Administración de aplicaciones para Windows
VMware Workspace ONE UEM 2203
Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:
https://docs.vmware.com/es/
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304 www.vmware.com
VMware Spain, S.L.
Calle Rafael Boti 26 2.ª planta
Madrid 28023 Tel.: +34 914125000 www.vmware.com/es
Copyright © 2022 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.
Administración de aplicaciones para Windows
1
Administración de aplicaciones para Windows en Workspace ONE UEM 42
Cómo administrar aplicaciones con la Tienda Microsoft para Empresas 63
Integración de Flexera Software Vulnerability Manager 124
Integración de políticas de Microsoft Intune App Protection 14Administración de aplicaciones para Windows en Workspace
ONE UEM 1
Utilice Workspace ONE UEM powered by AirWatch para enviar aplicaciones de Windows a dispositivos del escritorio de Windows (Windows 10). Vea qué tipos de archivos admite el sistema para cada tipo de aplicación.
Tipos de aplicaciones y plataformas compatibles para Windows
Workspace ONE UEM clasifica las aplicaciones como: internas, públicas y web; las aplicaciones se pueden cargar según el tipo. En este tema se describen tanto las plataformas compatibles, como la implementación de cada uno de los tipos de aplicaciones.
Tabla 1-1. Tipos de aplicaciones y plataformas compatibles para Windows
Tipo de aplicación Plataformas compatibles
Interna Windows Desktop (Windows 10)
n APPX
Nota Cargue un archivo APPX, que puede ser x86, x64 o ARM. Sin embargo, el archivo APPX solo se instala en los dispositivos que usan la misma arquitectura. Por ejemplo, si usa ARM, Workspace ONE UEM no pone en la cola un comando de instalación para las arquitecturas x64 y x86. No inserta la aplicación en dispositivos que utilizan las arquitecturas x64 o x86.
n EXE: cargue un paquete EXE de aplicaciones Win32 para Windows 10.
n MSI: el archivo MSI, también conocido como Instalador de Windows, es un paquete que contiene todo lo que necesita para instalar, dar mantenimiento y eliminar el software.
n ZIP: cargue un paquete ZIP de aplicaciones Win32 para Windows 10.
Públicas (gratis y de pago) La tienda Microsoft Store para Empresas le permite adquirir, administrar y distribuir aplicaciones en masa.
Si utiliza Workspace ONE UEM para administrar los dispositivos con Windows 10, podrá integrar los dos sistemas. Después de la integración, podrá adquirir y distribuir aplicaciones de la tienda Microsoft Store para Empresas y administrar las versiones actualizadas con Workspace ONE UEM.
Puede asignar las aplicaciones públicas importadas de la tienda Microsoft Store para Empresas para aplicarlas a los dispositivos con la función de implementación flexible. También puede signar licencias en línea y sin conexión según cuál sea su estrategia de administración de licencias.
Enlaces web Workspace ONE UEM Console es compatible con el
escritorio de Windows (Windows 10) para insertar y administrar aplicaciones de vínculos web. Un perfil de web clips le permite insertar direcciones URL a los dispositivos de los usuarios finales para que tengan fácil acceso a sitios web importantes.
Puede agregar aplicaciones de enlaces web de dos formas.
n Como una aplicación en la sección Recursos de la consola de Workspace ONE UEM.
n Como un perfil de dispositivo web clip en la sección Dispositivos de la consola de UEM.
Cómo administrar aplicaciones con la Tienda Microsoft para
Empresas 2
La Tienda Microsoft para empresas le permite adquirir, administrar y distribuir aplicaciones en masa. Si utiliza Workspace ONE UEM para administrar los dispositivos Windows 10 o superior, integre los dos sistemas. Después de la integración, podrá adquirir y distribuir aplicaciones de la Tienda Microsoft para Empresas y administrar las versiones actualizadas con Workspace ONE UEM. Para obtener información sobre los procesos de la Tienda Microsoft para Empresas, consulte https://technet.microsoft.com/itpro/windows/manage/windows-store-for-business.
Requisitos comunes para ambos modelos de licencias, con y sin conexión
n Dispositivos con Windows 10 o superior: utilice el escritorio de Windows (dispositivos con Windows 10) para asignar aplicaciones. El GO que seleccione debe ser del tipo cliente.
n Servicios de Azure Active Directory: configure los servicios de Azure Active Directory en Workspace ONE UEM para habilitar la comunicación entre los sistemas. Esta configuración permite que Workspace ONE UEM administre dispositivos y aplicaciones Windows en esos dispositivos.
No necesita una cuenta Premium de Azure AD para llevar a cabo la integración con la Tienda Microsoft para empresas. Esta integración es un proceso independiente de la inscripción automática de MDM.
Importante La integración solo funciona cuando el grupo organizativo (GO) de destino es un GO de tipo cliente en el que se hayan configurado los servicios de Azure Active Directory.
n Cuenta de administrador de la Tienda Microsoft para empresas con permisos globales:
adquiera aplicaciones con una cuenta de administrador de la Tienda Microsoft para empresas.
Los permisos globales permiten al administrador acceder a todos los sistemas para adquirir, administrar y distribuir aplicaciones.
n El almacenamiento de archivos está activado para tiendas Workspace ONE UEM en las instalaciones de la tienda Microsoft Store para aplicaciones empresariales en un sistema de almacenamiento seguro de archivos. Los entornos en la sede tienen que habilitar esta función en la Workspace ONE UEM Console. Para ello, se agrega el identificador de inquilino y el nombre del inquilino en la página "Servicios de directorio". Este requisito forma parte del proceso para configurar los servicios de Azure AD.
Requisitos para el modelo de licencia con conexión
Azure Active Directory: los usuarios de los dispositivos deben utilizar Azure Active Directory para autenticarse en el contenido.
Requisitos para el modelo de licencia sin conexión
Workspace ONE UEM importa todos los paquetes de la aplicación y desactiva las acciones de asignación mientras el proceso está en curso. Cuando vuelva a importar paquetes para fines de actualización, por ejemplo, Workspace ONE UEM descargará solo los paquetes que hayan cambiado. Si no restringe el uso de la tienda de aplicaciones en los dispositivos, las actualizaciones de aplicaciones se enviarán a los dispositivos desde la Tienda Microsoft para empresas. Si restringe el uso de la tienda de aplicaciones en los dispositivos, importe las
aplicaciones actualizadas a Workspace ONE UEM. A continuación, informe a los usuarios de que deben instalar la versión actualizada desde el AirWatch Catalog.
Comparación de los modelos de concesión de licencias con y sin conexión de Microsoft Store para Empresas
Los modelos en línea y fuera de línea de la Tienda Microsoft para empresas ofrecen diferentes capacidades. Seleccione el modelo según la forma en que desea administrar la implementación.
Las capacidades incluyen qué sistema administra las licencias, dónde se almacenan los paquetes de aplicaciones y qué sistema se autentica en los recursos.
Tabla 2-1. Comparación de los modelos en línea y fuera de línea: capacidades diferentes
Función Modelo de licencia en línea Modelo de licencia fuera de línea
Control de licencias Las licencias están administradas por la Tienda Microsoft para empresas.
Los usuarios pueden recibir
aplicaciones y reclamar licencias fuera de la implementación de Workspace ONE UEM.
Las licencias están administradas por la empresa.
Utilice el modelo de licencia fuera de línea para controlar paquetes de aplicaciones y actualizaciones.
Este modelo ofrece flexibilidad, pero requiere atención para asegurarse de que las aplicaciones estén actualizadas y de renovar las licencias.
Hospedaje de paquetes de aplicaciones
Paquete de aplicaciones hospedado por la Tienda Microsoft para empresas.
Paquete de aplicaciones hospedado por el almacenamiento de archivos de Workspace ONE UEM en la sede o en el entorno de SaaS de Workspace ONE UEM.
Tabla 2-1. Comparación de los modelos en línea y fuera de línea: capacidades diferentes (continuación)
Función Modelo de licencia en línea Modelo de licencia fuera de línea
Azure Active Directory Los dispositivos deben utilizar el sistema Azure Active Directory para autenticarse.
Habilite el sistema Azure Active Directory para que Workspace ONE UEM y la Tienda Microsoft para empresas puedan comunicarse.
Los dispositivos no tienen que utilizar el sistema Azure Active Directory para autenticarse.
Sin embargo, debe habilitar el sistema Azure Active Directory para que Workspace ONE UEM y la Tienda Microsoft para empresas puedan comunicarse.
Restringir la tienda de aplicaciones Los dispositivos no pueden instalar aplicaciones, porque la restricción impide el uso de la Tienda Microsoft para empresas en el dispositivo.
Los dispositivos pueden instalar aplicaciones porque los paquetes de aplicaciones están hospedados en el entorno de Workspace ONE UEM.
Tabla 2-2. Comparación de los modelos en línea y fuera de línea: mismas capacidades
Función Modelo de licencia en línea Modelo de licencia fuera de línea
Nivel al que se reclaman las licencias Workspace ONE UEM reclama las licencias para la aplicación del usuario.
Workspace ONE UEM reclama las licencias para la aplicación del usuario.
Reutilización de licencias Los administradores pueden revocar licencias a través de Workspace ONE UEM y reutilizarlas.
Los administradores pueden revocar licencias a través de Workspace ONE UEM y reutilizarlas.
Importar aplicaciones públicas adquiridas en Microsoft Store para Empresas
Puede importar aplicaciones públicas adquiridas en Microsoft Store para Empresas consola a Workspace ONE UEM Console. El proceso es el mismo para los modelos de licencia en línea y fuera de línea. Para el modelo de licencia fuera de línea, planifique la importación de estas aplicaciones cuando la red corporativa no esté ocupada. Debido a la cantidad de aplicaciones, el proceso de importación puede consumir más ancho de banda que otros sistemas de Workspace ONE UEM.
1 Vaya al grupo organizativo en el que desee configurar los servicios de Azure Active Directory.
2 Navegue a Recursos > Aplicaciones > Nativas > Públicas y seleccione Agregar aplicación.
3 Seleccione la Plataforma.
4 Seleccione Importar de BSP y luego Siguiente.
5 Vea una lista de las aplicaciones que Workspace ONE UEM importa de su cuenta de la tienda Microsoft Store para empresas. No puede editar esta lista en Workspace ONE UEM Console.
Administración de aplicaciones para Windows
6 Seleccione Terminar.
n Modelo de licencia fuera de línea: el sistema descarga aplicaciones al sistema de almacenamiento remoto de archivos.
n Modelo de licencia en línea: el sistema almacena las aplicaciones en la Tienda Microsoft para empresas y espera la llegada de un comando de instalación.
Implementar aplicaciones públicas adquiridas en Microsoft Store para Empresas
Puede asignar las aplicaciones públicas adquiridas en Microsoft Store para Empresas para aplicarlas a los dispositivos con la función de implementación flexible. También puede signar licencias con y sin conexión en función de su estrategia de administración de licencias.
1 Navegue a Recursos > Aplicaciones > Nativas > Públicas.
2 Seleccione la aplicación y elija Asignar.
3 Complete las opciones de Agregar asignación para agregar una regla.
Ajustes Descripción
Asignación: licencias en línea
Asigne grupos a las aplicaciones con licencias en línea.
Si los dispositivos forman parte de su sistema Azure Active Directory y su
implementación dispone de licencias en línea, los dispositivos recibirán la aplicación.
Si asigna licencias tanto en línea como fuera de línea al grupo, el sistema otorga preferencia a las licencias en línea.
Asignación: licencias fuera de línea
Asigne grupos a las aplicaciones con licencias fuera de línea.
Si su implementación dispone de licencias fuera de línea, los dispositivos recibirán la aplicación.
Si asigna licencias tanto en línea como fuera de línea al grupo, el sistema otorga preferencia a las licencias en línea.
Implementación método de distribución de aplicaciones
Vea el método de entrega. Implemente contenido a pedido en un agente de implementación y deje que el usuario del dispositivo decida si instalar el contenido y cuándo.
Implementación: DLP Configure un perfil de dispositivo con un perfil de Restricciones para configurar políticas de prevención de pérdida de datos para la aplicación.
Seleccione Configurar. El sistema se desplaza hasta el área Perfiles. Seleccione Agregar
> Agregar perfil > Windows > Escritorio de Windows > Perfil del dispositivo >
Restricciones. Habilite las opciones que se apliquen a los datos que desea proteger
4 Seleccione Agregar y de prioridad a las asignaciones si tiene más de una regla de asignación.
5 Implemente la aplicación con Guardar y publicar.
Cómo recuperar y reasignar su licencia de aplicaciones
Cuando asigna aplicaciones de Microsoft Store para Empresas a los dispositivos, el proceso de asignación reclama las licencias correspondientes antes de que el sistema inicie la instalación de la aplicación. La vista de detalles le proporciona la lista de dispositivos de usuario y la licencia reclamada asociada. También puede eliminar la asignación de la aplicación para recuperar y volver a asignar las licencias. La sincronización de las licencias con y sin conexión en la vista detalles de la aplicación le proporciona los usuarios correspondientes de cada licencia.
Puede desplazarse a Recursos > Aplicaciones > Vista de lista > Pública y seleccione la aplicación de Microsoft Store para Empresas. Esta acción muestra la vista de detalles. En esta vista, utilice la acción Sincronizar licencia para importar la lista de usuarios que se corresponden con las licencias reclamadas. Para ver las licencias reclamadas, seleccione la pestaña Licencias.
Nota Workspace ONE UEM también importa las asociaciones de licencia cuando selecciona la opción Importar de BSP tras la importación inicial de las aplicaciones de la Tienda Microsoft para empresas. Esta sincronización se lleva a cabo de forma asíncrona a la sincronización del paquete de aplicaciones.
Puede reclamar y reutilizar las licencias mostradas en la pestaña Licencias mediante la eliminación de la asignación de la aplicación al dispositivo del usuario. Workspace ONE UEM incluye varios métodos con los que eliminar asignaciones. Resultados de la eliminación de la aplicación del dispositivo.
Tabla 2-3. Métodos para recuperar las licencias
Método Descripción
Vista de detalles Seleccione la función Eliminar aplicación en la vista de detalles de la aplicación.
Esta acción elimina la aplicación de los dispositivos en grupos asignados a la aplicación.
Dispositivo Elimine el dispositivo correspondiente de la consola.
Grupo organizativo Elimine el grupo organizativo. Esta acción afecta a todos los activos y dispositivos del grupo organizativo.
Grupo de asignación Elimine el grupo inteligente o de usuarios asignado a la aplicación.Esta acción afecta a todos los dispositivos del grupo.
Usuario Elimine la cuenta de usuario correspondiente de la consola.
Administración de aplicaciones para Windows
Configurar la integración de Azure AD
Para configurar Azure AD, use una cuenta de administrador de Azure para registrarse en la tienda y activar la herramienta de administración de Workspace ONE UEM.
1 Cree una cuenta de administrador de Azure para Workspace ONE UEM. Configure una cuenta administrativa con funciones de administrador global en el directorio predeterminado de Microsoft Azure. Utilice esta cuenta para adquirir aplicaciones en la Tienda Microsoft para empresas. No necesita una cuenta de Azure Premium para crear una cuenta administrativa que sirva para la Tienda Microsoft para empresas.
a En Azure, diríjase a su Active Directory de Azure.
b Seleccione Usuarios y grupos y + Nuevo usuario.
c Configure la Función de directorio como Administrador Global.
d Cree una contraseña temporal para que pueda iniciar sesión en la Tienda Microsoft para empresas.
2 Active Workspace ONE UEM en la tienda Microsoft Store para empresas y adquiera
aplicaciones. Active la herramienta de administración de Workspace ONE UEM en Microsoft Store para empresas con sus credenciales de cuenta de administrador de Azure. Si utiliza el modelo de licencia fuera de línea, permita la adquisición de aplicaciones con licencias fuera de línea.
a Navegue a la Tienda Microsoft para empresas e inicie sesión con su cuenta administrativa de Azure.
b Navegue hasta Administrar > Ajustes > Distribuir > Herramientas de administración y active la consola Workspace ONE UEM mediante la herramienta VMware.
c Para licencias fuera de línea, vaya a Administrar > Ajustes > Tienda > Experiencia de compra y habilite Mostrar aplicaciones con licencia sin conexión a las personas que compren en la tienda.
d En la Tienda para empresas, agregue aplicaciones a su inventario. Puede agregar
aplicaciones con licencia tanto en línea como fuera de línea según cuál sea su estrategia de administración de licencias.
Integración de Flexera Software
Vulnerability Manager 3
Flexera Software Vulnerability Manager (en ocasiones abreviado como SVM) incluye numerosas funciones y una de estas funciones proporciona una lista elaborada de revisiones para miles de aplicaciones, junto con sus valoraciones de vulnerabilidad. En Workspace ONE UEM, puede ver, validar y asignar aplicaciones administradas de Windows 10 según su puntuación, tal como lo indica Flexera Software Vulnerability Manager.
Requisitos
n Utilice Flexera Software Vulnerability Manager v7.6.1.16 o la versión 2021 R1.
n Utilice Workspace ONE UEM Console v2101 o una versión posterior.
n Utilice dispositivos con Windows 10 inscritos con Workspace ONE UEM y que también tengan el agente de Flexera Software Vulnerability Manager en ejecución.
n Use el daemon de revisión de SVM v5.0.381 o una versión posterior.
¿Cómo se configura la integración?
Configure el daemon de revisión de SVM y trabaje con las aplicaciones deseadas en Workspace ONE UEM.
1 Configure el daemon de revisión de SVM con sus credenciales de Workspace ONE UEM.
a Inicie el daemon de revisión de SVM y seleccione la pestaña Workspace ONE.
b Introduzca las credenciales de la instancia de Workspace ONE UEM.
c Seleccione el tipo de autenticación.
d Proporcione la clave de REST API para la jerarquía de tenants en la que desea publicar las revisiones.
El daemon de revisión de SVM muestra una lista de grupos organizativos de Workspace ONE UEM.
e Seleccione el grupo organizativo de Workspace ONE UEM correspondiente para su integración.
f Pruebe la conexión y valide el nivel de registro en la pestaña SVM.
2 Identifique y publique vulnerabilidades en Software Vulnerability Manager.
a En Software Vulnerability Manager, revise las revisiones críticas en la sección SPS o en el módulo Revisión del proveedor.
b Identifique la vulnerabilidad a revisar, y haga clic con el botón secundario en la selección para crear un paquete.
c Configure la vulnerabilidad empaquetada con el asistente de paquetes. Seleccione Daemon de revisión como modo de publicación.
d Publique el paquete y supervise su estado en la página Estado de implementación de la revisión.
e Confirme los detalles del entorno de Workspace ONE.
3 Vea, valide y asigne aplicaciones en Workspace ONE UEM.
Nota Considere la posibilidad de enviar mediante push a un grupo de prueba de dispositivos antes de integrar esta integración en los dispositivos de producción.
a En Workspace ONE UEM Console, desplácese a Recursos > Aplicaciones > Nativas y seleccione el tipo de aplicación para ver la Vista de lista de las aplicaciones.
b Filtre la Vista de lista mediante el atributo Flexera SVM para ver la aplicación con su nivel de gravedad asignado (puntuación de vulnerabilidad).
c Valide los metadatos de la aplicación. Los metadatos incluyen contingencias de instalación y criterios de detección convertidos a partir de las reglas de aplicabilidad de la aplicación en Software Vulnerability Manager.
d Agregue asignaciones de implementación flexible a la aplicación para enviarlas mediante push a los dispositivos. La integración instala la aplicación Flexera SVM solo en aquellos dispositivos que coincidan con los metadatos (reglas de aplicabilidad convertidas).
Integración de políticas de
Microsoft Intune App Protection 4
La integración de VMware Workspace ONE® con tecnología AirWatch con las políticas de Microsoft Intune® App Protection acaba con la administración de las políticas de DLP para las políticas de Microsoft Intune App Protection en las dos consolas.
Puede configurar las políticas de aplicaciones de prevención de pérdida de datos (DLP) para su Microsoft Intune App Protection en Workspace ONE UEM. Después de integrar los dos sistemas, administre las políticas de aplicaciones de DLP en Workspace ONE UEM Console para que la integración continúe estando actualizada.
La mayoría de las políticas de Microsoft Intune App Protection están disponibles para la plataforma Android y la plataforma iOS.
Administrar en Workspace ONE UEM Console para mantenerse sincronizado
Después de integrar los dos sistemas, administre las políticas de aplicaciones de DLP en
Workspace ONE UEM Console para que la integración continúe estando actualizada. Workspace ONE UEM no recibe los cambios realizados en otras secciones de la integración. Las políticas de aplicaciones de DLP o las asignaciones de grupos de seguridad pueden quedar fuera de la sincronización.
Experiencia del usuario en Android e iOS
Las plataformas iOS y Android ofrecen experiencias de usuario diferentes y similares cuando los usuarios acceden por primera vez a las aplicaciones tras una integración exitosa con Intune.
Experiencia en iOS
Cuando el usuario del dispositivo se autentica en aplicaciones de Microsoft Office 365 en
dispositivos iOS y el perfil se envía correctamente, el sistema muestra una ventana emergente que indica que su organización administra la aplicación. No hay pasos adicionales en la configuración.
Experiencia en Android
Para administrar dispositivos Android y Android Enterprise, los usuarios deben instalar la
aplicación Intune Company Portal. Esta aplicación actúa como agente para el SDK de aplicaciones de Intune de la misma manera que Workspace ONE Intelligent Hub actúa como agente para las aplicaciones de Workspace ONE UEM.
Experiencia común en iOS y Android
Ambas plataformas deben configurar Intune como autoridad de MDM en el dispositivo. Puede configurar este ajuste en el dispositivo en Tenant de Azure > Todos los recursos > Intune. Habilite Autoridad de MDM de Intune en la notificación de introducción.
Lleve a cabo estas acciones en Azure para integrar Microsoft Intune
Para la integración, cree una cuenta de usuario y asigne al usuario las licencias de Microsoft indicadas.
En los entornos que no tienen la integración de Azure AD en los servicios de directorio en Workspace ONE UEM Console, debe agregar la aplicación AirWatch by VMware en Azure.
Consulte Configurar Workspace ONE UEM para usar Azure AD como servicio de identidad para obtener más detalles.
Importante Si ya dispone de la inscripción lista para usar (OOBE) configurada con cualquier otro proveedor de MDM que no sea Workspace ONE UEM, agregue AirWatch by VMware y no introduzca ni edite ningún otro ajuste en Azure. Si introduce o edita configuraciones, puede interrumpir el proceso de inscripción existente.
n Cree una cuenta de servicio (un usuario) en Azure y asigne al usuario las funciones correspondientes.
Nota Estos pasos son generales. Para obtener detalles actuales sobre la configuración de Azure, consulte la documentación de Microsoft.
a Acceda al portal de Azure introduciendo portal.azure.com en el navegador.
b Cree un usuario o sincronice un usuario con el Active Directory local.
Desactive la MFA (autenticación multifactor) para el dominio de este usuario.
c Asigne a este usuario las funciones indicadas.
n Administrador de Intune
n Si ha creado un usuario en Azure AD, utilice esta cuenta para iniciar sesión en Azure en portal.azure.com. Asegúrese de que la contraseña sea válida y que no sea necesario actualizarla.
n Debe asignar al usuario las licencias indicadas en Azure.
n Políticas de Microsoft Intune App Protection
n Microsoft Enterprise Mobility + Security E3 o E5
Configurar los ajustes de Intune
En Workspace ONE UEM Console, configure y aplique las políticas de aplicaciones de prevención de pérdida de datos (DLP) a las aplicaciones y datos de Microsoft Intune® App Protection.
Configure en primer lugar la pestaña Autenticación para que los sistemas puedan comunicarse. A continuación, configure los ajustes de DLP y asígnelos a los grupos.
Workspace ONE UEM no aplica las políticas directamente en las aplicaciones. Microsoft SDK controla y aplica las políticas.
Nota La advertencia se ajusta para la versión del sistema operativo y la versión de la aplicación.
La versión de revisión de Android solo notifica al usuario con un mensaje de advertencia. Sin embargo, las alertas de advertencia no impiden que los usuarios finales utilicen la aplicación.
Requisitos previos
Para configurar y aplicar las políticas de aplicaciones de DLP a las aplicaciones de Intune, debe tener los privilegios para configurar las políticas de aplicaciones en Intune.
Procedimiento
1 Desplácese a Grupos > Ajustes > Todos los ajustes > Aplicaciones > Políticas de Microsoft Intune® App Protection.
2 Seleccione la pestaña Autenticación e introduzca el nombre de usuario y la contraseña del administrador de Azure.
Los administradores pueden utilizar políticas de aplicaciones de DLP de Office 365 para proteger sus aplicaciones y datos de Office 365 con las API de Microsoft Graph. Para configurar las políticas de DLP de Office 365, necesitará las credenciales de administrador para conectar su tenant a Workspace ONE UEM.
Ajustes Descripción
Nombre de usuario Introduzca el nombre de usuario que se utiliza para configurar el tenant en Workspace ONE UEM.
Contraseña Introduzca la contraseña que se utiliza para configurar el tenant en Workspace ONE UEM.
Workspace ONE UEM utiliza estas credenciales para buscar y asignar las políticas de aplicaciones de DLP a los grupos de seguridad de Microsoft.
Administración de aplicaciones para Windows
3 Seleccione la pestaña Prevención de pérdida de datos y configure sus políticas de aplicaciones de DLP de políticas de Microsoft Intune App Protection preferidas. Configure las políticas de aplicaciones de DLP para sus aplicaciones y datos administrados de políticas de Microsoft Intune App Protection.
Configuración de reubicación
de datos Descripción
Prevenir copia de seguridad Impida a los usuarios realizar copias de seguridad de los datos de sus aplicaciones administradas.
Permita que las aplicaciones transfieran datos a otras aplicaciones
n Todo: los usuarios pueden enviar datos de las aplicaciones administradas a cualquier aplicación.
n Restringido: los usuarios pueden enviar datos de sus aplicaciones administradas a otras aplicaciones administradas.
n Ninguno: impide a los usuarios enviar datos de aplicaciones administradas a cualquier aplicación.
Permita a las aplicaciones recibir datos de otras aplicaciones
n Todo: los usuarios pueden recibir datos de las aplicaciones en sus aplicaciones administradas.
n Restringido: los usuarios pueden recibir datos de otras aplicaciones administradas en sus aplicaciones administradas.
n Ninguno: impide que los usuarios reciban datos de todas las aplicaciones en sus aplicaciones administradas.
Impedir "Guardar como" Impide que los usuarios guarden datos de aplicaciones administradas de políticas de Microsoft Intune App Protection en otros sistemas o áreas de almacenamiento.
Restringir la función de cortar, copiar y pegar con otras aplicaciones
n Cualquier aplicación: los usuarios pueden cortar, copiar y pegar datos entre sus aplicaciones administradas y cualquier aplicación.
n Bloqueado: impide que los usuarios corten, copien y peguen datos entre las aplicaciones administradas y todas las aplicaciones.
n Aplicaciones administradas mediante políticas: los usuarios pueden cortar, copiar y pegar datos entre las aplicaciones administradas de políticas de Microsoft Intune App Protection.
n Aplicaciones administradas mediante políticas con opción de pegar: los usuarios pueden cortar y copiar datos de sus aplicaciones administradas y pegarlos en otras aplicaciones administradas.
Los usuarios también pueden cortar y copiar datos de cualquier aplicación en sus aplicaciones administradas.
Restringir el contenido web para que se muestre en el navegador administrado
Fuerza la apertura de vínculos de aplicaciones administradas en un navegador administrado.
Cifrar los datos de la aplicación Cifra los datos que pertenecen a las aplicaciones administradas cuando el dispositivo se encuentra en el estado seleccionado. El sistema cifra los datos almacenados en cualquier lugar, incluidas las unidades de almacenamiento externas y las tarjetas SIM.
Deshabilitar la sincronización de Evita que las aplicaciones administradas guarden contactos en la libreta de
Configuración de reubicación
de datos Descripción
Inhabilitar la impresión Impide que los usuarios impriman los datos asociados con las aplicaciones administradas.
Ubicaciones de
almacenamiento de datos permitidas
Los administradores pueden controlar dónde pueden almacenar los datos de las aplicaciones administradas.
Configuración de acceso Descripción
Requerir PIN para el acceso Requiere que los usuarios introduzcan un PIN para acceder a las aplicaciones administradas.
Los usuarios crean el PIN durante su acceso inicial.
Cantidad de intentos antes de restablecer el PIN
Establece el número de entradas que los usuarios pueden intentar antes de que el sistema restablezca el PIN.
Permitir PIN simple Los usuarios pueden crear PIN de cuatro dígitos con caracteres repetidos.
Longitud del PIN Establece el número de caracteres que los usuarios deben establecer para sus PIN.
Caracteres de PIN permitidos Establece los caracteres que los usuarios deben configurar para sus PIN.
Permitir huella digital en lugar del PIN
Los usuarios pueden acceder a las aplicaciones administradas con sus huellas digitales en lugar de con el PIN.
Requerir credenciales corporativas para el acceso
Los usuarios pueden acceder a las aplicaciones administradas con sus credenciales empresariales.
Bloquee las aplicaciones administradas para que no se ejecuten en dispositivos que han sido alterados (jailbreak) o con acceso root
Impide que los usuarios accedan a aplicaciones administradas en dispositivos comprometidos.
Volver a comprobar los requisitos de acceso después de (minutos)
Configura el sistema para validar el PIN de acceso, la huella digital o la información de credenciales cuando la sesión de acceso alcanza uno de los intervalos de tiempo.
n Tiempo de espera: número de minutos que las sesiones de acceso de las aplicaciones administradas están inactivas.
n Periodo de gracia sin conexión: número de minutos que los dispositivos con aplicaciones administradas están sin conexión.
Intervalo sin conexión (días) antes de borrar los datos de la aplicación
Configura el sistema para que elimine los datos de las aplicaciones administradas de los dispositivos cuando los dispositivos están sin conexión durante un número determinado de días.
Ajustes para Android Descripción Bloquear capturas de pantalla y
Android Assistant
Si selecciona Sí, las capturas de pantalla y el escaneo de aplicaciones de Android Assistant no estarán disponibles cuando se utilice una aplicación de Office.
Versión mínima del sistema operativo requerida
Introduzca el número de versión mínima requerida del SO Android que el usuario debe tener para obtener acceso seguro a la aplicación.
Administración de aplicaciones para Windows
Ajustes para Android Descripción Versión mínima del sistema
operativo requerida (solo alerta de advertencia)
Introduzca el número de versión mínima requerida del SO Android que el usuario debe tener para obtener acceso seguro a la aplicación.
Versión mínima de la aplicación requerida
Introduzca el número de versión mínima requerida de la aplicación que el usuario debe tener para obtener acceso seguro a la aplicación.
Versión mínima de la aplicación requerida (solo alerta de advertencia)
Introduzca el número de versión mínima requerida de la aplicación que el usuario debe tener para obtener acceso seguro a la aplicación.
Versión mínima de parche de Android requerida
Introduzca el nivel requerido de revisiones de seguridad de Android más antiguo que puede tener un usuario para obtener acceso seguro a la aplicación.
Versión mínima de parche de Android requerida (solo alerta de advertencia)
Introduzca el nivel de revisiones de seguridad de Android más antiguo que puede tener un usuario para obtener acceso seguro a la aplicación.
4 Seleccione la pestaña Grupos asignados y asigne las políticas de aplicaciones de DLP a los grupos de seguridad de Microsoft. Los grupos de seguridad se configuraron previamente en Azure.
Ajustes Descripción
Todos los grupos de seguridad
Introduzca el nombre del grupo de seguridad y asígnelo a las políticas de aplicaciones de DLP. Realice su selección de la lista que el sistema muestra después de una entrada.
Seleccione Agregar grupo y asigne las políticas de aplicaciones de DLP al grupo de seguridad.
Grupos de seguridad asignados a políticas de O365
Muestra los grupos de seguridad asignados a las políticas de aplicaciones de DLP.
Seleccione Eliminar grupo y elimine la asignación del grupo de seguridad.
Mensajes de advertencia para políticas eliminadas y modificadas
Después de cargar las políticas de Microsoft Intune App Protection, Workspace ONE UEM Console comprueba si hay eliminaciones y modificaciones en Intune en el portal de Azure. Es posible que las políticas administradas queden fuera de la sincronización con las políticas implementadas. Para advertir a los administradores sobre posibles eliminaciones y modificaciones, Workspace ONE UEM Console muestra mensajes de advertencia en función del escenario.
n Se ha eliminado la política en el portal de Microsoft Intune. Haga clic en Eliminar ajustes para eliminar los ajustes de la política de UEM.
Workspace ONE UEM Console muestra este mensaje después de que un usuario elimine una o ambas políticas de iOS y Android implementadas en Intune. Al seleccionar Eliminar ajustes se eliminan los ajustes de ambas políticas de Workspace ONE UEM Console sin modificar nada en Azure. La página de la consola no se actualiza automáticamente.
Los usuarios pueden implementar nuevas políticas de iOS y Android en Azure sin errores.
Nota Si solo se elimina una de las políticas, iOS o Android, en Azure, la otra sigue estando presente en Azure. Los usuarios deben eliminar manualmente la otra política si deciden no conservar los ajustes anteriores.
n Los ajustes de la política se han actualizado en el portal de Microsoft Intune y han quedado fuera de la sincronización con Workspace ONE UEM. Haga clic en Sincronizar ajustes para actualizar esta política en UEM.
Workspace ONE UEM Console muestra este mensaje después de que un usuario modifique las políticas de iOS y Android en Intune en el portal de Azure y los ajustes de la política aún coinciden entre ambas políticas. Al seleccionar Sincronizar ajustes se actualizan los ajustes de ambas políticas en Workspace ONE UEM para que coincidan con los que se extraen de las políticas de Azure. La página de la consola no se actualiza automáticamente.
Nota Este escenario excluye los ajustes que son específicos de iOS o Android, como los ajustes del SDK de iOS y los ajustes del asistente de Android.
n La política "Recibir datos entre otras aplicaciones" es diferente para la política de Android y la política de iOS en el portal de Azure. Este ajuste debe ser el mismo para que Workspace ONE UEM sincronice las políticas de Android e iOS. Póngase en contacto con el administrador de TI para resolver el problema.
Las políticas "Recibir datos entre otras aplicaciones" y "Enviar datos de la organización a otras aplicaciones" son diferentes para la política de Android y la política de iOS en el portal de Azure. Estos ajustes deben ser los mismos para que Workspace ONE UEM sincronice las políticas de Android e iOS. Póngase en contacto con el administrador de TI para resolver el problema.
Las políticas "Impedir copias de seguridad", "Recibir datos entre otras aplicaciones" y
"Enviar datos de la organización a otras aplicaciones" son diferentes para la política de Android y la política de iOS en el portal de Azure. Estos ajustes deben ser los mismos para que Workspace ONE UEM sincronice las políticas de Android e iOS. Póngase en contacto con el administrador de TI para resolver el problema.
Workspace ONE UEM Console muestra estos mensajes después de que un usuario modifique ambas políticas en Intune en el portal de Azure, pero los ajustes de la política no coinciden entre las dos políticas. Los mensajes muestran las discrepancias de los ajustes entre las dos políticas en Azure. También indican los nombres de las políticas que se muestran en Azure y no los de aquellas que utiliza Workspace ONE UEM Console.
Administración de aplicaciones para Windows
Resuelva los conflictos que se muestran en los mensajes antes de usar el elemento de menú Ajustes de sincronización en Workspace ONE UEM Console.
Nota Este escenario excluye los ajustes que son específicos de iOS o Android, como los ajustes del SDK de iOS y los ajustes del asistente de Android.
El elemento de menú Eliminar ajustes y el elemento de menú Ajustes de sincronización no modifica ningún ajuste de Intune en el portal de Azure.
