Sophos Mobile Controlsuperadministrador para la administración de clientes, consulte la Guía de superadministrador de Sophos Mobile Control. Esta guía no es relevante para Sophos

Sophos Mobile Controlayuda para administradores

6.1Versión:Septiembre 2016Edición:

Contenido

1 Acerca de esta ayuda.........................................................................................................5

2 Acerca de Sophos Mobile Control......................................................................................6

3 Acerca de la consola web de Sophos Mobile Control........................................................8

3.1 Interfaz de usuario de la consola web..................................................................8

3.2 Vistas de tabla......................................................................................................9

3.3 Requisitos previos................................................................................................9

3.4 Roles de usuario de la consola web...................................................................10

3.5 Iniciar sesión en la consola web.........................................................................10

3.6 Cerrar sesión en la consola web........................................................................11

3.7 Cambiar la contraseña.......................................................................................11

3.8 Recuperar contraseña........................................................................................11

4 Pasos básicos para la administración de dispositivos con la consola web......................12

5 Panel de control................................................................................................................13

6 Informes...........................................................................................................................14

7 Tareas...............................................................................................................................15

7.1 Tareas de monitorización....................................................................................15

8 Configuración general......................................................................................................19

8.1 Configurar las opciones personales...................................................................19

8.2 Configurar las políticas de contraseña...............................................................20

8.3 Configurar opciones de app SMC......................................................................21

8.4 Activar servicio Baidu Cloud Push......................................................................21

8.5 Configurar opciones iOS....................................................................................22

8.6 Configurar intervalo de sondeo para dispositivos Windows...............................23

8.7 Configurar correo electrónico.............................................................................23

8.8 Configurar los datos de contacto del soporte técnico........................................23

8.9 Definir propiedades de cliente............................................................................23

9 Configurar el portal de autoservicio.................................................................................25

9.1 Crear grupos del portal de autoservicio con administración de usuarios

interna..................................................................................................................25

9.2 Configurar las opciones del portal de autoservicio.............................................26

9.3 Opciones del portal de autoservicio disponibles................................................27

9.4 Administrar usuarios del portal de autoservicio..................................................30

10 Configuración del sistema..............................................................................................35

10.1 Comprobar sus licencias..................................................................................35

10.2 Certificados del servicio de notificaciones push de Apple................................35

2

10.3 Configurar destinos AirPlay iOS.......................................................................40

10.4 Licencia Samsung KNOX.................................................................................40

10.5 Configurar SCEP..............................................................................................40

10.6 Configurar opciones de usuario........................................................................44

11 Reglas de cumplimiento.................................................................................................45

11.1 Crear reglas de cumplimiento...........................................................................45

11.2 Opciones de configuración de cumplimiento disponibles.................................47

11.3 Asignar reglas de cumplimiento a grupos de dispositivos................................51

11.4 Comprobación de cumplimiento de dispositivos...............................................52

12 Añadir dispositivos a Sophos Mobile Control.................................................................53

12.1 Añadir dispositivo.............................................................................................53

12.2 Duplicar un dispositivo......................................................................................54

12.3 Importar dispositivos.........................................................................................54

13 Trabajar con perfiles y políticas......................................................................................56

13.1 Crear perfiles y políticas Android......................................................................56

13.2 Soporte Samsung KNOX..................................................................................84

13.3 Crear perfiles y políticas iOS............................................................................85

13.4 Crear políticas Windows Mobile o Desktop....................................................121

13.5 Marcadores en perfiles y políticas..................................................................136

13.6 Transferir perfiles............................................................................................136

13.7 Asignar políticas.............................................................................................137

13.8 Descargar perfiles y políticas de la consola web............................................137

13.9 Reglas de complejidad de contraseña de Windows Desktop.........................138

14 Trabajar con paquetes de tareas..................................................................................139

14.1 Crear paquetes de tareas...............................................................................139

14.2 Tipos de tareas de Android disponibles..........................................................140

14.3 Tipos de tareas de iOS disponibles................................................................143

14.4 Duplicar paquetes de tareas...........................................................................145

14.5 Transferir paquetes de tareas a dispositivos individuales o grupos de

dispositivos.........................................................................................................145

15 Trabajar con apps.........................................................................................................147

15.1 Añadir app......................................................................................................147

15.2 Instalar app.....................................................................................................149

15.3 Desinstalar apps.............................................................................................149

15.4 Administrar apps adquiridas a través del VPP de Apple................................150

15.5 Configurar VPN por app y opciones para apps iOS.......................................155

16 Trabajar con grupos de apps........................................................................................157

16.1 Crear grupo de apps.......................................................................................157

16.2 Importar grupo de apps..................................................................................158

3

17 Distribuir documentos corporativos..............................................................................159

17.1 Añadir documentos corporativos....................................................................159

18 Administrar dispositivos................................................................................................161

18.1 Ver dispositivos...............................................................................................161

18.2 Editar dispositivos...........................................................................................164

18.3 Inscribir dispositivos mediante la consola web de Sophos Mobile Control.....166

18.4 Retirar dispositivos.........................................................................................169

18.5 Grupos de dispositivos...................................................................................170

18.6 Auto inscribir dispositivos iOS........................................................................171

18.7 Administrar dispositivos adquiridos con el DEP de Apple..............................172

19 Crear administradores..................................................................................................180

20 Enviar mensajes a dispositivos....................................................................................181

20.1 Enviar mensajes a dispositivos individuales...................................................181

21 Licencias SMC Advanced............................................................................................182

21.1 Activar licencias para instalaciones locales....................................................182

21.2 Activar licencias para instalaciones de software como servicio.....................182

22 Administrar Sophos Mobile Security desde Sophos Mobile Control............................183

22.1 Configurar opciones de antivirus para Sophos Mobile Security.....................183

22.2 Configurar opciones de filtrado web para Sophos Mobile Security................185

22.3 Definir opciones de cumplimiento de Sophos Mobile Security.......................186

22.4 Ver resultados de escaneado de Sophos Mobile Security.............................187

23 Administrar apps de contenedor Sophos.....................................................................189

23.1 Configurar apps de contenedor Sophos.........................................................190

23.2 Restablecer contraseña del contenedor de Sophos.......................................190

23.3 Bloquear y desbloquear el contenedor Sophos..............................................190

23.4 Sincronizar el conjunto de claves corporativas...............................................191

24 Glosario........................................................................................................................193

25 Soporte técnico............................................................................................................195

26 Aviso legal....................................................................................................................196

4

1 Acerca de esta ayudaEsta ayuda describe cómo usar la consola web de Sophos Mobile Control.

Encontrará información en los siguientes documentos:

■ Para una descripción de la instalación de Sophos Mobile Control, consulte la Guía deinstalación de Sophos Mobile Control. Esta guía no es relevante para Sophos MobileControl como servicio.

■ Para información sobre cómo usar la consola web de Sophos Mobile Control como unsuperadministrador para la administración de clientes, consulte la Guía desuperadministrador de Sophos Mobile Control. Esta guía no es relevante para SophosMobile Control como servicio.

■ Para una descripción de los pasos básicos de configuración inicial, consulte la Guía deinicio de Sophos Mobile Control y la Guía de inicio de Sophos Mobile Control como servicio.

■ Para información sobre el portal de autoservicio de Sophos Mobile Control, consulte laAyuda de usuario de Sophos Mobile Control.

Convenciones en este documento

En esta ayuda se utilizan las siguientes convenciones:

■ Salvo que se indique lo contrario, el término Windows Mobile se refiere a las edicionesMobile y Mobile Enterprise de los sistemas operativos Windows Phone 8 y Windows 10.

■ Salvo que se indique lo contrario, el término Windows Desktop o Windows 10 Desktop serefiere a las ediciones Pro, Enterprise, Education y Home del sistema operativoWindows 10.

■ Salvo que se indique lo contrario, la premisa para todos los procedimientos es que hainiciado sesión en la consola web de Sophos Mobile Control con una cuenta deadministrador.

5

ayuda para administradores

http://docs.sophos.com/esg/smc/6-1/ssp/es-es/desktop/index.htm

2 Acerca de Sophos Mobile Control

Sophos Mobile Control

Sophos Mobile Control es una herramienta de administración para dispositivos móviles comoteléfonos inteligentes y tabletas, así como dispositivos Windows 10. Ayuda a mantener losdatos corporativos seguros mediante la administración de las aplicaciones y de la seguridad.

Sophos Mobile Control se compone de un servidor y un cliente.

El servidor es el componente principal del producto Sophos Mobile Control. Proporciona unainterfaz web para gestionar Sophos Mobile Control y administrar los dispositivos inscritos.

El cliente es una app que se instala en los dispositivos. Permite la instalación y la configuraciónremotas a través de la interfaz web del servidor de Sophos Mobile Control.

El portal de autoservicio de Sophos Mobile Control para sus usuarios permite reducir la cargasobre el departamento informático al posibilitar que los usuarios finales puedan inscribirdispositivos de forma autónoma y realizar otras tareas sin tener que contactar con soporte.

Sophos Mobile Control también se puede utilizar para administrar las apps móviles SophosMobile Security, Sophos Secure Workspace y Sophos Secure Email. Requiere la licenciaSMC Advanced.

Sophos Mobile Security

Sophos Mobile Security es una app de seguridad para dispositivos Android. Escaneamos deforma automática las aplicaciones al instalarlas utilizando la información más reciente deSophosLabs. Esta función antivirus protege contra los programas de software no deseadosque puedan provocar filtraciones de datos y costes inesperados.

Sophos Secure Workspace

Sophos Secure Workspace es una app para dispositivos iOS y Android que proporciona unespacio de trabajo seguro en el que se puede navegar, administrar, editar, compartir, cifrary descifrar documentos de distintos proveedores de almacenamiento o distribuidos por suempresa. Está diseñado para evitar fugas de datos incluso si se pierde o roba su dispositivoo se envía un documento a un destino equivocado.

Los archivos pueden descifrarse y visualizarse con facilidad. Los archivos procedentes deotras apps pueden cifrarse y subirse a alguno de los proveedores de almacenamiento en lanube admitidos o guardarse localmente con Sophos Secure Workspace.

Con Sophos Secure Workspace, puede leer archivos cifrados por SafeGuard Cloud Storageo SafeGuard Data Exchange. Ambos son módulos de SafeGuard Enterprise o una de susdiferentes ediciones.

Sophos Secure Workspace también incluye el Navegador corporativo, un navegador webque le permite acceder a las páginas de la intranet de la empresa de forma segura y a otraspáginas permitidas, definidas en una política de Sophos Mobile Control.

6


Sophos Secure Email

Sophos Secure Email es una app para dispositivos iOS y Android que ofrece un contenedorseguro para gestionar su correo electrónico, calendario y contactos. Todos los datos estáncifrados y protegidos frente a accesos de terceros.

7


3 Acerca de la consola web de SophosMobile ControlLa consola web de Sophos Mobile Control web es el instrumento central para administrardispositivos con Sophos Mobile Control. Es la interfaz web del servidor utilizado para laadministración de dispositivos. El portal web permite implementar una política corporativapara el uso de dispositivos y aplicarla a los dispositivos registrados con Sophos Mobile Control.

Con la consola web de Sophos Mobile Control puede:

■ Configurar el sistema, p. ej., configuraciones personales o específicas de la plataformautilizada.

■ Configurar reglas de cumplimiento y definir acciones si los dispositivos no cumplen lasreglas especificadas. Consulte Reglas de cumplimiento en la página 45.

■ Inscribir dispositivos en Sophos Mobile Control. Consulte Añadir dispositivos a SophosMobile Control en la página 53.

■ Aprovisionar nuevos dispositivos. Consulte Inscribir dispositivos mediante la consola webde Sophos Mobile Control en la página 166.

■ Instalar paquetes de aplicaciones en dispositivos inscritos. Consulte Trabajar con appsen la página 147.

■ Definir perfiles y políticas de seguridad para dispositivos. Consulte Trabajar con perfilesy políticas en la página 56.

■ Crear paquetes de tareas para agrupar varias tareas para dispositivos y transferirlas conuna sola transacción. Consulte Trabajar con paquetes de tareas en la página 139.

■ Configurar el portal de autoservicio. Consulte Configurar el portal de autoservicio en lapágina 25.

■ Realizar tareas administrativas en los dispositivos, p. ej., restablecer la contraseña dedispositivos, bloquear o borrar dispositivos en caso de pérdida o robo, anular el registrode dispositivos. Consulte Administrar dispositivos en la página 161.

■ Crear y ver informes. Consulte Informes en la página 14.

3.1 Interfaz de usuario de la consola webLa interfaz de usuario de Sophos Mobile Control se divide en la barra de información desistema, la barra lateral de menús y el panel principal. En el panel principal se muestran lasdistintas páginas de la consola web, en función del elemento de menú seleccionado.

■ Barra de información de sistema

En la barra de información de sistema se puede encontrar:

■ El nombre de usuario del usuario que en ese momento tiene activa una sesión y elcliente.

■ El botón Ayuda que abre la ayuda online en una ventana nueva.

■ El botón Cerrar sesión para cerrar la sesión del usuario activo en la consola web.

■ Barra lateral de menús

8


La barra lateral de menús en la parte izquierda permite acceder a todas las páginas dela consola web de Sophos Mobile Control.

Nota: las páginas disponibles en la consola web dependen del rol del usuario que ha iniciadola sesión. Consulte Roles de usuario de la consola web en la página 10. En una instalaciónlocal, los superadministradores verán una consola web específica para el clientesuperadministrador. Para más información, consulte la Guía de superadministrador de SophosMobile Control. En Sophos Mobile Control como servicio no existe el rol de superadministrador.

3.2 Vistas de tablaMuchas páginas de la consola web de Sophos Mobile Control muestran la información enformato tabular.

Estas tablas tienen controles comunes con los que puede interactuar.

Encima de la tabla:

■ Utilice el icono Mostrar u ocultar columnas para establecer qué columnas de la tablason visibles.

■ Introduzca texto en el campo Buscar todos los campos para mostrar solo las filas dedatos que contentan texto en cualquier columna. Tenga en cuenta que las búsquedas enlas columnas de fechas se realizan por su formato interno aaaa-mm-dd.

En la tabla:

■ Haga clic en un encabezado de columna para ordenar las filas de la tabla por esapropiedad. Haga clic otra vez para invertir el orden.

■ Haga clic en el triángulo azul junto a un nombre de entrada para realizar acciones en esaentrada, como Mostrar, Editar o Eliminar.

Debajo de la tabla:

■ Utilice los botones de navegación para mostrar una página específica de la tabla.

■ Utilice el icono Exportar para exportar la tabla entera o la página actual a un archivo deMicrosoft Excel o un archivo de valores separados por comas (CSV). Si ha establecidoun filtro de fila, solo se exportan las filas visibles en ese momento.

3.3 Requisitos previosLos siguientes requisitos previos aplican al uso de la consola web de Sophos Mobile Control:

■ Necesita un ordenador conectado a Internet y equipado con un navegador web. Parainformación sobre los navegadores compatibles y las versiones correspondientes, consultelas Notas de la versión de Sophos Mobile Control.

■ Es necesario que en la consola web haya disponible un cliente (un inquilino cuyosdispositivos se administran en Sophos Mobile Control). Los clientes son creados por lossuperadministradores. Para más información, consulte la Guía de superadministrador deSophos Mobile Control.

Nota: para Sophos Mobile Control como servicio hay un cliente predefinido. Lossuperadministradores no son compatibles con Sophos Mobile Control como servicio.

■ Necesita una cuenta de usuario de Sophos Mobile Control y las credencialescorrespondientes para iniciar sesión en la consola web. Las credenciales se componen

9


de un cliente, usuario y contraseña. Para más información, consulte Iniciar sesión en laconsola web en la página 10.

3.4 Roles de usuario de la consola webLos usuarios de la consola web pueden tener distintos roles. Puede asignar estos roles alcrear nuevos administradores en la consola web. Consulte Crear administradores en la página180.

Los módulos y las funciones disponibles en la consola web dependen del rol.

Puede asignar los roles siguientes:

DescripciónRol

Este rol tiene los derechos para realizar todas las accionesdisponibles.

Administrador

Este rol puede realizar todas las acciones para registrar y administrarun dispositivo, pero no puede especificar las opciones de

Administrador limitado

configuración esenciales ni tampoco administrar otrosadministradores.

Este rol puede ver la lista de dispositivos y crear informes. Unusuario típico es un auditor o un empleado que necesita documentarla configuración en Sophos Mobile Control.

Informes

Este rol está destinado a empleados responsables de subir,actualizar o eliminar documentos distribuidos mediante la función

Administrador de contenido

Documentos. Normalmente este rol se asigna a personas que nopertenecen al departamento de informática. Los permisos estánajustados de forma que limitan la visibilidad y el acceso solo alcontenido en el menú Documentos.

Este rol está destinado a funciones de soporte. Solo tiene derechoslimitados (p. ej., la instalación de paquetes de software). Este rol

Soporte

no tiene acceso a funciones críticas, p. ej., definir opciones deconfiguración y crear, eliminar o editar dispositivos/grupos dedispositivos, paquetes y perfiles.

Este rol puede administrar grupos de apps. Un usuario típico es unadministrador que accede a la interfaz del servicio web de SophosMobile Control para crear, actualizar o leer grupos de apps.

Administrador de grupos de apps

Póngase en contacto con el equipo de soporte de Sophos si requiere roles adicionales.

3.5 Iniciar sesión en la consola web1. Abra la URL de la consola web en su navegador web.

10


2. En el cuadro de diálogo para iniciar sesión, introduzca su nombre y credenciales de usuario(nombre y contraseña) y haga clic en Inicio de sesión.

Ha iniciado sesión en la consola web. Aparece el Panel de control del cliente al que estáconectado.

Nota: al iniciar sesión en la consola web por primera vez se le pedirá que cambie sucontraseña.

Nota: el administrador puede mostrar mensajes en el cuadro de diálogo de inicio de sesión,por ejemplo en relación con próximas actualizaciones o interrupciones del servicio. Haga clicen el mensaje para mostrar todo el contenido.

3.6 Cerrar sesión en la consola webPara cerrar la sesión en la consola web, haga clic en Cerrar sesión en la barra de informaciónde sistema.

3.7 Cambiar la contraseñaPuede cambiar la contraseña en cualquier momento una vez haya iniciado sesión en el portalweb:

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly luego haga clic en la ficha Cambiar contraseña.

2. Introduzca su contraseña anterior, la nueva y confírmela.

3. Haga clic en Guardar.

3.8 Recuperar contraseñaSi ha olvidado su contraseña para iniciar sesión en la consola web, puede restablecerla pararecibir una nueva contraseña.

1. En el cuadro de diálogo Iniciar sesión, haga clic en ¿Ha olvidado la contraseña?.

Se abre el cuadro de diálogo Restablecer contraseña.

2. Introduzca su información de Cliente y Usuario y haga clic en Restablecer contraseña.

Recibirá un mensaje de correo electrónico con un enlace para restablecer la contraseña.

3. Haga clic en el enlace.

Se abre el cuadro de diálogo Cambiar contraseña.

4. Introduzca una contraseña nueva, confírmela y haga clic en Cambiar contraseña.

Se cambia su contraseña e inicia sesión en la consola web.

11


4 Pasos básicos para la administración dedispositivos con la consola webSophos Mobile Control ofrece un amplio rango de funciones para la administración dedispositivos móviles dependiendo de los tipos de dispositivos, las políticas de seguridadcorporativas y los requisitos específicos de su empresa.

Los pasos básicos para la administración de dispositivos con Sophos Mobile Control son:

■ Configure reglas de cumplimiento para los dispositivos. Consulte Reglas de cumplimientoen la página 45.

■ Cree grupos de dispositivos. Consulte Crear grupos de dispositivos en la página 170.

Los grupos de dispositivos se usan para categorizar dispositivos. Se recomienda quedisponga los dispositivos en grupos. Esto le ayudará a administrarlos de forma eficiente,puesto que se pueden realizar tareas en un grupo en vez de hacerlo en dispositivosindividuales.

■ Inscriba y aprovisiones dispositivos. Consulte Añadir dispositivos a Sophos Mobile Controlen la página 53 e Inscribir dispositivos mediante la consola web de Sophos Mobile Controlen la página 166.

Los dispositivos pueden ser inscritos o aprovisionados por los administradores mediantela consola web o por los usuarios finales de los dispositivos mediante el portal deautoservicio. Puede configurar las opciones de configuración del portal de autoservicio yadministrar los usuarios del portal de autoservicio en la consola web.

■ Defina perfiles y políticas de seguridad para dispositivos. Consulte Trabajar con perfilesy políticas en la página 56.

■ Cree paquetes de tareas para la configuración del portal de autoservicio. Consulte Trabajarcon paquetes de tareas en la página 139.

■ Configure el uso del portal de autoservicio para usuarios finales. Consulte Configurar elportal de autoservicio en la página 25.

■ Aplique perfiles y configuraciones de seguridad nuevos o actualizados a los dispositivosinscritos.

12


5 Panel de controlNota: esta sección se aplica al Panel de control de administradores normales. En el casodel superadministrador, el Panel de control se usa para administrar clientes. Consulte laGuía de superadministrador de Sophos Mobile Control.

El Panel de control personalizable es la página de inicio normal de Sophos Mobile Controly proporciona acceso a la información más importante de forma inmediata. Se compone dedistintos widgets que proporcionan información sobre:

■ Dispositivos, todos o por grupo

■ Estado de cumplimiento por plataforma o para todos los dispositivos

■ Estado administrado por plataforma o para todos los dispositivos

■ El estado del registro SSP

■ La versión de la plataforma en uso

También hay un widget especial Añadir dispositivo para iniciar el asistente de inscripciónde dispositivos. Consulte Usar el asistente de inscripción de dispositivos para asignar einscribir dispositivos nuevos en la página 167.

Dispone de las opciones siguientes para personalizar el Panel de control:

■ Para añadir un widget a la página, haga clic en Añadir widget.

■ Para eliminar un widget de la página, haga clic en el botón Cerrar en la cabecera.

■ Para restablecer el diseño por defecto de la página, haga clic en Restaurar diseño pordefecto.

■ Para reordenar los widgets en la página, arrastre la cabecera de un widget.

13


6 InformesCon Sophos Mobile Control pueden crearse numerosos informes de las siguientes áreas:

■ Dispositivos

■ Apps y documentos

■ Infracciones de cumplimiento

■ Programas maliciosos

Para crear un informe:

1. En la barra lateral de menús, en INFORMAR, haga clic en Informes, y a continuaciónhaga clic en el nombre del informe correspondiente.

2. En el cuadro de diálogo Elegir formato, haga clic en uno de los iconos disponibles paraseleccionar el formato de salida:

■ Haga clic en para exportar el informe a un archivo de Microsoft Excel.■ Haga clic en para exportar el informe a un archivo de valores separados por comas

(CVS).

El informe se guarda en su ordenador local usando la configuración de descargas de sunavegador web.

14


7 TareasLa pagina Vista de tareas ofrece un resumen de todas las tareas que ha creado e iniciadoy muestra su estado.

Puede monitorizar todas sus tareas e intervenir en caso de problemas. P. ej., puede eliminaruna tarea que obviamente no puede completarse y que bloquea el dispositivo.

Para eliminar una tarea, haga clic en el icono Eliminar junto a ella.

Puede filtrar las tareas por Tipo y Estado y ordenarlas por nombre de dispositivo, nombrede paquete, creador y fecha programada.

7.1 Tareas de monitorizaciónDesde la consola web de Sophos Mobile Control se pueden monitorizar todas las tareasexistentes para los dispositivos.

■ En la página Tareas se muestran todas las tareas no finalizadas, las tareas con errores,así como las tareas finalizadas de los últimos días. La página Vista de tareas se actualizaautomáticamente, lo que permite comprobar la evolución de las tareas.

■ En la página Detalles de tarea se muestra información general sobre una tarea desde lapágina Tareas o Archivo de tareas.

■ En la página Archivo de tareas se muestran todas las tareas.

7.1.1 Ver tareas sin finalizar, con errores y recientemente finalizadas

1. En la barra lateral de menús, en INFORMAR, haga clic en Tareas.

2. En la página Vista de tareas, la columna Estado muestra el estado de la tarea, p. ej.,Completamente fallido.

3. El campo Intervalo de actualización (en segundos), puede seleccionar las veces quedeba actualizarse la página Vista de tareas.

4. Para ver más detalles sobre una tarea, haga clic en el icono de lupa Mostrar junto a latarea en cuestión.

Aparece la página Detalles de tarea. Aparte de información general sobre la tarea (p. ej,nombre de dispositivo, nombre de paquete y creador), también muestra distintos estadospor los que ha pasado una tarea específica, incluyendo las marcas de tiempo y los códigosde error. Si hay comandos que deban ser ejecutados por el dispositivo, hay disponible unbotón adicional de Detalles en la página Detalles de tarea.

5. Si está disponible, haga clic en Detalles para ver el comando que debe ejecutar eldispositivo.

Los comandos enviados al dispositivo forman parte de la tarea. Son ejecutados por la appSMC o el cliente MDM. Los resultados indicando la ejecución correcta o con errores setransfieren de vuelta al servidor. Si no se ha producido ningún error, el código de error es"0". Si se produce un error durante la ejecución de un comando, se muestra un código deerror. En la mayoría de los casos también se incluye una descripción con la posible causadel error del comando.

6. Haga clic en Atrás para volver a la página Detalles de tarea.

15


7.1.2 Ver archivo de tareas

1. En la barra lateral de menús, en INFORMAR, haga clic en Tareas.

2. En la página Vista de tareas haga clic en Archivo de tareas.

Aparece la página Archivo de tareas. Muestra todas las tareas finalizadas y las tareascon errores en el sistema.

3. En esta página puede:

■ Hacer clic en Recargar para actualizar la página Archivo de tareas.■ Elimine una tarea del archivo haciendo clic en el icono Eliminar junto a la tarea

correspondiente.■ Seleccione distintas tareas y haga clic en Eliminar seleccionadas para eliminarlas

del archivo.

Para volver a la página Vista de tareas haga clic en Tareas en la barra lateral de menús.

7.1.3 Estados de tarea

En la siguiente tabla se muestra un resumen de los distintos estados de tarea indicados enlas páginas Vista de tareas y Archivo de tareas.

Cada estado está asociado a un código de color que indica el estado de la categoría.

DescripciónEstadoCódigo decolor

La tarea se ha creado.Aceptado

La tarea se reintentará más tarde.Se reintentará

La tarea se ha iniciado.Iniciado

Se está preparando la ejecución de la tarea.En progreso

Se está preparando la ejecución del paquete de tareas.Paquete de tareas enprogreso

Se ha notificado a la app SCM.Notificado

La app SMC ha recibido el paquete y/o los comandos.Comandos enviados

La app SMC ha respondido y ha comenzado laevaluación del resultado.

Evaluación de resultadoiniciada

La evaluación del resultado muestra que no se hanrecibido todos los resultados de los comandos.

Resultado incompleto

Hay una acción de usuario pendiente en el dispositivo.Esperando interacción deusuario

16


DescripciónEstadoCódigo decolor

La tarea espera a que se desbloquee el dispositivo (soloiOS).

Dispositivo bloqueado

El paquete se ha instalado o los comandos se hanejecutado correctamente.

Nota: para el aprovisionamiento inicial de la app SophosMobile Control la tarea debe finalizar con el estadoInstalado.

Completado correctamente

La app Sophos Mobile Control se ha instaladocorrectamente. El dispositivo está aprovisionado ahora.

Instalado

No se ha podido ejecutar la evaluación del resultado.Evaluación de resultadofallida

No se han podido ejecutar correctamente todos loscomandos de la tarea.

Tarea parcialmente fallida

La tarea se reiniciará más tarde.Retrasado

La tarea ha fallado y se reintentará más tarde.Fallido (reintento en cola)

La tarea ha fallado y no se colocan más reintentos encola.

Tarea fallida

La tarea ha fallado y no es posible reintentarla.Completamente fallido

La tarea es parte de un paquete de tareas y todavía nose ha procesado.

No iniciado

Se ha solicitado una sesión AirPlay (solo iOS).Sesión solicitada

El servidor no dispone de información sobre el estadode la tarea.

Desconocido

CategoríaCódigo decolor

Abrir

En progreso

Proceso realizado con éxito

Fallo

17


CategoríaCódigo decolor

Otros

18


8 Configuración generalEn la página Configuración general puede configurar algunas de las opciones básicas deSophos Mobile Control.

8.1 Configurar las opciones personalesPara utilizar la consola web de Sophos Mobile Control de forma más eficiente, puedepersonalizar la interfaz de usuario de modo que muestre solo las plataformas con las quetrabaja.

Nota: al configurar las plataformas, solo se cambia la vista del usuario que tiene una sesióniniciada en ese momento. No es posible desactivar ninguna función aquí.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly luego haga clic en la ficha Personal.

19


2. Configure las siguientes opciones:

DescripciónOpción

Seleccione el idioma para la consola web de Sophos MobileControl.

Idioma

Seleccione la zona horaria en que se mostrarán las fechas.Zona horaria

Seleccione si desea utilizar el sistema Métrica o Británica paralos valores de longitud.

Unidad de longitud

Seleccione el número máximo de líneas de tabla que deseamostrar por página en la consola web.

Líneas por página en tablas

Marque esta casilla para mostrar toda la información disponiblesobre el dispositivo. Las fichas Propiedades personalizadas yPropiedades internas se añaden a la página Mostrardispositivo.

Mostrar detalles dedispositivo avanzados

Seleccione las plataformas que desea administrar para el cliente:Plataformas activadas

Android

iOS

Windows Mobile (incluye los sistemas operativos WindowsPhone 8.x y Windows 10 Mobile)

Windows Desktop

La interfaz de usuario de la consola web se ajustará en funciónde las plataformas que seleccione. Solo se mostrarán las vistasy las funciones que sean relevantes para las plataformasseleccionadas.

Nota: la lista de plataformas disponibles depende de las opcionesde plataformas de la configuración del superadministrador. Paramás información, consulte la Guía de superadministrador deSophos Mobile Control.


8.2 Configurar las políticas de contraseñaPara aplicar contraseñas seguras, configure las políticas de contraseña para los usuarios dela consola web de Sophos Mobile Control y el portal de autoservicio.

Nota: las políticas de contraseña no se aplican a los usuarios de directorios LDAP externos.Para más información acerca de la administración de usuarios externos, consulte la Guía desuperadministrador de Sophos Mobile Control.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly luego haga clic en la ficha Políticas de contraseña.

2. En Reglas, puede definir requisitos para las contraseñas, como un número mínimo decaracteres en minúsculas, en mayúsculas o numéricos que debe contener la contraseñapara ser válida.

20


3. En Configuración, establezca la siguientes opciones:

a) Intervalo de cambio de contraseña (días): Introduzca el número de días que debentranscurrir para que caduque una contraseña (entre 1 y 730) o deje el campo vacíopara deshabilitar la caducidad de la contraseña.

b) Número de contraseñas anteriores que no deben reutilizarse: Seleccione un valorentre 1 y 10, o seleccione --- para deshabilitar esta restricción.

c) Número máximo de intentos de inicio de sesión fallidos: Seleccione el número deintentos de inicio de sesión fallidos que deben producirse para que se bloquee la cuenta(entre 1 y 10) o seleccione --- para permitir un número de intentos de inicio de sesiónfallidos ilimitado.


8.3 Configurar opciones de app SMCEn la ficha App SMC de la página Configuración general puede configurar las opciones dela app Sophos Mobile Control en dispositivos Android, iOS y Windows Mobile.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly, a continuación, en la ficha App SMC.


DescripciónOpción

Elimine el botón Anular registro de la app Sophos Mobile Controlpara impedir que los usuarios anulen el registro de su dispositivoa través de la app.

Nota: para impedir completamente la anulación de registros ainstancia de los usuarios, desactive también la opción Anularregistro de dispositivo en la configuración del portal deautoservicio. Consulte Configurar las opciones del portal deautoservicio en la página 26.

Desactivar anulación deinscripción a través de la app


8.4 Activar servicio Baidu Cloud PushSophos Mobile Control utiliza el servicio Google Cloud Messaging (GCM) para enviarnotificaciones push a dispositivos Android para que contacten con el servidor de SophosMobile Control. En China es probable que GCM no funcione. Por lo tanto, Sophos MobileControl también puede usar Baidu Cloud Push, que es un servicio de notificaciones pushchino.

Si administra dispositivos Android ubicados en China, active el servicio Baidu Cloud Pushsegún se indica a continuación:

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly luego haga clic en la ficha Android.

2. En la sección Servicio Baidu Cloud Push, seleccione Activar servicio Baidu CloudPush.


21


Con Baidu Cloud Push activado, Sophos Mobile Control envía todas las notificaciones PUSHpor GCM y Baidu Cloud Push.

8.5 Configurar opciones iOSEn la ficha iOS de la página Configuración general se pueden configurar las opciones deconfiguración específicas de dispositivos iOS.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly luego haga clic en la ficha iOS.


DescripciónOpción

Seleccione Imponer uso de método de localización heredadopara que los dispositivos proporcionen su ubicación a intervalosdeterminados.

Este método se usó en versiones anteriores de Sophos MobileControl. La versión actual permite localizar sus dispositivos ymostrar su localización en cualquier momento.

Nota: activar esta función reduce la duración de la batería.

Método de localización

Seleccione Activar para poder superar el bloqueo de activaciónen dispositivos supervisados.

Con esta opción seleccionada, Sophos Mobile Control recuperaun código de omisión al sincronizar con un dispositivo supervisadoque tiene el bloqueo de activación activado. En caso necesariose puede realizar la acción de Omisión de bloqueo deactivación desde la página Mostrar dispositivo para superarel bloqueo de activación cuando sea preciso borrar o reasignarel dispositivo.

El bloqueo de activación es una función de seguridad de iOSpara impedir la reactivación de dispositivos que se hayanextraviado o sustraído. Normalmente se requiere el ID de Appley la contraseña correctos para superar el bloqueo de activación.La función de omisión de bloqueo de activación permite superarel bloqueo de activación proporcionando solo el código deomisión.

Omisión de bloqueo deactivación

Seleccione Activar para administrar dispositivos iOS usando elnombre configurado en el propio dispositivo.

Con esta opción seleccionada, el nombre de dispositivo queSophos Mobile Control usa se establece cada vez que eldispositivo se sincroniza con Sophos Mobile Control.

Con esta opción deseleccionada, el nombre de dispositivo seestablece durante la inscripción del dispositivo.

Sincronizar nombre dedispositivo


22


8.6 Configurar intervalo de sondeo para dispositivosWindowsPara dispositivos Windows se puede configurar el intervalo de sondeo según el cual el clienteMDM Windows contactará con el servidor de Sophos Mobile Control. En la mayoría de loscasos, el servidor también puede contactar con el cliente MDM utilizando notificaciones deinserción MDM. Sin embargo, Windows Phone 8.0 no puede recibir notificaciones de insercióny depende exclusivamente de sondeos.

Nota: el valor predeterminado es suficiente en la mayoría de casos. Si se utilizan valoresmás cortos, la duración de la batería y el consumo de datos se ven afectados y se produceuna carga del servidor más elevada.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly, a continuación, haga clic en la ficha Windows.

2. Seleccione intervalos de sondeo para los distintos sistemas operativos de Windows. Puedeconfigurar opciones específicas para:

■ Dispositivos Windows Phone 8.0■ Dispositivos Windows Phone 8.1 y Windows Mobile 10■ Dispositivos Windows 10 Desktop


8.7 Configurar correo electrónicoEn la ficha Configuración de correo electrónico, puede configurar las opciones de loscorreos electrónicos que Sophos Mobile Control envía a los usuarios.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly luego haga clic en la ficha Configuración de correo electrónico.

2. Seleccione en la lista Idioma el idioma del correo electrónico.

3. En el campo Nombre del remitente introduzca el nombre que aparecerá como remitentedel correo electrónico.


8.8 Configurar los datos de contacto del soporte técnicoPara proporcionar asistencia a los usuarios que tengan preguntas o problemas, puede indicarcómo ponerse en contacto con el soporte técnico. La información que introduzca apareceráen la app Sophos Mobile Control y en el portal de autoservicio.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly luego haga clic en la ficha Contacto técnico.

2. Introduzca la información necesaria para el contacto técnico.


8.9 Definir propiedades de clientePuede definir propiedades a nivel de cliente.

23


Al definir una propiedad con el nombre mi propiedad, puede referirse al valor de lapropiedad en los perfiles y las políticas utilizando el marcador %_CUSTPROP(mipropiedad)_%. P. ej., puede usar esto para referirse a un dominio específico al cliente.

Para información detallada sobre marcadores de perfiles y políticas, consulte Marcadores enperfiles y políticas en la página 136.

Para definir una propiedad de cliente:

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración > Generaly, a continuación, haga clic en la ficha Propiedades de cliente.

2. Haga clic en Añadir propiedad del cliente.

3. Especifique un Nombre y un Valor para la nueva propiedad.

4. Haga clic en Aplicar para añadir la propiedad.

5. Haga clic en Guardar para guardar los cambios en la configuración del cliente.

24


9 Configurar el portal de autoservicioEl portal de autoservicio permite reducir la carga sobre el departamento informático al posibilitarque los usuarios finales puedan registrar dispositivos de forma autónoma y realizar otrastareas sin tener que contactar con soporte.

Para más información sobre el portal de autoservicio y cómo usarlo, consulte la Ayuda deusuario de Sophos Mobile Control.

En la barra lateral de menús se pueden configurar las opciones para usar el portal deautoservicio, p. ej.:

■ Las plataformas para las que se pueden inscribir dispositivos.

■ Las funciones disponibles.

■ Los usuarios que tienen permiso para acceder al portal de autoservicio.

9.1 Crear grupos del portal de autoservicio conadministración de usuarios internaLas configuraciones del portal de autoservicio se aplican a grupos de usuarios del portal deautoservicio. Con la administración de usuarios interna puede crear grupos en el portal deautoservicio y asignar usuarios a los mismos. Para más información sobre la administraciónde usuarios, consulte Administrar usuarios del portal de autoservicio en la página 30.

Nota: la administración de usuarios interna solo está disponible para un cliente si ha sidoactivada antes por el superadministrador. Para más información, consulte la Guía desuperadministrador de Sophos Mobile Control. Esto no aplica a Sophos Mobile Control comoservicio. Los superadministradores no son compatibles con Sophos Mobile Control comoservicio. Para información sobre cómo definir los métodos de administración de usuarios enSophos Mobile Control como servicio, consulte Configurar la administración de usuarios delportal de autoservicio en la página 30.

Para crear un grupo en el portal de autoservicio.

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Usuarios.

Aparece la página Mostrar usuarios.

2. Haga clic en Mostrar grupos de usuarios.

Aparece la página Mostrar grupos de usuarios.

3. Haga clic en Crear grupo.

Aparece la página Editar grupo.

4. En el campo Nombre, introduzca el nombre para el nuevo grupo de usuarios del portalde autoservicio.


El nuevo grupo de usuarios del portal de autoservicio se muestra en la página Mostrar gruposde usuario. Al crear nuevos usuarios puede asignarlos al grupo. Al definir la configuracióndel portal de autoservicio puede seleccionar el grupo para asignarle la configuración.

25




9.2 Configurar las opciones del portal de autoservicio1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración y, a

continuación, en Portal de autoservicio.

Aparece la página Portal de autoservicio.

2. En la ficha Configuración configure lo siguiente:

a) En la lista Número máximo de dispositivos, seleccione el número máximo dedispositivos que un usuario puede inscribir mediante el portal de autoservicio. Al definirun número máximo se impide que se puedan superar las licencias disponibles.

b) En la lista Preselección de propietario de dispositivo, seleccione si los dispositivosnuevos se clasifican como dispositivos corporativos o personales, y si los usuariospueden cambiar la clasificación al inscribir sus dispositivos mediante el portal deautoservicio. Puede seleccione una de las opciones siguientes:

■ sin preselección: El campo de propietario en el portal de autoservicio se dejavacío. Los usuarios pueden seleccionar el tipo de dispositivo.

■ empresa preseleccionado: En el portal de autoservicio está preseleccionadoDispositivo corporativo. Los usuarios pueden cambiar el ajuste a Dispositivopersonal.

■ empresa fijo No se puede seleccionar el tipo de dispositivo. Empresa figura comopropietario.

■ personal preseleccionado: En el portal de autoservicio está preseleccionadoDispositivo personal. Los usuarios pueden cambiar el ajuste a Dispositivocorporativo.

■ personal fijo: No se puede seleccionar el tipo de dispositivo. Empleado figuracomo propietario.

c) En Funciones disponibles, seleccione las funciones que deben estar disponiblespara los usuarios del portal de autoservicio. Las funciones compatibles dependen dela plataforma de dispositivo. Consulte Opciones del portal de autoservicio disponiblesen la página 27.

3. En la ficha Términos de uso se especifica un texto de política de dispositivos móviles,exención de responsabilidad o acuerdo que se mostrará en primer lugar cuando losusuarios finales inscriban sus dispositivos. Los usuarios deben aceptar el texto para podercontinuar.

Se admiten etiquetas de formato HTML para el texto. El texto se mostrará en el navegadorque se utilice según corresponda.

4. En la ficha Texto posterior a la instalación se especifica el texto que se muestra en elportal de autoservicio tras la instalación automática. Este texto puede informar al usuariosobre lo que tiene que hacer a continuación, p. ej., configurar el servidor en la app iOS oel cliente de correo Android.

Se admiten etiquetas de formato HTML para el texto. El texto se mostrará en el navegadorseleccionado según corresponda.

5. En la ficha Configuración de grupo se configuran las opciones de grupo, p. ej., los gruposde dispositivos a los que se añadirán los dispositivos inscritos y el paquete de tareas quese implementará en los dispositivos.

Si usa una administración de usuarios externa, puede asignar teléfonos a grupos y perfilesbasándose en la pertenencia a grupos de directorios externos.

26


Nota: la administración de usuarios externa debe configurarse para cada cliente en laadministración de clientes. Para información sobre cómo hacer esto, consulte la Guía desuperadministrador de Sophos Mobile Control. Esto no aplica a Sophos Mobile Controlcomo servicio. Para información sobre cómo definir los métodos de administración deusuarios en Sophos Mobile Control como servicio, consulte Configurar la administraciónde usuarios del portal de autoservicio en la página 30.

Importante: debido a la complejidad de la configuración de las opciones de grupos,recomendamos probar la inscripción de dispositivos para distintos grupos LADP antes dedistribuir las configuraciones a los usuarios reales.

a) Haga clic en Añadir.

Aparece la página Editar configuración de grupo.

b) Introduzca un Nombre para el grupo de configuración del portal de autoservicio.

c) En el campo Grupo de directorio, introduzca el grupo del portal de autoservicio queha definido en el grupo de administración de usuarios interna o externa con la rutaLDAP completa o utilizando comodines. Puede usarse un asterisco (*), como primercarácter, último o el único en este campo para especificar varios grupos. Por ejemplo:Introduzca Dev* para especificar todos los nombres de grupo que empiezan con Dev.Introduzca * para especificar todos los grupos disponibles.

d) Seleccione si se deben mostrar los textos creados en las fichas Términos de uso yTexto posterior a la instalación.

e) En las columnas Paquete inicial - dispositivo corporativo y Paquete inicial -dispositivo personal, seleccione el paquete de tareas (para Android e iOS) o la política(para Windows Mobile y Windows Desktop) que se debe ejecutar en los dispositivoscorporativos y personales.

f) Seleccione en la columna Activa las plataformas que deben estar disponibles en elportal de autoservicio.

Debe seleccionar un paquete inicial antes de poder seleccionar una plataforma.

g) Seleccione en la columna Añadir grupo de dispositivos el grupo de dispositivos alque debe añadirse el dispositivo.

Nota: en la barra lateral de menús hay disponible un grupo de dispositivosPredeterminado. Si todavía no ha definido ningún grupo de dispositivo propio, puedeañadir dispositivos a este grupo. Para más información, consulte Grupos de dispositivosen la página 170.

h) Haga clic en Aplicar.

6. Aparece la página Portal de autoservicio. Haga clic en Guardar.

Nota: como superadministrador, también puede definir el cliente predeterminado para elinicio de sesión de los usuarios finales en el portal de autoservicio. Para más información,consulte la Guía de superadministrador de Sophos Mobile Control. Esto no aplica a SophosMobile Control como servicio. Los superadministradores no son compatibles con SophosMobile Control como servicio.

9.3 Opciones del portal de autoservicio disponiblesEn la tabla siguiente se muestran las funciones del portal de autoservicio que puede activaro desactivar según se describe en Configurar las opciones del portal de autoservicio en lapágina 26 y las plataformas de dispositivo admitidas por las funciones.

27


WindowsDesktop

WindowsMobile

iOSAndroidDescripciónOpción

Esta función permite a losusuarios localizar susdispositivos en caso depérdida o robo.

Localizar dispositivo

Esta función permite a losusuarios bloquear susdispositivos en caso depérdida o robo.

Esta función no escompatible con dispositivosWindows Phone 8.0.

Bloquear dispositivo

Esta función permite a losusuarios reconfigurar susdispositivos en caso de quese haya eliminado Sophos

Reconfigurardispositivo

Mobile Control deldispositivo, pero eldispositivo siga inscrito.

Este función permite a losusuarios ver las infraccionesde cumplimiento de susdispositivos.

Mostrar infraccionesde cumplimiento

Esta función permite a losusuarios sincronizarmanualmente susdispositivos con el servidor

Actualizar datos

de Sophos Mobile Control.Esto resulta útil si, p. ej., sudispositivo ha estadoapagado durante un periodode tiempo prolongado y, portanto, no se ha sincronizadocon el servidor. En este casoel dispositivo puede serinfractor (dependiendo de laconfiguración decumplimiento) y debe sersincronizado para que dejede serlo.

Esta función permite a losusuarios restablecer lacontraseña de desbloqueode la pantalla. Para los

Restablecercontraseña

dispositivos iOS y Android,se muestra una contraseñatemporal en el portal deautoservicio. El dispositivosolo se puede desbloquearcon esta contraseña. Tras

28


WindowsDesktop

WindowsMobile


desbloquear sus dispositivos,los usuarios puede definiruna contraseña nueva. EniOS, la contraseña se eliminacompletamente. El usuariodebe definir una contraseñanueva antes de 60 minutos.

Esta función no escompatible con dispositivosWindows Phone 8.0.

Esta función permite a losusuarios restablecer laconfiguración de fábrica desus dispositivos inscritos en

Borrar dispositivo

caso de pérdida o robo.Todos los datos en eldispositivo se eliminan.

Esta función permite a losusuarios retirar losdispositivos que ya no esténusando. Esto resulta útil, p.

Anular inscripcióndel dispositivo

ej., si el número dedispositivos que los usuariospueden inscribir en el portalde autoservicio está limitadoo si los usuarios recibendispositivos nuevos.

Esta función permite a losusuarios eliminar dispositivosretirados.

Eliminar dispositivono administrado

Esta función permite a losusuarios restablecer lacontraseña de protección deapps en dispositivos Android.

Restablecercontraseña deprotección de apps

La contraseña de protecciónde apps protege appspreviamente definidas y sedebe introducir cada vez quelos usuarios quieran abrirestas apps. La contraseñase elimina y los usuariosdeben definir una nueva.

Esta función permite a losusuarios restablecer lacontraseña del contenedorde Sophos. La contraseña

Restablecercontraseña de la appdel contenedor deSophos

del contenedor de Sophos sedebe introducir cada vez quelos usuarios quieran abrir

29


WindowsDesktop

WindowsMobile


alguna de las apps decontenedor. La contraseñase elimina y los usuariosdeben definir una nueva.

Esta función permite a losusuarios reconfigurar unaapp Sophos Mobile Controlya instalada.

Reconfigurar la appSMC

9.4 Administrar usuarios del portal de autoservicioSophos Mobile Control ofrece distintos métodos para administrar usuarios del portal deautoservicio:

■ Administración de usuarios interna: La administración de usuarios interna permite crearusuarios añadiéndolos manualmente a la consola web o importándolos desde un archivode valores separados por comas (CSV).

■ Administración de usuarios externa: Si usa una administración de usuarios externa,puede asignar dispositivos a grupos y perfiles basándose en la pertenencia a directoriosexternos.

El método de administración de usuarios es específico a cada cliente. En las instalacioneslocales de Sophos Mobile Control, es definido por el superadministrador durante la creaciónde un cliente. Para Sophos Mobile Control como servicio, debe definirse antes de añadirusuarios. Consulte Configurar la administración de usuarios del portal de autoservicio en lapágina 30.

9.4.1 Configurar la administración de usuarios del portal de autoservicio

Nota: en las instalaciones locales de Sophos Mobile Control, la administración de usuariodel portal de autoservicio es realizada por el superadministrador durante la creación delcliente. Consulte la Guía de superadministrador de Sophos Mobile Control.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración y, acontinuación, en Configuración del sistema.

Aparece la página Configuración del sistema.

2. Vaya a la ficha Configuración de usuario. Seleccione en esta ficha el origen de datosde los usuarios del portal de autoservicio (SSP) que deban ser administrados por SophosMobile Control.

■ Ninguno. No hay disponibles administradores de LDAP, perfiles específicos deusuario ni SSP.

■ Seleccione Directorio interno para usar la administración interna de usuarios paralos usuarios del portal de autoservicio de Sophos Mobile Control.

■ Seleccione Directorio LDAP externo para utilizar la administración de usuarios externospara los usuarios del portal de autoservicio de Sophos Mobile Control.

Haga clic en Configurar LDAP externo para especificar los datos del servidor. ConsulteConfigurar una conexión de directorio externa en la página 31.

30



Si ha seleccionado Directorio interno o Directorio externo LDAP, la opción seleccionaday la opción Ninguno. En la ficha Configuración de usuario aparece No hay disponiblesadministradores de LDAP, perfiles específicos de usuario ni SSP. Seleccione Ningunosi desea cambiar su selección posteriormente. No hay disponibles administradores deLDAP, perfiles específicos de usuario ni SSP primero para que todas las opcionesestén disponibles.

Nota: la configuración de administración de usuarios no se puede cambiar mientras quehaya algún dispositivo vinculado al directorio. Si intenta cambiar la configuración mientrasque haya dispositivos conectados, se muestra un mensaje de error.

9.4.1.1 Configurar una conexión de directorio externaCuando usa un directorio LDAP externo para la administración de cuentas de usuario parala consola web y el portal de autoservicio, debe configurar la conexión del directorio de formaque Sophos Mobile Control pueda recuperar los datos de usuario del servidor LDAP. En lasinstalaciones locales de Sophos Mobile Control, esto es realizado por el superadministradordurante la creación del cliente.

Nota: no hay sincronización entre el directorio de LDAP y Sophos Mobile Control. SophosMobile Control solo accede al directorio de LDAP para buscar información de usuario. Loscambios que se hagan en una cuenta de usuario LDAP no se implementarán en la base dedatos de Sophos Mobile Control, y viceversa.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >Configuración del sistema y, a continuación, haga clic en la ficha Configuración deusuario.

2. Seleccione Directorio LDAP externo.

3. Haga clic en Configurar LDAP externo para especificar los datos del servidor.

4. En la página Detalles del servidor, configure las siguientes opciones:

a) Seleccione el Tipo LDAP. Sophos Mobile Control es compatible con:

■ Active Directory

■ IBM Domino

■ NetIQ eDirectory

■ Red Hat Directory Server

■ Zimbra

b) En el campo URL principal, escriba la URL del servidor de directorio primario. Esposible introducir la IP del servidor o el nombre del servidor. Seleccione SSL para usarSSL para la conexión del servidor. Para Sophos Mobile Control como servicio, no sepuede deseleccionar SSL.

c) En el campo URL secundaria, puede escribir la URL de un servidor de directorio quese utilice como alternativa si no se puede acceder al servidor primario. Es posibleintroducir la IP del servidor o el nombre del servidor. Seleccione SSL para usar SSLpara la conexión del servidor. Para Sophos Mobile Control como servicio, no se puededeseleccionar SSL.

d) En el campo Usuario, introduzca una cuenta para operaciones de búsqueda en elservidor del directorio. Sophos Mobile Control utiliza las credenciales de la cuentacuando se conecta al servidor del directorio.

31


Con Active Directory también debe introducir el dominio correspondiente. Los formatoscompatibles son:

■ <dominio>\<nombre de usuario>

■ <nombre de usuario>@<dominio>.<código de dominio>

Nota: por razones de seguridad, recomendamos que se especifique un usuario quesolo tenga permisos de lectura para el servidor del directorio y no permisos de escritura.

e) En el campo Contraseña, escriba la contraseña del usuario.

Haga clic en Siguiente.

5. En la página Base de búsqueda, introduzca el nombre distintivo (DN) del objeto de labase de búsqueda.

El objeto de base de búsqueda define la ubicación en el directorio externo desde la quese inicia la búsqueda del usuario o grupo de usuarios.

6. En la página Campos de búsqueda, defina los campos de directorio que se vayan a usarpara resolver las variables %_USERNAME_% y %_EMAILADDRESS_% en los perfilesy políticas. Escriba los campos requeridos o selecciónelos de las listas Nombre de usuarioy Correo electrónico.

Nota: los cuadros de lista solo contienen los campos configurados para el usuarioconectado en ese momento al directorio LDAP, especificado en el paso 7.d anterior. Si,p. ej., no se ha configurado un campo de correo electrónico para ese usuario, es necesarioque introduzca manualmente el valor requerido en el campo Correo electrónico.

En el caso de Active Directory, aplican estas asignaciones de campo:

■ Nombre de usuario: sAMAccountName

■ Nombre: givenName

■ Apellidos sn

■ Email: mail

7. En la página Configuración SSP, especifique los usuarios que pueden iniciar sesión enel portal de autoservicio. Introduzca la información correspondiente en el campo GrupoSSP, usando una de las opciones siguientes:

■ Si introduce un asterisco *, todos los usuarios del directorio autenticados puede iniciarsesión en el portal de autoservicio.

■ Si introduce el nombre de un grupo que está definido en el servidor del directorio, todoslos miembros de ese grupo pueden iniciar sesión en el portal de autoservicio. Una vezintroducido el nombre del grupo, haga clic en Resolver grupo para resolver el nombrede grupo en un nombre distintivo (DN).

■ Si deja el campo vacío, ningún usuario del servidor del directorio podrá iniciar sesiónen el portal de autoservicio. Utilice esta opción si quiere permitir la administración deusuarios externa para la consola web, pero no para el portal de autoservicio.

Nota:

El grupo especificado aquí no está relacionado con el grupo de directorio que se defineen la ficha Configuración de grupo en la página Portal de autoservicio. Estas opcionesde configuración se usan para definir paquetes de tareas, la pertenencia a grupos deSophos Mobile Control y las plataformas de dispositivos disponibles para cada grupo dedirectorio.

8. Haga clic en Aplicar.

9. En la ficha Configuración de usuario, haga clic en Guardar.

32


9.4.2 Crear usuarios del portal de autoservicio con administración deusuarios interna

Requisitos previos: La administración de usuarios interna está activada para el cliente alque está conectado. En instalaciones locales esto lo debe realizar el superadministrador enla administración de clientes. Para más información, consulte la Guía de superadministradorde Sophos Mobile Control.

Esto no aplica a Sophos Mobile Control como servicio. Los superadministradores no soncompatibles con Sophos Mobile Control como servicio. Para información sobre cómo definirlos métodos de administración de usuarios en Sophos Mobile Control como servicio, consulteConfigurar la administración de usuarios del portal de autoservicio en la página 30.


Aparece la página Mostrar usuarios.

2. Haga clic en Crear usuario.

Aparece la página Editar usuario.

3. Seleccione la casilla Enviar correo electrónico de bienvenida.

4. Introduzca la información siguiente:

a) Nombre de usuario

b) Nombre

c) Apellidos

d) Dirección de correo electrónico

e) Grupos (opcional)

Haga clic en Mostrar para ver todos los grupos de usuarios y seleccione uno.


El nuevo usuario del portal de autoservicio se muestra en la página Mostrar usuarios. Semanda un correo electrónico de bienvenida al nuevo usuario.

Haciendo clic en el triángulo azul junto al usuario requerido, puede ver los detalles de usuario(Mostrar), Editar o Eliminar el usuario.

Nota: al hacer clic en el nombre de usuario, aparece la página Mostrar usuario. Esta páginacontiene el botón Volver a enviar correo electrónico de invitación, que se puede usar paraenviar de nuevo el correo si el usuario no recibió o ha perdido el correo inicial.

9.4.3 Importar usuarios del portal de autoservicio con administración deusuarios interna

Requisitos previos: La administración de usuarios interna está activada para el cliente alque está conectado.

■ Para instalaciones locales de Sophos Mobile Control, consulte la Guía desuperadministrador de Sophos Mobile Control.

■ Para Sophos Mobile Control como servicio, consulte Configurar la administración deusuarios del portal de autoservicio en la página 30.

33


Con la administración de usuarios interna es posible añadir nuevos usuarios al portal deautoservicio importando un archivo de valores separados por coma (CSV) con codificaciónUTF-8 con hasta 500 usuarios.

Nota: utilice un editor de texto para editar el archivo CSV. Si utiliza Microsoft Excel, es posibleque los valores introducidos no se resuelvan correctamente. Asegúrese de guardar el archivocon la extensión .csv.

Consejo: en la página Importar usuarios hay disponible para descargar un archivo deejemplo con los nombres y el orden de columnas correctos.

Para importar usuarios desde un archivo CSV:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Usuarios y luego haga clicen Importar usuarios.

2. En la página Importar usuarios, seleccione Enviar correos electrónicos de bienvenida.

3. Haga clic en Subir un archivo y busque el archivo CSV que ha preparado.

Las entradas se leen desde el archivo y se muestran.

4. Si los datos no tienen el formato correcto o no son coherentes, no es posible importarninguna parte del archivo. En este caso, lea los mensajes de error que se muestran juntoa las entradas afectadas, corrija el contenido el archivo CSV como corresponda y vuelvaa subirlo.

5. Haga clic en Finalizar para crear las cuentas de usuarios.

Los usuarios se importan y se muestran en la página Mostrar usuarios. Recibirán correoselectrónicos con sus credenciales de inicio de sesión para el portal de autoservicio.

34


10 Configuración del sistema

10.1 Comprobar sus licenciasSophos Mobile Control utiliza una esquema de licencias basado en usuarios. Una licenciade usuario es válida para todos los dispositivos asignados a ese usuario. Los dispositivosque no están asignados a un usuario requieren una licencia para cada uno.

Para comprobar sus licencias disponibles:

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >Configuración del sistema.

2. En la página Configuración del sistema, haga clic en la ficha Licencia.

Aparece la información siguiente:

■ Número máximo de licencias: Número máximo de usuarios finales (y dispositivos sinasignar) que pueden administrarse desde la consola web.

Si el superadministrador no ha establecido una cuota para el cliente, el número de licenciasestá limitado por el número en general para el servidor de Sophos Mobile Control.

■ Licencias usadas: Número de licencias en uso.

■ Válida hasta: Fecha de vencimiento de la licencia.

Si tiene cualquier duda o pregunta sobre la información de licencias mostrada, póngase encontacto con su representante de ventas de Sophos.

Nota: para notificar el vencimiento próximo de la licencia, Sophos Mobile Control envía variosrecordatorios por correo electrónico a todos los administradores comenzando 30 días antesa la fecha de vencimiento.

10.2 Certificados del servicio de notificaciones push deApplePara poder usar el protocolo de gestión de dispositivos móviles (MDM) de los dispositivosiOS, Sophos Mobile Control debe usar el servicio de notificaciones push de Apple (APNs)para activar los dispositivos.

Los certificados del APNs tienen un plazo de validez de un año. Para notificar el vencimientopróximo del certificado, Sophos Mobile Control envía varios recordatorios por correo electrónicoa los administradores comenzando 30 días antes a la fecha de vencimiento.

En las siguientes secciones se describen los requisitos que deben cumplirse y los pasos quedebe seguir para obtener acceso a los servidores del APNs con su propio certificado decliente.

35


10.2.1 Requisitos

Para la comunicación con el servicio de notificaciones push de Apple (APNs), se debe permitirel tráfico TCP de y a los puertos siguientes:

■ El servidor de Sophos Mobile Control necesita conectarse agateway.push.apple.com:2195 TCP (17.0.0.0/8)

■ Cada dispositivo iOS con solo acceso Wi-Fi necesita conectarse a*.push.apple.com:5223 TCP (17.0.0.0/8)

10.2.2 Crear y cargar un certificado APNs

Use el APNs Certificate Wizard para crear un certificado del servicio de notificaciones pushde Apple (APNs) y cargarlo en el servidor de Sophos Mobile Control.

El asistente está disponible en esta página de soporte de Sophos. Si lo prefiere, puededescargar el asistente desde la consola web de Sophos Mobile Control. En el menú lateralde la consola web, en CONFIGURACIÓN, vaya a la ficha Configuración > Configuracióndel sistema > APNs iOS y, a continuación, haga clic en el enlace de descarga.

Para crear y cargar un certificado del APNs mediante el APNs Certificate Wizard:

1. Haga doble clic en el archivo Sophos Mobile Control APNs CertificateWizard.exe para iniciar el APNs Certificate Wizard.

2. En la página License Agreement, haga clic en I Agree para aceptar los términos de lalicencia.

3. En la página Create Certificate Signing Request, introduzca el nombre de su empresaen Company Name y el código de su país en Country (por ejemplo, US o UK).

La solicitud de certificado se guarda en un archivo con la extensión .plist. La ubicacióndel archivo se muestra en la página Create Certificate Signing Request. Tome nota deesta información y haga clic en Next.

4. En la página Upload PLIST, cargue el archivo de solicitud de certificado en Apple. Sigalas instrucciones del cuadro de diálogo:

a) Haga clic en el enlace https://identity.apple.com/pushcert/ para abrir el Apple PushCertificates Portal en el navegador web.

Si tiene problemas con ciertas funciones del portal de Apple al utilizar Microsoft InternetExplorer, le recomendamos que use la última versión del navegador Firefox, Opera,Chrome o Safari.

b) Inicie sesión con su ID de Apple o cree un ID si todavía no tiene uno.

Se recomienda que cree un ID de Apple corporativo, no personal.

c) En la primera página del Apple Push Certificates Portal, haga clic en Create aCertificate.

d) Acepte los términos y condiciones.

e) Busque su archivo de solicitud de certificado .plist y haga clic en Upload.

En la página Upload PLIST, puede hacer clic en el enlace Upload to Apple paraabrir el directorio en que se ha creado el archivo .plist.

f) Su certificado APNs se crea como archivo con la extensión .pem. Descargue el archivode certificado y guárdelo en el directorio PEM from Apple.

5. Haga clic en Next.

36


http://www.sophos.com/es-es/Pages/DownloadRedirect.aspx?downloadKey=%7B3D9AA00E-8AF2-4719-B6CC-E99933B5F031%7D

https://identity.apple.com/pushcert/

6. En la página Create P12, creará el certificado APNs para Sophos Mobile Control. Introduzcauna contraseña para el certificado APNs. Necesitará esta contraseña más adelante, cuandocargue el archivo de certificado .p12 en Sophos Mobile Control.

El directorio en el que se almacenará el certificado se muestra en la página Create P12.Tome nota de esta información y haga clic en Next.

Nota: se recomienda que realice una copia de seguridad del directorio.

7. En la página Sophos Mobile Control APNs Certificate Wizard finished, haga clic enFinish.

8. En la ficha APNs iOS de la consola web de Sophos Mobile Control, haga clic en Cargarun archivo. Busque el archivo de certificado .p12 que ha creado e introduzca sucontraseña. Si lo desea, también puede introducir su ID de Apple para futuras consultas.

Una vez que el archivo se haya subido correctamente, aparecerá un mensaje deconfirmación y se mostrará el Tema, el Tipo y la Fecha de vencimiento de su certificadoAPNs.

9. Haga clic en Guardar para finalizar el procedimiento.

10.2.3 Renovar un certificado de notificaciones push de Apple

Utilice el asistente de certificados APNs para renovar su certificado del servicio denotificaciones push de Apple (APNs) para el servidor de Sophos Mobile Control.

El asistente está disponible en esta página de soporte de Sophos.También puede descargarel asistente desde la consola web de Sophos Mobile Control. En el menú lateral de la consolaweb, en CONFIGURACIÓN, vaya a la ficha Configuración > Configuración del sistema >APNs iOS y, a continuación, haga clic en el enlace de descarga.

Importante: en el portal de Apple, es importante que seleccione el certificado APNs correctopara la renovación. Si renueva un certificado equivocado, es posible que tenga que volver ainscribir todos los dispositivos iOS. Para identificar el certificado APNs correcto, consulteIdentificar el certificado APNs correcto para la renovación en la página 39.

Para renovar tu certificado APNs mediante el asistente de certificados APNs:

1. Haga doble clic en el archivo Sophos Mobile Control APNs CertificateWizard.exe para iniciar el APNs Certificate Wizard.

2. En la página License Agreement, haga clic en I Agree para aceptar los términos de lalicencia.

3. En la página Create Certificate Signing Request, introduzca el nombre de su empresaen Company Name y el código de su país en Country (por ejemplo, US o UK).

La solicitud de certificado se guarda en un archivo con la extensión .plist.

4. En la página Upload PLIST, cargue el archivo de solicitud de certificado en Apple. Sigalas instrucciones del cuadro de diálogo:

a) Haga clic en el enlace mostrado https://identity.apple.com/pushcert/ para abrir el portalde certificados push de Apple en el navegador.

37


http://www.sophos.com/es-es/Pages/DownloadRedirect.aspx?downloadKey=%7B3D9AA00E-8AF2-4719-B6CC-E99933B5F031%7D


Si tiene problemas con determinadas funciones del portal de Apple al utilizar MicrosoftInternet Explorer, le recomendamos que utilice la última versión de Firefox, Opera,Chrome o Safari en su lugar.

b) Inicie sesión con su ID de Apple corporativo. Debe ser el mismo ID que utilizó paracrear el certificado APNs inicial.

c) En Apple Push Certificates Portal, haga clic en Renew junto a su certificado APNsde Sophos Mobile Control.

d) Busque su archivo de solicitud de certificado .plist y haga clic en Upload.

En la página Upload PLIST, puede hacer clic en el enlace Upload to Apple paraabrir el directorio en que se ha creado el archivo .plist.

e) Su certificado APNs se crea como archivo con la extensión .pem. Descargue el archivode certificado y guárdelo en el directorio PEM from Apple.

5. Haga clic en Next.

6. En la página Create P12, creará el certificado APNs para Sophos Mobile Control. Introduzcauna contraseña para el certificado APNs. Necesitará esta contraseña más adelante, cuandocargue el archivo de certificado .p12 en Sophos Mobile Control.

El directorio en el que se almacenará el certificado se muestra en la página Create P12.Tome nota de esta información y haga clic en Next.

Nota: se recomienda que realice una copia de seguridad del directorio.

7. En la página Sophos Mobile Control APNs Certificate Wizard finished, haga clic enFinish.

8. En la ficha APNs iOS de la consola web de Sophos Mobile Control, haga clic en Cargarun archivo. Busque el archivo de certificado .p12 que ha creado e introduzca sucontraseña. Si lo desea, también puede introducir su ID de Apple para futuras consultas.

Una vez que el archivo se haya subido correctamente, aparecerá un mensaje deconfirmación y se mostrará el Tema, el Tipo y la Fecha de vencimiento de su certificadoAPNs.


10. Cuando se inicia sesión como superadministrador, hay un cuadro de diálogo adicionalcon todos los clientes que actualmente están usando el mismo certificado APNs que elcliente superadministrador, es decir, un certificado con el mismo atributo de Tema.

■ Haga clic en Guardar para todos los clientes afectados para renovar el certificadoAPNs para todos estos clientes.

■ Haga clic en Guardar solo para el cliente superadministrador para renovar elcertificado APNs solo para el superadministrador.

Importante:

Si aparece el siguiente mensaje, significa que no está renovando el certificado correcto:

"El tema del certificado nuevo no se corresponde con el anterior. Si se han configurado dispositivos con el certificado anterior, es necesario configurarlos de nuevo. ¿Desea guardar los cambios?"

Este mensaje indica que va a crear un nuevo certificado APNs con un identificador distinto.Si confirma el mensaje, todos los dispositivos iOS existentes dejarán de ser administrablesy tendrá que volver a inscribirlos.

38


10.2.4 Identificar el certificado APNs correcto para la renovación

Al renovar el servicio de notificaciones push de Apple (APNs) para el servidor de SophosMobile Control como se describe en Renovar un certificado de notificaciones push de Appleen la página 37, es importante que, en el portal de Apple, seleccione el certificado APNscorrecto para la renovación.

En esta sección se explica cómo identificar el certificado APNs que está cargado actualmenteen el servidor de Sophos Mobile Control.

Recupere el identificador del certificado en la consola web de Sophos Mobile Control:

1. Inicie sesión en la consola web de Sophos Mobile Control con la cuenta de administradorcorrespondiente al cliente cuyo certificado APNs necesita renovarse.

2. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >Configuración del sistema y, a continuación, haga clic en la ficha APNs iOS.

3. En la sección Contenido del almacén de claves de notificaciones push de Apple, semuestran las propiedades del certificado APNs cargado.

4. Tome nota del valor que aparece en Tema.

Este es el identificador de su certificado APNs.

Identifique el certificado en el portal de Apple:

5. Desde el navegador, abra la URL del portal de certificados push de Apple,https://identity.apple.com/pushcert/.

Si tiene problemas con determinadas funciones del portal de Apple al utilizar MicrosoftInternet Explorer, le recomendamos que utilice la última versión de Firefox, Opera, Chromeo Safari en su lugar.

6. Inicie sesión con el ID de Apple que utilizó para crear el certificado APNs inicial.

7. En la lista de certificados APNs, haga clic en el icono Información de certificado juntoa la entrada de un certificado.

Se mostrarán los detalles del certificado.

8. En el campo DN de sujeto, busque el valor que sigue a la cadena UID=. Si coincide conel identificador que ha determinado en la consola web de Sophos Mobile Control, haidentificado el certificado correcto.

10.2.5 Comprobar la conectividad con APNs de los dispositivos

Los usuarios de la app Sophos Mobile Control para iOS pueden comprobar si sus dispositivosse pueden conectar con el servidor del servicio de notificaciones push de Apple (APNs).

1. En la app Sophos Mobile Control, toque el icono Información para abrir la pantalla Acercade.

2. Toque Comprobar APNs.

La app intenta conectarse al servidor de APNs de Apple. La respuesta esperada del servidores de 5 segundos o menos.

Si la app le notifica que se ha podido establecer la conexión con el servidor de APNs, significaque el dispositivo puede recibir comandos del servidor de Sophos Mobile Control a través deAPNs.

Si la app le notifica que no se ha podido establecer la conexión con el servidor de APNs,significa que su red no permite la comunicación con APNs y que, por tanto, Sophos Mobile

39



Control no podrá administrar dispositivos iOS. Para corregir esta situación, asegúrese de quese cumplen los requisitos que se describen en Requisitos en la página 36.

10.3 Configurar destinos AirPlay iOSCon Sophos Mobile Control es posible activar remotamente la duplicación AirPlay entre undispositivo iOS y destinos AirPlay predefinidos (p. ej., AppleTV).

Nota: airplay solo funciona con dispositivos que se encuentran en la misma red.

En la consola web se pueden definir los destinos para la duplicación AirPlay.

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración y, acontinuación, en Configuración del sistema, y vaya a la ficha iOS AirPlay.

2. En la sección Destinos AirPlay, haga clic en Crear destino AirPlay.

Aparece la página Destino Airplay.

3. Introduzca el Nombre de dispositivo (necesario) y la Dirección MAC (opcional).Introduzca la Contraseña para el dispositivo destino de AirPlay si es necesario.


El dispositivo aparece en Destinos AirPlay en la ficha iOS AirPlay de la páginaConfiguración del sistema.


La duplicación AirPlay entre un dispositivo iOS y su destino se activa haciendo clic en Solicitarduplicación AirPlay desde el menú Acciones en la página Mostrar dispositivo deldispositivo correspondiente.

10.4 Licencia Samsung KNOXSi su empresa tiene una licencia Samsung KNOX válida, debe introducir su clave de licencia,el número de licencias y la fecha de caducidad en la ficha Licencia Samsung KNOX parapoder administrar sus dispositivos KNOX con Sophos Mobile Control.

10.5 Configurar SCEPEs posible configurar un protocolo de inscripción simple de certificados (SCEP) paraproporcionar certificados. Esto permite a los dispositivos obtener certificados de una autoridadde certificación usando SCEP.

Toda la configuración necesaria para acceder a un servidor de una autoridad de certificacióncon SCEP se puede definir mediante la consola web.

La configuración necesaria para los dispositivos se puede definir para Android e iOS en unPerfil de dispositivo SCEP y para Windows Mobile en una política.

Nota: proporcionar certificados con SCEP no es posible en dispositivos con Windows Phone8,0.

40


10.5.1 Requisitos previos

Para poder usar el protocolo de inscripción simple de certificados es necesario cumplir lossiguientes requisitos previos:

■ El entorno debe contar con una autoridad de certificación Windows habilitada para SCEP.

■ Disponer de las credenciales de inicio de sesión de un usuario que pueda crear un códigode desafío.

■ Servidor de Sophos Mobile Control Server con acceso http o https a los siguiente sitios:

■ https://SU-SERVIDOR-SCEP/CertSrv/MSCEP_ADMIN

■ https://SU-SERVIDOR-SCEP/CertSrv/MSCEP

10.5.2 Configurar SCEP

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración y, acontinuación, en Configuración del sistema, y vaya a la ficha SCEP.

2. Puede especificar las siguientes opciones:

a) En el campo URL servidor SCEP, introduzcahttps://SU-SERVIDOR-SCEP/CertSrv/MSCEP.

b) En el campo URL de desafío, introduzcahttps://SU-SERVIDOR-SCEP/CertSrv/MSCEP_ADMIN.

Nota: si usa un servidor Windows 2003 como servidor SCEP, introduzcahttps://SU-SERVIDOR-SCEP/CertSrv/MSCEP.

c) En los campos Usuario y Contraseña introduzca las credenciales de usuario delusuario que a creado el código de desafío.

Nota: en el campo Usuario, introduzca un usuario con los derechos necesarios pararegistrar certificados. Utilice el formato de inicio de sesión: nombredeusuario@dominio

d) Acepte el valor por defecto en el campo Longitud de desafío.

e) También tiene la opción de desactivar la opción Usar proxy HTTP si desea que SophosMobile Control evite el proxy HTTP cuando se conecte al servidor SCEP.

En instalaciones locales, el superadministrador puede configurar un proxy HTTP queSophos Mobile Control utilizará para las conexiones HTTP y SSL salientes. Consultela Guía de superadministrador de Sophos Mobile Control.


Sophos Mobile Control prueba la conexión con su servidor SCEP.

Para desplegar un perfil utilizando SCEP, debe crear un perfil de dispositivo SCEP.

10.5.2.1 Crear perfil de dispositivo SCEP iOS1. Cree un nuevo perfil de dispositivo iOS como se describe en Crear perfiles y políticas iOS

en la página 85 e introduzca la información general necesaria.

2. Haga clic en Añadir configuración.

Aparece la página Configuraciones disponibles.

41


https://www.sophos.com/es-es/medialibrary/PDFs/documentation/smc_61_ag_eng_superadmin.pdf

3. En la lista de configuraciones disponibles, seleccione SCEP.

Aparece la página SCEP.

4. Acepte el valor por defecto en el campo URL. Este debe ser %_SCEPPROXYURL_%.

5. En el campo Nombre de CA, escriba el nombre de la autoridad de certificación.

6. En el campo Sujeto puede usar el nombre de la persona que recibirá el certificado. Ponga"CN=" delante del nombre/valor actual. Puede usar las variables LDAP disponibles, p. ej.,"CN=%_DEVPROP(UDID)_%".

7. Si desea configurar un nombre alternativo de sujeto (SAN) para asociarlo con el certificado,seleccione el tipo de SAN en el campo Tipo de nombre alternativo de sujeto.

8. Si ha seleccionado un tipo de SAN, introduzca el valor de SAN en el campo Valor denombre alternativo de sujeto.

9. No cambie el campo Desafío.

10. Asegúrese de que el valor definido en el campo Tamaño de clave coincide con el valordefinido en el servidor SCEP.

11. Configure los campos restantes según sea necesario y haga clic en Aplicar.

Aparece de nuevo la página Editar perfil.


Ahora puede añadir otras configuraciones, p. ej., para Wi-Fi o VPN y seleccionar elcertificado/autoridad de certificación como el método de autenticación. El certificado para sudispositivo se crea una vez se haya implementado el perfil.

10.5.2.2 Crear perfil de dispositivo SCEP AndroidSi desea añadir un certificado CA a la configuración SCEP,es necesario crear unaconfiguración de certificado raíz para el perfil de dispositivo en el que desea cargar el archivode certificado.

1. Cree un nuevo perfil de dispositivo Android como se describe en Crear perfiles y políticasAndroid en la página 56 e introduzca la información general necesaria.






5. En el campo Nombre de alias introduzca el nombre con el que el certificado apareceráen los diálogos de selección.

Debe ser un nombre fácil de recordar que identifique el certificado. Por ejemplo, utilicelos mismos valores que en el campo Sujeto descrito a continuación, pero sin el prefijoCN=.

6. En el campo Sujeto puede usar el nombre de la persona que recibirá el certificado. Ponga"CN=" delante del nombre/valor actual. Puede usar las variables LDAP disponibles, p. ej.,CN=%_DEVPROP(serial_number)_%.

7. Si desea configurar un nombre alternativo de sujeto (SAN) para asociarlo con el certificado,seleccione el tipo de SAN en el campo Tipo de nombre alternativo de sujeto.

8. Si ha seleccionado un tipo de SAN, introduzca el valor de SAN en el campo Valor denombre alternativo de sujeto.


42


10. Si ha cargado un certificado CA en una configuración de certificado raíz para el perfil dedispositivo actual, puede seleccionarlo en el campo Certificado raíz.


12. Configure los campos restantes según sea necesario y haga clic en Aplicar.

Aparece de nuevo la página Editar perfil.


Ahora puede añadir otras configuraciones, p. ej., para Wi-Fi o VPN y seleccionar elcertificado/autoridad de certificación como el método de autenticación. El certificado para sudispositivo se crea una vez se haya implementado el perfil.

10.5.2.3 Crear política de dispositivo SCEP Windows MobileSi desea añadir un certificado de CA a la configuración SCEP, es necesario crear unaconfiguración de certificado raíz para la política de dispositivo actual en la que desea cargarel archivo de certificado.

1. Cree una nueva política de Windows Mobile como se describe en Crear políticas WindowsMobile o Desktop en la página 121 e introduzca la información general necesaria.





4. En el campo Descripción, escriba una descripción para el perfil.


6. En el campo Sujeto puede usar el nombre de la persona que recibirá el certificado. Ponga"CN=" delante del nombre/valor actual. Puede usar las variables LDAP disponibles, p. ej.,"CN=%_DEVPROP(UDID)_%".

7. Si desea configurar un nombre alternativo de sujeto (SAN) para asociarlo con el certificado,haga clic en Añadir junto Tipo de nombre alternativo de sujeto, y seleccione el tipo deSAN y introduzca el valor de SAN.

Puede repetir esto para añadir valores de SAN adicionales.


9. Si ha cargado un certificado de CA en una configuración de certificado raíz para la políticade dispositivo actual, puede seleccionarlo en el campo Certificado raíz.


11. Utilice las casillas Usar como firma digital y Usar para cifrado para especificar la finalidaddel certificado solicitado.

Debe seleccionar al menos una de estas dos opciones.

12. En Algoritmo hash seleccione uno o más algoritmos de hash compatibles con el servidorSCEP.


14. En la página Editar política haga clic en Guardar.

Ahora puede añadir otras configuraciones, p. ej., para Wi-Fi y seleccionar elcertificado/autoridad de certificación como el método de autenticación. El certificado para sudispositivo se crea una vez que se ha asignado la política.

43


10.6 Configurar opciones de usuarioEn la ficha Configuración de usuario puede cambiar las opciones de administración de losusuarios. Para más información, consulte Administrar usuarios del portal de autoservicio enla página 30 y la Guía de superadministrador de Sophos Mobile Control.

44


11 Reglas de cumplimientoCon las reglas de cumplimiento puede:

■ Permitir, prohibir o aplicar determinadas funciones en un dispositivo.

■ Definir acciones que se ejecutan cuando se infringe una regla de cumplimiento.

Puede crear varios conjuntos de reglas de cumplimiento y asignarlos a grupos de dispositivos.Esto le permite aplicar distintos niveles de seguridad a sus dispositivos administrados.

Consejo: si tiene previsto administrar dispositivos corporativos y privados, se recomiendaque establezca conjuntos de reglas de cumplimiento distintos para al menos estos dos tiposde dispositivos.

11.1 Crear reglas de cumplimientoPara crear un conjunto de reglas de cumplimiento:

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Reglas de cumplimiento.

2. En la página Reglas de cumplimiento, haga clic en Crear reglas de cumplimiento.

3. Introduzca un Nombre y una Descripción opcional para el nuevo conjunto de reglas decumplimiento.

La página Reglas de cumplimiento contiene fichas individuales para las plataformas dedispositivos que se activan para el cliente. Repita los pasos siguientes para todas lasplataformas necesarias.

4. Asegúrese de que la casilla Activar plataforma de cada ficha esté seleccionada.

Si no se selecciona la casilla, no se comprobará si los dispositivos de esa plataformacumplen las reglas.

5. En Regla, configure los criterios de cumplimiento para la plataforma en cuestión.

Cada regla de cumplimiento tiene fijado un nivel de gravedad (alto, medio, bajo) que estárepresentado por un icono azul. La gravedad le permite valorar la importancia de cadaregla y las acciones que debe aplicar si se infringe.

Si ha definido grupos de apps, puede asignarlos a las reglas de cumplimiento Appspermitidas, Apps prohibidas y Apps obligatorias.

45


6. En Si se infringe una regla, defina las acciones que se aplicarán al infringirse una regla:

DescripciónOpción

Prohibir el acceso al correo electrónico.

Esta acción solo puede tomarse si se utiliza el servidor proxyEAS de Sophos Mobile Control.

Consulte la Guía de superadministrador de Sophos MobileControl.

Denegar correo electrónico

Deshabilitar las apps Sophos Secure Workspace y Secure Email.Esto afecta al acceso a documentos, correo electrónico y webadministrado por estas apps.

Esta acción solo puede tomarse si se ha activado la licencia SMCAdvanced.

Esta opción solo es relevante para dispositivos Android y iOS.

Bloquear contenedor

Prohibir el acceso a la red.

Esta acción solo puede tomarse si el superadministrador haactivado el control de acceso a la red.

Consulte la Guía de superadministrador de Sophos MobileControl.

Denegar red

Enviar correos electrónicos de cumplimiento a los destinatariosseleccionados.

La lista de destinatarios y la programación de horas se especificande forma colectiva para todos los conjuntos de reglas decumplimiento que cree. Consulte las instrucciones más adelanteen esta sección.

Notificar administrador

Transferir un paquete de tareas específico al dispositivo.

Seleccione un paquete de tareas de la lista o seleccione Ningunopara que no se transfiera ningún paquete de tareas cuando seinfrinja una regla de cumplimiento.

Importante: si no se usan correctamente, los paquetes de tareaspueden alterar la configuración de los dispositivos o inclusoeliminar todo el contenido de los mismos. Para asignar lospaquetes de tareas correctos a las reglas de cumplimiento, esnecesario tener un conocimiento en profundidad del sistema.

Transferir paquete de tareas

7. Cuando haya establecido las opciones para todas las plataformas necesarias, haga clicen Guardar para guardar el conjunto de reglas de cumplimiento con el nombre que hayaespecificado.

El nuevo conjunto se muestra en la página Reglas de cumplimiento.

46


8. Si ha seleccionado la acción Notificar administrador para una de las reglas decumplimiento, haga clic en Configuración de correo electrónico de cumplimiento paraespecificar los destinatarios que recibirán correos electrónicos de cumplimiento y las horasa las que se enviarán los mismos.

Puede especificar los destinatarios introduciendo el nombre de un administrador o unadirección de correo electrónico válida.

Nota: estas son opciones comunes que se aplican a todas las reglas de cumplimientoque tienen una acción Notificar administrador.

9. Haga clic en Guardar para guardar la configuración de correo electrónico de cumplimiento.

11.2 Opciones de configuración de cumplimientodisponiblesEn la siguiente tabla se muestran las opciones de cumplimiento que se pueden seleccionaren las distintas plataformas en Regla en las fichas de Reglas de cumplimientocorrespondientes.

WindowsDesktop

WindowsMobile


Defina la acción que seejecutará cuando deje deadministarse el dispositivo.

Administradonecesario

Introduzca la versión mínimade la app Sophos MobileControl que debe estarinstalada en el dispositivo.

Versión mínima de laapp SMC

Seleccione si se permitendispositivos con derechos desuperusuario.

Derechos de raízpermitidos

Seleccione si se permitenapps de fuentesdesconocidas en losdispositivos.

Apps de otrastiendas permitidas

Seleccione si se permiteADB (puente de depuraciónAndroid) en los dispositivos.

Puente dedepuración Android(ADB) permitido

Seleccione si se permitendispositivos desbloqueadoscon jailbreak.

Permitir jailbreak

47


WindowsDesktop

WindowsMobile


Seleccione si se requiere unacontraseña para eldispositivo u otro mecanismode bloqueo de pantalla(como patrón o PIN).

Para Android, esto incluyelos tipos de bloqueo de

Contraseñanecesaria

pantalla Patrón, PIN yContraseña, pero noDeslizar.

Seleccione la versión mínimadel sistema operativo quedebe estar instalada en losdispositivos.

Versión mín. de SO

Seleccione la versiónmáxima del sistemaoperativo permitida en losdispositivos.

Versión máx. de SO

Especifique el intervalomáximo entre los procesosde sincronización para losdispositivos.

Intervalo máx. desincronización

Especifique el intervalomáximo entre los procesosde sincronización de appsiOS para los dispositivos.

Intervalo máximo desincronización deapp SMC

Para más información,consulte la Ayuda de usuariode Sophos Mobile Control.

Nota: esta opción se aplicasolo a dispositivos con iOS6.1.6 o inferior.

Este campo solo se muestrasi Sophos Mobile Securityestá disponible para estecliente. Para más

Intervalo máx. deescaneado SMSec

información, consulteAdministrar Sophos MobileSecurity desde SophosMobile Control en la página183. En este campo puedeespecificar el intervalo deescaneado máximo de losescaneados realizados porla app Sophos MobileSecurity en el dispositivopara detectar programasmaliciosos.

48




WindowsDesktop

WindowsMobile


Sophos Mobile Securityrequiere permisos en eldispositivo para funcionarcorrectamente. El usuario

Denegación depermisos SMSecpermitida

debe autorizar estospermisos cuando se instalala app.

Seleccione si la denegaciónde los permisos requeridosconstituye una violación delcumplimiento.

Este campo solo se muestrasi Sophos Mobile Securityestá disponible para estecliente.

Seleccione si se permitenapps maliciosas detectadasen los dispositivos.

Apps maliciosaspermitidas


Seleccione si se permitenapps sospechosas

Apps sospechosaspermitidas

detectadas en losdispositivos.


Seleccione si se permitenapps no deseadas

Apps no deseadaspermitidas

detectadas en losdispositivos.

Seleccione si es necesario elcifrado en los dispositivos.

En dispositivos con Android5 o posterior, los usuarios

Cifrado necesario

también deben activar laopción Requerir PIN parainiciar dispositivo oRequerir contraseña parainiciar dispositivo alestablecer un bloqueo depantalla. Consulte el artículode la base de conocimiento123947.

49


http://www.sophos.com/es-es/support/knowledgebase/123947.aspx



WindowsDesktop

WindowsMobile


Seleccione si se permite elroaming de datos en losdispositivos.

Roaming de datospermitido

Esta opción se refiere a lafunción de Localización.Seleccione si el usuario debepermitir a la app Sophos

Permiso de ubicaciónnecesario

Mobile Control en elmomento de la instalaciónobtener datos de localizaciónpara cumplir las políticas.

Seleccione si el usuario debepermitir a la app SophosMobile Control durante lainstalación obtener datos de

La app puedelocalizar

localización para cumplir laspolíticas.

Sophos Mobile Securityrequiere acceso a los datosde uso para asegurar que lasapps bloqueadas no se

Permiso de controlde procesosnecesario

puedan abrir y que las appsprotegidas pidan unacontraseña.

Seleccione si la denegaciónconstituye una violación delcumplimiento.

Puede especificar Appspermitidas o Appsprohibidas. Seleccione laopción deseada en la

Apps permitidas /Apps prohibidas

primera lista y seleccione elgrupo de apps que contienelas apps permitidas oprohibidas en la segundalista. Para información sobrecómo crear grupos de apps,consulte Trabajar con gruposde apps en la página 157.

Si especifica Appspermitidas, solo las apps dela lista se permiten en eldispositivo. Si se detectanotras apps, el dispositivodejará de cumplir laspolíticas.

Nota: las apps del sistemaAndroid se permitenautomáticamente.

50


WindowsDesktop

WindowsMobile


Si especifica Apps nopermitidas, el dispositivodejará de cumplir laspolíticas cuando se detectenestas apps.

Especifique las apps quedeben estar instaladas en losdispositivos. Seleccione elgrupo de apps que contenga

Apps obligatorias

las apps obligatorias en lalista. Para información sobrecómo crear grupos de apps,consulteTrabajar con gruposde apps en la página 157.

La opción de WindowsDefender Protección entiempo real debe estaractivada.

Windows Defenderdebe estar activado

El dispositivo no es conformecuando Windows Defendermuestra alertas.

Alertas de WindowsDefender nopermitidas

Windows Defender debeusar las definiciones despyware más recientes.

Definicionesactualizadas deWindows Defenderrequeridas

11.3 Asignar reglas de cumplimiento a grupos dedispositivos1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Grupos de dispositivos.

Aparece la página Grupos de dispositivos.

2. Haga clic en el triángulo azul junto al grupo de dispositivos al que desea asignar un conjuntode reglas de cumplimiento y haga clic en Editar.

Siempre hay disponible un grupo de dispositivos Predeterminado. Para información sobrecómo crear sus propios grupos de dispositivos, consulte Crear grupos de dispositivos enla página 170.

3. En Reglas de cumplimiento, en los campos Dispositivos corporativos y Dispositivospersonales, seleccione las reglas de cumplimiento que desee aplicar.


Los conjuntos de reglas de cumplimiento seleccionados se muestran en la página Gruposde dispositivo para el grupo de dispositivos correspondiente en Política para dispositivoscorporativos y Políticas para dispositivos personales.

51


11.4 Comprobación de cumplimiento de dispositivosUna vez configuradas las opciones de cumplimiento, puede comprobar si los dispositivosregistrados cumplen las reglas definidas.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Reglas de cumplimiento.

Aparece la página Reglas de cumplimiento.

2. Haga clic en Comprobar ahora.

Se comprueba el cumplimiento de todos los dispositivos registrados según las reglas definidasen Reglas de cumplimiento. Se ejecutan las acciones especificadas. El gráfico circular enel Panel se actualiza de forma correspondiente.

52


12 Añadir dispositivos a Sophos MobileControlSe pueden añadir dispositivos a Sophos Mobile Control de las siguientes formas:

■ Añadiendo dispositivos manualmente. Consulte Añadir dispositivo en la página 53.

■ Importando dispositivos desde un archivo de valores separados por comas (CSV). ConsulteImportar dispositivos en la página 54.

■ Utilice el asistente de inscripción de dispositivos para añadir un dispositivo a SophosMobile Control, asígnelo a un usuario, inscríbalo, y transfiera un paquete de tareas deinscripción. Consulte Usar el asistente de inscripción de dispositivos para asignar e inscribirdispositivos nuevos en la página 167.

■ Permitiendo a los usuarios que inscriban dispositivos de forma autónoma utilizando elportal de autoservicio. Consulte Configurar el portal de autoservicio en la página 25. Esteportal permite reducir la carga sobre el departamento informático al posibilitar que losusuarios finales puedan realizar tareas sin tener que contactar con soporte. Los dispositivosse aprovisionan ejecutando paquetes de tareas definidos. Consulte Trabajar con paquetesde tareas en la página 139.

Para más información sobre cómo usar el portal de autoservicio para inscribir dispositivoscon Sophos Mobile Control, consulte la Ayuda de usuario de Sophos Mobile Control.

Recomendamos que use grupos de dispositivos para agrupar los dispositivos y así facilitarla administración. Consulte Grupos de dispositivos en la página 170.

12.1 Añadir dispositivoRecomendamos crear uno o más grupos de dispositivos antes de añadir el primer dispositivoa Sophos Mobile Control. Entonces puede asignar cada dispositivo a un grupo de dispositivospara simplificar la administración de dispositivos. Consulte Crear grupos de dispositivos enla página 170.

Para añadir un dispositivo nuevo a Sophos Mobile Control:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos.

Aparece la página Dispositivos.

2. Haga clic en Añadir y seleccione la plataforma en la sección de menú Añadir dispositivomanualmente.

Aparece la página Editar dispositivo.

3. En la página Editar dispositivo, especifique los siguientes detalles del dispositivo:

a) En el campo Nombre, escriba un nombre único para el nuevo dispositivo.

b) En el campo Descripción, escriba una descripción para el nuevo dispositivo.

c) En Propietario, seleccione Corporativo o Empleado.

d) En el campo Dirección de correo electrónico introduzca una dirección de correoelectrónico.

53



Nota: los campos obligatorios están señalados con un asterisco rojo.

e) En el campo Número de teléfono, introduzca el número de teléfono del nuevodispositivo. Introduzca el número de teléfono con el formato internacional, p. ej.,+491701234567.

f) En Grupo de dispositivos, seleccione el grupo de dispositivos al que se asigna eldispositivo.

Nota: hay disponible un grupo de dispositivos Predeterminado. Si todavía no hadefinido ningún grupo de dispositivo propio, puede añadir dispositivos a este grupo.Para información sobre cómo crear sus propios grupos de dispositivos, consulte Creargrupos de dispositivos en la página 170.

4. Para añadir un usuario externo o interno al dispositivo, haga clic en el icono Editarasignación de usuario y, a continuación, haga clic en Asignar usuario a dispositivo.Para más información, consulte Asignar un usuario a un dispositivo en la página 164.

5. Para añadir propiedades personalizadas al dispositivo, vaya a la ficha Propiedadespersonalizadas y haga clic en Añadir propiedad personalizada. Para más información,consulte Definir propiedades personalizadas para dispositivos en la página 165.

6. Una vez especificados todos los detalles relevantes del dispositivo, haga clic en Guardar.

El nuevo dispositivo se añade a la consola web de Sophos Mobile Control y aparece en lapágina Dispositivos en ADMINISTRAR. Ahora ya puede aprovisionar y administrar eldispositivo.

Nota: en dispositivos iOS, si se ha configurado que Sophos Mobile Control sincronice elnombre del dispositivo con el dispositivo según se describe en Configurar opciones iOS enla página 22, el nombre introducido en el campo Nombre se sustituirá por el nombreestablecido durante la sincronización.

12.2 Duplicar un dispositivoPuede crear nuevos dispositivos en Sophos Mobile Control duplicando dispositivos existentes.

Nota: solo se pueden duplicar dispositivos que no se estén editando. El duplicado se nombra"Copy of" seguido por el nombre del dispositivo original. Puede renombrar los dispositivossegún sus requisitos.



2. Haga clic en el dispositivo que quiere duplicar.

Aparece la página Mostrar dispositivo.

3. Haga clic en Acciones y, a continuación, en Duplicar este dispositivo.

El dispositivo se duplica y se muestra en la página Dispositivos. Ahora puede editar eldispositivo duplicado según sea necesario. Para editar el dispositivo, haga clic en el triánguloazul junto al mismo y haga clic en Editar.

12.3 Importar dispositivosPuede añadir dispositivos nuevos importando un archivo de valores separados por coma(CSV) con codificación UTF-8 con hasta 500 dispositivos.

54



Consejo: en la página Importar dispositivos hay disponible para descargar un archivo deejemplo con los nombres y el orden de columnas correctos.

Para importar dispositivos desde un archivo CSV:


2. En la página Dispositivos, haga clic en Añadir > Importar dispositivos.

3. En la página Importar dispositivos, haga clic en Subir un archivo y busque el archivoCSV que ha preparado.



5. Haga clic en Finalizar para crear los dispositivos.

Los dispositivos listados en el archivo .csv se importan y se muestran en la páginaDispositivos. Ahora ya puede inscribir y configurar los dispositivos.

55


13 Trabajar con perfiles y políticas

Perfiles

Los perfiles son opciones de configuración que define y que a continuación transfiere a undispositivo o grupo de dispositivos.

Para transferir un perfil a uno o más dispositivos, Sophos Mobile Control crea una tarea paraejecutarla posteriormente a una hora especificada. Al actualizar un perfil, este debe transferirsede nuevo para que las configuraciones modificadas se hagan efectivas en el dispositivo.

Están disponibles los siguientes tipos de perfiles:

■ Perfil de dispositivo Android

■ Perfil de contenedor KNOX Android

■ Perfil de dispositivo iOS

■ Perfil de dispositivo iOS importado desde Apple Configurator

Políticas

Las políticas son opciones de configuración que define y que a continuación asigna a undispositivo o grupo de dispositivos. Solo se puede asignar una política de cada tipo a undispositivo.

Si asigna una política a un dispositivo se activa una sincronización y la configuración se haceefectiva inmediatamente. Las políticas asignadas se actualizan en el dispositivo cada vezque un dispositivo se conecta al servidor de Sophos Mobile Control. De modo que no esnecesario reaplicar explícitamente una política actualizada a los dispositivos.

Están disponibles los siguientes tipos de políticas:

■ Política de contenedor Android Sophos

■ Política de seguridad dispositivos móviles Android

■ Política de contenedor iOS Sophos

■ Política de Windows Mobile

■ Política de Windows Desktop

13.1 Crear perfiles y políticas AndroidPara Android se pueden crear:

■ Perfiles de dispositivo

■ Políticas de contenedor Sophos (requiere la licencia Advanced)

■ Políticas de Mobile Security (requiere la licencia Advanced)

56


■ Perfiles de contenedor KNOX (requiere licencia KNOX)

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Perfiles y, a continuación,en Android.

Aparece la página Perfiles y políticas.

2. Haga clic en Crear y seleccione Perfil de dispositivo, Política de contenedor de Sophos,Política de seguridad para dispositivos móviles o Perfil de contenedor KNOX.

Aparece la página Editar perfil o Editar política.

3. Introduzca un Nombre y una Versión para el nuevo perfil.


5. En Sistemas operativos, seleccione el sistema operativo al que debe aplicarse el perfil.



7. Seleccione la configuración que desea añadir y haga clic en Siguiente.

Aparece la página de opciones de configuración.

8. Especifique las opciones de configuración necesarias. Para una lista detallada de todaslas configuraciones y opciones disponibles, consulte Configuraciones de perfil de dispositivodisponibles en la página 57.

9. Haga clic en Aplicar para guardar los cambios.

La configuración se muestra en la página Editar perfil o Editar política enConfiguraciones.

10. Una vez especificadas todas las configuraciones necesarias, haga clic en Guardar.

El perfil está disponible para transferirse. Se muestra en la página Políticas y perfiles paraAndroid.

13.1.1 Configuraciones de perfil de dispositivo disponibles

Al crear o editar un perfil están disponibles los siguientes perfiles de Android en la páginaConfiguraciones disponibles. Algunas configuraciones solo se pueden añadir una vezdentro de un perfil, mientras que otras se pueden añadir varias veces.

Nota: los ajustes compatibles pueden depender de la versión del sistema operativo o deotras características del dispositivo. Si una configuración o una opción de configuración soloes compatible con dispositivos concretos, el alcance viene indicado por una etiqueta azul.

Políticas de contraseña

En esta configuración puede definir las reglas para las contraseñas de los dispositivos. Soloes posible añadir una configuración de Políticas de contraseña dentro de un perfil.

Al seleccionar la configuración Políticas de contraseña, se muestra la lista Tipo decontraseña. En esta lista, seleccione el tipo de contraseña que quiere definir:

57


DescripciónOpción/campo

Los usuarios deben establecer un bloqueo depantalla del tipo Patrón, PIN o Contraseña. Nose imponen restricciones adicionales.

Cualquiera

Los usuarios deben establecer un bloqueo depantalla del tipo Contraseña. Se permiten dígitos,

Alfabética

pero la contraseña debe tener al menos una letra.Puede definir una longitud mínima. Consulte latabla siguiente.

Los usuarios deben establecer un bloqueo depantalla del tipo PIN o Contraseña. Puede definiruna longitud mínima. Consulte la tabla siguiente.

PIN

Los usuarios deben establecer un bloqueo depantalla del tipo Contraseña. La contraseña debe

Alfanumérica

tener tanto letras como dígitos. Puede definir unalongitud mínima. Consulte la tabla siguiente.

Los usuarios deben establecer un bloqueo depantalla del tipo Contraseña. La contraseña debe

Compleja

tener tanto letras como dígitos. Puede definir unalongitud mínima y un número mínimo de dígitos,letras en mayúsculas y minúsculas y caracteresespeciales. Consulte las dos tablas siguientes.

Al seleccionar Alfabética, PIN, Alfanumérica o Compleja, se muestran los campos siguientes:


Especifica el número mínimo de caracteres quedebe contener la contraseña.

Longitud mínima de la contraseña

En este campo puede especificar en segundos eltiempo que puede estar sin usarse el dispositivo

Tiempo de espera antes de solicitud decontraseña

antes de bloquearlo. El dispositivo se puededesbloquear introduciendo la contraseña.

Obliga a los usuarios a cambiar la contraseña enel intervalo especificado. Rango de valores: 0 (sincambio de contraseña) a 730 días.

Antigüedad máxima de contraseña en días

En este campo puede especificar el númeromáximo de intentos fallidos para introducir la

Número máximo de intentos fallidos antes deborrar el dispositivo

contraseña correcta antes de que se borre eldispositivo.

58



En este campo puede especificar el número decontraseñas antiguas que se pueden recordar y

Longitud mínima de historial

comparar con nuevas contraseñas. Cuando elusuario define una contraseña, no se aceptará sicoincide con una contraseña que ya se ha usado.Rango de valores: 1 a 5 o ninguno.

Si selecciona Compleja, se muestran los siguientes campos adicionales:


Especifica el número mínimo de letras que debecontener la contraseña.

Número mínimo de letras

Especifica el número mínimo de minúsculas quedebe contener la contraseña.

Número mínimo de minúsculas

Especifica el número mínimo de mayúsculas quedebe contener la contraseña.

Número mínimo de mayúsculas

Especifica el número mínimo de caracteres noalfabéticos que debe contener la contraseña (p.ej. & o !).

Número mínimo de caracteres no alfabéticos

Especifica el número mínimo de números que debecontener la contraseña.

Número mínimo de números

Especifica el número mínimo de caracteresespeciales que debe contener la contraseña (p.ej. !"§$%&/()=,.-;:_@<>).

Número mínimo de caracteres especiales

Restricciones

En esta configuración puede definir las restricciones para los dispositivos. Solo es posibleañadir una configuración de Restricciones dentro de un perfil.


Seguridad

Se solicita a los usuarios que cifren sus dispositivos.Imponer cifrado

Al desactivar esta opción, se desactivan las opciones decifrado rápido de la configuración del dispositivo.

Permitir cifrado rápido

59



Al desactivar esta opción, los usuarios no puedenrestablecer los valores de fábrica en sus dispositivos.

Permitir restablecer valores de fábrica

Al desactivar esta opción, los usuarios no pueden activarla opción de depuración USB en la opción dedesarrollador de Android.

Permitir depuración USB

Al desactivar esta opción, los usuarios no pueden arrancarel dispositivo en modo seguro.

Permitir modo seguro

Al desactivar esta opción, se desactivan todas lasopciones de actualización del firmware (inalámbrica,descarga, etc.).

Permitir recuperación de firmware

Al desactivar esta opción, los usuarios no pueden crearcopias de seguridad del sistema. Se desactiva la copia

Permitir copia de seguridad

de seguridad de Google. Otros métodos de copia deseguridad (p. ej., copias de seguridad de Sophos MobileControl) permanecen activas.

Al desactivar esta opción, los usuarios no pueden cambiarla configuración en su dispositivo. En algunos dispositivosse elimina el icono de configuración.

Permitir cambios de configuración

Al desactivar esta opción, los usuarios no pueden copiarningún contenido al portapapeles.

Nota: esta opción se aplica a dispositivos con Android4.2.2 o superior.

Permitir portapapeles

Al desactivar esta opción, los usuarios no pueden realizarcapturas de pantalla.

Permitir captura de pantalla

Al desactivar esta opción, los usuarios no puedenseleccionar una app de localización ficticia en lasopciones de desarrollador de Android.

Permitir localizaciones GPS ficticias

Al desactivar esta opción, se desactivan lasactualizaciones de firmware mediante conexióninalámbrica.

Permitir actualizaciones de firmwaremediante conexión inalámbrica

Al desactivar esta opción, los usuarios no pueden realizargrabaciones de audio.

Permitir grabación de audio

Al desactivar esta opción, los usuarios no pueden realizargrabaciones de vídeo. La cámara del dispositivo sigueestando disponible para hacer fotos o retransmitir vídeo.

Permitir grabación de video

60



Al desactivar esta opción, se desactivan las opciones deBloqueo de activación del dispositivo.

Permitir bloqueo de activación

Al desactivar esta opción, se desactiva la app SamsungS Beam.

Permitir S Beam

Al desactivar esta opción, se desactiva la app SamsungS Voice.

Permitir S Voice

Al desactivar esta opción, se desactiva la funciónCompartir mediante lista que utilizan determinadas apps.

Permitir lista de recursos compartidos

Cuentas

Al desactivar esta opción, se desactiva el soportemultiusuario. Los usuarios u otras apps no pueden crearcuentas de usuario adicionales.

Permitir múltiples cuentas de usuario

Al desactivar esta opción, los usuarios no pueden añadircuentas de correo electrónico más allá de las cuentasconfiguradas por un perfil de Sophos Mobile Control.

Permitir añadir cuentas de correoelectrónico nuevas

Al desactivar esta opción, los usuarios no pueden eliminarla cuenta de Google del dispositivo.

Permitir eliminación de la cuenta deGoogle

Al desactivar esta opción, las cuentas de Google no sesincronizan automáticamente. Los usuarios pueden

Permitir autosincronización para cuentasGoogle

realizar la sincronización manual igualmente desdealgunas apps como Gmail.

Red y comunicación

Al desactivar esta opción, los usuarios no pueden activarel modo avión.

Permitir modo avión

Al desactivar esta opción, se desactiva la sincronizaciónen roaming.

Permitir sincronización en roaming

Al activar esta opción, solo se permiten las llamadas deemergencia. Todas las demás llamadas se bloquean.

Permitir solo llamadas de emergencia

Se desactiva la sincronización de datos automática. Estoafecta a todas las cuentas configuradas como las deGoogle o Exchange.

Forzar sincronización manual enroaming

Los usuarios no pueden desactivar los datos móviles.Forzar conexión de datos móviles

61



Al desactivar esta opción, los usuarios no pueden enviarmensajes de texto.

Permitir SMS

Al desactivar esta opción, se desactivan las conexionesde datos móviles en roaming.

Permitir la conexión de datos móvilesen roaming

Al desactivar esta opción, se desactivan las llamadas devoz en roaming.

Permitir llamadas de voz en roaming

Al desactivar esta opción, los usuarios no puedenestablecer un límite de datos móviles.

Permitir límite de datos móviles deusuario

Al desactivar esta opción, los usuarios no pueden usarconexiones VNP.

Permitir VPN

Al desactivar esta opción, se desactiva la transferenciade datos a través de Wi-Fi Direct.

Permitir Wi-Fi Direct

Al desactivar esta opción, se desactiva la transferenciade datos a través de Android Beam. Si se desactiva estaopción, también se desactiva la app Samsung S Beam.

Permitir Android Beam

Al desactivar esta opción, se desactiva la transferenciade datos a través de Miracast.

Permitir política de Miracast

Al desactivar esta opción, se desactiva el Bluetooth enel dispositivo.

Permitir Bluetooth

Al desactivar esta opción, se desactiva la tecnología NFC(comunicación de campo cercano) en el dispositivo.

Permitir NFC

Tethering

Al desactivar esta opción, se desactiva el tethering en eldispositivo. Esto incluye el tethering por Wi-Fi, USB y

Permitir tethering

Bluetooth. Al desactivar esta opción, las opcionesPermitir tethering Wi-Fi, Permitir tethering USB yPermitir tethering Bluetooth no tienen efecto.

Al desactivar esta opción, se desactiva el tethering Wi-Fien el dispositivo.

Permitir tethering Wi-Fi

Al desactivar esta opción, se desactiva el tethering USBen el dispositivo.

Permitir tethering USB

Al desactivar esta opción, se desactiva el tetheringBluetooth en el dispositivo.

Permitir tethering Bluetooth

62



Hardware

Al desactivar esta opción, se desactivan totalmente lascámaras del dispositivo.

Permitir cámara

Al activar esta opción, se utiliza la información de GPSpara la localización de dispositivos.

Forzar GPS para consultas de ubicación

Al desactivar esta opción, se impide el uso de tarjetasSD en los dispositivos.

Permitir tarjeta SD

Al desactivar esta opción, los usuarios no pueden moverapps del almacenamiento interno a la tarjeta SD.

Permitir opciones de mover a la tarjetaSD en la configuración del dispositivo

Al desactivar esta opción, se bloquean todas lasoperaciones de escritura posibles en tarjetas dealmacenamiento no cifrado.

Permitir escribir en la tarjeta SD

Al desactivar esta opción, se desactivan los micrófonosdel dispositivo.

Permitir micrófono

Al desactivar esta opción, se desactivan el modo dealmacenamiento masivo USB y el reproductor multimediaUSB del dispositivo.

Permitir USB

Al desactivar esta opción, se desactiva el protocolo detransferencia de medios (MTP).

Nota: puesto que Android utiliza el protocolo MTP parala transferencia de archivos por USB, al desactivar esta

Permitir reproductor multimedia USB

opción, no solo se desactiva el reproductor multimediaUSB, sino que también se bloquea cualquier transferenciade archivos por USB.

Aplicaciones

Al desactivar esta opción, se impide la instalación manualde apps.

Permitir instalación de apps

Al desactivar esta opción, los usuarios no puedendesinstalar apps.

Permitir desinstalación de apps

Al desactivar esta opción, solo se pueden instalar archivosAPK firmados.

Permitir instalación de apps sin firmar

Al desactivar esta opción, se desactiva Google Play Storeen el dispositivo.

Nota: esta opción se aplica a dispositivos con Android4.2.2 o superior.

Permitir Play Store

63



Al desactivar esta opción, solo se pueden instalar appsde Google Play Store.

Permitir apps de otras tiendas

Al desactivar esta opción, se desactivan los navegadoresnativos del dispositivo.

Permitir navegador nativo

Al desactivar esta opción, se desactivan los informes deerrores de aplicación.

Permitir informes de errores deaplicación

Al desactivar esta opción, los usuarios no pueden cambiarel fondo de pantalla del dispositivo.

Permitir cambiar fondo de pantalla

Al desactivar esta opción, las cámaras del dispositivo sedesactivan cuando se bloquea la pantalla.

Permitir cámara en pantalla de bloqueo

Al desactivar esta opción, los widgets del dispositivo sedesactivan cuando se bloquea la pantalla.

Permitir widgets en pantalla de bloqueo

Puede especificar Apps permitidas o Apps prohibidas.Seleccione la opción deseada en la primera lista y

Apps permitidas / Apps prohibidas

seleccione el grupo de apps que contiene las appspermitidas o prohibidas en la segunda lista.

Las instalaciones de apps iniciadas por el servidor deSophos Mobile Control no están restringidas por estaconfiguración.

Para información sobre cómo crear grupos de apps,consulte Trabajar con grupos de apps en la página 157.

Restricciones KNOX Premium

En esta configuración puede definir restricciones para un dispositivo Samsung KNOX. Estasaplican al dispositivo y no al contenedor.

DescripciónOpción

Al desactivar esta opción, el dispositivo buscaactualizaciones de firmware automáticamente. Los

Permitir opciones de actualización automáticadel firmware

usuarios no pueden desactivar esta opción en laconfiguración del dispositivo.

Al activar esta opción, el dispositivo cifra lapartición de datos al arrancar solo si el binario y

Permitir verificación ODE Trusted Boot

el kernel son versiones oficiales del fabricante deldispositivo, es decir, si el dispositivo no correpeligro. Al desactivar esta opción, el dispositivosiempre cifra la partición de datos al arrancar.

64


DescripciónOpción

Al activar esta opción, se impide la instalación deapps que requieran privilegios de administrador

Evitar instalación de otra app de administración

en el dispositivo. Esto no afecta a las appsinstaladas por Sophos Mobile Control.

Al activar esta opción, se impide la activación deprivilegios de administrador en el dispositivo paraapps.

Evitar activación de otra app de administración

Al activar esta opción, se activa el modo CommonCriteria (modo CC) en el dispositivo, lo que

Permitir modo Common Criteria

garantiza que el dispositivo cumple los requisitosde seguridad establecidos por el perfil deprotección fundamental de dispositivos móviles(MDFPP).

Nota: Para activar por completo el modo CC, debeasegurarse de que se cumplen estos requisitosadicionales:

El cifrado de dispositivos debe estar activado(y el cifrado rápido debe estar desactivado).

El cifrado de almacenamiento externo debeestar activado.

Debe haberse establecido un número máximode intentos de inicio de sesión fallidos antesde borrar el dispositivo.

La revocación de certificados debe estaractivada.

El historial de contraseñas debe estardesactivado.

Protección de apps

En esta configuración puede definir opciones para la protección de apps en los dispositivosde usuarios finales con contraseñas. Con la protección de apps activada, los usuarios debendefinir una contraseña al abrir una app protegida por primera vez. En Protección de appsse definen los requisitos de las contraseñas y las apps que se deben proteger.Tras un intentode inicio de sesión fallido se impone un retardo para el inicio de sesión.

Si la protección de apps está activada en un dispositivo de usuario final, aparece el comandoRestablecer contraseña de protección de apps en el menú Acciones en la página Mostrardispositivo. El usuario también puede restablecer la contraseña de protección de apps enel portal de autoservicio. Para más información, consulte la Ayuda de usuario de SophosMobile Control.

65





En este campo se definen los requisitos mínimosde complejidad de las contraseñas que deben

Complejidad de contraseña

establecer los usuarios, p. ej., Contraseña de 6caracteres.

En esta lista se selecciona un periodo de gracia.Una vez expirado el periodo de gracia, las apps

Periodo de gracia en minutos

protegidas solo se pueden desbloquearintroduciendo una contraseña.

Seleccione el grupo de apps que contiene las appsque deban estar protegidas por contraseña.

Para crear grupos de apps, consulte Trabajar congrupos de apps en la página 157.

Grupo de apps

Control de apps

En esta configuración se definen las apps que no permiten iniciarse en el dispositivo. Porejemplo, puede usar esta opción para bloquear las apps que ha preinstalado el fabricantedel dispositivo y que no se pueden desinstalar.


Seleccione el grupo de apps que contiene las appsbloqueadas.

Para información sobre cómo crear grupos deapps, consulte Trabajar con grupos de apps en lapágina 157.

Grupo de apps

Exchange ActiveSync

En esta configuración puede definir opciones de configuración de usuario para su servidorde Microsoft Exchange. Puede añadir múltiples configuraciones de Exchange ActiveSync.


Introduzca el nombre de la cuenta en este campo.Nombre de cuenta

Introduzca la dirección del servidor de MicrosoftExchange en este campo.

Nota: si utiliza el proxy SMC EAS, introduzca laURL del servidor proxy SMC.

Host de Exchange ActiveSync

66



Introduzca el dominio de la cuenta en este campo.Dominio

Introduzca el usuario de la cuenta en este campo.Puede utilizar la variable %_USERNAME_% y el

Usuario

servidor la sustituirá por el nombre actual del usuariosi el dispositivo al que se envía el perfil tiene unenlace LDAP.

Para dispositivos Sony con Enterprise API versión6.x o anterior, consulte la nota que sigue a estatabla.

Introduzca la dirección de correo electrónico de lacuenta en este campo. Puede utilizar la variable

Dirección de correo electrónico

%_EMAILADDRESS_% y el servidor la sustituirá porla dirección de correo electrónico actual si eldispositivo al que se envía el perfil tiene un enlaceLDAP.

Introduzca un nombre de remitente para la cuenta.Puede utilizar la variable %_EMAILADDRESS_% y el

Remitente

servidor la sustituirá por la dirección de correoelectrónico actual si el dispositivo al que se envíael perfil tiene un enlace LDAP.

Introduzca la contraseña de la cuenta en estecampo. Si deja este campo vacío, los usuariosdeben introducir la contraseña en sus dispositivos.

Contraseña

Seleccione en esta lista el intervalo de sincronizacióndel correo electrónico. Este es el número de días

Periodo de sincronización

durante los que se sincronizan los correoselectrónicos. Si se especifica aquí un periodo detiempo, no se sincronizan todos los correoselectrónicos en la bandeja de entrada del dispositivoadministrado, sino solo los correos electrónicos quese correspondan al periodo especificado. Puedeseleccionar los periodos de sincronizaciónsiguientes:

Un día

Tres días

Una semana

Dos semanas

Un mes

Seleccione en esta lista el intervalo entre losprocesos de sincronización de correo electrónico:

Intervalo de sincronización

Nunca

67



5 minutos

10 minutos

15 minutos

30 minutos

1 hora

Asegúrese de que esta opción está seleccionadapara enviar todas las comunicaciones a través deSSL.

SSL

La cuenta se usa como la cuenta de correoelectrónico predeterminada.

Cuenta predeterminada

Permitir todos los certificados en los procesos detransferencia del servidor de correo electrónico.

Permitir todos los certificados

Seleccione en esta lista el certificado de cliente parala conexión a ActiveSync.

Certificado de cliente

Permitir reenviar correos electrónicos.Permitir reenviar correos electrónicos

Permitir el uso de formato HTML en los correoselectrónicos.

Permitir usar formato HTML

Seleccione el tamaño máximo del correo electrónicoen la lista (1, 3, 5, 10, Ilimitado).

Tamaño máximo de adjuntos en MB

Seleccione el tipo de contenido que se debesincronizar.

Sincronizar tipos de contenido

Notas

Contactos

Calendario

Tareas

Nota:

En el caso de los dispositivos Sony con Enterprise API versión 6.x o anterior, es importanteque la información del usuario de la cuenta de Exchange ActiveSync coincida con el usuarioasignado al dispositivo.

En estos dispositivos, el cliente de SMC no puede enviar el ID de ActiveSync al servidor deSMC. Cuando un dispositivo se pone en contacto con el proxy EAS de SMC por primera vez,el ID de ActiveSync que envía el cliente de correo electrónico todavía es desconocido paraSophos Mobile Control Para verificar los datos de la cuenta en este caso, el proxy EAS deSMC busca un dispositivo con un ID de ActiveSync desconocido y un usuario asignado quecoincida con la información del usuario proporcionada por el cliente de correo electrónico. Sise encuentra dicho dispositivo, el ID de ActiveSync se asignará a ese dispositivo y la solicitud

68


de correo electrónico se pasará al servidor de Exchange. De lo contrario, se rechazará lasolicitud.

Para más información, consulte el artículo 121360 de la base de conocimiento de Sophos.

Wi-Fi

En esta configuración, se especifican las opciones de configuración para la conexión a redesinalámbricas. Puede añadir múltiples configuraciones de Wi-Fi.


Introduzca el ID de la red inalámbrica en estecampo.

SSID

En este campo se selecciona el tipo de seguridadde la red Wi-Fi:

Tipo de seguridad

Ninguno

WEP

WPA/WPA2

EAP/PEAP [SAFEv2+] [LG GATEv4.0+][SONYv5+]

EAP/TLS [SAFEv2+] [LG GATEv4.0+][SONYv5+]

EAP/TTLS [SAFEv2+] [LG GATEv4.0+][SONYv5+]

Si se selecciona WEP o WPA/WPA2, se mostraráel campo Contraseña. Introduzca la contraseñacorrespondiente.

Si se selecciona una de las opciones EAP, semostrarán los campos Identidad, Identidadanónima y Contraseña. Introduzca la informaciónEAP necesaria.

Si se selecciona EAP/PEAP o EAP/TTLS, tambiénse muestra el campo Autorización fase 2.Seleccione el tipo de autorización:

PAP

CHAP

MSCHAP

MSCHAPv2

VPN

En esta configuración puede definir las opciones VPN para las conexiones de red. Puedeañadir múltiples configuraciones de VPN.

69


https://www.sophos.com/es-es/support/knowledgebase/121360.aspx


Introduzca en este campo el nombre de la conexión mostrada en el dispositivo.Nombre de conexión

Introduzca en este campo el nombre del host o la dirección IP de su servidor.Servidor

Seleccione en esta lista el tipo de conexión:Tipo de conexión

L2TP/IPsec (PSK)

Si se selecciona este tipo, se mostrarán los campos Usuario, Contraseñay L2TP/IPsec (PSK). Introduzca el usuario y la contraseña. En el campoL2TP/IPsec (PSK), introduzca la clave previamente compartida para laautenticación.

L2TP/IPsec (certificado)

Si se selecciona este tipo, se mostrarán los campos Certificado de cliente,Certificado raíz, Usuario y Contraseña. Seleccione los certificadoscorrespondientes en los campos Certificado de cliente y Certificado raíz.Además, introduzca el Usuario y la Contraseña correspondiente.

Certificado raíz

En esta configuración puede cargar un certificado raíz para los dispositivos. Puede añadirmúltiples configuraciones de Certificado raíz. En el campo Archivo, busque el certificadocorrespondiente y haga clic en Subir un archivo. El nombre del certificado se muestra enel campo Nombre de certificado.

Nota: el certificado cargado aquí solo está disponible para este perfil. Si requiere certificadosen otros perfiles, debe cargarlos de nuevo.


En esta configuración puede cargar un certificado de cliente para los dispositivos. Puedeañadir múltiples configuraciones de Certificado de cliente. En el campo Archivo, busqueel certificado correspondiente y haga clic en Subir un archivo. El nombre del certificado semuestra en el campo Nombre de certificado. Introduzca la Contraseña para el certificadoseleccionado.


SCEP

Para la configuración SCEP, consulte Crear perfil de dispositivo SCEP Android en la página42.

70


Nombre de punto de acceso

Con la configuración Nombre de punto de acceso se especifica una configuración de nombrede punto de acceso (APN) para dispositivos móviles. Las configuraciones APN definen laforma en la que los dispositivos se conectan a la red del móvil.

Es posible añadir varias configuraciones de Nombre de punto de acceso a un perfil.

Con la excepción del campo APN, todos los demás ajustes son opcionales y solo se debenespecificar si lo requiere su operador de red móvil.

Importante: recomendamos que consulte con su operador los ajustes necesarios. Si seselecciona Usar como APN predeterminado y los ajustes no son los correctos, el dispositivono podrá acceder a datos a través de las redes móviles.


El APN que el dispositivo indica al abrir unaconexión con el operador.

Debe coincidir con un APN que acepte el operador.En caso contrario, la conexión no puedeestablecerse.

APN

Un nombre opcional que se muestra en eldispositivo además del APN.

Nombre descriptivo

La dirección y el puerto del servidor HTTP que seusa para el tráfico web.

Servidor y puerto proxy

Un nombre de usuario y contraseña para laconexión al APN.

Nombre de usuario y contraseña

El servidor de puerta de enlace WAP.Servidor

El centro de servicio de mensajería multimedia(MMSC).

MMSC

La dirección y el puerto del servidor HTTP que seusa para la comunicación con MMSC.

Puerto y servidor proxy MMS

MCC y MNC para especificar el operador.

El APN se utiliza solo para este operador.

Código de país de móvil (MCC), Código de redde móvil (MNC)

El método de autenticación para conexiones PPP.Tipo de autenticación

Los tipos de conexión de datos para los que seutiliza este APN.

Para usar el APN para todos los tipos de datos,introduzca * o deje el campo vacío.

Tipo de APN

71



La tecnología de acceso de radio (RAT) que eloperador usa.

Tipo de conexión

El protocolo de red admitido por el operador.Protocolo

El protocolo de red admitido por el operador enmodo de itinerancia.

Protocolo de itinerancia

Si se selecciona, los dispositivos usarán este APNcomo predeterminado.

Se producirá un error cuando se intenteseleccionar esta opción en más de unaconfiguración de Nombre de punto de acceso.

Usar como APN predeterminado

Modo Quiosco

Con la configuración Modo Quiosco se definen restriccciones para dispositivos para colocarlosen un modo quiosco.

Solo es posible añadir una configuración de Modo Quiosco a un perfil.

Haga clic en Seleccionar origen y, a continuación, seleccione una de las opciones siguientespara especificar una app que se iniciará cuando se transfiera el perfil al dispositivo:

■ Seleccione Personalizado e introduzca un identificador de app.

■ Seleccione Lista de apps y, a continuación, seleccione una app de la lista Identificadorde app. La lista contiene todas las apps que ha configurado en la página Apps. ConsulteAñadir app en la página 147.

■ Seleccione Ninguna para configurar el modo quiosco sin especificar ninguna app. Seaplican las restricciones del modo quiosco al dispositivo, pero no se inicia ninguna app.

En Opciones, anule la selección de las funciones de harware y software que desea desactivaren el modo quiosco.

Cuando el perfil se transfiere a un dispositivo, se inicia la app que ha especificado. Sinembargo, si no se ha anulado la selección de las funciones de hardware y software disponibles,el usuario podrá salir de la app y usar el dispositivo de forma normal. Para colocar el dispositivoen un modo quiosco verdadero, debe anular la selección de por lo menos Permitir botónInicio y Permitir administrador de tareas.

Nota:

■ La app especificada debe estar instalada en el dispositivo. En caso contrario, las tareasde transferencia se quedarán en el estado Incompleto hasta que se instale la app. Parainstalar la app, cree un paquete de tareas que contenga, p. ej., una tarea Instalar app ytransfiéralo a sus dispositivos.

■ Si desea especificar una app para dispositivos Samsung SAFE, asegúrese de que seauna app launcher. Este tipo de app ofrece un escritorio alternativo para Android.

72


13.1.2 Configuraciones de política de contenedor Sophos disponibles

Estas políticas se refieren a las apps de contenedor Sophos Secure Workspace y SophosSecure Email.

General

Las opciones en la configuración del tipo General aplican a todas las apps de contenedor siprocede.


Los usuarios deben introducir una contraseña adicional parapoder iniciar una app de contenedor de Sophos. La contraseña

Activar contraseña de app

debe definirse cuando se inicia la primera app de contenedor unavez aplicada la configuración. Esta contraseña aplica a todas lasapps de contenedor.

En este campo se puede definir la complejidad mínima requeridapara la contraseña del contenedor de Sophos. En cualquier caso


se permitirán siempre contraseñas más seguras. Las contraseñas(una combinación de caracteres numéricos y alfanuméricos) seconsideran siempre más seguras que un PIN (solo caracteresnuméricos).

Puede seleccionar las opciones siguientes:

Cualquiera: Las contraseñas del contenedor de Sophos notienen restricciones.

PIN de 4 dígitos

PIN de 6 dígitos

Contraseña de 4 caracteres




En este campo se define el número de días que se puede usaruna contraseña antes de que los usuarios deban cambiarla.

Antigüedad de contraseña endías

En este campo se define el número de intentos de inicio de sesiónfallidos antes que las apps de contenedor se bloqueen. Una vez

Inicios de sesión fallidos hastabloqueo

bloqueadas es necesario que un administrador desbloquee lasapps o, si está permitido, que los usuarios lo hagan a través delportal de autoservicio.

Seleccione esta opción para que los usuarios puedan desbloquearla aplicación con su huella digital.

Permitir huella digital

73



En este campo se define el periodo de tiempo durante el cual noes necesario introducir ninguna contraseña del contenedor de


Sophos si una app de contenedor vuelve a primer plano. Si eldispositivo se ha bloqueado y desbloqueado, los usuarios debenintroducir siempre la contraseña del contenedor de Sophos,incluso dentro del periodo de gracia.

El periodo de gracia aplica a todas las apps de contenedor.Durante el periodo de gracia se puede cambiar entre las appssin introducir una contraseña.

Es posible seleccionar entre 1, 2, 5, 10, 15 minutos.

En este campo se define el tiempo que los usuarios pueden usaruna app de contenedor de Sophos sin una conexión al servidorde Sophos Mobile Control.

Cuando se activa la app de contenedor de Sophos sin tenercontacto con el servidor dentro del periodo de tiempo definido,

Última conexión al servidor

se mostrará una pantalla de bloqueo. Los usuarios puededesbloquear la app pulsando Reintentar en la pantalla debloqueo. Entonces, la app intentará conectarse al servidor. Si laconexión se puede establecer, la app se desbloquea. En casocontrario, se deniega el acceso.

Puede definir las opciones siguientes:

En acceso La conexión al servidor se requiere siempre y laapp se bloquea cuando no se puede alcanzar el servidor.

1 hora: La conexión al servidor se requiere cuando la app seactiva una hora o más tras la última conexión realizadacorrectamente con el servidor.

3 horas

6 horas

12 horas

1 día

3 días

1 semana

ninguna: No se requiere un contacto regular.

En este campo se define cuántas veces los usuarios puedenejecutar las apps de contenedor de Sophos sin una conexión conel servidor.

Nota: esta opción requiere que la función de contraseña delcontenedor de Sophos esté activada.

Arranques offline sin conexiónal servidor

Cada vez que el usuario introduzca la contraseña del contenedorde Sophos se incrementa un contador. Si el contador supera unnúmero definido, se mostrará la misma pantalla de bloqueo quepara la opción Última conexión al servidor. El contador serestablece en cuanto se produce una conexión al servidor deSophos Mobile Control.

Ilimitado No se requiere ninguna conexión.

74



0: No es posible ejecutar la app sin que haya una conexiónal servidor.

1: Una vez ejecutada la aplicación una vez se requiere unaconexión al servidor.

3

5

10

20

Se permite ejecutar apps de contenedor en dispositivos conacceso a raíz.

Acceso a raíz permitido

Restricciones de uso de apps

Aquí se pueden definir limitaciones de uso para las apps de contenedor Sophos. Haga clic en Añadirpara introducir restricciones.

Permite añadir coordenadas de latitud y longitud y un radio dentrodel que las apps de contenedor de Sophos se pueden usar.

Barrera geográfica

Permite añadir una hora de inicio y una hora final dentro de lascuales las apps de contenedor de Sophos se pueden usar.

Barrera de tiempo

También se pueden definir los días de la semana en los que sepueden usar las apps.

Permite definir las redes Wi-Fi a las que los dispositivos debenestar conectados para poder usar las apps de contenedor deSophos.

El dispositivo debe estar conectado a una de las redesenumeradas. Poder ver una red en particular en la lista de redesdisponibles no es suficiente.

Importante: recomendamos que no utilice una barrera Wi-Ficomo único mecanismo de seguridad porque los nombres deWi-Fi pueden falsificarse muy fácilmente.

Barrera Wi-Fi

Correo electrónico corporativo


Introduzca la información de la dirección del servidor de ExchangeActiveSync de su empresa (por ejemplocorreo.suempresa.com).


75



Introduzca el usuario de la cuenta en este campo. Puede utilizarla variable %_USERNAME_% y el servidor la sustituirá por el nombre

Usuario

actual del usuario si el dispositivo al que está asignado el perfiltiene un enlace LDAP.

Introduzca la dirección de correo electrónico de la cuenta en estecampo. Puede utilizar la variable %_EMAILADDRESS_% y el


servidor la sustituirá por la dirección de correo electrónico actualsi el dispositivo al que está asignado el perfil tiene un enlaceLDAP.

El nombre de dominio de su servidor de Exchange.Dominio

Defina la dirección de correo electrónico que se usará como ladirección de correo electrónico de "contacto de soporte".

Correo electrónico de contactode soporte

Esta opción controla la visualización de notificaciones de correoelectrónico y recordatorios en la app Sophos Secure Email.

Al seleccionar la opción:

Mostrar configuración denotificaciones

El usuario puede activar o desactivar las notificaciones decorreo electrónico.

Los recordatorios están activados.

Cuando la opción no está seleccionada:

Las notificaciones de correo electrónico y los recordatoriosestán desactivados.

Nota: si piensa que la visualización de las notificaciones en undispositivo robado o extraviado es un riesgo de seguridad,seguramente desee desactivar las notificaciones.

Si selecciona esta opción se mostrará un botón Guardar y unbotón Ver debajo del adjunto. Guardar pasa el adjunto a Sophos

Adjuntos abiertos

Secure Workspace, Ver abre el archivo en Sophos Secure Email.Si Sophos Secure Email no puede abrir el archivo, los usuariospueden seleccionar a dónde pasar el archivo.

Si no se selecciona esta opción, los adjuntos no se pueden abrirni pasar a otras apps.

El botón Añadir permite ampliar la configuración de CorporateEmail con las opciones que pueda requerir una futura versióndel cliente Corporate Email.

Configure estas opciones solo si se lo indica el equipo de soportede Sophos.

Añadir

76


Documentos corporativos

ConfiguraciónConfigurar proveedores dealmacenamiento

Puede definir para cada proveedor de almacenamiento lassiguientes opciones por separado:

Activar Si se selecciona, el proveedor de almacenamientoestá visible en la app.

Almacenamiento local

Permite a los usuarios almacenararchivos en Sophos Secure Workspacey subir archivos desde elalmacenamiento local alalmacenamiento en la nube. Offline Si se selecciona, se le permite a los usuarios añadir

archivos desde el proveedor de almacenamiento a la listade Favoritos de apps para lectura offline.Dropbox

Google Drive Abrir en (cifrado) Si se activa, los usuarios puedenenviar/transferir archivos cifrados a otras apps medianteAbrir en.

Abrir en (normal) Si se activa, los usuarios puedenenviar/transferir archivos no cifrados a otras apps medianteAbrir en.

MagentaCLOUD

OneDrive

Box

Egnyte

Portapapeles Si se activa, el portapapeles está activado enla vista de documentos de las apps para permitir a los

WebDAV 1

WebDAV 2 usuarios copiar partes de un documento y pegarlos en otrasapps.WebDAV 3

Los proveedores WebDAV son referidos como proveedores de empresas. Para estos puede definircentralmente credenciales de servidor y usuario. Estas no pueden ser cambiadas por los usuarios.

Las opciones de configuración de credenciales que no defina centralmente pueden ser seleccionadaspor los usuarios en las pantallas de credenciales de proveedores de apps.

P. ej., puede definir centralmente el servidor y la cuenta de usuario que debe usarse, pero puededejar el campo de contraseña sin definir. Entonces los usuarios deben conocer la contraseña paraacceder al proveedor de almacenamiento.

En este campo introduzca:Servidor

La URL de la carpeta raíz en el servidor WebDAV deDocumentos corporativos.

La URL de la carpeta raíz en el servidor WebDAV.

Utilice el formato siguiente:https://server.company.com

Solo es compatible el protocolo https.

Introduzca en este campo el nombre de usuario para elservidor correspondiente.También se puede usar la variable%_USERNAME_%.

Nombre de usuario

Introduzca en este campo la contraseña para la cuentacorrespondiente.

Contraseña

77


ConfiguraciónConfigurar proveedores dealmacenamiento

Introduzca en este campo la carpeta de carga para la cuentacorrespondiente.

Carpeta de carga

Activa la función Documentos para distribuir de forma seguradocumentos de la empresa.

Activar documentos

En este campo se puede definir la complejidad mínimarequerida para las frases de acceso de las claves de cifrado.

Complejidad de frase de contraseña

En cualquier caso se permitirán siempre frases de contraseñamás seguras.






Navegador corporativo

El Navegador corporativo permite acceder de forma segura a las páginas de la intranet dela empresa u otras páginas permitidas. Se puede definir un conjunto de Marcadorescorporativos, por ejemplo, dominios a los que se permite acceder desde el Navegadorcorporativo.

En la configuración de Navegador corporativo haga clic en Añadir dominio o Añadirmarcador.

descripciónOpción/campo

Añadir dominio

En este campo, seleccione el dominio que deseapermitir.

URL

Los usuarios pueden copiar y pegar texto desdeel Navegador corporativo a otras apps.

Permitir copiar y pegar

Los usuarios puede descargar adjuntos y pasarlosa otras apps.

Permitir abrir con

Los usuarios pueden guardar sus contraseñas enel Navegador corporativo.

Permitir guardar contraseña

Añadir marcador

78


descripciónOpción/campo

Nota: el marcador se añadirá al dominio especificado en la URL. Los dominios se crearánautomáticamente, si no existen.

Introduzca en este campo el nombre del marcador.Nombre

Introduzca en este campo la URL del marcador.URL




Certificado raíz



SCEP

Las configuraciones SCEP en una política de contenedor Sophos se crean de la misma formaque para los perfiles de dispositivo. Consulte Crear perfil de dispositivo SCEP Android en lapágina 42.

13.1.3 Configuraciones de política de seguridad para dispositivos móvilesdisponibles

Nota: las opciones de configuración disponibles pueden depender de las API específicasde los clientes y la versión de Android utilizada en cada uno de los dispositivos. Dependiendodel dispositivo del usuario final, es posible que algunas opciones de configuración no tenganefecto. En la configuración individual, la consola web muestra fichas para indicar si una opciónes compatible a partir de una versión determinada de Android o solo para dispositivosdeterminados (p. ej., con el plugin Samsung Safe - SAFEv2+).

Antivirus

Consulte Configurar opciones de antivirus para Sophos Mobile Security en la página 183.

79


Filtrado web

Consulte Configurar opciones de filtrado web para Sophos Mobile Security en la página 185.

13.1.4 Configuraciones de perfil de contenedor KNOX disponibles

Nota: las opciones de configuración disponibles pueden depender de las API específicasde los clientes y la versión de Android utilizada en cada uno de los dispositivos. Dependiendodel dispositivo del usuario final, es posible que algunas opciones de configuración no tenganefecto. En la configuración individual, la consola web muestra fichas para indicar si una opciónes compatible a partir de una versión determinada de Android o solo para dispositivosdeterminados (p. ej., con el plugin Samsung Safe - SAFEv2+).



Al seleccionar la configuración Políticas de contraseña, se muestra la lista Tipo decontraseña. En esta lista, seleccione el tipo de contraseña que quiere definir:

■ Cualquiera

Los usuarios deben definir una contraseña en sus dispositivos. No aplican ningún requisitoni restricciones a la contraseña.

■ Alfabética

■ PIN

■ Alfanumérica

■ Compleja

Al seleccionar Alfabética, PIN o Alfanumérica, se muestran los campos siguientes:




En este campo puede especificar en segundos eltiempo que puede estar sin usarse el dispositivo

Tiempo de espera antes de solicitud decontraseña


Obliga a los usuarios a cambiar su contraseña enel intervalo especificado (en días).





80




Longitud mínima de historial

comparar con nuevas contraseñas. Cuando elusuario define una contraseña, no se aceptará sicoincide con una contraseña que ya se ha usado.Rango de valores: 1 a 5 o ninguno.

Si selecciona la opción Compleja, se muestran los campos siguientes además de los camposmostrados para otros tipos de contraseña:


Especifica el número mínimo de letras que debecontener la contraseña.

Número mínimo de letras

Especifica el número mínimo de minúsculas quedebe contener la contraseña.

Número mínimo de minúsculas

Especifica el número mínimo de mayúsculas quedebe contener la contraseña.

Número mínimo de mayúsculas

Especifica el número mínimo de caracteres noalfabéticos que debe contener la contraseña (p.ej. & o !).

Número mínimo de caracteres no alfabéticos

Especifica el número mínimo de números que debecontener la contraseña.

Número mínimo de números

Especifica el número mínimo de caracteresespeciales que debe contener la contraseña (p.ej. !"§$%&/()=,.-;:_@<>).

Número mínimo de caracteres especiales

Restricciones

En esta configuración puede definir restricciones para el contenedor KNOX. Solo es posibleañadir una configuración de Restricciones dentro de un perfil.


Al desactivar esta opción, los usuarios nopueden realizar capturas de pantalla.


Al desactivar esta opción, se desactivantotalmente las cámaras del dispositivo.

Permitir cámara

81



Esto incluyen la cámara de fotos, cámarade vídeo y videotelefonía.

Al desactivar esta opción, los usuarios nopueden copiar ningún contenido alportapapeles.

Permitir portapapeles

Al desactivar esta opción, se desactiva lafunción Compartir mediante lista queutilizan determinadas apps.

Permitir lista de recursos compartidos

Al desactivar esta opción, se desactivanlos micrófonos del dispositivo.

Permitir micrófono

Los usuarios deben utilizar el tecladoseguro.

Imponer el uso de teclado seguro

Al desactivar esta opción, los usuarios nopueden añadir cuentas de correo

Permitir añadir cuentas de correo electrónico nuevas

electrónico más allá de las cuentasconfiguradas por un perfil de SophosMobile Control.

Puede especificar Apps permitidas oApps prohibidas. Seleccione la opción


deseada en la primera lista y seleccioneel grupo de apps que contiene las appspermitidas o prohibidas en la segundalista.

Las instalaciones de apps iniciadas por elservidor de Sophos Mobile Control noestán restringidas por esta configuración.

Para información sobre cómo crear gruposde apps, consulte Trabajar con grupos deapps en la página 157.

Exchange ActiveSync




82




Nota: si utiliza el proxy SMC EAS, introduzca laURL del proxy/servidor SMC.




Usuario

servidor la sustituirá por el nombre actual del usuariosi el dispositivo al que se envía el perfil tiene unenlace LDAP.




Introduzca un nombre de remitente para la cuenta.Puede utilizar la variable %_EMAILADDRESS_% y el

Remitente

servidor la sustituirá por la dirección de correoelectrónico actual si el dispositivo al que se envíael perfil tiene un enlace LDAP.

Introduzca la contraseña de la cuenta en estecampo.

Contraseña

En esta lista, seleccione el período de sincronizacióndel correo electrónico. Solo se sincronizarán en la


bandeja de entrada del dispositivo móvil los correospertenecientes a ese período. Por ejemplo, siselecciona Una semana, se sincronizan los correoselectrónicos recibidos hace una semana o menos.Puede seleccionar los periodos de sincronizaciónsiguientes:

Un día

Tres días

Una semana

Dos semanas

Un mes

En esta lista, seleccione el intervalo entre losprocesos de sincronización de correo electrónico:


Nunca

83



5 minutos

10 minutos

15 minutos

30 minutos

1 hora


SSL

La cuenta se usa como la cuenta de correoelectrónico predeterminada.

Cuenta predeterminada

Permitir todos los certificados en los procesos detransferencia del servidor de correo electrónico.

Permitir todos los certificados

Permitir reenviar correos electrónicos.Permitir reenviar correos electrónicos

Permitir el uso de formato HTML en los correoselectrónicos.

Permitir usar formato HTML

Seleccione el tamaño máximo del correo electrónicoen la lista (1, 3, 5, 10, Ilimitado).

Tamaño máximo de adjuntos en MB

Seleccione el tipo de contenido que se debesincronizar.


Notas

Contactos

Calendario

Tareas

13.2 Soporte Samsung KNOXPuede administrar sus dispositivos Samsung KNOX con la consola web de Sophos MobileControl.

Nota: para poder administrar sus dispositivos Samsung KNOX, es necesario haber introducidoantes una Clave de licencia KNOX Advanced de Samsung en la Configuración del sistemade Sophos Mobile Control.

En Perfiles puede crear un perfil que contenga la configuración para el contenedor KNOX.Están disponibles las siguientes configuraciones:

■ Políticas de contraseña

■ Restricciones

84


■ Host de Exchange ActiveSync

Para crear un perfil para un dispositivo KNOX, consulte Crear perfiles y políticas Android enla página 56.

Puede subir o enlazar a apps e instalarlas en un contenedor KNOX. Consulte Añadir app enla página 147.

Para administrar sus dispositivos KNOX puede crear paquetes de tareas para las siguientesacciones:

■ Contenedor KNOX: bloquear

■ Contenedor KNOX: desbloquear

■ Contenedor KNOX: restablecer contraseña

■ Contenedor KNOX: quitar todos los ajustes

Para crear un paquete de tareas para un dispositivo KNOX, consulte Crear paquetes detareas en la página 139.

13.3 Crear perfiles y políticas iOSPara iOS se pueden crear:

■ Perfiles de dispositivo

■ Políticas de contenedor de Sophos

Además, Sophos Mobile Control ofrece la posibilidad de importar a la consola web perfilescreados con Apple Configurator.

13.3.1 Crear perfiles y políticas iOS

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Perfiles y, a continuación,en Apple iOS.


2. Haga clic en Crear y seleccione Perfil de dispositivo o Política de contenedor deSophos.

Aparece la página Editar perfil o Editar política.

3. Introduzca un Nombre, su Organización (el campo contiene el nombre de cliente) y unaDescripción. La información de Versión es opcional.

4. En el campo Usuario puede eliminar perfil, puede seleccionar si los usuarios puedeneliminar el perfil de su dispositivo.

■ Siempre■ Con autenticación

Al seleccionar esta opción, el campo Contraseña de autenticación se muestra pordebajo del campo Usuario puede eliminar perfil. Introduzca la contraseña paraeliminar el perfil. Para permitir a los usuarios eliminar el perfil, debe proporcionarles lacontraseña.

■ Nunca

85


5. En el campo Eliminar automáticamente el puede introducir una fecha en la que seeliminará automáticamente el perfil de los dispositivos de los usuarios finales. El perfil seeliminará en la fecha ajustada a las 23:00 horas.


Nota: el campo Sistemas operativos muestra todas las versiones iOS disponibles enel sistema. No todas las opciones de configuración son compatibles con versiones iOSindividuales. Si selecciona todas las versiones en Sistemas operativos, algunas opcionespueden quedar sin efecto en función de la versión iOS del dispositivo del usuario final.





9. Especifique las opciones de configuración necesarias. Para una lista detallada de todaslas configuraciones y opciones disponibles, consulte Configuraciones de perfil iOSdisponibles en la página 86.


La configuración se muestra en la página Editar perfil en Configuraciones.

11. Añada otras configuraciones según sea necesario.


El perfil está disponible para transferirse. Se muestra en la página Políticas y perfiles paraApple iOS.

13.3.1.1 Configuraciones de perfil iOS disponiblesAl crear o editar un perfil están disponibles los siguientes perfiles de iOS en la páginaConfiguraciones disponibles. Algunas configuraciones solo se pueden añadir una vezdentro de un perfil, mientras que otras se pueden añadir varias veces.





Los usuarios pueden usar caracteres secuencialeso repetidos en su contraseña, p. ej., 1111 oabcde.

Permitir valor sencillo

Las contraseñas deben contener al menos unaletra o número.

Requerir valor alfanumérico

86





Especifica el número mínimo de caracteres noalfanuméricos que debe contener la contraseña(p. ej. & o !).

Número mínimo de caracteres complejos



En este campo puede especificar el valor máximoque el usuario puede configurar en el dispositivo.

Autobloqueo máximo (en minutos)

Autobloqueo especifica en minutos el tiempo quepuede estar sin usarse el dispositivo antes debloquearlo.


Historial de contraseña

comparar con nuevas contraseñas. Cuando elusuario defina una nueva contraseña, no seaceptará si coincide con una contraseña que yase ha usado. Rango de valores: 1 a 50 o 0 (sinhistorial de contraseñas).

En este campo puede especificar el valor máximoque el usuario puede configurar en el dispositivo.

Periodo de gracia máximo para bloqueo dedispositivo

El periodo de gracia para el bloqueo de dispositivoespecifica el intervalo durante el cual se puededesbloquear el dispositivo sin que se solicite lacontraseña. Si selecciona Ninguno, el usuariopuede seleccionar cualquiera de los intervalosdisponibles. Si selecciona Inmediato, los usuariosdeben introducir una contraseña cada vez quequiera desbloquear su dispositivo.



contraseña correcta antes de que se borre eldispositivo. Tras seis intentos fallidos se imponeun periodo de espera antes de que se puedaintroducir la contraseña de nuevo. El periodo deespera aumentará cada vez que tenga lugar unintento fallido. Tras el último intento fallido, todoslos datos y la configuración se eliminan de formasegura del dispositivo. El periodo de esperacomienza tras el sexto intento. De modo que sise ajusta este valor en 6 o menos, no se imponeningún periodo de espera y el dispositivo se borracuando se supera el límite de intentos.

87


Restricciones

En esta configuración puede definir las restricciones para los dispositivos. Solo es posibleañadir una configuración de Restricciones dentro de un perfil.


Dispositivo

Al desactivar esta opción, se desactiva la App Store y suicono se elimina de la pantalla de inicio. Los usuarios no

Permitir instalación de apps

pueden instalar ni actualizar apps desde App Store,iTunes o Apple Configurator.

Al desactivar esta opción, se desactiva la App Store y suicono se elimina de la pantalla de inicio. Sin embargo,

Permitir instalación de apps desde IU dedispositivos

los usuarios pueden seguir instalando o actualizandoapps desde iTunes o Apple Configurator.

Al desactivar esta opción, se desactivan completamentelas cámaras del dispositivo y el icono de cámara se

Permitir usar cámara

elimina de la pantalla de inicio. Los usuarios no puedenhacer fotografías, grabar vídeos ni usar FaceTime.

Al desactivar esta opción, los usuarios no pueden realizarni recibir vídeollamadas con FaceTime.

Permitir FaceTime

Al desactivar esta opción, los usuarios no pueden realizarcapturas de pantalla.


Al desactivar esta opción, los dispositivos en roamingsolo se sincronizarán cuando el usuario accede a unacuenta.

Permitir sincronización automática enroaming

Al desactivar esta opción, los usuarios no pueden usarSiri, comandos de voz ni la función de dictado.

Permitir Siri

Al desactivar esta opción, los usuarios deben desbloquearsus dispositivos introduciendo su contraseña antes deusar Siri.

Permitir Siri con el dispositivo bloqueado

Al desactivar esta opción, Siri no solicita contenido de laweb.

Permitir a Siri solicitar contenido de laweb

Al desactivar esta opción, no se impone el filtro delenguaje explícito en el dispositivo.

Imponer filtro de lenguaje explícito enSiri

Al desactivar esta opción, los usuarios no pueden marcarcon comandos de voz.

Permitir marcación por voz

88



Al desactivar esta opción, el dispositivo no muestranotificaciones de Passbook al estar bloqueado.

Permitir Passbook con el dispositivobloqueado

Al desactivar esta opción, los usuarios no pueden realizarcompras ofrecidas dentro de las apps.

Permitir compras en apps

Los usuarios deben introducir la contraseña de su ID deApple para cualquier compra. Al desactivar esta opción,

Obligar al usuario a introducir lacontraseña de la tienda para todas lascompras existe un breve periodo de gracia durante el cual los

usuarios pueden realizar compras posteriores sin tenerque volver a introducir su contraseña.

Al desactivar esta opción, los usuarios no pueden jugarjuegos multijugador en el Game Center.

Permitir multijugador

Al desactivar esta opción, no se puede usar Game Centeren el dispositivo.

Permitir Game Center

Al desactivar esta opción, los usuarios no pueden añadiramigos al Game Center.

Permitir añadir amigos a Game Center

Al desactivar esta opción, se desactiva la opción de poderrealizar cambios en la app Buscar a mis Amigos.

Permitir modificar Buscar a mis Amigos

Al desactivar esta opción, se desactiva el emparejamientode hosts exceptuando el host de supervisión. Si no se ha

Permitir emparejamiento de host

configurado ningún certificado de host de supervisiónquedan desactivados todos los emparejamientos.

Al desactivar esta opción, los usuarios no puedenemparejar el dispositivo con un Apple Watch. CualquierApple Watch emparejado actualmente se desempareja.

Permitir emparejamiento con AppleWatch

Al desactivar esta opción, no se permite compartircontenidos mediante AirDrop en el dispositivo.

Permitir AirDrop

Al desactivar esta opción, las opciones de configuraciónno se pueden administrar con el centro de control cuandola pantalla del dispositivo está bloqueada.

Permitir centro de control en pantalla debloqueo

Al desactivar esta opción, el centro de notificación noestá disponible cuando la pantalla del dispositivo estábloqueada.

Permitir centro de mensajes en pantallade bloqueo

Al desactivar esta opción, la vista de hoy no estádisponible cuando la pantalla del dispositivo estábloqueada.

Permitir vista de hoy en pantalla debloqueo

89



Al desactivar esta opción, la app de noticias no estádisponible.

Permitir noticias

Al desactivar esta opción, las actualizaciones de PKImediante conexiones inalámbricas quedan desactivadas.

Permitir actualizaciones de PKI medianteconexiones inalámbricas

Al desactivar esta opción, los usuarios no pueden comprarlibros en iBook.

Permitir iBooks Store

Al desactivar esta opción, no está disponible contenidosexual explícito a través de iBook Store.

Permitir contenido sexual explícito eniBooks Store

Al desactivar esta opción, los usuarios no pueden instalararchivos de configuración.

Permitir a usuarios instalar archivos deconfiguración

Al desactivar esta opción, los usuarios no pueden usariMessage para textos.

Permitir iMessage

Al desactivar esta opción, los usuarios no pueden eliminarapps del dispositivo.

Permitir eliminar app

Al desactivar esta opción, se desactiva la opción Eliminartodo el contenido y configuración en la interfaz derestablecimiento.

Permitir eliminar todo el contenido yconfiguración

Al desactivar esta opción, Spotlight no devuelveresultados de búsqueda de Internet.

Permitir resultados de búsqueda enInternet para Spotlight

Al desactivar esta opción, se desactiva la opción Permitirrestricciones en la interfaz de restablecimiento.

Permitir activar opción de restricciones

Al desactivar esta opción, los usuarios no pueden utilizarla función Handoff de Continuidad de Apple. Con Handoff,

Permitir Handoff

los usuarios pueden empezar a trabajar en un documento,correo electrónico o mensaje en un dispositivo y continuardesde otro.

Al desactivar esta opción, los usuarios no pueden cambiarel nombre del dispositivo.

Permitir modificación de nombres dedispositivos

Al desactivar esta opción, los usuarios no pueden cambiarel fondo de pantalla.

Permitir modificación de fondo depantalla

Al desactivar esta opción, los usuarios no pueden usaraccesos directos de teclado.

Permitir accesos directos de teclado

Al desactivar esta opción, se desactiva la descargaautomática de apps adquiridas en otros dispositivos. Estono afecta a las actualizaciones de las apps existentes.

Permitir descarga de apps automática

90



Al desactivar esta opción, los usuarios no pueden accedera la biblioteca de Apple Music.

Permitir Apple Music

Al desactivar esta opción, los usuarios no pueden accedera Apple Music Radio.

Permitir Apple Music Radio

Datos corporativos

Con esta configuración puede definir una restricción paraabrir documentos con apps/cuentas (p. ej., una cuenta

Permitir compartir documentos solo conapps/cuentas administradas

de correo electrónico de empresa) administradas porSophos Mobile Control. Por ejemplo: Si esta opción estáseleccionada, y los usuarios tienen una cuenta de correoelectrónico administrada por Sophos Mobile Control yapps administradas por Sophos Mobile Control en susdispositivos, los adjuntos de la cuenta de correoelectrónico administrada solo pueden abrirse con appsadministradas. De esta forma se puede evitar quedocumentos corporativos puedan abrirse en apps noadministradas.

Con esta configuración puede definir una restricción paraabrir documentos con apps/cuentas (p. ej., una cuenta

Permitir compartir documentos solo conapps/cuentas no administradas

de correo electrónico privada) no administradas porSophos Mobile Control. Por ejemplo: Si esta opción estáseleccionada, y los usuarios tienen una cuenta de correoelectrónico y apps no administradas por Sophos MobileControl en sus dispositivos, los adjuntos de la cuenta decorreo electrónico no administrada solo pueden abrirsecon apps no administradas. De esta forma se puede evitarque documentos privados puedan abrirse en appsadministradas.

Al desactivar esta opción, AirDrop se considera un destinode colocación no administrado.

Forzar uso de documentos de AirDropcomo documentos no administrados

Al desactivar esta opción, las apps administradas nopueden utilizar la sincronización de iCloud.

Permitir a las apps administradassincronizarse con iCloud

Al desactivar esta opción, no se realizan copias deseguridad de los libros de empresa.

Permitir copia de seguridad para librosde empresa

Al desactivar esta opción, no se sincronizan las notas nilos subrayados de los libros de empresa.

Permitir sincronización de notas ysubrayados de libros de empresa

Aplicaciones

Al desactivar esta opción, se desactiva la iTunes Storey su icono se elimina de la pantalla de inicio. Los usuariosno pueden previsualizar, comprar ni descargar contenido.

Permitir usar iTunes Store

91



Al desactivar esta opción, se desactiva el navegador webSafari y su icono se elimina de la pantalla de inicio. Esto

Permitir el uso de Safari

también impide que los usuarios puedan abrir videoclipsen la web.

Al desactivar esta opción, Safari no autocompletaformularios web con información introducidaanteriormente.

Activar autocompletar

Safari intentará evitar que los usuarios visiten páginasweb identificadas como fraudulentas o comprometidas.

Imponer advertencias sobre fraudes

Activa el bloqueador de elementos emergentes de Safari.Bloquear elementos emergentes

En este campo puede especificar si se aceptan cookies:Aceptar cookies

Siempre

Nunca

De sitios visitados

Al desactivar esta opción, los usuarios no puedenmodificar el uso de datos móviles por app.

Permitir modificar uso de datos móvilespor app

Puede especificar Apps permitidas o Apps prohibidas.Seleccione la opción deseada en la primera lista y


seleccione el grupo de apps que contiene las appspermitidas o prohibidas en la segunda lista. Parainformación sobre cómo crear grupos de apps, consulteTrabajar con grupos de apps en la página 157.

iCloud

Al desactivar esta opción, los usuarios no pueden realizarcopias de seguridad de sus dispositivos en iCloud.

Permitir copia de seguridad

Al desactivar esta opción, los usuarios no pueden guardardocumentos en iCloud.

Permitir sincronización de documentos

Al desactivar esta opción, los usuarios no pueden activarPhoto Stream.

Nota: si instala un perfil de configuración que restringeel uso de Photo Stream, se eliminarán las fotografías de

Permitir Photo Stream

Photo Stream del dispositivo del usuario. Las fotografíasno se envían desde el Carrete a Photo Stream. Si no haymás copias de estas fotografías, estas se perderán.

Al desactivar esta opción, los usuarios no pueden utilizarla biblioteca de fotos de iCloud.

Permitir biblioteca de fotos en la nube

92



Al desactivar esta opción, los usuarios no pueden invitara otros para que vean sus streams de fotografías ni verlos que compartan otros usuarios.

Permitir streams compartidos defotografías

Al desactivar esta opción, la función de llavero de iCloudpara sincronizar contraseñas en distintos dispositivos iOSy OS X no está permitida en el dispositivo.

Permitir sincronización de llavero

Seguridad y privacidad

Al desactivar esta opción, la información de diagnósticode iOS no se envía a Apple.

Permitir enviar datos de diagnóstico aApple

Al desactivar esta opción, no se pregunta a los usuariossi quieren confiar en certificados que no se puedan

Permitir a usuarios aceptar certificadosTLS no fiables

verificar. Esta opción aplica a Safari, contactos de correoy cuentas del calendario.

Al desactivar esta opción, las apps empresariales no seconsideran de confianza.

Confiar en apps empresariales

Al desactivar esta opción, los usuarios no pueden añadir,cambiar ni eliminar la contraseña del dispositivo.

Permitir modificación de contraseñas

Al desactivar esta opción, se desactiva la posibilidad demodificar la cuenta. El menú Cuentas no está disponibleen el dispositivo.

Permitir modificar cuenta

Al desactivar esta opción, el dispositivo no se puededesbloquear con Touch ID.

Permitir desbloquear dispositivo conTouch ID

No se proporcionan datos de usuario anónimos del usode apps para publicidad dirigida.

Imponer limitar seguimiento

Los usuarios deben cifrar las copias de seguridad eniTunes.

Imponer copias de seguridad cifradas

Clasificación de contenido

Al desactivar esta opción, el contenido con música o vídeoexplícitos se oculta en la iTunes Store. El contenido

Permitir música y podcasts explícitos

explícito es señalado por los proveedores de contenidos,p. ej., discográficas, en las listas de iTunes Store.

93


Configuración de roaming/puntos de acceso

En esta configuración puede definir opciones de configuración para roaming y puntos deacceso personales.

Nota: los usuarios pueden cambiar estas opciones siempre que deseen.


Al desactivar esta opción, se desactiva el roamingde voz en el dispositivo.

Activar roaming de voz

Al desactivar esta opción, se desactiva el roamingde datos en el dispositivo.

Activar roaming de datos

Al desactivar esta opción, el dispositivo no sepuede configurar para que actúe como punto deacceso personal.

Activar punto de acceso personal

Exchange ActiveSync



Introduzca en este campo el nombre de cuentapara la cuenta Exchange ActiveSync.

Nombre de cuenta

Introduzca el servidor de Microsoft Exchange eneste campo.

Nota: si utiliza el proxy SMC EAS, introduzca laURL del servidor proxy SMC.


Introduzca el dominio de su entorno en estecampo. También se puede dejar el campo vacío.

Dominio


Usuario

servidor la sustituirá por el nombre actual delusuario si el dispositivo al que se envía el perfiltiene un enlace LDAP.

Introduzca la dirección de correo electrónico dela cuenta en este campo. Puede utilizar la


variable %_EMAILADDRESS_% y el servidor lasustituirá por la dirección de correo electrónico

94



actual si el dispositivo al que se envía el perfiltiene un enlace LDAP.

Introduzca la contraseña de la cuenta en estecampo. Si deja este campo vacío, los usuarios

Contraseña

deben introducir la contraseña en susdispositivos.

Seleccione en esta lista el intervalo desincronización del correo electrónico. Solo se


sincronizarán en la bandeja de entrada deldispositivo móvil los correos pertenecientes alperiodo especificado. Por ejemplo, si seselecciona una semana, solo se sincronizaránlos correos electrónico de la semana anterior.Puede seleccionar los periodos de sincronizaciónsiguientes:

Ilimitado

Un día

Tres días

Una semana

Dos semanas

Un mes

Asegúrese de que esta opción está seleccionadapara enviar todas las comunicaciones a travésde SSL.

SSL

El usuario puede mover correos electrónicos deesta cuenta a otra. Esto también permite que los

Permitir mover

usuarios puedan usar una cuenta distinta paracontestar o reenviar un mensaje desde estacuenta.

La cuenta se incluye en la sincronización dedirecciones usadas recientemente con otrosdispositivos que usen iCloud.

Permitir sincronización de direcciones recientes

La cuenta solo se puede usar para enviarmensajes desde la app de correo. No se puede

Solo usar en correo

seleccionar como una cuenta de envío paramensajes creados con otras apps, p. ej., Fotoso Safari.

En esta lista, seleccione el certificado deidentidad para la conexión a ActiveSync. Si no

Certificado de identidad

hay disponible ningún certificado paraseleccionarlo, se muestra un mensaje.

95


Wi-Fi



Introduzca el ID de la red inalámbrica en este campo.SSID

Conectar automáticamente con la red deseada.Conectar automáticamente

La red deseada no es de tipo abierto o no está visible.Red oculta

En este campo se selecciona el tipo de seguridad dela red inalámbrica:

Tipo de seguridad

Ninguno

WEP

WPA/WPA2

Cualquiera (personal)

WEP de empresa

WPA/WPA2 de empresa

Cualquiera (empresa)

Si se selecciona la configuración personal WEP,WPA/WPA2 o Cualquiera (personal), se mostrará elcampo Contraseña. Introduzca la contraseñacorrespondiente.

Si se selecciona la opción corporativa WEPcorporativa, WPA/WPA2 corporativa o Cualquiera(empresa), se muestran las fichas Protocolos,Autenticación y Confianzas.

En la ficha Protocolos configure lo siguiente:

En Tipos EAP aceptados, especifique los métodosEAP utilizados para la autenticación. Dependiendode los tipos seleccionados aquí, se muestran losvalores en la ficha Identidad interna paraseleccionarlos.

Configure en EAP-FAST las opciones de lascredenciales de acceso protegido EAP-FAST.

En la ficha Autenticación se especifican las opcionesde autenticación del cliente:

Introduzca en el campo Usuario el nombre deusuario para la conexión a la red inalámbrica.

Seleccione Requerir contraseña en cadaconexión, si la contraseña se debe solicitar paracada conexión y transferir con la autenticación.

Introduzca en el campo Contraseña la contraseñacorrespondiente.

96



En la lista Certificado de identidad, seleccione elcertificado para la conexión a la red inalámbrica.

Nota: el certificado que deba usarse debeespecificarse en una configuración de Certificadode cliente.

Introduzca en el campo Identidad externa el IDvisible externamente (para TTLS, PEAP yEAP-FAST).

En la ficha Confianzas se especifican las opciones deautenticación del servidor:

Seleccione los certificados de confianza en la lista.

Nota: debe especificar los certificados en unaconfiguración Certificado raíz.

En esta lista, seleccione las opciones de configuraciónde proxy para la conexión Wi-Fi:

Proxy

Ninguno

Manualmente

Automático

Al seleccionar Manualmente, se muestran los camposServidor y puerto, Autenticación y Contraseña.Introduzca la información de proxy necesaria. Alseleccionar Automático, se muestra el campo URLde servidor proxy. Introduzca la URL del servidorproxy.

VPN

En esta configuración puede definir las opciones VPN para las conexiones de red. Puedeañadir múltiples configuraciones de VPN.


Introduzca en este campo el nombre de la conexiónmostrada en el dispositivo.

Nombre de conexión

En esta lista, seleccione el tipo de conexión.Tipo de conexión

Cisco AnyConnect

IPSec (Cisco)

F5

Check Point

SSL personalizado

97



En la página VPN se muestran distintos camposen función del tipo de conexión que seleccione.

Introduzca en este campo el identificadorpersonalizado en formato DNS inverso.

Identificador (formato DNS inverso) (tipo deconexión SSL personalizado)

Introduzca en este campo el nombre del host o ladirección IP de su servidor.

Servidor (todos los tipos de conexión)

Introduzca en este campo la cuenta de usuariopara la autenticación de la conexión.

Cuenta (todos los tipos de conexión)

Si su proveedor ha especificado propiedades deconexión personalizadas, puede introducirlas eneste campo.

Para especificar una propiedad, haga clic enAñadir y, a continuación, indique la Clave y elValor de la propiedad en el cuadro de diálogo.

Datos personalizados (tipo de conexión SSLpersonalizado)

Todo el tráfico se envía por VPN.Enviar todo el tráfico por VPN

Introduzca en este campo el grupo que pueda sernecesario para la autenticación de la conexión.

Grupo (tipo de conexión Cisco AnyConnect)

En esta lista, seleccione el tipo de autenticaciónpara la conexión:

Autenticación de usuario (tipos de conexiónCisco AnyConnect, F5, SSL personalizado)

Contraseña

Al seleccionar esta opción, el campoContraseña se muestra a continuación delcampo Autenticación de usuario. Introduzcala contraseña de autenticación.

Certificado

Al seleccionar esta opción, el campoCertificado se muestra a continuación delcampo Autenticación de usuario. Seleccioneun certificado.

En esta lista, seleccione el tipo de autenticacióndel dispositivo:

Autenticación de dispositivo (tipo de conexiónIPSec (Cisco))

Claves (secreto compartido)/Nombre degrupo

Al seleccionar esta opción, los campos Nombrede grupo, Claves (secreto compartido), Usarautenticación híbrida y Solicitar contraseñase muestran a continuación del campoAutenticación de dispositivo. Introduzca lainformación de autenticación necesaria en los

98



campos Nombre de grupo y Claves (secretocompartido). Seleccione Usar autenticaciónhíbrida y Solicitar contraseña según seanecesario.

Certificado

Al seleccionar esta opción, los camposCertificado e Incluir PIN de usuario semuestran a continuación del campoAutenticación de dispositivo. En la listaCertificado, seleccione el certificado necesario.Seleccione Incluir PIN de usuario para incluirel PIN de usuario en la autenticación deldispositivo.

En esta lista, seleccione las opciones deconfiguración de proxy para la conexión:

Proxy (todos los tipos de conexión)

Ninguno

Manualmente

Al seleccionar esta opción, se muestran loscampos Servidor y puerto, Autenticación yContraseña. Introduzca en el campo Servidory puerto la dirección válida y el puerto delservidor proxy. Introduzca en el campoAutenticación el nombre de usuario para laconexión al servidor proxy. Introduzca en elcampo Contraseña la contraseña para laconexión al servidor proxy.

Automático

Al seleccionar esta opción, se muestra el campoURL de servidor proxy. Introduzca en estecampo la URL del servidor con la configuracióndel proxy.

VPN por app

En esta configuración puede definir opciones de VPN compatibles con la función de iOS VPNpor app. Con esta función es posible configurar las apps para que se conectenautomáticamente a VPN al iniciarse. De este modo, p. ej., es posible asegurar que los datostransmitidos por apps administradas utilicen VPN.

Una vez configuradas las configuraciones VPN por app, puede seleccionar una configuraciónen la página Editar paquete de una aplicación. Consulte Configurar VPN por app y opcionespara apps iOS en la página 155.

99



Introduzca en este campo el nombre de laconexión mostrada en el dispositivo.

Nombre de conexión

En esta lista, seleccione el tipo de conexión.Tipo de conexión

Cisco AnyConnect

F5

Check Point

SSL personalizado

En la página VPN se muestran distintos camposen función del tipo de conexión que seleccione.

Introduzca en este campo el identificadorpersonalizado en formato DNS inverso.

Identificador (formato DNS inverso) (tipo deconexión SSL personalizado)

Introduzca en este campo el nombre del host o ladirección IP de su servidor.

Servidor (todos los tipos de conexión)

Introduzca en este campo la cuenta de usuariopara la autenticación de la conexión.

Cuenta (todos los tipos de conexión)

Si su proveedor ha especificado propiedades deconexión personalizadas, puede introducirlas eneste campo.

Para especificar una propiedad, haga clic enAñadir y, a continuación, indique la Clave y elValor de la propiedad en el cuadro de diálogo.

Datos personalizados (tipo de conexión SSLpersonalizado)

Introduzca en este campo el grupo que pueda sernecesario para la autenticación de la conexión.

Grupo (tipo de conexión Cisco AnyConnect)

Todo el tráfico se envía por VPN.Enviar todo el tráfico por VPN

En esta lista, seleccione el tipo de autenticaciónpara la conexión:

Autenticación de usuario (tipos de conexiónCisco AnyConnect, F5, SSL personalizado)

Contraseña

Al seleccionar esta opción, el campoContraseña se muestra a continuación delcampo Autenticación de usuario. Introduzcala contraseña de autenticación.

Certificado

Al seleccionar esta opción, el campoCertificado se muestra a continuación delcampo Autenticación de usuario. Seleccioneun certificado.

100



En esta lista, seleccione el tipo de autenticacióndel dispositivo:

Autenticación de dispositivo (tipo de conexiónIPSec (Cisco))

Claves (secreto compartido)/Nombre degrupo

Al seleccionar esta opción, los camposNombre de grupo, Claves (secretocompartido), Usar autenticación híbrida ySolicitar contraseña se muestran acontinuación del campo Autenticación dedispositivo. Introduzca la información deautenticación necesaria en los camposNombre de grupo y Claves (secretocompartido). Seleccione Usar autenticaciónhíbrida y Solicitar contraseña según seanecesario.

Certificado

Al seleccionar esta opción, los camposCertificado e Incluir PIN de usuario semuestran a continuación del campoAutenticación de dispositivo. En la listaCertificado, seleccione el certificadonecesario. Seleccione Incluir PIN de usuariopara incluir el PIN de usuario en laautenticación del dispositivo.


Proxy (todos los tipos de conexión)

Ninguno

Manualmente


Automático

Al seleccionar esta opción, se muestra elcampo URL de servidor proxy. Introduzca eneste campo la URL del servidor con laconfiguración del proxy.

En este campo, puede introducir una lista decadenas de dominio.

Cuando un dominio que coincide con una de lascadenas de dominios se abre en Safari o en otra

Dominios de Safari

101



app que utilice el motor de representación WebKit,se activa la conexión VPN.

Utilice una nueva línea para cada cadena dedominio.

El comportamiento de coincidencia con reglas esel siguiente:

Los puntos al principio y al final se ignoran. Porejemplo, la cadena .example.com coincidecon los mismos dominios que la cadenaexample.com.

Cada componente de cadena debe coincidircon un componente de dominio completo. Porejemplo, la cadena example.com coincidecon el dominio www.example.com, pero nocon www.myexample.com.

Las cadenas con un único componente solocoinciden con ese dominio específico. Porejemplo, la cadena example coincide con eldominio example, pero no conwww.example.com.

Inicio de sesión único

En esta configuración se pueden definir las opciones de inicio de sesión único para apps deterceros.


Un nombre legible para la cuenta.Nombre

El nombre principal Kerberos. Si no seproporciona, se le solicitará uno al usuario durantela instalación del perfil.

Nombre principal Kerberos

El nombre de dominio Kerberos. El nombre dedominio debe especificarse en mayúsculas.

Dominio Kerberos

En la ficha URL puede opcionalmente especificar una lista de prefijos URL que deben hacersecoincidir para usar esta cuenta para la autenticación Kerberos vía HTTP. Si no se especificaningún prefijo, la cuenta coincidirá con todas las URL con protocolo http o https.

En la ficha Identificadores de app, puede opcionalmente especificar una lista deidentificadores de apps que pueden utilizar este inicio de sesión. Si no se especificanidentificadores de app, el inicio de sesión coincidirá con todos los identificadores.

102


Modo de solo una app

En esta configuración puede definir opciones para el modo de una sola app que bloquea losdispositivos de los usuarios finales a una sola app y evita que los usuarios puedan cambiara otras apps.


En este campo puede seleccionar el origen para la appúnica:

Seleccionar origen

Si se selecciona Lista de apps, se muestra la lista deApps con una lista de las apps iOS disponibles paraeste cliente. Seleccione una app de la lista y haga clicen Aplicar.

Al seleccionar Personalizado, se muestra el campoIdentificador de app. Introduzca el identificador dela app y haga clic en Aplicar.

Opciones

Desactiva los gestos de tocar para modo de solo una app.Desactivar pantalla táctil

Desactiva rotar para modo de solo una app.Desactivar rotación

Desactiva botones de volumen para modo de solo unaapp.

Desactivar botones de volumen

Desactiva botón de tono/silencio para modo de solo unaapp.

Desactivar botón de tono/silencio

Desactiva botón de encendido/apagado para modo desolo una app.

Desactivar botón de encendido/apagado

Para modo de solo una app, desactiva la función debloqueo automático que hace que el dispositivo entre enmodo suspensión tras un período de inactividad.

Desactivar bloqueo automático

Activa VoiceOver para modo de solo una app.Activar VoiceOver

Activa la función de zoom para modo de solo una app.Activar zoom

Activa la función de invertir colores para modo de solouna app.

Activar invertir colores

Activa AssistiveTouch para modo de solo una app.Activar AssistiveTouch

Activa la función de leer selección para modo de solo unaapp.

Activar leer selección

103



Activa la función de audio mono para modo de solo unaapp.

Activar audio mono

Opciones activadas por usuario

Permite ajuste de VoiceOverVoiceOver

Permite ajuste zoomZoom

Permite ajuste de invertir coloresInvertir colores

Permite ajuste AssistiveTouchAssistiveTouch

Clip web

En esta configuración puede definir clips web para añadir a la pantalla de inicio. Los clipsweb proporcionan un acceso rápido a las páginas web. Pero también puede añadir un clipweb con el número de teléfono de soporte, p. ej., para añadir una forma rápida de llamar aldepartamento de soporte. Puede añadir múltiples configuraciones de Clip web.


Introduzca en este campo la descripción para elclip web.

Descripción

Introduzca en este campo la URL del clip web.Dirección

Al desactivar esta opción, el cliente no puedeeliminar el clip web. No puede ser eliminado del

Se puede eliminar

dispositivo a no ser que el cliente elimine el perfilque lo instaló.

El clip web se abre a pantalla completa en eldispositivo. Un clip web a pantalla completa abrela URL como una app web.

Pantalla completa

Nombre de punto de acceso

Con esta configuración puede cambiar el nombre de punto de acceso (APN) del dispositivoy la configuración del proxy de la red móvil. Esta configuración define la forma en la que losdispositivos se conectan a la red del operador. Solo es posible añadir una configuración deNombre de punto de acceso dentro de un perfil.

104


Nota: si esta configuración no es correcta, el dispositivo no puede acceder a los datosutilizando la red móvil. Para deshacer los cambios en la configuración es necesario eliminarel perfil del dispositivo.


El APN que el dispositivo indica al abrir unaconexión GPRS con el operador.


APN

Introduzca en este campo el nombre de usuariopara el punto de acceso.

Nota: ios es compatible con nombres de usuariode APN de hasta 64 caracteres.

Nombre de usuario para punto de acceso

Introduzca en este campo la contraseña para elpunto de acceso.

Nota: ios es compatible con contraseñas de APNde hasta 64 caracteres.

Contraseña para puntos de acceso

En este campo puede introducir la dirección váliday el puerto del servidor proxy.


Filtrado de contenidos web

En esta configuración puede definir las URL prohibidas y las URL permitidas con marcadores.


Seleccione este campo para definir una lista deURL bloqueadas a las que no deba accederse

URL prohibidas

desde los dispositivos de los usuarios finales.Haga clic en Siguiente para mostrar la páginaSeleccionar tipo de filtro de contenido web. Enesta vista puede añadir URL individuales.

Introduzca cada URL en una línea nueva.

Seleccione este campo para definir las URLpermitidas con marcadores que deban añadirse

URL permitidas con marcadores

al navegador Safari en los dispositivos de losusuarios finales. Demás sitios bloqueados. Hagaclic en Siguiente para mostrar la página Filtro decontenidos web. Haga clic en Añadir para añadirURL individuales como marcadores.

105


Proxy HTTP global

Con esta configuración puede configurar un solo servidor proxy corporativo. Solo es posibleañadir una configuración de Proxy HTTP global dentro de un perfil.



Proxy HTTP global

Manualmente


Automático

Al seleccionar esta opción, se muestra elcampo URL de servidor proxy. Introduzca eneste campo la URL del servidor con laconfiguración del proxy.

Certificado raíz

En esta configuración puede cargar un certificado raíz para los dispositivos. Puede añadirmúltiples configuraciones de Certificado raíz. Haga clic en Subir un archivo y busque elcertificado. Selecciónelo y haga clic en Aceptar. El nombre del certificado se muestra en elcampo Nombre de certificado.



En esta configuración puede cargar un certificado cliente para los dispositivos. Puede añadirmúltiples configuraciones de Certificado de cliente. Haga clic en Subir un archivo y busqueel certificado. Selecciónelo y haga clic en Aceptar. El nombre del certificado se muestra enel campo Nombre de certificado. Introduzca la Contraseña para el certificado seleccionado.


106


SCEP

En esta configuración se pueden definir opciones que permiten a los dispositivos obtenercertificados de una autoridad de certificación usando un protocolo de inscripción simple decertificados (SCEP). Solo es posible añadir una configuración de SCEP dentro de un perfil.

Nota: esta configuración solo está disponible si SCEP se ha configurado durante la instalaciónde Sophos Mobile Control. SCEP necesita estar activado durante la instalación de SophosMobile Control. Consulte la Guía de instalación de Sophos Mobile Control. Entonces unsuperadministrador podrá configurar las opciones SCEP necesarias en la consola web.Consulte la Guía de superadministrador de Sophos Mobile Control. La configuración definidase transfiere a los perfiles iOS.

Nota: los superadministradores no son compatibles con Sophos Mobile Control como servicio.


Introduzca en este campo la URL del servidorSCEP.

Dirección

Introduzca en este campo un nombre que seentendido por la autoridad de certificación. El

Nombre de CA

nombre puede, p. ej., utilizarse para diferenciarinstancias.

Introduzca en este campo la representación de unnombre X.500 como una cadena de OID y valor.

Sujeto

Por ejemplo: /C=US/O=AppleInc./CN=foo/1.2.5.3=bar. Esto traduce a: [[ ["C", "US"] ], [ ["O", "Apple Inc."]

], ..., [ [ "1.2.5.3", "bar" ] ] ]

En esta lista, seleccione el tipo de un nombrealternativo para el servidor SCEP:

Tipo de nombre alternativo de sujeto

Ninguno

Nombre RFC 822 (dirección de correoelectrónico)

Nombre DNS

Identificador de recursos uniforme

Al seleccionar una opción distinta a Ninguno, loscampos Valor de nombre alternativo de sujetoy Nombre de inicio de sesión de usuario NT semuestran a continuación del campo Tipo denombre alternativo de sujeto. Introduzca losvalores de nombre necesarios.

107



Introduzca en este campo un secretoprecompartido que el servidor SCEP pueda usarpara identificar la solicitud o el usuario.

Nota: si se usa el módulo SCEP del servidor deSophos Mobile Control, este campo ya está

Desafío

rellenado con %_CACHALLENGE_%. No cambieeste valor.

Introduzca en este campo el número de reintentossi el servidor está enviando una respuesta"pendiente".

Reintentos

Introduzca en este campo el número de segundosentre los reintentos.

Retardo reintento

En esta lista, seleccione el tamaño de la clave.Tamaño de clave

1024

2048

La clave no puede usarse como firma digital.Usar como firma digital

La clave puede utilizarse para cifrado.Usar para cifrado

Dominios administrados

Cuando los dominios están administrados, los archivos descargados desde sitios webespecíficos en Safari solo se pueden abrir utilizando apps distribuidas al dispositivo usandoMDM.

Puede introducir Dominios de correo electrónico y Dominios web administrados. Introducirun dominio por línea.

Nota: si una entrada de dominio web administrada contiene un número de puerto, solo lasdirecciones que especifiquen este número de puerto se consideraran como administradas.En caso contrario, solo se considerarán como administrados los puertos estándar (puerto 80para http y 443 para https).

Móvil

Con esta configuración puede cambiar el nombre de punto de acceso (APN) del dispositivoy la configuración del proxy de la red móvil. Esta configuración define la forma en la que losdispositivos se conectan a la red del operador.

Nota: si esta configuración no es correcta, el dispositivo no puede acceder a los datosutilizando la red móvil. Para deshacer los cambios en la configuración es necesario eliminarel perfil del dispositivo.

108



PAP

CHAP

Autenticación

El APN que el dispositivo indica al abrir unaconexión GPRS con el operador.


APN

Introduzca en este campo el nombre de usuariopara el punto de acceso.

Nota: ios es compatible con nombres de usuariode APN de hasta 64 caracteres.

Nombre de usuario para punto de acceso

Introduzca en este campo la contraseña para elpunto de acceso.

Nota: ios es compatible con contraseñas de APNde hasta 64 caracteres.

Contraseña para puntos de acceso

En este campo puede introducir la dirección váliday el puerto del servidor proxy.


CalDAV

Esta configuración permite configurar la sincronización de datos de calendario con un servidorCalDAV. P. ej., esto puede utilizarse para sincronizar el calendario de Google con undispositivo iOS.

Puede añadir configuraciones múltiples a un perfil de dispositivo.


El nombre mostrado de la cuenta CalDAV en el dispositivo.Nombre de cuenta

El nombre del host o la dirección IP y opcionalmente elnúmero de puerto en el servidor CalDAV.

P. ej., para el calendario de Google se debe introducir:

Host y puerto de cuenta

calendar.google.com:443

Si lo requiere el servidor CalDAV, introduzca la URL principaldel recurso de calendario.

P. ej., para sincronizar con un calendario distinto al calendarioprimario en una cuenta de Google, introduzca:

URL principal

109



https://apidata.googleusercontent.com/caldav/

v2/calendar_id/user

donde calendar_id es el ID del calendario con el que deseaque se produzca la sincronización. En la aplicación web delcalendario de Google, el ID del calendario se muestra en lasopciones del calendario. Consulte la ayuda del calendariode Google para más información.

Las credenciales para iniciar sesión en la cuenta CalDAV.

P. ej., para el calendario de Google introduzca lascredenciales de la cuenta de Google.


CardDAV

Esta configuración permite configurar la sincronización de datos de contactos con un servidorCardDAV. P. ej., esto puede utilizarse para sincronizar los contactos de Google con undispositivo iOS.



El nombre mostrado de la cuenta CardDAV en el dispositivo.Nombre de cuenta

El nombre del host o la dirección IP y opcionalmente elnúmero de puerto en el servidor CardDAV.

P. ej., para los contactos de Google se debe introducir:

Host y puerto de cuenta

google.com

Si lo requiere el servidor CardDAV, introduzca la URLprincipal del recurso de contactos.

P. ej., la API de Google CardDAV admite la siguiente URLprincipal:

URL principal

https://www.googleapis.com/carddav/ v1/principals/[email protected]

donde account_name es el nombre de cuenta de Google.

Las credenciales para iniciar sesión en la cuenta CardDAV.

P. ej., para los contactos de Google introduzca lascredenciales de la cuenta de Google.


110


IMAP/POP

Esta configuración permite añadir una cuenta de correo IMAP o POP al dispositivo iOS.



El nombre mostrado de la cuenta de correo en el dispositivo.Nombre de cuenta

El tipo de servidor de correo para el correo entrante.

Puede ser IMAP o POP.

Tipo de cuenta

El nombre mostrado del usuario para el correo saliente.

Puede utilizar la variable %_USERNAME_% y el servidor lasustituirá por el nombre actual del usuario si el dispositivo alque se envía el perfil tiene un enlace LDAP.

Nombre para mostrar del usuario

La dirección de correo electrónico de la cuenta.

Puede utilizar la variable %_EMAILADDRESS_% y el servidorla sustituirá por la dirección de correo electrónico actual siel dispositivo al que se envía el perfil tiene un enlace LDAP.


El usuario puede mover correos electrónicos de esta cuentaa otra. Esto también permite que los usuarios puedan usar

Permitir mover

una cuenta distinta para contestar o reenviar un mensajedesde esta cuenta.

La cuenta se incluye en la sincronización para la lista dedirecciones recientes.

Permitir sincronización dedirecciones recientes

La cuenta solo se puede usar para enviar mensajes desdela app de correo. No se puede seleccionar como una cuenta

Solo usar en correo

de envío para mensajes creados con otras apps, p. ej., Fotoso Safari.

Permitir Apple Mail Drop para esta cuenta.Permitir Mail Drop

Compatibilidad con el estándar de cifrado S/MIMEActivar S/MIME

Los certificados usados para la firma y el cifrado de correoselectrónicos.

Para seleccionar un certificado debe primero cargarlo en unaconfiguración de Certificado de cliente del perfil actual.

Certificado de firma

Certificado de cifrado

Para cada correo saliente, el usuario podrá elegir entrecifrarlo o no.

Permitir al usuario enviar correoelectrónico sin cifrar

111



Correo electrónico entrante

El nombre del host o la dirección IP y el número de puertodel servidor de correo entrante (servidor de entrada).

Servidor y puerto de correoelectrónico

El nombre de usuario para conexión al servidor de entrada.Nombre de usuario

El método de autenticación para conexión al servidor deentrada.

Tipo de autenticación

La contraseña para conexión al servidor de entrada (siprocede).

Contraseña

Usar capa de sockets seguros para transferencia de correoentrante.

SSL

Correo electrónico saliente

El nombre del host o la dirección IP y el número de puertodel servidor de correo saliente (servidor de salida).

Servidor y puerto de correoelectrónico

El nombre de usuario para conexión al servidor de salida.Nombre de usuario

El método de autenticación para conexión al servidor desalida.

Tipo de autenticación

La contraseña para conexión al servidor de salida (siprocede).

Contraseña

Usar la contraseña especificada para el correo entrante.Usar la misma contraseña que parael correo electrónico entrante

Usar capa de sockets seguros para transferencia de correosaliente.

SSL

Reglas de uso de red

Con esta configuración se especifica cómo se permite a las apps administradas usar lasredes de datos móviles.

Solo es posible añadir una configuración de Reglas de uso de red a un perfil de dispositivo.


Las apps administradas puede usar comunicación de datosen redes móviles.

Permitir datos móviles

112



Las apps administradas puede usar comunicación de datoscon el dispositivo en itinerancia en una red móvil extranjera.

Permitir itinerancia de datos

Para especificar las reglas de uso de la red:

1. Utilice las casillas para especificar las opciones en general para las apps administradas.2. Opcionalmente, puede anular las opciones para apps administradas específicas. Haga

clic en Añadir excepción y a continuación:

a. Introduzca un grupo de apps que contenga las apps administradas a las que apliquela excepción.

b. Especifique las opciones para ese grupo de apps.

Nota: no pueden definirse excepciones múltiples para el mismo grupo de apps.

13.3.1.2 Configuraciones de política de contenedor Sophos disponiblesEstas políticas se refieren a las apps de contenedor Sophos Secure Workspace y SophosSecure Email.

General

Nota: esta configuración es necesaria y no se puede eliminar.

Las opciones en la configuración del tipo General aplican a todas las apps de contenedor,si procede.


Los usuarios deben introducir una contraseña adicional parapoder iniciar una app de contenedor. La contraseña debe definirse

Activar contraseña de app

cuando se inicia la primera app de contenedor una vez aplicadala configuración. Esta contraseña aplica a todas las apps decontenedor.

En este campo se puede definir la complejidad mínima requeridapara la contraseña del contenedor de Sophos. En cualquier caso


se permitirán siempre contraseñas más seguras. Las contraseñas(una combinación de caracteres numéricos y alfanuméricos) seconsideran siempre más seguras que un PIN (solo caracteresnuméricos).


Cualquiera: Las contraseñas del contenedor de Sophos notienen restricciones.

PIN de 4 dígitos

PIN de 6 dígitos


113






En este campo se define el número de días que se puede usaruna contraseña antes de que los usuarios deban cambiarla.

Antigüedad de contraseña endías

En este campo se define el número de intentos de inicio de sesiónfallidos antes que las apps de contenedor se bloqueen. Una vez

Inicios de sesión fallidos hastabloqueo

bloqueadas es necesario que un administrador desbloquee lasapps o, si está permitido, que los usuarios lo hagan a través delportal de autoservicio.

Seleccione esta opción para que los usuarios puedan desbloquearla aplicación con su huella digital.

Permitir huella digital

En este campo se define el periodo de tiempo durante el cual noes necesario introducir ninguna contraseña del contenedor de


Sophos si una app de contenedor vuelve a primer plano. Si eldispositivo se ha bloqueado y desbloqueado, los usuarios debenintroducir siempre la contraseña del contenedor de Sophos,incluso dentro del periodo de gracia.

El periodo de gracia aplica a todas las apps de contenedor.Durante el periodo de gracia se puede cambiar entre las appssin introducir una contraseña.

Es posible seleccionar entre 1, 2, 5, 10, 15 minutos.

En este campo se define el tiempo que los usuarios pueden usaruna app de contenedor de Sophos sin una conexión al servidorde Sophos Mobile Control.

Cuando se activa la app de contenedor de Sophos sin tenercontacto con el servidor dentro del periodo de tiempo definido,

Última conexión al servidor

se mostrará una pantalla de bloqueo con el botón Reintentar.Los usuarios solo pueden desbloquear la app tocando Reintentarpara activar un conexión con el servidor. Si la conexión se puedeestablecer, la app se desbloquea. En caso contrario, se deniegael acceso.

Puede definir las opciones siguientes:

En acceso La conexión al servidor se requiere siempre y laapp se bloquea cuando no se puede alcanzar el servidor.

1 hora: La conexión al servidor se requiere cuando la app seactiva una hora o más tras la última conexión realizadacorrectamente con el servidor.

3 hora

6 hora

12 hora

1 día

114



3 días

1 semana

ninguna: No se requiere un contacto regular.

En este campo se define cuántas veces los usuarios puedenejecutar las apps de contenedor de Sophos sin una conexión conel servidor.

Nota: esta opción requiere que la función de contraseña delcontenedor de Sophos esté activada.

Arranques offline sin conexiónal servidor

Cada vez que el usuario introduzca la contraseña del contenedorde Sophos se incrementa un contador. Si el contador supera unnúmero definido, se mostrará la misma pantalla de bloqueo quepara la opción Última conexión al servidor. El contador serestablece en cuanto se produce una conexión al servidor deSophos Mobile Control.

Ilimitado No se requiere ninguna conexión.

0: No es posible ejecutar la app sin que haya una conexiónal servidor.

1: Una vez ejecutada la aplicación una vez se requiere unaconexión al servidor.

3

5

10

20

Se permite ejecutar apps de contenedor en dispositivos conjailbreak.

Jailbreak permitido

Restricciones de uso de apps

Aquí se pueden definir limitaciones de uso para las apps de contenedor Sophos. Haga clic en Añadirpara introducir restricciones.

Permite añadir coordenadas de latitud y longitud y un radio dentrodel que las apps de contenedor de Sophos se pueden usar.

Barrera geográfica

Permite añadir una hora de inicio y una hora final dentro de lascuales las apps de contenedor de Sophos se pueden usar.

Barrera de tiempo

También se deben definir los días de la semana en los que sepueden usar las apps.

115



Permite definir las redes Wi-Fi a las que los dispositivos debenestar conectados para poder usar las apps de contenedor deSophos.

El dispositivo debe estar conectado a una de las redesenumeradas. Poder ver una red en particular en la lista de redesdisponibles no es suficiente.

Importante: recomendamos que no utilice una barrera Wi-Ficomo único mecanismo de seguridad porque los nombres deWi-Fi pueden falsificarse muy fácilmente.

Barrera Wi-Fi

Correo electrónico corporativo


Introduzca la información de la dirección del servidor de ExchangeActiveSync de su empresa (por ejemplo correo.suempresa.com).


Introduzca el usuario de la cuenta en este campo. Puede utilizarla variable %_USERNAME_% y el servidor la sustituirá por el nombre

Usuario

actual del usuario si el dispositivo al que está asignado el perfiltiene un enlace LDAP.

Introduzca la dirección de correo electrónico de la cuenta en estecampo. Puede utilizar la variable %_EMAILADDRESS_% y el


servidor la sustituirá por la dirección de correo electrónico actualsi el dispositivo al que está asignado el perfil tiene un enlaceLDAP.

El nombre de dominio de su servidor de Exchange.Dominio

Defina la dirección de correo electrónico que se usará como ladirección de correo electrónico de "contacto de soporte".

Correo electrónico de contactode soporte

El contenido de los campos de entrada está protegido.Autocompletar y autocorregir están desactivados en el Correo

Usar campos de texto seguros

electrónico corporativo para impedir que se guarden palabrassensibles en la memoria del dispositivo.

Los usuarios pueden exportar los contactos de exchange con unnúmero de teléfono a la lista de contactos local del dispositivo.

Exportar contactos a dispositivo

El Correo electrónico corporativo los mantendrá sincronizados.Solo se exportan el nombre y el número de teléfono para que elusuario pueda identificar los contactos de la empresa duranteuna llamada entrante. Se debe tener en cuenta que aunque serestablezca remotamente el Correo electrónico corporativo, esta

116



información seguirá estando presente en el almacenamiento localdel dispositivo.

Esta opción controla la visualización de notificaciones de correoelectrónico y recordatorios en la app Sophos Secure Email.

Al seleccionar la opción:

Mostrar detalles de notificaciones

Las notificaciones de correo electrónico se muestran con elremitente y el asunto.

Los recordatorios se muestran con la hora, el lugar y el título.

Cuando la opción no está seleccionada:

Las notificaciones de correo electrónico están desactivadas.

Los recordatorios se muestran solo con la hora.

Nota: si piensa que la visualización de las notificaciones en undispositivo robado o extraviado es un riesgo de seguridad,seguramente desee desactivar los detalles de las notificaciones.

Los usuarios no pueden copiar o cortar textos en la app SophosSecure Email.

Denegar copiar al portapapeles

El usuario puede guardar adjuntos o abrirlos en otras apps.Permitir visores externos

En caso necesario, seleccione el tamaño máximo de los correoselectrónicos para la app Sophos Secure Email en la lista.

Tamaño máximo de correoelectrónico

El botón Añadir permite ampliar la configuración de CorporateEmail con las opciones que pueda requerir una futura versióndel cliente Corporate Email.

Configure estas opciones solo si se lo indica el equipo de soportede Sophos.

Añadir

Documentos corporativos


Haga clic aquí para configurar los proveedores dealmacenamiento disponibles.

Configurar proveedores dealmacenamiento

Puede definir para cada proveedor de almacenamiento lassiguientes opciones por separado:

Activar Si se selecciona, el proveedor de almacenamientoestá visible en la app.

Almacenamiento local

Permite a los usuarios almacenararchivos en Sophos Secure Workspacey subir archivos desde el

117



almacenamiento local alalmacenamiento en la nube.

Offline Si se selecciona, se le permite a los usuarios añadirarchivos desde el proveedor de almacenamiento a la listade Favoritos de apps para lectura offline.

DropboxAbrir en (cifrado) Si se activa, los usuarios puedenenviar/transferir archivos cifrados a otras apps medianteAbrir en.

Abrir en (normal) Si se activa, los usuarios puedenenviar/transferir archivos no cifrados a otras apps medianteAbrir en.

Google Drive

MagentaCLOUD

OneDrive

Box

EgnytePortapapeles Si se activa, el portapapeles está activado enla vista de documentos de las apps para permitir a losWebDAV 1

usuarios copiar partes de un documento y pegarlos en otrasapps.

WebDAV 2

WebDAV 3

Los proveedores Egnyte, WebDAV son referidos como proveedores de empresas. Para estos puededefinir centralmente credenciales de servidor y usuario. Estas no pueden ser cambiadas por losusuarios.

Las opciones de configuración de credenciales que no defina centralmente pueden ser seleccionadaspor los usuarios en las pantallas de credenciales de proveedores de apps.

P. ej., puede definir centralmente el servidor y la cuenta de usuario que debe usarse, pero puededejar el campo de contraseña sin definir. Entonces los usuarios deben conocer la contraseña paraacceder al proveedor de almacenamiento.

En este campo introduzca:Servidor

La URL de la carpeta raíz en el servidor WebDAV deDocumentos corporativos.

La URL de la carpeta raíz en el servidor Egnyte.

La URL de la carpeta raíz en el servidor WebDAV.

Utilice el formato siguiente:https://server.company.com

Introduzca en este campo el nombre de usuario para elservidor correspondiente.

Nombre de usuario

Introduzca en este campo la contraseña para la cuentacorrespondiente.

Contraseña

Introduzca en este campo la carpeta de carga para la cuentacorrespondiente.

Carpeta de carga

Activa la función Documentos para distribuir de forma seguradocumentos de la empresa.

Activar documentos

En este campo se puede definir la complejidad mínimarequerida para las frases de acceso de las claves de cifrado.

Complejidad de frase de contraseña

118



En cualquier caso se permitirán siempre frases de contraseñamás seguras.






Navegador corporativo

El Navegador corporativo permite acceder de forma segura a las páginas de la intranet dela empresa u otras páginas permitidas. Se puede definir un conjunto de Marcadorescorporativos, por ejemplo, dominios a los que se permite acceder desde el navegador seguro.

En la configuración de Navegador corporativo haga clic en Añadir dominio o Añadirmarcador.


Añadir dominio

En este campo, introduzca el dominio que deseapermitir.

URL

Los usuarios pueden copiar y pegar texto desdeel Navegador corporativo a otras apps.

Permitir copiar y pegar

Los usuarios puede descargar adjuntos y pasarlosa otras apps.

Permitir abrir con

Los usuarios pueden guardar sus contraseñas enel Navegador corporativo.

Permitir guardar contraseña

Añadir marcador

Nota: el marcador se añadirá al dominio especificado en la URL. Los dominios se crearánautomáticamente, si no existen.

Introduzca en este campo el nombre del marcador.Nombre

Introduzca en este campo la URL del marcador.URL

119





Certificado raíz



SCEP

Las configuraciones SCEP en una política de contenedor Sophos se crean de la misma formaque para los perfiles de dispositivo. Consulte Crear perfil de dispositivo SCEP iOS en lapágina 41.

13.3.2 Importar perfiles de dispositivo iOS creados con Apple Configurator

Puede importar a la consola web perfiles creados con Apple Configurator.

Apple Configurator puede descargarse del App Store.

Nota: para importar perfiles de dispositivo, utilice el mismo procedimiento que para los perfilesde aprovisionamiento para sus apps iOS de desarrollo propio. Cuando carga un archivo deperfil, Sophos Mobile Control analiza su contenido para distinguir entre los dos tipos de perfil.

1. Una vez creado un perfil en Apple Configurator, expórtelo (sin cifrar ni firmar) y guárdeloen su ordenador.



3. Haga clic en Crear y seleccione Importar perfil.

Aparece la página Editar perfil.



6. Haga clic en Subir un archivo y busque el archivo que ha guardado en su ordenador,selecciónelo y haga clic en Abrir.

El perfil se muestra en la página Editar perfil.


120



13.3.3 Importar perfiles de aprovisionamiento para apps iOS

Al desarrollar sus propias apps iOS, crea perfiles de aprovisionamiento para que sus appspuedan instalarse desde un archivo IPA en lugar del App Store. Puede cargar estos perfilesde aprovisionamiento al servidor de Sophos Mobile Control para distribuirlos posteriormentea sus dispositivos.

Para obtener detalles sobre los perfiles de aprovisionamiento, consulte la Biblioteca paradesarrolladores de iOS.

Nota: los perfiles de aprovisionamiento se importan con el mismo procedimiento que paralos perfiles de dispositivo creados con Apple Configurator. Cuando carga un archivo de perfil,Sophos Mobile Control analiza su contenido para distinguir entre los dos tipos de perfil.

1. Una vez que haya generado un perfil de aprovisionamiento en su entorno de desarrolloiOS, guárdelo en su ordenador.



3. Haga clic en Crear y seleccione Importar perfil.

Aparece la página Editar perfil.



6. Haga clic en Subir un archivo y busque el archivo que ha guardado en su ordenador,selecciónelo y haga clic en Abrir.

El perfil se muestra en la página Editar perfil.



13.4 Crear políticas Windows Mobile o Desktop1. En la barra lateral de menús, en CONFIGURAR, haga clic en Perfiles, políticas y, a

continuación, en:

■ Windows Mobile para crear una política para dispositivos Windows Mobile.■ Windows Desktop para crear una política para dispositivos Windows Desktop.

2. En la página Políticas, haga clic en Crear.

Aparece la página Editar política.






121




8. Especifique las opciones de configuración necesarias. Para una lista detallada de todaslas configuraciones y opciones disponibles, consulte Configuraciones Windows Mobiledisponibles en la página 122 y Configuraciones Windows Desktop disponibles en la página130.


La configuración se muestra en la página Editar política en Configuraciones.


La política se muestra en la página Políticas. Se puede asignar a dispositivos o grupos dedispositivos.

13.4.1 Configuraciones Windows Mobile disponibles

Al crear o editar una política están disponibles las siguientes configuraciones para políticasde Windows Mobile en la página Configuraciones disponibles. Algunas configuracionessolo se pueden añadir una vez dentro de una política, mientras que otras se pueden añadirvarias veces.



En esta configuración puede definir las reglas para los códigos de acceso de los dispositivos.Solo es posible añadir una configuración de Políticas de contraseña dentro de una política.


En esta lista, seleccione el tipo de contraseña quequiere definir:

Tipo de contraseña

Alfanumérica

Alfanumérica o numérica

Las contraseñas pueden incluir caracteressecuenciales o repetidos, p. ej., abcde o 1111.

Permitir contraseña sencilla




Número máximo de intentos fallidos (1 - 999 o0)


122



En este campo puede especificar en minutos eltiempo que puede estar sin usarse el dispositivo

Tiempo en minutos hasta el bloqueo deldispositivo (1 - 999 o 0)




comparar con nuevas contraseñas. Cuando elusuario define una contraseña, no se aceptará sicoincide con una contraseña que ya se ha usado.Rango de valores: 1 a 50 o 0 (sin historial decontraseñas).



Especifica el número mínimo de caracteres noalfanuméricos que debe contener la contraseña(p. ej. & o !).

Número mínimo de distintos grupos decaracteres

Los usuarios pueden determinar el periodo degracia de la contraseña.

Permitir determinar el periodo de gracia de lacontraseña

Restricciones

En esta configuración puede definir las restricciones para los dispositivos. Solo es posibleañadir una configuración de Restricciones dentro de una política.

Sección Dispositivo:


Los usuarios no pueden acceder a la tarjeta dealmacenamiento. Esto no impide que las appsaccedan a la tarjeta de almacenamiento.

Prohibir tarjeta SD

Activa el cifrado del almacenamiento interno.Tenga en cuenta que, una vez activada, esta

Prohibir dispositivos no cifrados

opción no se puede volver a desactivar medianteuna política.

Nota: debe activar BitLocker en el dispositivoantes de aplicar la política.

123



No se muestran notificaciones del Centro deacciones sobre la pantalla de bloqueo deldispositivo.

Prohibir notificaciones del centro de accionessuperpuestas a la pantalla de bloqueo

Prohíbe añadir todos los tipos de cuentas decorreo electrónico, así como cuentas de Exchange,Office 365 y Outlook.

Prohibir añadir manualmente cuentas de correoelectrónico que no sean de Microsoft

La cuenta de Microsoft es la cuenta de sistemautilizada para la sincronización, las copias deseguridad y el almacén.

Prohibir conexión de cuenta Microsoft

El modo desarrollador de Windows estádesactivado y no puede ser activado por el usuario.

Prohibir modo desarrollador

La tienda de apps no está disponible.Prohibir Windows Store

El navegador Microsoft Edge no está disponible.Prohibir navegador nativo

La opción de privacidad Permitir que las appsaccedan a la cámara está desactivada y no puedeser activada por el usuario.

Prohibir cámara

Seleccione en esta lista si el dispositivo puedeenviar datos de telemetría de uso y diagnóstico:

Telemetría

Permitido

Autorizado, excepto solicitudes secundariasde datos

No permitido

Sección Varios:


Copiar y pegar no está disponible.Prohibir copiar y pegar

Cortana no está disponible.Prohibir Cortana

Los usuarios no pueden guardar un archivo en eldispositivo como archivo de Office.

Prohibir «Guardar como» para archivos Office

Las capturas de pantalla no están disponibles.Prohibir captura de pantalla

Los usuarios no pueden compartir archivos deOffice.

Prohibir uso compartido de archivos Office

124



La opción para sincronizar la configuración deldispositivo entre dispositivos Windows no estádisponible.

Prohibir "Sincronizar mis ajustes"

La grabación de voz no está disponible.Prohibir grabación de voz

Sección Wi-Fi:


Las conexiones Wi-Fi no están disponibles.Prohibir Wi-Fi

Conexión compartida a Internet (ICS) no estádisponible.

Prohibir compartir internet

El dispositivo no se conectará automáticamente alos puntos de acceso Wi-Fi.

Prohibir conexión automática a puntos deacceso Wi-Fi Sense

El dispositivo no enviará información sobre lasconexiones Wi-Fi.

Prohibir informes de puntos de acceso

Los usuarios no pueden configurar conexionesWi-Fi más allá de las conexiones que estánconfiguradas por Sophos Mobile Control.

Prohibir configuración manual

Sección Conectividad:


La transmisión de datos en proximidad (NFC) noestá disponible.

Prohibir NFC

Bluetooth no está disponible.Prohibir Bluetooth

No se permite la conexión USB entre el dispositivoy un ordenador para sincronizar archivos ni para

Prohibir conexión USB

utilizar herramientas de desarrollo a fin dedesplegar o depurar aplicaciones. Esto no afectaa la carga USB.

Sección Itinerancia y costes:

125



Las conexiones de datos a través de redes móvilesextranjeras no están disponibles.

Prohibir roaming de datos móviles

Las conexiones VPN a través de redes móviles noestán disponibles.

Prohibir VPN vía móvil

Las conexiones VPN a través de redes móvilesextranjeras no están disponibles.

Prohibir roaming VPN vía móvil

Sección Seguridad y privacidad:


Bing Vision no guardará el contenido de lasimágenes capturadas al realizar búsquedas deBing Vision.

Prohibir a Bing Vision guardar imágenes desdela búsqueda de Bing Vision

La búsqueda no puede utilizar la información sobrela ubicación.

Prohibir usar localización al buscar

Los usuarios no pueden instalar manualmentecertificados raíz ni certificados de CA intermedia.

Prohibir instalación manual de certificados raíz

Se borran y se desactivan todos los ajustes deprivacidad de ubicación del dispositivo. Ninguna

Prohibir localización

app puede utilizar el servicio de localización.También se prohíbe que Sophos Mobile Controlpueda localizar el dispositivo.

Seleccione en esta lista en nivel de filtrado de losresultados de búsqueda que se impone en eldispositivo:

Permiso SafeSearch

Moderado: Filtrado moderado del contenidopara adultos. Los resultados de búsquedaválidos no se filtrarán.

Estricto: Filtrado máximo del contenido paraadultos.

Sección Anulación de inscripción:

126



Los usuarios no pueden restablecer los valores defábrica del dispositivo a través del panel de controlni de combinaciones de teclas de hardware.

Prohibir a usuarios restablecer el teléfono

Los usuarios no pueden eliminar la cuenta del áreade trabajo.

Prohibir anulación de registro en MDM manual

Exchange ActiveSync









Usuario






Contraseña

En esta lista, seleccione el intervalo desincronización. Este es el número de días durante


los que se sincronizan los elementos. Si seespecifica aquí un periodo de tiempo, no sesincronizan todos los elementos en la bandeja deentrada del dispositivo administrado, sino solo loselementos que se correspondan al periodo

127



especificado. Puede seleccionar los periodos desincronización siguientes:

Ilimitado

Tres días

Una semana

Dos semanas

Un mes

En esta lista, seleccione el intervalo entre losprocesos de sincronización:


Sincronizar al recibir

Manualmente

10 minutos

15 minutos

30 minutos

Una hora


SSL

En esta lista, seleccione el tipo de elementos quese deben sincronizar:


Correos electrónicos

Contactos

Calendario

Tareas

Wi-Fi




SSID

La conexión se establecerá automáticamente.Conectar automáticamente

128



La red deseada no es de tipo abierto o no estávisible.

Red oculta

Seleccione el tipo de seguridad en la lista. Siselecciona WPA-PSK o WPA2-PSK debeespecificar la contraseña.

Tipo de seguridad

Si selecciona Manualmente en la lista, debeespecificar el servidor y el puerto.

Proxy

Restricciones de apps

En esta configuración puede permitir o bloquear apps en dispositivos de forma específica.


Contiene un conjunto de apps específicas que losusuarios pueden instalar y usar en el dispositivo.

Apps permitidas

Los usuarios no pueden instalar ni utilizar ningunaapp que no esté incluida explícitamente en la lista.

Use Apps permitidas cuando sabe la lista de appsque quiere permitir y quiera bloquear todas lasdemás.

Contiene un conjunto de apps específicas que losusuarios no pueden instalar ni ejecutar en el

Apps prohibidas

dispositivo. Los usuarios pueden instalar o usarcualquier app que no esté incluida explícitamenteen la lista.

Use Apps prohibidas cuando sabe la lista deapps que quiere bloquear y quiera permitir todaslas demás.

Seleccione el Grupo de apps que contiene la listade apps que desea permitir o bloquear.

Nota: el grupo de apps debe crearse deantemano. Consulte Trabajar con grupos de appsen la página 157.

Grupo de apps

Certificado raíz

En esta configuración puede cargar un certificado raíz para los dispositivos. Puede añadirmúltiples configuraciones de Certificado raíz. Haga clic en Subir un archivo y busque el

129


certificado. Selecciónelo y haga clic en Aceptar. El nombre del certificado se muestra en elcampo Nombre de certificado.

Nota: el certificado cargado aquí solo está disponible para esta política. Si requiere certificadosen otras políticas, debe subirlos de nuevo.

SCEP

Para la configuración SCEP, consulte Crear política de dispositivo SCEP Windows Mobileen la página 43.

13.4.2 Configuraciones Windows Desktop disponibles

Al crear o editar una política están disponibles las siguientes configuraciones para políticasde Windows Desktop en la página Configuraciones disponibles. Algunas configuracionessolo se pueden añadir una vez dentro de una política, mientras que otras se pueden añadirvarias veces.



En esta configuración puede definir las reglas para las contraseñas de los dispositivos. Soloes posible añadir una configuración de Políticas de contraseña dentro de una política.

Nota: las reglas de complejidad de contraseña (es decir, la longitud, el número de letras enmayúsculas y minúsculas) para dispositivos de Windows Desktop son fijas y no pueden serestablecidas por políticas de Sophos Mobile Control. Para obtener más información, consulteReglas de complejidad de contraseña de Windows Desktop en la página 138.

Nota: las políticas de contraseñas no se pueden asignar a un dispositivo Windows Desktopsi hay otros usuarios locales configurados en el dispositivo (además del usario inscrito enSophos Mobile Control) y uno o más de ellos no tienen permiso para cambiar su contraseña.



Número máximo de intentos fallidos


En este campo puede especificar en minutos eltiempo que puede estar sin usarse el dispositivo

Tiempo en minutos hasta el bloqueo deldispositivo




comparar con nuevas contraseñas. Cuando elusuario define una contraseña, no se aceptará sicoincide con una contraseña que ya se ha usado.

130



Rango de valores: 1 a 50 o 0 (sin historial decontraseñas).



Restricciones

En esta configuración puede definir las restricciones para los dispositivos. Solo es posibleañadir una configuración de Restricciones dentro de una política.

Sección Dispositivo:


Los usuarios no pueden acceder a la tarjeta dealmacenamiento. Esto no impide el accesoprogramático a la tarjeta de almacenamiento.

Prohibir tarjeta SD

Prohíbe añadir todos los tipos de cuentas decorreo electrónico, así como cuentas de Exchange,Office 365 y Outlook.

Prohibir añadir manualmente cuentas de correoelectrónico que no sean de Microsoft

El modo desarrollador de Windows estádesactivado y no puede ser activado por el usuario.

Prohibir modo desarrollador

La opción de privacidad Permitir que las appsaccedan a la cámara está desactivada y no puedeser activada por el usuario.

Prohibir cámara

Con esta opción seleccionada, la funciónAutocompletar del navegador Edge estádesactivada y no puede ser activada por el usuario.

Cuando esta opción no está seleccionada, lafunción Autocompletar está activada y no puedeser desactivada por el usuario.

Desactivar Autocompletar en Edge

Las herramientas de desarrollo F12 del navegadorEdge están desactivadas.

Desactivar Herramientas de desarrollo F12 enEdge

131



Con esta opción seleccionada, el bloqueador deelementos emergentes del navegador Edge estádesactivado y no puede ser activado por el usuario.

Cuando esta opción no está seleccionada, elbloqueador de elementos emergentes estáactivado y no puede ser desactivado por el usuario.

Desactivar Bloqueador de elementosemergentes en Edge

Las secciones correspondientes del panel decontrol de Windows están desactivadas. El usuario

Desactivar ajustes de reproducción automática

Desactivar ajustes de fecha y hora no puede cambiar ninguna de estas opciones deconfiguración una vez la política se haya asignadoal dispositivo.

Nota: Desactivar ajustes de reproducciónautomática no desactiva los ajustes para los

Desactivar ajuste de idioma

Desactivar ajustes de energía y suspensión dispositivos conectados, como p. ej., teléfonosmóviles.

Desactivar ajustes de región

Desactivar ajustes de inicio de sesión

Desactivar ajustes VPN

Desactivar ajustes de Mi empresa

Desactivar ajustes de cuenta

Telemetría

Sección Varios:


Cortana no está disponible.Prohibir Cortana

La opción para sincronizar la configuración deldispositivo entre dispositivos Windows no estádisponible.

Prohibir "Sincronizar mis ajustes"

La opción de notificaciones de WindowsMostrarme sugerencias de Windows estádesactivada.

Desactivar sugerencias de Windows

Sección Wi-Fi:

132



Conexión compartida a Internet (ICS) no estádisponible.

Prohibir compartir internet

El dispositivo no se conectará automáticamente alos puntos de acceso Wi-Fi.

Prohibir conexión automática a puntos deacceso Wi-Fi Sense

Sección Conectividad:


Bluetooth no está disponible.Prohibir Bluetooth

Sección Seguridad y privacidad:


La búsqueda no puede utilizar la información sobrela ubicación.

Prohibir usar localización al buscar

Sección Anulación de inscripción:


Los usuarios no pueden eliminar la cuenta del áreade trabajo.

Prohibir anulación de inscripción en MDMmanual

Exchange ActiveSync


Importante: si utiliza múltiples configuraciones para crear cuentas Exchange ActiveSync,es probable que los dispositivos solo puedan acceder al correo de una cuenta. Generalmente,esto ocurre cuando las cuentas se encuentran en servidores Exchange ActiveSync distintosy estos tienen definidas diferentes políticas de buzón de correo. Dado que los dispositivosWindows Desktop solo pueden aplicar una sola política de buzón de correo, no podránconectarse a las cuentas que utilicen una política distinta.

133









Usuario






Contraseña

Seleccione en esta lista el intervalo desincronización. Este es el número de días durante


los que se sincronizan los elementos. Si seespecifica aquí un periodo de tiempo, no sesincronizan todos los elementos en la bandeja deentrada del dispositivo administrado, sino solo loselementos que se correspondan al periodoespecificado. Puede seleccionar los periodos desincronización siguientes:

Ilimitado

Tres días

Una semana

Dos semanas

Un mes

En esta lista, seleccione el intervalo entre losprocesos de sincronización:


Sincronizar al recibir

Manualmente

10 minutos

134



15 minutos

30 minutos

Una hora


SSL

En este campo se selecciona el tipo de elementosque se deben sincronizar:


Correos electrónicos

Contactos

Calendario

Tareas

Wi-Fi




SSID

La conexión se establecerá automáticamente.Conectar automáticamente

La red deseada no es de tipo abierto o no estávisible.

Red oculta

Seleccione el tipo de seguridad en la lista. Siselecciona WPA-PSK o WPA2-PSK debeespecificar la contraseña.

Tipo de seguridad

Si selecciona Manualmente en la lista, debeespecificar el servidor y el puerto.

Proxy

Certificado raíz

En esta configuración puede cargar un certificado raíz para los dispositivos. Puede añadirmúltiples configuraciones de Certificado raíz. Haga clic en Subir un archivo y busque el

135


certificado. Selecciónelo y haga clic en Aceptar. El nombre del certificado se muestra en elcampo Nombre de certificado.

Nota: el certificado cargado aquí solo está disponible para esta política. Si requiere certificadosen otras políticas, debe subirlos de nuevo.

13.5 Marcadores en perfiles y políticasLos perfiles y las políticas pueden contener marcadores que se sustituyen por datos actualesen el momento de ejecutarse la tarea. Los marcadores que se pueden usar en los perfilesson los siguientes:

■ Marcadores para datos de usuarios de Active Directory:

■ %_EMAILADDRESS_%

■ %_USERNAME_%

■ Marcadores de propiedades de dispositivo:

■ %_DEVPROP(nombre de propiedad)_%

nombre de propiedad puede ser una propiedad estándar o una propiedadpersonalizada del dispositivo. Consulte Definir propiedades personalizadas paradispositivos en la página 165.

■ Marcadores de propiedades de cliente:

■ %_CUSTPROP(nombre de propiedad)_%

Consulte Definir propiedades de cliente en la página 23.

13.6 Transferir perfiles1. En la barra lateral de menú, en CONFIGURAR, haga clic en Perfiles, políticas y, a

continuación, haga clic en uno de los dispositivos compatibles con los perfiles:

■ Android■ Apple iOS

Aparece la página Perfiles y políticas para la plataforma seleccionada.

2. Haga clic en el triángulo azul junto al perfil que desea transferir y seleccione Transferir.

Aparece la página Seleccionar dispositivos.


■ Seleccionar los dispositivos individuales a los que quiere transferir el perfil.■ Haga clic en Seleccionar grupos de dispositivos y seleccione uno o varios grupos

de dispositivos para transferir el perfil.

4. Una vez realizada la selección, haga clic en Siguiente.

Aparece la página Establecer fecha de ejecución.

5. En Fecha programada, seleccione Ahora o especifique una Fecha y una Hora para laejecución de esta tarea.

136


6. Haga clic en Finalizar.

Aparece la vista Tarea.

El perfil se transfiere a los dispositivos seleccionados en la fecha y hora seleccionadas.

13.7 Asignar políticas1. En la barra lateral de menú, en CONFIGURAR, haga clic en Perfiles, políticas y, a

continuación, haga clic en una de las plataformas de dispositivo compatibles con laspolíticas:

■ Android■ Apple iOS■ Windows Mobile■ Windows Desktop


2. Haga clic en el triángulo azul junto a la política que desea asignar y seleccione Asignar.



■ Seleccionar los dispositivos individuales a los que quiere asignar la política.■ Haga clic en Seleccionar grupos de dispositivos y seleccione uno o varios grupos

de dispositivos para asignar la política.

4. Una vez realizada la selección, haga clic en Finalizar.

La política se asigna a los dispositivos seleccionados y se activa un proceso de sincronizaciónpara los dispositivos seleccionados.

13.8 Descargar perfiles y políticas de la consola webPuede descargar perfiles y políticas que ha configurado en la consola web. Esto resulta útilsi, p. ej., tiene que enviar la configuración definida al soporte de Sophos.

1. En la barra lateral de menús, vaya a Perfiles, políticas y haga clic en la plataforma dedispositivo.


2. Haga clic en el nombre del perfil o política correspondiente.

Aparece la página Mostrar perfil o Mostrar política.

3. Haga clic en Descargar.

El perfil o la política se guarda en su ordenador local de la siguiente forma:

■ Los perfiles iOS se guardan como archivos XML Plist con la extensión .mobileconfig.

■ Los perfiles Android se guardan como archivos XML con la extensión .smcprofile.

■ Las políticas iOS y Android se guardan como archivos JSON.

■ Las políticas Windows Mobile se guardan como archivos XML con la extensión.windowsphoneconfig.

137


■ Las políticas Windows Desktop se guardan como archivos XML con la extensión.windowsdesktopconfig.

13.9 Reglas de complejidad de contraseña de WindowsDesktopLas reglas de complejidad de contraseña (es decir, la longitud, el número de letras enmayúsculas y minúsculas) para dispositivos de Windows Desktop son fijas y no pueden serestablecidas por políticas de Sophos Mobile Control. Existen reglas diferentes para las cuentaslocales y las cuentas Microsoft.

Cuentas locales■ La contraseña no puede contener el nombre de cuenta del usuario ni más de dos caracteres

consecutivos del nombre completo del usuario.

■ La contraseña debe tener al menos seis caracteres.

■ La contraseña debe contener caracteres de tres de las cuatro categorías siguientes:

■ Caracteres en mayúscula A-Z (alfabeto latino)

■ Caracteres en minúscula a-z (alfabeto latino)

■ Dígitos del 0-9

■ Caracteres especiales (!, $, #, %, etc.)

Cuentas Microsoft■ La contraseña debe tener al menos ocho caracteres.

■ La contraseña debe contener caracteres de dos de las cuatro categorías siguientes:

■ Caracteres en mayúscula A-Z (alfabeto latino)

■ Caracteres en minúscula a-z (alfabeto latino)

■ Dígitos del 0-9

■ Caracteres especiales (!, $, #, %, etc.)

138


14 Trabajar con paquetes de tareasLos paquetes de tareas permiten agrupar varias tareas en una sola transacción. De estaforma puede agrupar todas las tareas necesarias para inscribir y configurar un dispositivo:

■ Inscribir el dispositivo.

■ Aplicar las políticas necesarias.

■ Instalar las aplicaciones necesarias (p. ej., apps administradas para dispositivos iOS).

■ Aplique los perfiles necesarios.

También puede incluir comandos de borrado en los paquetes de tareas para automáticamenteborrar dispositivos infractores (p. ej., con jailbreak o rooteados). Para más información,consulte Reglas de cumplimiento en la página 45.

14.1 Crear paquetes de tareas1. En la barra lateral de menús, en CONFIGURAR, haga clic en Paquetes de tareas y

seleccione Android o Apple iOS.

Aparece la página Paquetes de tareas.

2. Haga clic en Crear paquete de tareas.

Aparece la página Editar paquete de tareas.

3. Introduzca un Nombre, una Versión y una Descripción.

Nota: los campos obligatorios están señalados con un asterisco.

4. En Sistemas operativos seleccione los sistemas operativos a los que aplica el nuevopaquete de tareas.

5. Al seleccionar la opción Seleccionable para acciones de cumplimiento, el paquete detareas se puede cargar en un dispositivo cuando el dispositivo infringe una regla decumplimiento. Consulte Reglas de cumplimiento en la página 45.

Nota: esta opción se desactiva cuando se edita un paquete de tareas existente y elpaquete de tareas se está usando ya como una acción de cumplimiento.

6. Haga clic en Crear paquete.

7. Seleccione el tipo de tarea y haga clic en Siguiente.

La vista siguiente depende del tipo de tarea que ha seleccionado. En cada vista es posibleespecificar nombres significativos propios. Los nombres de las tareas se muestran durantela instalación en el portal de autoservicio.

8. Siga los pasos del asistente para añadir la tarea necesaria y haga clic en Aplicar paracrear la tarea.

Para ver una descripción de los tipos de tareas disponibles, consulte Tipos de tareas deAndroid disponibles en la página 140 y Tipos de tareas de iOS disponibles en la página143.

9. En caso necesario, añada más tareas al paquete de tareas.

Consejo: puede cambiar el orden de instalación de las tareas por medio de las flechasdel lado derecho de la lista de tareas.

139


10. Una vez que haya añadido todas las tareas necesarias al paquete de tareas, haga clic enGuardar en la página Editar paquete de tareas.

Nota: cuando se edita un paquete de tareas existente que se usa como un Paqueteinicial en las opciones del portal de autoservicio, la tarea de inscripción no se puedeeliminar. Consulte Configurar las opciones del portal de autoservicio en la página 26.

El paquete de tareas está disponible para transferirse. Se muestra en la página Paquetesde tareas.

14.2 Tipos de tareas de Android disponiblesEstán disponibles los siguientes tipos de tareas para los paquetes de tareas de Android.

Inscribir

Al transferir la tarea a los dispositivos, se envía un correo electrónico de inscripción a ladirección de correo electrónico configurada para cada dispositivo. Los usuarios deben seguirlos pasos descritos en el correo para inscribir su dispositivo.

Al transferir la tarea a un dispositivo que ya está inscrito, no se envía ningún correo deinscripción.

Instalar perfil o asignar política

Seleccione un perfil o una política de la lista de perfiles y políticas disponibles. Para obtenerinformación sobre cómo añadir perfiles o políticas a esta lista, consulte Crear perfiles y políticasAndroid en la página 56.

Al transferir la tarea a los dispositivos, se instala de forma silenciosa el perfil o se asigna deforma silenciosa la política.

Puede añadir más de una tarea de este tipo a un paquete de tareas.

Quitar perfil

En Seleccionar origen, seleccione Perfiles y luego seleccione un perfil de la lista.

Además de los perfiles que están disponibles en el servidor de Sophos Mobile Control, lalista incluye los perfiles que están en uso en los dispositivos administrados.

También puede eliminar un perfil que no se encuentre en la lista. Seleccione Identificadore introduzca el identificador del perfil que quiera eliminar de los dispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa el perfil.


Nota: no puede eliminar directamente una política de contenedor de Sophos ni una políticade seguridad para dispositivos móviles de los dispositivos. En su lugar, utilice la acción dedispositivo Anular inscripción del contenedor de Sophos o Anular inscripción de SMSec.Esto también eliminará las políticas relacionadas del dispositivo.

140


Instalar app

Seleccione una app de la lista de apps disponibles. Para obtener información sobre cómoañadir apps a esta lista, consulte Añadir app en la página 147.

Al transferir la tarea a los dispositivos, los usuarios reciben una notificación en sus dispositivosde que Sophos Mobile Control quiere instalar la app. Los usuarios pueden tocar Aceptarpara iniciar el proceso o Ahora no para volver a recibir la notificación pasado un breve periodode tiempo.

Si los usuarios tocan Aceptar pero luego tocan Cancelar en el siguiente cuadro de diálogode Android, la tarea falla.

Si la app ya está instalada en el dispositivo que recibe la tarea, la app se actualiza.


Eliminar app

En Seleccionar origen, seleccione Apps para elegir la app que debe eliminarse de la listade apps disponibles.

Además de las apps disponibles en el servidor de Sophos Mobile Control, la lista incluyeapps que están en uso en los dispositivos administrados, con la excepción de las apps delsistema Android y las apps que haya preinstalado el fabricante del dispositivo.

También puede eliminar una app que no se encuentre en la lista. Seleccione Identificadore introduzca el nombre del paquete de la app que quiera eliminar de los dispositivos. Siselecciona App de contenedor, la app se eliminará del contenedor Samsung KNOX.

Al transferir la tarea a los dispositivos, los usuarios reciben una notificación en sus dispositivosde que Sophos Mobile Control quiere eliminar la app. Los usuarios pueden tocar Aceptarpara iniciar el proceso o Ahora no para volver a recibir la notificación pasado un breve periodode tiempo.

Si los usuarios tocan Aceptar pero luego tocan Cancelar en el siguiente cuadro de diálogode Android, la tarea no se transfiere.

Si la app no está está instalada en el dispositivo que recibe la tarea, no se muestra ningunanotificación.


Enviar mensaje

Introduzca el texto sin formato que se mostrará en los dispositivos.

Al transferir la tarea a los dispositivos, el texto del mensaje se muestra en una ventana denotificación. Los usuarios pueden ver los mensajes anteriores en la página Mensajes de laapp Sophos Mobile Control.


Anular inscripción

Al transferir la tarea a los dispositivos, se anula su inscripción de Sophos Mobile Control.Consulte Retirar dispositivos en la página 169. Los usuarios de los dispositivos no necesitanconfirmar la operación.

141


No puede añadir una tarea Anular inscripción y una tarea Borrar al mismo paquete detareas.

Borrar

Al transferir la tarea a los dispositivos, se restablece la configuración de fábrica en ellos. Losusuarios de los dispositivos no necesitan confirmar la operación.

Importante: utilice este tipo de tarea con precaución. Se eliminarán todos los datos de losdispositivos que reciban la tarea sin confirmación por parte del usuario.


Contenedor KNOX: bloquear

Al transferir la tarea a un dispositivo Samsung compatible con Samsung KNOX, se bloqueael contenedor KNOX.

Si la tarea se transfiere a un dispositivo que no admite Samsung KNOX, la tarea falla.

Contenedor KNOX: desbloquear

Al transferir la tarea a un dispositivo Samsung compatible con Samsung KNOX, se desbloqueael contenedor KNOX.


Contenedor KNOX: restablecer contraseña

Al transferir la tarea a un dispositivo Samsung compatible con Samsung KNOX, se restablecela contraseña del contenedor KNOX. Los usuarios deben establecer una nueva contraseñapara desbloquear el contenedor KNOX.


Contenedor KNOX: quitar todos los ajustes

Al transferir la tarea a un dispositivo Samsung compatible con Samsung KNOX, se eliminael contenedor KNOX.


Activar escaneado de SMSec

Al transferir la tarea a los dispositivos, la app Sophos Mobile Security se activa de formasilenciosa para realizar un escaneo en busca de malware y apps no deseadas (PUA).

Esta tarea requiere que Sophos Mobile Security se administre desde Sophos Mobile Control,es decir, que se asigne una política de seguridad para dispositivos móviles al dispositivo.Consulte Administrar Sophos Mobile Security desde Sophos Mobile Control en la página 183.

Si Sophos Mobile Security no es administrado por Sophos Mobile Control en el dispositivoque recibe la tarea (es decir, si la app no está instalada en el contenedor de Sophos), la tareapermanece en el estado Se reintentará.

142


14.3 Tipos de tareas de iOS disponiblesEstán disponibles los siguientes tipos de tareas para los paquetes de tareas de iOS.

Inscribir

Al transferir la tarea a los dispositivos, se envía un correo electrónico de inscripción a ladirección de correo electrónico configurada para cada dispositivo. Los usuarios deben seguirlos pasos descritos en el correo para inscribir su dispositivo.

Al transferir la tarea a un dispositivo que ya está inscrito, no se envía ningún correo deinscripción.

Instalar perfil o asignar política

Seleccione un perfil o una política de la lista de perfiles y políticas disponibles. Para obtenerinformación sobre cómo añadir perfiles o políticas a esta lista, consulte Crear perfiles y políticasiOS en la página 85.

Al transferir la tarea a los dispositivos, se instala de forma silenciosa el perfil o se asigna deforma silenciosa la política.


Quitar perfil

En Seleccionar origen, seleccione Perfiles y luego seleccione un perfil de la lista.


También puede eliminar un perfil que no se encuentre en la lista. Seleccione Identificadore introduzca el identificador del perfil que quiera eliminar de los dispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa el perfil.


Nota: no puede eliminar directamente una política de contenedor de Sophos de losdispositivos. En su lugar, utilice la acción de dispositivo Anular inscripción del contenedorde Sophos. Esto también eliminará la política relacionada del dispositivo.

Instalar perfil de aprovisionamiento

Seleccione un perfil de aprovisionamiento de apps de la lista de perfiles disponibles. Paraobtener información sobre cómo añadir perfiles a esta lista, consulte Importar perfiles deaprovisionamiento para apps iOS en la página 121.

Al transferir la tarea a los dispositivos, se instala de forma silenciosa el perfil deaprovisionamiento.

Quitar perfil de aprovisionamiento

En Seleccionar origen, seleccione Perfiles y luego seleccione un perfil de aprovisionamientode la lista.

143



También puede eliminar un perfil de aprovisionamiento que no se encuentre en la lista.Seleccione Identificador e introduzca el identificador del perfil que quiera eliminar de losdispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa el perfil deaprovisionamiento.

Instalar app

Seleccione una app de la lista de apps disponibles. Para obtener información sobre cómoañadir apps a esta lista, consulte Añadir app en la página 147.

Al transferir la tarea a los dispositivos, los usuarios reciben una notificación en sus dispositivosde que Sophos Mobile Control quiere instalar la app. Los usuarios pueden tocar Instalar parainiciar el proceso o Cancelar para rechazar la instalación.

Si los usuarios rechazan la instalación, la tarea falla.

Si la app ya está instalada en el dispositivo que recibe la tarea, la app se actualiza.


Eliminar app

En Seleccionar origen, seleccione Apps para elegir la app que debe eliminarse de la listade apps disponibles.

Además de las apps que están disponibles en el servidor de Sophos Mobile Control, la listaincluye las apps que están en uso en los dispositivos administrados, con la excepción de lasapps del sistema iOS.

También puede eliminar una app que no se encuentre en la lista. Seleccione Identificadore introduzca el ID del paquete de la app que quiera eliminar de los dispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa la app.


Enviar mensaje

Introduzca el texto sin formato que se mostrará en los dispositivos.

Al transferir la tarea a los dispositivos, el texto del mensaje se muestra en una ventana denotificación. Los usuarios pueden ver los mensajes anteriores en la página Mensajes de laapp Sophos Mobile Control.


Anular inscripción

Al transferir la tarea a los dispositivos, se anula su inscripción de Sophos Mobile Control.Consulte Retirar dispositivos en la página 169. Los usuarios de los dispositivos no necesitanconfirmar la operación.


144


Borrar

Al transferir la tarea a los dispositivos, se restablece la configuración de fábrica en ellos. Losusuarios de los dispositivos no necesitan confirmar la operación.

Importante: utilice este tipo de tarea con precaución. Se eliminarán todos los datos de losdispositivos que reciban la tarea sin confirmación por parte del usuario.


14.4 Duplicar paquetes de tareasComo la creación de un paquete de tareas puede consumir bastante tiempo, es posibleduplicar paquetes de tareas ya finalizados. Esta función resulta útil cuando se requierenvarios paquetes de tareas extensos con tareas similares. Entonces solo es necesario eliminaro añadir unas pocas tareas.

Nota: solo se pueden duplicar paquetes de tareas si no se están editando a la vez. Lascopias se nombran "Copy of" seguido por el nombre original. Puede renombrar los paquetessegún sus requisitos.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Paquetes de tareas yseleccione Android o Apple iOS.


2. Haga clic en el triángulo azul junto al paquete de tareas que desea duplicar y haga clicen Duplicar.

El paquete de tareas se duplica y se muestra en la página Paquetes de tareas. Ahora puedeeditar el paquete de tareas duplicado según sea necesario. Para editar el paquete de tareas,haga clic en el triángulo azulo junto al mismo y haga clic en Editar.

14.5 Transferir paquetes de tareas a dispositivosindividuales o grupos de dispositivos1. En la barra lateral de menús, en CONFIGURAR, haga clic en Paquetes de tareas y

seleccione Android o Apple iOS.


2. Haga clic en el triángulo azul junto a la tarea correspondiente y haga clic en Transferir.



■ Seleccionar los dispositivos individuales a los que quiere transferir el paquete de tareas.■ Haga clic en Seleccionar grupos de dispositivos para abrir la página Seleccionar

grupos de dispositivos y seleccione uno o varios grupos de dispositivos para transferirel paquete de tareas.

4. Una vez realizada la selección, haga clic en Siguiente.

Aparece la página Establecer fecha de ejecución.

145


5. En Fecha programada, seleccione Ahora o especifique una Fecha y una Hora para laejecución de esta tarea.


Aparece la vista Tarea.

El paquete de tareas se transfiere a los dispositivos seleccionados en la fecha y horaespecificadas.

146


15 Trabajar con appsEn Sophos Mobile Control las apps se configuran para ponerlas a disposición para suinstalación a través de la consola web (a petición del administrador) o a través de la appSophos Mobile Control (a petición del usuario).

Las apps se pueden poner a disposición en Sophos Mobile Control mediante una de lasopciones siguientes:

■ Suba el paquete de app al servidor de Sophos Mobile Control. Esta opción no estádisponible para apps de Windows Mobile.

■ Proporcione un enlace a la app en la tienda de apps correspondiente.

Para ambas opciones, consulte la sección Añadir app en la página 147.

Para instalar una app en un dispositivo, cree un paquete de tareas que contenga una tareaInstalar app. Para dispositivos iOS y Android, puede crear estos paquetes de tareasdirectamente en la página Apps. Consulte Instalar app en la página 149.

Nota:

Para poder instalar paquetes de apps almacenados en el servidor de Sophos Mobile Control(a diferencia de las instalaciones desde la tienda de apps), deben cumplirse las siguientescondiciones:

■ Para Android, la opción de seguridad de Android Fuentes desconocidas debe estaractivada en los dispositivos. Si se intenta instalar un archivo APK con la opción Fuentesdesconocidas desactivada, la app Sophos Mobile Control dirigirá a los usuarios a lapágina en la que pueden activar la opción. Esta restricción no se aplica a dispositivos conLG GATE, Samsung KNOX o Sony Enterprise API.

■ Para iOS, la instalación de apps desde archivos IPA solo es posible para las apps dedesarrollo propio. Cuando la app está lista para su distribución, debe crear un perfil deaprovisionamiento para la app y hacer que esté disponible en los dispositivos, ya seainstalándolo previamente por separado o incluyéndolo en el archivo IPA de la app. Puedeutilizar Sophos Mobile Control para distribuir perfiles de aprovisionamiento a sus dispositivosiOS. Consulte Importar perfiles de aprovisionamiento para apps iOS en la página 121. Paraobtener detalles sobre los perfiles de aprovisionamiento, consulte la Biblioteca paradesarrolladores de iOS.

15.1 Añadir appPara poner una app a disposición para su instalación, se puede subir el paquete de app ocrear un enlace a la app en la tienda de apps correspondiente.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y seleccione laplataforma a la que va a añadir la app.

2. En la página Apps, haga clic en Añadir app y, a continuación, seleccione:

■ Paquete de Android o Paquete de iOS para añadir la app cargando el archivo APK(para apps de Android) o el archivo IPA (para apps de iOS).

■ Enlace de Android, Enlace de iOS o Enlace de Windows Mobile para añadir la appenlazándola a la tienda de apps correspondiente.

En la página siguiente puede configurar los detalles de la app.

147


Nota: para enlaces de iOS, puede hacer clic en Buscar en iTunes para buscar la app enla base de datos de iTunes. Al seleccionar una app en la lista de resultados de la búsqueda,los campos correspondientes en la página Editar enlace de iOS se rellenarán con los valorescorrespondientes de iTunes.

3. Introduzca un Nombre y, opcionalmente, una Versión para la nueva app.

4. En el campo Identificador de app puede introducir opcionalmente el identificador internode la app.

Deje este campo vacío si no conoce el identificador exacto. En la mayoría de los casos,Sophos Mobile Control puede leer el valor desde la propia app y rellena este campoautomáticamente.

5. En el campo Categoría de app, introduzca opcionalmente un nombre de categoría, p.ej., Recomendada.

Cuando la app se pone a disposición en el Almacén empresarial de aplicaciones segúnse describe en el paso siguiente, la app se incluirá en una sección con ese nombre.

6. La app se puede poner a disposición en el Almacén empresarial de aplicaciones para quela instalación pueda ser iniciada por el usuario. Haga clic en Mostrar, junto a Disponiblepara grupos de dispositivos, y seleccione uno o más grupos de dispositivos para losque la app se incluirá en el Almacén empresarial de aplicaciones.

7. Para dispositivos iOS, al seleccionar Instalación administrada de SMC, la app se instalarácomo una app administrada.

8. En el campo de texto Descripción introduzca opcionalmente una descripción que semostrará en el Almacén empresarial de aplicaciones.

9. Haga clic en Mostrar, junto a Sistemas operativos, y seleccione las versiones de lossistemas operativos a las que aplica la app.

10. Para dispositivos Samsung KNOX, al seleccionar Instalar en contenedor KNOX, la appse instalará dentro del contenedor KNOX.

Esta opción solo está disponible cuando se ha configurado una clave de licencia KNOXAdvanced en la página Configuración del sistema.

11. Configure la fuente de la app.

■ Para enlaces de apps, introduzca la URL de la app en la tienda de apps correspondienteen el campo Enlace.

Para determinar la URL, haga clic en el enlace debajo del campo Enlace para abrir latienda de apps en una pestaña nueva del navegador y navegar hasta la página de laapp. A continuación, copie la URL desde la barra de direcciones de la pestaña y cópielaen el campo Enlace.

■ Para paquetes de app, haga clic en Subir un archivo para subir la app al servidor deSophos Mobile Control. Desplácese hasta el archivo APK (para apps de Android apps)o el archivo IPA (para apps de iOS) y haga clic en Abrir.

Nota:

El tamaño del archivo del paquete no debe superar un determinado límite.

En instalaciones locales, el límite está configurado por su superadministrador. ParaSophos Mobile Control como servicio, está establecido en 100 MB por paquete.

12. Una vez configurados los detalles de la app, haga clic en Guardar para guardar laconfiguración de la app y volver a la página Apps.

La app está disponible para instalar. Se muestra en la página Apps. Si ha configurado elcampo Disponible para grupos de dispositivos, la app también se muestra en el Almacénempresarial de aplicaciones de la app de Sophos Mobile Control desde el cual los usuarios

148


podrán instalarla. El proceso de instalación se ejecuta en segundo plano o con muy pocasintervenciones por parte del usuario. Para más información acerca de la instalación de appsa petición de los usuarios, consulte la Ayuda de usuario de Sophos Mobile Control.

15.2 Instalar appNota: esta sección solo aplica a dispositivos iOS y Android.

Una vez añadidas apps a Sophos Mobile Control según se describe en Añadir app en lapágina 147, es posible instalarlas manualmente en dispositivos y grupos de dispositivosseleccionados.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y, a continuación, enAndroid o Apple iOS.

Aparece la página Apps.

2. En la página Apps, haga clic en el triángulo azul junto a la app correspondiente y hagaclic en Instalar.

3. Seleccione los dispositivos en los que desea instalar la app. Escoja una de las siguientesopciones:

■ Seleccione dispositivos individuales.■ Haga clic en Seleccionar grupos de dispositivos y, a continuación, seleccione grupos

de dispositivos.

Cuando haya terminado, haga clic en Siguiente.

4. En la página Establecer fecha de ejecución, especifique la fecha en la que se instalarála app:

■ Seleccione Ahora para que se instale inmediatamente.■ Seleccione Fecha e introduzca una fecha y hora para su instalación programada.


La app seleccionada se instala en el dispositivo seleccionado en la fecha y hora especificadas.

En dispositivos iOS supervisados y en dispositivos Android con el plugin Samsung SAFE,las apps se instalan en segundo plano, es decir sin intervención por parte del usuario.

15.3 Desinstalar appsNota: esta sección solo aplica a dispositivos iOS y Android.

Una vez añadidas apps a Sophos Mobile Control según se describe en Añadir app en lapágina 147, es posible desinstalarlas manualmente de dispositivos y grupos de dispositivosseleccionados.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y, a continuación, enAndroid o Apple iOS.

2. En la página Apps, haga clic en Desinstalar.

3. Seleccione los dispositivos en los que desea desinstalar una app. Escoja una de lassiguientes opciones:

■ Seleccione dispositivos individuales.■ Haga clic en Seleccionar grupos de dispositivos y, a continuación, seleccione grupos

de dispositivos.

149




4. En la página Seleccionar app, seleccione la app correspondiente.

5. En la página Establecer fecha de ejecución, especifique la fecha en la que se desinstalarála app:

■ Seleccione Ahora para que se desinstale inmediatamente.■ Seleccione Fecha e introduzca una fecha y hora para su desinstalación programada.


La app seleccionada se desinstala del dispositivo seleccionado en la fecha y horaespecificadas.

En dispositivos iOS supervisados y en dispositivos Android con el plugin Samsung SAFE,las apps administradas se desinstalan en segundo plano, es decir sin intervención por partedel usuario.

15.4 Administrar apps adquiridas a través del VPP de AppleCon el Programa de compras por volumen de Apple (VPP) puede adquirir apps iOS engrandes cantidades para distribuirlas en su empresa.

Una vez se ha completado un pedido con el Programa de compras por volumen (VPP) deApple, puede descargar el token de servicio (sToken) que contiene las licencias para lasapps adquiridas.

En la consola web de Sophos Mobile Control, puede proporcionar las licencias incluidas enlos sToken a los usuarios invitándolos a convertirse en usuarios autorizados del Programade compras por volumen de Apple. Después de aceptar esta invitación, pasan a ser usuariosautorizados del VPP de Apple y les puede asignar apps VPP. Los usuarios pueden instalarapps VPP asignadas en sus dispositivos con iTunes.

También puede asignar apps VPP a dispositivos con iOS 9 o posterior. No necesita invitar adispositivos al VPP. Una app VPP asignada se instala en un dispositivo mediante SophosMobile Control.

El proceso de invitación para convertirse en usuario autorizado del Programa de compraspor volumen de Apple es distinto en función de si se usa la administración de usuarios internao externa de Sophos Mobile Control. Las instrucciones en las secciones siguientes describenambas variantes.

Para información sobre la administración de usuarios interna o externa, consulte la Guía desuperadministrador de Sophos Mobile Control. Alternativamente, si está usando SophosMobile Control como servicio, consulte Configurar la administración de usuarios del portal deautoservicio en la página 30.

Para información detallada sobre cómo inscribirse en el Programa de compras por volumende Apple y usarlo, consulte http://www.apple.com/business/vpp/.

Para obtener más información sobre cómo asignar apps de VPP a usuarios o dispositivos,consulte Asignar apps de VPP automáticamente en la página 153 y Asignar apps de VPPmanualmente en la página 154.

150


http://www.apple.com/business/vpp/

15.4.1 Instalar un sToken VPP

Para proporcionar licencias para las apps adquiridas a través del Programa de compras porvolumen (VPP) de Apple en Sophos Mobile Control, es necesario instalar un token de servicio(sToken) en la consola web.


2. En la página Configuración del sistema, haga clic en la ficha Apple VPP.

3. Haga clic en el enlace Apple iTunes VPP Portal.

A continuación se abre el portal web del VPP de Apple en una ventana nueva delnavegador.

4. En la página seleccione Empresas.

5. En el cuadro de diálogo Iniciar sesión en el Store para Empresas, introduzca su ID deApple y su contraseña.

6. Vaya a la página Resumen de cuenta y haga clic en Descargar token.

A continuación se genera el sToken y se guarda en su ordenador local en un archivo detexto con la extensión .vpptoken, según las preferencias de descarga de su navegadorweb.

7. En caso necesario, mueva el archivo a una ubicación a la que pueda acceder desde laconsola web de Sophos Mobile Control.

8. Vuelva a la ficha Apple VPP en la consola web de Sophos Mobile Control, haga clic enSubir un archivo, seleccione el archivo sToken y haga clic en Abrir.

Sophos Mobile Control lee el archivo y completa los campos de Organización y Fechade vencimiento a partir de los datos del sToken.

9. En la lista Asignar apps de VPP automáticamente al instalar, puede configurar laasignación automática de apps de VPP. Consulte Asignar apps de VPP automáticamenteen la página 153.

10. Opcionalmente, complete los campos restantes de la ficha Apple VPP.

En el campo País, introduzca el código de dos letras de su país, p. ej., US para los EstadosUnidos.


Nota: para notificar el vencimiento próximo del sToken, Sophos Mobile Control envía variosrecordatorios por correo electrónico a todos los administradores del cliente correspondientecomenzando 30 días antes a la fecha de vencimiento.

15.4.2 Invitar usuarios a VPP de Apple

Es necesario instalar un sToken antes de poder invitar usuarios al programa de compras porvolumen (VPP) de Apple. Consulte Instalar un sToken VPP en la página 151.


151


2. En la página Invitar usuarios, puede invitar todos los usuarios o usuarios específicos aVPP de Apple:

■ Para invitar todos los usuarios:

1. Haga clic en Invitar usuarios a VPP de Apple en la parte superior de la páginaMostrar usuarios.

2. Haga clic en Sí en el cuadro de diálogo de confirmación.

■ Para invitar un usuario específico:

1. Haga clic en el nombre de usuario correspondiente:2. En la página Mostrar usuario, haga clic en Invitar usuario a VPP.3. Haga clic en Sí en el cuadro de diálogo de confirmación.

■ Para invitar un usuario específico cuando los usuarios se gestionan externamente yel usuario no tienen ningún dispositivo inscrito todavía:

1. Haga clic en Buscar e invitar un usuario a VPP de Apple en la parte superior dela página Mostrar usuarios.

2. En el cuadro de diálogo Buscar usuario, busque el usuario por el nombre o ladirección de correo electrónico.

3. En la lista con los resultados de la búsqueda, seleccione el usuario que quiereinvitar a VPP de Apple.


Sophos Mobile Control envía un correo electrónico de invitación a todos los usuarioscorrespondientes.

Los usuarios deben seguir el enlace en el correo electrónico de invitación para conectar sucuenta de Apple iTunes a VPP de Apple. A continuación podrán instalar y usar las apps paralas que su empresa tiene licencias.

Nota:

Si se usa una gestión de usuarios externa y se invitan todos los usuarios a VPP de Apple,los usuarios que no tengan una dirección de correo electrónico asignada se registrarán enVPP de Apple, pero no recibirán el enlace para conectar su cuenta de Apple iTunes a VPPde Apple.

Para información sobre cómo completar el proceso de registro VPP en este caso, consulteInvitar usuarios sin dirección de correo electrónico a VPP de Apple en la página 152.

15.4.3 Invitar usuarios sin dirección de correo electrónico a VPP de Apple

Requisitos previos: Este procedimiento requiere una cuenta de superadministrador, por loque no aplica a Sophos Mobile Control como servicio.

Al invitar usuarios de un directorio de usuarios externo a VPP de Apple según se describeen Invitar usuarios a VPP de Apple en la página 151, los usuarios que no tengan una direcciónde correo electrónico asignada se registrarán en VPP de Apple, pero no recibirán el enlacepara conectar su cuenta de Apple iTunes a VPP de Apple.

En este caso, realice los pasos siguientes para completar el proceso de registro de VPP deApple.

1. Como superadministrador de Sophos Mobile Control, descargue los archivos de registrodel servidor.

Consulte la Guía de superadministrador de Sophos Mobile Control.

152


2. Identifique las cuentas de usuario afectadas en los archivos de registro.

3. En la barra lateral de menús de la consola web de Sophos Mobile Control, enADMINISTRAR, haga clic en Usuarios.

4. En la página Mostrar usuarios, haga clic en los nombres de usuario afectados.

5. En la página Mostrar usuarios, haga clic en Mostrar enlace de invitación.

Con usuarios externos sin dirección de correo electrónico, esta función no envía un correoelectrónico de invitación, sino que muestra un enlace de invitación en un cuadro demensaje.

6. Copie el enlace del cuadro de mensaje y comuníqueselo al usuario.

7. Repita estos pasos para todos los usuarios afectados.

Los usuarios deben seguir el enlace para conectar su cuenta de Apple iTunes a VPP deApple.

15.4.4 Administrar usuarios VPP de Apple

Una vez instalado un sToken VPP de Apple según se describe en Instalar un sToken VPPen la página 151, la página Mostrar usuario de cada usuario incluye una sección Programade compras por volumen (VPP) de Apple.

En esta sección puede realizar las siguientes tareas para ver o editar el estado VPP de Appledel usuario:

■ Vea el estado de usuario de VPP de Apple. Este puede ser:

■ No registrado: El usuario no ha sido invitado a VPP de Apple

■ Registrado: El usuario ha sido invitado a VPP de Apple, pero no ha conectado sucuenta de Apple iTunes a VPP de Apple.

■ Asociado: El usuario ha conectado su cuenta de Apple iTunes a VPP de Apple ypuede instalar las apps VPP.

■ Ver las apps VPP de Apple que el usuario ha instalado.

■ Invite el usuario a VPP de Apple haciendo clic en Invitar usuario a VPP.

En la mayoría de los casos se envía un correo electrónico con un enlace de invitación alusuario. Si la cuenta del usuario no incluye una dirección de correo electrónico, se mostraráun enlace de invitación en un cuadro de mensaje.

■ Envíe otro correo electrónico de invitación si el usuario no ha recibido o ha perdido elcorreo electrónico inicial haciendo clic en Volver a enviar correo electrónico deinvitación.

■ Anule el registro del usuario en VPP de Apple haciendo clic en Eliminar registro en VPP.

15.4.5 Asignar apps de VPP automáticamente

De manera predeterminada, las apps que se compran a través del Programa de compraspor volumen (VPP) de Apple se asignan automáticamente al dispositivo en el que se instalala app. Si el dispositivo no admite la asignación de apps de VPP, la app se asigna al usuarioque está asignado al dispositivo.

Nota: para admitir la asignación de apps de VPP, el dispositivo debe tener el estadoadministrado y utilizar iOS 9 o posterior.

153


Puede invertir el orden de preferencia y dar prioridad a la asignación a usuarios sobre laasignación a dispositivos, o puede desactivar la asignación automática y asignar las apps deVPP de forma manual como se describe en Asignar apps de VPP manualmente en la página154.

La asignación automática de apps de VPP se configura por cliente.


2. En la página Configuración del sistema, haga clic en la ficha Apple VPP.

3. En la lista Asignar apps de VPP automáticamente al instalar, seleccione la opción quedesee:

■ Preferiblemente a dispositivo: Si el dispositivo lo admite, la app de VPP se asignaal dispositivo. De lo contrario, la app de VPP se asigna al usuario que está asignadoal dispositivo. Si no hay ningún usuario asignado al dispositivo, no se podrá asignar laapp.

■ Preferiblemente a usuario: Si hay un usuario asignado al dispositivo, la app de VPPse asigna a ese usuario. De lo contrario, la app se asigna al dispositivo. Si el dispositivono lo admite, no se podrá asignar la app.

■ Desactivado: Las apps de VPP no se asignan automáticamente. Si selecciona estaopción, las apps de VPP deben asignarse manualmente.

15.4.6 Asignar apps de VPP manualmente

En este sección se describe la asignación manual de apps de VPP individuales. De manerapredeterminada, las apps que se compran a través del Programa de compras por volumen(VPP) de Apple se asignan automáticamente al dispositivo en el que se instala la app. ConsulteAsignar apps de VPP automáticamente en la página 153.

Puede asignar apps que adquirió a través del Programa de compras por volumen (VPP) deApple a usuarios o a dispositivos. Después de asignar una app de VPP a usuarios que esténasociados al VPP de Apple, estos pueden instalarla en todos los dispositivos iOS que esténasociados a su ID de Apple. Después de asignar una app de VPP a dispositivos, se puededistribuir a los dispositivos mediante Sophos Mobile Control.

Para asignar una app de VPP a usuarios o dispositivos:

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps > Apple iOS.

Se abrirá la página Apps en la que aparece una lista de todas las apps que ha añadidoa Sophos Mobile Control.

2. Para añadir apps que adquirió a través del VPP de Apple a la lista de apps, haga clic enImportar apps de VPP.

Así se obtiene la información de las apps del servidor VPP de Apple y se crean entradasde apps en Sophos Mobile Control si es necesario.

3. Haga clic en el triángulo azul junto a la app de VPP que desea asignar a usuarios odispositivos y haga clic en Editar.

4. En la página Editar enlace de iOS, haga clic en Mostrar junto a la opción LicenciasVPP.

Se abrirá el cuadro de diálogo Licencias VPP.

5. Para asignar la app a uno o más usuarios, haga clic en Usuarios de VPP y, a continuación,seleccione los usuarios correspondientes.

La lista contiene todos los usuarios que estén registrados o asociados con el Programade compras por volumen de Apple.

154


6. Para asignar la app a uno o más dispositivos, haga clic en Dispositivos y, a continuación,seleccione los dispositivos correspondientes.

La lista contiene todos los dispositivos con iOS 9 o posterior y el estado Administrado.

7. Haga clic en Aplicar para confirmar los cambios y cerrar el cuadro de diálogo LicenciasVPP.

8. Haga clic en Guardar para guardar los cambios y sincronizar la asignación de apps conel servidor VPP de Apple.

Consejo: para descartar cambios de asignación que haya hecho en el cuadro de diálogoLicencias VPP, haga clic en Aplicar para cerrar el cuadro y, después, haga clic en Atráspara salir de la página Editar enlace de iOS sin guardar los cambios en la base de datos.

Para instalar la app asignada en un dispositivo:

■ Después de asignar la app a usuarios, aparecerá en la vista Comprado de la app iTunesen sus dispositivos. Los usuarios la pueden instalar desde ahí.

■ Después de asignar la app a dispositivos, se puede instalar mediante Sophos MobileControl. Consulte Instalar app en la página 149.

Para anular la asignación de una app:

■ Abra el cuadro de diálogo Licencias VPP como se ha descrito antes y, a continuación,deseleccione los usuarios o dispositivos correspondientes.

Nota: puesto que el estado de las apps de VPP está gestionado por el servidor VPP deApple, es posible que los cambios que realice en Sophos Mobile Control tarden un tiempoen ser visibles en los dispositivos.

15.5 Configurar VPN por app y opciones para apps iOSEn el caso de apps iOS, puede seleccionar VPN por app para la función de iOS VPN porapp. Con esta función es posible configurar las apps para que se conecten automáticamentea VPN al iniciarse. También es posible configurar opciones que se implementan durante lainstalación de la app en el dispositivo del usuario final.

Requisitos previos:

■ Para poder seleccionar VPN por app, es necesario definir una configuración VPN por appen un perfil de configuración iOS en la consola web. Consulte Crear perfiles y políticasiOS en la página 85 y Configuraciones de perfil iOS disponibles en la página 86.

■ Para definir la configuración es necesario conocer el parámetro necesario y el tipo deparámetro.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y, a continuación, enApple iOS.

2. En la página Apps, haga clic en el triángulo azul junto al dispositivo correspondiente yhaga clic en Editar.

3. En la página Editar enlace de iOS o Editar paquete de iOS, haga clic en Mostrar juntoal campo Configuración y VPN.

4. En la página Editar configuración y VPN, seleccione la configuración necesaria en lalista VPN por app para definir la VPN a la que se debe conectar la app.

5. Haga clic en Crear parámetros para añadir opciones de configuración administradas.

155


6. En el cuadro de diálogo Parámetro de configuración, configure lo siguiente:

a) Introduzca en el campo Parámetro el parámetro necesario, p. ej., SMC_URL.

b) Introduzca en el campo Valor el valor del parámetro, p. ej., smc.sophos.com.

c) Seleccione en la lista Tipo el tipo de parámetro: Cadena, Booleano, Entero o Real.

d) Haga clic en Aplicar.

El conjunto de opciones de configuración administradas se muestra en la página Editarconfiguración y VPN.

7. Haga clic en Aplicar en la página Editar configuración y VPN.


La VPN por app seleccionada se usará cuando la app se conecte a VPN. La configuraciónse proporcionará a los dispositivos de los usuarios finales durante la instalación de la app.

156


16 Trabajar con grupos de appsEn Sophos Mobile Control se pueden crear grupos de apps para definir listas de apps paraperfiles, políticas y reglas de cumplimiento.

Los grupos de apps se utilizan en las configuraciones siguientes:

■ En la configuración Protección de apps de los perfiles de dispositivos Android.

■ En la configuración Control de apps de los perfiles de dispositivos Android.

■ En la configuración Restricciones de perfiles de dispositivos Android, perfiles dedispositivos iOS y perfiles de contenedor KNOX.

■ En la configuración Restricciones de apps de las políticas de Windows Mobile.

■ En las reglas de cumplimiento para especificar las lista de apps permitidas, prohibidas yobligatorias.

16.1 Crear grupo de apps1. En la barra lateral de menús, en CONFIGURAR, haga clic en Grupos de apps y seleccione

la plataforma para la que quiere crear el grupo.

2. En la página Grupo de apps, haga clic en Crear grupo de apps.

3. En la página Editar grupo de apps, introduzca un Nombre para el nuevo grupo de appsy haga clic en Añadir app.

4. En el cuadro de diálogo Editar app puede seleccionar una app de una lista o bien introducirdatos de apps personalizados.

■ Para seleccionar una app de una lista, haga clic en Lista de apps y, a continuación,seleccione una app de la lista de todas las apps que se encuentran actualmenteinstaladas en los dispositivos administrados para la plataforma que ha seleccionado.

■ Para especificar datos de app personalizados para una app para Android, haga clicen Personalizado y configure la información siguiente:

■ Nombre de app: Un nombre arbitrario que se usa para identificar la app.

■ Identificador: El nombre del paquete de la app. El nombre del paquete se puedeconsultar en la URL de la app en Google Play. P. ej., para la app Sophos MobileControl para Android, la URL de Google Play eshttps://play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.androidy el nombre del paquete es com.sophos.mobilecontrol.client.android.

■ Para especificar datos de app personalizados para una app para iOS, haga clic enPersonalizado y configure la información siguiente:


■ Identificador: El ID del paquete de la app.

157


■ Para especificar datos de app personalizados para una app para Windows Mobile,haga clic en Personalizado y configure la información siguiente:


■ Enlace: La URL de la app en la Tienda Windows. P. ej., para la app Sophos MobileControl para Windows, la URL de la Tienda Windows eshttps://www.microsoft.com/es-es/store/apps/mobile-control/9nblggh0g04v.

■ GUID: Si conoce el GUID de la app, puede introducirlo en vez de especificar elenlace. De lo contrario, deje este campo vacío.

5. Después de seleccionar una app de la lista o especificar datos de app personalizados,haga clic en Añadir para añadirla al grupo de apps.

6. Si es necesario, añada más apps al grupo de apps.

7. Cuando termine, haga clic en Guardar para guardar el grupo de apps.

16.2 Importar grupo de appsPuede crear un grupo de apps importando un archivo de valores separados por coma (CSV)con codificación UTF-8 con hasta 10.000 apps.


Consejo: en la página Importar apps hay disponible para descargar un archivo de ejemplocon los nombres y el orden de columnas correctos.

Para importar apps de un archivo CSV y añadirlas a un grupo de apps:

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Grupos de apps y seleccionela plataforma para la que quiere crear el grupo.

2. En la página Grupo de apps, haga clic en Crear grupo de apps.

3. En la página Editar grupo de apps, introduzca un Nombre para el nuevo grupo de appsy haga clic en Importar apps.

4. En la página Importar apps, haga clic en Subir un archivo y busque el archivo CSV queha preparado.



6. Haga clic en Finalizar para añadir las apps al grupo de apps.

7. En la página Editar grupo de apps haga clic en Guardar.

158


17 Distribuir documentos corporativosNota: para usar esta función debe disponer de una licencia SMC Advanced para administrarla app Sophos Secure Workspace.

En la consola web de Sophos Mobile Control puede cargar archivos para distribuirlos a losdispositivos de sus usuarios.

■ Los documentos administrados en la consola web de Sophos Mobile Control se añadenautomáticamente al almacén Documentos corporativos de Sophos Secure Workspace.

■ En el almacén Documentos corporativos del dispositivo, la Categoría que se puededefinir para cada documento se muestra en forma de carpeta.

■ Si Sophos Secure Workspace no es administrado por Sophos Mobile Control, el almacénDocumentos corporativos no se muestra.

■ Los documentos en Documentos corporativos son de solo lectura. No se pueden editaren Sophos Secure Workspace y cargarse de nuevo.

Para distribuir documentos corporativos:

1. Instale la app Sophos Secure Workspace en los dispositivos. Consulte Trabajar con appsen la página 147.

2. Asigne una política de contenedor Sophos con una configuración de Documentoscorporativos.

3. Añada documentos en la consola web de Sophos Mobile Control.

17.1 Añadir documentos corporativosPara distribuir documentos a dispositivos:

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Documentos.

Aparece la página Documentos.

2. Haga clic en Añadir documento.

Aparece la página Editar documento.

3. Introduzca una categoría para el documento.

■ La Categoría es el nombre de la carpeta en la que se muestra el documento en elalmacén Documentos corporativos del dispositivo.

■ Se pueden asignar múltiples archivos a una misma Categoría.

■ Si se deja este campo en blanco, el archivo se muestra en la carpeta raíz deDocumentos corporativos.

159


4. Defina la configuración para el documento:

■ Active Copiar a portapapeles para permitir a los usuarios copiar el documento alportapapeles.

■ Active Compartir documento para permitir a los usuarios compartir el documento.

■ Active Usar documento offline para permitir a los usuarios a crear un Favorito parael documento.

Cuando un documento en Documentos corporativos se marca como Favorito sealmacena de forma cifrada en la app Sophos Secure Workspace. Cuando se permitecompartir el documento, el archivo favorito cifrado se descifra automáticamente antesde mandarlo a otras apps. Si desactiva las opciones en la consola web de SophosMobile Control y los usuarios ya disponen de copias offline, el archivo guardado enFavoritos de Sophos Secure Workspace en los dispositivos administrados se eliminaráautomáticamente durante la siguiente sincronización.

5. Haga clic en Mostrar junto a Grupos asignados y seleccione el grupo que debe teneracceso al documento.

6. Añada una descripción para el documento.

7. Haga clic en Subir archivo y busque el documento. Selecciónelo y haga clic en Aceptar.

El tamaño del archivo del documento no debe superar un determinado límite.

En instalaciones locales, el límite está configurado por su superadministrador. Para SophosMobile Control como servicio, está establecido en 5 MB por documento.

8. Repita este paso para cada tipo de documente que quiera distribuir.

El documento se añade a la lista de documentos. Se distribuye a los usuarios que podránverlo en la app Sophos Secure Workspace.

160


18 Administrar dispositivosEn la barra lateral de menús, en ADMINISTRAR > Dispositivos y Grupos de dispositivos,puede hacer un seguimiento de todos los dispositivos y realizar determinadas tareasadministrativas. Tras añadir los dispositivos a Sophos Mobile Control puede, por ejemplo:

■ Ver y editar detalles del dispositivo.

■ Permitir o prohibir el acceso al correo electrónico de los dispositivos.

■ Bloquear o desbloquear dispositivos de forma remota.

■ Restablecer las contraseñas de los dispositivos.

■ Borrar los dispositivos remotos en caso de pérdida o robo.

■ Retirar dispositivos (Android e iOS).

■ Eliminar dispositivos.

18.1 Ver dispositivos1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos.

Aparece la página Dispositivos con todos los dispositivos inscritos en Sophos MobileControl para este cliente.

2. Vaya al dispositivo correspondiente y haga clic en su nombre.

Aparece la página Mostrar dispositivo para el dispositivo seleccionado.

Consejo:

En la página Dispositivos, puede mostrar información adicional señalando determinadoselementos:

■ Señale el icono «No administrado» de un dispositivo para mostrar su estado, como Noinscrito o Retirado.

■ Señale el icono «No conforme» de un dispositivo para mostrar el nivel de gravedad (alto,medio o bajo).

18.1.1 La página Mostrar dispositivo

En la página Mostrar dispositivo, se muestra toda la información relevante para un dispositivoespecífico.

En la parte superior de la página se muestra la información más importante del dispositivode forma resumida.

En la parte inferior de la página se muestra información detallada del dispositivo en variasfichas. Las fichas y la información mostradas dependen de la plataforma del dispositivo.

■ Perfiles (Android, iOS)

Muestra los perfiles instalados en el dispositivo.

161


En esta ficha está disponible el botón Instalar perfil para instalar un perfil en el dispositivo.También es posible eliminar perfiles del dispositivo haciendo clic en el icono Eliminarjunto al perfil correspondiente.

Esta ficha también incluye perfiles de aprovisionamiento.

■ Políticas

Muestra las políticas asignadas al dispositivo.

En esta ficha está disponible el botón Asignar política para instalar una política en eldispositivo.

■ Propiedades de dispositivo

Muestra las propiedades del dispositivo, p. ej., propiedades por modelo, nombre de modelo,versión del SO. En el caso de dispositivos Android, se detectan los teléfonos rooteadosy se muestra la propiedad correspondiente. En el caso de dispositivos iOS, se detectanlos teléfonos con jailbreak y se muestra la propiedad correspondiente.

■ Propiedades personalizadas

Muestra las propiedades personalizadas del dispositivo. Estas son las propiedades quepuede crear usted mismo. Las propiedades personalizadas del dispositivo se puedenusar, p. ej., en marcadores si no hay disponible ninguna conexión de Active Directory. Aleditar un dispositivo, también es posible añadir aquí información específica del usuario.

■ Propiedades internas

Muestra las propiedades internas del dispositivo, p. ej., si se permite tráfico de ActiveSync,el IMEI.

■ Infracciones de cumplimiento

Esta ficha solo se muestra para dispositivos no conformes. Muestra las infracciones decumplimiento del dispositivo y las acciones tomadas debido a estas infracciones.

Estas acciones se definen durante la configuración de las reglas de cumplimiento. ConsulteCrear reglas de cumplimiento en la página 45.

■ Apps instaladas (Android, iOS)

Muestra las apps instaladas en el dispositivo.

En el caso de dispositivos iOS, la columna Administrada en la ficha Apps instaladasseñala las apps administradas. Con Sophos Mobile Control es posible enviar estas appsa dispositivos iOS y también eliminarlas en segundo plano.

En el caso de dispositivos Android, Sophos Mobile Control diferencia entre apps de sistemay apps instaladas por el usuario en el dispositivo.

La columna Tamaño muestra el uso del espacio en disco de una app en sí. La columnaDatos muestra el espacio en disco adicional que utiliza una app para los datos de usuario,configuraciones, etc.

Con el botón Instalar app, puede instalar software en el dispositivo. También es posibleeliminar apps administradas de los dispositivos iOS haciendo clic en el icono Eliminarjunto a la app correspondiente.

■ Apps de sistema (Android)

Muestra las apps de sistema de Android en el dispositivo.

162


Nota: no es posible eliminar apps del sistema del dispositivo.

■ Apps KNOX (Android)

Esta ficha muestra las apps que el usuario ha instalado en el contenedor KNOX.

■ Apps del sistema KNOX (Android)

Esta ficha muestra las apps del sistema que están instaladas en el contenedor KNOX.

■ Resultados de escaneado (Android)

Esta ficha solo está disponible si la función de Sophos Mobile Security está disponiblepara el cliente al que está conectado. Muestra los resultados del último escaneado deSophos Mobile Security realizado en el dispositivo. Sophos Mobile Security es una appde seguridad para dispositivos Android que protege los dispositivos de apps maliciosasy ayuda a los usuarios finales a detectar permisos de apps que podrían suponer un riesgopara la seguridad. La app se puede administrar desde la consola web de Sophos MobileControl. Para más información, consulte Administrar Sophos Mobile Security desde SophosMobile Control en la página 183.

■ Certificados

Muestra los certificados en uso del dispositivo.

■ Tareas

En esta ficha se muestran todas las tareas no finalizadas, las tareas con errores, así comolas tareas finalizadas de los últimos días. Estas tareas, junto con las tareas de todos losdemás dispositivos, también se pueden consultar en la página Vista de tareas. ConsulteTareas de monitorización en la página 15.

Desde la página Mostrar dispositivo puede cambiar directamente a la página Editardispositivo. Para editar el dispositivo que está viendo, haga clic en Editar.

18.1.2 Usar el filtro avanzado de dispositivos

Con el filtro avanzado de filtros puede filtrar la lista de dispositivos según sus necesidades.

Para usar el filtro de dispositivos:

1. Haga clic en la página Dispositivos en el botón Filtro avanzado (icono de lupa) en lacabecera de la consola web.

Aparece el cuadro de diálogo Filtro de dispositivos: Filtro no activo.

2. Defina los criterios de su filtro.

3. Una vez haya seleccionado los criterios correspondientes, haga clic en Filtro.

El filtro se activa y la lista de dispositivos se carga de nuevo. El icono de lupa en la cabecerade la consola web cambia de azul a verde para indicar que el filtro está activo. Haga clic denuevo en Filtro avanzado y en Restablecer en el cuadro de diálogo para restablecer el filtro.

Nota: recuerde restablecer los filtros manualmente cuando ya no sean necesarios. En casocontrario, es posible que las listas o informes no incluyan los resultados esperados.

163


18.2 Editar dispositivos1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos.


2. Haga clic en el triángulo azul junto al dispositivo correspondiente y haga clic en Editar.

Aparece la página Editar dispositivo para el dispositivo seleccionado.

3. Haga los cambios necesarios (p. ej., instalar o eliminar software en la ficha Appsinstaladas) y haga clic en Guardar.

Sus cambios se aplican al dispositivo editado.

Nota: los cambios de las propiedades se aplican solo tras hacer clic en Guardar. Los cambiosrealizados no tienen efecto si no se guardan los cambios.

18.2.1 Asignar un usuario a un dispositivo


2. En la página Dispositivos, haga clic en el triángulo azul junto al dispositivo correspondientey haga clic en Editar.

3. En la página Editar dispositivo, haga clic en el icono Editar asignación de usuariojunto al campo Usuario y, a continuación, haga clic en la entrada correspondiente de lalista de selección.

■ Para asignar un usuario a un dispositivo que no tiene ningún usuario asignado, hagaclic en Asignar usuario a dispositivo.

■ Para asignar un usuario a un dispositivo que ya tenga un usuario asignado, haga clicen Reasignar usuario a dispositivo.

4. En el paso Introducir parámetros de búsqueda de usuario del cuadro de diálogo deasignación, introduzca parámetros de búsqueda en uno o más campos para filtrar la listade usuarios que se mostrará en el paso siguiente. P. ej., introduzca el nombre de usuarioo parte del mismo.

Los parámetros de búsqueda disponibles dependen del método de administración deusuarios aplicado (directorio de usuarios interno o externo).

5. En el paso Seleccionar usuario seleccione el usuario requerido y haga clic en Aplicar.

6. En la página Editar dispositivo haga clic en Guardar.

18.2.2 Anular asignación de un usuario de un dispositivo


2. En la página Dispositivos, haga clic en el triángulo azul junto al dispositivo correspondientey haga clic en Editar.

3. En la página Editar dispositivo, haga clic en el icono Editar asignación de usuariojunto al campo Usuario y, a continuación, haga clic en Anular asignación del usuariodel dispositivo.

4. En el cuadro de diálogo de confirmación, haga clic en Sí.


164


18.2.3 Definir propiedades personalizadas para dispositivos

Es posible definir propiedades personalizadas para dispositivos específicos.

Al definir una propiedad con el nombre mi propiedad, puede referirse al valor de lapropiedad en los perfiles y las políticas utilizando el marcador %_CUSTPROP(mipropiedad)_%. P. ej., puede usar esto para referirse al usuario asignado a un dispositivo.

Para información detallada sobre marcadores de perfiles y políticas, consulte Marcadores enperfiles y políticas en la página 136.

Nota:

■ No se puede crear una propiedad de dispositivo personalizada con el mismo nombre queuna propiedad de dispositivo estándar.

■ Al duplicar un dispositivo según se describe en Duplicar un dispositivo en la página 54,el nuevo dispositivo recibe las propiedades personalizadas del dispositivo original.

■ Al igual que las propiedades personalizadas a nivel de dispositivo descritas aquí, tambiénes posible definir propiedades personalizadas a nivel de cliente. Consulte Definirpropiedades de cliente en la página 23.

Para definir una propiedad de dispositivo personalizada:

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >General. En la ficha Personal, asegúrese de que la opción Mostrar detalles dedispositivo avanzados esté seleccionada.



3. Haga clic en el triángulo azul junto al dispositivo correspondiente y haga clic en Editar.

4. En la página Editar dispositivo, vaya a la ficha Propiedades personalizadas y hagaclic en Añadir propiedad personalizada.

5. Especifique un Nombre y un Valor para la nueva propiedad de dispositivo personalizada.

6. Haga clic en Aplicar para añadir la propiedad.

7. Haga clic en Guardar para guardar los cambios en el dispositivo.

18.2.4 Configurar acceso a la red

Antes de poder configurar el acceso a la red para un dispositivo, es necesario activar el controlde acceso a la red (NAC) en Sophos Mobile Control.

En instalaciones locales, NAC es activado por el superadministrador. Consulte la Guía desuperadministrador de Sophos Mobile Control.

Para Sophos Mobile Control como servicio, NAC siempre está activado.

Hay dos opciones para configurar el acceso a la red en un dispositivo:

1. Permitir o denegar el acceso a la red sin condiciones.2. Denegar el acceso a la red cuando el dispositivo infrinja una regla de cumplimiento, permitir

el acceso en todos los demás casos.

Nota: Sophos Mobile Control no controla el acceso a la red propiamente dicho. En cambio,proporciona un estado de Denegar red que puede ser usado por software NAC externo comoSophos UTM para bloquear la comunicación de red.

165




Para configurar el acceso a la red de un dispositivo:


2. En la página Dispositivos, seleccione los dispositivos para los que quiere establecer elmodo de acceso a la red.

3. Haga clic en Acciones y, a continuación, en Establecer acceso a la red.

4. Seleccione el modo de acceso a la red:

■ Permitir: Se permite el acceso a la red a los dispositivos seleccionados.■ Denegar: Se deniega el acceso a la red a los dispositivos seleccionados.■ Modo auto: El acceso a la red de los dispositivos seleccionados se basa en el estado

de cumplimiento de los dispositivos.

5. Haga clic en Sí para guardar los cambios.

Para información sobre cómo configurar el acceso a la red en las reglas de cumplimiento,consulte Crear reglas de cumplimiento en la página 45.

18.3 Inscribir dispositivos mediante la consola web deSophos Mobile ControlUna vez añadidos dispositivos nuevos en la consola web, es necesario inscribirlos en SophosMobile Control. La consola web ofrece las siguientes opciones:

■ Puede inscribir dispositivos individuales no administrados con la función Dispositivos.Para más información, consulte Registrar dispositivos individuales en la página 167.

■ Puede usar el asistente de inscripción de dispositivos para añadir un dispositivo a SophosMobile Control, asígnelo a un usuario, inscríbalo, y transfiera un paquete de tareas deinscripción. Consulte Usar el asistente de inscripción de dispositivos para asignar e inscribirdispositivos nuevos en la página 167.

Nota: en caso necesario, puede usar el asistente de inscripción de dispositivos o elmétodo de auto inscripción para inscribir dispositivos iOS sin un ID de Apple. Esto puedeser útil, p. ej., para preconfigurar el dispositivo antes de entregarlo a un usuario. ConsulteInscribir dispositivos iOS sin un ID de Apple en la página 169.

Para inscribir y configurar múltiples dispositivos de forma eficiente, se recomiendan lossiguientes métodos:

■ Puede agrupar tareas que son necesarias para inscribir dispositivos, aplicar las políticasnecesarias e instalar las aplicaciones necesarias (p. ej., apps administradas paradispositivos iOS). Para más información, consulte Trabajar con paquetes de tareas en lapágina 139.

■ Los dispositivos también pueden ser inscritos por los usuarios finales a través del portalde autoservicio. Para ello, incluya un paquete de tareas de inscripción al configurar lasopciones de configuración de uso del portal de autoservicio. Para más información sobrecómo crear paquetes de tareas necesarios para la inscripción, consulte las Guías de iniciode Sophos Mobile Control y Sophos Mobile Control como servicio. Para más informaciónsobre cómo seleccionar el paquete de tareas en las opciones de configuración del portalde autoservicio, consulte Configurar las opciones del portal de autoservicio en la página26. Para más información sobre el portal de autoservicio y cómo usarlo, consulte la Ayudade usuario de Sophos Mobile Control.

166




18.3.1 Registrar dispositivos individuales



2. Seleccione el dispositivo deseado, haga clic en Acciones y a continuación en Registrar.

Nota: es posible seleccionar varios dispositivos para su registro.

3. Haga clic en Sí cuando se le pregunte si desea registrar los dispositivos seleccionados.

Se inicia la tarea de registro que se muestra en la página Vista de tareas. Se envía un correoelectrónico con instrucciones sobre cómo instalar la app Sophos Mobile Control en eldispositivo al usuario.

18.3.2 Usar el asistente de inscripción de dispositivos para asignar e inscribirdispositivos nuevos

Puede inscribir dispositivos nuevos fácilmente con el asistente de inscripción de dispositivos.Ofrece un flujo de trabajo que combina las siguientes tareas:

■ Añadir un dispositivo nuevo a Sophos Mobile Control.

■ Asignar el dispositivo a un usuario (opcional).

■ Inscribir el dispositivo.

■ Transferir un paquete de tareas de inscripción al dispositivo (opcional).

Para iniciar al asistente de inscripción de dispositivos:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos y, acontinuación, en Añadir > Asistente de inscripción.

Consejo: también puede iniciar el asistente desde la página Panel de control haciendoclic en el widget Añadir dispositivo.

2. En la página del asistente Introducir parámetros de búsqueda de usuario, puedeintroducir criterios para buscar el usuario al que estará asignado el dispositivo o seleccionarOmitir asignación de usuario para inscribir un dispositivo que todavía no estará asignadoa ningún usuario.

Haga clic en Siguiente para continuar.

3. Después de introducir los criterios de búsqueda, el asistente muestra una lista de losusuarios que coinciden.

Seleccione el usuario requerido y haga clic en Siguiente.

167


4. En la página Detalles del dispositivo, configure las siguientes opciones:

DescripciónOpción

Plataforma del dispositivo. Solo se puede seleccionar unaplataforma que esté habilitada para el cliente en el que ha iniciadosesión.

Plataforma

Nombre único por el cual Sophos Mobile Control administrará eldispositivo.

Nombre

Descripción opcional del dispositivo.Descripción

Número de teléfono opcional. Introduzca el número de teléfonocon el formato internacional, p. ej., +491701234567.

Número de teléfono

Dirección de correo electrónico a la que se enviarán lasinstrucciones de inscripción.

Dirección de correoelectrónico

Seleccione el propietario del dispositivo: Empresa o Empleado.Propietario

Seleccione el grupo de dispositivos al que estará asignado eldispositivo. Si aún no ha creado ningún grupo de dispositivos,puede seleccionar el grupo de dispositivos Predeterminado, quesiempre está disponible.

Grupo de dispositivos


5. En la página del asistente Selección de paquete, seleccione el paquete de tareas quese transferirá al dispositivo una vez que se haya inscrito, o seleccione Inscribir solodispositivo para inscribir el dispositivo sin transferir ningún paquete de tareas.

Nota: solo se muestran los paquetes de tareas que contengan una tarea Inscribir.

Cuando haya terminado, haga clic en Siguiente. Se añadirá el dispositivo a Sophos MobileControl.

6. En la página del asistente Inscripción, siga las instrucciones para instalar la app SophosMobile Control en el dispositivo y completar la inscripción y el aprovisionamiento.

7. Una vez que la inscripción se haya realizado correctamente, haga clic en Finalizar paracerrar el asistente de inscripción de dispositivos.

Nota:

■ Una vez realizadas todas las selecciones, puede cerrar el asistente sin tener que esperara que aparezca el botón Finalizar. Se crea y procesa una tarea de inscripción en segundoplano.

■ Si ha seleccionado transferir un paquete de tareas al dispositivo tras la inscripción, puedemonitorizar el estado de la tarea en la página Vista de tareas. Consulte Ver tareas sinfinalizar, con errores y recientemente finalizadas en la página 15.

■ En dispositivos iOS, si se ha configurado que Sophos Mobile Control sincronice el nombredel dispositivo con el dispositivo según se describe en Configurar opciones iOS en lapágina 22, el nombre introducido en el campo Nombre se ignora y se usa el nombreconfigurado en el dispositivo.

168


18.3.3 Inscribir dispositivos iOS sin un ID de AppleEs posible inscribir un dispositivo iOS con Sophos Mobile Control sin que sea necesarioasociar antes el dispositivo con un ID de Apple. Esto puede ser útil, p. ej., para preconfigurarel dispositivo antes de entregarlo a un usuario.

El método de inscripción estándar incluye la instalación de la app Sophos Mobile Control enel dispositivo. Debido a que la app se instala desde el App Store y que se requiere un ID deApple para acceder al App Store, es necesario asociar el dispositivo al ID antes de comenzarla inscripción.

Otra posibilidad es inscribir un dispositivo iOS sin instalar la app Sophos Mobile Control, demodo que no es necesario asociar el dispositivo con un ID de Apple. Esto es posible mediante:

■ El método de auto inscripción. Consulte Auto inscribir dispositivos iOS en la página 171.

■ El asistente de inscripción de dispositivos. Consulte Usar el asistente de inscripción dedispositivos para asignar e inscribir dispositivos nuevos en la página 167.

En el asistente de inscripción de dispositivos, haga lo siguiente:

1. En la página Inscripción, seleccione la ficha Inscripción sin ID de Apple.2. Utilice el navegador web del dispositivo para abrir la URL de inscripción. Se abre un

formulario de inscripción de Sophos Mobile Control.3. En ese formulario, introduzca el token y haga clic en Inscribir.4. Siga las instrucciones en el dispositivo para instalar el paquete de tareas de inscripción.

18.4 Retirar dispositivosPuede retirar dispositivos Android e iOS administrados que ya no se usen, p. ej., si un usuariorecibe un dispositivo nuevo. Esto resulta útil, p. ej., si el número de dispositivos que un usuariopuede registrar a través del portal de autoservicio está limitado.



2. Seleccione el dispositivo deseado, haga clic en Acciones y a continuación en Anularinscripción.

Aparecerá un mensaje para confirmar la retirada del dispositivo.

Nota: es posible seleccionar varios dispositivos para anular su inscripción.

3. Haga clic en Sí.

El dispositivo se retira. Las consecuencias son las siguientes:

Dispositivos Android:

■ El administrador de dispositivo cliente de Sophos Mobile Control se desactiva.

■ Los datos de inicio de sesión en el servidor y todos los demás datos se eliminan.

■ Las apps contenedor (Sophos Secure Workspace y Sophos Secure Email) y la app SophosMobile Security se restablecen.

Dispositivos iOS:

■ Se eliminan todos los perfiles.

169


■ Todas las apps administradas se eliminan.

■ Se eliminan todos los certificados recibidos a través del sistema de gestión de dispositivosmóviles.

■ Las apps contenedor (Sophos Secure Workspace y Sophos Secure Email) se restablecen.

18.5 Grupos de dispositivosLos grupos de dispositivos se usan para categorizar dispositivos. Es posible asignardispositivos a grupos de dispositivos al añadirlos a la administración de dispositivos de SophosMobile Control de forma manual o importándolos. Puede cambiar el grupo de dispositivo deun dispositivo editándolo. Un dispositivo siempre pertenece exactamente a un grupo dedispositivos. Se recomienda que disponga los dispositivos en grupos. Esto le ayudará aadministrarlos de forma eficiente, puesto que se pueden realizar tareas en un grupo en vezde hacerlo en dispositivos individuales.

Nota: se recomienda que solo agrupe dispositivos con el mismo sistema operativo. Estofacilita el uso de grupos para instalaciones y otras tareas específicas de sistemas operativos.

Para información sobre cómo crear grupos de dispositivos, consulte Crear grupos dedispositivos en la página 170.

18.5.1 Crear grupos de dispositivos

Se recomienda que disponga los dispositivos en grupos. Esto le ayudará a administrarlos deforma eficiente, puesto que se pueden realizar tareas en un grupo en vez de hacerlo endispositivos individuales.

Nota: se recomienda que solo agrupe dispositivos con el mismo sistema operativo. Estofacilita el uso de grupos para instalaciones y otras tareas específicas de sistemas operativos.

Para crear un nuevo grupo de dispositivos:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Grupos de dispositivosy luego haga clic en Crear grupo de dispositivos.

2. En la página Editar grupo de dispositivos, introduzca un Nombre y una Descripciónpara el nuevo grupo de dispositivos.

3. En la sección Reglas de cumplimiento, utilice las listas Dispositivos corporativos yDispositivos personales para seleccionar las reglas de cumplimiento que desea aplicar.


Nota: la configuración del grupo de dispositivos contiene la opción Activar autoinscripción. Esta opción le permite inscribir dispositivos iOS con Apple Configurator.

El nuevo grupo de dispositivos se crea y aparece en la páginaGrupos de dispositivos.

18.5.2 Eliminar grupos de dispositivos

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Grupos de dispositivos.

2. En la página Grupos de dispositivos, haga clic en el triángulo azul junto al grupo dedispositivos que desea eliminar y, a continuación, haga clic en Eliminar.

170


3. En el cuadro de diálogo de confirmación, seleccione uno de los grupos de dispositivosrestantes a los que se reasignarán los dispositivos del grupo de dispositivos actual.

Esta selección no está disponible cuando no hay dispositivos asignados al grupo dedispositivos actual.

4. Haga clic en Sí para eliminar el grupo de dispositivos.

Nota: cuando solo queda un grupo de dispositivos y no tiene dispositivos asignados, nopuede eliminar este grupo de dispositivos.

18.6 Auto inscribir dispositivos iOSPuede configurar que los dispositivos iOS se inscriban automáticamente en Sophos MobileControl durante la activación del dispositivo. Para ello, puede usar Apple Configurator 2 paraasignar dispositivos al servidor MDM de Sophos Mobile Control. Cuando los usuariosenciendan sus dispositivos por primera vez, se inicia el asistente de configuración iOS. Durantela configuración, los dispositivos se inscribirán automáticamente en Sophos Mobile Control.

Nota: para obtener una descripción detallada de Apple Configurator 2, consulte la Ayudaonline de Apple Configurator 2.

Para configurar la auto inscripción de dispositivos iOS en Sophos Mobile Control:

1. Para preparar la auto inscripción, es necesario realizar una vez el procedimiento de crearun grupo de dispositivos que se asignará a los dispositivos durante la auto inscripción enSophos Mobile Control. En las propiedades del grupo de dispositivos, seleccione la opciónActivar auto inscripción. Consulte Crear grupos de dispositivos en la página 170.

2. Tome nota de la URL que aparece en el campo URL de auto inscripción del grupo dedispositivos.

Necesitará esta URL cuando configure los dispositivos con Apple Configurator 2.

3. Conecte el dispositivo iOS que desea auto inscribir a un puerto USB de un equipo Macque tenga instalado Apple Configurator 2.

4. En Apple Configurator 2, utilice el Asistente de Preparación para definir la configuracióndel dispositivo.

5. Seleccione Inscripción manual y, a continuación, especifique la URL de auto inscripcióndel grupo de dispositivos.

6. Siga el resto de pasos del Asistente de Preparación.También tiene la opción de configurarlos aspectos siguientes de la activación del dispositivo:

■ Active el modo de supervisión del dispositivo.■ Configure los equipos host a los que se puede conectar el dispositivo usando puertos

USB.■ Para los dispositivos supervisados, genere o seleccione una "identidad de supervisión".■ Desactive los pasos de configuración del asistente de configuración de iOS.

Una vez finalizada la configuración, entregue el dispositivo al usuario. Cuando el usuarioencienda el dispositivo por primera vez, la configuración iOS y la inscripción en Sophos MobileControl se realizan según las opciones configuradas.

Consejo: por defecto, Sophos Mobile Control administra los dispositivos auto inscritos bajoun nombre compuesto por el ID de dispositivo y el tipo de dispositivo. Sophos Mobile Controltambién puede utilizar el nombre que está configurado en el dispositivo. Consulte la opciónSincronizar nombre de dispositivo en Configurar opciones iOS en la página 22.

171


http://help.apple.com/configurator/

http://help.apple.com/configurator/

18.7 Administrar dispositivos adquiridos con el DEP deAppleCon el Programa de inscripción de dispositivos (DEP) de Apple puede adquirir dispositivosiOS (y OS X) en grandes cantidades para distribuirlos en su empresa. El DEP simplifica laimplementación de los dispositivos móviles mediante las siguientes funciones:

■ Proceso de activación configurable.

■ Activación inalámbrica del modo de supervisión.

■ Configuración mediante conexión inalámbrica.

■ Inscripción automática de dispositivos iOS con Sophos Mobile Control durante la activacióndel dispositivo.

Consejo: para información detallada sobre el DEP, visite el sitio web del DEP de Apple enhttp://www.apple.com/business/dep/.

Pasos preliminares

Para preparar la administración de dispositivos del DEP con Sophos Mobile Control solo esnecesario realizar una vez el siguiente procedimiento:

1. En el portal web del DEP de Apple cree un servidor MDM virtual y vincúlelo a SophosMobile Control. Consulte Configurar un servidor MDM virtual en la página 172.

2. En Sophos Mobile Control, cree uno o más perfiles del DEP que controlen varios atributosde dispositivo específicos al DEP. Con el perfil del DEP, también se puede personalizarel asistente de configuración iOS que se inicia al encender el dispositivo por primera vez.Consulte Crear perfil del DEP en la página 173.

Pasos de implementación

Al adquirir dispositivos DEP, el proceso de implementación típico incluye los pasos siguientes:

1. Adquiera los dispositivos en Apple o un distribuidor del DEP autorizado.2. En el portal web del DEP de Apple, asigne los dispositivos al servidor MDM de Sophos

Mobile Control. Para este paso y el siguiente, consulte Implementar dispositivos del DEPen la página 177.

3. Desde la consola web de Sophos Mobile Control, asigne un perfil del DEP a los dispositivos.4. Distribuya los dispositivos a sus usuarios.5. Cuando los usuarios enciendan sus dispositivos por primera vez, se inicia el asistente de

configuración iOS personalizado. Durante la configuración, los dispositivos se registrancon Sophos Mobile Control y el usuario se asigna al dispositivo.

6. En caso necesario es posible transferir paquetes de tareas adicionales a los dispositivospara completar el aprovisionamiento.

18.7.1 Configurar un servidor MDM virtual

Requisitos previos: Este procedimiento asume que ya está inscrito en el Programa deinscripción de dispositivos (DEP) de Apple y ha creado una cuenta de administrador para elportal web del DEP de Apple.

172


http://www.apple.com/business/dep/

Nota: para información detallada sobre cómo inscribirse en el DEP, visite el sitio web delDEP de Apple en http://www.apple.com/business/dep/ o consulte la Ayuda online de losProgramas de implementación de Apple.

Consejo: si ya está inscrito en el Programa de compras por volumen (VPP) de Apple, puedeusar el mismo ID de Apple para el DEP.

Para usar el DEP de Apple con Sophos Mobile Control, es necesario crear un servidor MDMvirtual en el portal web del DEP de Apple y vincularlo con el servidor de Sophos MobileControl. Esto incluye un proceso de verificación para establecer una conexión segura entreSophos Mobile Control y el servicio web del DEP de Apple.

Para configurar un servidor MDM virtual para Sophos Mobile Control:

1. Inicie sesión en la consola web de Sophos Mobile Control con una cuenta de administradorcorrespondiente al cliente para el que desea administrar los dispositivos del DEP.

2. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >Configuración del sistema y, a continuación, haga clic en la ficha Apple DEP.

3. Haga clic en Descargar clave pública para descargar el archivo de clave pública deSophos Mobile Control para el DEP de Apple.

El archivo se guarda en su ordenador local usando la configuración de descargas de sunavegador web.

4. Abra el portal web del DEP de Apple en https://deploy.apple.com en una ventananueva del navegador.

Haga clic en el enlace Portal web del DEP de Apple en Sophos Mobile Control para ello.

5. Inicie sesión en el portal web del DEP de Apple con el ID de Apple de su empresa.

6. En el portal, vaya a Programa de inscripción de dispositivos > Gestionar servidoresy, a continuación, haga clic en Añadir servidor MDM.

7. Introduzca un nombre para el servidor MDM, p. ej., Sophos Mobile Control.

8. En el paso siguiente suba el archivo de clave pública que ha descargado desde SophosMobile Control.

9. En el paso siguiente descargue el token del servidor.

En este punto puede cerrar la sesión en el portal web del DEP de Apple si lo desea.

10. En la ficha Apple DEP de Sophos Mobile Control, haga clic en Subir un archivo yseleccione el token del servidor que ha descargado del portal web DEP de Apple.

A continuación se muestran los detalles de su servidor MDM virtual.

11. Haga clic en Guardar para guardar los cambios.

El token del servidor DEP es válido para un año. Para notificar el vencimiento próximo deltoken, Sophos Mobile Control envía varios recordatorios por correo electrónico a todos losadministradores del cliente correspondiente comenzando 30 días antes a la fecha devencimiento.

Importante: al crear un token de servidor nuevo en el portal web del DEP de Apple, debeutilizar el mismo ID de Apple que el que usó para la creación del token inicial.

18.7.2 Crear perfil del DEP

Antes de poder crear un perfil del DEP es necesario configurar el Programa de inscripciónde dispositivos (DEP) de Apple. Consulte Configurar un servidor MDM virtual en la página172.

173


http://www.apple.com/business/dep/

https://help.apple.com/deployment/programs/


Un perfil del DEP se asigna a un dispositivo del DEP y proporciona información al servidorde Apple cuando se activa el dispositivo. Esta información incluye:

■ El servidor MDM (es decir Sophos Mobile Control) asignado para administrar el dispositivo.

■ Opciones de configuración para la inscripción en Sophos Mobile Control.

■ Una lista de hosts con los que el dispositivo puede emparejarse.

■ Opciones de personalización del asistente de configuración iOS que se inicia al encenderel dispositivo por primera vez.

En caso necesario se pueden crear distintos perfiles del DEP para usar distintas opcionesde configuración y registro para sus dispositivos del DEP.

Para crear un perfil del DEP:

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >Configuración del sistema y, a continuación, haga clic en la ficha Perfiles del AppleDEP.

2. Haga clic en Añadir.

3. En el cuadro de diálogo Editar perfil del DEP, introduzca un nombre y opcionalmenteuna descripción para el perfil del DEP.

4. En la lista Grupo de dispositivos puede opcionalmente seleccionar un grupo dedispositivos que se asignará a los dispositivos cuando se registren con Sophos MobileControl.

Para información sobre los grupos de dispositivos, consulte Grupos de dispositivos en lapágina 170.

Nota: para simplificar la administración de dispositivos, recomendamos que use un grupode dispositivos separado para los dispositivos del DEP.

174


5. En la ficha Inscripción se pueden configurar las opciones siguientes:

DescripciónOpción

Modo de supervisión activado.Supervisar dispositivo

El usuario puede eliminar el perfil de inscripción de Sophos MobileControl mediante la interfaz de usuario iOS.

Esta opción solo puede deseleccionarse en dispositivossupervisados.

El usuario puede eliminar elperfil MDM

Instalar la app Sophos Mobile Control en el dispositivo.

Si activa esta opción, también debe desactivar la opción OmitirID de Apple de la ficha Configuración de iOS para asegurarsede que Sophos Mobile Control pueda instalar la app del AppStore.

Nota: como alternativa, si está inscrito en el Programa decompras por volumen (VPP) de Apple, la app Sophos MobileControl puede instalarse como app de VPP, incluso si eldispositivo no está asociado a un ID de Apple. Los dispositivosdeben encontrarse en el estado administrado y utilizar iOS 9 oposterior. Consulte Asignar apps de VPP automáticamente en lapágina 153.

Instalar app SMC

El usuario puede omitir el paso de configuración que aplica elperfil de inscripción de Sophos Mobile Control.

El usuario puede omitir laasignación del perfil MDM

Durante el proceso de inscripción con Sophos Mobile Control, sele piden a los usuarios sus credenciales del portal de autoservicioantes de asignarles el dispositivo.

Utilice esta opción para asignar un usuario automáticamente aldispositivo.

Asignar usuario a dispositivo

175


6. En la ficha Configuración de iOS, puede desactivar los pasos de configuración delasistente de configuración iOS que se inicia al encender el dispositivo por primera vez.

Nota: estas opciones afectan solo a la configuración de iOS. Si se desactiva algún pasode configuración, el usuario puede activar la opción correspondiente posteriormente. Paradesactivar completamente una función, utilice una configuración de Restricciones.Consulte Restricciones en la página 88.

DescripciónOpción

La página Apps y datos no se muestra. El usuario no puederestaurar datos desde copias de seguridad en iCloud o iTunes,ni transferir datos desde un dispositivo Android.

Omitir Apps y datos

En la página Apps y datos, la opción Transferir datos desdeAndroid no está disponible. El usuario no puede transferir datosdesde un dispositivo Android.

Esta opción solo puede activarse si Omitir apps y datos tambiénestá activado.

Desactivar «Transferir datosdesde Android».

La página Diagnósticos no se muestra. El envío de datos dediagnóstico y uso a Apple está desactivado.

Omitir Diagnósticos

La página Servicios de localización no se muestra. El usuariono puede activar los servicios de localización.

Omitir Localización

La página Siri no se muestra. El usuario no puede configurar Siri.Omitir Siri

La página Zoom de pantalla no se muestra. El usuario no puedecambiar la vista de la pantalla.

Omitir Zoom de pantalla

La página ID de Apple no se muestra. El usuario no puede iniciarsesión con su ID de Apple para acceder a los servicios de Apple.

Omitir ID de Apple

La página Apple Pay no se muestra. El usuario no puede añadirinformación de tarjetas de crédito o débito para pagar enestablecimientos o dentro de apps mediante Apple Pay.

Omitir Apple Pay

La página Touch ID no se muestra. El usuario no puedeconfigurar una huella dactilar en lugar de la contraseña.

Omitir Touch ID

La página Crear código no se muestra. El usuario no puedeconfigurar un código para desbloquear el dispositivo.

Omitir Código

La página Términos y condiciones no se muestra.Omitir Términos ycondiciones

176


7. En la ficha Información de soporte se pueden configurar las opciones siguientes:

DescripciónOpción

El departamento o el nombre de la ubicación asociada con elperfil.

Este nombre está incluido en la información a la que el usuariopuede acceder haciendo clic en Acerca de la configuracióndurante la configuración del dispositivo.

Departamento

El número de teléfono de soporte de su empresa.

Este campo se rellena con el número de teléfono que figura enlos datos de contacto del soporte técnico. Consulte Configurarlos datos de contacto del soporte técnico en la página 23.

Nota: el número de teléfono se guarda internamente en el perfildel DEP pero no está disponible en el dispositivo.

Número de teléfono

El correo electrónico de soporte de su empresa.

Este campo se rellena con el correo electrónico que figura en losdatos de contacto del soporte técnico. Consulte Configurar losdatos de contacto del soporte técnico en la página 23.

Nota: el correo electrónico se guarda internamente en el perfildel DEP pero no está disponible en el dispositivo.

Correo electrónico

8. En la ficha Emparejamiento USB se configuran los equipos host a los que se puedeconectar el dispositivo usando puertos USB.

Estos se pueden usar para sincronizar el dispositivo con iTunes o para administrarlo conApple Configurator.

■ Para permitir la conexión USB con todos los host, seleccione Permitir emparejamientoUSB con todos los hosts.

■ Para prohibir la conexión USB o restringir determinados host, deseleccione Permitiremparejamiento USB con todos los hosts y, a continuación, suba un archivo decertificado para cada host al que se permita que se conecte el dispositivo.

9. Una vez configuradas todas las pestañas de Editar perfil del DEP, haga clic en Aplicarpara guardar el perfil del DEP.

10. Para asignar el perfil a todos los dispositivos del DEP nuevos a los que no se haya asignadoningún perfil manualmente, selecciónelo en la lista Perfil DEP predeterminado asignadoa dispositivos nuevos.

Cuando selecciona Ninguno, debe asignar manualmente un perfil del DEP a losdispositivos del DEP nuevos según se describe en Implementar dispositivos del DEP enla página 177. En caso contrario, los dispositivos del DEP no se inscribirán con SophosMobile Control cuando se activen.

11. Haga clic en Guardar para guardar los cambios.

18.7.3 Implementar dispositivos del DEP

Realice este procedimiento para conectar sus dispositivos al DEP de Apple e inscribirlos conSophos Mobile Control.

177


Puede administrar dispositivos adquiridos a Apple o a un distribuidor del DEP autorizado.Antes de poder conectar dispositivos al DEP de Apple, es necesario configurar el distribuidordel dispositivo en el portal del DEP de Apple.

Nota: en un flujo de trabajo normal del DEP, este procedimiento se realiza antes de entregarlos dispositivos a los usuarios para su activación y uso.

Nota: para una descripción detallada del portal del DEP de Apple, consulte la Ayuda onlinede los Programas de implementación de Apple.

Para asignar sus dispositivos a Sophos Mobile Control y asignarles un perfil del DEP:

1. Abra el portal de los Programas de implementación de Apple,https://deploy.apple.com, en un navegador web e inicie sesión con el ID de Applede su empresa.

2. En el portal vaya a Programa de inscripción de dispositivos > Organizar dispositivos.

3. En Elegir dispositivos por, seleccione sus dispositivos nuevos por el número de serie,el número de pedido o suba un archivo CSV con los número de serie de sus dispositivos.

Nota: si ha adquirido sus dispositivos a un distribuidor, estos estarán disponibles en elportal del DEP dentro de las 24 horas siguientes una vez el distribuidor haya comunicadoel pedido a Apple.

4. En Elegir una acción, seleccione Asignar al servidor y seleccione el servidor MDMvirtual que ha configurado para Sophos Mobile Control según se describe en Configurarun servidor MDM virtual en la página 172.

5. Haga clic en Aceptar para que se produzca la asignación.

En este punto puede cerrar la sesión en el portal web del DEP de Apple si lo desea.

Puede omitir los pasos restantes si ha configurado un perfil del DEP predeterminado segúnse describe en Crear perfil del DEP en la página 173.

6. Inicie sesión en la consola web de Sophos Mobile Control con una cuenta de administradorcorrespondiente al cliente para el que desea administrar los dispositivos del DEP.

7. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos y, acontinuación, haga clic en Apple DEP.

La página Dispositivos del DEP de Apple muestra una lista con todos los dispositivosque ha asignado a Sophos Mobile Control en el portal web del DEP de Apple.

8. Si los dispositivos que acaba de asignar a Sophos Mobile Control no aparecen en la lista,haga clic en Sincronizar con el portal del DEP de Apple.

Nota: para limitar la carga en el servidor del DEP de Apple, la sincronización repetidasolo es posible tras un breve tiempo de espera.

9. Seleccione los dispositivos nuevos y haga clic en Acciones > Asignar perfil.

10. En el cuadro de diálogo de confirmación, seleccione el perfil del DEP que desea asignara los dispositivos y haga clic en Aceptar.

Cuando los dispositivos adquiridos lleguen a su empresa podrá entregarlos a los usuarios.No es necesario realizar ninguna configuración adicional. Cuando los usuarios enciendanlos dispositivos por primera vez, la configuración iOS y la inscripción en Sophos Mobile Controlse realizarán según las opciones configuradas en el perfil del DEP asignado.

Si se ha seleccionado la opción de perfil Asignar usuario a dispositivo según se describeen Crear perfil del DEP en la página 173, los usuarios se asignan automáticamente a sudispositivo.

178




18.7.4 Administrar dispositivos del DEP

Los dispositivos del DEP se administran en Sophos Mobile Control de la misma forma quelos dispositivos no DEP. Consulte Administrar dispositivos en la página 161.

Específicamente para el DEP, se pueden asignar perfiles del DEP a un dispositivo. El perfildel DEP proporciona información al servidor de Apple cuando se activa el dispositivo. ConsulteCrear perfil del DEP en la página 173.

Nota: como el perfil del DEP solo se usa para la activación del dispositivo, cambiar el perfildel DEP asignado no tiene efecto sobre el dispositivo hasta que no se restablezca y vuelvaa activar.

Para cambiar el perfil del DEP de un dispositivo:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos y, acontinuación, haga clic en Apple DEP.

La página Dispositivos del DEP de Apple muestra una lista con todos los dispositivosque ha asignado a Sophos Mobile Control en el portal web del DEP de Apple.

2. Haga clic en Sincronizar con el portal del DEP de Apple para actualizar la informacióndel DEP.

Nota: para limitar la carga sobre el servidor del DEP de Apple, la opción Sincronizarcon el portal del DEP de Apple se desactiva tras una sincronización y vuelve a estardisponible de nuevo tras unos cuantos minutos.

3. Seleccione los dispositivos a los que desea asignar un perfil del DEP distinto.

4. Haga clic en Acciones > Asignar perfil.

5. En el cuadro de diálogo de confirmación, seleccione el perfil del DEP que desea asignara los dispositivos y haga clic en Aceptar.

179


19 Crear administradores1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >

Administradores para abrir la página Mostrar administradores y, a continuación, hagaclic en Crear administrador.

2. En la página Editar administrador, configure los detalles de la cuenta para eladministrador.

■ Cuando Directorio LDAP externo se usa como directorio de usuarios para el cliente,puede hacer clic en Buscar usuario a través de LDAP para seleccionar una cuentaLDAP existente.

■ Si no usa un directorio de usuarios externo, introduzca los datos correspondientes aNombre de inicio de sesión, Nombre, Apellidos, Dirección de correo electrónicoy Contraseña.

La contraseña que especifique es una contraseña de un solo uso. En el primer inicio desesión, se pedirá al administrador que la cambie.

3. En la lista Rol seleccione uno de los roles disponibles.

El rol define el tipo de derechos de acceso del nuevo administrador en Sophos MobileControl. Consulte Roles de usuario de la consola web en la página 10.

4. Haga clic en Guardar para crear la cuenta de administrador.

El nuevo administrador se crea y muestra en la página Mostrar administradores. Traspaselas credenciales de usuario (usuario, cliente, contraseña de un solo uso) al nuevo usuario.El nuevo usuario podrá iniciar sesión en la consola web y se le requerirá que cambie lacontraseña.

180


20 Enviar mensajes a dispositivosDesde la consola web se pueden enviar mensajes definidos por usuario a los dispositivosadministrados. Una vez implementado el paquete de arranque e instalada la app SophosMobile Control en un dispositivo iOS, se envían mensajes APN. Una vez configurado undispositivo Android, se envían mensajes push GCM. Una vez configurado un dispositivoWindows Mobile o Windows Desktop, se envían mensajes MPNS.

20.1 Enviar mensajes a dispositivos individuales1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos.


2. Seleccione el dispositivo deseado, haga clic en Acciones y, a continuación, en Enviarmensaje.

Nota: es posible seleccionar varios dispositivos.

3. En el cuadro de diálogo Introducir mensaje, introduzca el mensaje que desea enviar.

El mensaje puede incluir hasta 500 caracteres. Debajo del cuadro de texto se indica elnúmero de caracteres restantes.


181


21 Licencias SMC AdvancedPara poder administrar las apps de contenedor Sophos Sophos Secure Workspace y SophosSecure Email y la app Sophos Mobile Security desde Sophos Mobile Control, se requiereuna licencia SMC Advanced válida. Tras la compra recibirá una clave de licencia SMCAdvanced para activar sus licencias de Sophos Mobile Security y las apps de contenedorSophos. La forma de activar la licencia en la consola web depende del tipo de instalación deSophos Mobile Control que esté usando (instalación local o software como servicio).

21.1 Activar licencias para instalaciones localesPara las instalaciones de Sophos Mobile Control locales, las licencias SMC Advanced sonadministradas por el superadministrador en la administración de clientes. Para másinformación, consulte la Guía de superadministrador de Sophos Mobile Control.

21.2 Activar licencias para instalaciones de software comoservicio1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración y, a

continuación, en Configuración del sistema.

Aparece la página Configuración del sistema.

2. En la ficha Licencia, en el campo Clave de licencia Advanced, introduzca la clave delicencia que ha recibido de Sophos y haga clic en Activar.

La licencia SMC Advanced para administrar las apps Sophos Mobile Security y SophosSecure Workspace se activan. El campo Clave de licencia activa muestra la clave de licenciaactivada. El campo Unidades muestra el número de usuarios disponibles. El campo Válidohasta muestra la fecha de vencimiento de la licencia.

182


22 Administrar Sophos Mobile Securitydesde Sophos Mobile ControlSophos Mobile Security es una app de seguridad para dispositivos Android que protege losdispositivos de apps maliciosas y ayuda a los usuarios finales a detectar permisos de appsque podrían suponer un riesgo para la seguridad. Su capacidad de filtrado web le permitefiltrar sitios web por categorías y bloquear contenido inapropiado.

La funcionalidad de administración de Sophos Mobile Security es un módulo opcional deSophos Mobile Control. Para poder administrar la app Sophos Mobile Security desde SophosMobile Control, debe haber una licencia SMC Advanced disponible y activada en la consolaweb de Sophos Mobile Control.

La app Sophos Mobile Security se puede administrar en dispositivos administrados desde laconsola web de Sophos Mobile Control según se detalla a continuación:

■ Puede definir las opciones de configuración de la app Sophos Mobile Security en todoslos dispositivos de los usuarios finales de forma remota y centralizada en la consola web.

■ Puede asegurar que la app Sophos Mobile Security esté instalada en los dispositivos delos usuarios finales y que ejecute escaneados a intervalos definidos. Puede definir estocomo un criterio de cumplimiento.

■ Puede activar escaneados para dispositivos específicos.

■ Puede ver en la consola web los resultados de los escaneados de los dispositivos.

Para más información sobre Sophos Mobile Security, consulte la Ayuda de Sophos MobileSecurity.

22.1 Configurar opciones de antivirus para Sophos MobileSecurityRequisitos previos: Una licencia SMC Advanced disponible.



2. Haga clic en Crear y seleccione Política de seguridad para dispositivos móviles.







7. Seleccione Antivirus y haga clic en Siguiente.

Aparece la vista de opciones de configuración.

183


8. Vaya a la ficha Antivirus.

9. En General, puede especificar lo siguiente:

a) Defina en el Modo de escaneado en la nube cuándo Sophos Mobile Security debecomprobar la información más reciente sobre programas maliciosos. Seleccione unade las opciones siguientes para definir cuándo la app debe usar el servicio decomprobación en la nube.

■ Siempre

■ No en roaming

■ Solo Wi-Fi

Estas opciones permiten controlar el tráfico de datos en la app. Si selecciona la opciónSolo Wi-Fi para el Modo de escaneado en la nube, la comprobación en la nube solose realiza cuando el dispositivo tenga una conexión Wi-Fi. Si selecciona la opción Noen roaming para el Modo de escaneado en la nube, no se realiza ningunacomprobación en la nube mientras que el dispositivo se encuentre en roaming en unared extranjera.

b) Seleccione en la lista Intervalo de escaneado programado la frecuencia con la quese deben realizar los escaneados.

10. En Destinos, puede especificar lo siguiente:

a) Seleccione Escanear apps de sistema para incluir las apps de sistema en losescaneados.

Las apps de sistema no se escanean por defecto, ya que están protegidas por el SOAndroid y no pueden ser eliminadas por el usuario. Pero puede activar el escaneadode apps de sistema aquí.

b) Seleccione Escanear tarjeta SD, USB para escanear todos los archivos en tarjetasSD, USB y otros dispositivos de almacenamiento externos, además del escaneadopor defecto de todas las apps instaladas en el dispositivo.

11. En Apps no deseadas, puede especificar lo siguiente:

a) Seleccione Apps no deseadas detectadas para detectar aplicaciones no deseadas.

Las apps no deseadas son aquellas apps que, a pesar de no ser maliciosas, songeneralmente consideradas inapropiadas para la mayoría de redes corporativas. Lasapps no deseadas incluyen programas publicitarios, marcadores telefónicos oherramientas de control remoto y de piratas informáticos. En cualquier caso, ciertasapps que pueden entrar en la categoría de apps no deseadas pueden ser consideradasútiles por algunos usuarios.

Al seleccionar esta opción, Sophos Mobile Security detectará las apps no deseadasdurante los escaneados y notificará al usuario correspondientemente.

b) Seleccione Habilitar usuario para permitir apps no deseadas para que los usuariospuedan permitir apps a pesar de haber sido detectadas como apps no deseadas. Elusuario puede marcarlas como ignoradas. En los escaneados posteriores, estas appsya no aparecerán como apps no deseadas.

184


12. En Apps de baja reputación puede especificar cómo se deben tratar estas apps. Laclasificación de las apps está basada en los datos de Sophos Live Protection. En Modo,puede especificar lo siguiente:

a) Seleccione Permitir para desactivar el escaneado de apps de baja reputación.

b) Seleccione Avisar para mostrar un aviso en el dispositivo cuando se detecte una appde baja reputación. Entonces los usuarios pueden elegir cómo se debe de tratar laapp. Pueden añadirla a una lista de apps permitidas de modo que ya no se muestrenmás advertencias si se detecta esta app de nuevo.

c) Seleccione Bloquear para evitar que se puedan abrir apps de baja reputación. Semuestra una advertencia, pero el usuario no puede abrir la app.

13. En Protección activa, puede especificar lo siguiente:

a) Asegúrese de que Notificación de escaneado está seleccionado para recibirnotificaciones de escaneado.

b) Seleccione Monitorizar tarjeta SD para monitorizar cualquier cambio en la tarjeta SD.Si se guardan archivos nuevos en la tarjeta, estos se escanean.

14. Si los resultados del escaneado incluyen apps que deban poder abrirse, puede añadirlasa la lista de apps permitidas. Las apps de esta lista tienen permiso para poder abrirse enlos dispositivos. Estas apps no se notificarán.

Para identificar estas apps, puede utilizar los resultados de escaneado de Sophos MobileSecurity. Consulte Ver resultados de escaneado de Sophos Mobile Security en la página187. Antes de poder permitir la ejecución de estas apps en los dispositivos es necesarioañadirlas a un Grupo de apps, según se describe en Trabajar con grupos de apps en lapágina 157.

15. Para añadir apps permitidas, seleccione el Grupo de apps que contenga las appspermitidas.


22.2 Configurar opciones de filtrado web para SophosMobile SecurityRequisitos previos: Una licencia SMC Advanced disponible.

La app Sophos Mobile Security protege contra la navegación en sitios con contenido malicioso,no deseado o ilegal.

Nota: el filtrado web solo funciona con el navegador integrado y Google Chrome y en lasversiones 4.0 a 5.1 de Android.



2. Haga clic en Crear y seleccione Política de seguridad para dispositivos móviles.





185




7. Seleccione Filtrado web y haga clic en Siguiente.

Aparece la página Filtrado web.

8. Defina en el campo Filtrar sitios web maliciosos si Permitir el acceso a sitios webmaliciosos, Avisar al usuario sobre sitios web maliciosos, o Bloquear estos sitios.

9. En Filtrar sitios web por categoría defina para cada categoría si Permitir el acceso asitios web de esta categoría, Avisar al usuario sobre contenido malicioso, inapropiado oilegal, o Bloquear sitios web de esta categoría.

Los sitios web se categorizan utilizando datos de SophosLabs. Los datos se actualizanpermanentemente.

10. En Excepciones web, puede definir:

a) Dominios permitidos: añada dominios o direcciones IP que deban permitirse, a pesarde que la categoría a la que pertenecen está bloqueada.

b) Dominios permitidos: añada dominios o direcciones IP que deban bloquearse, apesar de que la categoría a la que pertenecen está permitida.

Puede insertar nombres de dominio o direcciones IP. Ejemplos: www.empresa.com,*.empresa.com, 10.2.0.1, 10.2.0.1/24


Las opciones de configuración definidas en la consola web de Sophos Mobile Control nopueden cambiarse en el dispositivo del usuario final. Estas aparecen en gris.

22.3 Definir opciones de cumplimiento de Sophos MobileSecurityRequisitos previos: Una licencia SMC Advanced disponible.

Las opciones de cumplimiento relativas a Sophos Mobile Security se pueden configurar enla consola web.

1. Añada una nueva regla de cumplimiento o abra un conjunto existente para editarlo. Paramás información, consulte Reglas de cumplimiento en la página 45.

2. Vaya a la ficha Android.

3. En el campo Intervalo máx. de escaneado SMSec puede especificar el intervalo deescaneado máximo de los escaneados realizados por la app Sophos Mobile Security enlos dispositivos para detectar programas maliciosos.

4. En la lista Denegación de permisos SMSec permitida, seleccione si la denegación delos permisos necesarios constituye una violación del cumplimiento.

5. Seleccione en la lista Apps maliciosas permitidas si se permiten apps maliciosasdetectadas en los dispositivos.

6. Seleccione en la lista Apps sospechosas permitidas si se permiten apps sospechosasdetectadas en los dispositivos.

7. Seleccione en la lista Apps no deseadas permitidas si se permiten apps no deseadasdetectadas en los dispositivos.

8. Una vez especificadas todas las opciones de configuración necesarias, haga clic enGuardar.

186


22.4 Ver resultados de escaneado de Sophos MobileSecurityRequisitos previos: Una licencia SMC Advanced disponible.



2. Haga clic en el triángulo azul junto al dispositivo correspondiente y haga clic en Editar ohaga clic en su nombre.

Aparece la página Mostrar dispositivo o Editar dispositivo.

3. Vaya a la ficha Resultados de escaneado.

La ficha muestra los resultados de escaneado de Sophos Mobile Security. En una tablase muestran los paquetes con problemas, p. ej., apps no deseadas. En Nombre de laamenaza puede hacer clic en los enlaces para ver información adicional de SophosLabssobre la amenaza correspondiente.

4. Vaya a la ficha Infracciones de cumplimiento para ver las infracciones de cumplimientorelacionadas con los resultados del escaneado. Las infracciones mostradas dependen dela configuración de cumplimiento en Sophos Mobile Security.

22.4.1 Crear una lista de apps no deseadas y apps de baja reputaciónpermitidas

Los resultados del escaneado se pueden usar para crear una lista de apps permitidas. Estalista será válida para todos los dispositivos Android con la app Sophos Mobile Securityinstalada del cliente al que está conectado.

1. Vaya a la ficha Resultados de escaneado de uno de sus dispositivos escaneados.

En la tabla se muestran los paquetes con problemas. La columna Nombre de la amenazaindica si el paquete mostrado es una app de baja reputación, una app no deseada o unprograma malicioso. Puede hacer clic en los enlaces para ver información adicional sobrela amenaza de SophosLabs.

Las apps de baja reputación y las apps no deseadas tienen un icono de marca deverificación azul a la izquierda del nombre del paquete. Solo se pueden añadir estas appsa la lista de apps permitidas.

2. Haga clic en el icono de marca de verificación azul para añadir la app a la lista de appspermitidas.

Aparece un cuadro de diálogo de confirmación.


La app se añade a la lista de apps permitidas.

4. Repita este paso para todas las apps que quiera añadir.

5. Para ver la lista vaya a Configuración y haga clic en General.

187


6. Haga clic en Ver lista de permisos.

Se muestran todas las apps que ha añadido. Las apps de esta lista se pueden abrir entodos los dispositivos administrados. Desde este momento estas apps ya no se notificarán.

Al hacer clic en Vaciar lista de permisos se eliminan todas las entradas de la lista.

188


23 Administrar apps de contenedor SophosPara una mejor separación de los datos en los dispositivos administrados, Sophos MobileControl proporciona las apps de contenedor Sophos Sophos Secure Email y Sophos SecureWorkspace:

■ Sophos Secure Email es una app para dispositivos iOS y Android que ofrece un contenedorseguro para gestionar su correo electrónico, calendario y contactos.

■ Sophos Secure Workspace es una app para dispositivos iOS y Android que permite a losusuarios acceder a archivos cifrados almacenados en la nube. Los archivos puedendescifrarse y visualizarse con facilidad. Los archivos cifrados pueden obtenerse de otrasapps y subirse a uno de los servicios de almacenamiento en la nube compatibles.Alternativamente, también se pueden almacenar los documentos de forma local en laaplicación.

Con Sophos Secure Workspace puede leer archivos cifrados por SafeGuard Cloud Storageo SafeGuard Data Exchange. Ambos son módulos de SafeGuard Enterprise o una de susdiferentes ediciones. Permiten cifrar archivos utilizando una clave local. Estas claveslocales se derivan de una contraseña introducida por el usuario. Sólo puede descifrar unarchivo si conoce la contraseña que se usó para cifrar el archivo.

La funcionalidad de administración de apps de contenedor Sophos es un módulo opcionalde Sophos Mobile Control. Para poder administrar la apps desde Sophos Mobile Control,debe haber una licencia SMC Advanced disponible y activada en la consola web de SophosMobile Control.

El contenedor Sophos proporciona:

■ Reglas de contraseñas definidas de forma centralizada

■ Reglas de contraseña para todas las apps de contenedor

■ Inicio de sesión único para todas las apps de contenedor

■ Configuración de documento de Sophos Secure Workspace

■ Configuración de navegador de Sophos Secure Workspace

■ Configuración de Sophos Secure Email

Las apps Sophos se pueden administrar en dispositivos administrados desde la consola webde Sophos Mobile Control según se detalla a continuación:

■ Puede definir las opciones de configuración de las apps de contenedor Sophos en todoslos dispositivos de los usuarios finales de forma remota y centralizada en la consola web.

■ Puede asegurar que las apps de contenedor de Sophos estén instaladas en los dispositivosde los usuarios finales. Puede definir esto como un criterio de cumplimiento.

■ Puede activar la distribución segura de documentos con el proveedor de almacenamientode Documentos corporativos. Consulte Distribuir documentos corporativos en la página159.

■ Puede activar la sincronización del conjunto de claves corporativas entre la app de SophosSecure Workspace y Sophos SafeGuard Enterprise. Esto hace que las claves del conjuntode claves de SafeGuard de un usuario estén disponibles en el conjunto de claves deSophos Secure Workspace. Consulte Sincronizar el conjunto de claves corporativas enla página 191.

189


Nota: para poder administrar las apps de contenedor de Sophos, estas se deben distribuircon Sophos Mobile Control. Si los usuarios ya tienen una versión no administrada de SophosSecure Workspace instalada en sus dispositivos, deberán primero desinstalar esta versióne instalar a continuación la versión administrada.

Para más información sobre Sophos Secure Workspace, consulte la Ayuda de Sophos SecureWorkspace.

23.1 Configurar apps de contenedor SophosRequisitos previos: Una licencia SMC Advanced disponible.

Para información sobre cómo configurar las apps de contenedor Sophos, consulteConfiguraciones de política de contenedor Sophos disponibles en la página 73 para Androidy Configuraciones de política de contenedor Sophos disponibles en la página 113 para iOS.

23.2 Restablecer contraseña del contenedor de SophosPuede restablecer la contraseña del contenedor de Sophos. Esto resulta útil, p. ej., cuandolos usuarios olvidan su contraseña. Cuando se restablece la contraseña del contenedor deSophos, los usuarios deben definir una contraseña de contenedor nueva.



2. Haga clic en el dispositivo para el que quiere restablecer la contraseña del contenedor deSophos.


3. Haga clic en Acciones.

Aparece el menú Acciones.

4. Haga clic en Restablecer contraseña de la app del contenedor de Sophos.

Aparece un cuadro de diálogo de confirmación.


La contraseña del contenedor de Sophos se restablece en el dispositivo. El usuario debeintroducir una nueva contraseña del contenedor de Sophos.

23.3 Bloquear y desbloquear el contenedor SophosPuede establecer permisos para el contenedor con el fin de prevenir el acceso a datoscorporativos en el contenedor Sophos. Si ajusta Establecer acceso al contenedor deSophos en Denegar, no se puede acceder al contenedor Sophos.



2. Haga clic en el dispositivo para el que quiere editar el acceso al contenedor.


190


3. Haga clic en Acciones.

Aparece el menú Acciones.

4. Haga clic en Establecer acceso al contenedor de Sophos.

Aparece un cuadro de diálogo para establecer los permisos de acceso a los documentos.

5. Seleccione una de las siguientes opciones:

■ Denegar para bloquear el contenedor Sophos. Los usuarios no pueden seguir usándolo.■ Permitir para desbloquear el contenedor. Los usuarios pueden seguir usándolo.■ Modo auto para comprobar si se ha notificado una infracción de cumplimiento para el

dispositivo. Si se identifica una infracción de cumplimiento, el contenedor se bloquea.


Dependiendo de su selección, el contenedor de Sophos se bloquea o desbloquea. Si habloqueado el contenedor, se mostrará una pantalla de bloqueo en el dispositivo siempre quese active una app del contenedor Sophos. Los usuarios no tienen acceso a los documentosprotegidos por el contenedor Sophos mientras que no lo desbloquee.

23.4 Sincronizar el conjunto de claves corporativasLas claves de cifrado corporativas de los conjuntos de claves de Sophos SafeGuard Enterprisepueden facilitarse en la app de Sophos Secure Workspace. Los usuarios de la app puedenutilizar las claves para descifrar y ver documentos o cifrar documentos.

Requisitos previos:

■ Utiliza Sophos SafeGuard Enterprise 8.0.

■ Ha configurado la administración de usuarios externa del portal de autoservicio tal comose describe en Configurar la administración de usuarios del portal de autoservicio en lapágina 30, utilizando la misma base de datos de usuario de Active Directory que estáconfigurada en SafeGuard Enterprise.

■ Sophos Secure Workspace está administrado por Sophos Mobile Control. Requiere lalicencia SMC Advanced.

La sincronización del conjunto de claves corporativas añade las siguientes funciones a laapp Sophos Secure Workspace:

■ Las claves del conjunto de claves de SafeGuard de un usuario están disponibles en elconjunto de claves de Sophos Secure Workspace (conjunto de claves SSW).

■ Los usuarios pueden seguir usando las claves locales que estaban disponibles en suconjunto de claves SSW cuando activó la sincronización del conjunto de claves.

■ Los usuarios no pueden crear claves locales nuevas.

■ Por razones de seguridad, las claves del conjunto de claves de SafeGuard se eliminande un dispositivo cuando el contenedor de Sophos se bloquea.

Para activar la sincronización del conjunto de claves corporativas, debe configurar unaconexión entre Sophos Mobile Control y Sophos SafeGuard Enterprise del siguiente modo:

1. En la barra lateral de menús, en CONFIGURACIÓN, haga clic en Configuración >Configuración del sistema y, a continuación, haga clic en la ficha SGN.

191


2. Siga la descripción de la ficha SGN. En ella se incluyen los siguientes pasos deconfiguración:

a) Descargue el archivo de certificado del servidor de Sophos Mobile Control.

b) En SafeGuard Management Center, use la herramienta de paquetes de configuraciónpara configurar el servidor de Sophos Mobile Control como cliente administrado.

c) Cargue el paquete de configuración que ha creado en SafeGuard Management Centeren Sophos Mobile Control.

3. En la ficha SGN, haga clic en Guardar para guardar los ajustes de integración conSafeGuard.

192


24 Glosario

Una app instalada por el servidor de Sophos Mobile Control mediantealguno de los métodos siguientes:

app administrada

■ Instalación a través de un paquete de tareas.

■ Instalación manual desde la consola web.

■ Solo para dispositivos iOS, instalación a petición del usuariodesde el Almacén empresarial de aplicaciones, si el administradorha seleccionado la opción Instalación administrada de SMC.

El proceso de instalar el cliente de Sophos Mobile Control en undispositivo.

aprovisionamiento

Inquilino que administra los dispositivos.cliente

La app de Sophos Mobile Control que se instala en el dispositivoadministrado.

Cliente de SophosMobile Control

Interfaz web del servidor que se utiliza para administrar losdispositivos.

consola web

El dispositivo que se va a administrar (p. ej., un teléfono inteligente,una tableta o un dispositivo Windows 10).

dispositivo

Un repositorio de apps que se aloja en el servidor de Sophos MobileControl. El administrador puede utilizar la consola web para añadir

Almacén empresarialde aplicaciones

apps al almacén empresarial de aplicaciones. Los usuarios puedenusar entonces la app Sophos Mobile Control para instalar estas appsen sus dispositivos.

La licencia SMC Advanced añade funcionalidad a la licencia estándarpermitiéndole administrar las apps Sophos Mobile Security, Sophos

Licencia SMCAdvanced

Secure Workspace y Sophos Secure Email mediante Sophos MobileControl.

Paquete que se puede crear en la consola web a fin de agrupardiversas tareas en una transacción. Puede agrupar todas las tareas

paquete de tareas

necesarias para completar la inscripción y la activación de undispositivo.

Interfaz web de Sophos Mobile Control que permite a los usuariosfinales registrar sus propios dispositivos y realizar otras tareas sintener que contactar con soporte.

Portal deautoservicio (SSP)

Abreviatura de Sophos Mobile Security utilizada en la interfaz deusuario de la consola web de Sophos Mobile Control.

SMSec

193


Una app de seguridad para dispositivos Android. Puede administraresta app desde Sophos Mobile Control, siempre que haya disponible

Sophos MobileSecurity

una licencia SMC Advanced y esta esté activada en la consola webde Sophos Mobile Control.

Una app para dispositivos Apple iOS y Android que ofrece uncontenedor seguro para gestionar su correo electrónico, calendario

Sophos SecureEmail

y contactos. Puede administrar esta app desde Sophos MobileControl, siempre que haya disponible una licencia SMC Advancedy esta esté activada en la consola web de Sophos Mobile Control.

Una app para dispositivos iOS y Android que proporciona un espaciode trabajo seguro en el que se puede navegar, administrar, editar,

Sophos SecureWorkspace

compartir, cifrar y descifrar documentos de distintos proveedores dealmacenamiento o distribuidos por su empresa. Puede administraresta app desde Sophos Mobile Control, siempre que haya disponibleuna licencia SMC Advanced y esta esté activada en la consola webde Sophos Mobile Control.

Usuario final del dispositivo.usuario final

194


25 Soporte técnicoPara obtener asistencia técnica sobre cualquier producto de Sophos, puede:

■ Visitar el foro Sophos Community en community.sophos.com/ para consultar casossimilares.

■ Visitar la base de conocimiento de Sophos en www.sophos.com/es-es/support.aspx.

■ Descargar la documentación correspondiente desdewww.sophos.com/es-es/support/documentation.aspx.

■ Abrir un ticket de incidencia con nuestro equipo de soporte enhttps://secure2.sophos.com/support/contact-support/support-query.aspx.

195


http://community.sophos.com

http://www.sophos.com/es-es/support.aspx

http://www.sophos.com/es-es/support/documentation.aspx

https://secure2.sophos.com/es-es/support/contact-support/support-query.aspx

26 Aviso legalCopyright © 2011 - 2016 Sophos Limited. Todos los derechos reservados.

Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida deninguna forma, ni por ningún medio, sea éste electrónico, mecánico, grabación, fotocopia ocualquier otro sin la correspondiente licencia del producto, bajo dichos términos, o sin laprevia autorización escrita por parte del propietario.

Sophos es una marca registrada de Sophos Limited y Sophos Group. Los demás productosy empresas mencionados son marcas registradas de sus respectivos propietarios.

196


Documents

Sophos Mobile Controlsuperadministrador para la administración de clientes, consulte la Guía de superadministrador de Sophos Mobile Control. Esta guía no es relevante para Sophos