Configuración de políticas de protección de aplicaciones (APP) en Microsoft Intune

Configuración de políticas de protección de aplicaciones (APP) en Microsoft Intune

14/06/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración e implementación de políticas de protección de aplicaciones (APP), también conocidas como administración de aplicaciones móviles (MAM) sin inicio de sesión, en Microsoft Intune. Las aplicaciones son cruciales para proteger los datos corporativos en dispositivos móviles, ya sean administrados por Intune (MDM) o no administrados (BYOD - Bring Your Own Device), garantizando que los datos de la organización permanezcan seguros y aislados de los datos personales [1].

Introducción

En un escenario donde la movilidad es fundamental y el uso de dispositivos personales con fines laborales (BYOD) es cada vez más común, proteger los datos corporativos se convierte en un desafío importante. Las políticas de protección de aplicaciones (APP) de Microsoft Intune ofrecen una solución sólida a este problema, permitiendo a las organizaciones controlar cómo se accede, utiliza y comparte los datos corporativos dentro de aplicaciones móviles específicas sin la necesidad de administrar todo el dispositivo. Esto significa que puede proteger datos en aplicaciones como Outlook, Word, Excel, SharePoint y otras aplicaciones administradas por Intune, incluso en dispositivos que no están inscritos en MDM [2].

Esta guía práctica cubrirá la creación y configuración de políticas de aplicaciones para iOS/iPadOS y Android, incluida la definición de controles de acceso, protección de datos y requisitos de cumplimiento. Se proporcionarán instrucciones paso a paso, ejemplos de configuración y métodos de validación para que el lector pueda implementar una estrategia eficaz de protección de datos, protegiendo la información sensible y garantizando el cumplimiento normativo en dispositivos móviles.

¿Por qué son cruciales las políticas de protección de aplicaciones (APP)?

  • Protección de datos empresariales: evita la pérdida de datos (DLP) mediante el control de acciones como copiar, pegar, guardar como e imprimir pantalla en aplicaciones administradas.
  • Soporte BYOD: permite a los usuarios usar sus dispositivos personales para trabajar mientras protegen los datos corporativos sin invadir la privacidad personal.
  • Controles de acceso flexibles: requiere PIN, datos biométricos o credenciales corporativas para acceder a las aplicaciones administradas, lo que garantiza que solo los usuarios autorizados puedan acceder a los datos corporativos.
  • Aislamiento de datos: garantiza que los datos corporativos no se puedan mover a aplicaciones o almacenamiento personales no administrados.
  • Cumplimiento: ayuda a cumplir con los requisitos normativos que requieren protección de datos en dispositivos móviles.
  • Experiencia de usuario mejorada: proporciona una experiencia de usuario consistente y segura en todas las aplicaciones empresariales.

Requisitos previos

Para implementar Políticas de protección de aplicaciones (APP) en Microsoft Intune, necesitará los siguientes elementos:

  1. Licencia: una licencia que incluye Microsoft Intune (por ejemplo, Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Acceso administrativo: una cuenta con permisos de Administrador de Intune, Administrador de aplicaciones de Intune o Administrador global en el centro de administración de Microsoft Intune (https://endpoint.microsoft.com).
  3. Aplicaciones administradas por Intune: las aplicaciones que desea proteger deben ser "compatibles con MAM" (compatibles con MAM), como las aplicaciones de Microsoft 365 (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) y otras aplicaciones de línea de negocio que se han integrado con el SDK de protección de aplicaciones de Intune [4].
  4. Dispositivos de prueba: dispositivos iOS/iPadOS y Android para probar políticas.

Paso a Paso: Configurar Políticas de Protección de Aplicaciones (APP)

Creemos una política de aplicación para iOS/iPadOS y Android para proteger los datos corporativos en las aplicaciones de Microsoft 365.

1. Acceso al Centro de administración de Microsoft Intune

  1. Abra su navegador y navegue hasta https://endpoint.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.

2. Creación de una nueva política de protección de aplicaciones

  1. En el panel de navegación izquierdo, seleccione Aplicaciones > Políticas de protección de aplicaciones.
  2. Haga clic en Crear política y seleccione la plataforma deseada (por ejemplo: iOS/iPadOS). repetiremos el procesopara Android.

Paso 1: Información básica

  1. Nombre: APP - iOS - Protección de Datos Corporativos (o APP - Android - Protección de Datos Corporativos).
  2. Descripción: Política para proteger datos corporativos en aplicaciones de Microsoft 365 en dispositivos iOS/iPadOS.
  3. Haga clic en Siguiente.

Paso 2: Aplicaciones

Aquí usted selecciona las aplicaciones que serán objeto de esta política.

  1. Aplicaciones de destino: seleccione "Todas las aplicaciones de Microsoft" (para proteger todas las aplicaciones de Microsoft 365 y otras aplicaciones de Microsoft que admitan APP) o "Seleccionar aplicaciones personalizadas" (para elegir aplicaciones específicas).
  2. Para este ejemplo, seleccione "Todas las aplicaciones de Microsoft".
  3. Haga clic en Siguiente.

Paso 3: Protección de datos

Esta sección define cómo se protegerán los datos corporativos dentro de las aplicaciones.

Transferencias de datos:

  1. Enviar datos de la organización a otras aplicaciones: seleccione "Todas las aplicaciones" o "Sin aplicaciones".
    • Consejo: Para máxima seguridad, "Sin aplicaciones" evita que los datos corporativos se muevan a aplicaciones personales. Si necesita interoperabilidad con aplicaciones de línea de negocio no administradas, considere "Todas las aplicaciones" con restricciones adicionales.
  2. Recibir datos de otras aplicaciones: seleccione "Todas las aplicaciones" o "Sin aplicaciones".
  3. Permitir a los usuarios guardar copias de los datos de la organización: seleccione "Sin aplicaciones".
  4. Permitir que los usuarios guarden copias de los datos de la organización en servicios en la nube seleccionados: si necesita permitir guardar en servicios en la nube específicos (por ejemplo, OneDrive para la Empresa, SharePoint), configúrelo aquí.

Cifrado:

  1. Cifrar datos de la organización: seleccione "Sí".

Características:

  1. Restringir las funciones de cortar, copiar y pegar: seleccione "Solo para aplicaciones de políticas" (para permitir copiar y pegar entre aplicaciones administradas, pero no para aplicaciones personales) o "Bloquear" (para evitarlo por completo).
  2. Evitar capturas de pantalla y grabación de pantalla: seleccione "Sí".
  3. Sincronizar contactos con aplicaciones nativas: seleccione "Bloquear".

  4. Impresión de datos de la organización: seleccione "Bloquear".

  5. Haga clic en Siguiente.

Paso 4: Requisitos de acceso

Esta sección define las condiciones que un usuario debe cumplir para acceder a las aplicaciones administradas.

  1. PIN de acceso: seleccione Requerir PIN.
    • Tipo de PIN: Numérico o Numérico complejo.
    • Longitud mínima del PIN: 4 (o más, según la política de seguridad).
    • Permitir huella digital en lugar de PIN: (para mayor comodidad).
  2. Credenciales de la empresa para el acceso: seleccione "Requerir credenciales de la empresa" (para una reautenticación periódica).

  3. Comprobación del estado del dispositivo/aplicación: seleccione "Sí".

    • Nivel de amenaza máximo permitido: "Bajo" o "Medio" (se integra con Microsoft Defender for Endpoint para iOS/Android).

  4. Haga clic en Siguiente.

Paso 5: Lanzamiento condicional

Esta sección define qué sucede si el dispositivo o la aplicación no cumple con los requisitos de la política.

  1. PIN de acceso: Configure Número máximo de intentos de PIN (ej: 5). Acción: Restablecer PIN o Borrar datos.
  2. Credenciales sin conexión: configure el "período de gracia sin conexión" (por ejemplo, "720" minutos). Acción: Bloquear acceso o Borrar datos.

  3. Nivel de amenaza del dispositivo: configure el "Nivel de amenaza máximo permitido" (por ejemplo, "Medio"). Acción: Bloquear acceso o Borrar datos.

  4. Haga clic en Siguiente.

Paso 6: Asignaciones

Asigne la política a los usuarios o grupos que utilizarán las aplicaciones administradas.

  1. Incluir: seleccione Seleccionar grupos y agregue los grupos de usuarios que deben recibir esta política (por ejemplo, Todos los usuarios o un grupo específico de usuarios corporativos).

  2. Eliminar: (Opcional) Elimine grupos específicos si es necesario.

  3. Haga clic en Siguiente.

Paso 7: Revisar y crear

  1. Revise todas las configuraciones de políticas.
  2. Haga clic en Crear.

3. Repetir para la otra plataforma (Android)

Repita los pasos de la Sección 2 para crear una política para la plataforma Android, ajustando el nombre y la descripción de la política si es necesario. La configuración de protección de datos, los requisitos de acceso y la liberación condicional son similares pero pueden tener pequeñas diferencias.Existen variaciones específicas de la plataforma.

Validación y pruebas

Validar las políticas de APP es fundamental para garantizar que funcionen como se espera y protejan los datos corporativos.

1. Pruebas en dispositivos administrados y no administrados

  1. Dispositivo no administrado (BYOD): en un dispositivo personal que no esté inscrito en Intune (MDM), instale una aplicación administrada (por ejemplo, Outlook). Inicie sesión con una cuenta corporativa que esté dentro del alcance de la política de APP.
    • Consultar si la aplicación solicita el PIN de acceso o biometría.
    • Intente copiar datos corporativos a una aplicación personal (por ejemplo, Bloc de notas). La acción debe ser bloqueada.
    • Intente tomar una captura de pantalla dentro de la aplicación administrada. La acción debe bloquearse o la captura de pantalla debe aparecer en blanco.
  2. Dispositivo administrado (MDM): en un dispositivo inscrito en Intune (MDM), pruebe las mismas acciones para asegurarse de que la política de APP se aplique correctamente junto con las políticas de MDM.

2. Comprobación de los registros de diagnóstico de Intune

Los registros de diagnóstico de Intune pueden proporcionar información sobre la aplicación de políticas de aplicaciones.

  1. En el centro de administración de Microsoft Intune, vaya a Solución de problemas + soporte técnico.
  2. Busque un usuario de prueba.
  3. En la sección Aplicaciones, puede ver el estado de la política de protección de aplicaciones aplicada al usuario y a las aplicaciones.

3. Verificación del informe de estado de la política de protección de aplicaciones

  1. En el centro de administración de Microsoft Intune, vaya a Aplicaciones > Monitor > Estado de protección de aplicaciones.
  2. Este informe proporciona una descripción general del estado de las políticas de aplicaciones, incluidos los usuarios y las aplicaciones que las recibieron y cualquier error.

Consejos de seguridad y mejores prácticas

  • Comience con auditoría: para implementaciones nuevas, comience con políticas menos restrictivas o en modo auditoría (si está disponible) para comprender el impacto antes de aplicar bloques completos.
  • Comunicación clara: Comunique claramente a los usuarios sobre las políticas de la APP, sus beneficios y cómo afectan el uso de sus dispositivos. Esto ayuda a reducir la resistencia y aumentar el cumplimiento.
  • Coherencia entre plataformas: mantenga las políticas de aplicaciones coherentes en iOS/iPadOS y Android para una experiencia de usuario unificada y una postura de seguridad coherente.
  • Integración con acceso condicional: combine políticas de aplicaciones con acceso condicional de Azure AD para exigir que las aplicaciones estén protegidas por aplicaciones antes de otorgar acceso a los recursos corporativos [5].
  • Revisión periódica: revise y ajuste las políticas de su aplicación periódicamente para adaptarse a las necesidades comerciales cambiantes, el panorama de amenazas y las actualizaciones de las aplicaciones.
  • Priorizar aplicaciones confidenciales: comience aplicando políticas de aplicaciones a las aplicaciones que contienen los datos más confidenciales o que se utilizan más para fines corporativos.
  • PIN y datos biométricos: solicite PIN o datos biométricos para acceder a aplicaciones administradas para obtener una capa adicional de seguridad, especialmente en dispositivos compartidos.

Solución de problemas comunes

  • Política de APP no aplicada: Verifique si el usuario está en el grupo de inclusión de políticas. Asegúrese de que la aplicación sea una aplicación administrada por Intune y esté en la lista de aplicaciones de destino. Consulte los registros de diagnóstico de Intune.
  • Usuarios bloqueados inesperadamente: verifique la configuración de "Inicio condicional" de la política. Podría ser que el dispositivo o la aplicación esté violando una condición (por ejemplo, PIN incorrecto, dispositivo rooteado o liberado).
  • Fuga de datos corporativos: revise la configuración de "Protección de datos", especialmente las restricciones "Enviar datos de la organización a otras aplicaciones" y "Permitir a los usuarios guardar copias de los datos de la organización".
  • La aplicación no aparece como administrada: asegúrese de que la aplicación esté implementada como una aplicación administrada por Intune o que el usuario haya iniciado sesión con su cuenta de trabajo en la aplicación.
  • Problemas de rendimiento de las aplicaciones: en algunos casos, las políticas de aplicaciones muy restrictivas pueden afectar el rendimiento de las aplicaciones. Supervise los comentarios de los usuarios y ajuste las políticas si es necesario.
  • Conflictos con otras políticas: si hay políticas de MDM y APP aplicadas al mismo dispositivo, asegúrese de que no haya conflictos. Políticas de generación de aplicacionesEstas políticas solo se aplican a los datos dentro de la aplicación, mientras que las políticas de MDM se aplican al dispositivo en su conjunto.

Conclusión

Las políticas de protección de aplicaciones (APP) en Microsoft Intune son una herramienta esencial para proteger los datos corporativos en dispositivos móviles, brindando flexibilidad y seguridad para entornos BYOD. Al implementar controles granulares sobre cómo se accede, utiliza y comparte los datos dentro de las aplicaciones administradas, las organizaciones pueden mitigar significativamente el riesgo de pérdida de datos y garantizar el cumplimiento normativo. La configuración cuidadosa de las aplicaciones, combinada con pruebas rigurosas y educación de los usuarios, permite a los equipos de seguridad y TI extender la protección de datos más allá del perímetro tradicional, garantizando que la información más valiosa de la empresa permanezca segura, independientemente del dispositivo utilizado. Con esta guía, los profesionales de la seguridad podrán fortalecer la seguridad móvil y proteger los activos de información en un mundo cada vez más conectado.

Referencias:

[1] Microsoft aprende. Descripción general de las políticas de protección de aplicaciones. Disponible en: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft aprende. Crear e implementar políticas de protección de aplicaciones. Disponible en: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft aprende. Requisitos de licencia de Microsoft Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft aprende. Aplicaciones protegidas por Microsoft Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft aprende. Acceso condicional con protección de aplicaciones de Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access