Marco de protección de datos con directivas de protección de aplicaciones

A medida que más organizaciones implementan estrategias de dispositivos móviles para acceder a datos profesionales o educativos, la protección contra la pérdida de datos es fundamental. la solución de administración de aplicaciones móviles de Intune para protegerse contra la pérdida de datos es Directivas de protección de aplicaciones (APP). LA APLICACIÓN son reglas que garantizan que los datos de una organización permanezcan seguros o contenidos en una aplicación administrada, independientemente de si el dispositivo está inscrito. Para obtener más información, consulte introducción a las directivas de Protección de aplicaciones.

Al configurar directivas de Protección de aplicaciones, el número de varias opciones y opciones permite a las organizaciones adaptar la protección a sus necesidades específicas. Debido a esta flexibilidad, puede que no sea obvio qué permutación de la configuración de directiva es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar los esfuerzos de protección de puntos de conexión de cliente, Microsoft ha introducido una nueva taxonomía para las configuraciones de seguridad en Windows 10 y Intune está aprovechando una taxonomía similar para su marco de protección de datos de APLICACIONES para la administración de aplicaciones móviles.

El marco de configuración de protección de datos de APP se organiza en tres escenarios de configuración distintos:

  • Protección de datos básica de empresa de nivel 1: Microsoft recomienda esta configuración como configuración de protección de datos mínima para un dispositivo empresarial.

  • Protección de datos mejorada para empresas de nivel 2: Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial o confidencial. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.

  • Alta protección de datos de nivel 3 empresarial: Microsoft recomienda esta configuración para los dispositivos ejecutados por una organización con un equipo de seguridad más grande o más sofisticado, o para usuarios o grupos específicos que están en un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material para la organización). Una organización que probablemente esté dirigida por adversarios sofisticados y bien financiados debe aspirar a esta configuración.

Metodología de implementación de APP Data Protection Framework

Al igual que con cualquier implementación de software, características o configuración nuevos, Microsoft recomienda invertir en una metodología de anillos para probar la validación antes de implementar el marco de protección de datos de APP. La definición de anillos de implementación suele ser un evento único (o al menos poco frecuente), pero EL TI debe volver a consultar estos grupos para asegurarse de que la secuenciación sigue siendo correcta.

Microsoft recomienda el siguiente enfoque de anillo de implementación para el marco de protección de datos de APP:

Anillo de implementación Tenant Equipos de evaluación Salida Escala de tiempo
Control de calidad Inquilino de preproducción Propietarios de funcionalidades móviles, seguridad, evaluación de riesgos, privacidad, experiencia de usuario Validación del escenario funcional, documentación de borrador De 0 a 30 días
Preview Inquilino de producción Propietarios de funcionalidades móviles, experiencia de usuario Validación del escenario del usuario final, documentación orientada al usuario De 7 a 14 días, después del control de calidad
Producción Inquilino de producción Propietarios de funcionalidades móviles, departamento de soporte técnico de TI N/D De 7 días a varias semanas, después de la versión preliminar

Como indica la tabla anterior, todos los cambios en las directivas de Protección de aplicaciones deben realizarse primero en un entorno de preproducción para comprender las implicaciones de la configuración de directivas. Una vez completadas las pruebas, los cambios se pueden mover a producción y aplicarse a un subconjunto de usuarios de producción, por lo general, el departamento de TI y otros grupos aplicables. Y, por último, el lanzamiento se puede completar en el resto de la comunidad de usuarios móviles. La implementación en producción puede tardar más tiempo en función de la escala de impacto en relación con el cambio. Si no hay ningún impacto en el usuario, el cambio debe implementarse rápidamente, mientras que, si el cambio tiene como resultado un impacto en el usuario, es posible que el lanzamiento tenga que ir más lento debido a la necesidad de comunicar los cambios al rellenado de usuarios.

Al probar los cambios en una aplicación, tenga en cuenta el tiempo de entrega. Se puede supervisar el estado de la entrega de aplicaciones para un usuario determinado. Para obtener más información, consulte Supervisión de directivas de protección de aplicaciones.

La configuración de aplicación individual para cada aplicación se puede validar en dispositivos mediante Microsoft Edge y la dirección URL about:Intunehelp. Para obtener más información, consulte Revisión de los registros de protección de aplicaciones cliente y Uso de Microsoft Edge para iOS y Android para acceder a los registros de aplicaciones administradas.

Configuración de APP Data Protection Framework

La siguiente configuración de directiva de Protección de aplicaciones debe estar habilitada para las aplicaciones aplicables y asignada a todos los usuarios móviles. Para obtener más información sobre cada configuración de directiva, consulte Configuración de directivas de protección de aplicaciones de iOS y Configuración de directivas de protección de aplicaciones Android.

Microsoft recomienda revisar y categorizar escenarios de uso y, a continuación, configurar usuarios mediante las instrucciones prescriptivas para ese nivel. Al igual que con cualquier marco, es posible que sea necesario ajustar la configuración dentro de un nivel correspondiente en función de las necesidades de la organización, ya que la protección de datos debe evaluar el entorno de amenaza, el apetito de riesgo y el impacto en la facilidad de uso.

Los administradores pueden incorporar los siguientes niveles de configuración dentro de su metodología de implementación en anillo para el uso de pruebas y producción importando el ejemplo Intune plantillas JSON de App Protection Policy Configuration Framework con los scripts de PowerShell de Intune.

Directivas de acceso condicional

Para asegurarse de que solo las aplicaciones compatibles con App Protection Poliies acceden a datos de cuentas profesionales o educativas, se requieren directivas de acceso condicional Microsoft Entra. Estas directivas se describen en Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones.

Consulte Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones con dispositivos móviles en Acceso condicional: Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones para conocer los pasos para implementar las directivas específicas. Por último, implemente los pasos descritos en Bloquear la autenticación heredada para bloquear aplicaciones iOS y Android compatibles con la autenticación heredada.

Nota:

Estas directivas aprovechan los controles de concesión Requerir aplicación cliente aprobada y Requerir directiva de protección de aplicaciones.

Aplicaciones que se incluirán en las directivas de Protección de aplicaciones

Para cada directiva de App Protection, el grupo de Microsoft Apps principal está destinado, lo que incluye las siguientes aplicaciones:

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • Tareas pendientes
  • Word

Las directivas deben incluir otras aplicaciones de Microsoft basadas en necesidades empresariales, aplicaciones públicas de terceros adicionales que hayan integrado el SDK de Intune que se usa en la organización, así como aplicaciones de línea de negocio que hayan integrado el SDK de Intune (o que se hayan encapsulado).

Protección de datos básica de empresa de nivel 1

El nivel 1 es la configuración mínima de protección de datos para un dispositivo móvil empresarial. Esta configuración reemplaza la necesidad de directivas básicas de acceso a dispositivos Exchange Online al requerir un PIN para acceder a los datos profesionales o educativos, cifrar los datos de la cuenta profesional o educativa y proporcionar la capacidad de borrar selectivamente los datos de la escuela o del trabajo. Sin embargo, a diferencia de Exchange Online directivas de acceso a dispositivos, la siguiente configuración de directiva de protección de aplicaciones se aplica a todas las aplicaciones seleccionadas en la directiva, lo que garantiza que el acceso a los datos esté protegido más allá de los escenarios de mensajería móvil.

Las directivas del nivel 1 aplican un nivel de acceso a datos razonable al tiempo que minimizan el impacto en los usuarios y reflejan la configuración predeterminada de los requisitos de acceso y protección de datos al crear una directiva de protección de aplicaciones dentro de Microsoft Intune.

Protección de datos

Configuración Descripción de la configuración Valor Plataforma
Transferencia de datos Copia de seguridad de datos de la organización para... Permitir iOS/iPadOS, Android
Transferencia de datos Envío de datos de la organización a otras aplicaciones Todas las aplicaciones iOS/iPadOS, Android
Transferencia de datos Envío de datos de la organización a Todos los destinos Windows
Transferencia de datos Recibir datos de otras aplicaciones Todas las aplicaciones iOS/iPadOS, Android
Transferencia de datos Recibir datos de Todos los orígenes Windows
Transferencia de datos Restringir cortar, copiar y pegar entre aplicaciones Cualquier aplicación iOS/iPadOS, Android
Transferencia de datos Permitir cortar, copiar y pegar para Cualquier destino y cualquier origen Windows
Transferencia de datos Teclados de terceros Permitir iOS/iPadOS
Transferencia de datos Teclados aprobados No es necesario Android
Transferencia de datos Captura de pantalla y Google Assistant Permitir Android
Cifrado Cifrado de datos de la organización Obligatoria iOS/iPadOS, Android
Cifrado Cifrado de datos de la organización en dispositivos inscritos Obligatoria Android
Funcionalidad Sincronización de la aplicación con la aplicación de contactos nativos Permitir iOS/iPadOS, Android
Funcionalidad Impresión de datos de la organización Permitir iOS/iPadOS, Android, Windows
Funcionalidad Restringir la transferencia de contenido web con otras aplicaciones Cualquier aplicación iOS/iPadOS, Android
Funcionalidad Notificaciones de datos de la organización Permitir iOS/iPadOS, Android

Requisitos de acceso

Configuración Valor Plataforma Notas
PIN para acceder Obligatoria iOS/iPadOS, Android
Tipo de PIN Numérico iOS/iPadOS, Android
PIN simple Permitir iOS/iPadOS, Android
Seleccione Longitud mínima del PIN 4 iOS/iPadOS, Android
Touch ID en lugar de PIN para el acceso (iOS 8+/iPadOS) Permitir iOS/iPadOS
Invalidación de la biometría con el PIN después del tiempo de espera Obligatoria iOS/iPadOS, Android
Tiempo de espera (minutos de actividad) 1440 iOS/iPadOS, Android
Face ID en lugar de PIN para el acceso (iOS 11+/iPadOS) Permitir iOS/iPadOS
Biometría en lugar de PIN para el acceso Permitir iOS/iPadOS, Android
Restablecimiento del PIN después de un número de días No iOS/iPadOS, Android
Seleccionar el número de valores de PIN anteriores que se van a mantener 0 Android
PIN de aplicación cuando está establecido el PIN del dispositivo Obligatoria iOS/iPadOS, Android Si el dispositivo está inscrito en Intune, los administradores pueden considerar la posibilidad de establecerlo en "No necesario" si están aplicando un PIN de dispositivo seguro a través de una directiva de cumplimiento de dispositivos.
Credenciales de cuenta profesional o educativa para el acceso No es necesario iOS/iPadOS, Android
Volver a comprobar los requisitos de acceso tras (minutos de inactividad) 30 iOS/iPadOS, Android

Lanzamiento condicional

Configuración Descripción de la configuración Valor/acción Plataforma Notas
Condiciones de la aplicación N.º máximo de intentos de PIN 5/ Restablecer PIN iOS/iPadOS, Android
Condiciones de la aplicación Período de gracia sin conexión 10080/ Bloquear acceso (minutos) iOS/iPadOS, Android, Windows
Condiciones de la aplicación Período de gracia sin conexión 90 / Borrar datos (días) iOS/iPadOS, Android, Windows
Condiciones del dispositivo Dispositivos con jailbreak o rooting N/A/Bloquear acceso iOS/iPadOS, Android
Condiciones del dispositivo Certificación de dispositivo SafetyNet Integridad básica y dispositivos certificados/Bloquear acceso Android

Esta configuración configura la comprobación de integridad del dispositivo de Google Play en los dispositivos del usuario final. La integridad básica valida la integridad del dispositivo. Por ejemplo, dispositivos con rooting, emuladores, dispositivos virtuales y cualquier otro dispositivo con signos de error de integridad básica por manipulación.

La opción de integridad básica y dispositivos certificados valida la compatibilidad del dispositivo con los servicios de Google. Solo superan esta comprobación aquellos dispositivos que no se han manipulado y estén certificados por Google.

Condiciones del dispositivo Requerir examen de amenazas en aplicaciones N/A/Bloquear acceso Android Este valor garantiza que el examen de verificación de aplicaciones de Google está activado para los dispositivos de los usuarios finales. Si se configura, el usuario final se bloqueará el acceso hasta que active el examen de aplicaciones de Google en su dispositivo Android.
Condiciones del dispositivo Nivel máximo de amenazas de dispositivo permitido Acceso bajo/bloqueado Windows
Condiciones del dispositivo Requerir bloqueo de dispositivo Baja/Advertencia Android Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña.

Nota:

La configuración de inicio condicional de Windows se etiqueta como Comprobaciones de estado.

Protección de datos mejorada para empresas de nivel 2

El nivel 2 es la configuración de protección de datos recomendada como estándar para los dispositivos en los que los usuarios acceden a información más confidencial. Estos dispositivos son un objetivo natural en las empresas de hoy en día. Estas recomendaciones no suponen un gran personal de profesionales de seguridad altamente cualificados y, por lo tanto, deben ser accesibles para la mayoría de las organizaciones empresariales. Esta configuración se expande a la configuración del nivel 1 mediante la restricción de escenarios de transferencia de datos y la necesidad de una versión mínima del sistema operativo.

Importante

La configuración de directiva aplicada en el nivel 2 incluye todas las opciones de configuración de directiva recomendadas para el nivel 1. Sin embargo, el nivel 2 solo enumera las opciones que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 1. Aunque esta configuración puede tener un impacto ligeramente mayor en los usuarios o en las aplicaciones, aplican un nivel de protección de datos más acorde con los riesgos a los que se enfrentan los usuarios con acceso a información confidencial en dispositivos móviles.

Protección de datos

Configuración Descripción de la configuración Valor Plataforma Notas
Transferencia de datos Copia de seguridad de datos de la organización para... Bloquear iOS/iPadOS, Android
Transferencia de datos Envío de datos de la organización a otras aplicaciones Aplicaciones administradas por directivas iOS/iPadOS, Android

Con iOS/iPadOS, los administradores pueden configurar este valor para que sea "Aplicaciones administradas por directivas", "Aplicaciones administradas por directivas con uso compartido del sistema operativo" o "Aplicaciones administradas por directivas con filtrado de Open-In/Share".

Las aplicaciones administradas por directivas con uso compartido del sistema operativo están disponibles cuando el dispositivo también está inscrito con Intune. Esta configuración permite la transferencia de datos a otras aplicaciones administradas por directivas y las transferencias de archivos a otras aplicaciones administradas por Intune.

Las aplicaciones administradas por directivas con filtrado de open-in/share filtran los cuadros de diálogo Abrir o compartir del sistema operativo para mostrar solo las aplicaciones administradas por directivas.

Para obtener más información, consulte configuración de directivas de protección de aplicaciones de iOS.

Transferencia de datos Envío o datos a Sin destinos Windows
Transferencia de datos Recibir datos de Sin orígenes Windows
Transferencia de datos Seleccionar las aplicaciones que quedan exentas Valor predeterminado/ skype; app-settings; calshow; itms; itmss; itms-apps; itms-apps; itms-services; iOS/iPadOS
Transferencia de datos Guardar copias de los datos de la organización Bloquear iOS/iPadOS, Android
Transferencia de datos Permitir a los usuarios guardar copias en los servicios seleccionados OneDrive para la Empresa, SharePoint Online, Biblioteca de fotos iOS/iPadOS, Android
Transferencia de datos Transfer telecommunications data to (Transferir datos de telecomunicaciones a) Cualquier de aplicación de marcador iOS/iPadOS, Android
Transferencia de datos Restringir cortar, copiar y pegar entre aplicaciones Aplicaciones administradas por directivas con pegado iOS/iPadOS, Android
Transferencia de datos Permitir cortar, copiar y pegar para Sin destino ni origen Windows
Transferencia de datos Captura de pantalla y Google Assistant Bloquear Android
Funcionalidad Restringir la transferencia de contenido web con otras aplicaciones Microsoft Edge iOS/iPadOS, Android
Funcionalidad Notificaciones de datos de la organización Bloquear datos de la organización iOS/iPadOS, Android Para obtener una lista de las aplicaciones que admiten esta configuración, consulte configuración de directivas de protección de aplicaciones de iOS y configuración de directivas de protección de aplicaciones Android.

Lanzamiento condicional

Configuración Descripción de la configuración Valor/acción Plataforma Notas
Condiciones de la aplicación Cuenta deshabilitada N/A/Bloquear acceso iOS/iPadOS, Android, Windows
Condiciones del dispositivo Versión mínima del sistema operativo Formato: Major.Minor.Build
Ejemplo: 14.8
/Bloquear acceso
iOS/iPadOS Microsoft recomienda configurar la versión principal mínima de iOS para que coincida con las versiones de iOS compatibles con las aplicaciones de Microsoft. Las aplicaciones de Microsoft admiten un enfoque N-1 en el que N es la versión de versión principal de iOS actual. En el caso de los valores de versión secundaria y de compilación, Microsoft recomienda garantizar que los dispositivos estén actualizados con las actualizaciones de seguridad respectivas. Consulte Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple.
Condiciones del dispositivo Versión mínima del sistema operativo Formato: Major.Minor
Ejemplo: 9.0
/Bloquear acceso
Android Microsoft recomienda configurar la versión principal mínima de Android para que coincida con las versiones de Android compatibles con las aplicaciones de Microsoft. Los OEM y los dispositivos que se adhieren a los requisitos recomendados de Android Enterprise deben ser compatibles con la versión de publicación actual y una actualización posterior. Actualmente, Android recomienda Android 9.0 y versiones posteriores para los profesionales que trabajan con datos. Consulte Android Enterprise Recommended requirements for Android's latest recommendations (Requisitos recomendados de Android Enterprise para las recomendaciones más recientes de Android)
Condiciones del dispositivo Versión mínima del sistema operativo Formato: Compilación
Ejemplo: 10.0.22621.2506
/ Bloquear acceso
Windows Microsoft recomienda configurar la compilación mínima de Windows para que coincida con las versiones compatibles de Windows para aplicaciones de Microsoft. Actualmente, Microsoft recomienda lo siguiente:
Condiciones del dispositivo Versión de revisión mínima Formato: AAAA-MM-DD
Ejemplo: 2020-01-01
/Bloquear acceso
Android Los dispositivos Android pueden recibir actualizaciones de seguridad mensuales, pero la versión depende del OEM o de los operadores. Las organizaciones deben asegurarse de que los dispositivos Android implementados reciban actualizaciones de seguridad antes de implementar esta configuración. Consulte Los boletines de seguridad de Android para obtener las versiones de revisión más recientes.
Condiciones del dispositivo Tipo de evaluación de SafetyNet requerido Clave respaldada por hardware Android La atestación respaldada por hardware mejora la comprobación del servicio Play Integrity de Google existente mediante la aplicación de un nuevo tipo de evaluación denominado Hardware Backed, lo que proporciona una detección raíz más sólida en respuesta a los tipos más recientes de herramientas y métodos de rooting que no siempre se pueden detectar de forma confiable mediante una solución de solo software.

Como su nombre indica, la atestación respaldada por hardware usa un componente basado en hardware, que se incluye con dispositivos instalados con Android 8.1 y versiones posteriores. Es poco probable que los dispositivos que se actualizaron desde una versión anterior de Android a Android 8.1 tengan los componentes basados en hardware necesarios para la atestación basada en hardware. Aunque esta configuración debe ser ampliamente compatible a partir de los dispositivos que se suministran con Android 8.1, Microsoft recomienda encarecidamente probar los dispositivos individualmente antes de habilitar esta configuración de directiva en general.

Condiciones del dispositivo Requerir bloqueo de dispositivo Acceso medio/en bloque Android Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña.
Condiciones del dispositivo Atestación de dispositivos Samsung Knox Bloquear acceso Android Microsoft recomienda configurar la configuración de atestación de dispositivos Samsung Knox en Bloquear el acceso para asegurarse de que la cuenta de usuario está bloqueada si el dispositivo no cumple la comprobación basada en hardware de Samsung Knox del estado del dispositivo. Esta configuración comprueba todas las Intune respuestas del cliente MAM al servicio Intune se enviaron desde un dispositivo en buen estado.

Esta configuración se aplica a todos los dispositivos de destino. Para aplicar esta configuración solo a dispositivos Samsung, puede usar filtros de asignación "Aplicaciones administradas". Para obtener más información sobre los filtros de asignación, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune.

Condiciones de la aplicación Período de gracia sin conexión 30 / Borrar datos (días) iOS/iPadOS, Android, Windows

Nota:

La configuración de inicio condicional de Windows se etiqueta como Comprobaciones de estado.

Protección de datos alta empresarial de nivel 3

El nivel 3 es la configuración de protección de datos recomendada como estándar para organizaciones con organizaciones de seguridad grandes y sofisticadas, o para usuarios y grupos específicos a los que se dirigirán de forma exclusiva los adversarios. Estas organizaciones suelen estar destinadas a adversarios sofisticados y bien financiados, y, como tal, merecen las restricciones y controles adicionales descritos. Esta configuración se expande a la configuración en el nivel 2 mediante la restricción de escenarios de transferencia de datos adicionales, el aumento de la complejidad de la configuración del PIN y la incorporación de la detección de amenazas móviles.

Importante

La configuración de directiva aplicada en el nivel 3 incluye todas las opciones de configuración de directiva recomendadas para el nivel 2, pero solo enumera las opciones siguientes que se han agregado o cambiado para implementar más controles y una configuración más sofisticada que el nivel 2. Esta configuración de directiva puede tener un impacto potencialmente significativo para los usuarios o para las aplicaciones, lo que exige un nivel de seguridad acorde con los riesgos a los que se enfrentan las organizaciones de destino.

Protección de datos

Configuración Descripción de la configuración Valor Plataforma Notas
Transferencia de datos Transfer telecommunications data to (Transferir datos de telecomunicaciones a) Cualquier aplicación de marcado administrada por directivas Android Los administradores también pueden configurar esta configuración para usar una aplicación de marcador que no admita directivas de protección de aplicaciones seleccionando Una aplicación de marcador específica y proporcionando los valores de Id . de paquete de aplicación de marcador y Nombre de aplicación de marcador .
Transferencia de datos Transfer telecommunications data to (Transferir datos de telecomunicaciones a) Una aplicación de marcador específica iOS/iPadOS
Transferencia de datos Esquema de la dirección URL de la aplicación de marcador replace_with_dialer_app_url_scheme iOS/iPadOS En iOS/iPadOS, este valor debe reemplazarse por el esquema de dirección URL de la aplicación de marcado personalizada que se usa. Si no se conoce el esquema de dirección URL, póngase en contacto con el desarrollador de la aplicación para obtener más información. Para obtener más información sobre los esquemas de direcciones URL, consulte Definición de un esquema de dirección URL personalizado para la aplicación.
Transferencia de datos Recibir datos de otras aplicaciones Aplicaciones administradas por directivas iOS/iPadOS, Android
Transferencia de datos Abrir datos en documentos de la organización Bloquear iOS/iPadOS, Android
Transferencia de datos Permitir a los usuarios abrir datos de servicios seleccionados OneDrive para la Empresa, SharePoint, Cámara, Biblioteca de fotos iOS/iPadOS, Android Para obtener información relacionada, consulte Configuración de directivas de protección de aplicaciones android y configuración de directivas de protección de aplicaciones de iOS.
Transferencia de datos Teclados de terceros Bloquear iOS/iPadOS En iOS/iPadOS, esto impide que todos los teclados de terceros funcionen dentro de la aplicación.
Transferencia de datos Teclados aprobados Obligatoria Android
Transferencia de datos Selección de teclados para aprobar agregar o quitar teclados Android Con Android, los teclados deben seleccionarse para poder usarse en función de los dispositivos Android implementados.
Funcionalidad Imprimir datos de la organización Bloquear iOS/iPadOS, Android, Windows

Requisitos de acceso

Configuración Valor Plataforma
PIN simple Bloquear iOS/iPadOS, Android
Seleccione Longitud mínima del PIN 6 iOS/iPadOS, Android
Restablecimiento del PIN después de un número de días iOS/iPadOS, Android
Número de días 365 iOS/iPadOS, Android
Biometría de clase 3 (Android 9.0+) Obligatoria Android
Invalidación de biometría con PIN después de actualizaciones biométricas Obligatoria Android

Lanzamiento condicional

Configuración Descripción de la configuración Valor/acción Plataforma Notas
Condiciones del dispositivo Requerir bloqueo de dispositivo Acceso alto o en bloque Android Esta configuración garantiza que los dispositivos Android tengan una contraseña de dispositivo que cumpla los requisitos mínimos de contraseña.
Condiciones del dispositivo Nivel máximo de amenazas de dispositivo permitido Acceso protegido o bloqueado Windows
Condiciones del dispositivo Dispositivos con jailbreak o rooting N/A/Borrar datos iOS/iPadOS, Android
Condiciones del dispositivo Nivel máximo de amenaza permitida Acceso protegido o bloqueado iOS/iPadOS, Android

Los dispositivos no inscritos se pueden inspeccionar en busca de amenazas mediante Mobile Threat Defense. Para obtener más información, consulte Mobile Threat Defense para dispositivos no inscritos.

Si el dispositivo está inscrito, esta configuración se puede omitir en favor de la implementación de Mobile Threat Defense para dispositivos inscritos. Para más información, consulte Defensa contra amenazas móviles para dispositivos inscritos.

Condiciones del dispositivo Versión máxima del sistema operativo Formato: Major.Minor
Ejemplo: 11.0
/ Bloquear acceso
Android Microsoft recomienda configurar la versión principal de Android máxima para garantizar que no se usen versiones beta o no compatibles del sistema operativo. Consulte Android Enterprise Recommended requirements for Android's latest recommendations (Requisitos recomendados de Android Enterprise para las recomendaciones más recientes de Android)
Condiciones del dispositivo Versión máxima del sistema operativo Formato: Major.Minor.Build
Ejemplo: 15.0
/ Bloquear acceso
iOS/iPadOS Microsoft recomienda configurar la versión principal máxima de iOS/iPadOS para garantizar que no se usen versiones beta o no compatibles del sistema operativo. Consulte Actualizaciones de seguridad de Apple para ver las recomendaciones más recientes de Apple.
Condiciones del dispositivo Versión máxima del sistema operativo Formato: Major.Minor
Ejemplo: 22631.
/ Bloquear el acceso
Windows Microsoft recomienda configurar la versión principal máxima de Windows para garantizar que no se usen versiones beta o no compatibles del sistema operativo.
Condiciones del dispositivo Atestación de dispositivos Samsung Knox Borrar datos Android Microsoft recomienda configurar la configuración de atestación del dispositivo Samsung Knox en Borrar datos para asegurarse de que los datos de la organización se quitan si el dispositivo no cumple la comprobación basada en hardware de Knox de Samsung del estado del dispositivo. Esta configuración comprueba todas las Intune respuestas del cliente MAM al servicio Intune se enviaron desde un dispositivo en buen estado.

Esta configuración se aplicará a todos los dispositivos de destino. Para aplicar esta configuración solo a dispositivos Samsung, puede usar filtros de asignación "Aplicaciones administradas". Para obtener más información sobre los filtros de asignación, consulte Uso de filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune.

Condiciones de la aplicación Período de gracia sin conexión 30 / Bloquear acceso (días) iOS/iPadOS, Android, Windows

Pasos siguientes

Los administradores pueden incorporar los niveles de configuración anteriores dentro de su metodología de implementación en anillo para probar y usar la producción importando el ejemplo Intune plantillas JSON de App Protection Policy Configuration Framework con scripts de PowerShell de Intune.

Vea también