Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Configuración recomendada de protección de aplicaciones
Use la siguiente configuración de protección de aplicaciones recomendada al crear y aplicar Intune protección de aplicaciones para la protección de datos alta empresarial de nivel 3.
Protección de datos alta empresarial de nivel 3
El nivel 3 es la configuración de protección de datos recomendada como estándar para organizaciones con organizaciones de seguridad grandes y sofisticadas, o para usuarios y grupos específicos a los que se dirigirán de forma exclusiva los adversarios. Estas organizaciones suelen estar destinadas a adversarios sofisticados y bien financiados, y, como tal, merecen las restricciones y controles adicionales descritos. Esta configuración se expande a la configuración en el nivel 2 mediante la restricción de escenarios de transferencia de datos adicionales, el aumento de la complejidad de la configuración del PIN y la incorporación de la detección de amenazas móviles.
Importante
La configuración de directiva aplicada en el nivel 3 incluye todas las opciones de configuración de directiva recomendadas para el nivel 2, pero solo enumera las opciones siguientes que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 2. Esta configuración de directiva puede tener un impacto potencialmente significativo para los usuarios o para las aplicaciones, lo que exige un nivel de seguridad acorde con los riesgos a los que se enfrentan las organizaciones de destino.
Protección de datos
| Configuración | Descripción de la configuración | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Cualquier aplicación de marcado administrada por directivas | Android | Los administradores también pueden configurar esta configuración para usar una aplicación de marcador que no admita directivas de protección de aplicaciones seleccionando Una aplicación de marcador específica y proporcionando los valores de Id . de paquete de aplicación de marcador y Nombre de aplicación de marcador . |
| Transferencia de datos | Transfer telecommunications data to (Transferir datos de telecomunicaciones a) | Una aplicación de marcador específica | iOS/iPadOS | |
| Transferencia de datos | Esquema de la dirección URL de la aplicación de marcador | replace_with_dialer_app_url_scheme | iOS/iPadOS | En iOS/iPadOS, este valor debe reemplazarse por el esquema de dirección URL de la aplicación de marcado personalizada que se usa. Si no se conoce el esquema de dirección URL, póngase en contacto con el desarrollador de la aplicación para obtener más información. Para obtener más información sobre los esquemas de direcciones URL, consulte Definición de un esquema de dirección URL personalizado para la aplicación. |
| Transferencia de datos | Recibir datos de otras aplicaciones | Aplicaciones administradas por directivas | iOS/iPadOS, Android | |
| Transferencia de datos | Abrir datos en documentos de la organización | Bloquear | iOS/iPadOS, Android | |
| Transferencia de datos | Permitir a los usuarios abrir datos de servicios seleccionados | OneDrive para la Empresa, SharePoint, Cámara, Biblioteca de fotos | iOS/iPadOS, Android | Para obtener información relacionada, consulte Configuración de directivas de protección de aplicaciones android y configuración de directivas de protección de aplicaciones de iOS. |
| Transferencia de datos | Teclados de terceros | Bloquear | iOS/iPadOS | En iOS/iPadOS, esto impide que todos los teclados de terceros funcionen dentro de la aplicación. |
| Transferencia de datos | Teclados aprobados | Obligatoria | Android | |
| Transferencia de datos | Selección de teclados para aprobar | agregar o quitar teclados | Android | Con Android, los teclados deben seleccionarse para poder usarse en función de los dispositivos Android implementados. |
| Funcionalidad | Imprimir datos de la organización | Bloquear | iOS/iPadOS, Android, Windows |
Requisitos de acceso
| Configuración | Valor | Plataforma |
|---|---|---|
| PIN simple | Bloquear | iOS/iPadOS, Android |
| Seleccione Longitud mínima del PIN | 6 | iOS/iPadOS, Android |
| Restablecimiento del PIN después de un número de días | Yes | iOS/iPadOS, Android |
| Número de días | 365 | iOS/iPadOS, Android |
| Biometría de clase 3 (Android 9.0+) | Obligatoria | Android |
| Invalidación de biometría con PIN después de actualizaciones biométricas | Obligatoria | Android |
Lanzamiento condicional
| Configuración | Descripción de la configuración | Valor/acción | Plataforma | Notas |
|---|---|---|---|---|
| Condiciones del dispositivo | Requerir bloqueo de dispositivo | Acceso alto o en bloque | Android | Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña. |
| Condiciones del dispositivo | Nivel máximo de amenazas de dispositivo permitido | Acceso protegido o bloqueado | Windows | |
| Condiciones del dispositivo | Dispositivos con jailbreak o rooting | N/A/Borrar datos | iOS/iPadOS, Android | |
| Condiciones del dispositivo | Nivel máximo de amenaza permitida | Acceso protegido o bloqueado | iOS/iPadOS, Android | Los dispositivos no inscritos se pueden inspeccionar en busca de amenazas mediante Mobile Threat Defense. Para obtener más información, consulte Mobile Threat Defense para dispositivos no inscritos. Si el dispositivo está inscrito, esta configuración se puede omitir en favor de la implementación de Mobile Threat Defense para dispositivos inscritos. Para más información, consulte Defensa contra amenazas móviles para dispositivos inscritos. |
| Condiciones del dispositivo | Versión máxima del sistema operativo |
Formato: Major.Minor Ejemplo: 11.0 / Bloquear acceso |
Android | Microsoft recomienda configurar la versión principal de Android máxima para garantizar que no se usen versiones beta o no compatibles del sistema operativo. Consulte Android Enterprise Recommended requirements for Android's latest recommendations (Requisitos recomendados de Android Enterprise para las recomendaciones más recientes de Android) |
| Condiciones del dispositivo | Versión máxima del sistema operativo |
Formato: Major.Minor.Build Ejemplo: 15.0 / Bloquear acceso |
iOS/iPadOS | Microsoft recomienda configurar la versión principal máxima de iOS/iPadOS para garantizar que no se usen versiones beta o no compatibles del sistema operativo. Consulte Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple. |
| Condiciones del dispositivo | Versión máxima del sistema operativo |
Formato: Major.Minor Ejemplo: 22631. / Bloquear el acceso |
Windows | Microsoft recomienda configurar la versión principal máxima de Windows para garantizar que no se usen versiones beta o no compatibles del sistema operativo. |
| Condiciones del dispositivo | Atestación de dispositivos Samsung Knox | Borrar datos | Android | Microsoft recomienda configurar la configuración de atestación del dispositivo Samsung Knox en Borrar datos para asegurarse de que los datos de la organización se quitan si el dispositivo no cumple la comprobación basada en hardware de Knox de Samsung del estado del dispositivo. Esta configuración comprueba todas las Intune respuestas del cliente MAM al servicio Intune se enviaron desde un dispositivo en buen estado. Esta configuración se aplicará a todos los dispositivos de destino. Para aplicar esta configuración solo a dispositivos Samsung, puede usar filtros de asignación "Aplicaciones administradas". Para obtener más información sobre los filtros de asignación, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune. |
| Condiciones de la aplicación | Período de gracia sin conexión | 30 / Bloquear acceso (días) | iOS/iPadOS, Android, Windows |
Paso siguiente
Continúe con el paso 4 para comprender la entrega de protección de aplicaciones en Microsoft Intune.