Administración de transferencias de datos entre aplicaciones iOS en Microsoft Intune
Para ayudar a proteger los datos de la empresa, restrinja las transferencias de archivos solo a las aplicaciones que administre. Puede administrar aplicaciones de iOS de las siguientes maneras:
Proteja los datos de la organización para cuentas profesionales o educativas mediante la configuración de una directiva de protección de aplicaciones para las aplicaciones. a las que llamamos aplicaciones administradas por directivas. Consulte Microsoft Intune aplicaciones protegidas.
Implemente y administre las aplicaciones a través de la administración de dispositivos iOS, lo que requiere que los dispositivos se inscriban en una solución mobile Administración de dispositivos (MDM). Las aplicaciones que implemente pueden ser aplicaciones administradas por directivas u otras aplicaciones administradas por iOS.
La característica de administración de apertura para dispositivos iOS inscritos puede limitar las transferencias de archivos entre aplicaciones administradas por iOS. Establezca restricciones de administración de open-in mediante una directiva de protección de aplicaciones que establezca Enviar datos de la organización a otras aplicaciones en aplicaciones administradas por directivas con el valor de filtrado Open-In/Share y, a continuación, implemente la directiva mediante Intune. Cuando un usuario instala la aplicación implementada, las restricciones establecidas se aplican en función de la directiva asignada.
Uso de la administración de open-in para proteger aplicaciones y datos de iOS
Use directivas de Protección de aplicaciones con la característica de administración de apertura de iOS para proteger los datos de la empresa de las siguientes maneras:
Dispositivos no administrados por ninguna solución MDM: Puede establecer la configuración de la directiva de protección de aplicaciones para controlar el uso compartido de datos con otras aplicaciones a través de extensiones Open-in o Share. Para ello, configure la opción Enviar datos de la organización a otras aplicaciones en Aplicaciones administradas por directivas con el valor de filtrado Abrir en/Compartir . El comportamiento De apertura y uso compartido en la aplicación administrada por directivas solo presenta otras aplicaciones administradas por directivas como opciones para compartir. Para obtener información relacionada, consulte directivas de Protección de aplicaciones para aplicaciones iOS/iPadOS y Android, Transferencia de datos y extensión de recurso compartido de iOS.
Dispositivos administrados por soluciones MDM: para los dispositivos inscritos en soluciones mdm de Intune o de terceros, el uso compartido de datos entre aplicaciones con directivas de protección de aplicaciones y otras aplicaciones iOS administradas implementadas a través de MDM se controla mediante Intune directivas de APLICACIÓN y la característica de administración de iOS Open-in. Para asegurarse de que las aplicaciones que implemente con una solución MDM también están asociadas a las directivas de protección de aplicaciones de Intune, configure la configuración de UPN de usuario como se describe en la sección siguiente, Configuración del UPN de usuario. Para especificar cómo desea permitir la transferencia de datos a otras aplicaciones administradas por directivas y aplicaciones administradas de iOS, configure la opción Enviar datos de la organización a otras aplicaciones en Aplicaciones administradas por directivas con el uso compartido del sistema operativo. Para especificar cómo desea permitir que una aplicación reciba datos de otras aplicaciones, habilite Recibir datos de otras aplicaciones y, a continuación, elija el nivel preferido de recepción de datos. Para obtener más información sobre cómo recibir y compartir datos de aplicaciones, consulte Configuración de reubicación de datos.
Configuración del UPN de usuario para Microsoft Intune o EMM de terceros
La configuración del UPN de usuario es necesaria para que los dispositivos administrados por Intune o una solución EMM de terceros identifiquen la cuenta de usuario inscrita para el envío de la aplicación administrada de directiva al transferir datos a una aplicación administrada de iOS. Para obtener más información sobre las opciones de configuración de aplicaciones necesarias, consulte tipos de Administración de dispositivos. La configuración de UPN funciona con las directivas de protección de aplicaciones que implementa desde Intune.
El siguiente procedimiento es un flujo general sobre cómo configurar la configuración de UPN y la experiencia de usuario resultante:
En el centro de administración de Microsoft Intune, cree y asigne una directiva de protección de aplicaciones para iOS/iPadOS. Configure las opciones de directiva según los requisitos de la empresa y seleccione las aplicaciones de iOS que deben tener esta directiva.
Implemente las aplicaciones y el perfil de correo electrónico que desea administrar mediante Intune o la solución MDM de terceros mediante los siguientes pasos generalizados. Esta experiencia también se describe en el ejemplo 1.
Implemente la aplicación con los siguientes valores de configuración de la aplicación en el dispositivo administrado:
key = IntuneMAMUPN, value = username@company.com
Ejemplo: ['IntuneMAMUPN', 'janellecraig@contoso.com']
Nota:
En Intune, el tipo de inscripción de directiva de App Configuration debe establecerse en Dispositivos administrados. Además, la aplicación debe instalarse desde el Portal de empresa de Intune (si se establece como disponible) o insertarse según sea necesario en el dispositivo.
Nota:
Implemente la configuración de la aplicación IntuneMAMUPN en la aplicación administrada de destino que envía datos. Agregar la clave de configuración de la aplicación a la aplicación receptora es opcional.
Nota:
Actualmente, no hay compatibilidad para inscribirse con un usuario diferente en una aplicación si hay una cuenta de MDM inscrita en el mismo dispositivo.
Implemente la directiva de administración de apertura mediante Intune o el proveedor de MDM de terceros en dispositivos inscritos.
Ejemplo 1: Administración experiencia en Intune o consola MDM de terceros
Vaya al centro de administración de Microsoft Intune o a su proveedor de MDM de terceros. Vaya a la sección del Centro de administración en la que implementa la configuración de la aplicación en dispositivos iOS inscritos.
En la sección Configuración de la aplicación, escriba la siguiente configuración para cada aplicación administrada por directivas que transferirá datos a aplicaciones administradas por iOS, excepto para las aplicaciones que se configuran automáticamente en función del tipo de administración de dispositivos:
key = IntuneMAMUPN, value = username@company.com
La sintaxis exacta del par clave-valor puede diferir en función del proveedor de MDM de terceros. En la tabla siguiente se muestran ejemplos de proveedores de MDM de terceros y los valores exactos que debe especificar para el par clave-valor.
Proveedor de MDM de terceros Clave de configuración Tipo de valor Valor de configuración Microsoft Intune IntuneMAMUPN Cadena {{userprincipalname}} Microsoft Intune IntuneMAMOID Cadena {{userid}} VMware AirWatch IntuneMAMUPN Cadena {UserPrincipalName} MobileIron IntuneMAMUPN Cadena ${userUPN} o ${userEmailAddress} Citrix Endpoint Management IntuneMAMUPN Cadena ${user.userprincipalname} ManageEngine Mobile Administrador de dispositivos IntuneMAMUPN Cadena %upn%
Nota:
Para Outlook para iOS/iPadOS, si implementa un dispositivo administrado App Configuration directiva con la opción "Usar diseñador de configuración" y habilita Permitir solo cuentas profesionales o educativas, la clave de configuración IntuneMAMUPN se configura automáticamente en segundo plano para la directiva. Puede encontrar más detalles en la sección preguntas más frecuentes en Nueva experiencia de directiva de Outlook para iOS y Android App Configuration: App Configuration general.
Ejemplo 2: Experiencia del usuario final
Uso compartido desde una aplicación administrada por directivas a otras aplicaciones con el uso compartido del sistema operativo
Un usuario abre la aplicación Microsoft OneDrive en un dispositivo iOS inscrito e inicia sesión en su cuenta profesional. La cuenta que escribe el usuario debe coincidir con el UPN de la cuenta que especificó en la configuración de la aplicación para la aplicación Microsoft OneDrive.
Después del inicio de sesión, la configuración de aplicación configurada por el administrador se aplica a la cuenta de usuario de Microsoft OneDrive. Esto incluye la configuración de la opción Enviar datos de la organización a otras aplicaciones en aplicaciones administradas por directivas con el valor de uso compartido del sistema operativo .
El usuario obtiene una vista previa de un archivo de trabajo e intenta compartirlo a través de Open-in en la aplicación administrada de iOS.
La transferencia de datos se realiza correctamente y los datos ahora están protegidos por la administración de Open-in en la aplicación administrada de iOS. Intune APP no se aplica a las aplicaciones que no son aplicaciones administradas por directivas.
Uso compartido desde una aplicación administrada de iOS a una aplicación administrada por directivas con datos de la organización entrantes
Un usuario abre correo nativo en un dispositivo iOS inscrito con un perfil de correo electrónico administrado.
El usuario abre los datos adjuntos de un documento de trabajo de Correo nativo a Microsoft Word.
Cuando se inicia la aplicación Word, se produce una de las dos experiencias:
- Los datos están protegidos por Intune APP cuando:
- El usuario ha iniciado sesión en su cuenta profesional que coincide con el UPN de la cuenta que especificó en la configuración de la aplicación para la aplicación de Microsoft Word.
- La configuración de aplicación configurada por el administrador se aplica a la cuenta de usuario de Microsoft Word. Esto incluye configurar la opción Recibir datos de otras aplicaciones en todas las aplicaciones con el valor de datos de la organización entrante .
- La transferencia de datos se realiza correctamente y el documento se etiqueta con la identidad de trabajo en la aplicación. Intune APP protege las acciones del usuario para el documento.
- Los datos no están protegidos por Intune APP cuando:
- El usuario no ha iniciado sesión en su cuenta profesional.
- La configuración configurada por el administrador no se aplica a Microsoft Word porque el usuario no ha iniciado sesión.
- La transferencia de datos se realiza correctamente y el documento no se etiqueta con la identidad de trabajo en la aplicación. Intune APP no protege las acciones del usuario para el documento porque no está activo.
Nota:
El usuario puede agregar y usar sus cuentas personales con Word. Protección de aplicaciones directivas no se aplican cuando el usuario usa Word fuera de un contexto de trabajo.
- Los datos están protegidos por Intune APP cuando:
Validación de la configuración de UPN de usuario para EMM de terceros
Después de configurar la configuración de UPN de usuario, valide la capacidad de la aplicación iOS para recibir y cumplir Intune directiva de protección de aplicaciones.
Por ejemplo, la configuración de directiva Requerir PIN de la aplicación es fácil de probar. Cuando la configuración de directiva es igual a Requerir, el usuario debe ver un mensaje para establecer o escribir un PIN antes de que pueda acceder a los datos de la empresa.
En primer lugar, cree y asigne una directiva de protección de aplicaciones a la aplicación de iOS. Para obtener más información sobre cómo probar la directiva de protección de aplicaciones, consulte Validación de directivas de protección de aplicaciones.