• Artículo

Cómo controlar aplicaciones mediante directivas de administración de aplicaciones móviles en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

A partir de System Center 2012 Configuration Manager SP2, las directivas de administración de aplicaciones le permiten modificar la funcionalidad de las aplicaciones que se implementan para ayudar a armonizarlas con las directivas de cumplimiento y seguridad de su compañía. Por ejemplo, puede limitar las operaciones de cortar, copiar y pegar dentro de una aplicación restringida, o configurar una aplicación para abrir todos los vínculos web dentro de un explorador administrado. Las directivas de administración de aplicaciones son compatibles con:

  • Dispositivos que ejecutan Android 4 y versiones posteriores.

  • Dispositivos que ejecutan iOS 7 y versiones posteriores.

System_CAPS_tipSugerencia

Además de los dispositivos administrados, las directivas de administración de aplicaciones móviles pueden usarse para proteger las aplicaciones de dispositivos que no están administrados por Intune. Con esta nueva capacidad, puede aplicar directivas de administración de aplicaciones móviles en aplicaciones que se conecten a los servicios de Office 365. Esto no se admite en aplicaciones que se conecten a Exchange o SharePoint local.

Para usar esta nueva capacidad, debe usar el portal de vista previa de Azure. Los siguientes temas le ayudarán a empezar a trabajar:

A diferencia de los elementos de configuración y las líneas de base de Configuration Manager, las directivas de administración de aplicaciones no se implementan directamente. En su lugar, se asocia la directiva con el tipo de implementación (DT) de la aplicación que desea restringir. Cuando el DT de la aplicación se implementa e instala en dispositivos, se aplicará la configuración especificada.

Para aplicar restricciones a una aplicación, esta debe incorporar el Kit de desarrollo de software (SDK) para aplicaciones de Microsoft Intune. Existen dos métodos de obtención de este tipo de aplicación:

Crear e implementar una aplicación con una directiva de administración de aplicaciones móviles

  • Paso 1: obtenga el vínculo a una aplicación administrada por directivas o cree una aplicación ajustada

  • Paso 2: cree una aplicación de Configuration Manager que contenga una aplicación

  • Paso 3: cree una directiva de administración de aplicaciones

  • Paso 4: asocie la directiva de administración de aplicaciones con un tipo de implementación

  • Paso 5: supervise la implementación de la aplicación.

Paso 1: obtenga el vínculo a una aplicación administrada por directivas o cree una aplicación ajustada

Paso 2: cree una aplicación de Configuration Manager que contenga una aplicación

El procedimiento para crear la aplicación de Configuration Manager difiere en función de si usa una aplicación administrada por directiva (vínculo externo) o una aplicación creada con la herramienta de ajuste de aplicaciones de Microsoft Intune para iOS (paquete de aplicación de iOS). Use uno de los procedimientos siguientes para crear la aplicación de Configuration Manager.

Para crear una aplicación para una herramienta de ajuste de aplicaciones para la aplicación iOS

  1. En la consola de Configuration Manager, haga clic en Biblioteca de software.

  2. En el área de trabajo Biblioteca de software, expanda Administración de aplicaciones y, a continuación, haga clic en Aplicaciones.

  3. En la pestaña Inicio, en el grupo Crear, haga clic en Crear aplicación para abrir el Asistente para crear aplicaciones.

  4. En la página General, seleccione Detectar automáticamente la información sobre esta aplicación a partir de archivos de instalación.

  5. En la lista desplegable Tipo, seleccione Paquete de aplicación para iOS (archivo *.ipa).

  6. Haga clic en Examinar para seleccionar el paquete de aplicación que desee importar y, a continuación, haga clic en Siguiente.

  7. En la página Información general, escriba la información de categoría y texto descriptivo que desea que los usuarios vean en el portal de la compañía.

  8. Complete el asistente.

La nueva aplicación se muestra en el nodo Aplicaciones del área de trabajo Biblioteca de software.

Para crear una aplicación que contenga un vínculo a una aplicación administrada por directiva

  1. En la consola de Configuration Manager, haga clic en Biblioteca de software.

  2. En el área de trabajo Biblioteca de software, expanda Administración de aplicaciones y, a continuación, haga clic en Aplicaciones.

  3. En la pestaña Inicio, en el grupo Crear, haga clic en Crear aplicación para abrir el Asistente para crear aplicaciones.

  4. En la página General, seleccione Detectar automáticamente la información sobre esta aplicación a partir de archivos de instalación.

  5. En la lista desplegable Tipo, seleccione una de las opciones siguientes:

    - Para iOS: **paquete de aplicaciones para iOS en la App Store**

- Para Android: **paquete de aplicaciones para Android en Google Play** 

  6. Escriba la dirección URL de la aplicación (del paso 1) y, a continuación, haga clic en Siguiente.

  7. En la página Información general, escriba la información de categoría y texto descriptivo que desea que los usuarios vean en el portal de la compañía.

  8. Complete el asistente.

La nueva aplicación se muestra en el nodo Aplicaciones del área de trabajo Biblioteca de software.

Paso 3: cree una directiva de administración de aplicaciones

A continuación, creará una directiva de administración de aplicaciones que asociará a la aplicación. Puede crear una directiva de explorador general o administrado.

Para crear una directiva de administración de aplicaciones

  1. En la consola de Configuration Manager, haga clic en Biblioteca de software.

  2. En el área de trabajo Biblioteca de software, expanda Administración de aplicaciones y, a continuación, haga clic en Directivas de administración de aplicaciones.

  3. En la pestaña Inicio, en el grupo Crear, haga clic en Crear directiva de administración de aplicaciones.

  4. En la página General, escriba el nombre y la descripción de la directiva y haga clic en Siguiente.

  5. En la página Tipo de directiva, seleccione la plataforma y el tipo de directiva y haga clic en Siguiente. Los siguientes tipos de directiva están disponibles:

    - **General**: el tipo de directiva “General” le permite modificar la funcionalidad de las aplicaciones que implementa para que se ajusten a los requisitos de cumplimiento y las directivas de seguridad de su empresa. Por ejemplo, puede restringir las operaciones de cortar, copiar y pegar en una aplicación restringida.

- **Explorador administrado**: configure si se debe permitir o no que el explorador administrado abra una lista de direcciones URL. El tipo de directiva de explorador administrado permite modificar la funcionalidad de la aplicación de explorador administrado de Intune. Se trata de un explorador web que permite administrar las acciones que pueden realizar los usuarios, incluidos los sitios que pueden visitar y cómo se abren los vínculos a contenido dentro del explorador. Para obtener más información sobre la aplicación de explorador administrado de Intune, obtenga más información [aquí](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8) para iOS y [aquí](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en) para Android.

  6. En la página Directiva de iOS o Directiva de Android, configure los valores siguientes según sea necesario y, a continuación, haga clic en Siguiente. Las opciones pueden diferir en función del tipo de dispositivo para el que va a configurar la directiva.

    Valor

    Más información

    Restringir contenido web para mostrar en un explorador administrado corporativo

    Cuando se habilita esta configuración, los vínculos en la aplicación se abrirán en el explorador administrado. Debe haber implementado esta aplicación en dispositivos para que esta opción funcione.

    Impedir copias de seguridad de Android o Impedir copias de seguridad de iTunes e iCloud

    Deshabilita la copia de seguridad de cualquier información procedente de la aplicación.

    Permitir que la aplicación transfiera datos a otras aplicaciones

    Especifica las aplicaciones a las que esta aplicación puede enviar datos. Puede elegir no permitir la transferencia de datos a ninguna aplicación, permitir solo la transferencia a otras aplicaciones restringidas o permitir la transferencia a cualquier aplicación.

    Para dispositivos iOS, para evitar la transferencia de documentos entre aplicaciones administradas y no administradas, debe también configurar e implementar una directiva de seguridad de dispositivos móviles que deshabilite la configuración Permitir documentos administrados en otras aplicaciones no administradas.

    Nota

    Si selecciona permitir solo la transferencia a otras aplicaciones restringidas, se usarán los visores Image Viewer y PDF Viewer de Intune (si se implementaron) para abrir el contenido de los tipos respectivos.

    Permitir que la aplicación reciba datos de otras aplicaciones

    Especifica las aplicaciones de las que esta aplicación puede recibir datos. Puede:

    • no permitir la transferencia de datos desde ninguna aplicación

    • permitir solo la transferencia desde otras aplicaciones restringidas

    • permitir la transferencia desde cualquier aplicación

    Impedir "Guardar como..."

    Deshabilita el uso de la opción Guardar como... en cualquier aplicación que use esta directiva.

    Restringir cortar, copiar y pegar con otras aplicaciones

    Especifica cómo pueden usarse las operaciones de cortar, copiar y pegar con la aplicación. Elija de entre las siguientes opciones:

    • Bloqueada : no permitir operaciones de cortar, copiar y pegar entre esta aplicación y otras aplicaciones.

    • Aplicaciones administradas por directiva: permitir solo operaciones de cortar, copiar y pegar entre esta aplicación y otras aplicaciones restringidas.

    • Aplicaciones administradas por directiva con Pegar en: permitir que los datos cortados o copiados desde esta aplicación solo se peguen en otras aplicaciones restringidas. Permitir que los datos cortados o copiados desde cualquier aplicación se peguen en esta aplicación.

    • Cualquier aplicación: sin restricciones para las operaciones de cortar, copiar y pegar en esta aplicación o desde ella.

    Requerir PIN simple en acceso

    Requiere que el usuario escriba un número PIN que especifica al usar esta aplicación. Se pedirá al usuario que lo configure la primera vez que ejecuta la aplicación.

    Número de intentos antes de restablecimiento del PIN

    Especifique el número de intentos de entrada de PIN que pueden realizarse antes de que el usuario deba restablecer el PIN.

    Requerir credenciales corporativas en acceso

    Requiere que el usuario deba introducir su información de inicio de sesión corporativa para tener acceso a la aplicación.

    Requerir cumplimiento de dispositivos con la directiva corporativa en acceso

    Solo permite que se use la aplicación cuando el dispositivo no está liberado ni modificado.

    Volver a comprobar los requisitos de acceso después de (minutos)

    En el campo Tiempo de espera, especifique el período de tiempo que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación una vez iniciada la aplicación.

    En el campo Período de gracia sin conexión, si el dispositivo está desconectado, especifique el período de tiempo que debe transcurrir antes de que se vuelvan a comprobar los requisitos de acceso de la aplicación.

    Cifrar datos de aplicación

    Especifica que se cifren todos los datos asociados a esta aplicación, incluidos los datos almacenados externamente como, por ejemplo, tarjetas SD.

    Nota

    Cifrado para iOS

    En el caso de aplicaciones que están asociadas a una directiva de administración de aplicaciones móviles de Configuration Manager, los datos se cifran en reposo con el cifrado de nivel de dispositivo proporcionado por el sistema operativo. Esta opción se habilita a través de la directiva de PIN del dispositivo que debe establecer el administrador de TI. Cuando se requiere un PIN, los datos se cifrarán según la configuración de la directiva de administración de aplicaciones móviles. Como se indica en la documentación de Apple, los módulos usados por iOS 7 están certificados mediante FIPS 140-2.  

    Cifrado para Android

    En el caso de las aplicaciones que están asociadas a una directiva de administración de aplicaciones móviles de Configuration Manager, Microsoft proporciona el cifrado. Los datos se cifran de forma sincrónica durante las operaciones de E/S de archivos según la configuración de la directiva de administración de aplicaciones móviles. Las aplicaciones administradas en Android usan el cifrado AES-128 en modo CBC mediante las bibliotecas de criptografía de la plataforma. El método de cifrado no está certificado mediante FIPS 140-2. Siempre se cifrará el contenido del almacenamiento del dispositivo.

    Bloquear captura de pantalla (solo en dispositivos Android)

    Especifica que las funciones de captura de pantalla del dispositivo se bloquean cuando se usa esta aplicación.

  7. En la página Explorador administrado, seleccione si permite que el explorador administrado abra solo las direcciones URL de la lista o si bloquea el explorador administrado para que no las abra, administre las direcciones URL de la lista y, a continuación, haga clic en Siguiente.

    System_CAPS_warningAdvertencia

    Para obtener más información, vea Administrar el acceso a Internet mediante directivas de explorador administrado con Configuration Manager.

  8. Complete el asistente.

La directiva nueva se muestra en el nodo Directivas de administración de aplicaciones del área de trabajo Biblioteca de software.

Paso 4: asocie la directiva de administración de aplicaciones con un tipo de implementación

Cuando se crea un tipo de implementación para una aplicación que requiere una directiva de administración de aplicaciones, Configuration Manager reconocerá que una directiva de administración de aplicaciones debe vincularse a este tipo de implementación cuando se implemente la aplicación asociada y le solicitará que asocie una directiva de administración de aplicaciones. Se le solicitará que asocie una directiva general y una directiva de explorador administrado para el explorador administrado. Para obtener más información, vea Crear e implementar aplicaciones para dispositivos móviles en Configuration Manager.

System_CAPS_importantImportante

Si la aplicación ya está implementada, se producirá un error en la implementación del nuevo tipo de implementación hasta que se realice esta asociación. Puede realizar la asociación en Propiedades de la aplicación, en la pestaña Administración de aplicaciones.
System_CAPS_importantImportante

En el caso de dispositivos que ejecutan sistemas operativos anteriores a iOS 7.1, las directivas asociadas no se quitarán al desinstalar la aplicación.

Si se anula la inscripción del dispositivo en Configuration Manager, las directivas no se quitan de las aplicaciones. Las aplicaciones que tenían directivas aplicadas conservarán la configuración de las directivas, incluso si la aplicación se desinstala y se vuelve a instalar.

Paso 5: supervise la implementación de la aplicación.

Cuando cree e implemente una aplicación asociada a una directiva de administración de aplicaciones móviles, puede supervisar la aplicación y resolver los conflictos de directivas.

  1. En la consola de Configuration Manager, haga clic en Biblioteca de software.

  2. En el área de trabajo Supervisión, expanda Información general y, a continuación, haga clic en Implementaciones.

  3. Seleccione la implementación y, en la pestaña Inicio, haga clic en Propiedades.

  4. En el panel de detalles de la implementación, haga clic en Directivas de administración de aplicaciones en Objetos relacionados.

Para obtener más información sobre la supervisión de aplicaciones, consulte Cómo supervisar aplicaciones en Configuration Manager.

Cómo se resuelven los conflictos de directivas

Cuando hay un conflicto de directivas de administración de aplicaciones móviles en la primera implementación para el usuario o el dispositivo, el valor específico de la configuración en conflicto se quitará de la directiva implementada en la aplicación y la aplicación usará un valor de conflicto integrado.

Cuando hay un conflicto de directivas de administración de aplicaciones móviles en implementaciones posteriores para la aplicación o el usuario, el valor específico de la configuración en conflicto no se actualizará en la directiva de administración de aplicaciones móviles implementada para la aplicación y la aplicación usará el valor existente para dicha configuración.

En casos en los que el dispositivo o el usuario recibe dos directivas en conflicto, se aplica el comportamiento siguiente:

  • Si ya se implementó una directiva para el dispositivo, la configuración de directiva existente no se sobrescribe.

  • Si todavía no se implementó ninguna directiva para el dispositivo y se implementan dos configuraciones en conflicto, se usa la configuración predeterminada integrada en el dispositivo.

Aplicaciones administradas por directiva disponibles

Para obtener una lista de aplicaciones administradas por directiva disponibles para dispositivos iOS y Android, consulte Aplicaciones administradas de directivas de administración de aplicaciones móviles de Microsoft Intune.