Compartir a través de

Solución de problemas de implementación de directivas de protección de aplicaciones en Intune

  • Artículo

Este artículo ayuda a los administradores de TI a comprender y solucionar problemas al aplicar directivas de protección de aplicaciones (APP) en Microsoft Intune. Siga las instrucciones de las secciones que se aplican a su situación. Examine la guía para obtener instrucciones de solución de problemas adicionales relacionadas con la aplicación, como Solución de problemas de usuario de directivas de protección de aplicaciones y Solución de problemas de transferencia de datos entre aplicaciones.

Antes de empezar

Antes de empezar a solucionar problemas, recopile información básica para ayudarle a comprender mejor el problema y reducir el tiempo para encontrar una resolución.

Recopile la siguiente información general:

  • ¿Qué configuración de directiva es o no se aplica? ¿Se aplica alguna directiva?
  • ¿Cuál es la experiencia del usuario? ¿Los usuarios han instalado e iniciado la aplicación de destino?
  • ¿Cuándo comenzó el problema? ¿Ha funcionado alguna vez la protección de aplicaciones?
  • ¿Qué plataforma (Android o iOS) tiene el problema?
  • ¿Cuántos usuarios están afectados? ¿Todos los usuarios o solo algunos usuarios se ven afectados?
  • ¿Cuántos dispositivos se ven afectados? ¿Todos los dispositivos o solo algunos dispositivos se ven afectados?
  • Aunque las directivas de protección de aplicaciones de Intune no requieren un servicio de administración de dispositivos móviles (MDM), ¿se ven afectados los usuarios que usan Intune o una solución MDM de terceros?
  • ¿Se ven afectadas todas las aplicaciones administradas o solo las aplicaciones específicas? Por ejemplo, ¿se ven afectadas las aplicaciones de línea de negocio (LOB) con el SDK de aplicaciones de Intune, pero no las aplicaciones de la tienda?
  • ¿Se usa algún servicio de administración distinto de Intune en el dispositivo?

Con la información anterior en su lugar, puede empezar a solucionar problemas.

La implementación correcta de directivas de protección de aplicaciones se basa en la configuración adecuada de la configuración y otras dependencias. El flujo recomendado para investigar problemas comunes con la aplicación de Intune es el siguiente, que se revisa con más detalle en este artículo:

  1. Compruebe que cumple los requisitos previos para implementar directivas de protección de aplicaciones.
  2. Compruebe el estado de la directiva de protección de aplicaciones y compruebe el destino.
  3. Compruebe que el usuario está dirigido.
  4. Compruebe que la aplicación administrada está dirigida.
  5. Compruebe que el usuario ha iniciado sesión en la aplicación afectada con su cuenta corporativa de destino.
  6. Recopilar datos del dispositivo.

Paso 1: Comprobación de los requisitos previos de la directiva de protección de aplicaciones

El primer paso para solucionar problemas es comprobar si se cumplen todos los requisitos previos. Aunque puede usar intune APP independiente de cualquier solución MDM, se deben cumplir los siguientes requisitos previos:

  • El usuario debe tener asignada una licencia de Intune.

  • El usuario debe pertenecer a un grupo de seguridad destinado a una directiva de protección de aplicaciones. La misma directiva de protección de aplicaciones debe tener como destino la aplicación específica que se usa.

  • En el caso de los dispositivos Android, la aplicación Portal de empresa es necesaria para recibir directivas de protección de aplicaciones.

  • Si usa aplicaciones de Word, Excel o PowerPoint , se deben cumplir los siguientes requisitos adicionales:

    • El usuario debe tener una licencia para Aplicaciones Microsoft 365 para empresas o empresas vinculadas a la cuenta de Microsoft Entra del usuario. La suscripción debe incluir los aplicación de Office en dispositivos móviles y puede incluir una cuenta de almacenamiento en la nube con OneDrive para la Empresa. Las licencias de Microsoft 365 se pueden asignar en el Centro de administración de Microsoft 365 siguiendo estas instrucciones.
    • El usuario debe tener una ubicación administrada configurada mediante la funcionalidad De guardar pormenorizadas como . Este comando se encuentra en la configuración de directiva Guardar copias de protección de aplicaciones de datos de la organización. Por ejemplo, si la ubicación administrada es OneDrive, la aplicación de OneDrive debe configurarse en la aplicación word, Excel o PowerPoint del usuario.
    • Si la ubicación administrada es OneDrive, la aplicación debe tener como destino la directiva de protección de aplicaciones que se implementa en el usuario.

    Nota:

    Actualmente, las aplicaciones móviles de Office solo admiten SharePoint Online y no SharePoint local.

  • Si usa directivas de protección de aplicaciones de Intune junto con recursos locales (Microsoft Skype Empresarial y Microsoft Exchange Server), debe habilitar la autenticación moderna híbrida para Skype Empresarial y Exchange.

Paso 2: Comprobación del estado de la directiva de protección de aplicaciones

Revise los detalles siguientes para comprender el estado de las directivas de protección de aplicaciones:

  • ¿Ha habido una entrada de usuario desde el dispositivo afectado?
  • ¿Las aplicaciones para el escenario de problema se administran a través de la directiva de destino?
  • Compruebe que el tiempo de entrega de directivas está dentro del comportamiento esperado. Para obtener más información, consulte Descripción del tiempo de entrega de directivas de protección de aplicaciones.

Siga estos pasos para obtener información detallada:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Monitor de aplicaciones>> Protección de aplicaciones estado y, a continuación, seleccione el icono Usuarios asignados.
  3. En la página Informes de aplicaciones, seleccione Seleccionar usuario para mostrar una lista de usuarios y grupos.
  4. Busque y seleccione uno de los usuarios afectados de la lista y, a continuación, seleccione Seleccionar usuario. En la parte superior de la página Informes de aplicaciones, puede ver si el usuario tiene licencia para la protección de aplicaciones y tiene una licencia para Microsoft 365. También puede ver el estado de la aplicación para todos los dispositivos del usuario.
  5. Tome nota de esta información importante, como las aplicaciones de destino, los tipos de dispositivo, las directivas, el estado de registro de dispositivo y la hora de la última sincronización.

Nota:

Protección de aplicaciones directivas solo se aplican cuando las aplicaciones se usan en el contexto de trabajo. Por ejemplo, cuando el usuario accede a las aplicaciones mediante una cuenta profesional.

Para obtener más información, consulte Cómo validar la configuración de la directiva de protección de aplicaciones en Microsoft Intune.

Paso 3: Comprobar que el usuario está dirigido

Las directivas de protección de aplicaciones de Intune deben estar dirigidas a los usuarios. Si no asigna una directiva de protección de aplicaciones a un usuario o grupo de usuarios, la directiva no se aplica.

Para comprobar que la directiva se aplica al usuario de destino, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Apps>Monitor> Protección de aplicaciones estado y, a continuación, seleccione el icono Estado de usuario (basado en la plataforma del sistema operativo del dispositivo). En el panel Informes de aplicaciones que se abre, seleccione Seleccionar usuario para buscar un usuario.
  3. Seleccione el usuario de la lista. Puede ver los detalles de ese usuario. Tenga en cuenta que un usuario recién dirigido puede tardar hasta 24 horas en aparecer en los informes.

Al asignar la directiva a un grupo de usuarios, asegúrese de que el usuario está en el grupo de usuarios. Para ello, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Grupos > todos los grupos y, a continuación, busque y seleccione el grupo que se usa para la asignación de directivas de protección de aplicaciones.
  3. En la sección Administrar , seleccione Miembros.
  4. Si el usuario afectado no aparece en la lista, revise Administrar el acceso a aplicaciones y recursos mediante grupos de Microsoft Entra y las reglas de pertenencia a grupos. Asegúrese de que el usuario afectado esté incluido en el grupo.
  5. Asegúrese de que el usuario afectado no está en ninguno de los grupos excluidos de la directiva.

Importante

  • La directiva de protección de aplicaciones de Intune debe asignarse a grupos de usuarios y no a grupos de dispositivos.
  • Si el dispositivo afectado usa Android Enterprise, solo los perfiles de trabajo de propiedad personal admitirán las directivas de protección de aplicaciones.
  • Si el dispositivo afectado usa la inscripción automatizada de dispositivos (ADE) de Apple, asegúrese de que la afinidad de usuario está habilitada. La afinidad de usuario es necesaria para cualquier aplicación que requiera autenticación de usuario en ADE. Para obtener más información sobre la inscripción de ADE de iOS/iPadOS, consulte Inscripción automática de dispositivos iOS/iPadOS.

Paso 4: Comprobar que la aplicación administrada está dirigida

Al configurar directivas de protección de aplicaciones de Intune, las aplicaciones de destino deben usar intune App SDK. De lo contrario, es posible que las directivas de protección de aplicaciones no funcionen correctamente.

Asegúrese de que la aplicación de destino aparece en aplicaciones protegidas por Microsoft Intune. En el caso de las aplicaciones de línea de negocio o personalizadas, compruebe que las aplicaciones usan la versión más reciente del SDK de aplicaciones de Intune.

Para iOS, esta práctica es importante porque cada versión contiene correcciones que afectan a cómo se aplican estas directivas y cómo funcionan. Para obtener más información, consulte Versiones de iOS del SDK de aplicaciones de Intune. Los usuarios de Android deben tener instalada la versión más reciente de la aplicación Portal de empresa porque la aplicación funciona como agente de agente de directivas.

Paso 5: Comprobar que el usuario ha iniciado sesión en la aplicación afectada con su cuenta corporativa de destino

Algunas aplicaciones se pueden usar sin inicio de sesión de usuario, pero para administrar correctamente una aplicación mediante la aplicación de Intune, los usuarios deben iniciar sesión en la aplicación con sus credenciales corporativas. Las directivas de protección de aplicaciones de Intune requieren que la identidad del usuario sea coherente entre la aplicación y el SDK de aplicaciones de Intune. Asegúrese de que el usuario afectado ha iniciado sesión correctamente en la aplicación con su cuenta corporativa.

En la mayoría de los escenarios, los usuarios inician sesión en sus cuentas con su nombre principal de usuario (UPN). Sin embargo, en algunos entornos (como escenarios locales), los usuarios pueden usar algún otro tipo de credenciales de inicio de sesión. En estos casos, es posible que encuentre que el UPN que se usa en la aplicación no coincide con el objeto UPN en microsoft Entra ID. Cuando se produce este problema, las directivas de protección de aplicaciones no se aplican según lo previsto.

Los procedimientos recomendados de Microsoft son hacer coincidir el UPN con la dirección SMTP principal. Esta práctica permite a los usuarios iniciar sesión en aplicaciones administradas, protección de aplicaciones de Intune y otros recursos de Microsoft Entra mediante una identidad coherente. Para obtener más información, consulte Rellenado de Microsoft Entra UserPrincipalName.

La única manera de garantizar esta coherencia es mediante la autenticación moderna. Hay escenarios en los que las aplicaciones pueden funcionar en una configuración local sin autenticación moderna. Sin embargo, los resultados no son coherentes ni garantizados.

Si el entorno requiere métodos de inicio de sesión alternativos, consulte Configuración del identificador de inicio de sesión alternativo, específicamente autenticación moderna híbrida con alternate-ID.

Paso 6: Recopilar datos de dispositivo con Microsoft Edge

Trabaje con el usuario para recopilar detalles sobre sus intentos y los pasos que están realizando. Pida al usuario que recopile capturas de pantalla o grabación de vídeo del comportamiento. Esto ayuda a aclarar las acciones explícitas del dispositivo que se están realizando. A continuación, recopile registros de aplicaciones administradas a través de Microsoft Edge en el dispositivo.

Los usuarios con Microsoft Edge instalados en su dispositivo iOS o Android pueden ver el estado de administración de todas las aplicaciones publicadas por Microsoft. Pueden usar los pasos siguientes para enviar registros para ayudar con la solución de problemas.

  1. Abra Microsoft Edge para iOS y Android en el dispositivo.
  2. En la barra de direcciones, escriba about:intunehelp.
  3. Microsoft Edge para iOS y Android se inicia en modo de solución de problemas.

En esta pantalla, se mostrarán dos opciones y datos sobre el dispositivo.

Captura de pantalla que muestra la información del dispositivo compartido.

Seleccione Ver estado de la aplicación de Intune para ver una lista de aplicaciones. Si selecciona una aplicación específica, mostrará la configuración de la aplicación asociada a esa aplicación que está activa actualmente en el dispositivo.

Captura de pantalla que muestra la información sobre la aplicación.

Si la información que se muestra para una aplicación específica está limitada a la versión de la aplicación y agrupación con la marca de tiempo de protección de directivas, significa que no se aplica ninguna directiva actualmente a esa aplicación en el dispositivo.

La opción Introducción permite recopilar registros sobre las aplicaciones habilitadas para la aplicación. Si abre una incidencia de soporte técnico con Microsoft para las directivas de protección de aplicaciones, siempre debe proporcionar estos registros desde un dispositivo afectado si es posible. Para obtener instrucciones específicas de Android, consulte Carga y registro de correo electrónico.

Captura de pantalla que muestra las opciones para compartir registros.

Para obtener una lista de la configuración almacenada en los registros de diagnósticos de Intune (APP), consulte Revisión de los registros de protección de aplicaciones cliente.

Escenarios de solución de problemas adicionales

Revise los siguientes escenarios comunes al solucionar problemas de APP. También puede revisar los escenarios en Problemas comunes de transferencia de datos.

Escenario: los cambios de directiva no se aplican

El SDK de aplicaciones de Intune comprueba periódicamente los cambios de directiva. Sin embargo, este proceso puede retrasarse por cualquiera de los siguientes motivos:

  • La aplicación no se ha protegido con el servicio.
  • La aplicación Portal de empresa se ha quitado del dispositivo.

La directiva de protección de aplicaciones de Intune se basa en la identidad del usuario. Por lo tanto, se requiere un inicio de sesión válido que use una cuenta profesional o educativa para la aplicación y una conexión coherente con el servicio. Si el usuario no ha iniciado sesión en la aplicación o la aplicación Portal de empresa se ha quitado del dispositivo, las actualizaciones de directivas no se aplicarán.

Importante

El SDK de aplicaciones de Intune comprueba cada 30 minutos el borrado selectivo. Sin embargo, es posible que los cambios realizados en la directiva existente para los usuarios que ya hayan iniciado sesión no aparezcan durante hasta 8 horas. Para acelerar este proceso, haga que el usuario cierre la sesión de la aplicación y vuelva a iniciar sesión o reinicie su dispositivo.

Para comprobar el estado de protección de aplicaciones, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Monitor de aplicaciones>> Protección de aplicaciones estado y, a continuación, seleccione el icono Usuarios asignados.
  3. En la página Informes de aplicaciones, seleccione Seleccionar usuario para abrir una lista de usuarios y grupos.
  4. Busque y seleccione uno de los usuarios afectados de la lista y, a continuación, seleccione Seleccionar usuario.
  5. Revise las directivas que se aplican actualmente, incluido el estado y la hora de la última sincronización.
  6. Si el estado No está protegido o si la pantalla indica que no ha habido una sincronización reciente, compruebe si el usuario tiene una conexión de red coherente. Para los usuarios de Android, asegúrese de que tienen instalada la versión más reciente de la aplicación Portal de empresa.

Las directivas de protección de aplicaciones de Intune incluyen compatibilidad con varias identidades. Intune puede aplicar directivas de protección de aplicaciones solo a la cuenta profesional o educativa que ha iniciado sesión en la aplicación. Sin embargo, solo se admite una cuenta profesional o educativa por dispositivo.

Escenario: los dispositivos iOS inscritos en Intune requieren configuración adicional

Al crear una directiva de protección de aplicaciones, puede dirigirse a todos los tipos de aplicación o a los siguientes tipos de aplicación:

  • Aplicaciones en dispositivos no administrados
  • Aplicaciones en dispositivos administrados por Intune
  • Aplicaciones en el perfil de trabajo de propiedad personal de Android

Nota:

Para especificar los tipos de aplicación, establezca Destino en todos los tipos de aplicación en No y, a continuación, seleccione en la lista Tipos de aplicación.

Si solo tiene como destino dispositivos administrados por Intune para iOS, es necesario tener como destino las siguientes opciones de configuración de aplicaciones adicionales junto con la directiva de protección de aplicaciones:

  • IntuneMAMUPN e IntuneMAMOID deben configurarse para todas las aplicaciones administradas por MDM (Intune o EMM de terceros). Para obtener más información, consulte Configuración del UPN de usuario para Microsoft Intune o EMM de terceros.
  • IntuneMAMDeviceID debe configurarse para todas las aplicaciones administradas por MDM de terceros y LOB.
  • IntuneMAMDeviceID debe configurarse como token de identificador de dispositivo. Por ejemplo, key=IntuneMAMDeviceID, value={{deviceID}}. Para obtener más información, consulte Incorporación de directivas de configuración de aplicaciones para dispositivos iOS administrados.
  • Si solo se configura el valor IntuneMAMDeviceID , Intune APP considerará el dispositivo como no administrado.

Pasos siguientes