Protección y protección de aplicaciones mediante Microsoft Intune
Una vez que haya configurado e implementado las funcionalidades de Intune, haya agregado las aplicaciones que desea administrar a Intune y haya configurado las aplicaciones que administra en Intune, puede comenzar el proceso de creación de directivas de protección de aplicaciones. Protección de aplicaciones directivas (APP) son reglas que garantizan que los datos de la organización permanecen seguros y contenidos en una aplicación administrada. Estas directivas aplican la forma en que los usuarios finales acceden a los datos "corporativos" y los mueven, así como cómo se controlan las acciones que están prohibidas o supervisadas cuando los usuarios finales usan la aplicación. Este cumplimiento le permite controlar cómo las aplicaciones de su organización acceden a los datos y los comparten.
El contenido proporcionado en esta solución le ayudará a comprender los distintos aspectos de la protección de aplicaciones para cada una de las plataformas admitidas. Además, esta solución le guiará a través de la creación de directivas de protección de aplicaciones en función de nuestra configuración recomendada para la protección de aplicaciones básica, mejorada y de alto nivel.
Las aplicaciones administradas son aplicaciones que ha asignado a los usuarios a través de un proveedor unificado de administración de puntos de conexión, como Intune. Las aplicaciones administradas admiten directivas de protección de aplicaciones, así como directivas de configuración de aplicaciones. Estas aplicaciones usan la administración de aplicaciones móviles (MAM) proporcionada por el proveedor unificado de administración de puntos de conexión. MAM permite a las organizaciones administrar y proteger sus datos dentro de una aplicación. Una aplicación administrada en Intune es una aplicación protegida que tiene aplicadas directivas de protección de aplicaciones de Intune y que Intune le asigna y administra. Una aplicación administrada ha integrado el SDK de aplicaciones de Intune o se ha encapsulado mediante la herramienta de ajuste de Intune para admitir directivas de protección de aplicaciones (APP) o directivas de configuración de aplicaciones. Puede usar directivas MAM para configurar y proteger aplicaciones en dispositivos no administrados, que son los dispositivos personales del usuario final que no están inscritos en MDM en Intune.
Sugerencia
Para obtener información sobre cuándo debe considerar la implementación de directivas MAM, consulte Guía de migración: Configuración o traslado a Microsoft Intune.
El uso de directivas de protección de aplicaciones proporciona la ventaja de proteger los datos de la organización en el nivel de aplicación. Para los usuarios finales, la productividad no se ve afectada y las directivas de protección de aplicaciones no se aplican cuando los usuarios finales usan la aplicación en un contexto personal. Hay varias situaciones en las que normalmente debe usar directivas de protección de aplicaciones. Por ejemplo, si los usuarios finales usan su dispositivo personal, es posible que quiera usar una directiva de protección de aplicaciones para controlar el acceso a la aplicación mediante un PIN. Es posible que quiera aplicar restricciones de uso compartido de datos para que los datos de la organización no se compartan con aplicaciones no administradas. Además, es posible que desee evitar que los usuarios finales guarden los datos de la organización en ubicaciones personales. Para obtener más información, consulte Ventajas del uso de directivas de Protección de aplicaciones.
Importante
Puede usar Intune para ayudar a aplicar una estrategia de seguridad de Confianza cero para su organización. Confianza cero es un enfoque que se debe usar al diseñar e implementar un conjunto de principios de seguridad. Para obtener más información, consulte Confianza cero conconfiguraciones de acceso a dispositivos e identidades de Microsoft Intune y Confianza cero.
Las organizaciones pueden usar directivas de protección de aplicaciones con y sin Mobile Administración de dispositivos (MDM) al mismo tiempo. Por ejemplo, considere la posibilidad de un usuario final (empleado u miembro de la organización) que use un teléfono emitido por la empresa y su propia tableta personal. El teléfono emitido por la organización está inscrito en MDM y protegido por directivas de protección de aplicaciones, mientras que el dispositivo personal solo está protegido por directivas de protección de aplicaciones.
Plataformas compatibles
Hay tres plataformas principales que se admiten al crear una directiva de protección de aplicaciones en Intune.
| Plataforma | Description |
|---|---|
| iOS/iPadOS | Puede aplicar directivas de protección de aplicaciones a aplicaciones iOS/iPadOS que se han desarrollado para admitir las funcionalidades de protección de aplicaciones de Intune. Puede aplicar la protección de aplicaciones a grupos de usuarios que inician sesión en dispositivos iOS/iPadOS. En concreto, puede aplicar la protección de aplicaciones en función de la protección de datos, los requisitos de acceso y la configuración de inicio condicional dentro de una directiva de protección de aplicaciones para iOS/iPadOS. Para obtener más información, consulte configuración de directivas de protección de aplicaciones de iOS en Microsoft Intune. |
| Android | Puede aplicar directivas de protección de aplicaciones a aplicaciones Android desarrolladas para admitir funcionalidades de protección de aplicaciones de Intune. Puede aplicar protección de aplicaciones a grupos de usuarios que inician sesión en dispositivos Android. En concreto, puede aplicar la protección de aplicaciones en función de la protección de datos, los requisitos de acceso y la configuración de inicio condicional dentro de una directiva de protección de aplicaciones para Android. Para obtener más información, consulte Configuración de directivas de protección de aplicaciones Android en Microsoft Intune. |
| Windows | Actualmente, puede aplicar directivas de protección de aplicaciones a Microsoft Edge para dispositivos Windows. Con Microsoft Edge, puede controlar cómo se accede a los datos de la organización. Puede aplicar la protección de aplicaciones a grupos de usuarios que inician sesión en dispositivos Windows. En concreto, puede aplicar la protección de aplicaciones en función de la configuración de protección de datos y comprobaciones de estado dentro de una directiva de protección de aplicaciones para Windows. La configuración de protección de datos le permite controlar cómo el movimiento de los datos dentro y fuera del contexto de su organización (organización). El contexto de la organización se define mediante documentos, servicios y sitios a los que accede la cuenta de organización especificada. Puede usar la configuración de directivas de protección de aplicaciones para ayudar a controlar los datos externos recibidos en el contexto de la organización y los datos de la organización enviados fuera del contexto de la organización. Esta configuración incluye la recepción y el envío de datos de la organización. Además, puede implementar controles de prevención de pérdida de datos (DLP), como las restricciones de cortar, copiar, pegar y guardar como. Además, puede permitir o bloquear la impresión de datos de la organización. Para obtener más información, vea Protección de aplicaciones configuración de directivas para Windows. |
Para obtener más información sobre las plataformas admitidas, consulte Funcionalidades de administración de aplicaciones por plataforma.
Aplicaciones compatibles
En el caso de las plataformas iOS/iPadOS y Android, puede aplicar directivas de protección de aplicaciones a cualquier aplicación administrada que se haya desarrollado para admitir las funcionalidades de protección de aplicaciones de Intune. La aplicación administrada ha integrado el SDK de aplicaciones de Intune o se ha encapsulado mediante el App Wrapping Tool de Intune. Para la plataforma Windows, puede habilitar la protección de datos corporativos en dispositivos Windows personales mediante Windows MAM. Windows MAM es donde aplica directivas de protección de aplicaciones a Microsoft Edge para Windows. Microsoft Edge, así como la mayoría de las aplicaciones de Microsoft, se han integrado para admitir Intune mediante el SDK de aplicaciones de Intune. Para obtener una lista de las aplicaciones que incluyen la integración del SDK, consulte Microsoft Intune aplicaciones protegidas.
Requisitos previos
Para poder proteger las aplicaciones con Microsoft Intune, debe seguir algunos requisitos previos para configurar Intune, así como comprender las configuraciones clave de administración de aplicaciones.
Nota:
Si no está familiarizado con Intune, comience con la Microsoft Intune evaluación gratuita. Probar Intune es gratis durante 30 días. Cuando complete el proceso de registro, tendrá un nuevo inquilino que puede usar para evaluar Intune. Un inquilino es una instancia dedicada de Microsoft Entra ID (Microsoft Entra ID) donde se hospeda la suscripción a Intune. A continuación, puede configurar el inquilino, lo que implica muchas funcionalidades que puede usar para proteger su organización. Una de ellas implica agregar y configurar aplicaciones para Intune.
Siga estos pasos si aún no ha configurado Intune y ha agregado las aplicaciones que necesita para administrar y proteger:
- Configuración e implementación de Intune
- Descripción de la protección de aplicaciones
- Descripción de los tipos de aplicación
- Agregar aplicaciones a Intune
Importante
Para usar Microsoft Intune más allá de la evaluación gratuita, deberá adquirir una licencia de Microsoft. Para obtener más información sobre las licencias que incluyen Microsoft Intune, consulte licencias de Microsoft Intune.
Aunque muchas aplicaciones que puede implementar en los miembros de su organización son gratuitas, algunas aplicaciones pueden requerir una licencia, una suscripción o una cuenta para que cada usuario use la aplicación. Para obtener más información sobre las licencias de aplicaciones, consulte Descripción de las licencias de aplicaciones usadas en Intune.
Protección de aplicaciones
Protección de aplicaciones se puede aplicar a aplicaciones administradas admitidas en plataformas de dispositivos compatibles que están inscritas con Microsoft Intune, inscritas en una solución de administración de dispositivos móviles (MDM) de terceros o que no están inscritas en ninguna solución de administración de dispositivos móviles.
Al crear una directiva de protección de aplicaciones, elija los siguientes detalles en el orden siguiente:
- La plataforma
- La aplicación que desea proteger
- La configuración de protección de datos de la aplicación
- Los requisitos de acceso para la aplicación
- La configuración de inicio condicional de la aplicación
Además de la lista anterior, también puede elegir etiquetas de ámbito y asignaciones de aplicaciones.
Importante
La aplicación Portal de empresa de Intune es necesaria en dispositivos Android porque permite a los usuarios de dispositivos recibir directivas de protección de aplicaciones como controlador de directivas de dispositivo. Permite a los usuarios del dispositivo recibir directivas de protección de aplicaciones. Para obtener más información, consulte Configuración de las aplicaciones de Portal de empresa de Intune, Portal de empresa sitio web y aplicación de Intune y Personalización y configuración de la Portal de empresa.
Protección de aplicaciones categorías por plataforma
Hay diferentes opciones de configuración de protección de aplicaciones disponibles para cada plataforma compatible. Es importante reconocer que la plataforma iOS/iPadOS y Android tienen las mismas categorías de protección de aplicaciones. Sin embargo, Windows es diferente. La plataforma Windows protege los datos de la organización mediante la administración del flujo de datos a través de Microsoft Edge a las ubicaciones de almacenamiento de la organización.
Sugerencia
Para ver dónde encajan las directivas de cumplimiento y protección de aplicaciones en la arquitectura general de Intune, consulte Arquitectura de alto nivel para Microsoft Intune.
Al crear una directiva de protección de aplicaciones, elige la plataforma, la aplicación de destino, así como la configuración específica de las categorías de protección de aplicaciones.
Cómo las directivas de protección de aplicaciones protegen los datos de las mismas
Los usuarios finales (miembros de la organización) usan dispositivos móviles para tareas personales y profesionales. Al mismo tiempo que se asegura de que los usuarios finales pueden ser productivos, quiere evitar que los datos de la organización se muevan a ubicaciones donde no pueda protegerlos, tanto para situaciones intencionadas como no intencionadas. También querrá proteger los datos de la empresa a los que se accede desde dispositivos que no están administrados por usted. Puede usar directivas de protección de aplicaciones de Intune independientemente de cualquier solución de administración de dispositivos móviles (MDM). Esta independencia le ayuda a proteger los datos de la empresa tanto si inscribe los dispositivos en una solución de administración de dispositivos como si no. Al implementar directivas de protección de nivel de aplicación, puede restringir el acceso a los recursos de la empresa y mantener los datos dentro del ámbito del departamento de TI.
Cuando se usan aplicaciones sin restricciones, se pueden entremezclar los datos empresariales y personales. Los datos de la empresa pueden acabar en ubicaciones como el almacenamiento personal o ser transferidos a aplicaciones fuera de su alcance y provocar la pérdida de datos. En la tabla siguiente se proporcionan detalles sobre los datos, el dispositivo y la protección de aplicaciones.
| Protección de datos, dispositivos y aplicaciones | Description |
|---|---|
| Aplicaciones sin directivas de protección de aplicaciones | Cuando se usan aplicaciones sin restricciones, se pueden entremezclar los datos empresariales y personales. Los datos de la empresa pueden acabar en ubicaciones como el almacenamiento personal o ser transferidos a aplicaciones fuera de su alcance y provocar la pérdida de datos. |
| Protección de datos con directivas de protección de aplicaciones | Puede usar directivas de Protección de aplicaciones para evitar que los datos de la empresa se guarden en el almacenamiento local del dispositivo. También puede restringir el movimiento de datos a otras aplicaciones que no estén protegidas por las directivas de protección de aplicaciones. |
| Protección de datos con directivas de protección de aplicaciones en dispositivos administrados | Proporciona protección y administración de aplicaciones y dispositivos. |
| Protección de datos con directivas de protección de aplicaciones para dispositivos sin inscripción | Protección de aplicaciones directivas pueden ayudar a proteger los datos de la empresa en el nivel de aplicación. Sin embargo, hay limitaciones relacionadas con la implementación de aplicaciones, el aprovisionamiento de perfiles de certificado de dispositivo y el aprovisionamiento de la configuración de la organización del dispositivo. Para evitar estas limitaciones, inscriba y administre los dispositivos en Intune. |
Para obtener más información, consulte Cómo las directivas de protección de aplicaciones protegen los datos de la aplicación.
¿Qué hay en esta solución?
Esta solución le ayuda a comprender la protección de datos de aplicaciones en Microsoft Intune. Además, esta solución proporciona los pasos recomendados para crear directivas de protección de aplicaciones en Intune para aplicaciones específicas y asignar esas directivas a los miembros de la organización. Una vez que haya completado los requisitos previos anteriores, estará listo para crear directivas de protección de aplicaciones para su organización en Intune. El uso de directivas de configuración y protección como parte de los esfuerzos de administración de aplicaciones permite a los miembros de la organización usar aplicaciones de forma segura. Al administrar aplicaciones en su organización, puede ayudar a proteger y proteger los datos de su organización.
Para obtener información sobre la protección de aplicaciones en Intune, consulte los temas siguientes:
- Descripción de la protección de datos de aplicaciones
- Descripción de los requisitos de acceso de protección de aplicaciones
- Descripción del inicio condicional de protección de aplicaciones
- Descripción de las comprobaciones de estado de protección de aplicaciones
Para seguir la configuración recomendada al agregar directivas de protección de aplicaciones en Intune, consulte los temas siguientes:
- Aplicación de la protección mínima de datos
- Aplicación de protección de datos mejorada
- Aplicación de una protección de datos alta
- Descripción de la entrega de protección de aplicaciones
- Comprobación y supervisión de la protección de aplicaciones
- Uso de acciones de protección de aplicaciones
Una vez completados los pasos anteriores, estará listo para implementar, administrar y supervisar las aplicaciones administradas que usa su organización.