Compartir a través de


Configuración de directivas de protección de aplicaciones de iOS

En este artículo se describe la configuración de directivas de protección de aplicaciones para dispositivos iOS/iPadOS. La configuración de directivas que se describe puede realizarse para una directiva de protección de aplicaciones en el panel Configuración del portal al crear una directiva.

Hay tres categorías de configuración de directiva: Reubicación de datos, Requisitos de acceso e Inicio condicional. En este artículo, el término aplicaciones administradas por directivas hace referencia a las aplicaciones configuradas con directivas de protección de aplicaciones.

Importante

Intune Managed Browser se ha retirado. Use Microsoft Edge para la experiencia de explorador de Intune protegida.

Protección de datos

Importante

En el caso de las aplicaciones que se han actualizado a la versión 19.7.6 o posterior para Xcode 15 y v20.2.1 o posterior para Xcode 16 del SDK, se aplicará el bloque de captura de pantalla si ha configurado Send Org data to other apps (Enviar datos de la organización a otras aplicaciones ) en un valor distinto de "Todas las aplicaciones". Puede configurar la configuración com.microsoft.intune.mam.screencapturecontrolDisabled = de directivas de configuración de aplicaciones (Directivas> deconfiguración> de aplicacionesCrear>aplicaciones> administradas en el paso Configuración, seleccione Configuración general) si necesita permitir la captura de pantalla para los dispositivos iOS.

Transferencia de datos

Configuración Cómo se usa Valor predeterminado
Hacer copia de seguridad de los datos de la organización en las copias de seguridad de iTunes y iCloud Seleccione Bloquear para impedir que esta aplicación realice una copia de seguridad de los datos profesionales o educativos en iTunes y iCloud. Seleccione Permitir para permitir que esta aplicación realice una copia de seguridad de los datos profesionales o educativos en iTunes y iCloud. Permitir
Enviar datos de la organización a otras aplicaciones Especifique qué aplicaciones pueden recibir datos de esta aplicación:
  • Todas las aplicaciones: permite la transferencia a cualquier aplicación. La aplicación de recepción tendrá capacidad para leer y editar los datos.
  • Ninguno: no permita la transferencia de datos a ninguna aplicación, incluidas otras aplicaciones administradas por directivas. Si el usuario realiza una función "Abrir en" administrada y transfiere un documento, los datos se cifrarán y no se podrán leer.
  • Aplicaciones administradas por directivas: permite las transferencias solo para otras aplicaciones administradas por directivas.

    Nota:Es posible que los usuarios puedan transferir contenido a través de extensiones Open-in o Share a aplicaciones no administradas en dispositivos no inscritos o dispositivos inscritos que permitan compartir con aplicaciones no administradas. Los datos transferidos se cifran mediante Intune e ilegibles por aplicaciones no administradas.

  • Aplicaciones administradas por directiva con uso compartido del SO: permita solo la transferencia de datos a otras aplicaciones administradas por directivas, así como las transferencias de archivos a otras aplicaciones administradas por MDM en los dispositivos inscritos.

    Nota:Las aplicaciones administradas por directivas con el valor de uso compartido del sistema operativo solo se aplican a los dispositivos inscritos en MDM. Si esta configuración está destinada a un usuario en un dispositivo no inscrito, se aplica el comportamiento del valor aplicaciones administradas por directivas. Los usuarios podrán transferir contenido sin cifrar a través de extensiones Open-in o Share a cualquier aplicación permitida por la configuración allowOpenFromManagedtoUnmanaged de MDM de iOS, suponiendo que la aplicación de envío tenga configurados IntuneMAMUPN e IntuneMAMOID; Para obtener más información, consulte Administración de la transferencia de datos entre aplicaciones de iOS en Microsoft Intune. Consulte https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf para obtener más información sobre esta configuración de MDM de iOS/iPadOS.

  • Filtrado de aplicaciones administradas por directivas con Abrir en/Compartir: permita solo la transferencia a otras aplicaciones administradas por directivas y filtre los cuadros de diálogo Abrir en/Compartir para mostrar solo las aplicaciones administradas por directivas. Para configurar el filtrado del cuadro de diálogo Abrir en/Compartir, es necesario que tanto las aplicaciones que actúan como origen del archivo o documento como las que pueden abrir este archivo o documento tengan el SDK de Intune para iOS versión 8.1.1 o posterior.

    Nota:Es posible que los usuarios puedan transferir contenido a través de extensiones open-in o share a aplicaciones no administradas si Intune tipo de datos privado es compatible con la aplicación. Los datos transferidos se cifran mediante Intune e ilegibles por aplicaciones no administradas.


La búsqueda de contenido destacado (permite buscar datos dentro de las aplicaciones) y los accesos directos de Siri se bloquean a menos que se establezcan en Todas las aplicaciones.

Esta directiva también se puede aplicar a los vínculos Universal Links de iOS/iPadOS. Los vínculos web generales se administran mediante la configuración de directiva Abrir vínculos a aplicaciones en Intune Managed Browser.

Hay aplicaciones y servicios exentos a los que Intune puede permitir la transferencia de datos de forma predeterminada. Además, puede crear sus propias excepciones si necesita permitir que los datos se transfieran a una aplicación que no admita las directivas de protección de aplicaciones de Intune. Vea Exenciones de transferencia de datos para obtener más información.

Todas las aplicaciones
    Seleccionar las aplicaciones que quedan exentas
Esta opción está disponible si selecciona Aplicaciones administradas por directivas en la opción anterior.
    Seleccionar vínculos universales para excluir
Especifique qué Vínculos Universales de iOS/iPadOS deben abrirse en la aplicación no administrada especificada en lugar del explorador protegido especificado por la configuración Restringir la transferencia de contenido web con otras aplicaciones. Debe ponerse en contacto con el desarrollador de aplicaciones para determinar el formato de vínculo universal correcto para cada aplicación.
    Seleccionar vínculos universales administrados
Especifique qué Vínculos Universales de iOS/iPadOS deben abrirse en la aplicación administrada especificada en lugar del explorador protegido especificado por la configuración Restringir la transferencia de contenido web con otras aplicaciones. Debe ponerse en contacto con el desarrollador de aplicaciones para determinar el formato de vínculo universal correcto para cada aplicación.
    Guardar copias de los datos de la organización
Elija Bloquear para deshabilitar el uso de la opción Guardar como en esta aplicación. Elija Permitir si quiere permitir el uso de Guardar como. Cuando se establece en Bloquear, puede configurar la opción Permitir al usuario guardar copias en los servicios seleccionados.

Nota:
  • Esta configuración es compatible con Microsoft Excel, OneNote, Outlook, PowerPoint, Word y Microsoft Edge. También puede ser compatible con aplicaciones de terceros y LOB.
  • Esta configuración solo se puede configurar cuando la opción Enviar datos de la organización a otras aplicaciones está establecida en Aplicaciones administradas por directivas, Aplicaciones administradas por directiva con uso compartido del SO o Filtrado de aplicaciones administradas por directivas con Abrir en/Compartir.
  • Esta configuración será "Permitir" cuando la configuración Enviar datos de la organización a otras aplicaciones esté establecida en Todas las aplicaciones.
  • Esta configuración será "Bloquear" sin ubicaciones de servicio permitidas cuando la configuración Enviar datos de la organización a otras aplicaciones esté establecida en Ninguno.
Permitir
      Permitir al usuario guardar copias en los servicios seleccionados
Los usuarios pueden guardar en los servicios seleccionados (OneDrive para la Empresa, SharePoint, Biblioteca de fotos y el almacenamiento local). El resto de servicios se bloquean. OneDrive para la Empresa: se pueden guardar archivos en OneDrive para la Empresa y SharePoint Online. SharePoint: se pueden guardar archivos en el SharePoint local. Biblioteca de fotos: puede guardar archivos en la biblioteca de fotos localmente. Almacenamiento local: las aplicaciones administradas pueden guardar copias de los datos de la organización localmente. Esto NO incluye guardar archivos en las ubicaciones locales no administradas, como la aplicación Archivos en el dispositivo. 0 seleccionados
    Transfer telecommunications data to (Transferir datos de telecomunicaciones a)
Normalmente, cuando un usuario selecciona un número de teléfono hipervinculado en una aplicación, se abre una aplicación de marcador con el número de teléfono previamente rellenado y lista para llamar. Para esta configuración, elija cómo tratar este tipo de transferencia de contenido cuando se inicia desde una aplicación administrada por directivas:
  • Ninguno, no transfiera estos datos entre aplicaciones: no transfiera datos de comunicación cuando se detecte un número de teléfono.
  • Una aplicación de marcador específica: permite que una aplicación de marcador administrada específica inicie contacto cuando se detecte un número de teléfono.
  • Cualquier aplicación de marcador: permita que se use cualquier aplicación de marcador administrada para iniciar el contacto cuando se detecte un número de teléfono.

Nota: Esta configuración requiere Intune SDK 12.7.0 y versiones posteriores. Si las aplicaciones se basan en la funcionalidad del marcador y no usan la versión correcta del SDK de Intune, como solución alternativa, considere la posibilidad de agregar "tel; telprompt" como exención de transferencia de datos. Una vez que las aplicaciones admiten la versión correcta del SDK de Intune, se puede quitar la exención.

Cualquier de aplicación de marcador
      Esquema de la dirección URL de la aplicación de marcador
Cuando se ha seleccionado una aplicación de marcador específica, debe proporcionar el esquema de la dirección URL de la aplicación de marcador que se usa para iniciar dicha aplicación en dispositivos iOS. Para obtener más información, vea la documentación de Apple sobre Vínculos de teléfonos. Blank
    Transferencia de datos de mensajería a
Normalmente, cuando un usuario selecciona un vínculo de mensajería con hipervínculo en una aplicación, se abrirá una aplicación de mensajería con el número de teléfono rellenado previamente y listo para enviarse. Para esta configuración, elija cómo controlar este tipo de transferencia de contenido cuando se inicia desde una aplicación administrada por directivas. Es posible que sea necesario realizar pasos adicionales para que esta configuración surta efecto. En primer lugar, compruebe que se ha quitado sms de la lista Seleccionar aplicaciones para excluir. A continuación, asegúrese de que la aplicación usa una versión más reciente de Intune SDK (versión > 19.0.0). Para esta configuración, elija cómo tratar este tipo de transferencia de contenido cuando se inicia desde una aplicación administrada por directivas:
  • Ninguno, no transfiera estos datos entre aplicaciones: no transfiera datos de comunicación cuando se detecte un número de teléfono.
  • Una aplicación de mensajería específica: permite que una aplicación de mensajería administrada específica inicie contacto cuando se detecte un número de teléfono.
  • Cualquier aplicación de mensajería: permita que cualquier aplicación de mensajería administrada se use para iniciar el contacto cuando se detecte un número de teléfono.

Nota: Esta configuración requiere Intune SDK 19.0.0 y versiones posteriores.

Cualquier aplicación de mensajería
      Esquema de dirección URL de la aplicación de mensajería
Cuando se ha seleccionado una aplicación de mensajería específica, debe proporcionar el esquema de dirección URL de la aplicación de mensajería que se usa para iniciar la aplicación de mensajería en dispositivos iOS. Para obtener más información, vea la documentación de Apple sobre Vínculos de teléfonos. Blank
Recibir datos de otras aplicaciones Especifique qué aplicaciones pueden transferir datos a esta aplicación:
  • Todas las aplicaciones: permite la transferencia de datos desde cualquier aplicación.
  • Ninguno: no permita la transferencia de datos desde ninguna aplicación, incluidas otras aplicaciones administradas por directivas.
  • Aplicaciones administradas por directivas: permite las transferencias solo desde otras aplicaciones administradas por directivas.
  • Todas las aplicaciones con datos entrantes de la organización: permite la transferencia de datos desde cualquier aplicación. Se tratan todos los datos entrantes sin una identidad de usuario como datos de su organización. Los datos se marcarán con la identidad del usuario inscrito en MDM como se define en la configuración IntuneMAMUPN.

    Nota:El valor Todas las aplicaciones con datos de la organización entrantes solo se aplica a los dispositivos inscritos en MDM. Si esta configuración está destinada a un usuario en un dispositivo no inscrito, se aplica el comportamiento del valor Cualquier aplicación.

Si esta opción está configurada en Ninguna o en Aplicaciones administradas por directivas, las aplicaciones habilitadas para MAM con varias identidades intentarán cambiar a una cuenta no administrada al recibir datos no administrados. Si no hay ninguna cuenta no administrada que haya iniciado sesión en la aplicación o la aplicación no pueda cambiar, se bloquearán los datos entrantes.

Todas las aplicaciones
    Abrir datos en documentos de la organización
Seleccione Bloquear para deshabilitar el uso de la opción Abrir u otras opciones para compartir datos entre cuentas de esta aplicación. Seleccione Permitir si quiere permitir el uso de Abrir.

Cuando se establece en Bloquear , puede configurar permitir que el usuario abra datos de los servicios seleccionados para especificar qué servicios se permiten para las ubicaciones de datos de la organización.

Nota:
  • Esta configuración solo se puede configurar cuando la opción Recibir datos de otras aplicaciones está establecida en Aplicaciones administradas por directivas.
  • Esta configuración será "Permitir" cuando la configuración Recibir datos de otras aplicaciones esté establecida en Todas las aplicaciones o Todas las aplicaciones con datos de la organización entrantes.
  • El valor de esta configuración será "Bloquear", sin ubicaciones del servicio permitidas, cuando la opción Recibir datos de otras aplicaciones esté establecida en Ninguna.
  • Las aplicaciones siguientes admiten esta configuración:
    • OneDrive 11.45.3 o posterior.
    • Outlook para iOS 4.60.0 o versiones posteriores
    • Teams para iOS 3.17.0 o posterior.
Permitir
      Permitir a los usuarios abrir datos de servicios seleccionados
Seleccione los servicios de almacenamiento de aplicaciones desde los que los usuarios pueden abrir datos. El resto de servicios se bloquean. Si no se selecciona ningún servicio, se impedirá que los usuarios abran datos desde ubicaciones externas.
Nota: Este control está diseñado para trabajar con datos que están fuera del contenedor corporativo.

Servicios compatibles:
  • OneDrive para la Empresa
  • SharePoint Online
  • Cámara
  • Biblioteca de fotos
Nota: La cámara no incluye el acceso a fotos ni a la Galería de fotos. Al seleccionar la Biblioteca de fotos en la opción Permitir a los usuarios abrir datos de los servicios seleccionados en Intune, puede permitir que las cuentas administradas permitan que los datos entrantes de la biblioteca de fotos de su dispositivo se puedan usar en sus aplicaciones administradas.
Todos los seleccionados
Restringir cortar, copiar y pegar entre otras aplicaciones Especifique cuándo pueden usarse las acciones de cortar, copiar y pegar con esta aplicación. Seleccionar desde:
  • Bloqueado: no permita acciones de cortar, copiar y pegar entre esta aplicación y cualquier otra aplicación.
  • Aplicaciones administradas por directivas: permite las acciones de cortar, copiar y pegar entre esta aplicación y otras aplicaciones administradas por directivas.
  • Aplicaciones administradas por directivas con pegar: permite cortar o copiar entre esta aplicación y otras aplicaciones administradas por directivas. Permite que los datos de cualquier aplicación se peguen en esta aplicación.
  • Cualquier aplicación: no se aplican restricciones a las acciones de cortar, copiar y pegar en esta aplicación y desde ella.
Cualquier aplicación
    Límite de caracteres para cortar y copiar en cualquier aplicación
Especifica el número de caracteres que se pueden cortar o copiar de las cuentas y los datos de la organización. Esto permitirá compartir el número especificado de caracteres en cualquier aplicación, independientemente de la opción Restringir cortar, copiar y pegar con otras aplicaciones.

Valor predeterminado = 0

Nota: requiere que la aplicación tenga la versión 9.0.14 o posterior del SDK de Intune.

0
Teclados de terceros Elija Bloquear para impedir el uso de teclados de terceros en las aplicaciones administradas.

Cuando esta opción está habilitada, el usuario recibe un mensaje de un solo uso en el que se indica que se bloquea el uso de teclados de terceros. Este mensaje aparece la primera vez que un usuario interactúa con datos de la organización que requieren el uso de un teclado. Cuando se usan aplicaciones administradas, solo está disponible el teclado estándar de iOS/iPadOS, y se deshabilitan todas las demás opciones de teclado. Esta configuración afectará a las cuentas personales y de la organización de las aplicaciones de varias identidades. Esta configuración no afecta al uso de teclados de terceros en aplicaciones no administradas.

Nota: esta característica requiere que la aplicación use la versión 12.0.16 o posterior del SDK de Intune. Las aplicaciones con versiones del SDK de la versión 8.0.14 a, e incluidas, 12.0.15, no tendrán esta característica correctamente aplicable a las aplicaciones de varias identidades. Para obtener más información, consulta Problema conocido: los teclados de terceros no se bloquean en iOS/iPadOS para cuentas personales.

Permitir

Nota:

Se requiere una directiva de protección de aplicaciones con IntuneMAMUPN para dispositivos administrados. Esto se aplica también a cualquier configuración que requiera dispositivos inscritos.

Cifrado

Configuración Cómo se usa Valor predeterminado
Cifrar datos de la organización Elija Requerir para permitir el cifrado de los datos profesionales o educativos en esta aplicación. Intune aplica el cifrado de nivel de dispositivo iOS/iPadOS para proteger los datos de la aplicación mientras el dispositivo está bloqueado. Además, las aplicaciones pueden cifrar los datos de aplicación mediante el cifrado de Intune APP SDK. El SDK de aplicaciones de Intune usa métodos criptográficos de iOS/iPadOS para aplicar el cifrado AES de 256 bits a los datos de aplicación.

Al habilitar esta configuración, puede que se solicite al usuario que configure y use un PIN de dispositivo para acceder a su dispositivo. Si no hay ningún PIN de dispositivo y se requiere cifrado, se pide al usuario que configure un PIN con un mensaje que dice "la organización ha solicitado que primero habilite un PIN de dispositivo para acceder a esta aplicación".

Vaya a la documentación oficial de Apple para obtener más información sobre sus clases de protección de datos, como parte de su seguridad de la plataforma de Apple.
Obligatoria

Funcionalidad

Configuración Cómo se usa Valor predeterminado
Sincronizar datos de aplicaciones administradas por directivas con aplicaciones o complementos nativos Elija Bloquear para evitar que las aplicaciones administradas por directivas guarden datos en las aplicaciones nativas del dispositivo (contactos, calendario y widgets) y para evitar el uso de complementos dentro de las aplicaciones administradas por directivas. Si no es compatible con la aplicación, se permitirá guardar datos en aplicaciones nativas y usar complementos.

Si elige Permitir, la aplicación administrada por directivas puede guardar datos en las aplicaciones nativas o usar complementos, si esas características se admiten y habilitan dentro de la aplicación administrada por directivas.

Las aplicaciones pueden proporcionar controles adicionales para personalizar el comportamiento de sincronización de datos en aplicaciones nativas específicas o no respetan este control.

Nota: Al realizar un borrado selectivo para quitar datos profesionales o educativos de la aplicación, se quitan los datos sincronizados directamente desde la aplicación administrada por la directiva a la aplicación nativa. No se borrarán los datos sincronizados desde la aplicación nativa con otro origen externo.

Nota: Las siguientes aplicaciones admiten esta característica:
Permitir
Impresión de datos de la organización Selecciona Bloquear para impedir que la aplicación imprima datos profesionales o educativos. Si dejas esta configuración establecida en Permitir, que es el valor predeterminado, los usuarios podrán exportar e imprimir todos los datos de la organización. Permitir
Restringir la transferencia de contenido web con otras aplicaciones Especifique cómo se debe abrir el contenido web (vínculos http/https) en las aplicaciones administradas por directivas. Elija entre:
  • Cualquier aplicación: permite los vínculos web en cualquier aplicación.
  • Intune Managed Browser: permite que el contenido web solo se abra en Intune Managed Browser. Este explorador está administrado por directivas.
  • Microsoft Edge: permite que el contenido web solo se abra en Microsoft Edge. Este explorador está administrado por directivas.
  • Explorador no administrado: permite que el contenido web se abra solo en el explorador no administrado definido por la configuración de Identificador de explorador no administrado. No se administrará el contenido web en el explorador de destino.
    Nota: requiere que la aplicación tenga la versión 11.0.9 o posterior del SDK de Intune.
Si usa Intune para administrar los dispositivos, vea Administración del acceso a Internet mediante un explorador protegido por directivas de Microsoft Intune.

Si se requiere un explorador administrado por directivas pero no está instalado, se pedirá a los usuarios finales que instalen Microsoft Edge.

Si se requiere un explorador administrado por directivas, los vínculos universales de iOS/iPadOS se administran mediante la configuración de directiva Enviar datos de la organización a otras aplicaciones .

Inscripción de dispositivos de Intune
Si usa Intune para administrar sus dispositivos, consulte Administrar el acceso a Internet mediante directivas de explorador administrado con Microsoft Intune.

Microsoft Edge administrado por directivas
El explorador Microsoft Edge para dispositivos móviles (iOS/iPadOS y Android) admite las directivas de protección de aplicaciones de Intune. Los usuarios que inicien sesión con sus cuentas de Microsoft Entra corporativas en la aplicación del explorador Microsoft Edge estarán protegidos por Intune. El explorador Microsoft Edge integra el SDK de Intune y admite todas sus directivas de protección de datos, con la excepción de evitar:

  • Guardar como: el explorador Microsoft Edge no permite a un usuario agregar conexiones directas desde la aplicación a proveedores de almacenamiento en la nube (como OneDrive).
  • Sincronización de contactos: el explorador Microsoft Edge no guarda en listas de contactos nativas.

Nota:el SDK de Intune no puede determinar si una aplicación de destino es un explorador. En dispositivos iOS/iPadOS, no se permite ninguna otra aplicación de explorador administrado.
Sin configurar
    Protocolo del explorador no administrado
Escriba el protocolo para un único explorador no administrado. El contenido web (vínculos http o https) de las aplicaciones administradas por directivas se abrirá en cualquier aplicación que admita este protocolo. No se administrará el contenido web en el explorador de destino.

Esta característica solo debe usarse si desea compartir contenido protegido con un explorador específico que no esté habilitado mediante Intune directivas de protección de aplicaciones. Póngase en contacto con el proveedor del explorador para determinar el protocolo compatible con el explorador deseado.

Nota:incluya solo el prefijo de protocolo. Si el explorador requiere vínculos del formulario mybrowser://www.microsoft.com, escriba mybrowser.
Los vínculos se traducirán como:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Notificaciones de datos de la organización Especifica cómo se comparten los datos de la organización a través de las notificaciones del sistema operativo de las cuentas de organización. Esta configuración de directiva afectará al dispositivo local y a todos los dispositivos conectados, como ponibles y altavoces inteligentes. Las aplicaciones pueden proporcionar controles adicionales para personalizar el comportamiento de las notificaciones o pueden optar por no respetar todos los valores. Seleccionar desde:
  • Bloqueado: no comparta notificaciones.
    • Si la aplicación no lo admite, se permiten las notificaciones.
  • Bloquear datos de la organización: por ejemplo, no comparta datos de la organización en las notificaciones.
    • "Tiene correo nuevo"; "Tiene una reunión".
    • Si la aplicación no lo admite, se permiten las notificaciones.
  • Permitir: se comparten los datos de la organización en las notificaciones.

Nota:
Esta configuración requiere la siguiente compatibilidad con la aplicación:

  • Outlook para iOS 4.34.0 o posterior
  • Teams para iOS 2.0.22 o posterior
  • Microsoft 365 (Office) para iOS 2.72 o posterior
Permitir

Nota:

Ninguna de las opciones de configuración de protección de datos controla la característica de Administración abierta de Apple (Apple Managed Open In) en dispositivos iOS/iPadOS. Para usar la administración abierta de Apple, vea Administración de la transferencia de datos entre aplicaciones iOS/iPadOS con Microsoft Intune.

Exenciones de transferencia de datos

La directiva de protección de aplicaciones de Intune puede permitir la transferencia de datos desde y hacia algunas aplicaciones y servicios de plataforma en determinados escenarios. Esta lista está sujeta a cambios y refleja los servicios y las aplicaciones que se consideran útiles para una productividad segura.

Se pueden agregar aplicaciones no administradas de terceros a la lista de exenciones, lo que puede permitir excepciones de transferencia de datos. Para obtener más información y ejemplos, vea el artículo Creación de excepciones a la directiva de transferencia de datos de la directiva de Intune App Protection (APP). La aplicación no administrada exenta se debe invocar según el protocolo URL de iOS. Por ejemplo, cuando se agrega una exención de transferencia de datos para una aplicación no administrada, se sigue impidiendo que los usuarios realicen operaciones de cortado, copiado y pegado, si la directiva restringe estas operaciones. Este tipo de exención también impediría que los usuarios usen la acción Abrir en dentro de una aplicación administrada para compartir o guardar datos para excluir la aplicación, ya que no se basa en el protocolo de dirección URL de iOS. Para obtener más información sobre la acción Abrir en, consulte el artículo Uso de la protección de aplicaciones con aplicaciones iOS.

Nombres de aplicación/servicio Descripción
skype Skype
app-settings Configuración del dispositivo
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow Calendario nativo

Importante

Las directivas de protección de aplicaciones creadas antes del 15 de junio de 2020 incluyen el esquema de dirección URL tel y telprompt como parte de las exenciones de transferencia de datos predeterminadas. Estos esquemas de dirección URL permiten a las aplicaciones administradas iniciar el marcador. Esta funcionalidad se ha reemplazado por la opción Transferir datos de telecomunicaciones a de la directiva de protección de aplicaciones. Los administradores deben quitar tel;telprompt; de las exenciones de transferencia de datos y basarse en la configuración de la directiva de protección de aplicaciones, siempre que las aplicaciones administradas que inicien la funcionalidad de marcador incluyan el SDK 12.7.0 de Intune o una versión posterior.

Importante

En el SDK de Intune 14.5.0 o posterior, la inclusión de esquemas de direcciones URL de sms y mailto en las exenciones de transferencia de datos también permitirá compartir datos de la organización con los controladores de vista MFMessageCompose (para sms) y MFMailCompose (para mailto) dentro de las aplicaciones administradas por directivas.

Los vínculos universales permiten al usuario iniciar directamente una aplicación asociada al vínculo en lugar de un explorador protegido especificado por la configuración Restringir la transferencia de contenido web con otras aplicaciones. Debe ponerse en contacto con el desarrollador de aplicaciones para determinar el formato de vínculo universal correcto para cada aplicación.

Los vínculos de clip de aplicación predeterminados también se administran mediante la directiva de vínculo universal.

Al agregar vínculos universales a aplicaciones no administradas, puede iniciar la aplicación especificada. Para agregar la aplicación, debe agregar el vínculo a la lista de exenciones.

Precaución

Las aplicaciones de destino de estos vínculos universales no se administran y agregar una exención puede provocar pérdidas de seguridad de datos.

Las exenciones de vínculo universal de aplicación predeterminada son las siguientes:

Vínculo universal de aplicación Descripción
http://maps.apple.com; https://maps.apple.com Aplicación Mapas
http://facetime.apple.com; https://facetime.apple.com Aplicación FaceTime

Si no desea permitir las exenciones de vínculo universal predeterminadas, puede eliminarlas. También puedes agregar vínculos universales para aplicaciones de terceros o LOB. Los vínculos universales exentos permiten caracteres comodín como http://*.sharepoint-df.com/*.

Al agregar vínculos universales a aplicaciones administradas, puede iniciar la aplicación especificada. Para agregar la aplicación, debe agregar el vínculo universal de la aplicación a la lista administrada. Si la aplicación de destino admite Intune directiva de App Protection, al seleccionar el vínculo se intentará iniciar la aplicación. Si la aplicación no puede abrirse, el vínculo se abre en el explorador protegido. Si la aplicación de destino no integra el SDK de Intune, al seleccionar el vínculo se iniciará el explorador protegido.

Los vínculos universales administrados predeterminados son los siguientes:

Vínculo universal de aplicación administrada Descripción
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; ToDo
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Zoom

Si no desea permitir los vínculos universales administrados predeterminados, puede eliminarlos. También puedes agregar vínculos universales para aplicaciones de terceros o LOB.

Requisitos de acceso

Configuración Cómo se usa Valor predeterminado
PIN para acceder Seleccione Requerir para exigir un PIN para usar esta aplicación. Se pedirá al usuario que configure este PIN la primera vez que ejecute la aplicación en un contexto profesional o educativo. El PIN se aplica cuando se trabaja en línea o sin conexión.

Puede configurar la seguridad del PIN con la configuración disponible en la sección PIN para acceder.

Nota: Los usuarios finales a los que se les permite acceder a la aplicación pueden restablecer el PIN de la aplicación. Es posible que esta configuración no esté visible en algunos casos en dispositivos iOS. Los dispositivos iOS tienen una limitación máxima de cuatro accesos directos disponibles. Para ver el acceso directo del PIN de la aplicación de restablecimiento, es posible que el usuario final tenga que acceder al acceso directo desde una aplicación administrada diferente.
Obligatoria
    Tipo de PIN
Establezca un requisito de PIN numérico o de tipo contraseña antes de acceder a una aplicación en la que se empleen directivas de protección de aplicaciones. Los requisitos numéricos solo implican números, mientras que una contraseña se puede definir con al menos 1 letra o 1 carácter especial.

Nota:Para configurar el tipo de código de acceso, requiere que la aplicación tenga Intune SDK versión 7.1.12 o posterior. El tipo numérico no tiene ninguna restricción de versión del SDK de Intune. Los caracteres especiales permitidos incluyen los caracteres y símbolos especiales en el teclado en inglés de iOS/iPadOS.
Numérico
    PIN simple
Seleccione Permitir para permitir que los usuarios usen secuencias de PIN simples como 1234, 1111, abcd o aaaa. Seleccione Bloquear para impedir que usen secuencias simples. Las secuencias simples se comprueban en ventanas deslizantes de tres caracteres. Si block está configurado, el usuario final no aceptaría 1235 o 1112 como PIN establecido por el usuario final, pero se permitiría 1122.

Nota: Si se configura un PIN de tipo contraseña y la opción Permitir el PIN simple está establecida en Sí, el usuario necesitará como mínimo una letra o un carácter especial en su PIN. Si el PIN de tipo de código de acceso está configurado y Permitir PIN simple se establece en No, el usuario necesita al menos un número y una letra y, al menos, un carácter especial en su PIN.
Permitir
    Seleccionar la longitud mínima del PIN
Especifique el número mínimo de dígitos en una secuencia de PIN. 4
    Touch ID en lugar de PIN para el acceso (iOS 8+)
Seleccione Permitir para permitir que el usuario use Touch ID en lugar de un PIN para acceder a la aplicación. Permitir
      Invalidar Touch ID con un PIN después del tiempo de espera
Para usar esta configuración, seleccione Requerir y, después, configure un tiempo de espera de inactividad. Obligatoria
        Tiempo de espera (minutos de inactividad)
Especifique un tiempo en minutos transcurrido el cual un código de acceso o un PIN numérico (como se configuró) invalidarán el uso de una huella digital o de la cara como método de acceso. Este valor de tiempo de espera debe ser mayor que el valor especificado en "Volver a comprobar los requisitos de acceso tras (minutos de inactividad)". 30
      Face ID en lugar de PIN para el acceso (iOS 11+)
Seleccione Permitir para permitir que el usuario use la tecnología de reconocimiento facial para autenticar a los usuarios en dispositivos iOS/iPadOS. Si se permite, debe usarse Face ID para acceder a la aplicación en un dispositivo compatible con Face ID. Permitir
    Restablecimiento del PIN después de un número de días
Seleccione para requerir que los usuarios cambien el PIN de la aplicación después de un período de tiempo establecido en días.

Si se establece en , configure el número de días antes de que se solicite el restablecimiento del PIN.
No
      Número de días
Configure el número de días antes de que se solicite el restablecimiento del PIN. 90
    PIN de aplicación cuando está establecido el PIN del dispositivo
Seleccione Deshabilitar para deshabilitar el PIN de aplicación cuando se detecta un bloqueo de dispositivo en un dispositivo inscrito con Portal de empresa configurado.

Nota:Requiere que la aplicación tenga Intune SDK versión 7.0.1 o posterior. La configuración IntuneMAMUPN debe configurarse para que las aplicaciones detecten el estado de inscripción.

En dispositivos iOS/iPadOS, puede permitir que el usuario demuestre su identidad con Touch ID o Face ID en lugar de con un PIN. Intune usa la API LocalAuthentication para autenticar a los usuarios con Touch ID y Face ID. Para obtener más información sobre Touch ID y el Id. de interfaz, vea la Guía de seguridad de iOS.

Cuando el usuario intenta emplear esta aplicación con su cuenta profesional o educativa, se le solicita que indique su identidad mediante la huella digital o la identidad facial en lugar de escribir un PIN. Cuando esta opción está habilitada, la imagen de vista previa de las últimas aplicaciones estará borrosa mientras use una cuenta profesional o educativa. Si hay algún cambio en la base de datos biométrica del dispositivo, Intune solicita al usuario un PIN cuando se cumple el siguiente valor de tiempo de espera de inactividad. Los cambios realizados en los datos biométricos incluyen la incorporación o eliminación de una cara o una huella digital para fines de autenticación. Si el usuario Intune no tiene un PIN establecido, se le lleva a configurar un PIN de Intune.
Enable
Credenciales de cuenta profesional o educativa para el acceso Seleccione Requerir para requerir que el usuario inicie sesión con su cuenta profesional o educativa en lugar de escribir un PIN para acceder a la aplicación. Si se establece en Requerir y están activados el PIN o las solicitudes biométricas, se muestran tanto las credenciales corporativas como el PIN o las solicitudes biométricas. No requerida
Volver a comprobar los requisitos de acceso tras (minutos de inactividad) Configure el número de minutos de inactividad que deben transcurrir antes de que la aplicación requiera que el usuario vuelva a especificar los requisitos de acceso.

Por ejemplo, un administrador activa el PIN y bloquea los dispositivos rooteados en la directiva, un usuario abre una aplicación administrada por Intune, debe escribir un PIN y debe usar la aplicación en un dispositivo no raíz. Al usar esta configuración, el usuario no tendría que escribir un PIN ni someterse a otra comprobación de detección de raíz en ninguna aplicación administrada por Intune durante un período de tiempo igual al valor configurado.

Nota:En iOS/iPadOS, el PIN se comparte entre todas las aplicaciones administradas por Intune del mismo publicador. El temporizador de PIN de un PIN específico se restablece una vez que la aplicación deja el primer plano en el dispositivo. El usuario no tendría que escribir un PIN en ninguna aplicación administrada Intune que comparta su PIN durante el tiempo de espera definido en esta configuración. Este formato de configuración de directiva admite un número entero positivo.
30

Nota:

Para obtener más información sobre cómo funcionan las opciones de protección de aplicaciones en Intune configuradas en la sección Acceso para el mismo conjunto de aplicaciones y usuarios en iOS/iPadOS, vea Preguntas más frecuentes sobre MAM y Borrar los datos de forma selectiva mediante acciones de acceso de la directiva de protección de aplicaciones en Intune.

Lanzamiento condicional

Configure opciones de inicio condicionales para establecer los requisitos de seguridad del inicio de sesión para la directiva de protección de acceso.

De forma predeterminada, se proporcionan varias configuraciones con acciones y valores preconfigurados. Puede eliminar algunas de ellas, como la Versión mínima del sistema operativo. También puede seleccionar una configuración adicional en la lista desplegable Seleccionar una.

Configuración Cómo se usa
Versión máxima del sistema operativo Especifique una versión máxima del sistema operativo iOS/iPadOS para usar esta aplicación.

Las acciones incluyen:

  • Advertir: el usuario verá una notificación si la versión de iOS/iPadOS del dispositivo no cumple el requisito. Se puede descartar esta notificación.
  • Bloquear acceso: se bloqueará el acceso del usuario si la versión de iOS/iPadOS del dispositivo no cumple el requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.

Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.

Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.

Nota:Requiere que la aplicación tenga Intune SDK versión 14.4.0 o posterior.
Versión mínima del sistema operativo Especifique una versión mínima del sistema operativo iOS/iPadOS para usar esta aplicación.

Las acciones incluyen:

  • Advertir: el usuario verá una notificación si la versión de iOS/iPadOS del dispositivo no cumple el requisito. Se puede descartar esta notificación.
  • Bloquear acceso: se bloqueará el acceso del usuario si la versión de iOS/iPadOS del dispositivo no cumple el requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.

Este formato de configuración de directiva admite major.minor, major.minor.build, major.minor.build.revision.

Nota:Requiere que la aplicación tenga Intune SDK versión 7.0.1 o posterior.
N.º máximo de intentos de PIN Especifique el número de intentos que tiene el usuario para escribir correctamente el PIN antes de que se lleve a cabo la acción configurada. Si el usuario no puede escribir correctamente el PIN después del número máximo de intentos de PIN, el usuario debe restablecerlo después de iniciar sesión correctamente en su cuenta y completar un desafío de Multi-Factor Authentication (MFA), si es necesario. Este formato de configuración de directiva admite un número entero positivo.

Las acciones incluyen:

  • Restablecer PIN: el usuario debe restablecer el PIN.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Valor predeterminado = 5
Período de gracia sin conexión Número de minutos que las aplicaciones administradas por directivas se pueden ejecutar sin conexión. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación.

Las acciones incluyen:

  • Bloquear el acceso (minutos): número de minutos que las aplicaciones administradas por directivas se pueden ejecutar sin conexión. Especifique el tiempo (en minutos) que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación. Una vez que expire el período configurado, la aplicación bloqueará el acceso a datos profesionales o educativos hasta que esté disponible el acceso a la red. El temporizador del período de gracia sin conexión para bloquear el acceso a datos se calcula individualmente para cada aplicación en función de la última comprobación con el servicio Intune. Este formato de configuración de directiva admite un número entero positivo.

    Valor predeterminado = 1440 minutos (24 horas)

    Nota: La configuración del temporizador del período de gracia sin conexión para que el acceso de bloqueo sea menor que el valor predeterminado puede dar lugar a interrupciones del usuario más frecuentes a medida que se actualiza la directiva. No se recomienda elegir un valor de menos de 30 minutos, ya que puede dar lugar a interrupciones del usuario en cada inicio o reanudación de la aplicación.

    Nota: Al detener la actualización de la directiva del período de gracia sin conexión, incluido el cierre o la suspensión de la aplicación, se producirá una interrupción del usuario en el siguiente inicio o reanudación de la aplicación.

  • Borrar datos (días): después de estos días (definidos por el administrador) de ejecución sin conexión, la aplicación necesitará que el usuario se conecte a la red y vuelva a autenticarse. Si el usuario se autentica correctamente, puede seguir teniendo acceso a sus datos y el intervalo sin conexión se restablecerá. Si el usuario no puede autenticarse, la aplicación realizará un borrado selectivo de los datos y la cuenta de los usuarios. Vea Borrado solo de datos corporativos de aplicaciones administradas por Intune para obtener más información sobre qué datos se eliminan con un borrado selectivo. El temporizador de período de gracia sin conexión para el borrado de datos se calcula individualmente para cada aplicación en función de la última inserción en el repositorio con el servicio de Intune. Este formato de la configuración de directiva admite un número entero positivo.

    Valor predeterminado = 90 días
Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.
Dispositivos con jailbreak o rooting No se puede establecer ningún valor para esta configuración.

Las acciones incluyen:

  • Bloquear acceso: impida que esta aplicación se ejecute en dispositivos con jailbreak o rooting. El usuario sigue siendo capaz de usar esta aplicación para tareas personales, pero debe usar otro dispositivo para acceder a los datos profesionales o educativos de esta aplicación.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Cuenta deshabilitada No se puede establecer ningún valor para esta configuración.

Las acciones incluyen:

  • Bloquear el acceso: cuando se ha confirmado que el usuario se ha deshabilitado en Microsoft Entra ID, la aplicación bloquea el acceso a los datos profesionales o educativos.
  • Borrar datos: cuando hayamos confirmado que el usuario se ha deshabilitado en Microsoft Entra ID, la aplicación realizará un borrado selectivo de la cuenta y los datos de los usuarios.
Versión mínima de la aplicación Especifique un valor para el valor de versión mínima de la aplicación.

Las acciones incluyen:

  • Advertir: el usuario ve una notificación si la versión de la aplicación del dispositivo no cumple el requisito. Se puede descartar esta notificación.
  • Bloquear acceso: se bloquea el acceso al usuario si la versión de la aplicación del dispositivo no cumple el requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Como las aplicaciones a menudo tienen esquemas de control de versiones distintos entre sí, cree una directiva con una versión de aplicación mínima destinada a una aplicación (por ejemplo, directiva de versión de Outlook).

Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.

Esta configuración de directiva admite la coincidencia de formatos de versión de la agrupación de aplicaciones de iOS (major.minor o major.minor.patch).

Nota:Requiere que la aplicación tenga Intune SDK versión 7.0.1 o posterior.

Además, puede configurar dónde los usuarios finales pueden obtener una versión actualizada de una aplicación de línea de negocio (LOB). Los usuarios finales verán esta característica en el cuadro de diálogo de inicio condicional Versión mínima de la aplicación, que le pedirá a los usuarios finales que actualicen a una versión mínima de la aplicación de LOB. En iOS/iPadOS, esta característica requiere que la aplicación se integre (o se ajuste mediante la herramienta de ajuste) con el SDK de Intune para iOS v. 10.0.7 o posterior. Para configurar dónde un usuario final debería actualizar una aplicación de LOB, la aplicación necesita que se le envíe una directiva de configuración de aplicación administrada con la clave com.microsoft.intune.myappstore. El valor enviado definirá desde qué tienda descargará la aplicación el usuario final. Si la aplicación se implementa a través de Portal de empresa, el valor debe ser CompanyPortal. En el caso de cualquier otra tienda, debe escribir una dirección URL completa.
Versión mínima del SDK especifique un valor mínimo para la versión del SDK de Intune.

Las acciones incluyen:

  • Bloquear acceso: se bloquea el acceso al usuario si la versión del SDK de la directiva de protección de aplicaciones de Intune de la aplicación no cumple el requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
  • Advertencia : el usuario verá una notificación si la versión del SDK de iOS/iPadOS para la aplicación no cumple el requisito mínimo del SDK. Se le pedirá al usuario que actualice a la versión más reciente de la aplicación. Se puede descartar esta notificación.
Para obtener más información sobre el SDK de la directiva de protección de aplicaciones de Intune, vea Información general del SDK para aplicaciones de Intune. Como las aplicaciones suelen tener distintas versiones del SDK de Intune entre sí, cree una directiva con una versión de SDK de Intune mínima destinada a una aplicación (por ejemplo, una directiva de versión de SDK de Intune para Outlook).

Esta entrada puede aparecer varias veces y cada instancia admite una acción diferente.
Modelos de dispositivo Especifique una lista separada por puntos y comas de identificadores de modelos. Estos valores no distinguen mayúsculas de minúsculas.

Las acciones incluyen:

  • Permitir especificados (bloquear no especificados): solo los dispositivos que coincidan con el modelo especificado pueden usar la aplicación. El resto de modelos de dispositivo se bloquean.
  • Permitir especificados (borrar no especificados): la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Para más información sobre el uso de esta configuración, consulte Acciones de inicio condicional.
Nivel máximo de amenazas de dispositivo permitido Las directivas de protección de aplicaciones pueden aprovechar el conector de MTD de Intune. Especifique un nivel de amenaza máximo aceptable para usar esta aplicación. Las amenazas vienen determinadas por la aplicación de proveedor de Mobile Threat Defense (MTD) que se haya seleccionado en el dispositivo del usuario final. Especifique Protegido, Bajo, Medio o Alto. El nivel Protegido no requiere ninguna amenaza en el dispositivo y es el valor configurable más restrictivo, mientras que Alto requiere básicamente una conexión activa de Intune a MTD.

Las acciones incluyen:

  • Bloquear acceso: se impedirá el acceso del usuario si el nivel de amenaza determinado por la aplicación de proveedor de Mobile Threat Defense (MTD) seleccionada en el dispositivo del usuario final no cumple este requisito.
  • Borrar datos: la cuenta de usuario que está asociada con la aplicación se borra del dispositivo.
Nota:Requiere que la aplicación tenga Intune SDK versión 12.0.15 o posterior.

Para más información sobre el uso de esta opción, consulte Habilitación de MTD para dispositivos no inscritos.
Servicio MTD principal Si ha configurado varios conectores Intune-MTD, especifique la aplicación de proveedor de MTD principal que se debe usar en el dispositivo del usuario final.

Entre los valores se incluyen:

  • Microsoft Defender para punto de conexión: si el conector MTD está configurado, especifique Microsoft Defender para punto de conexión proporcionará la información de nivel de amenaza del dispositivo.
  • Mobile Threat Defense (no Microsoft): si el conector MTD está configurado, especifique el MTD que no sea de Microsoft y proporcionará la información de nivel de amenaza del dispositivo.

Debe configurar la opción "Nivel máximo de amenaza de dispositivo permitido" para usar esta configuración.

No hay ninguna acción para esta configuración.

Tiempo no laborable No se puede establecer ningún valor para esta configuración.

Las acciones incluyen:

  • Bloquear acceso : se bloquea el acceso al usuario porque la cuenta de usuario asociada a la aplicación está en tiempo no laborable.
  • Advertir : el usuario ve una notificación si la cuenta de usuario asociada a la aplicación está en tiempo no laborable. La notificación se puede descartar.
Nota: Esta configuración solo debe configurarse si el inquilino se ha integrado con la API de tiempo de trabajo. Para obtener más información sobre la integración de esta configuración con la API de tiempo de trabajo, consulte Limitar el acceso a Microsoft Teams cuando los trabajadores de primera línea están fuera del turno. La configuración de esta configuración sin integrarse con la API de tiempo de trabajo podría dar lugar a que las cuentas se bloqueen debido a que falta el estado de tiempo de trabajo de la cuenta administrada asociada a la aplicación.

Las siguientes aplicaciones admiten esta característica:

  • Teams para iOS v6.9.2 o posterior
  • Edge para iOS v126.2592.56 o posterior

Más información