Agregar directivas de App Configuration para dispositivos Android Enterprise administrados

Las directivas de configuración de aplicaciones de Microsoft Intune proporcionan la configuración a aplicaciones de Google Play administradas y aplicaciones de línea de negocio (LOB) implementadas directamente en dispositivos Android Enterprise administrados. El desarrollador de la aplicación expone las opciones de configuración de la aplicación administrada por Android. Intune usa esta configuración expuesta para permitir que el administrador configure las características de la aplicación. La directiva de configuración de la aplicación se asigna a los grupos de usuarios. La configuración de directiva se usa cuando la aplicación la comprueba, normalmente la primera vez que se ejecuta.

Importante

Cuando una aplicación de línea de negocio de Android implementada directamente en Intune se actualiza a una nueva versión, las directivas de configuración de aplicaciones existentes asociadas a la versión anterior no se aplican automáticamente a la aplicación actualizada. Debe crear y asignar una nueva directiva de configuración de aplicaciones destinada a la nueva versión de la aplicación para asegurarse de que se aplican los valores de configuración.

Nota:

Las directivas de configuración de aplicaciones para aplicaciones LOB de Android implementadas directamente se admiten en dispositivos Android Enterprise totalmente administrados (COBO) y dedicados (COSU). Los dispositivos de perfil de trabajo de propiedad personal y perfil de trabajo corporativo (COPE) no admiten la implementación directa de aplicaciones lob ni la configuración de aplicaciones para aplicaciones LOB directas.

No todas las aplicaciones admiten la configuración de la aplicación. Consulte con el desarrollador de la aplicación para ver si su aplicación admite directivas de configuración de la aplicación.

Nota:

Este requisito no se aplica a dispositivos Android de Microsoft Teams, ya que estos dispositivos seguirán siendo compatibles.

Para Intune directivas de protección de aplicaciones y configuración de aplicaciones entregadas a través de directivas de configuración de aplicaciones administradas, Intune requiere Android 10.0 o superior.

Aplicaciones de correo electrónico

Android Enterprise tiene varios métodos de inscripción. El tipo de inscripción depende de cómo se configure el correo electrónico en el dispositivo:

  • En perfiles de trabajo de propiedad corporativa, dedicados y totalmente administrados de Android Enterprise, use una directiva de configuración de la aplicación y los pasos descritos en este artículo. Las directivas de configuración de la aplicación admiten las aplicaciones de correo electrónico Gmail y Nine Work.
  • En dispositivos Android Enterprise de propiedad personal con un perfil de trabajo, cree un perfil de configuración de dispositivo de correo electrónico de Android Enterprise. Al crear el perfil, puede configurar las opciones de los clientes de correo electrónico que admiten directivas de configuración de la aplicación. Cuando se usa el diseñador de configuración, Intune incluye opciones de correo electrónico específicas de las aplicaciones Gmail y Nine Work.

Crear una directiva de configuración de aplicaciones

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Elija laconfiguración de>aplicaciones>Crear>dispositivos administrados. Puede elegir entre dispositivos administrados y aplicaciones administradas. Para obtener más información, consulte Aplicaciones que admiten la configuración de aplicaciones.

  3. En la página Datos básicos, establezca los detalles siguientes:

    • Nombre: el nombre del perfil que aparece en el portal.
    • Descripción: la descripción del perfil que aparece en el portal.
    • Tipo de inscripción de dispositivos: esta configuración se establece en Dispositivos administrados.

  4. Seleccione Android Enterprise como Plataforma.

  5. Seleccione Seleccionar aplicación junto a Aplicación de destino. Se muestra el panel Aplicación asociada.

  6. En el panel Aplicación asociada , elija la aplicación administrada para asociarla a la directiva de configuración y seleccione Aceptar.

  7. Seleccione Siguiente para mostrar la página Configuración .

  8. Seleccione Agregar para mostrar el panel Agregar permisos .

  9. Seleccione los permisos que desea invalidar. Los permisos concedidos invalidan la directiva "Permisos de aplicación predeterminados" para las aplicaciones seleccionadas.

  10. Establezca el estado de Permiso para cada permiso. Puede elegir entre Solicitar, Conceder automáticamente o Denegar automáticamente.

    Nota:

    A partir de Android 12, la configuración de la concesión automática para los siguientes permisos no es compatible con el perfil de trabajo corporativo ni con dispositivos dedicados de propiedad corporativa.

    • SMS (lectura)
    • Acceso a la ubicación (grueso)
    • Acceso a la ubicación (correcto)
    • Acceso a la ubicación (fondo)
    • Cámara
    • Grabar audio
    • Permitir datos del sensor corporal

    Nota:

    A partir de Android 16, ya no se admite la configuración de la concesión automática de permisos en el grupo de permisos HEALTH .

  11. Si la aplicación administrada admite opciones de configuración, el cuadro desplegable Formato de opciones de configuración está visible. Seleccione uno de los métodos siguientes para agregar información de configuración:

    • Usar diseñador de configuraciones
    • Introducir datos JSON

    Para obtener más información sobre el uso del diseñador de configuraciones, vea Usar el diseñador de configuraciones. Para obtener más información sobre cómo escribir datos XML, vea Escribir datos JSON.

  12. Si necesita permitir que los usuarios conecten la aplicación de destino a través de los perfiles personales y de trabajo, seleccione Habilitado junto a Aplicaciones conectadas.

    Captura de pantalla de la directiva de configuración: Configuración

    Nota:

    Esta configuración solo funciona para dispositivos de perfil de trabajo de propiedad personal y de propiedad corporativa.

    Al cambiar la configuración Aplicaciones conectadas a No configurada , no se quitará la directiva de configuración del dispositivo. Para quitar la funcionalidad de aplicaciones conectadas de un dispositivo, debe anular la asignación de la directiva de configuración relacionada.

  13. Para permitir que aplicaciones específicas actúen como proveedor de credenciales del sistema, seleccione Proveedor de credenciales. De forma predeterminada, Android impide que los proveedores de credenciales de terceros proporcionen credenciales. Para obtener más información, consulte Permitir que una aplicación sea un proveedor de credenciales.

  14. Seleccione Siguiente para mostrar la página Etiquetas de ámbito .

  15. [Opcional] Puede configurar etiquetas de ámbito para la directiva de configuración de aplicaciones. Para obtener más información sobre las etiquetas de ámbito, consulte Usar el control de acceso basado en roles y las etiquetas de ámbito para TI distribuida.

  16. Seleccione Siguiente para mostrar la página Asignaciones .

  17. En el cuadro desplegable situado junto a Asignar a, seleccione Agregar grupos, Agregar todos los usuarios o Agregar todos los dispositivos para asignar la directiva de configuración de la aplicación. Una vez que seleccione un grupo de asignación, puede seleccionar un filtro para refinar el ámbito de asignación al implementar directivas de configuración de aplicaciones para dispositivos administrados.

    Captura de pantalla de asignaciones de directivas: Asignaciones

  18. Seleccione Todos los usuarios en el cuadro desplegable.

    Captura de pantalla de asignaciones de directivas: Opción desplegable Todos los usuarios

  19. [Opcional] seleccione Editar filtro para agregar un filtro y refinar el ámbito de asignación.

    Captura de pantalla de asignaciones de directivas: Editar filtro

  20. Seleccione Seleccionar grupos que se van a excluir para mostrar el panel relacionado.

  21. Elija los grupos que desea excluir y, a continuación, seleccione Seleccionar.

    Nota:

    Al agregar un grupo, si cualquier otro grupo ya está incluido para un tipo de asignación determinado, se preselecciona e inmutable para otros tipos de asignación de inclusión. Por lo tanto, no se puede seleccionar un grupo ya usado como grupo excluido.

  22. Seleccione Siguiente para mostrar la página Revisar y crear .

  23. Seleccione Crear para agregar la directiva de configuración de la aplicación a Intune.

Usar el diseñador de configuración

Puede usar el diseñador de configuración para aplicaciones de Google Play administradas cuando la aplicación está diseñada para admitir opciones de configuración. La configuración se aplica a los dispositivos inscritos en Intune. El diseñador le permite configurar valores de configuración específicos para los valores expuestos por la aplicación.

  1. Seleccione Agregar. Elija la lista de opciones de configuración que desea especificar para la aplicación.

    Si usa aplicaciones de correo electrónico de Gmail o Nine Work, Configuración del dispositivo Android Enterprise para configurar el correo electrónico tiene más información sobre estas opciones específicas.

  2. Para cada clave y valor de la configuración, establezca:

    • Tipo de valor: El tipo de datos del valor de configuración. Para los tipos de valor de cadena, opcionalmente puede elegir una variable o un perfil de certificado como tipo de valor. Una vez creada la directiva, estos tipos de valor se muestran como cadena.
    • Valor de configuración: El valor de la configuración. Si selecciona variable o certificado para el Tipo de valor, elija entre una lista de variables o perfiles de certificado. Si elige un certificado, el alias de certificado del certificado implementado en el dispositivo se rellena en el runtime.

Variables admitidas para los valores de configuración

Puede elegir las siguientes opciones si elige la variable como tipo de valor:

Opción Ejemplo
Id. de dispositivo de Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
Account ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
IMEI 123456789012345
Identificador de dispositivo de Intune b9841cd9-9843-405f-be28-b2265c59ef97
Correo john@contoso.com
UPN parcial john
Id. de usuario 3ec2c00f-b125-4519-acf0-302ac3761822
Nombre de usuario John Doe
Nombre principal de usuario john@contoso.com
Nombre de cuenta Contoso
Nombre del dispositivo John_AndroidEnterprise_1/2/2025_12:00 PM
Id. de empleado 123456
MEID 12345678901234
Número de serie 1A2B3C4D5E6F7G
Últimos cuatro dígitos del número de serie 6F7G

Permitir solo cuentas de organización configuradas en aplicaciones

Como administrador de Microsoft Intune, puede controlar qué cuentas profesionales o educativas se agregan a las aplicaciones de Microsoft en dispositivos administrados. Puede limitar el acceso solo a las cuentas de usuario de la organización permitidas y bloquear las cuentas personales en los dispositivos inscritos. Para dispositivos Android, use los siguientes pares clave-valor en una directiva de configuración de aplicaciones de dispositivos administrados:

Clave com.microsoft.intune.mam.AllowedAccountUPNs
Valores
  • Uno o varios UPN delimitados por ;.
  • Solo se permiten las cuentas de usuario administradas definidas por esta clave.
  • Para Intune dispositivos inscritos, el {{userprincipalname}} token podría usarse para representar la cuenta de usuario inscrita.

Nota:

Las aplicaciones siguientes procesan la configuración de la aplicación anterior y solo permiten cuentas de la organización:

  • Copilot para Android (28.1.420328045 y versiones posteriores)
  • Edge para Android (42.0.4.4048 y versiones posteriores)
  • Office, Word, Excel, PowerPoint para Android (16.0.9327.1000 y versiones posteriores)
  • OneDrive para Android (5.28 y versiones posteriores)
  • OneNote para Android (16.0.13231.20222 o versiones posteriores)
  • Outlook para Android (2.2.222 y versiones posteriores)
  • Teams para Android (1416/1.0.0.2020073101 y versiones posteriores)

Introducir datos JSON

Algunas opciones de configuración de las aplicaciones (como las aplicaciones con tipos de agrupación) no se pueden configurar con el diseñador de configuración. Use el editor JSON para esos valores. La configuración se proporciona a las aplicaciones automáticamente cuando se instala la aplicación.

  1. Para Formato de las opciones de configuración, seleccione Introducir editor JSON.
  2. En el editor, puede definir valores JSON para los valores de configuración. Puede elegir Descargar plantilla JSON para descargar un archivo de ejemplo que luego puede configurar.
  3. Elija Aceptar y, a continuación, elija Agregar.

La directiva se crea y se muestra en la lista.

Cuando la aplicación asignada se ejecuta en un dispositivo, se ejecuta con la configuración que configuró en la directiva de configuración de la aplicación.

Habilitar aplicaciones conectadas

Se aplica a:
Android 11+

Los usuarios del perfil de trabajo de propiedad personal deben tener Portal de empresa versión 5.0.5291.0 o posterior. Los usuarios del perfil de trabajo de propiedad corporativa no necesitan una versión específica de la aplicación Microsoft Intune para obtener soporte técnico.

Puede permitir que los usuarios que usan perfiles de trabajo de propiedad personal y corporativa de Android activen experiencias de aplicaciones conectadas para las aplicaciones compatibles. Esta configuración de aplicación permite que las aplicaciones se conecten e integren datos de la aplicación en las instancias de la aplicación profesional y personal.

Para que una aplicación proporcione esta experiencia, la aplicación debe integrarse con el SDK de aplicaciones conectadas de Google, por lo que solo las aplicaciones limitadas lo admiten. Puede activar la configuración de aplicaciones conectadas de forma proactiva y, cuando las aplicaciones agregan compatibilidad, los usuarios pueden habilitar la experiencia de las aplicaciones conectadas.

Al cambiar la configuración Aplicaciones conectadas a No configurada , no se quitará la directiva de configuración del dispositivo. Para quitar la funcionalidad de aplicaciones conectadas de un dispositivo, debe anular la asignación de la directiva de configuración relacionada.

Advertencia

Si habilita la funcionalidad de aplicaciones conectadas para una aplicación, los datos de trabajo de las aplicaciones personales no estarán protegidos por una directiva de protección de aplicaciones.

Además, independientemente de la configuración de las aplicaciones conectadas, algunos OEM podrían conectarse automáticamente a determinadas aplicaciones o podrían solicitar la aprobación del usuario para conectar aplicaciones que no configuró. Un ejemplo de aplicación en este caso podría ser la aplicación de teclado del OEM.

Hay dos maneras en que los usuarios podrían conectar aplicaciones personales y profesionales después de habilitar la configuración de aplicaciones conectadas:

  1. Una aplicación compatible podría optar por pedir a un usuario que apruebe la conexión entre perfiles.
  2. Los usuarios pueden abrir la aplicación Configuración y ir a la sección Trabajo conectado & aplicaciones personales, donde se muestran todas las aplicaciones admitidas.

Importante

Si varias directivas de configuración de aplicaciones tienen como destino la misma aplicación y dispositivo, y una directiva establece Aplicaciones conectadas en Enabled mientras que otra no, la configuración de la aplicación notifica un conflicto. A continuación, el dispositivo no permite las aplicaciones conectadas.

Permitir que una aplicación sea un proveedor de credenciales

Se aplica a:

  • Dispositivos Android Enterprise totalmente administrados (COBO)
  • Dispositivos Android Enterprise dedicados (COSU)
  • Dispositivos corporativos Android Enterprise con un perfil de trabajo (COPE)
  • Dispositivos de perfil de trabajo (BYOD) de propiedad personal de Android Enterprise, después de la migración a Android Management API (API de AM)

La funcionalidad proveedor de credenciales de Android le permite controlar qué aplicaciones pueden actuar como proveedores de credenciales de nivel de sistema, responsables del autorrellenamiento de contraseñas y el almacenamiento de claves de paso en dispositivos Android Enterprise administrados, tanto dispositivos de perfil de trabajo de propiedad corporativa como de propiedad personal (BYOD).

De forma predeterminada, Android impide que las aplicaciones de proveedor de credenciales de terceros proporcionen credenciales. Use la configuración del proveedor de credenciales para permitir que aplicaciones específicas (como un administrador de contraseñas de terceros) actúen como proveedor de credenciales del sistema. Microsoft Authenticator se permite automáticamente.

Para configurar los permisos del proveedor de credenciales, vaya aConfiguración de>aplicaciones>Crear>dispositivos administrados y elija Android Enterprise como plataforma. Seleccione Proveedor de credenciales en la configuración para permitir que aplicaciones específicas actúen como proveedores de credenciales.

Esta configuración le permite:

  • Permitir que aplicaciones específicas actúen como proveedores de credenciales
  • Habilitación del inicio de sesión basado en passkey en dispositivos Android Enterprise administrados
  • Mantener el control sobre qué orígenes de credenciales son de confianza en dispositivos corporativos y de propiedad personal

Nota:

Para los dispositivos de perfil de trabajo de propiedad personal (BYOD), el proveedor de credenciales solo se admite después de que los dispositivos de propiedad personal con un perfil de trabajo se muevan a Android Management API (API de AM).

Importante

No se permite que Google Password Manager actúe como proveedor de credenciales en dispositivos de perfil de trabajo corporativos y dispositivos de propiedad personal con un perfil de trabajo. Se bloquea en el dispositivo del usuario final. Use una aplicación de credenciales diferente como solución alternativa.

Antes de migrar dispositivos de propiedad personal a LA API de AM

Al migrar dispositivos de perfil de trabajo de propiedad personal (BYOD) a La API de administración de Android (API de AM), debe crear directivas de configuración de aplicaciones para cualquier aplicación de proveedor de credenciales en la que confíen los usuarios antes de iniciar la migración o elegir la inscripción basada en web. Las aplicaciones comunes del proveedor de credenciales incluyen:

  • Microsoft Authenticator (se permite automáticamente, no se requiere ninguna directiva de configuración de aplicaciones)
  • LastPass
  • 1Password
  • Okta
  • Bitwarden
  • Dashlane
  • Proton
  • Callpod
  • Nordpass
  • Roboform

Si las directivas de configuración de aplicaciones no están implementadas antes de la migración para proveedores de credenciales de terceros:

  • Es posible que el autorrellenar no funcione según lo esperado para los usuarios de Dispositivos Android 14 y posteriores.
  • Es posible que el inicio de sesión basado en passkey no esté disponible en dispositivos Android 14 y versiones posteriores.

No se puede invertir la migración del perfil de trabajo de propiedad personal a LA API de AM. Si continúa sin las directivas de configuración de aplicaciones necesarias, puede crearlas una vez completada la migración para restaurar la funcionalidad del proveedor de credenciales para los usuarios.

Preconfigurar el estado de concesión de permisos para las aplicaciones

También puede preconfigurar los permisos de la aplicación para acceder a las características del dispositivo Android. De forma predeterminada, las aplicaciones Android que requieren permisos del dispositivo, como el acceso a la ubicación o a la cámara del dispositivo, solicitan a los usuarios que acepten o denieguen los permisos.

Por ejemplo, una aplicación usa el micrófono del dispositivo. Se solicita al usuario que conceda permiso a la aplicación para usar el micrófono.

  1. En el centro de administración de Microsoft Intune, seleccioneConfiguración de>aplicaciones>Crear>dispositivos administrados.
  2. Agregue las siguientes propiedades:
    • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es Directiva de aplicación de permisos de solicitud de Android Enterprise para toda la empresa.
    • Descripción. Escribir una descripción para el perfil. Esta configuración es opcional pero recomendada.
    • Tipo de inscripción de dispositivos: Esta configuración se establece en Dispositivos administrados.
    • Plataforma: seleccione Android Enterprise.
  3. Seleccione Tipo de perfil:
  4. Seleccione Aplicación de destino. Elija la aplicación a la que desea asociar una directiva de configuración. Seleccione en la lista de aplicaciones de perfil de trabajo totalmente administradas de Android Enterprise que apruebe y sincronice con Intune.
  5. Seleccione Permisos>Agregar. En la lista, seleccione los permisos de la aplicación disponibles correctos >Aceptar.
  6. Seleccione una opción para cada permiso que se va a conceder con esta directiva:
    • Solicitud. Solicite al usuario que acepte o deniegue.
    • Concesión automática. Aprobar automáticamente sin notificar al usuario.
    • Denegación automática. Denegar automáticamente sin notificar al usuario.
  7. Para asignar la directiva de configuración de aplicaciones, seleccione la directiva de configuración de aplicaciones >Asignación>Seleccionar grupos. Elija los grupos de usuarios para asignar >Seleccionar.
  8. Elija Guardar para asignar la directiva.

Información adicional

Pasos siguientes

Siga asignar y monitor la aplicación.

  • Last updated on