS supervisados. |
| Requerir contraseña para la tienda de aplicaciones | No | No | Sí | iOS: Contraseña necesaria para las compras de iTunes. |
| Bloquear conexión a almacenamiento extraíble | No | Sí | N/D | Android: la tarjeta SD está atenuada en la configuración, Windows notifica al usuario, las aplicaciones instaladas no están disponibles |
| Bloquear conexión Bluetooth | Ver notas | Ver notas | Yes | No se puede deshabilitar BlueTooth como una configuración en Android. En su lugar, deshabilitamos todas las transacciones que requieren BlueTooth: distribución avanzada de audio, control remoto de audio y vídeo, dispositivos manos libres, auriculares, acceso a la libreta de teléfonos y puerto serie. Cuando se usa cualquiera de estas opciones, aparece un pequeño mensaje de aviso en la parte inferior de la página. |
¿Qué ocurre al eliminar una directiva o quitar un usuario de la directiva?
Al eliminar una directiva o quitar un usuario de un grupo en el que se implementó la directiva, la configuración de la directiva, el perfil de correo electrónico de Microsoft 365 y los correos electrónicos almacenados en caché podrían quitarse del dispositivo del usuario. Consulte la tabla siguiente para ver qué se quita para los diferentes tipos de dispositivo.
| Lo que se quita | iOS | Android (incluido Samsung KNOX) |
|---|---|---|
| Perfiles de correo electrónico administrado1 | Yes | No |
| Bloquear copia de seguridad de la nube | Sí | No |
1 Si la directiva se implementó con la opción Perfil de correo electrónico seleccionada , el perfil de correo electrónico administrado y los correos electrónicos almacenados en caché en ese perfil se eliminan del dispositivo de usuario.
La directiva se quita del dispositivo móvil para cada usuario a la que se aplica la directiva la próxima vez que el dispositivo se registra con Basic Mobility and Security. Si implementa una nueva directiva que se aplica a estos dispositivos de usuario, se les pedirá que vuelvan a inscribirse en Basic Mobility and Security.
También puede borrar un dispositivo por completo o borrar selectivamente la información de la organización del dispositivo. Para obtener más información, consulta Borrar un dispositivo móvil en Basic Mobility and Security.
Contenido relacionado
Información general sobre la movilidad y la seguridad básicas (artículo)
Funcionalidades de movilidad y seguridad básicas (artículo)