Asignación de aplicaciones a grupos con Microsoft Intune
Después de agregar una aplicación a Microsoft Intune, puede asignarla a usuarios y dispositivos. Es importante tener en cuenta que puede implementar una aplicación en un dispositivo independientemente de si el dispositivo está administrado por Intune o no.
Nota:
La intención de implementación Disponible para dispositivos inscritos es compatible con grupos de usuarios y grupos de dispositivos al dirigirse a dispositivos Android Enterprise totalmente administrados (COBO) y dispositivos androides corporativos habilitados para la empresa (COPE).
Opciones al asignar aplicaciones administradas
En la tabla siguiente se enumeran las distintas opciones al asignar aplicaciones a usuarios y dispositivos:
| Opción | Dispositivos inscritos con Intune | Dispositivos no inscritos con Intune |
|---|---|---|
| Asignación a usuarios | Sí | Sí |
| Asignación a dispositivos | Yes | No |
| Asignar aplicaciones ajustadas o aplicaciones que incorporen el SDK de Intune (para directivas de protección de aplicaciones) | Sí | Sí |
| Asignación de aplicaciones como disponibles | Sí | Sí |
| Asignación de aplicaciones como obligatorias | Yes | No |
| Desinstalación de aplicaciones | Yes | No |
| Recepción de actualizaciones de aplicaciones de Intune | Yes | No |
| Los usuarios finales instalan aplicaciones disponibles desde la aplicación Portal de empresa | Yes | No |
| Los usuarios finales instalan las aplicaciones disponibles desde el Portal de empresa basado en web | Sí | Sí |
Nota:
Actualmente, puede asignar aplicaciones iOS/iPadOS y Android (aplicaciones de línea de negocio y compradas en la tienda) a dispositivos que no están inscritos con Intune.
Para recibir las actualizaciones de la aplicación en dispositivos que no se inscriban con Intune, los usuarios del dispositivo deberán ir al portal de la empresa de su organización e instalar manualmente las actualizaciones de la aplicación.
Para casi todos los tipos de aplicaciones y plataformas, las asignaciones disponibles solo son válidas cuando se asignan a grupos de usuarios, no a grupos de dispositivos. Las aplicaciones Win32 se pueden asignar a grupos de usuarios o dispositivos.
Si las aplicaciones de seguimiento de preproducción administradas de Google Play se asignan según sea necesario en dispositivos de perfil de trabajo de propiedad personal de Android Enterprise, no se instalarán en el dispositivo. Para solucionar este problema, cree dos grupos de usuarios idénticos y asigne la pista de preproducción como "disponible" a uno y "requerido" a la otra. El resultado será que la pista de preproducción se implementa correctamente en el dispositivo.
Asignación de una aplicación
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Aplicaciones>Todas las aplicaciones.
En el panel Aplicaciones , seleccione la aplicación que desea asignar.
En la sección Administrar del menú, seleccione Propiedades.
Desplácese hacia abajo hasta Propiedades y seleccione Asignaciones.
Seleccione Agregar grupo para abrir el panel Agregar grupo relacionado con la aplicación.
Para la aplicación específica, seleccione un tipo de asignación:
Disponible para dispositivos inscritos: asigne la aplicación a grupos de usuarios que pueden instalar la aplicación desde la aplicación o el sitio web del Portal de empresa.
Disponible con o sin inscripción: asigne esta aplicación a grupos de usuarios cuyos dispositivos no están inscritos con Intune. A los usuarios se les debe asignar una licencia de Intune, consulte Licencias de Intune.
Requerida: la aplicación se instala en dispositivos de los grupos seleccionados. Algunas plataformas pueden tener avisos adicionales para que el usuario final lo confirme antes de que comience la instalación de la aplicación.
Desinstalar: la aplicación se desinstala de los dispositivos de los grupos seleccionados si Intune ha instalado previamente la aplicación en el dispositivo a través de una asignación "Disponible para dispositivos inscritos" o "Requerida" con la misma implementación.
Nota:
Solo para aplicaciones de iOS/iPadOS:
- Para configurar lo que sucede con las aplicaciones administradas cuando los dispositivos ya no se administran, puede seleccionar la configuración prevista en Desinstalar al quitar dispositivos. Para obtener más información, consulte Configuración de desinstalación de aplicaciones para aplicaciones administradas de iOS/iPadOS.
- Si ha creado un perfil de VPN de iOS/iPadOS que contiene la configuración de VPN por aplicación, puede seleccionar el perfil de VPN en VPN. Cuando se ejecuta la aplicación, se abre la conexión VPN. Para obtener más información, consulte Configuración de VPN para dispositivos iOS/iPadOS.
- Para configurar si los usuarios finales instalan una aplicación iOS/iPadOS necesaria como una aplicación extraíble, puede seleccionar la configuración en Instalar como extraíble.
- Para configurar una manera de evitar la copia de seguridad de iCloud de la aplicación iOS/iPadOS administrada, puede hacer clic en una de las siguientes opciones después de agregar una asignación de grupo: VPN, o desinstalar en la eliminación del dispositivo, o instalar como extraíble. A continuación, configure la configuración denominada Impedir copia de seguridad de aplicaciones de iCloud. Para obtener más información, consulte Prevent iCloud app backup setting for iOS/iPadOS and macOS apps (Impedir la configuración de copia de seguridad de aplicaciones de iCloud para aplicaciones iOS/iPadOS y macOS).
Solo para aplicaciones macOS:
- Para configurar una manera de evitar la copia de seguridad de iCloud de la aplicación macOS administrada, puede hacer clic en una de las siguientes opciones después de agregar una asignación de grupo: VPN, o desinstalar en la eliminación del dispositivo o instalar como extraíble. A continuación, configure la configuración denominada Impedir copia de seguridad de aplicaciones de iCloud. Para obtener más información, consulte Prevent iCloud app backup setting for iOS/iPadOS and macOS apps (Impedir la configuración de copia de seguridad de aplicaciones de iCloud para aplicaciones iOS/iPadOS y macOS).
Solo para aplicaciones Android:
- Si implementa una aplicación Android como Disponible con o sin inscripción, el estado de los informes solo estará disponible en los dispositivos inscritos.
Para Disponible para dispositivos inscritos:
- La aplicación solo se muestra como disponible si el usuario que inició sesión en el Portal de empresa es el usuario principal que inscribió el dispositivo y la aplicación es aplicable al dispositivo.
Para seleccionar los grupos de usuarios que se ven afectados por esta asignación de aplicación, seleccione Grupos incluidos.
Después de seleccionar uno o varios grupos para incluir, seleccione Seleccionar.
En el panel Asignar , seleccione Aceptar para completar la selección de grupos incluidos.
Si quiere excluir algún grupo de usuarios para que no se vea afectado por esta asignación de aplicaciones, seleccione Excluir grupos.
Si ha elegido excluir algún grupo, en Seleccionar grupos, seleccione Seleccionar.
En el panel Agregar grupo , seleccione Aceptar.
En el panel Asignaciones de la aplicación, seleccione Guardar.
La aplicación ahora se asigna a los grupos seleccionados. Para obtener más información sobre cómo incluir y excluir asignaciones de aplicaciones, vea Incluir y excluir asignaciones de aplicaciones.
Sugerencia
Intune también admite la asignación de aplicaciones a grupos anidados. Por ejemplo, si asignó una aplicación al grupo "Engineering Global" y tiene "Engineering APAC", "Engineering EMEA" y "Engineering US" anidados como grupos secundarios, los miembros de esos grupos secundarios también se dirigirán a la asignación.
Impedir la configuración de copia de seguridad de aplicaciones de iCloud para aplicaciones iOS/iPadOS y macOS
Los administradores tienen la opción de dejar de realizar copias de seguridad de aplicaciones administradas de App Store y aplicaciones de línea de negocio (LOB) en iOS/iPadOS y aplicaciones administradas de App Store en dispositivos macOS, tanto para aplicaciones de VPP o que no son de VPP con licencia de usuario como de dispositivo. Las aplicaciones lob de macOS no admiten esta configuración. Esta funcionalidad incluye aplicaciones de App Store o LOB nuevas y existentes enviadas con y sin VPP que se agregan a Intune y están destinadas a usuarios y dispositivos. La prevención de la copia de seguridad de las aplicaciones administradas especificadas garantiza que estas aplicaciones se pueden implementar correctamente a través de Intune cuando el dispositivo está inscrito y restaurado desde la copia de seguridad. Si configura la nueva configuración para las aplicaciones nuevas o existentes en el inquilino, las aplicaciones administradas se pueden reinstalar y se reinstalarán para los dispositivos, pero Intune ya no permitirá que se realice una copia de seguridad de ellas.
Nota:
Aunque no esperamos que las aplicaciones administradas de los dispositivos realicen copias de seguridad de datos en iCloud, tenga en cuenta que es posible que los datos guardados localmente para las aplicaciones administradas no estén disponibles después de una copia de seguridad y restauración.
En el caso de los dispositivos existentes, cuando Impedir la copia de seguridad de aplicaciones de iCloud se establece en Sí para una aplicación o aplicaciones, el nuevo comportamiento se actualiza automáticamente para todas las aplicaciones de App Store o LOB necesarias (con o sin VPP). Las aplicaciones necesarias instaladas previamente en los dispositivos se vuelven a configurar automáticamente para todos los dispositivos una vez que el valor de configuración se guarda en Sí. Las aplicaciones disponibles requieren que el usuario vuelva a descargar la aplicación disponible desde la aplicación Portal de empresa o el sitio web del Portal de empresa. Además, en función de las configuraciones y licencias de la aplicación, es posible que sea necesaria una sincronización entre Intune y el dispositivo.
Cómo se resuelven los conflictos entre intenciones de aplicación
Se impide que un único grupo tenga como destino varias intenciones de asignación de aplicaciones, pero si un usuario o un dispositivo es miembro de varios grupos asignados con intenciones diferentes, se producirá un conflicto. No se recomienda crear conflictos de asignación para aplicaciones. La información de la tabla siguiente puede ayudarle a comprender la intención resultante cuando se produce un conflicto:
| Intención del grupo 1 | Intención del grupo 2 | Intención resultante |
|---|---|---|
| Requerido por el usuario | Usuario disponible | Obligatorio y disponible |
| Requerido por el usuario | Desinstalación del usuario | Obligatorio |
| Usuario disponible | Desinstalación del usuario | Desinstalar |
| Requerido por el usuario | Dispositivo requerido | Ambos existen, Intune trata a Requerido |
| Requerido por el usuario | Desinstalación del dispositivo | Ambos existen, Intune resuelve Requerido. |
| Usuario disponible | Dispositivo requerido | Ambos existen, Intune resuelve requerido (obligatorio y disponible) |
| Usuario disponible | Desinstalación del dispositivo | Ambos existen, Intune resuelve Disponible. La aplicación se muestra en el Portal de empresa. Si la aplicación ya está instalada (como una aplicación necesaria con la intención anterior), la aplicación se desinstala. Si el usuario selecciona Instalar en el Portal de empresa, se instala la aplicación y no se respeta la intención de desinstalación. |
| Desinstalación del usuario | Dispositivo requerido | Ambos existen, Intune resuelve Requerido. |
| Desinstalación del usuario | Desinstalación del dispositivo | Ambos existen, Intune resuelve la desinstalación |
| Dispositivo requerido | Desinstalación del dispositivo | Obligatorio |
| Usuario requerido y disponible | Usuario disponible | Obligatorio y disponible |
| Usuario requerido y disponible | Desinstalación del usuario | Obligatorio y disponible |
| Usuario requerido y disponible | Dispositivo requerido | Ambos existen, obligatorios y disponibles |
| Usuario requerido y disponible | Desinstalación del dispositivo | Ambos existen, Intune resuelve requerido (obligatorio y disponible) |
| Usuario disponible sin inscripción | Usuario requerido y disponible | Obligatorio y disponible |
| Usuario disponible sin inscripción | Requerido por el usuario | Obligatorio |
| Usuario disponible sin inscripción | Usuario disponible | Disponible |
| Usuario disponible sin inscripción | Dispositivo requerido | Obligatorio y disponible sin inscripción |
| Usuario disponible sin inscripción | Desinstalación del dispositivo | Desinstale y Esté disponible sin inscripción. Si el usuario no instaló la aplicación desde el Portal de empresa, se respeta la desinstalación. Si el usuario instala la aplicación desde el Portal de empresa, la instalación se prioriza sobre la desinstalación. |
Nota:
Solo para aplicaciones de la tienda iOS administradas, al agregar estas aplicaciones a Microsoft Intune y asignarlas como Requeridas, las aplicaciones se crean automáticamente con las intenciones Requerida y Disponible .
Las aplicaciones de la Tienda iOS (no las aplicaciones de VPP de iOS/iPadOS) destinadas con la intención necesaria se aplicarán en el dispositivo en el momento de la protección del dispositivo y también se mostrarán en la aplicación Portal de empresa.
Cuando se producen conflictos en la configuración Desinstalar al quitar el dispositivo , la aplicación no se quita del dispositivo cuando el dispositivo ya no se administra.
Nota:
El usuario no puede desinstalar manualmente las aplicaciones implementadas como Necesarias para el perfil de trabajo de propiedad corporativa y los dispositivos totalmente administrados de propiedad corporativa.
Implementación administrada de aplicaciones de Google Play en dispositivos no administrados
En el caso de los dispositivos Android no inscritos, puede usar Google Play administrado para implementar aplicaciones de tienda y aplicaciones de línea de negocio (LOB) para los usuarios. Una vez implementada, puede usar Administración de aplicaciones móviles (MAM) para administrar las aplicaciones. Las aplicaciones de Google Play administradas dirigidas como Disponibles con o sin inscripción aparecerán en la aplicación Play Store en el dispositivo del usuario final y no en la aplicación Portal de empresa. El usuario final examinará e instalará las aplicaciones implementadas de esta manera desde la aplicación Play. Dado que las aplicaciones se instalan desde Google Play administrado, el usuario final no tendrá que modificar la configuración del dispositivo para permitir la instalación de aplicaciones desde orígenes desconocidos, lo que significa que los dispositivos serán más seguros. Si el desarrollador de la aplicación publica una nueva versión de una aplicación para reproducir que se instaló en el dispositivo de un usuario, Play actualizará la aplicación automáticamente.
Pasos para asignar una aplicación de Google Play administrada a dispositivos no administrados:
Conecte el inquilino de Intune a Google Play administrado. Si ya lo ha hecho para administrar dispositivos de perfil de trabajo de propiedad personal, dedicados, totalmente administrados o corporativos de Android Enterprise, no es necesario volver a hacerlo.
Agregue aplicaciones de Google Play administrado al Centro de administración de Intune.
Tenga como destino las aplicaciones administradas de Google Play como Disponibles con o sin inscripción en el grupo de usuarios deseado. La selección de destino de aplicaciones requerida y desinstalada no se admite para dispositivos no inscritos.
Asigne una directiva de Protección de aplicaciones al grupo de usuarios.
El usuario inicia sesión en cualquier aplicación protegida.
La próxima vez que el usuario final abra la aplicación Portal de empresa y complete el proceso de inicio de sesión, verá un mensaje que indica en la sección Aplicaciones que hay aplicaciones disponibles para ellos. El usuario puede seleccionar esta notificación para navegar a Play Store.
Nota:
Puede configurar las opciones de configuración de inscripción de dispositivos para que sean Disponibles, Sin avisos o No disponible. Esta configuración impedirá que el usuario inscriba involuntariamente su dispositivo o reciba notificaciones para inscribir su dispositivo después de haber iniciado sesión en el Portal de empresa.
El usuario final puede expandir el menú contextual dentro de la aplicación Play Store y cambiar entre su cuenta personal de Google (donde ve sus aplicaciones personales) y su cuenta profesional (donde verá las aplicaciones de tienda y LOB destinadas a ellas). Los usuarios finales instalan las aplicaciones pulsando Instalar en la aplicación Play Store.
Cuando se emite un borrado selectivo de aplicaciones en el Centro de administración de Intune, la cuenta profesional se quitará automáticamente de la aplicación Play Store y el usuario final dejará de ver las aplicaciones de trabajo en el catálogo de aplicaciones de Play Store. Cuando se quita la cuenta profesional de un dispositivo, las aplicaciones instaladas desde Play Store permanecerán instaladas en el dispositivo y no se desinstalarán.
Configuración de desinstalación de aplicaciones para aplicaciones administradas de iOS
En el caso de los dispositivos iOS/iPadOS, puede elegir qué ocurre con las aplicaciones administradas al anular la inscripción del dispositivo de Intune o quitar el perfil de administración mediante la opción Desinstalar en la eliminación del dispositivo . Esta configuración solo se aplica a las aplicaciones después de que el dispositivo está inscrito y las aplicaciones se instalan como administradas. La configuración no se puede configurar para aplicaciones web o vínculos web. Solo los datos protegidos por Administración de aplicaciones móviles (MAM) se quitan después de la retirada mediante un borrado selectivo de aplicaciones.
Los valores predeterminados de la configuración se rellenan previamente para las nuevas asignaciones como se indica a continuación:
| Tipo de aplicación de iOS | Configuración predeterminada para "Desinstalar en la eliminación del dispositivo" |
|---|---|
| Aplicación de línea de negocio | Yes |
| Aplicación de la tienda | No |
| Aplicación VPP | No |
| Aplicación integrada | No |
Nota:
Tipos de asignación "Disponibles": Si va a actualizar esta configuración para los grupos "disponible para dispositivos inscritos" o "disponible con o sin inscripción", los usuarios que ya tengan la aplicación administrada no obtendrán la configuración actualizada hasta que sincronicen el dispositivo con Intune y vuelvan a instalar la aplicación.
Asignaciones preexistedas: La configuración de desinstalación de aplicaciones se introdujo en mayo de 2019. Las asignaciones que existían antes de esta fecha no se modifican y todas las aplicaciones administradas se quitarán al quitar el dispositivo de la administración. Si la asignación se creó antes de mayo de 2019, es posible que tenga que establecer explícitamente la configuración Desinstale la aplicación, ya que es posible que la configuración predeterminada anterior no se aplique.
Siguientes pasos
Para más información sobre la supervisión de las asignaciones de aplicaciones, consulte Supervisión de aplicaciones.