Directiva de acceso condicional común: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones

Los usuarios utilizan sus dispositivos móviles habitualmente para tareas personales y profesionales. A la vez que se aseguran de que el personal pueda ser productivo, las organizaciones también quieren evitar la pérdida de datos de aplicaciones que se encuentren en dispositivos que no administren completamente.

Con el acceso condicional, las organizaciones pueden restringir el acceso a aplicaciones cliente aprobadas (con capacidad para la autenticación moderna) con directivas de protección de aplicaciones de Intune. En el caso de las aplicaciones cliente anteriores que puede que no admitan directivas de protección de aplicaciones, los administradores pueden restringir el acceso a las aplicaciones cliente aprobadas.

Advertencia

Las directivas de protección de aplicaciones son compatibles con iOS y Android cuando las aplicaciones cumplen requisitos específicos. Las directivas de protección de aplicaciones son compatibles con Windows en versión preliminar solo para el explorador Microsoft Edge.

No todas las aplicaciones se admiten como aplicaciones aprobadas ni admiten directivas de protección de aplicaciones. Para ver una lista de algunas de las aplicaciones cliente comunes, consulte la sección Requerir la directiva de protección de aplicaciones. Si la aplicación no se encuentra en la lista, póngase en contacto con su desarrollador.

Para requerir aplicaciones cliente aprobadas para dispositivos iOS y Android, estos dispositivos deben registrarse primero en Microsoft Entra ID.

Nota:

"Requerir uno de los controles seleccionados" en Conceder controles es como una cláusula OR. Esta cláusula se usa dentro de la directiva para que los usuarios puedan utilizar aplicaciones que admitan los controles de concesión Requerir directiva de protección de aplicaciones o Requerir aplicación cliente aprobada. Requerir la directiva de protección de aplicaciones se aplica cuando la aplicación admite ese control de concesión.

Para más información sobre las ventajas que aporta el uso de directivas de protección de aplicaciones, consulte el artículo Introducción a las directivas de protección de aplicaciones.

Creación de una directiva de acceso condicional

Las directivas que tiene a continuación se colocan inicialmente en Modo de solo informe, para que los administradores puedan determinar el impacto que tendrán en los usuarios existentes. Cuando los administradores estén seguros de que la directiva se aplica según lo previsto, pueden cambiar a Activado o ensayar la implementación agregando grupos específicos y excluyendo otros.

Solicitud de aplicaciones cliente aprobadas o una directiva de protección de aplicaciones

Los siguientes pasos le ayudarán a crear una directiva de acceso condicional que requiera una aplicación cliente aprobada o una directiva de protección de aplicaciones cuando use algún dispositivo iOS, iPadOS o Android. Esta directiva también impedirá el uso de clientes Exchange ActiveSync mediante la autenticación básica en dispositivos móviles. Esta directiva funciona conjuntamente con una directiva de protección de aplicaciones creada en Microsoft Intune.

A la hora de implementar esta directiva, las organizaciones pueden seguir los pasos que se describen a continuación o usar las plantillas de acceso condicional.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Crear nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos, y excluya al menos una cuenta para evitar que se le bloquee. Si no excluye ninguna cuenta, no podrá crear la directiva.
  6. En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones>Plataformas de dispositivo, seleccione en Configurar.
    1. En Incluir, seleccione Plataformas de dispositivo.
    2. Elija Android e iOS.
    3. Seleccione Listo.
  8. En Controles de acceso>Conceder, seleccione Conceder acceso.
    1. Seleccione Requerir aplicación cliente aprobada o Requerir directiva de protección de aplicaciones.
    2. En el caso de controles múltiples, seleccione Requerir uno de los controles seleccionados.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Sugerencia

Las organizaciones también deben implementar una directiva que bloquee el acceso desde plataformas de dispositivos no admitidas o desconocidas junto con esta directiva.

Bloqueo de Exchange ActiveSync en todos los dispositivos

Esta directiva impedirá que todos los clientes de Exchange ActiveSync que usan la autenticación básica se conecten a Exchange Online.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Crear nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos, y excluya al menos una cuenta para evitar que se le bloquee. Si no excluye ninguna cuenta, no podrá crear la directiva.
    3. Seleccione Listo.
  6. En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Seleccionar aplicaciones.
    1. Seleccione Office 365 Exchange Online.
    2. Elija Seleccionar.
  7. En Condiciones>Aplicaciones cliente, establezca Configurar en .
    1. Desactive todas las opciones excepto los clientes de Exchange ActiveSync.
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder, seleccione Conceder acceso.
    1. Seleccione Requerir la directiva de protección de aplicaciones.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Pasos siguientes

Introducción general a las directivas de protección de aplicaciones

Directivas de acceso condicional habituales

Migrar una aplicación cliente aprobada a una directiva de protección de aplicaciones en el acceso condicional