La integración de VMware Workspace ONE® con tecnología AirWatch con las políticas de Microsoft Intune® App Protection acaba con la administración de las políticas de DLP para las políticas de Microsoft Intune App Protection en las dos consolas.

Puede configurar las políticas de aplicaciones de prevención de pérdida de datos (DLP) para su Microsoft Intune App Protection en Workspace ONE UEM. Después de integrar los dos sistemas, administre las políticas de aplicaciones de DLP en Workspace ONE UEM Console para que la integración continúe estando actualizada.

La mayoría de las políticas de Microsoft Intune App Protection están disponibles para la plataforma Android y la plataforma iOS.

Administrar en Workspace ONE UEM Console para mantenerse sincronizado

Después de integrar los dos sistemas, administre las políticas de aplicaciones de DLP en Workspace ONE UEM Console para que la integración continúe estando actualizada. Workspace ONE UEM no recibe los cambios realizados en otras secciones de la integración. Las políticas de aplicaciones de DLP o las asignaciones de grupos de seguridad pueden quedar fuera de la sincronización.

Experiencia del usuario en Android e iOS

Las plataformas iOS y Android ofrecen experiencias de usuario diferentes y similares cuando los usuarios acceden por primera vez a las aplicaciones tras una integración exitosa con Intune.

Experiencia en iOS

Cuando el usuario del dispositivo se autentica en aplicaciones de Microsoft Office 365 en dispositivos iOS y el perfil se envía correctamente, el sistema muestra una ventana emergente que indica que su organización administra la aplicación. No hay pasos adicionales en la configuración.

Experiencia en Android

Para administrar dispositivos Android y Android Enterprise, los usuarios deben instalar la aplicación Intune Company Portal. Esta aplicación actúa como agente para el SDK de aplicaciones de Intune de la misma manera que Workspace ONE Intelligent Hub actúa como agente para las aplicaciones de Workspace ONE UEM.

Experiencia común en iOS y Android

Ambas plataformas deben configurar Intune como autoridad de MDM en el dispositivo. Puede configurar este ajuste en el dispositivo en Tenant de Azure > Todos los recursos > Intune. Habilite Autoridad de MDM de Intune en la notificación de introducción.

Lleve a cabo estas acciones en Azure para integrar Microsoft Intune

Para la integración, cree una cuenta de usuario y asigne al usuario las licencias de Microsoft indicadas.

En los entornos que no tienen la integración de Azure AD en los servicios de directorio en Workspace ONE UEM Console, debe agregar la aplicación AirWatch by VMware en Azure. Consulte Configurar Workspace ONE UEM para usar Azure AD como servicio de identidad para obtener más detalles.

Importante:

Si ya dispone de la inscripción lista para usar (OOBE) configurada con cualquier otro proveedor de MDM que no sea Workspace ONE UEM, agregue AirWatch by VMware y no introduzca ni edite ningún otro ajuste en Azure. Si introduce o edita configuraciones, puede interrumpir el proceso de inscripción existente.

  • Cree una cuenta de servicio (un usuario) en Azure y asigne al usuario las funciones correspondientes.
    Nota:

    Estos pasos son generales. Para obtener detalles actuales sobre la configuración de Azure, consulte la documentación de Microsoft.

    1. Acceda al portal de Azure introduciendo portal.azure.com en el navegador.
    2. Cree un usuario o sincronice un usuario con el Active Directory local.

      Deshabilite la MFA (autenticación multifactor) para el dominio de este usuario.

    3. Asigne a este usuario las funciones indicadas.
      • Administrador de Intune
      • Administrador de aplicaciones
      • Lector de directorios
      • Escritor de directorios
  • Si ha creado un usuario en Azure AD, utilice esta cuenta para iniciar sesión en Azure en portal.azure.com. Asegúrese de que la contraseña sea válida y que no sea necesario actualizarla.
  • Debe asignar al usuario las licencias indicadas en Azure.
    • Políticas de Microsoft Intune App Protection
    • Microsoft Enterprise Mobility + Security E3 o E5

Configurar los ajustes de Intune

En Workspace ONE UEM Console, configure y aplique las políticas de aplicaciones de prevención de pérdida de datos (DLP) a las aplicaciones y datos de Microsoft Intune® App Protection. Configure en primer lugar la pestaña Autenticación para que los sistemas puedan comunicarse. A continuación, configure los ajustes de DLP y asígnelos a los grupos.

Workspace ONE UEM no aplica las políticas directamente en las aplicaciones. Microsoft SDK controla y aplica las políticas.
Nota:

La advertencia se ajusta para la versión del sistema operativo y la versión de la aplicación. La versión de revisión de Android solo notifica al usuario con un mensaje de advertencia. Sin embargo, las alertas de advertencia no impiden que los usuarios finales utilicen la aplicación.

Requisitos previos

Para configurar y aplicar las políticas de aplicaciones de DLP a las aplicaciones de Intune, debe tener los privilegios para configurar las políticas de aplicaciones en Intune.

Procedimiento

  1. Desplácese a Grupos > Ajustes > Todos los ajustes > Aplicaciones > Políticas de Microsoft Intune® App Protection.
  2. Seleccione la pestaña Autenticación e introduzca el nombre de usuario y la contraseña del administrador de Azure.

    Los administradores pueden utilizar políticas de aplicaciones de DLP de Office 365 para proteger sus aplicaciones y datos de Office 365 con las API de Microsoft Graph. Para configurar las políticas de DLP de Office 365, necesitará las credenciales de administrador para conectar su tenant a Workspace ONE UEM.

    Ajustes Descripción
    Nombre de usuario Introduzca el nombre de usuario que se utiliza para configurar el tenant en Workspace ONE UEM.
    Contraseña Introduzca la contraseña que se utiliza para configurar el tenant en Workspace ONE UEM.

    Workspace ONE UEM utiliza estas credenciales para buscar y asignar las políticas de aplicaciones de DLP a los grupos de seguridad de Microsoft.

  3. Seleccione la pestaña Prevención de pérdida de datos y configure sus políticas de aplicaciones de DLP de políticas de Microsoft Intune App Protection preferidas. Configure las políticas de aplicaciones de DLP para sus aplicaciones y datos administrados de políticas de Microsoft Intune App Protection.
    Configuración de reubicación de datos Descripción
    Prevenir copia de seguridad Impida a los usuarios realizar copias de seguridad de los datos de sus aplicaciones administradas.
    Permita que las aplicaciones transfieran datos a otras aplicaciones
    • Todo: los usuarios pueden enviar datos de las aplicaciones administradas a cualquier aplicación.

    • Restringido: los usuarios pueden enviar datos de sus aplicaciones administradas a otras aplicaciones administradas.

    • Ninguno: impide a los usuarios enviar datos de aplicaciones administradas a cualquier aplicación.

    Permita a las aplicaciones recibir datos de otras aplicaciones
    • Todo: los usuarios pueden recibir datos de las aplicaciones en sus aplicaciones administradas.

    • Restringido: los usuarios pueden recibir datos de otras aplicaciones administradas en sus aplicaciones administradas.

    • Ninguno: impide que los usuarios reciban datos de todas las aplicaciones en sus aplicaciones administradas.

    Impedir "Guardar como" Impide que los usuarios guarden datos de aplicaciones administradas de políticas de Microsoft Intune App Protection en otros sistemas o áreas de almacenamiento.
    Restringir la función de cortar, copiar y pegar con otras aplicaciones
    • Cualquier aplicación: los usuarios pueden cortar, copiar y pegar datos entre sus aplicaciones administradas y cualquier aplicación.

    • Bloqueado: impide que los usuarios corten, copien y peguen datos entre las aplicaciones administradas y todas las aplicaciones.

    • Aplicaciones administradas mediante políticas: los usuarios pueden cortar, copiar y pegar datos entre las aplicaciones administradas de políticas de Microsoft Intune App Protection.

    • Aplicaciones administradas mediante políticas con opción de pegar: los usuarios pueden cortar y copiar datos de sus aplicaciones administradas y pegarlos en otras aplicaciones administradas.

      Los usuarios también pueden cortar y copiar datos de cualquier aplicación en sus aplicaciones administradas.

    Restringir el contenido web para que se muestre en el navegador administrado Fuerza la apertura de vínculos de aplicaciones administradas en un navegador administrado.
    Cifrar los datos de la aplicación Cifra los datos que pertenecen a las aplicaciones administradas cuando el dispositivo se encuentra en el estado seleccionado. El sistema cifra los datos almacenados en cualquier lugar, incluidas las unidades de almacenamiento externas y las tarjetas SIM.
    Deshabilitar la sincronización de contenido Evita que las aplicaciones administradas guarden contactos en la libreta de direcciones nativa.
    Inhabilitar la impresión Impide que los usuarios impriman los datos asociados con las aplicaciones administradas.
    Ubicaciones de almacenamiento de datos permitidas Los administradores pueden controlar dónde pueden almacenar los datos de las aplicaciones administradas.
    Configuración de acceso Descripción
    Requerir PIN para el acceso

    Requiere que los usuarios introduzcan un PIN para acceder a las aplicaciones administradas.

    Los usuarios crean el PIN durante su acceso inicial.

    Cantidad de intentos antes de restablecer el PIN Establece el número de entradas que los usuarios pueden intentar antes de que el sistema restablezca el PIN.
    Permitir PIN simple Los usuarios pueden crear PIN de cuatro dígitos con caracteres repetidos.
    Longitud del PIN Establece el número de caracteres que los usuarios deben establecer para sus PIN.
    Caracteres de PIN permitidos Establece los caracteres que los usuarios deben configurar para sus PIN.
    Permitir huella digital en lugar del PIN Los usuarios pueden acceder a las aplicaciones administradas con sus huellas digitales en lugar de con el PIN.
    Requerir credenciales corporativas para el acceso Los usuarios pueden acceder a las aplicaciones administradas con sus credenciales empresariales.
    Bloquee las aplicaciones administradas para que no se ejecuten en dispositivos que han sido alterados (jailbreak) o con acceso root Impide que los usuarios accedan a aplicaciones administradas en dispositivos comprometidos.
    Volver a comprobar los requisitos de acceso después de (minutos)

    Configura el sistema para validar el PIN de acceso, la huella digital o la información de credenciales cuando la sesión de acceso alcanza uno de los intervalos de tiempo.

    • Tiempo de espera: número de minutos que las sesiones de acceso de las aplicaciones administradas están inactivas.

    • Periodo de gracia sin conexión: número de minutos que los dispositivos con aplicaciones administradas están sin conexión.

    Intervalo sin conexión (días) antes de borrar los datos de la aplicación Configura el sistema para que elimine los datos de las aplicaciones administradas de los dispositivos cuando los dispositivos están sin conexión durante un número determinado de días.
    Ajustes para Android Descripción
    Bloquear capturas de pantalla y Android Assistant Si selecciona , las capturas de pantalla y el escaneo de aplicaciones de Android Assistant no estarán disponibles cuando se utilice una aplicación de Office.
    Versión mínima del sistema operativo requerida Introduzca el número de versión mínima requerida del SO Android que el usuario debe tener para obtener acceso seguro a la aplicación.
    Versión mínima del sistema operativo requerida (solo alerta de advertencia) Introduzca el número de versión mínima requerida del SO Android que el usuario debe tener para obtener acceso seguro a la aplicación.
    Versión mínima de la aplicación requerida Introduzca el número de versión mínima requerida de la aplicación que el usuario debe tener para obtener acceso seguro a la aplicación.
    Versión mínima de la aplicación requerida (solo alerta de advertencia) Introduzca el número de versión mínima requerida de la aplicación que el usuario debe tener para obtener acceso seguro a la aplicación.
    Versión mínima de parche de Android requerida Introduzca el nivel requerido de revisiones de seguridad de Android más antiguo que puede tener un usuario para obtener acceso seguro a la aplicación.
    Versión mínima de parche de Android requerida (solo alerta de advertencia) Introduzca el nivel de revisiones de seguridad de Android más antiguo que puede tener un usuario para obtener acceso seguro a la aplicación.
  4. Seleccione la pestaña Grupos asignados y asigne las políticas de aplicaciones de DLP a los grupos de seguridad de Microsoft. Los grupos de seguridad se configuraron previamente en Azure.
    Ajustes Descripción
    Todos los grupos de seguridad

    Introduzca el nombre del grupo de seguridad y asígnelo a las políticas de aplicaciones de DLP. Realice su selección de la lista que el sistema muestra después de una entrada.

    Seleccione Agregar grupo y asigne las políticas de aplicaciones de DLP al grupo de seguridad.

    Grupos de seguridad asignados a políticas de O365

    Muestra los grupos de seguridad asignados a las políticas de aplicaciones de DLP.

    Seleccione Eliminar grupo y elimine la asignación del grupo de seguridad.

Mensajes de advertencia para políticas eliminadas y modificadas

Después de cargar las políticas de Microsoft Intune App Protection, Workspace ONE UEM Console comprueba si hay eliminaciones y modificaciones en Intune en el portal de Azure. Es posible que las políticas administradas queden fuera de la sincronización con las políticas implementadas. Para advertir a los administradores sobre posibles eliminaciones y modificaciones, Workspace ONE UEM Console muestra mensajes de advertencia en función del escenario.

  • Se ha eliminado la política en el portal de Microsoft Intune. Haga clic en Eliminar ajustes para eliminar los ajustes de la política de UEM.

    Workspace ONE UEM Console muestra este mensaje después de que un usuario elimine una o ambas políticas de iOS y Android implementadas en Intune. Al seleccionar Eliminar ajustes se eliminan los ajustes de ambas políticas de Workspace ONE UEM Console sin modificar nada en Azure. La página de la consola no se actualiza automáticamente.

    Los usuarios pueden implementar nuevas políticas de iOS y Android en Azure sin errores.

    Nota: Si solo se elimina una de las políticas, iOS o Android, en Azure, la otra sigue estando presente en Azure. Los usuarios deben eliminar manualmente la otra política si deciden no conservar los ajustes anteriores.
  • Los ajustes de la política se han actualizado en el portal de Microsoft Intune y han quedado fuera de la sincronización con Workspace ONE UEM. Haga clic en Sincronizar ajustes para actualizar esta política en UEM.
    Workspace ONE UEM Console muestra este mensaje después de que un usuario modifique las políticas de iOS y Android en Intune en el portal de Azure y los ajustes de la política aún coinciden entre ambas políticas. Al seleccionar Sincronizar ajustes se actualizan los ajustes de ambas políticas en Workspace ONE UEM para que coincidan con los que se extraen de las políticas de Azure. La página de la consola no se actualiza automáticamente.
    Nota: Este escenario excluye los ajustes que son específicos de iOS o Android, como los ajustes del SDK de iOS y los ajustes del asistente de Android.
  • La política "Recibir datos entre otras aplicaciones" es diferente para la política de Android y la política de iOS en el portal de Azure. Este ajuste debe ser el mismo para que Workspace ONE UEM sincronice las políticas de Android e iOS. Póngase en contacto con el administrador de TI para resolver el problema.
    Las políticas "Recibir datos entre otras aplicaciones" y "Enviar datos de la organización a otras aplicaciones" son diferentes para la política de Android y la política de iOS en el portal de Azure. Estos ajustes deben ser los mismos para que Workspace ONE UEM sincronice las políticas de Android e iOS. Póngase en contacto con el administrador de TI para resolver el problema.
    Las políticas "Impedir copias de seguridad", "Recibir datos entre otras aplicaciones" y "Enviar datos de la organización a otras aplicaciones" son diferentes para la política de Android y la política de iOS en el portal de Azure. Estos ajustes deben ser los mismos para que Workspace ONE UEM sincronice las políticas de Android e iOS. Póngase en contacto con el administrador de TI para resolver el problema. 

    Workspace ONE UEM Console muestra estos mensajes después de que un usuario modifique ambas políticas en Intune en el portal de Azure, pero los ajustes de la política no coinciden entre las dos políticas. Los mensajes muestran las discrepancias de los ajustes entre las dos políticas en Azure. También indican los nombres de las políticas que se muestran en Azure y no los de aquellas que utiliza Workspace ONE UEM Console.

    Resuelva los conflictos que se muestran en los mensajes antes de usar el elemento de menú Ajustes de sincronización en Workspace ONE UEM Console.

    Nota: Este escenario excluye los ajustes que son específicos de iOS o Android, como los ajustes del SDK de iOS y los ajustes del asistente de Android.

El elemento de menú Eliminar ajustes y el elemento de menú Ajustes de sincronización no modifica ningún ajuste de Intune en el portal de Azure.