Paso 2. Aplicación de protección de datos mejorada
El nivel 1 es la configuración mínima de protección de datos para un dispositivo móvil empresarial. Esta configuración reemplaza la necesidad de directivas básicas de acceso a dispositivos Exchange Online al requerir un PIN para acceder a los datos profesionales o educativos, cifrar los datos de la cuenta profesional o educativa y proporcionar la capacidad de borrar selectivamente los datos de la escuela o del trabajo. Sin embargo, a diferencia de Exchange Online directivas de acceso a dispositivos, la siguiente configuración de directiva de protección de aplicaciones se aplica a todas las aplicaciones seleccionadas en la directiva, lo que garantiza que el acceso a los datos esté protegido más allá de los escenarios de mensajería móvil.
Las directivas del nivel 1 aplican un nivel de acceso a datos razonable al tiempo que minimizan el impacto en los usuarios y reflejan la configuración predeterminada de los requisitos de acceso y protección de datos al crear una directiva de protección de aplicaciones dentro de Microsoft Intune.
Configuración recomendada de protección de aplicaciones
Use la siguiente configuración de protección de aplicaciones recomendada al crear y aplicar Intune protección de aplicaciones para la protección de datos mejorada de nivel 2 empresarial.
Protección de datos mejorada para empresas de nivel 2
El nivel 2 es la configuración de protección de datos recomendada como estándar para los dispositivos en los que los usuarios acceden a información más confidencial. Estos dispositivos son un objetivo natural en las empresas de hoy en día. Estas recomendaciones no suponen un gran personal de profesionales de seguridad altamente cualificados y, por lo tanto, deben ser accesibles para la mayoría de las organizaciones empresariales. Esta configuración se expande a la configuración del nivel 1 mediante la restricción de escenarios de transferencia de datos y la necesidad de una versión mínima del sistema operativo.
Importante
La configuración de directiva aplicada en el nivel 2 incluye todas las opciones de configuración de directiva recomendadas para el nivel 1. Sin embargo, el nivel 2 solo enumera las opciones que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 1. Aunque esta configuración puede tener un impacto ligeramente mayor en los usuarios o en las aplicaciones, aplican un nivel de protección de datos más acorde con los riesgos a los que se enfrentan los usuarios con acceso a información confidencial en dispositivos móviles.
Protección de datos
| Configuración | Descripción de la configuración | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferencia de datos | Copia de seguridad de datos de la organización para... | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Envío de datos de la organización a otras aplicaciones | Aplicaciones administradas por directivas | iOS/iPadOS, Android | Con iOS/iPadOS, los administradores pueden configurar este valor para que sea "Aplicaciones administradas por directivas", "Aplicaciones administradas por directivas con uso compartido del sistema operativo" o "Aplicaciones administradas por directivas con filtrado de Open-In/Share". Las aplicaciones administradas por directivas con uso compartido del sistema operativo están disponibles cuando el dispositivo también está inscrito con Intune. Esta configuración permite la transferencia de datos a otras aplicaciones administradas por directivas y las transferencias de archivos a otras aplicaciones administradas por Intune. Las aplicaciones administradas por directivas con filtrado de open-in/share filtran los cuadros de diálogo Abrir o compartir del sistema operativo para mostrar solo las aplicaciones administradas por directivas. Para obtener más información, consulte configuración de directivas de protección de aplicaciones de iOS. |
| Transferencia de datos | Envío o datos a | Sin destinos | Windows | |
| Transferencia de datos | Recibir datos de | Sin orígenes | Windows | |
| Transferencia de datos | Seleccionar las aplicaciones que quedan exentas | Valor predeterminado/ skype; app-settings; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Transferencia de datos | Guardar copias de los datos de la organización | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir a los usuarios guardar copias en los servicios seleccionados | OneDrive para la Empresa, SharePoint Online, Biblioteca de fotos | iOS/iPadOS, Android | |
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Cualquier de aplicación de marcador | iOS/iPadOS, Android | |
| Transferencia de datos | Restringir cortar, copiar y pegar entre aplicaciones | Aplicaciones administradas por directivas con pegado | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir cortar, copiar y pegar para | Sin destino ni origen | Windows | |
| Transferencia de datos | Captura de pantalla y Google Assistant | Bloquear | Android | |
| Funcionalidad | Restringir la transferencia de contenido web con otras aplicaciones | Microsoft Edge | iOS/iPadOS, Android | |
| Funcionalidad | Notificaciones de datos de la organización | Bloquear datos de la organización | iOS/iPadOS, Android | Para obtener una lista de las aplicaciones que admiten esta configuración, consulte configuración de directivas de protección de aplicaciones de iOS y configuración de directivas de protección de aplicaciones Android. |
Lanzamiento condicional
| Configuración | Descripción de la configuración | Valor/acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones de la aplicación | Cuenta deshabilitada | N/A/Bloquear acceso | iOS/iPadOS, Android, Windows | |
| Condiciones del dispositivo | Versión mínima del sistema operativo |
Formato: Major.Minor.Build Ejemplo: 14.8 /Bloquear acceso |
iOS/iPadOS | Microsoft recomienda configurar la versión principal mínima de iOS para que coincida con las versiones de iOS compatibles con las aplicaciones de Microsoft. Las aplicaciones de Microsoft admiten un enfoque N-1 en el que N es la versión de versión principal de iOS actual. En el caso de los valores de versión secundaria y de compilación, Microsoft recomienda garantizar que los dispositivos estén actualizados con las actualizaciones de seguridad respectivas. Consulte Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple. |
| Condiciones del dispositivo | Versión mínima del sistema operativo |
Formato: Major.Minor Ejemplo: 9.0 /Bloquear acceso |
Android | Microsoft recomienda configurar la versión principal mínima de Android para que coincida con las versiones de Android compatibles con las aplicaciones de Microsoft. Los OEM y los dispositivos que se adhieren a los requisitos recomendados de Android Enterprise deben ser compatibles con la versión de publicación actual y una actualización posterior. Actualmente, Android recomienda Android 9.0 y versiones posteriores para los profesionales que trabajan con datos. Consulte Android Enterprise Recommended requirements for Android's latest recommendations (Requisitos recomendados de Android Enterprise para las recomendaciones más recientes de Android) |
| Condiciones del dispositivo | Versión mínima del sistema operativo |
Formato: Compilación Ejemplo: 10.0.22621.2506 / Bloquear acceso |
Windows | Microsoft recomienda configurar la compilación mínima de Windows para que coincida con las versiones compatibles de Windows para aplicaciones de Microsoft. Actualmente, Microsoft recomienda lo siguiente:
|
| Condiciones del dispositivo | Versión de revisión mínima |
Formato: AAAA-MM-DD Ejemplo: 2020-01-01 /Bloquear acceso |
Android | Los dispositivos Android pueden recibir actualizaciones de seguridad mensuales, pero la versión depende del OEM o de los operadores. Las organizaciones deben asegurarse de que los dispositivos Android implementados reciban actualizaciones de seguridad antes de implementar esta configuración. Consulte Los boletines de seguridad de Android para obtener las versiones de revisión más recientes. |
| Condiciones del dispositivo | Tipo de evaluación de SafetyNet requerido | Clave respaldada por hardware | Android | La atestación respaldada por hardware mejora la comprobación del servicio Play Integrity de Google existente mediante la aplicación de un nuevo tipo de evaluación denominado Hardware Backed, lo que proporciona una detección raíz más sólida en respuesta a los tipos más recientes de herramientas y métodos de rooting que no siempre se pueden detectar de forma confiable mediante una solución de solo software. Como su nombre indica, la atestación respaldada por hardware usa un componente basado en hardware, que se incluye con dispositivos instalados con Android 8.1 y versiones posteriores. Es poco probable que los dispositivos que se actualizaron desde una versión anterior de Android a Android 8.1 tengan los componentes basados en hardware necesarios para la atestación basada en hardware. Aunque esta configuración debe ser ampliamente compatible a partir de los dispositivos que se suministran con Android 8.1, Microsoft recomienda encarecidamente probar los dispositivos individualmente antes de habilitar esta configuración de directiva en general. |
| Condiciones del dispositivo | Requerir bloqueo de dispositivo | Acceso medio/en bloque | Android | Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña. |
| Condiciones del dispositivo | Atestación de dispositivos Samsung Knox | Bloquear acceso | Android | Microsoft recomienda configurar la configuración de atestación de dispositivos Samsung Knox en Bloquear el acceso para asegurarse de que la cuenta de usuario está bloqueada si el dispositivo no cumple la comprobación basada en hardware de Samsung Knox del estado del dispositivo. Esta configuración comprueba todas las Intune respuestas del cliente MAM al servicio Intune se enviaron desde un dispositivo en buen estado. Esta configuración se aplica a todos los dispositivos de destino. Para aplicar esta configuración solo a dispositivos Samsung, puede usar filtros de asignación "Aplicaciones administradas". Para obtener más información sobre los filtros de asignación, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune. |
| Condiciones de la aplicación | Período de gracia sin conexión | 30 / Borrar datos (días) | iOS/iPadOS, Android, Windows |
Nota:
La configuración de inicio condicional de Windows se etiqueta como Comprobaciones de estado.
Paso siguiente
Continúe con el paso 3 para aplicar una alta protección de datos en Microsoft Intune.