Directivas de buzones de dispositivos móviles en Exchange Online
En Microsoft 365 o Office 365, puede crear directivas de buzón de dispositivo móvil para aplicar un conjunto común de directivas o configuración de seguridad a una colección de usuarios. Se crea una directiva de buzón de dispositivo móvil predeterminada en cada organización de Microsoft 365 o Office 365.
Resumen de las directivas de buzones de dispositivos móviles
Puede usar las directivas de buzones de dispositivos móviles para administrar diferentes parámetros de configuración. Entre estas opciones se incluyen:
- Requerir contraseña
- Especificar la longitud mínima de la contraseña
- Permitir un PIN numérico o requerir caracteres especiales en la contraseña
- Designar el tiempo que puede permanecer inactivo un dispositivo antes de solicitar al usuario que vuelva a escribir la contraseña
- Borrar un dispositivo tras un número específico de intentos de contraseña erróneos
Configuración de contraseñas de dispositivos móviles y biometría
Muchos dispositivos móviles admiten biometría, como Apple Touch ID o Face ID. Las directivas de buzón de dispositivo móvil de Exchange no controlan si se puede usar la biometría en lugar de escribir el PIN del dispositivo. Las directivas de buzón de dispositivo móvil se pueden configurar para requerir un PIN de dispositivo, pero los usuarios controlan si usan biometría después de cumplir con el requisito del PIN del dispositivo.
Los clientes que necesiten un control avanzado sobre el uso de la biometría deben tener en cuenta soluciones de inscripción de dispositivos, como Microsoft Intune. Para obtener más información, vea Deploying Outlook for iOS and Android app configuration settings (Implementación de outlook para iOS y configuración de aplicaciones Android).
Configuración de contraseña de dispositivo móvil y Android
Android 9.0 y versiones anteriores usan la funcionalidad de administrador de dispositivos Android para administrar la configuración de contraseña del dispositivo definida en una directiva de buzón de dispositivo móvil.
Con Android 10.0 y versiones posteriores, Android ha quitado la funcionalidad de administrador de dispositivos. En su lugar, las aplicaciones que requieren un bloqueo de pantalla consultan la complejidad del bloqueo de pantalla del dispositivo (o del perfil de trabajo) mediante la API getPasswordComplexity . Las aplicaciones que requieren un bloqueo de pantalla más seguro dirigen al usuario a la configuración de bloqueo de pantalla del sistema , lo que permite al usuario actualizar la configuración de seguridad para que sea compatible. En ningún momento la aplicación conoce la contraseña del usuario; la aplicación solo conoce el nivel de complejidad de la contraseña. Android admite los cuatro niveles de complejidad de contraseña siguientes:
| Nivel de complejidad de contraseña | Requisitos de contraseña |
|---|---|
| Ninguno | No se configuran los requisitos de contraseña. |
| Bajo | La contraseña puede ser un patrón o un PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468). |
| Mediano | Contraseñas que cumplen uno de los siguientes criterios:
|
| Alto | Contraseñas que cumplen uno de los siguientes criterios:
|
Los niveles de complejidad de contraseña de Android se asignan a la siguiente configuración de directiva de buzón de dispositivo móvil de Exchange:
| Configuración de directiva de buzón de dispositivo móvil | Nivel de complejidad de contraseña de Android |
|---|---|
| Contraseña habilitada = false | Ninguno |
| Permitir contraseña simple = true Longitud mínima de < la contraseña 4 |
Bajo |
| Contraseña alfanumérica requerida = false Longitud mínima de >la contraseña = 4 Longitud mínima de < la contraseña 8 |
Mediano |
| Contraseña alfanumérica requerida = true Longitud mínima de < la contraseña 6 |
Mediano |
| Contraseña alfanumérica requerida = false Longitud mínima de >la contraseña = 8 |
Alto |
| Contraseña alfanumérica requerida = true Longitud mínima de >la contraseña = 6 |
Alto |
Configuración de directivas de buzón de dispositivo móvil
En la tabla siguiente se resume la configuración que puede especificar mediante directivas de buzón de dispositivo móvil: Configuración de la directiva de buzón de dispositivo móvil
| Configuración | Descripción |
|---|---|
| Permitir Bluetooth | Esta configuración especifica si el dispositivo móvil admite conexiones Bluetooth. Las opciones disponibles son Deshabilitar, Solo manos libres y Permitir. El valor predeterminado es Allow. |
| Permitir explorador | Esta configuración especifica si se permite Pocket Internet Explorer en el dispositivo móvil. Esta configuración no afecta a exploradores de terceros que estén instalados en el dispositivo móvil. El valor predeterminado es $true. |
| Permitir cámara | Esta configuración especifica si se puede usar la cámara del dispositivo móvil. El valor predeterminado es $true. |
| Permitir correo electrónico del consumidor | Esta configuración especifica si el usuario del dispositivo móvil puede configurar una cuenta de correo personal (POP3 o IMAP4) en el dispositivo móvil. El valor predeterminado es $true. Esta configuración no controla el acceso a las cuentas de correo que usan programas de correo de terceros para dispositivos móviles. |
| Permitir Desktop Sync | Esta configuración especifica si el dispositivo móvil se puede sincronizar con un equipo por cable, Bluetooth o conexión IrDA. El valor predeterminado es $true. |
| Permitir la administración de dispositivos externos | Esta configuración permite especificar si un programa de administración de dispositivo externo tiene permiso para administrar el dispositivo. |
| Permitir correo electrónico HTML | Esta configuración especifica si el correo electrónico sincronizado con el dispositivo móvil puede tener formato HTML. Si esta configuración se establece en $false, todos los correos electrónicos se convierten en texto sin formato. |
| Permitir el uso compartido de Internet | Esta configuración especifica si el dispositivo móvil se puede usar como módem de un equipo de escritorio o portátil. El valor predeterminado es $true. |
| AllowIrDA | Esta configuración especifica si se permiten las conexiones infrarrojas a y desde el dispositivo móvil. |
| Permitir la actualización de OTA para móviles | Esta configuración especifica si la configuración de la directiva de buzones de dispositivos móviles se puede enviar al dispositivo a través de una conexión de datos celular. El valor predeterminado es true. |
| Permitir dispositivos no aprovisionables | Esta configuración especifica si los dispositivos móviles que pueden no admitir la aplicación de toda la configuración de directiva pueden conectarse a Office 365 mediante Exchange ActiveSync. Permitir dispositivos móviles no aprovisionables puede tener implicaciones de seguridad. Por ejemplo, es posible que algunos de los dispositivos no aprovisionables no puedan implementar los requisitos de contraseña de una organización. |
| Permitir POPIMAPEmail | Esta configuración especifica si el usuario puede configurar una cuenta de correo POP3 o IMAP4 en el dispositivo móvil. El valor predeterminado es $true. Esta configuración no controla el acceso de los programas de correo de terceros. |
| Permitir escritorio remoto | Esta configuración especifica si el dispositivo móvil puede iniciar una conexión de escritorio remoto. El valor predeterminado es $true. |
| Permitir contraseña sencilla | Esta configuración habilita o deshabilita la habilidad de usar una contraseña sencilla como 1111 o 1234. El valor predeterminado es $true. |
| Permitir la negociación del algoritmo de cifrado S/MIME | Esta configuración especifica si la aplicación de mensajería del dispositivo móvil puede negociar el algoritmo de cifrado en caso de que el certificado de un destinatario no admita el algoritmo de cifrado especificado. |
| Permitir certificados de software S/MIME | Esta configuración especifica si se permiten los certificados de software S/MIME en dispositivos móviles. |
| Permitir tarjeta de almacenamiento | Esta configuración especifica si el dispositivo móvil puede tener acceso a la información que está almacenada en una tarjeta de almacenamiento. |
| Permitir mensajería de texto | Esta configuración especifica si la mensajería de texto se permite desde el dispositivo móvil. El valor predeterminado es $true. |
| Permitir aplicaciones sin firmar | Esta configuración especifica si las aplicaciones sin firmar se pueden instalar en el dispositivo móvil. El valor predeterminado es $true. |
| Permitir la instalación de paquetes sin firmar | Esta configuración especifica si los paquetes de instalación sin firmar se pueden ejecutar en el dispositivo móvil. El valor predeterminado es $true. |
| Permitir Wi-Fi | Esta configuración especifica si el acceso inalámbrico a Internet se permite en el dispositivo móvil. El valor predeterminado es $true. |
| Se requiere contraseña alfanumérica | Esta configuración requiere que una contraseña contenga caracteres numéricos y no numéricos. El valor predeterminado es $true. |
| Lista de aplicaciones aprobada | Esta configuración almacena una lista de aplicaciones aprobadas que se pueden ejecutar en el dispositivo móvil. |
| Datos adjuntos habilitados | Esta configuración permite que los datos adjuntos se descarguen al dispositivo móvil. El valor predeterminado es $true. |
| Cifrado de dispositivos habilitado | Esta configuración permite el cifrado en el dispositivo móvil. No todos los dispositivos móviles pueden imponer el cifrado. Para obtener más información, vea la documentación del sistema operativo móvil y del dispositivo. |
| Intervalo de actualización de la directiva de dispositivos | Esta configuración especifica la frecuencia con la que se envía la directiva de buzones de dispositivos móviles del servidor al dispositivo móvil. |
| IRM habilitado | Esta configuración especifica si Information Rights Management (IRMB) está habilitado en el dispositivo móvil. |
| Tamaño máximo del archivo adjunto | Esta configuración controla el tamaño máximo de los datos adjuntos que se puede descargar al dispositivo móvil. El valor predeterminado es Unlimited. |
| Filtro máximo de antigüedad del calendario | Esta configuración especifica el intervalo máximo de días de calendario que se puede sincronizar a este dispositivo móvil. Se aceptan los siguientes valores: todas TwoWeeks OneMonth ThreeMonths SixMonths |
| Filtro de antigüedad máxima del correo electrónico | Esta configuración especifica el número máximo de días para que los elementos de correo electrónico se sincronicen con el dispositivo móvil. Se aceptan los siguientes valores: todas OneDay Tres días OneWeek TwoWeeks OneMonth |
| Tamaño máximo de truncamiento del cuerpo del correo electrónico | Esta configuración especifica el tamaño máximo con el que los mensajes de correo electrónico se truncarán cuando se sincronicen con el dispositivo móvil. El valor está en "kilobytes (KB)". |
| Tamaño máximo de truncamiento del cuerpo en HTML del correo electrónico | Esta configuración especifica el tamaño máximo con el que los mensajes de correo electrónico HTML se truncarán cuando se sincronicen con el dispositivo móvil. El valor está en "kilobytes (KB)". |
| Tiempo máximo de bloqueo de inactividad | Este valor especifica el período de tiempo durante el que el dispositivo móvil puede estar inactivo antes de que se requiera una contraseña para reactivarlo. Puede especificar cualquier intervalo entre 30 segundos y 1 hora. El valor predeterminado es 15 minutos. |
| Número máximo de intentos fallidos de contraseña | Esta configuración especifica el número de intentos que puede realizar un usuario para escribir la contraseña correcta para el dispositivo móvil. Puede escribir cualquier número del 4 al 16. El valor predeterminado es 8. |
| Número mínimo de caracteres complejos de contraseña | Esta configuración especifica el número mínimo de caracteres complejos necesarios en la contraseña del dispositivo móvil. Un carácter complejo es un carácter que no es una letra. |
| Longitud mínima de la contraseña | Esta configuración especifica el número mínimo de caracteres de la contraseña del dispositivo móvil. Puede escribir cualquier número del 1 al 16. El valor predeterminado es 4. |
| Contraseña habilitada | Esta configuración habilita la contraseña del dispositivo móvil. |
| Expiración de contraseña | Esta configuración permite que el administrador pueda configurar un intervalo del tiempo tras el que es necesario cambiar la contraseña del dispositivo móvil. |
| Historial de contraseñas | Esta configuración especifica el número de contraseñas antiguas que pueden almacenarse en el buzón del usuario. Un usuario no puede volver a usar una contraseña almacenada. |
| Recuperación de contraseña habilitada | Al habilitar esta configuración, el dispositivo móvil genera una contraseña de recuperación que se envía al servidor. Si el usuario olvida la contraseña del dispositivo móvil, se puede usar la contraseña de recuperación para desbloquearlo y permitir al usuario crear una nueva contraseña para dicho dispositivo. |
| Requerimiento de cifrado del dispositivo | Esta configuración especifica si se requiere un cifrado del dispositivo. Si se establece en $true, el dispositivo móvil debe ser capaz de admitir e implementar el cifrado para sincronizarse con el servidor. |
| Requiere mensajes S/MINE cifrados | Esta configuración especifica si los mensajes S/MIME deben cifrarse. El valor predeterminado es $false. |
| Requerimiento del algoritmo S/MIME de cifrado | Esta configuración especifica el algoritmo que se usará al cifrar los mensajes S/MIME. |
| Requiere sincronización manual durante la movilidad | Esta configuración especifica si el dispositivo móvil se debe sincronizar manualmente durante la movilidad. Permitir la sincronización automática mientras la itinerancia suele dar lugar a costos de datos mayores de lo esperado para el plan de datos del dispositivo móvil. |
| Requerimiento del algoritmo S/MIME firmado | Esta configuración especifica el algoritmo que se usará al firmar un mensaje. |
| Requerimiento de mensajes S/MIME firmados | Esta configuración especifica si el dispositivo debe enviar mensajes S/MIME firmados. |
| Requiere cifrado de tarjeta de almacenamiento | Esta configuración especifica si la tarjeta de almacenamiento debe cifrarse. No todos los sistemas operativos de dispositivos móviles admiten el cifrado de la tarjeta de almacenamiento. Para obtener más información, vea la documentación del dispositivo y la del sistema operativo del mismo. |
| Lista de aplicaciones InROM sin aprobar | Esta configuración especifica una lista de aplicaciones que no se pueden ejecutar en ROM. |
Administración de directivas de buzón de dispositivo móvil
Las directivas de buzón de dispositivo móvil se pueden crear, modificar o eliminar en el Centro de administración de Exchange (EAC) o Exchange Online PowerShell. Si crea una directiva en el EAC, solamente puede configurar un subconjunto de configuraciones disponibles. Puede configurar el resto de los valores mediante Exchange Online PowerShell.
¿Qué necesita saber antes de empezar?
Estimated time to complete: 15 minutes.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para obtener información sobre los permisos que necesita, consulte la característica "Dispositivos móviles" en el artículo Permisos de características en Exchange Online.
Para obtener información sobre cómo abrir el Centro de administración de Exchange (EAC), consulte Centro de administración de Exchange en Exchange Online. Para obtener información sobre cómo conectarse a Exchange Online PowerShell, consulte Conexión a Exchange Online PowerShell.
Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este artículo, consulte Métodos abreviados de teclado para el Centro de administración de Exchange.
Cree una nueva directiva de buzón de correo para dispositivos móviles
Utilice la EAC para crear una nueva directiva de buzón de correo para dispositivos móviles
En el EAC, vaya a Directivadebuzón de dispositivo móvil> móvil y, a continuación, seleccione Nuevo
En la página New mobile device mailbox policy details (Nuevos detalles de la directiva de buzón de dispositivo móvil), use las distintas casillas y listas desplegables para configurar los valores de las secciones siguientes:
- Creación de la directiva
- Agregar configuración de seguridad
- Revisar y finalizar
Seleccione Crear.
Advertencia
Seleccione Esta es la directiva predeterminada para que la nueva directiva de buzón móvil sea la predeterminada. Después de crear una directiva de buzón de correo móvil como directiva predeterminada, a todos los usuarios nuevos se les asigna esta directiva automáticamente cuando se crean.
Use el Exchange Online PowerShell para crear una nueva directiva de buzón de dispositivo móvil
Puede crear una nueva directiva de buzón de dispositivo móvil mediante el cmdlet New-MobileDeviceMailboxPolicy .
En el Exchange Online PowerShell, ejecute el siguiente comando:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar si creó una directiva de buzón de correo para dispositivos móviles correctamente, utilice una de las siguientes opciones:
En el EAC, vaya a Directivadebuzón de dispositivo móvil> móvil y compruebe que la nueva directiva se muestra en la vista Lista.
En el Exchange Online PowerShell, ejecute el siguiente comando:
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obtener más información sobre este cmdlet, vea Get-MobileDeviceMailboxPolicy.
Utilice la EAC para editar una directiva de buzón de correo para dispositivos móviles
Nota:
Solamente puede editar un subconjunto de configuraciones de directivas de buzón de correo para dispositivos móviles en la EAC. Para editar toda la configuración de directiva de buzón de dispositivo móvil, debe usar el Exchange Online PowerShell.
En el EAC, vaya a Directivadebuzón de dispositivo móvil> móvil.
Seleccione una directiva en la vista Lista y, a continuación, seleccione Editar
Utilice las fichas General y Seguridad para editar las configuraciones de directivas de buzón de correo para dispositivos móviles.
Seleccione Guardar para actualizar la directiva.
Use el Exchange Online PowerShell para editar la configuración de la directiva de buzón de dispositivo móvil.
Puede editar una directiva de buzón de dispositivo móvil mediante el cmdlet Set-MobileDeviceMailboxPolicy .
- En el Exchange Online PowerShell, ejecute el siguiente comando:
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha editado correctamente una directiva de buzón de dispositivo móvil, realice uno de los pasos siguientes:
En el EAC, vaya a Directivadebuzón de dispositivo móvil> móvil y, a continuación, elija una directiva específica. En el panel que muestra los detalles de la directiva de buzón de correo, verá una serie de opciones de configuración de directiva enumeradas.
En Exchange Online PowerShell, ejecute el siguiente comando.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Para obtener más información sobre este cmdlet, vea Get-MobileDeviceMailboxPolicy.