Sophos Mobile en Central · 2017-10-09 · Mobile y Mobile Enterprise de Windows 10 y a Windows Phone 8.1. A no ser que se especifique lo contr ario, Windows Desktop o Windows 10

Sophos Mobile en Centralayuda de administrador

7.1Versión:

Contenido

1 Acerca de esta ayuda.........................................................................................................5

2 Pasos básicos para la administración de dispositivos con Sophos Mobile........................6

3 Panel de control..................................................................................................................7

4 Informes.............................................................................................................................8

5 Tareas.................................................................................................................................9

5.1 Tareas de monitorización......................................................................................9

6 Configuración general......................................................................................................13

6.1 Configurar las opciones personales...................................................................13

6.2 Configurar opciones de app SMC......................................................................14

6.3 Activar servicio Baidu Cloud Push......................................................................14

6.4 Configurar opciones iOS....................................................................................14

6.5 Configurar intervalo de sondeo para dispositivos Windows...............................15

6.6 Configurar correo electrónico.............................................................................16

6.7 Configurar los datos de contacto del soporte técnico........................................16

6.8 Definir propiedades de cliente............................................................................16

7 Configurar el portal de autoservicio.................................................................................17

7.1 Configurar las opciones del portal de autoservicio.............................................17

7.2 Opciones del portal de autoservicio disponibles................................................19

8 Configuración del sistema................................................................................................22

8.1 Certificados del servicio de notificaciones push de Apple..................................22

8.2 Configurar destinos AirPlay iOS.........................................................................25

8.3 Licencia Samsung Knox.....................................................................................25

8.4 Protocolo de inscripción simple de certificados (SCEP)....................................26

9 Políticas de cumplimiento.................................................................................................28

9.1 Crear política de cumplimiento...........................................................................28

9.2 Reglas de cumplimiento disponibles..................................................................29

9.3 Asignar una política de cumplimiento a grupos de dispositivos.........................35

9.4 Comprobación de cumplimiento de dispositivos.................................................36

10 Dispositivos....................................................................................................................37

10.1 Añadir dispositivos............................................................................................37

10.2 Inscribir dispositivos.........................................................................................38

10.3 Anular la inscripción de dispositivos.................................................................44

10.4 Administrar dispositivos....................................................................................45

10.5 Apple DEP........................................................................................................51

11 Grupos de dispositivos...................................................................................................59

2

11.1 Crear grupo de dispositivos..............................................................................59

11.2 Eliminar grupos de dispositivos........................................................................59

12 Usuarios.........................................................................................................................60

13 Perfiles y políticas...........................................................................................................61

13.1 Crear perfiles o políticas...................................................................................61

13.2 Importar perfiles de dispositivo iOS creados con Apple Configurator..............62

13.3 Importar perfiles de aprovisionamiento para apps iOS....................................63

13.4 Reglas de complejidad de contraseña de Windows Desktop...........................63

13.5 Soporte Samsung Knox....................................................................................64

13.6 Marcadores en perfiles y políticas....................................................................64

13.7 Instalar un perfil en dispositivos.......................................................................65

13.8 Asignar una política a dispositivos...................................................................66

13.9 Eliminar un perfil...............................................................................................66

13.10 Descargar perfiles y políticas.........................................................................67

13.11 Configuraciones para perfiles de dispositivos Android...................................67

13.12 Configuraciones para políticas de Android enterprise....................................85

13.13 Configuraciones para políticas de contenedor de Sophos para Android........97

13.14 Configuraciones para políticas de Mobile Security.......................................107

13.15 Configuraciones para perfiles de contenedor Knox......................................107

13.16 Configuraciones para políticas de Android Things.......................................112

13.17 Configuraciones para perfiles de dispositivos iOS.......................................113

13.18 Configuraciones para políticas de contenedor de Sophos para iOS............141

13.19 Configuraciones para políticas de Windows Mobile.....................................150

13.20 Configuraciones para políticas de Windows Desktop...................................162

13.21 Configuraciones para políticas de Windows IoT...........................................167

14 Paquetes de tareas......................................................................................................171

14.1 Crear paquete de tareas.................................................................................171

14.2 Tipos de tareas de Android disponibles..........................................................172

14.3 Tipos de tareas de iOS disponibles................................................................175

14.4 Duplicar paquetes de tareas...........................................................................178

14.5 Transferir paquetes de tareas a dispositivos individuales o grupos de

dispositivos.........................................................................................................179

15 Apps.............................................................................................................................180

15.1 Añadir app......................................................................................................180

15.2 Instalar app.....................................................................................................182

15.3 Desinstalar app...............................................................................................183

15.4 Apps administradas para iOS.........................................................................184

15.5 Administrar apps VPP de Apple.....................................................................185

15.6 Configurar VPN por app y opciones para apps iOS.......................................189

3

16 Grupos de apps............................................................................................................191

16.1 Crear grupo de apps.......................................................................................191

16.2 Importar grupo de apps..................................................................................192

17 Documentos corporativos.............................................................................................193

17.1 Añadir documentos corporativos....................................................................193

18 Android para empresas................................................................................................195

18.1 Configurar Android para empresas................................................................195

18.2 Configurar Android enterprise........................................................................200

18.3 Administrar usuarios para Android para empresas (escenario Dominio de

Google administrado).........................................................................................201

18.4 Crear perfil de trabajo.....................................................................................202

18.5 Bloquear el perfil de trabajo............................................................................202

18.6 Eliminar el perfil de trabajo de un dispositivo.................................................202

18.7 Eliminación del perfil de trabajo iniciada por el usuario..................................203

18.8 Apps de trabajo..............................................................................................203

19 Enviar un mensaje a dispositivos.................................................................................210

20 Proxy EAS independiente............................................................................................211

20.1 Descargue el instalador de proxy EAS...........................................................211

20.2 Instalar el proxy EAS independiente...............................................................212

20.3 Configurar el control de acceso al correo electrónico a través de

PowerShell..........................................................................................................215

20.4 Configurar una conexión al proxy EAS independiente...................................217

21 Administrar Sophos Mobile Security............................................................................218

21.1 Configurar opciones de antivirus para Sophos Mobile Security.....................218

21.2 Configurar opciones de filtrado web para Sophos Mobile Security................220

21.3 Definir reglas de cumplimiento de Sophos Mobile Security...........................221

21.4 Ver resultados de escaneado de Sophos Mobile Security.............................222

22 Contenedor de Sophos................................................................................................224

22.1 Configurar Inscripción de contenedor de Sophos..........................................224

22.2 Licencia Advanced.........................................................................................224

22.3 Administrar apps de contenedor de Sophos..................................................225

22.4 Restablecer contraseña del contenedor de Sophos.......................................226

22.5 Bloquear y desbloquear el contenedor Sophos..............................................226

23 Glosario........................................................................................................................228

24 Soporte técnico............................................................................................................230

25 Aviso legal....................................................................................................................231

4

1 Acerca de esta ayudaEsta ayuda describe cómo administrar Sophos Mobile en Central.

Nota: las tareas que puede realizar en Sophos Central Admin dependen del rol deadministrador que tenga asignado y de las licencias que tenga activadas.

Convenciones en este documento

En esta ayuda se utilizan las siguientes convenciones:

■ A no ser que se especifique lo contrario, Windows Mobile hace referencia a las edicionesMobile y Mobile Enterprise de Windows 10 y a Windows Phone 8.1.

■ A no ser que se especifique lo contrario, Windows Desktop o Windows 10 Desktop hacenreferencia a las ediciones Pro, Enterprise, Education, Home y S de Windows 10.

■ A no ser que se especifique lo contrario, Windows IoT hace referencia a la edición IoT Corede Windows 10.

■ A no ser que se especifique lo contrario, la premisa para todos los procedimientos es queha abierto la vista Mobile en la sección Mis productos del menú principal de SophosCentral Admin.

5

ayuda de administrador

2 Pasos básicos para la administración dedispositivos con Sophos MobileSophos Mobile ofrece un amplio rango de funciones para la administración de dispositivosmóviles dependiendo de los tipos de dispositivos, las políticas de seguridad corporativas ylos requisitos específicos de su empresa.

Los pasos básicos para la administración de dispositivos con Sophos Mobile son:

■ Configure políticas de cumplimiento para los dispositivos. Consulte Políticas decumplimiento en la página 28.

■ Cree grupos de dispositivos. Consulte Crear grupo de dispositivos en la página 59.

Los grupos de dispositivos se usan para categorizar dispositivos. Se recomienda quedisponga los dispositivos en grupos. Esto le ayudará a administrarlos de forma eficiente,puesto que se pueden realizar tareas en un grupo en vez de hacerlo en dispositivosindividuales.

■ Inscriba y aprovisiones dispositivos. Consulte Añadir dispositivos en la página 37 y Inscribirdispositivos en la página 38.

Los dispositivos pueden ser inscritos o aprovisionados por los administradores mediantela consola de Sophos Mobile o por los usuarios finales de los dispositivos mediante elportal de autoservicio de Sophos Central.

■ Defina perfiles y políticas de seguridad para dispositivos. Consulte Perfiles y políticas enla página 61.

■ Cree paquetes de tareas. Consulte Paquetes de tareas en la página 171.

■ Configure las funciones disponibles del portal de autoservicio de Sophos Central. ConsulteConfigurar el portal de autoservicio en la página 17.

■ Aplique perfiles y configuraciones de seguridad nuevos o actualizados a los dispositivosinscritos.

6

Sophos Mobile en Central

3 Panel de controlEl Panel de control personalizable es la página de inicio normal de Sophos Mobile yproporciona acceso a la información más importante de forma inmediata. Se compone dedistintos widgets que proporcionan información sobre:

■ Dispositivos, todos o por grupo

■ Estado de cumplimiento por plataforma o para todos los dispositivos

■ Estado administrado por plataforma o para todos los dispositivos

■ El estado del registro SSP

■ Las versiones de las plataformas administradas

También hay un widget especial Añadir dispositivo para iniciar el asistente de inscripciónde dispositivos. Consulte Usar el asistente de inscripción de dispositivos para asignar einscribir dispositivos nuevos en la página 40.

Dispone de las opciones siguientes para personalizar el Panel de control:

■ Para añadir un widget a la página, haga clic en Añadir widget.

■ Para eliminar un widget de la página, haga clic en el botón Cerrar en la cabecera.

■ Para restablecer el diseño por defecto de la página, haga clic en Restaurar diseño pordefecto.

■ Para reordenar los widgets en la página, arrastre la cabecera de un widget.

7


4 InformesCon Sophos Mobile pueden crearse numerosos informes de las siguientes áreas:

■ Dispositivos

■ Apps y documentos

■ Cumplimiento

■ Programas maliciosos

■ Certificados

Para crear un informe:

1. En la barra lateral de menús, en INFORMAR, haga clic en Informes, y a continuaciónhaga clic en el nombre del informe correspondiente.

2. En el cuadro de diálogo Elegir formato, haga clic en uno de los iconos disponibles paraseleccionar el formato de salida:

■ Haga clic en para exportar el informe a un archivo de Microsoft Excel.■ Haga clic en para exportar el informe a un archivo de valores separados por comas

(CVS).

El informe se guarda en su ordenador local usando la configuración de descargas de sunavegador web.

8


5 TareasLa pagina Vista de tareas ofrece un resumen de todas las tareas que ha creado e iniciadoy muestra su estado.

Puede monitorizar todas sus tareas e intervenir en caso de problemas. P. ej., puede eliminaruna tarea que no puede completarse y que bloquea el dispositivo.

Para eliminar una tarea, haga clic en el icono Eliminar junto a ella.

Puede filtrar las tareas por tipo y estado y ordenarlas por nombre de dispositivo, nombre depaquete, creador y fecha programada.

5.1 Tareas de monitorizaciónEn la consola de Sophos Mobile se pueden monitorizar todas las tareas existentes para losdispositivos.

■ En la página Tareas se muestran todas las tareas no finalizadas, las tareas con errores,así como las tareas finalizadas de los últimos días. La página Vista de tareas se actualizaautomáticamente, lo que permite comprobar la evolución de las tareas.

■ En la página Detalles de tarea se muestra información general sobre una tarea desde lapágina Tareas o Archivo de tareas.

■ En la página Archivo de tareas se muestran todas las tareas.

5.1.1 Ver tareas sin finalizar, con errores y recientemente finalizadas

1. En la barra lateral de menús, en INFORMAR, haga clic en Tareas.

2. En la página Vista de tareas, la columna Estado muestra el estado de la tarea, p. ej.,Completamente fallido.

3. El campo Intervalo de actualización (en segundos), puede seleccionar las veces quedeba actualizarse la página Vista de tareas.

4. Para ver más detalles sobre una tarea, haga clic en el icono de lupa Mostrar junto a latarea en cuestión.

Aparece la página Detalles de tarea. Aparte de información general sobre la tarea (p. ej,nombre de dispositivo, nombre de paquete y creador), también muestra distintos estadospor los que ha pasado una tarea específica, incluyendo las marcas de tiempo y los códigosde error. Si hay comandos que deban ser ejecutados por el dispositivo, hay disponible unbotón adicional de Detalles en la página Detalles de tarea.

5. Si está disponible, haga clic en Detalles para ver el comando que debe ejecutar eldispositivo.

Los comandos enviados al dispositivo forman parte de la tarea. Son ejecutados por la appSMC o el cliente MDM. Los resultados indicando la ejecución correcta o con errores setransfieren de vuelta al servidor. Si no se ha producido ningún error, el código de error es"0". Si se produce un error durante la ejecución de un comando, se muestra un código deerror. En la mayoría de los casos también se incluye una descripción con la posible causadel error del comando.

6. Haga clic en Atrás para volver a la página Detalles de tarea.

9


5.1.2 Ver archivo de tareas

1. En la barra lateral de menús, en INFORMAR, haga clic en Tareas.

2. En la página Vista de tareas haga clic en Archivo de tareas.

Aparece la página Archivo de tareas. Muestra todas las tareas finalizadas y las tareascon errores en el sistema.

3. En esta página puede:

■ Hacer clic en Recargar para actualizar la página Archivo de tareas.■ Elimine una tarea del archivo haciendo clic en el icono Eliminar junto a la tarea

correspondiente.■ Seleccione distintas tareas y haga clic en Eliminar seleccionadas para eliminarlas

del archivo.

Para volver a la página Vista de tareas haga clic en Tareas en la barra lateral de menús.

5.1.3 Estados de tarea

En la siguiente tabla se muestra un resumen de los distintos estados de tarea indicados enlas páginas Vista de tareas y Archivo de tareas.

Cada estado está asociado a un código de color que indica el estado de la categoría.

DescripciónEstadoCódigo decolor

La tarea se ha creado.Aceptado

La tarea se reintentará más tarde.Se reintentará

La tarea se ha iniciado.Iniciado

Se está preparando la ejecución de la tarea.En progreso

Se está preparando la ejecución del paquete de tareas.Paquete de tareas enprogreso

Se ha notificado a la app SCM.Notificado

La app SMC ha recibido el paquete y/o los comandos.Comandos enviados

La app SMC ha respondido y ha comenzado laevaluación del resultado.

Evaluación de resultadoiniciada

La evaluación del resultado muestra que no se hanrecibido todos los resultados de los comandos.

Resultado incompleto

Hay una acción de usuario pendiente en el dispositivo.Esperando interacción deusuario

10


DescripciónEstadoCódigo decolor

La tarea espera a que se desbloquee el dispositivo (soloiOS).

Dispositivo bloqueado

El paquete se ha instalado o los comandos se hanejecutado correctamente.

Nota: para el aprovisionamiento inicial de la app SophosMobile Control la tarea debe finalizar con el estadoInstalado.

Completado correctamente

La app Sophos Mobile Control se ha instaladocorrectamente. El dispositivo está aprovisionado ahora.

Instalado

No se ha podido ejecutar la evaluación del resultado.Evaluación de resultadofallida

No se han podido ejecutar correctamente todos loscomandos de la tarea.

Tarea parcialmente fallida

La tarea se reiniciará más tarde.Retrasado

La tarea ha fallado y se reintentará más tarde.Fallido (reintento en cola)

La tarea ha fallado y no se colocan más reintentos encola.

Tarea fallida

La tarea ha fallado y no es posible reintentarla.Completamente fallido

La tarea es parte de un paquete de tareas y todavía nose ha procesado.

No iniciado

La tarea no es admitida por el dispositivo. La ejecucióndel paquete de tareas continúa con la siguiente tarea.

Omitido

El servidor no dispone de información sobre el estadode la tarea.

Desconocido

CategoríaCódigo decolor

Abrir

En progreso

Proceso realizado con éxito

Fallo

11


CategoríaCódigo decolor

Otros

12


6 Configuración generalEn la página Configuración general puede configurar algunas de las opciones básicas deSophos Mobile.

6.1 Configurar las opciones personalesPara utilizar la consola de Sophos Mobile de forma más eficiente, puede personalizar lainterfaz de usuario de modo que muestre solo las plataformas con las que trabaja.

Nota: al configurar las plataformas, solo se cambia la vista del usuario que tiene una sesióniniciada en ese momento. No es posible desactivar ninguna función aquí.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General yluego haga clic en la ficha Personal.

2. Configure las siguientes opciones:

DescripciónOpción

Seleccione la zona horaria en que se mostrarán las fechas.Zona horaria

Seleccione el sistema de la unidad (Métrica o Británica) paralos valores de longitud.

Sistema de la unidad

Seleccione el número máximo de líneas de tabla que deseamostrar por página.

Líneas por página en tablas

Marque esta casilla para mostrar toda la información disponiblesobre el dispositivo. Las fichas Propiedades personalizadas yPropiedades internas se añaden a la página Mostrardispositivo.

Mostrar detalles dedispositivo avanzados

Seleccione las plataformas que desea administrar:Plataformas activadas

Android

Android Things

iOS

Windows Mobile (incluye los sistemas operativos WindowsPhone 8.1 y Windows 10 Mobile)

Windows Desktop

Windows IoT

La interfaz de usuario de la consola de Sophos Mobile se ajustaráen función de las plataformas que seleccione. Solo se mostraránlas vistas y las funciones que sean relevantes para las plataformasseleccionadas.

3. Haga clic en Guardar.

13


6.2 Configurar opciones de app SMCEn la ficha App SMC de la página Configuración general puede configurar las opciones dela app Sophos Mobile Control en dispositivos Android, iOS y Windows Mobile.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General y, acontinuación, en la ficha App SMC.


DescripciónOpción

Elimine el botón Anular registro de la app Sophos Mobile Controlpara impedir que los usuarios anulen el registro de su dispositivoa través de la app.

Nota: para impedir completamente la anulación de registros ainstancia de los usuarios, desactive también la opción Anularregistro de dispositivo en la configuración del portal deautoservicio. Consulte Configurar las opciones del portal deautoservicio en la página 17.

Desactivar anulación deinscripción a través de la app


6.3 Activar servicio Baidu Cloud PushSophos Mobile utiliza el servicio Google Cloud Messaging (GCM) para enviar notificacionespush a dispositivos Android para que contacten con el servidor de Sophos Mobile. En Chinaes probable que GCM no funcione. Por lo tanto, Sophos Mobile también puede usar BaiduCloud Push, que es un servicio de notificaciones push chino.

Si administra dispositivos Android ubicados en China, active el servicio Baidu Cloud Pushsegún se indica a continuación:

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General yluego haga clic en la ficha Android.

2. En la sección Servicio Baidu Cloud Push, seleccione Activar servicio Baidu CloudPush.


Con Baidu Cloud Push activado, Sophos Mobile envía todas las notificaciones PUSH porGCM y Baidu Cloud Push.

6.4 Configurar opciones iOSEn la ficha iOS de la página Configuración general se pueden configurar las opciones deconfiguración específicas de dispositivos iOS.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General yluego haga clic en la ficha iOS.

14



DescripciónOpción

Seleccione Activar para poder superar el bloqueo de activaciónen dispositivos supervisados.

Con esta opción seleccionada, Sophos Mobile recupera un códigode omisión al sincronizar con un dispositivo supervisado que tieneel bloqueo de activación activado. En caso necesario se puederealizar la acción de Omisión de bloqueo de activación desdela página Mostrar dispositivo para superar el bloqueo deactivación cuando sea preciso borrar o reasignar el dispositivo.

El bloqueo de activación es una función de seguridad de iOSpara impedir la reactivación de dispositivos que se hayanextraviado o sustraído. Normalmente se requiere el ID de Appley la contraseña correctos para superar el bloqueo de activación.La función de omisión de bloqueo de activación permite superarel bloqueo de activación proporcionando solo el código deomisión.

Omisión de bloqueo deactivación

Seleccione Activar para administrar dispositivos iOS usando elnombre configurado en el propio dispositivo.

Con esta opción seleccionada, el nombre de dispositivo queSophos Mobile usa se establece cada vez que el dispositivo sesincroniza con Sophos Mobile.

Con esta opción deseleccionada, el nombre de dispositivo seestablece durante la inscripción del dispositivo.

Sincronizar nombre dedispositivo


6.5 Configurar intervalo de sondeo para dispositivosWindowsPara dispositivos Windows se puede configurar el intervalo de sondeo según el cual el clienteMDM Windows contactará con el servidor de Sophos Mobile. Generalmente, el servidor sepone en contacto con el cliente mediante notificaciones push. El sondeo se utiliza comomedida de seguridad cuando el servicio de notificaciones push no está disponible.

Nota: el valor predeterminado es suficiente en la mayoría de casos. Si se utilizan valoresmás cortos, la duración de la batería y el consumo de datos se ven afectados y se produceuna carga del servidor más elevada.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General y, acontinuación, haga clic en la ficha Windows.

2. Seleccione intervalos de sondeo para los distintos sistemas operativos de Windows. Puedeconfigurar opciones específicas para:

■ Dispositivos Windows 10 Mobile y Windows Phone 8.1■ Dispositivos Windows 10 Desktop


15


6.6 Configurar correo electrónicoEn la ficha Configuración de correo electrónico, se configuran las opciones para los correoselectrónicos enviados por Sophos Mobile.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General yluego haga clic en la ficha Configuración de correo electrónico.

2. En Idioma, seleccione el idioma del correo electrónico.


6.7 Configurar los datos de contacto del soporte técnicoPara proporcionar asistencia a los usuarios que tengan preguntas o problemas, puede indicarcómo ponerse en contacto con el soporte técnico. La información que introduzca aquí semostrará en la app Sophos Mobile Control.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General yluego haga clic en la ficha Contacto técnico.

2. Introduzca la información necesaria para el contacto técnico.


6.8 Definir propiedades de clienteAl definir una propiedad con el nombre mi propiedad, puede referirse al valor de lapropiedad en los perfiles y las políticas utilizando el marcador %_CUSTPROP(mipropiedad)_%.

Para información detallada sobre marcadores de perfiles y políticas, consulte Marcadores enperfiles y políticas en la página 64.

Para definir una propiedad de cliente:

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General y, acontinuación, haga clic en la ficha Propiedades de cliente.

2. Haga clic en Añadir propiedad del cliente.

3. Especifique un nombre y un valor para la nueva propiedad.

4. Haga clic en Aplicar para añadir la propiedad.

5. Haga clic en Guardar para guardar los cambios en la configuración del cliente.

16


7 Configurar el portal de autoservicioEl portal de autoservicio permite reducir la carga sobre el departamento informático al posibilitarque los usuarios puedan registrar dispositivos de forma autónoma y realizar otras tareas sintener que contactar con soporte.

En la barra lateral de menús se pueden configurar las opciones para usar el portal deautoservicio, p. ej.:

■ Las plataformas para las que se pueden inscribir dispositivos.

■ Las funciones disponibles.

■ Los usuarios que tienen permiso para acceder al portal de autoservicio.

El portal de autoservicio está disponible para las siguientes plataformas:

■ Android

■ Apple iOS

■ Windows Mobile

■ Windows Desktop

7.1 Configurar las opciones del portal de autoservicio1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración y, a continuación,

en Portal de autoservicio.

Aparece la página Portal de autoservicio.

2. En la ficha Configuración configure lo siguiente:

a) En la lista Número máximo de dispositivos, seleccione el número máximo dedispositivos que un usuario puede inscribir en el portal de autoservicio de SophosCentral. Así se garantiza que no se supere el número de licencias disponibles.

b) En la lista Preselección de propietario de dispositivo, seleccione si los dispositivosnuevos se clasifican como dispositivos corporativos o personales, y si los usuariospueden cambiar la clasificación al inscribir sus dispositivos en el portal de autoserviciode Sophos Central. Puede seleccione una de las opciones siguientes:

■ sin preselección: El usuario puede elegir entre Dispositivo corporativo yDispositivo personal.

■ empresa preseleccionado: Dispositivo corporativo está preseleccionado. Elusuario puede cambiar esto a Dispositivo personal.

■ empresa fijo Dispositivo corporativo está seleccionado y no puede ser cambiadopor el usuario.

■ personal preseleccionado: Dispositivo personal está preseleccionado. El usuariopuede cambiar esto a Dispositivo corporativo.

■ personal fijo: Dispositivo personal está seleccionado y no puede ser cambiadopor el usuario.

c) En Funciones disponibles, seleccione las funciones que deben estar disponiblespara los usuarios del portal de autoservicio. Las funciones compatibles dependen de

17


la plataforma de dispositivo. Consulte Opciones del portal de autoservicio disponiblesen la página 19.

3. En la ficha Términos de uso se especifica un texto de política de dispositivos móviles,exención de responsabilidad o acuerdo que se mostrará en primer lugar cuando losusuarios inscriban sus dispositivos. Los usuarios deben aceptar el texto para podercontinuar.

Puede usar marcado HTML para formatear el texto.

4. En la ficha Texto posterior a la instalación se especifica el texto que se muestra en elportal de autoservicio tras la inscripción del dispositivo. Se usa, p. ej., para describir lastareas posteriores a la inscripción.

Puede usar marcado HTML para formatear el texto.

5. En la ficha Configuración de grupo, se configuran las opciones de grupo, p. ej., losgrupos de dispositivos a los que se añadirán los dispositivos inscritos y el paquete detareas que se transferirá a los dispositivos.

Importante: debido a la complejidad de la configuración de las opciones de grupos,recomendamos probar la inscripción de dispositivos para distintos grupos de usuariosantes de distribuir las configuraciones a los usuarios reales.

a) Haga clic en Añadir.

Aparece la página Editar configuración de grupo.

b) En el campo Nombre, introduzca el nombre para el grupo de configuración del portalde autoservicio.

c) En el campo Grupo de usuario, introduzca un grupo de usuarios que haya definido.Puede usarse un asterisco (*), como primer carácter, último o el único en este campopara especificar varios grupos. Por ejemplo: Introduzca Dev* para especificar todoslos nombres de grupo que empiezan con Dev. Introduzca * para especificar todos losgrupos disponibles.

Nota: el valor * representa todos los grupos, no todos los usuarios. Los usuarios queno son miembros de ningún grupo no se incluyen.

d) Seleccione Mostrar términos de uso durante el registro para mostrar el texto de lostérminos de uso configurado anteriormente como primer paso del procedimiento deinscripción.

e) Seleccione Mostrar texto posterior a la instalación durante el registro para mostrarel texto posterior a la instalación configurado anteriormente como último paso delprocedimiento de inscripción.

f) En las columnas Paquete inicial - dispositivo corporativo y Paquete inicial -dispositivo personal, seleccione el paquete de tareas (para Android e iOS) o la política(para Windows Mobile y Windows Desktop) que se debe ejecutar en los dispositivoscorporativos y personales.

g) Seleccione en la columna Activa las plataformas que deben estar disponibles en elportal de autoservicio.

Debe seleccionar un paquete inicial antes de poder seleccionar una plataforma.

h) Seleccione en la columna Añadir grupo de dispositivos el grupo de dispositivos alque debe añadirse el dispositivo.

Para información sobre los grupos de dispositivos, consulte Grupos de dispositivos enla página 59.

i) Haga clic en Aplicar.

18


6. Aparece la página Portal de autoservicio. Haga clic en Guardar.

7.2 Opciones del portal de autoservicio disponiblesEn la tabla siguiente se muestran las funciones del portal de autoservicio que puede activaro desactivar según se describe en Configurar las opciones del portal de autoservicio en lapágina 17 y las plataformas de dispositivo admitidas por las funciones.

WindowsDesktop

WindowsMobile

iOSAndroidDescripciónOpción

Esta función permite a losusuarios localizar susdispositivos en caso depérdida o robo.

Localizar dispositivo

Esta función permite a losusuarios bloquear susdispositivos en caso depérdida o robo.

Bloquear dispositivo

Esta función permite a losusuarios reconfigurar susdispositivos en caso de quese haya eliminado Sophos

Reconfigurardispositivo

Mobile del dispositivo, peroel dispositivo siga inscrito.

Este función permite a losusuarios ver las infraccionesde cumplimiento de susdispositivos.

Mostrar infraccionesde cumplimiento

Esta función permite a losusuarios sincronizarmanualmente susdispositivos con el servidor

Actualizar datos

de Sophos Mobile. Estoresulta útil si, p. ej., sudispositivo ha estadoapagado durante un periodode tiempo prolongado y, portanto, no se ha sincronizadocon el servidor. En este casoel dispositivo puede serinfractor y debe sersincronizado para que dejede serlo.

Nota: esta función no estádisponible para dispositivosen que Sophos Mobile soloadministra el contenedor deSophos.

19


WindowsDesktop

WindowsMobile


Esta función permite a losusuarios restablecer lacontraseña de desbloqueode la pantalla. Para los

Restablecercontraseña

dispositivos iOS y Android,se muestra una contraseñatemporal en el portal deautoservicio. El dispositivosolo se puede desbloquearcon esta contraseña. Trasdesbloquear sus dispositivos,los usuarios puede definiruna contraseña nueva. EniOS, la contraseña se eliminacompletamente. El usuariodebe definir una contraseñanueva antes de 60 minutos.

Esta función permite a losusuarios restablecer laconfiguración de fábrica desus dispositivos inscritos en

Borrar

caso de pérdida o robo.Todos los datos en eldispositivo se eliminan.

Esta función permite a losusuarios quitar el perfil detrabajo de sus dispositivos.Esto también anula la

Borrar perfil detrabajo Android

inscripción de los dispositivosen Sophos Mobile.

Esta función permite a losusuarios retirar losdispositivos que ya no esténusando. Esto resulta útil, p.

Anular inscripcióndel dispositivo

ej., si el número dedispositivos que los usuariospueden inscribir en el portalde autoservicio de SophosCentral está limitado o si losusuarios reciben dispositivosnuevos.

Esta función permite a losusuarios eliminar dispositivosretirados.

Eliminar dispositivono administrado

Esta función permite a losusuarios restablecer lacontraseña de protección deapps en dispositivos Android.

Restablecercontraseña deprotección de apps

La contraseña de protecciónde apps protege apps

20


WindowsDesktop

WindowsMobile


previamente definidas y sedebe introducir cada vez quelos usuarios quieran abrirestas apps. La contraseñase elimina y los usuariosdeben definir una nueva.

Esta función permite a losusuarios restablecer lacontraseña del contenedorde Sophos. La contraseña

Restablecercontraseña delcontenedor deSophos

del contenedor de Sophos sedebe introducir cada vez quelos usuarios quieran abriralguna de las apps decontenedor. La contraseñase elimina y los usuariosdeben definir una nueva.

Esta función permite a losusuarios reconfigurar unaapp Sophos Mobile Controlya instalada.

Reconfigurar la appSMC

21


8 Configuración del sistema

8.1 Certificados del servicio de notificaciones push deApplePara poder usar el protocolo de gestión de dispositivos móviles (MDM) de los dispositivosiOS, Sophos Mobile debe usar el servicio de notificaciones de push de Apple (APNs) paraactivar los dispositivos.

Los certificados del APNs tienen un plazo de validez de un año.

En las siguientes secciones se describen los requisitos que deben cumplirse y los pasos quedebe seguir para obtener acceso a los servidores APNs con su propio certificado de cliente.

8.1.1 Requisitos

Para la comunicación con el servicio de notificaciones push de Apple (APNs), se debe permitirel tráfico TCP de y a los puertos siguientes:

■ El servidor de Sophos Mobile necesita conectarse a gateway.push.apple.com:2195TCP (17.0.0.0/8)

■ Cada dispositivo iOS con solo acceso Wi-Fi necesita conectarse a*.push.apple.com:5223 TCP (17.0.0.0/8)

8.1.2 Crear un certificado APNs

En este procedimiento se da por supuesto que aún no ha cargado un certificado del serviciode notificaciones push de Apple (APNs) en Sophos Mobile.

Para renovar un certificado existente, consulte Renovar un certificado APNs en la página 23.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema y, a continuación, haga clic en la ficha APNs iOS.

La descripción en esta ficha le guía a través de los pasos que hay que realizar para solicitarun certificado de Apple y subirlo a Sophos Mobile.

2. En el paso Descargar solicitud de firma de certificado, haga clic en Descargar solicitudde firma de certificado.

Este paso guarda el archivo de solicitud de firma de certificado apple.csr en suordenador.

3. Necesita un ID de Apple. Incluso si ya dispone de un ID, recomendamos que cree unonuevo para usarlo con Sophos Mobile. En el paso Crear ID de Apple, haga clic en Crearnuevo ID de Apple.

Se abre una página web de Apple en la que puede crear un ID de Apple para su empresa.

Nota: guarde las credenciales en un lugar seguro al que puedan acceder sus compañeros.Su empresa necesitará estas credenciales para renovar el certificado cada año.

22


4. A manera de referencia, introduzca su nuevo ID de Apple en el campo ID de Apple en laparte superior de la ficha APNs iOS.

Cuando renueve el certificado cada año, siempre debe utilizar el mismo ID de Apple.

5. En el paso Crear/Renovar certificado APNs, haga clic en Portal de certificados pushde Apple.

Se abre el Portal de certificados push de Apple.

6. Inicie sesión con su ID de Apple y cargue el archivo de solicitud de firma de certificadoapple.csr.

7. Descargue el archivo de certificado APNs .pem y guárdelo en su ordenador.

8. En el paso Cargar certificado APNs, haga clic en Cargar certificado y, a continuación,busque el archivo .pem que ha recibido del Portal de certificados push de Apple.

9. Haga clic en Guardar para añadir el certificado APNs a Sophos Mobile.

Sophos Mobile lee el certificado y muestra los detalles del certificado en la ficha APNs iOS.

8.1.3 Renovar un certificado APNs

En este procedimiento se da por supuesto que ya ha cargado un certificado del servicio denotificaciones push de Apple (APNs) en Sophos Mobile que está a punto de caducar y deberenovarse.

Para crear y cargar un certificado nuevo, consulte Crear un certificado APNs en la página22.

Importante: en el portal de Apple, es importante que seleccione el certificado APNs correctopara la renovación. Si renueva un certificado equivocado, es posible que tenga que volver ainscribir todos los dispositivos iOS.


2. En el paso Descargar solicitud de firma de certificado, haga clic en Descargar solicitudde firma de certificado.

Este paso guarda el archivo de solicitud de firma de certificado apple.csr en suordenador.

3. Omita el paso Crear ID de Apple. Este paso solo es necesario si está creando uncertificado APNs para Sophos Mobile por primera vez.

4. En el paso Crear/Renovar certificado APNs, haga clic en Portal de certificados pushde Apple.

Se abre el Portal de certificados push de Apple.

5. Inicie sesión con su ID de Apple. Debe ser el mismo ID que utilizó para crear el certificadoAPNs inicial.

6. En el Portal de certificados push de Apple, haga clic en Renovar junto al certificado APNsde Sophos Mobile.

7. Cargue el archivo de solicitud de firma de certificado apple.csr que ha preparado antes.

8. Descargue el archivo de certificado APNs .pem y guárdelo en su ordenador.

9. En el paso Cargar certificado APNs, haga clic en Cargar certificado y, a continuación,busque el archivo .pem que ha recibido del Portal de certificados push de Apple.


23


Importante: si aparece el siguiente mensaje, significa que no está renovando el certificadocorrecto:

"El tema del certificado nuevo no se corresponde con el anterior. Si se han configurado dispositivos con el certificado anterior, es necesario configurarlos de nuevo. ¿Desea guardar los cambios?"

Este mensaje indica que va a crear un nuevo certificado APNs con un identificador distinto.Si confirma el mensaje, todos los dispositivos iOS existentes dejarán de ser administrablesy tendrá que volver a inscribirlos.

Para obtener más información sobre cómo seleccionar el certificado correcto, consulteIdentificar el certificado APNs correcto para la renovación en la página 24.

8.1.4 Identificar el certificado APNs correcto para la renovación

Al renovar el servicio de notificaciones push de Apple (APNs) para el servidor de SophosMobile como se describe en Renovar un certificado APNs en la página 23, es importanteque, en el portal de Apple, seleccione el certificado APNs correcto para la renovación.

En esta sección se explica cómo identificar el certificado APNs que está cargado actualmenteen el servidor de Sophos Mobile.

Recupere el identificador del certificado:

1. Inicie sesión en Sophos Central Admin y abra la vista Mobile desde la sección Misproductos en el menú principal.


3. En la sección Contenido del almacén de claves de notificaciones push de Apple, semuestran las propiedades del certificado APNs cargado.

4. Tome nota del valor que aparece en Tema.

Este es el identificador de su certificado APNs.

Identifique el certificado:

5. Desde el navegador, abra la URL del portal de certificados push de Apple,https://identity.apple.com/pushcert/.

Si tiene problemas con determinadas funciones del portal de Apple al utilizar MicrosoftInternet Explorer, le recomendamos que utilice la última versión de Firefox, Opera, Chromeo Safari en su lugar.

6. Inicie sesión con el ID de Apple que utilizó para crear el certificado APNs inicial.

7. En la lista de certificados APNs, haga clic en el icono Información de certificado juntoa la entrada de un certificado.

Se mostrarán los detalles del certificado.

8. En el campo DN de sujeto, busque el valor que sigue a la cadena UID=. Si coincide conel identificador que ha determinado en la consola de Sophos Mobile, ha identificado elcertificado correcto.

24


https://identity.apple.com/pushcert/

8.1.5 Comprobar la conectividad con APNs de los dispositivos

Los usuarios de la app Sophos Mobile Control para iOS pueden comprobar si sus dispositivosse pueden conectar con el servidor del servicio de notificaciones push de Apple (APNs).

1. En la app Sophos Mobile Control, toque el icono Información para abrir la pantalla Acercade.

2. Toque Comprobar APNs.

La app intenta conectarse al servidor de APNs de Apple. La respuesta esperada del servidores de 5 segundos o menos.

Si la app le notifica que se ha podido establecer la conexión con el servidor de APNs, significaque el dispositivo puede recibir comandos del servidor de Sophos Mobile a través de APNs.

Si la app le notifica que no se ha podido establecer la conexión con el servidor de APNs,significa que su red no permite la comunicación con APNs y que, por tanto, Sophos Mobileno puede administrar dispositivos iOS. Para corregir esta situación, asegúrese de que secumplen los requisitos que se describen en Requisitos en la página 22.

8.2 Configurar destinos AirPlay iOSCon Sophos Mobile es posible activar remotamente la duplicación AirPlay entre un dispositivoiOS y destinos AirPlay predefinidos (p. ej., AppleTV).

Nota: airPlay solo funciona con dispositivos que se encuentran en la misma red.

Se pueden definir los destinos para la duplicación AirPlay.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración y, a continuación,en Configuración del sistema, y vaya a la ficha iOS AirPlay.

2. En la sección Destinos AirPlay, haga clic en Crear destino AirPlay.

Aparece la página Destino Airplay.

3. Introduzca el nombre de dispositivo, y opcionalmente la dirección MAC del dispositivoAirPlay destination. Si procede, introduzca la contraseña para el dispositivo.

4. Haga clic en Aplicar.

El dispositivo aparece en Destinos AirPlay en la ficha iOS AirPlay de la páginaConfiguración del sistema.


La duplicación AirPlay entre un dispositivo iOS y su destino se activa haciendo clic en Solicitarduplicación AirPlay desde el menú Acciones en la página Mostrar dispositivo deldispositivo correspondiente.

8.3 Licencia Samsung KnoxSi su empresa ha comprado una licencia Samsung Knox Premium, debe introducir su clavede licencia, el número de licencias y la fecha de caducidad en la ficha Licencia SamsungKnox para poder administrar el contenedor Knox en sus dispositivos Samsung Knox conSophos Mobile.

25


8.4 Protocolo de inscripción simple de certificados (SCEP)Es posible configurar un protocolo de inscripción simple de certificados (SCEP) paraproporcionar certificados. Esto permite a los dispositivos obtener certificados de una autoridadde certificación usando SCEP.

Toda la configuración necesaria para acceder al servidor de una autoridad de certificacióncon SCEP se puede definir mediante la consola de Sophos Mobile.

Las opciones de configuración necesarias para los dispositivos se definen en una configuraciónSCEP de un perfil de dispositivo (Android e iOS) o una política (Windows Mobile).

8.4.1 Requisitos previos

Para poder usar el protocolo de inscripción simple de certificados es necesario cumplir lossiguientes requisitos previos:

■ El entorno debe contar con una autoridad de certificación Windows habilitada para SCEP.

■ Disponer de las credenciales de inicio de sesión de un usuario que pueda crear un códigode desafío.

■ Servidor de Sophos Mobile con acceso http o https a los siguiente sitios:

■ https://SU-SERVIDOR-SCEP/CertSrv/MSCEP_ADMIN

■ https://SU-SERVIDOR-SCEP/CertSrv/MSCEP

8.4.2 Configurar SCEP

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema, y vaya a la ficha SCEP.

2. Puede especificar las siguientes opciones:

a) En el campo URL servidor SCEP, introduzcahttps://SU-SERVIDOR-SCEP/CertSrv/MSCEP.

b) En el campo URL de desafío, introduzcahttps://SU-SERVIDOR-SCEP/CertSrv/MSCEP_ADMIN.

Nota: si usa un servidor Windows 2003 como servidor SCEP, introduzcahttps://SU-SERVIDOR-SCEP/CertSrv/MSCEP.

c) En los campos Usuario y Contraseña introduzca las credenciales de usuario delusuario que a creado el código de desafío.

Nota: en el campo Usuario, introduzca un usuario con los derechos necesarios pararegistrar certificados. Utilice el formato de inicio de sesión: nombredeusuario@dominio

d) En el campo Caracteres del desafío, seleccione los tipos de caracteres que se utilizanpara la contraseña de desafío.

e) Acepte el valor por defecto en el campo Longitud de desafío.

f) Opcional: Desactive la opción Usar proxy HTTP si desea que Sophos Mobile evite elproxy HTTP cuando se conecte al servidor SCEP. Esta opción solo está disponible siel proxy HTTP está activado.

26



Sophos Mobile prueba la conexión con su servidor SCEP.

Para desplegar un perfil utilizando SCEP, debe añadir una configuración SCEP a un perfilde dispositivo Android o iOS o a una política de Windows Mobile.

27


9 Políticas de cumplimientoCon las políticas de cumplimiento puede:

■ Permitir, prohibir o aplicar determinadas funciones en un dispositivo.

■ Definir acciones que se ejecutan cuando se infringe una regla de cumplimiento.

Puede crear distintas políticas de cumplimiento y asignarlas a grupos de dispositivos. Estole permite aplicar distintos niveles de seguridad a sus dispositivos administrados.

Nota: existen dos políticas de cumplimiento predefinidas. Se basan en los estándares deseguridad HIPAA y PCI DSS.

Consejo: si tiene previsto administrar dispositivos corporativos y privados, se recomiendaque establezca políticas de cumplimiento distintas para al menos estos dos tipos dedispositivos.

9.1 Crear política de cumplimiento1. En la barra lateral de menús, en CONFIGURAR, haga clic en Políticas de cumplimiento.

2. En la página Políticas de cumplimiento, haga clic en Crear política de cumplimiento.

3. Introduzca un nombre y una descripción opcional para el nuevo conjunto de reglas decumplimiento.

Repita los pasos siguientes para todas las plataformas necesarias.

4. Asegúrese de que la casilla Activar plataforma de cada ficha esté seleccionada.

Si no se selecciona esta casilla, no se comprueba si los dispositivos de esa plataformacumplen las reglas.

5. En Regla, configure las reglas de cumplimiento para la plataforma en cuestión.

Para obtener una descripción de las reglas disponibles para cada tipo de dispositivo, hagaclic en Ayuda en la cabecera de la página.

Nota: cada regla de cumplimiento tiene fijado un nivel de gravedad (alto, medio, bajo)que está representado por un icono azul. La gravedad le permite valorar la importanciade cada regla y las acciones que debe aplicar si se infringe.

Nota: en el caso de los dispositivos en los que Sophos Mobile administra el contenedorde Sophos en lugar de todo el dispositivo, solo es aplicable un subconjunto de las reglasde cumplimiento. En Resaltar reglas, seleccione el tipo de administración para resaltarlas reglas que son relevantes.

28


6. En Si se infringe una regla, defina las acciones que se aplicarán al infringirse una regla:

DescripciónOpción

Prohibir el acceso al correo electrónico.

Esta acción solo puede realizarse si ha configurado una conexiónal proxy EAS independiente. Consulte Configurar una conexiónal proxy EAS independiente en la página 217.

Denegar correo electrónico

Deshabilitar las apps Sophos Secure Workspace y Secure Email.Esto afecta al acceso a documentos, correo electrónico y webadministrado por estas apps.

Esta acción solo puede tomarse si se ha activado la licenciaMobile Advanced.

Esta opción solo es relevante para dispositivos Android y iOS.

Bloquear contenedor

Cree una alerta.

Las alertas se muestran en la página Alertas de Sophos CentralAdmin.

Crear alerta

Transferir un paquete de tareas específico al dispositivo.

Seleccione un paquete de tareas de la lista o seleccione Ningunopara que no se transfiera ningún paquete de tareas cuando seinfrinja una regla de cumplimiento.

Se recomienda que establezca esta opción en Ninguno por elmomento. Para más información, consulte Ayuda de administradorde Sophos Mobile.

Importante: si no se usan correctamente, los paquetes de tareaspueden alterar la configuración de los dispositivos o inclusoeliminar todo el contenido de los mismos. Para asignar lospaquetes de tareas correctos a las reglas de cumplimiento, esnecesario tener un conocimiento en profundidad del sistema.

Transferir paquete de tareas

Nota: estas acciones solo se ejecutan la primera vez que se informa de una infracción.Si activa una acción, solo afecta a las infracciones que se produzcan a partir de estemomento.

7. Cuando haya establecido las opciones para todas las plataformas necesarias, haga clicen Guardar para guardar la política de cumplimiento con el nombre que haya especificado.

El nuevo conjunto se muestra en la página Políticas de cumplimiento.

9.2 Reglas de cumplimiento disponiblesEn la siguiente tabla se muestran las reglas de cumplimiento que puede seleccionar para lasdistintas plataformas.

Nota: las reglas relacionadas con la app Sophos Mobile Security solo están disponibles siha activado una licencia Mobile Advanced.

29


http://docs.sophos.com/sophos-central/mobile/help/es-es/webhelp/index.htm

http://docs.sophos.com/sophos-central/mobile/help/es-es/webhelp/index.htm

WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings

AndroidDescripciónRegla

Defina la acción que seejecutará cuando dejede administarse eldispositivo.

Administradonecesario

Introduzca la versiónmínima de la appSophos Mobile Controlque debe estar

Versión mínimade la app SMC

instalada en eldispositivo.

Seleccione si sepermiten dispositivoscon derechos desuperusuario.

Nota: para losdispositivos Sony con

Derechos de raízpermitidos

Enterprise API versión4 o posterior y para losdispositivos Samsungcon Knox versión 5.5 oinferior, esto incluyetodos los dispositivosclasificados como noseguros por la API deMDM, por ejemploporque el cargador dearranque estádesbloqueado.

Seleccione si sepermiten apps defuentes desconocidas.

Apps de fuentesdesconocidaspermitidas

Seleccione si sepermite ADB (puentede depuraciónAndroid).

Puente dedepuraciónAndroid (ADB)permitido

Seleccione si sepermiten dispositivosdesbloqueados conjailbreak.

Permitir jailbreak

Seleccione si serequiere unacontraseña para eldispositivo u otro

Bloqueo depantallarequerido

mecanismo de bloqueode pantalla (comopatrón o PIN).

30


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


Para Android, estoincluye los tipos debloqueo de pantallaPatrón, PIN yContraseña, pero noDeslizar.

Los dispositivosWindows Mobile queno tienen ningunapolítica de contraseñasasignada se notificaránsiempre comoinfractores. Esto esuna limitación deWindows.

Seleccione la versiónmínima del sistemaoperativo que debeestar instalada.

Versión mín. deSO

Seleccione la versiónmáxima del sistemaoperativo permitida.

Versión máx. deSO

Seleccione si losdispositivos debentener instalada laúltima actualizacióndisponible o necesaria.

Algunasactualizaciones de iOS

Actualizacionesde SOobligatorias

están clasificadascomo necesarias porApple. La últimaactualizacióndisponible puede sermás reciente que laúltima actualizaciónnecesaria.

Especifique el intervalomáximo entre losprocesos desincronización para losdispositivos.

Intervalo máx. desincronización

Especifique el intervalomáximo entre losprocesos desincronización de apps

Intervalo máximodesincronizaciónde app SMC

iOS para losdispositivos.

31


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


Especifique el intervalode escaneado máximode los escaneadosrealizados por la app

Intervalo máx. deescaneadoSMSec

Sophos MobileSecurity en eldispositivo paradetectar programasmaliciosos.

Sophos MobileSecurity requierepermisos en eldispositivo para

Denegación depermisos SMSecpermitida

funcionarcorrectamente. Elusuario debe autorizarestos permisos cuandose instala la app.

Seleccione si ladenegación de lospermisos requeridosconstituye unaviolación delcumplimiento.

Seleccione si sepermiten las apps demalware detectadaspor Sophos MobileSecurity.

Apps maliciosaspermitidas

Seleccione si sepermiten las appssospechosasdetectadas por SophosMobile Security.

Appssospechosaspermitidas

Seleccione si sepermiten las apps nodeseadas detectadaspor Sophos MobileSecurity.

Apps nodeseadaspermitidas

Seleccione si esnecesario el cifrado enlos dispositivos.

En dispositivos conAndroid 5 o posterior,

Cifradonecesario

los usuarios tambiéndeben activar la opciónRequerir PIN parainiciar dispositivo oRequerir contraseña

32


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


para iniciardispositivo alestablecer un bloqueode pantalla. Consulteel artículo de la basede conocimiento123947.

En Windows Mobile,solo se notifica lainfracción si tambiénestá activada larestricción Prohibirdispositivos nocifrados. Esto es unalimitación de Windows.

Seleccione si sepermite el roaming dedatos en losdispositivos.

Itinerancia dedatos permitido

Seleccione si debehaber un contenedorconfigurado y activo enel dispositivo. Puede

Contenedorconfigurado

tratarse de uncontenedor de Sophos,un contenedorSamsung Knox o unperfil de trabajoAndroid.

Esta opción se refierea la función deLocalización.Seleccione si el

Permiso deubicaciónnecesario

usuario debe permitir ala app Sophos MobileControl en el momentode la instalaciónobtener datos delocalización paracumplir las políticas.

La app de SophosMobile Control requierepermisos en eldispositivo para

Denegación depermisos SMCpermitida

funcionarcorrectamente. Elusuario debe autorizarestos permisos cuandose instala la app.

33


http://www.sophos.com/es-es/support/knowledgebase/123947.aspx



WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


Seleccione si ladenegación de lospermisos requeridosconstituye unaviolación delcumplimiento.

Los servicios delocalización debenestar activados y laapp Sophos Mobile

La app puedelocalizar

Control debe tenerpermiso para usarlos.

Para Windows Mobile,esta regla solo afectaa los dispositivosWindows Phone 8.1.

Puede especificarApps permitidas oApps prohibidas.Seleccione la opción

Apps permitidas/ Appsprohibidas

deseada en la primeralista y seleccione elgrupo de apps quecontiene las appspermitidas o prohibidasen la segunda lista.Para información sobrecómo crear grupos deapps, consulte Gruposde apps en la página191.

Si especifica Appspermitidas, solo lasapps de la lista sepermiten. Si sedetectan otras apps, eldispositivo dejará decumplir las políticas.

Nota: las apps delsistema Android sepermitenautomáticamente.

Si especifica Apps nopermitidas, eldispositivo dejará decumplir las políticascuando se detectenestas apps.

34


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


Especifique las appsque deben estarinstaladas. Seleccioneel grupo de apps que

Appsobligatorias

contenga las appsobligatorias en la lista.Para información sobrecómo crear grupos deapps, consulte Gruposde apps en la página191.

La opción de WindowsDefender Protecciónen tiempo real debeestar activada.

WindowsDefender debeestar activado

El dispositivo no esconforme cuandoWindows Defendermuestra alertas.

Se requiere unestado limpio deWindowsDefender

Windows Defenderdebe usar lasdefiniciones despyware másrecientes.

Definicionesactualizadas deWindowsDefenderrequeridas

9.3 Asignar una política de cumplimiento a grupos dedispositivos1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Grupos de dispositivos.

Aparece la página Grupos de dispositivos.

2. Haga clic en el triángulo azul junto al grupo de dispositivos al que desea asignar unapolítica de cumplimiento y haga clic en Editar.

Siempre hay disponible un grupo de dispositivos Predeterminado. Para información sobrecómo crear sus propios grupos de dispositivos, consulte Crear grupo de dispositivos enla página 59.

3. En Políticas de cumplimiento, seleccione las políticas de cumplimiento que quiere aplicara los dispositivos corporativos y a los personales.


Las reglas de cumplimiento seleccionadas se muestran en la página Grupos de dispositivospara el grupo de dispositivos correspondiente en Política de cumplimiento (corporativa)y Política de cumplimiento (personal).

35


9.4 Comprobación de cumplimiento de dispositivosUna vez configuradas las políticas de cumplimiento, puede comprobar si los dispositivosinscritos cumplen estas políticas.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Políticas de cumplimiento.

2. Haga clic en Comprobar ahora.

Se comprueba el cumplimiento de todos los dispositivos inscritos. Se ejecutan las accionesespecificadas.

Nota: las acciones definidas para las reglas que se infringen (p. ej., Denegar correoelectrónico) se ejecutan solo la primera vez que se informa de una infracción. Si cambiauna acción, solo afecta a las infracciones que se produzcan a partir de este momento.

36


10 Dispositivos

10.1 Añadir dispositivosSe pueden añadir dispositivos a Sophos Mobile de las siguientes formas:

■ Añadiendo dispositivos manualmente. Consulte Añadir dispositivo en la página 37.

■ Utilice el asistente de inscripción de dispositivos para añadir un dispositivo a SophosMobile, asígnelo a un usuario, inscríbalo, y transfiera un paquete de tareas de inscripción.Consulte Usar el asistente de inscripción de dispositivos para asignar e inscribir dispositivosnuevos en la página 40.

■ Permitiendo a los usuarios que inscriban dispositivos de forma autónoma utilizando elportal de autoservicio de Sophos Central. Consulte Configurar el portal de autoservicioen la página 17. Este portal permite reducir la carga sobre el departamento informáticoal posibilitar que los usuarios finales puedan realizar tareas sin tener que contactar consoporte. Los dispositivos se aprovisionan ejecutando paquetes de tareas definidos. ConsultePaquetes de tareas en la página 171.

Recomendamos que use grupos de dispositivos para agrupar los dispositivos y así facilitarla administración. Consulte Grupos de dispositivos en la página 59.

10.1.1 Añadir dispositivo

Recomendamos crear uno o más grupos de dispositivos antes de añadir el primer dispositivoa Sophos Mobile. Entonces puede asignar cada dispositivo a un grupo de dispositivos parasimplificar la administración de dispositivos. Consulte Crear grupo de dispositivos en la página59.

Para añadir un dispositivo nuevo a Sophos Mobile:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos.

Aparece la página Dispositivos.

2. Haga clic en Añadir y seleccione la plataforma en la sección de menú Añadir dispositivomanualmente.

Aparece la página Editar dispositivo.

37


3. En la página Editar dispositivo, especifique los siguientes detalles del dispositivo:

a) En el campo Nombre, escriba un nombre único para el nuevo dispositivo.

b) En el campo Descripción, escriba una descripción para el nuevo dispositivo.

c) En Propietario, seleccione Corporativo o Personal.

d) En el campo Dirección de correo electrónico introduzca una dirección de correoelectrónico.

e) En el campo Número de teléfono, introduzca el número de teléfono del nuevodispositivo. Introduzca el número de teléfono con el formato internacional, p. ej.,+491701234567.

f) En Grupo de dispositivos, seleccione el grupo de dispositivos al que se asigna eldispositivo.

Para obtener información sobre cómo crear grupos de dispositivos, consulte Creargrupo de dispositivos en la página 59.

4. Para asignar un usuario al dispositivo, haga clic en el icono Editar asignación de usuario junto al campo Usuario y, a continuación, haga clic en Asignar usuario a dispositivo.

Para más información, consulte Asignar un usuario a un dispositivo en la página 49.

5. Para añadir propiedades personalizadas al dispositivo, vaya a la ficha Propiedadespersonalizadas y haga clic en Añadir propiedad personalizada. Para más información,consulte Definir propiedades personalizadas para dispositivos en la página 49.

6. Una vez especificados todos los detalles relevantes del dispositivo, haga clic en Guardar.

El nuevo dispositivo se añade a Sophos Mobile y aparece en la página Dispositivos enADMINISTRAR. Ahora ya puede aprovisionar y administrar el dispositivo.

Nota: en dispositivos iOS, si se ha configurado que Sophos Mobile sincronice el nombre deldispositivo con el dispositivo según se describe en Configurar opciones iOS en la página 14,el nombre introducido en el campo Nombre se sustituirá por el nombre establecido durantela sincronización.

10.2 Inscribir dispositivosTras añadir nuevos dispositivos en la consola de Sophos Mobile, estos deben inscribirse enSophos Mobile.

Tipos de inscripción

Sophos Mobile admite dos tipos de inscripción:

Este tipo de inscripción proporciona funciones completas de gestión dedispositivos móviles (MDM). Sophos Mobile es capaz de administrar todoel dispositivo.

Inscripción dedispositivos

Sophos Mobile solo administra el contenedor de Sophos en el dispositivo,pero no el propio dispositivo en sí.

La inscripción de contenedor de Sophos es útil en las situacionessiguientes:

Inscripción decontenedor deSophos

■ Cuando se quieren administrar escenarios BYOD (uso de dispositivospersonales en el trabajo). Con la inscripción de contenedor de Sophos,

38


su organización solo puede ver información muy limitada deldispositivo, sin acceso a las apps ni los datos personales.

■ Cuando sus dispositivos están administrados por un software MDMque no es de Sophos, pero también quiere usar funcionesproporcionadas por el contenedor de Sophos, p. ej., la sincronizacióndel conjunto de claves corporativas de Sophos SafeGuard Enterprise.

■ Cuando sus dispositivos están administrados por un software MDMque no es de Sophos, pero quiere configurar cuentas de correoelectrónico adicionales. P. ej., el caso de consultoras que tengan queacceder a los servidores de Exchange de los clientes.

Métodos de inscripción

Dispone de las opciones siguientes para inscribir dispositivos:

■ Puede inscribir dispositivos individuales no administrados con la función Dispositivos.Para más información, consulte Registrar dispositivos individuales en la página 40.

■ Puede usar el asistente de inscripción de dispositivos para añadir un dispositivo a SophosMobile, asígnelo a un usuario, inscríbalo, y transfiera un paquete de tareas de inscripción.Consulte Usar el asistente de inscripción de dispositivos para asignar e inscribir dispositivosnuevos en la página 40.

Nota: En caso necesario, puede usar el asistente de inscripción de dispositivos parainscribir dispositivos iOS sin un ID de Apple. Esto puede ser útil, p. ej., para preconfigurarel dispositivo antes de entregarlo a un usuario. Consulte Inscribir dispositivos iOS sin unID de Apple en la página 42.

Recomendaciones

Para inscribir y configurar múltiples dispositivos de forma eficiente, se recomiendan lossiguientes métodos:

■ Puede agrupar tareas que son necesarias para inscribir dispositivos, aplicar las políticasnecesarias e instalar las apps necesarias (p. ej., apps administradas para dispositivosiOS). Para más información, consulte Paquetes de tareas en la página 171.

■ Puede dar permiso a los usuarios para que inscriban dispositivos a través del portal deautoservicio de Sophos Central. Para ello, incluya un paquete de tareas de inscripción alconfigurar las opciones de configuración de uso del portal de autoservicio de SophosCentral. Para más información sobre cómo crear paquetes de tareas necesarios para lainscripción, consulte las Guía de inicio de Sophos Mobile y Guía de inicio de SophosMobile como servicio. Para más información sobre cómo seleccionar el paquete de tareasen las opciones de configuración del Portal de autoservicio, consulte Configurar lasopciones del portal de autoservicio en la página 17.

Nota: si solo tiene activada una licencia Mobile Security en Sophos Central pero no unalicencia Mobile Standard, la inscripción de dispositivos solamente afecta a la app SophosMobile Security. Puede administrar Sophos Mobile Security mediante Sophos Mobile, talcomo se describe en Administrar Sophos Mobile Security en la página 218. Otras funcionesde Sophos Mobile no están disponibles.

39


https://www.sophos.com/es-es/medialibrary/PDFs/documentation/smc_71_sgeng.pdf

https://www.sophos.com/es-es/medialibrary/PDFs/documentation/smc_71_saas_sgeng.pdf

https://www.sophos.com/es-es/medialibrary/PDFs/documentation/smc_71_saas_sgeng.pdf

10.2.1 Registrar dispositivos individuales

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos y, acontinuación, haga clic en el dispositivo que desea inscribir.

2. En la página Mostrar dispositivo, seleccione una acción de inscripción:

■ Para inscribir el dispositivo en Sophos Mobile, haga clic en Acciones > Inscribir.■ Para inscribir el contenedor de Sophos, haga clic en Acciones > Inscribir contenedor

de Sophos.

3. Para la inscripción de contenedor de Sophos, seleccione un paquete de tareas o unapolítica.

La tarea de inscripción se inicia y se muestra en la página Vista de tareas. Se envía uncorreo electrónico con las instrucciones de inscripción al usuario.

10.2.2 Usar el asistente de inscripción de dispositivos para asignar e inscribirdispositivos nuevos

Puede inscribir dispositivos nuevos fácilmente con el asistente de inscripción de dispositivos.Ofrece un flujo de trabajo que combina las siguientes tareas:

■ Añadir un dispositivo nuevo a Sophos Mobile.

■ Asignar un usuario al dispositivo.

■ Inscribir el dispositivo.

■ Opcional: Transferir un paquete de tareas al dispositivo.

Para iniciar al asistente de inscripción de dispositivos:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos y, acontinuación, en Añadir > Asistente de inscripción.

Consejo: también puede iniciar el asistente desde la página Panel de control haciendoclic en el widget Añadir dispositivo.

2. En la página del asistente Introducir parámetros de búsqueda de usuario, introduzcacriterios para buscar el usuario al que estará asignado el dispositivo.

3. El asistente muestra una lista de los usuarios que coinciden. Seleccione el usuario quecorresponda.

40


4. En la página Detalles del dispositivo, configure las siguientes opciones:

DescripciónOpción

Plataforma del dispositivo.Plataforma

Nombre único por el cual Sophos Mobile administrará eldispositivo.

Nombre

Descripción opcional del dispositivo.Descripción

Número de teléfono opcional. Introduzca el número de teléfonocon el formato internacional, p. ej., +491701234567.

Número de teléfono

Dirección de correo electrónico a la que se envían lasinstrucciones de inscripción.

Es la dirección de correo electrónico del usuario asignado aldispositivo según la configuración de la administración de usuariosde Sophos Central.

Dirección de correoelectrónico

Seleccione el tipo de propietario del dispositivo: Corporativo oPersonal.

Propietario

Seleccione el grupo de dispositivos al que estará asignado eldispositivo. Si aún no ha creado ningún grupo de dispositivos,puede seleccionar el grupo de dispositivos Predeterminado, quesiempre está disponible.

Grupo de dispositivos

5. En la página del asistente Inscripción, elija si desea inscribir el dispositivo o solo elcontenedor de Sophos.

Nota: esta opción solo está disponible si se ha configurado la inscripción de un contenedorde Sophos. Consulte Configurar Inscripción de contenedor de Sophos en la página 224.

Para obtener información sobre los distintos tipos de inscripción, consulte Inscribirdispositivos en la página 38.

6. Seleccione un paquete de tareas para transferirlo al dispositivo una vez que este se hayainscrito. O seleccione Inscribir solo dispositivo para inscribir el dispositivo sin transferirun paquete de tareas.

Para la inscripción de un contenedor de Sophos, puede seleccionar una política en lugarde un paquete de tareas.

Al hacer clic en Siguiente, el dispositivo se añade a Sophos Mobile.

7. En la página del asistente Inscripción, siga las instrucciones para instalar la app SophosMobile Control en el dispositivo y completar la inscripción y el aprovisionamiento.

8. Una vez que la inscripción se haya realizado correctamente, haga clic en Finalizar paracerrar el asistente de inscripción de dispositivos.

Nota:

■ Una vez realizadas todas las selecciones, puede cerrar el asistente sin tener que esperara que aparezca el botón Finalizar. Se crea y procesa una tarea de inscripción en segundoplano.

41


■ Si ha seleccionado transferir un paquete de tareas al dispositivo tras la inscripción, puedemonitorizar el estado de la tarea en la página Vista de tareas. Consulte Ver tareas sinfinalizar, con errores y recientemente finalizadas en la página 9.

■ En dispositivos iOS, si se ha configurado que Sophos Mobile sincronice el nombre deldispositivo con el dispositivo según se describe en Configurar opciones iOS en la página14, el nombre introducido en el campo Nombre se ignora y se usa el nombre configuradoen el dispositivo.

10.2.3 Inscribir dispositivos iOS sin un ID de Apple

Es posible inscribir un dispositivo iOS con Sophos Mobile sin que sea necesario asociar antesel dispositivo con un ID de Apple. Esto puede ser útil, p. ej., para preconfigurar el dispositivoantes de entregarlo a un usuario.

El método de inscripción estándar incluye la instalación de la app Sophos Mobile Control enel dispositivo. Debido a que la app se instala desde el App Store y que se requiere un ID deApple para acceder al App Store, es necesario asociar el dispositivo al ID antes de comenzarla inscripción.

Otra posibilidad es inscribir un dispositivo iOS sin instalar la app Sophos Mobile Control, demodo que no es necesario asociar el dispositivo con un ID de Apple. Esto es proporcionadopor el asistente de inscripción de dispositivos. Consulte Usar el asistente de inscripción dedispositivos para asignar e inscribir dispositivos nuevos en la página 40.

En el asistente de inscripción de dispositivos, haga lo siguiente:

1. En la página Inscripción, seleccione la ficha Inscripción sin ID de Apple.2. Utilice el navegador web del dispositivo para abrir la URL de inscripción. Se abre un

formulario de inscripción de Sophos Mobile.3. En ese formulario, introduzca el token y haga clic en Inscribir.4. Siga las instrucciones en el dispositivo para instalar el paquete de tareas de inscripción.

10.2.4 Inscribir dispositivo Android Things

Esta sección describe cómo inscribir un dispositivo Android Things con el asistente deinscripción de dispositivos.

Requisitos previos:

■ Dispone de un ordenador (denominado ordenador host) conectado a su red IP local y quetiene instalado la herramienta de línea de comando puente de depuración Android (adb).adb forma parte del paquete Android SDK Platform-Tools. Este paquete se puede instalarcomo parte del Android SDK o como paquete independiente. Para más información,consulte la documentación de Android Developers.

■ Ha instalado un archivo de imagen Android Things en el dispositivo que desea inscribir.

■ Ha conectado el dispositivo a su red IP local a través de Ethernet o Wi-Fi.

Para inscribir el dispositivo Android Things con Sophos Mobile:

1. En la barra lateral de menú, en ADMINISTRAR, haga clic en Dispositivos, y, acontinuación, en Añadir > Asistente de inscripción.

2. Utilice el asistente de inscripción de dispositivos como se describe en Usar el asistentede inscripción de dispositivos para asignar e inscribir dispositivos nuevos en la página 40

42


para iniciar el proceso de inscripción. Para un dispositivo Android Things, proceda de lasiguiente forma:

a) En el paso Detalles del dispositivo del asistente, en el campo Plataforma, seleccioneAndroid Things.

b) En el paso del asistente Inscripción, haga clic en Abrir área de descarga de SophosMobile y, a continuación, descargue el archivo APK de la última versión de SMCAndroid Client desde aquí.

3. Copie el archivo APK al ordenador host.

Consejo: puede usar el mismo archivo APK para todos los dispositivos Android Thingsque vaya a inscribir.

4. En el ordenador host, use la herramienta de línea de comando adb para conectarse aldispositivo Android Things, siendo <ip-address> la dirección IP del dispositivo:

adb connect <ip-address>connected to <ip-address>:5555

5. Instale la app Sophos Mobile Control en el dispositivo Android Things, utilizando el siguientecomando adb:

adb install <path-to-apk-file>

6. Reinicie el dispositivo, p. ej., usando el siguiente comando adb:

adb reboot

Nota: es necesario reiniciar para otorgar los permisos necesarios a la app Sophos MobileControl.

7. Tras reiniciar, vuelva a conectar el dispositivo:

adb connect <ip-address>

8. Configure la app Sophos Mobile Control, usando el comando adb que se muestra en elasistente de inscripción del dispositivo o en el correo electrónico de instrucciones:

adb shell am start -d "<configuration-parameters>"

Nota: es posible que reciba un mensaje de sistema, Warning: Activity notstarted, its current task has been brought to the front. Este mensajese puede ignorar.

La app Sophos Mobile Control en el dispositivo Android Things se conecta a su servidorSophos Mobile. Una vez completado el proceso de inscripción, el dispositivo se muestra conel estado Administrado en Sophos Mobile.

10.2.5 Inscribir dispositivo Windows IoT

Esta sección describe cómo inscribir un dispositivo Windows IoT con el asistente de inscripciónde dispositivos.

43


Requisitos previos:

■ Ha instalado un archivo de imagen Windows 10 IoT Core en el dispositivo que deseainscribir.

■ Ha conectado el dispositivo a su red IP local a través de Ethernet o Wi-Fi.

Para inscribir el dispositivo Windows IoT con Sophos Mobile:

1. En la barra lateral de menú, en ADMINISTRAR, haga clic en Dispositivos, y, acontinuación, en Añadir > Asistente de inscripción.

2. Utilice el asistente de inscripción de dispositivos como se describe en Usar el asistentede inscripción de dispositivos para asignar e inscribir dispositivos nuevos en la página 40para iniciar el proceso de inscripción. Para un dispositivo Windows IoT, proceda de lasiguiente forma:

a) En el paso Detalles del dispositivo del asistente, en el campo Plataforma, seleccioneWindows IoT.

b) En el paso Inscripción del asistente, haga clic en Descargar archivo deaprovisionamiento para descargar un archivo .ppkg con el paquete deaprovisionamiento para Sophos Mobile. Este enlace también está disponible en elcorreo electrónico de instrucciones.

3. En un ordenador Windows que esté conectado a la misma red local que el dispositivoWindows IoT, utilice el Explorador de archivos de Windows para conectarse al dispositivo.

En la barra de direcciones del Explorador de archivos introduzca la siguiente dirección,siendo <ip-address> la dirección IP del dispositivo:

\\<ip-address>\c$

Introduzca su nombre de usuario de administrador y la contraseña para el dispositivo sise le pide.

4. Copie el archivo .ppkg que ha descargado desde el asistente de inscripción a la carpetaC:\Windows\Provisioning\Packages en el dispositivo.

Nota: solo debe haber un solo archivo. ppkg en el carpeta.

5. Reinicie el dispositivo.

Tras reiniciar, el dispositivo Windows IoT ejecuta el paquete de aprovisionamiento y se conectaa su servidor Sophos Mobile. Una vez completado el proceso de inscripción, el dispositivose muestra con el estado Administrado en Sophos Mobile.

Importante: en la página Mostrar dispositivo, no realice las acciones Establecer en "Noadministrado". ni Eliminar para el dispositivo antes de anular su inscripción. En casocontrario, es necesario borrar el dispositivo antes de que pueda inscribirlo de nuevo. Paraborrarlo, debe reinstalar una imagen Windows 10 IoT Core en el dispositivo.

10.3 Anular la inscripción de dispositivosPuede anular la inscripción de dispositivos que ya no se usen, p. ej., si un usuario recibe undispositivo nuevo. Esto resulta útil, p. ej., si el número de dispositivos que un usuario puederegistrar en el portal de autoservicio de Sophos Central está limitado.


44


2. Seleccione el dispositivo deseado, haga clic en Acciones y a continuación en Anularinscripción.

Aparecerá un mensaje para confirmar la anulación de la inscripción del dispositivo.

Nota: es posible seleccionar varios dispositivos para anular su inscripción.

3. Haga clic en Sí.

Se ha anulado la inscripción del dispositivo. Las consecuencias son las siguientes:

Dispositivos Android:

■ El administrador de dispositivo cliente de Sophos Mobile Control se desactiva.

■ Los datos de inicio de sesión en el servidor y todos los demás datos se eliminan.

■ Las apps contenedor (Sophos Secure Workspace y Sophos Secure Email) y la app SophosMobile Security se restablecen.

Dispositivos iOS:

■ Se eliminan todos los perfiles.

■ Todas las apps administradas se eliminan.

■ Se eliminan todos los certificados recibidos a través del sistema de gestión de dispositivosmóviles.

■ Las apps contenedor (Sophos Secure Workspace y Sophos Secure Email) se restablecen.

10.4 Administrar dispositivosEn la barra lateral de menús, en ADMINISTRAR > Dispositivos y Grupos de dispositivos,puede hacer un seguimiento de todos los dispositivos y realizar determinadas tareasadministrativas. Tras añadir los dispositivos a Sophos Mobile puede, por ejemplo:

■ Ver y editar detalles del dispositivo.

■ Permitir o prohibir el acceso al correo electrónico de los dispositivos.

■ Bloquear o desbloquear dispositivos de forma remota.

■ Restablecer las contraseñas de los dispositivos.

■ Borrar los dispositivos remotos en caso de pérdida o robo.

■ Retirar dispositivos (Android e iOS).

■ Eliminar dispositivos.

10.4.1 Ver dispositivos


2. Vaya al dispositivo correspondiente y haga clic en su nombre.

Aparece la página Mostrar dispositivo para el dispositivo seleccionado.

Consejo: en la página Dispositivos, puede mostrar información adicional señalandodeterminados elementos:

■ Señale el icono «No administrado» de un dispositivo para mostrar su estado, como Noinscrito o Retirado.

45


■ Señale el icono «No conforme» de un dispositivo para mostrar el nivel de gravedad (alto,medio o bajo).

10.4.1.1 La página Mostrar dispositivoEn la página Mostrar dispositivo, se muestra toda la información relevante para un dispositivoespecífico.

En la parte superior de la página se muestra la información más importante del dispositivode forma resumida.

En la parte inferior de la página se muestra información detallada del dispositivo en variasfichas. Las fichas y la información mostradas dependen de la plataforma del dispositivo.

■ Estado

Muestra información esencial del dispositivo como el tipo de administración, el estado deadministración y el estado de cumplimiento.

■ Perfiles (Android, iOS)

Muestra los perfiles (incluidos los perfiles de aprovisionamiento) instalados en el dispositivo.

La ficha también contiene comandos para instalar perfiles en el dispositivo o eliminarlos.

Nota:

Los perfiles de dispositivo iOS que solo contienen las siguientes configuraciones noaparecen en la ficha Perfiles:

■ Itinerancia/punto de acceso

■ Fondo de pantalla

Estas configuraciones no están instaladas como perfil en el dispositivo. Solo definenconfiguraciones que el usuario puede cambiar posteriormente.

Consejo: el campo de búsqueda en la tabla le permite buscar por ID de perfiles, inclusosi el ID no aparece en la tabla.

■ Políticas

Muestra las políticas asignadas al dispositivo.

En esta ficha está disponible el botón Asignar política para instalar una política en eldispositivo.

■ Propiedades de dispositivo

Muestra las propiedades del dispositivo, p. ej., propiedades por modelo, nombre de modelo,versión del SO. En el caso de dispositivos Android, se detectan los teléfonos rooteadosy se muestra la propiedad correspondiente. En el caso de dispositivos iOS, se detectanlos teléfonos con jailbreak y se muestra la propiedad correspondiente.

■ Propiedades personalizadas

Muestra las propiedades personalizadas del dispositivo. Estas son las propiedades quepuede crear usted mismo. Las propiedades personalizadas del dispositivo se puedenusar, p. ej., en marcadores si no hay disponible ninguna conexión de Active Directory. Aleditar un dispositivo, también es posible añadir aquí información específica del usuario.

■ Propiedades internas

46


Muestra las propiedades internas del dispositivo, p. ej., si se permite tráfico de ActiveSync,el IMEI.

■ Infracciones de cumplimiento

Esta ficha solo se muestra para dispositivos no conformes. Muestra las infracciones decumplimiento del dispositivo y las acciones tomadas debido a estas infracciones.

Para la configuración de estas acciones, consulte Crear política de cumplimiento en lapágina 28.

■ Apps instaladas (Android, iOS)

Muestra las apps instaladas en el dispositivo.

en el caso de dispositivos iOS, la columna Administrada señala las apps administradas.Con Sophos Mobile es posible enviar estas apps a dispositivos iOS y también eliminarlasen segundo plano.

en el caso de dispositivos Android, Sophos Mobile diferencia entre apps de sistema yapps instaladas por el usuario en el dispositivo.

La columna Tamaño muestra el uso del espacio en disco de una app en sí. La columnaDatos muestra el espacio en disco adicional que utiliza una app para los datos de usuario,configuraciones, etc.

Con el botón Instalar app, puede instalar software en el dispositivo. También es posibleeliminar apps administradas de los dispositivos iOS haciendo clic en el icono Eliminarjunto a la app correspondiente.

Nota: En el caso de los dispositivos en los que Sophos Mobile solo administra elcontenedor de Sophos, las apps fuera del contenedor de Sophos no aparecen en la lista.Esto incluye las apps que el usuario ha instalado desde el Almacén empresarial deaplicaciones.

■ Apps de sistema (Android)

Muestra las apps de sistema de Android en el dispositivo.

Nota: no es posible eliminar apps del sistema del dispositivo.

■ Apps Knox (Android)

Esta ficha muestra las apps que el usuario ha instalado en el contenedor Samsung Knox.

■ Apps del sistema Knox (Android)

Esta ficha muestra las apps del sistema que están instaladas en el contenedor SamsungKnox.

■ Resultados de escaneado (Android)

Esta ficha muestra los resultados del último escaneado de Sophos Mobile Security realizadoen el dispositivo.

Esta ficha solo está disponible si la app Sophos Mobile Security Mobile Security estáadministrada por Sophos Mobile. Consulte Administrar Sophos Mobile Security en lapágina 218.

■ Certificados

Muestra los certificados en uso del dispositivo.

47


Consejo: en la tabla, apunte a Asunto o al valor Emisor para mostrar los detalles delcertificado.

■ Tareas

En esta ficha se muestran todas las tareas no finalizadas, las tareas con errores, así comolas tareas finalizadas de los últimos días. Estas tareas, junto con las tareas de todos losdemás dispositivos, también se pueden consultar en la página Vista de tareas. ConsulteTareas de monitorización en la página 9.

Desde la página Mostrar dispositivo puede cambiar directamente a la página Editardispositivo. Para editar el dispositivo que está viendo, haga clic en Editar.

10.4.1.2 Usar el filtro avanzado de dispositivosCon el filtro avanzado de filtros puede filtrar la lista de dispositivos según sus requisitos.Puede guardar los criterios de filtrado con un nombre personalizado para aplicarlosposteriormente.

Para definir un filtro de dispositivos:

1. En la página Dispositivos, haga clic en Filtro extendido en la cabecera.

2. Defina los criterios de su filtro.

3. Para guardar los criterios de filtrado con un nombre personalizado, introduzca el nombreen Filtro de dispositivo y haga clic en Guardar.

4. Una vez seleccionados los criterios necesarios, haga clic en Filtro para aplicar el filtro ala lista de dispositivos.

Cuando hay un filtro activado, el icono de filtro en la cabecera cambia su color de azul averde.

Consejo: recuerde restablecer los filtros cuando ya no sean necesarios. En caso contrario,es posible que las listas o informes no incluyan los resultados esperados.

Otras tareas de filtrado de dispositivos:

■ Para eliminar un filtro de la lista de dispositivos, haga clic en Filtro extendido y, acontinuación, en Restablecer.

■ Para aplicar un filtro guardado, haga clic en Filtros guardados y, a continuación, seleccioneel filtro correspondiente.

■ Para eliminar un filtro guardado, haga clic en Filtros guardados y, a continuación, hagaclic en el icono de papelera junto al filtro que quiere eliminar.

■ Para editar un filtro guardado, primero aplique el filtro, a continuación haga clic en Filtroextendido y haga los cambios necesarios, a continuación, vuelva a guardar el filtro.

10.4.2 Editar dispositivos


2. Haga clic en el triángulo azul junto al dispositivo correspondiente y haga clic en Editar.

Aparece la página Editar dispositivo para el dispositivo seleccionado.

3. Haga los cambios necesarios (p. ej., instalar o eliminar software en la ficha Appsinstaladas) y haga clic en Guardar.

Sus cambios se aplican al dispositivo editado.

48


Nota: los cambios de las propiedades se aplican solo tras hacer clic en Guardar. Los cambiosrealizados no tienen efecto si no se guardan los cambios.

10.4.2.1 Asignar un usuario a un dispositivo1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos.

2. En la página Dispositivos, haga clic en el triángulo azul junto al dispositivo correspondientey haga clic en Editar.

3. En la página Editar dispositivo, haga clic en el icono Editar asignación de usuariojunto al campo Usuario y, a continuación, haga clic en Reasignar usuario a dispositivo.

4. En el paso Introducir parámetros de búsqueda de usuario del cuadro de diálogo deasignación, introduzca parámetros de búsqueda en uno o más campos para filtrar la listade usuarios que se mostrará en el paso siguiente. P. ej., introduzca el nombre de usuarioo parte del mismo.

5. En el paso Seleccionar usuario seleccione el usuario requerido y haga clic en Aplicar.

6. En la página Editar dispositivo haga clic en Guardar.

10.4.2.2 Definir propiedades personalizadas para dispositivosEs posible definir propiedades personalizadas para dispositivos específicos.

Al definir una propiedad con el nombre mi propiedad, puede referirse al valor de lapropiedad en los perfiles y las políticas utilizando el marcador %_CUSTPROP(mipropiedad)_%. P. ej., puede usar esto para referirse al usuario asignado a un dispositivo.

Para información detallada sobre marcadores de perfiles y políticas, consulte Marcadores enperfiles y políticas en la página 64.

Nota:

■ No se puede crear una propiedad de dispositivo personalizada con el mismo nombre queuna propiedad de dispositivo estándar.

■ Al duplicar un dispositivo según se describe en , el nuevo dispositivo recibe las propiedadespersonalizadas del dispositivo original.

Para definir una propiedad de dispositivo personalizada:

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > General. Enla ficha Personal, asegúrese de que la opción Mostrar detalles de dispositivo avanzadosesté seleccionada.


3. Haga clic en el triángulo azul junto al dispositivo correspondiente y haga clic en Editar.

4. En la página Editar dispositivo, vaya a la ficha Propiedades personalizadas y hagaclic en Añadir propiedad personalizada.

5. Especifique un nombre y un valor para la nueva propiedad de dispositivo personalizada.

6. Haga clic en Aplicar para añadir la propiedad.

7. Haga clic en Guardar para guardar los cambios en el dispositivo.

10.4.2.3 Bloquear un dispositivoSe puede bloquear un dispositivo que esté administrado por Sophos Mobile. Esto activa elbloqueo de pantalla.


49


2. En la página Dispositivos, haga clic en el triángulo azul junto al dispositivo que deseabloquear o desbloquear y, a continuación, haga clic en Mostrar.

3. En la página Mostrar dispositivo, haga clic en Acciones > Bloquear.

Se crea una tarea para activar el bloqueo de pantalla y se transfiere al dispositivo. Los usuariosdeberán introducir su contraseña (o PIN o patrón, en caso de haberse configurado) paradesbloquear el dispositivo.

El estado de la tarea se puede consultar en la página Vista de tareas.

Nota: incluso en los dispositivos en los que Sophos Mobile solo administra el perfil de trabajoAndroid, la acción Bloquear bloquea el dispositivo, no solo el perfil de trabajo.

Nota: no puede bloquear los dispositivos en los que Sophos Mobile solo administra elcontenedor de Sophos.

10.4.3 Actualizar el software iOS

Puede actualizar el software iOS en los siguientes dispositivos iOS de Apple:

■ Dispositivos supervisados con iOS 10.3 o superior

■ Dispositivos del DEP de Apple supervisados

Nota: en esta sección se describe cómo actualizar el software iOS para un solo dispositivo.Para actualizar el software iOS para un grupo de dispositivos, utilice un paquete de tareascon una tarea Instalar última actualización iOS. Consulte Tipos de tareas de iOS disponiblesen la página 175.

Para actualizar el software iOS en un dispositivo:


2. En la página Dispositivos, haga clic en el triángulo azul junto al dispositivo y haga clicen Mostrar.

3. En la página Mostrar dispositivo, haga clic en Acciones > Mostrar actualizacionesdisponibles.

Se muestra una lista de actualizaciones iOS disponibles para el dispositivo. Lasactualizaciones con la etiqueta Crítico son actualizaciones de seguridad clasificadas comocríticas por Apple.

4. Para instalar la última actualización disponible, haga clic en Instalar última actualizacióndisponible.

Se crea una tarea para actualizar el software iOS y se transfiere al dispositivo.

El estado de la tarea se puede consultar en la página Vista de tareas.

Consejo:

■ Para comprobar el estado de actualización de un dispositivo iOS individual, abra la páginaMostrar dispositivo del dispositivo. Se muestra un icono de aviso junto a Sistemaoperativo si el dispositivo no tiene la última versión disponible del iOS instalada.

■ Para comprobar el estado de actualización de todos los dispositivos iOS, vaya a la columnaDisponible actualización OS en el informe Dispositivos.

50


10.5 Apple DEPCon el Programa de inscripción de dispositivos (DEP) de Apple puede adquirir dispositivosiOS (y macOS) en grandes cantidades para distribuirlos en su empresa. El DEP simplifica laimplementación de los dispositivos móviles mediante las siguientes funciones:

■ Proceso de activación configurable.

■ Activación inalámbrica del modo de supervisión.

■ Configuración mediante conexión inalámbrica.

■ Inscripción automática de dispositivos iOS con Sophos Mobile durante la activación deldispositivo.

Consejo: para información detallada sobre el DEP, visite el sitio web del DEP de Apple enhttp://www.apple.com/business/dep/.

Pasos preliminares

Para preparar la administración de dispositivos del DEP con Sophos Mobile solo es necesariorealizar una vez el siguiente procedimiento:

1. En el portal web del DEP de Apple cree un servidor MDM virtual y vincúlelo a SophosMobile. Consulte Configurar un servidor MDM virtual en la página 51.

2. En Sophos Mobile, cree uno o más perfiles del DEP que controlen varios atributos dedispositivo específicos al DEP. Con el perfil del DEP, también se puede personalizar elasistente de configuración iOS que se inicia al encender el dispositivo por primera vez.Consulte Crear perfil del DEP en la página 53.

Pasos de implementación

Al adquirir dispositivos DEP, el proceso de implementación típico incluye los pasos siguientes:

1. Adquiera los dispositivos en Apple o un distribuidor del DEP autorizado.2. En el portal web del DEP de Apple, asigne los dispositivos al servidor MDM de Sophos

Mobile. Para este paso y el siguiente, consulte Implementar dispositivos del DEP en lapágina 57.

3. En la consola de Sophos Mobile, asigne un perfil del DEP a los dispositivos.4. Distribuya los dispositivos a sus usuarios.5. Cuando los usuarios enciendan sus dispositivos por primera vez, se inicia el asistente de

configuración iOS personalizado. Durante la configuración, los dispositivos se registrancon Sophos Mobile y el usuario se asigna al dispositivo.

6. En caso necesario es posible transferir paquetes de tareas adicionales a los dispositivospara completar el aprovisionamiento.

10.5.1 Configurar un servidor MDM virtual

Requisitos previos: Este procedimiento asume que ya está inscrito en el Programa deinscripción de dispositivos (DEP) de Apple y ha creado una cuenta de administrador para elportal web del DEP de Apple.

Nota: para información detallada sobre cómo inscribirse en el DEP, visite el sitio web delDEP de Apple en http://www.apple.com/business/dep/ o consulte la Ayuda online de losProgramas de implementación de Apple.

51


http://www.apple.com/business/dep/

http://www.apple.com/business/dep/

https://help.apple.com/deployment/programs/


Consejo: si ya está inscrito en el Programa de compras por volumen (VPP) de Apple, puedeusar el mismo ID de Apple para el DEP.

Para usar el DEP de Apple con Sophos Mobile, es necesario crear un servidor MDM virtualen el portal web del DEP de Apple y vincularlo con el servidor de Sophos Mobile. Esto incluyeun proceso de verificación para establecer una conexión segura entre Sophos Mobile y elservicio web del DEP de Apple.

Para configurar un servidor MDM virtual para Sophos Mobile:

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema y, a continuación, haga clic en la ficha Apple DEP.

2. Haga clic en Descargar clave pública para descargar el archivo de clave pública deSophos Mobile para el DEP de Apple.

El archivo se guarda en su ordenador local usando la configuración de descargas de sunavegador web.

3. Abra el portal web del DEP de Apple en https://deploy.apple.com en una ventananueva del navegador.

Haga clic en el enlace Portal web del DEP de Apple en Sophos Mobile para ello.

4. Inicie sesión en el portal web del DEP de Apple con el ID de Apple de su empresa.

5. En el portal, vaya a Programa de inscripción de dispositivos > Gestionar servidoresy, a continuación, haga clic en Añadir servidor MDM.

6. Introduzca un nombre para el servidor MDM, p. ej., Sophos Mobile.

7. En el paso siguiente suba el archivo de clave pública que ha descargado desde SophosMobile.

8. En el paso siguiente descargue el token del servidor.

En este punto puede cerrar la sesión en el portal web del DEP de Apple si lo desea.

9. En la ficha Apple DEP de Sophos Mobile, haga clic en Subir un archivo y seleccione eltoken del servidor que ha descargado del portal web DEP de Apple.

A continuación se muestran los detalles de su servidor MDM virtual.

10. Haga clic en Guardar para guardar los cambios.

El token del servidor DEP es válido para un año.

Importante: al crear un token de servidor nuevo en el portal web del DEP de Apple, debeutilizar el mismo ID de Apple que el que usó para la creación del token inicial.

10.5.2 Configurar la administración de usuarios del DEP

Antes de poder configurar la administración de usuarios del DEP de Apple es necesarioconfigurar el Programa de inscripción de dispositivos (DEP) de Apple. Consulte Configurarun servidor MDM virtual en la página 51.

Si ha configurado la sincronización con Active Directory para sus usuarios de Sophos Central,puede configurar una conexión a su servidor LDAP de Active Directory. Entonces, sus usuariospodrán configurar sus dispositivos DEP de Apple utilizando sus credenciales LDAP.

Sin una conexión LDAP, solo los usuarios que han sido invitados al portal de autoserviciopodrán configurar dispositivos DEP de Apple.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema, y, a continuación, haga clic en la ficha Administración de usuarios AppleDEP.

2. Haga clic en Configurar LDAP externo.

52


3. En la página Detalles de servidor, configure las siguientes opciones:

a) En el campo URL principal, escriba la URL del servidor primario de Active Directory.Es posible introducir la IP del servidor o el nombre del servidor.

El servidor debe ser compatible con LDAP sobre SSL (LDAPS).

b) Opcional: En el campo URL secundaria, escriba la URL de un servidor de ActiveDirectory que se utilice como alternativa si no se puede acceder al servidor primario.

c) En el campo Usuario, introduzca una cuenta de usuario de LDAP. Sophos Mobileutiliza esta cuenta para conectarse al servidor de Active Directory.

Utilice uno de los formatos siguientes:

■ <dominio>\<nombre de usuario>

■ <nombre de usuario>@<dominio>.<código de dominio>

Nota: por razones de seguridad, recomendamos que se especifique un usuario quesolo tenga permisos de lectura para el servidor de Active Directory y no permisos deescritura.

d) En el campo Contraseña, escriba la contraseña del usuario.

4. En la página Base de búsqueda, introduzca el nombre distintivo (DN) del objeto de labase de búsqueda.

El objeto de base de búsqueda define la ubicación desde la que se inicia la búsqueda delusuario o grupo de usuarios.


Cuando los usuarios se autentican en el DEP de Apple, son identificados mediante su direcciónde correo electrónico. Si la dirección de correo electrónico guardada en Sophos Central noes idéntica con el valor guardado en el campo mail de Active Directory, la autenticaciónfalla. Por este motivo, recomendamos que ejecute la sincronización de Active Directory enSophos Central regularmente.

10.5.3 Crear perfil del DEP

Antes de poder crear un perfil del DEP es necesario configurar el Programa de inscripciónde dispositivos (DEP) de Apple. Consulte Configurar un servidor MDM virtual en la página51.

Un perfil del DEP se asigna a un dispositivo del DEP y proporciona información al servidorde Apple cuando se activa el dispositivo. Esta información incluye:

■ El servidor MDM (es decir el servidor de Sophos Mobile) asignado para administrar eldispositivo.

■ Opciones de configuración para la inscripción en Sophos Mobile.

■ Una lista de hosts con los que el dispositivo puede emparejarse.

■ Opciones de personalización del asistente de configuración iOS que se inicia al encenderel dispositivo por primera vez.

En caso necesario se pueden crear distintos perfiles del DEP para usar distintas opcionesde configuración y registro para sus dispositivos del DEP.

Para crear un perfil del DEP:

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema y, a continuación, haga clic en la ficha Perfiles del Apple DEP.

53


2. Haga clic en Añadir.

3. En el cuadro de diálogo Editar perfil del DEP, introduzca un nombre y opcionalmenteuna descripción para el perfil del DEP.

4. Opcional: En la lista Grupo de dispositivos, seleccione un grupo de dispositivos que seasignará a los dispositivos cuando se inscriban en Sophos Mobile.

Para información sobre los grupos de dispositivos, consulte Grupos de dispositivos en lapágina 59.

Nota: para simplificar la administración de dispositivos, recomendamos que use un grupode dispositivos separado para los dispositivos del DEP.

5. Opcional: En la lista Paquete de tareas, seleccione un paquete de tareas que se transferiráa los dispositivos cuando se inscriban en Sophos Mobile.

La lista incluye todos los paquetes de tareas de iOS que no contienen ninguna tarea deinscripción.

Para obtener información sobre los paquetes de tareas, consulte Paquetes de tareas enla página 171.

6. En la ficha Inscripción se pueden configurar las opciones siguientes:

DescripciónOpción

Modo de supervisión activado.Supervisar dispositivo

El usuario puede eliminar el perfil de inscripción de Sophos Mobilemediante la interfaz de usuario iOS.

Esta opción solo puede deseleccionarse en dispositivossupervisados.

El usuario puede eliminar elperfil MDM

Instala la app Sophos Mobile Control en el dispositivo.

Si activa esta opción, también debe desactivar la opción OmitirID de Apple de la ficha Configuración de iOS para asegurarsede que Sophos Mobile pueda instalar la app del App Store.

Nota: como alternativa, si está inscrito en el Programa decompras por volumen (VPP) de Apple, la app Sophos Mobilepuede instalarse como app de VPP, incluso si el dispositivo noestá asociado a un ID de Apple. Los dispositivos debenencontrarse en el estado administrado. Consulte Asignar appsde VPP automáticamente en la página 187.

Instalar app SMC

El usuario puede omitir el paso de configuración que aplica elperfil de inscripción de Sophos Mobile.

El usuario puede omitir laasignación del perfil MDM

54


7. En la ficha Configuración de iOS, puede desactivar los pasos de configuración delasistente de configuración iOS que se inicia al encender el dispositivo por primera vez.

Nota: estas opciones afectan solo a la configuración de iOS. Si se desactiva algún pasode configuración, el usuario puede activar la opción correspondiente posteriormente. Paradesactivar completamente una función, utilice una configuración de Restricciones.Consulte Configuración Restricciones (perfil de dispositivo iOS) en la página 114.

DescripciónOpción

La página Apps y datos no se muestra. El usuario no puederestaurar datos desde copias de seguridad en iCloud o iTunes,ni transferir datos desde un dispositivo Android.

Omitir Apps y datos

En la página Apps y datos, la opción Transferir datos desdeAndroid no está disponible. El usuario no puede transferir datosdesde un dispositivo Android.

Esta opción solo puede activarse si Omitir apps y datos tambiénestá activado.

Desactivar «Transferir datosdesde Android».

La página Diagnósticos no se muestra. El envío de datos dediagnóstico y uso a Apple está desactivado.

Omitir Diagnósticos

La página Servicios de localización no se muestra. El usuariono puede activar los servicios de localización.

Omitir Localización

La página Siri no se muestra. El usuario no puede configurar Siri.Omitir Siri

La página Zoom de pantalla no se muestra. El usuario no puedecambiar la vista de la pantalla.

Omitir Zoom de pantalla

La página ID de Apple no se muestra. El usuario no puede iniciarsesión con su ID de Apple para acceder a los servicios de Apple.

Omitir ID de Apple

La página Apple Pay no se muestra. El usuario no puede añadirinformación de tarjetas de crédito o débito para pagar enestablecimientos o dentro de apps mediante Apple Pay.

Omitir Apple Pay

La página Touch ID no se muestra. El usuario no puedeconfigurar una huella dactilar en lugar de la contraseña.

Omitir Touch ID

La página Crear código no se muestra. El usuario no puedeconfigurar un código para desbloquear el dispositivo.

Omitir Código

La página Términos y condiciones no se muestra.Omitir Términos ycondiciones

55


8. En la ficha Información de soporte se pueden configurar las opciones siguientes:

DescripciónOpción

El departamento o el nombre de la ubicación asociada con elperfil.

Este nombre está incluido en la información a la que el usuariopuede acceder haciendo clic en Acerca de la configuracióndurante la configuración del dispositivo.

Departamento

El número de teléfono de soporte de su empresa.

Este campo se rellena con el número de teléfono que figura enlos datos de contacto del soporte técnico. Consulte Configurarlos datos de contacto del soporte técnico en la página 16.

Nota: el número de teléfono se guarda internamente en el perfildel DEP pero no está disponible para el usuario del dispositivo.

Número de teléfono

El correo electrónico de soporte de su empresa.

Este campo se rellena con el correo electrónico que figura en losdatos de contacto del soporte técnico. Consulte Configurar losdatos de contacto del soporte técnico en la página 16.

Nota: la dirección de correo electrónico se guarda internamenteen el perfil del DEP pero no está disponible para el usuario deldispositivo.

Correo electrónico

9. En la ficha Emparejamiento USB se configuran los equipos host a los que se puedeconectar el dispositivo usando puertos USB.

Estos se pueden usar para sincronizar el dispositivo con iTunes o para administrarlo conApple Configurator.

■ Para permitir la conexión USB con todos los host, seleccione Permitir emparejamientoUSB con todos los hosts.

■ Para prohibir la conexión USB o restringir determinados host, deseleccione Permitiremparejamiento USB con todos los hosts y, a continuación, suba un archivo decertificado para cada host al que se permita que se conecte el dispositivo.

10. Una vez configuradas todas las pestañas de Editar perfil del DEP, haga clic en Aplicarpara guardar el perfil del DEP.

11. Para asignar el perfil a todos los dispositivos del DEP nuevos a los que no se haya asignadoningún perfil manualmente, selecciónelo en la lista Perfil DEP predeterminado asignadoa dispositivos nuevos.

Cuando selecciona Ninguno, debe asignar manualmente un perfil del DEP a losdispositivos del DEP nuevos según se describe en Implementar dispositivos del DEP enla página 57. En caso contrario, los dispositivos del DEP no se inscribirán con SophosMobile cuando se activen.


56


10.5.4 Implementar dispositivos del DEP

Realice este procedimiento para conectar sus dispositivos al DEP de Apple e inscribirlos conSophos Mobile.

Puede administrar dispositivos adquiridos a Apple o a un distribuidor del DEP autorizado.Antes de poder conectar dispositivos al DEP de Apple, es necesario configurar el distribuidordel dispositivo en el portal del DEP de Apple.

Nota: en un flujo de trabajo normal del DEP, este procedimiento se realiza antes de entregarlos dispositivos a los usuarios para su activación y uso.

Nota: solamente los usuarios que están inscritos en el portal de autoservicio de SophosCentral pueden activar los dispositivos del DEP.

Nota: para una descripción detallada del portal del DEP de Apple, consulte la Ayuda onlinede los Programas de implementación de Apple.

Para asignar sus dispositivos a Sophos Mobile y asignarles un perfil del DEP:

1. Abra el portal de los Programas de implementación de Apple,https://deploy.apple.com, en un navegador web e inicie sesión con el ID de Applede su empresa.

2. En el portal vaya a Programa de inscripción de dispositivos > Organizar dispositivos.

3. En Elegir dispositivos por, seleccione sus dispositivos nuevos por el número de serie,el número de pedido o suba un archivo CSV con los número de serie de sus dispositivos.

Nota: si ha adquirido sus dispositivos a un distribuidor, estos estarán disponibles en elportal del DEP dentro de las 24 horas siguientes una vez el distribuidor haya comunicadoel pedido a Apple.

4. En Elegir una acción, seleccione Asignar al servidor y seleccione el servidor MDMvirtual que ha configurado para Sophos Mobile según se describe en Configurar un servidorMDM virtual en la página 51.

5. Haga clic en Aceptar para que se produzca la asignación.

En este punto puede cerrar la sesión en el portal web del DEP de Apple si lo desea.

Puede omitir los pasos restantes si ha configurado un perfil del DEP predeterminado segúnse describe en Crear perfil del DEP en la página 53.

6. Inicie sesión en Sophos Central Admin y abra la vista Mobile desde la sección Misproductos en el menú principal.

7. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos y, acontinuación, haga clic en Apple DEP.

La página Dispositivos del DEP de Apple muestra una lista con todos los dispositivosque ha asignado a Sophos Mobile en el portal web del DEP de Apple.

8. Si los dispositivos que acaba de asignar a Sophos Mobile no aparecen en la lista, hagaclic en Sincronizar con el portal del DEP de Apple.

Nota: para limitar la carga en el servidor del DEP de Apple, la sincronización repetidasolo es posible tras un breve tiempo de espera.

9. Seleccione los dispositivos nuevos y haga clic en Acciones > Asignar perfil.

10. En el cuadro de diálogo de confirmación, seleccione el perfil del DEP que desea asignara los dispositivos y haga clic en Aceptar.

Cuando los dispositivos adquiridos lleguen a su empresa podrá entregarlos a los usuarios.No es necesario realizar ninguna configuración adicional. Cuando los usuarios enciendan

57




los dispositivos por primera vez, la configuración iOS y la inscripción en Sophos Mobile serealizarán según las opciones configuradas en el perfil del DEP asignado.

10.5.5 Administrar dispositivos del DEP

Los dispositivos del DEP se administran en Sophos Mobile de la misma forma que losdispositivos no DEP. Consulte Administrar dispositivos en la página 45.

Específicamente para el DEP, se pueden asignar perfiles del DEP a un dispositivo. El perfildel DEP proporciona información al servidor de Apple cuando se activa el dispositivo. ConsulteCrear perfil del DEP en la página 53.

Nota: el perfil DEP mostrado en Sophos Mobile puede ser distinto del perfil actualmenteusado en el dispositivo. Si cambia la asignación después de la activación del dispositivo, eldispositivo sigue usando el perfil asignado previamente hasta que se borre y vuelva a seractivado.

Para cambiar el perfil del DEP de un dispositivo:

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Dispositivos y, acontinuación, haga clic en Apple DEP.

La página Dispositivos del DEP de Apple muestra una lista con todos los dispositivosque ha asignado a Sophos Mobile en el portal web del DEP de Apple.

2. Haga clic en Sincronizar con el portal del DEP de Apple para actualizar la informacióndel DEP.

Nota: para limitar la carga sobre el servidor del DEP de Apple, la opción Sincronizarcon el portal del DEP de Apple se desactiva tras una sincronización y vuelve a estardisponible de nuevo tras unos cuantos minutos.

3. Seleccione los dispositivos a los que desea asignar un perfil del DEP distinto.

4. Haga clic en Acciones y, a continuación, en la acción necesaria:

■ Asignar perfil: Seleccione el perfil DEP que se asignará a los dispositivos la próximavez que se activen.

■ Anular asignación de perfil: Asigne ningún perfil DEP para la próxima vez que seactiven los dispositivos.

El nuevo perfil asignado se muestra en la página Dispositivos del DEP de Apple. Estoscambios se aplican a los dispositivos cuando se borran y activan de nuevo.

58


11 Grupos de dispositivosLos grupos de dispositivos se usan para categorizar dispositivos. Le ayudarán a administrarlosde forma eficiente, puesto que se pueden realizar tareas en un grupo en vez de hacerlo endispositivos individuales.

Un dispositivo siempre pertenece exactamente a un grupo de dispositivos. Se asigna undispositivo a un grupo de dispositivos cuando se añade a Sophos Mobile.

Consejo: se recomienda que solo agrupe dispositivos con el mismo sistema operativo. Estofacilita el uso de grupos para instalaciones y otras tareas específicas de sistemas operativos.

11.1 Crear grupo de dispositivos1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Grupos de dispositivos

y luego haga clic en Crear grupo de dispositivos.

2. En la página Editar grupo de dispositivos, introduzca un nombre y una descripción parael nuevo grupo de dispositivos.

3. En Políticas de cumplimiento, seleccione las políticas de cumplimiento que se aplicarána los dispositivos corporativos y a los personales.


El nuevo grupo de dispositivos se crea y aparece en la páginaGrupos de dispositivos.

11.2 Eliminar grupos de dispositivos1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Grupos de dispositivos.

2. En la página Grupos de dispositivos, haga clic en el triángulo azul junto al grupo dedispositivos que desea eliminar y, a continuación, haga clic en Eliminar.

3. En el cuadro de diálogo de confirmación, seleccione uno de los grupos de dispositivosrestantes a los que se reasignarán los dispositivos del grupo de dispositivos actual.

Esta selección no está disponible cuando no hay dispositivos asignados al grupo dedispositivos actual.

4. Haga clic en Sí para eliminar el grupo de dispositivos.

Nota: cuando solo queda un grupo de dispositivos y no tiene dispositivos asignados, nopuede eliminar este grupo de dispositivos.

59


12 UsuariosSophos Mobile muestra los detalles de las cuentas de los usuarios que ha añadido a SophosCentral.

La información de usuario se muestre solo con fines informativos. Para editar los detalles delas cuentas o añadir usuarios, use la página Personas en Sophos Central Admin.

Si ha configurado el Programa de compras por volumen (VPP) en Sophos Mobile, puedeinvitar usuarios al VPP de Apple. Consulte Invitar usuarios a VPP de Apple en la página 186.

60


13 Perfiles y políticas

Perfiles

Los perfiles son opciones de configuración que define y que a continuación instala en undispositivo o grupo de dispositivos.

Para instalar un perfil en uno o más dispositivos, Sophos Mobilecrea una tarea para ejecutarlaposteriormente a una hora especificada. Al actualizar un perfil, este debe instalarse de nuevopara que las configuraciones modificadas se hagan efectivas en el dispositivo.

Están disponibles los siguientes tipos de perfiles:

Configuraciones para perfiles de dispositivos Android en la página 67Configuraciones para perfiles de contenedor Knox en la página 107Configuraciones para perfiles de dispositivos iOS en la página 113

Políticas

Las políticas son opciones de configuración que define y que a continuación asigna a undispositivo o grupo de dispositivos. Solo se puede asignar una política de cada tipo a undispositivo.

Si asigna una política a un dispositivo se activa una sincronización y la configuración se haceefectiva inmediatamente. Las políticas asignadas se actualizan en el dispositivo cada vezque un dispositivo se conecta al servidor de Sophos Mobile. De modo que no es necesarioreaplicar explícitamente una política actualizada a los dispositivos.

Están disponibles los siguientes tipos de políticas:

Configuraciones para políticas de Android enterprise en la página 85Configuraciones para políticas de contenedor de Sophos para Android en la página 97Configuraciones para políticas de Mobile Security en la página 107Configuraciones para políticas de Android Things en la página 112Configuraciones para políticas de contenedor de Sophos para iOS en la página 141Configuraciones para políticas de Windows Mobile en la página 150Configuraciones para políticas de Windows Desktop en la página 162Configuraciones para políticas de Android Things en la página 112Configuraciones para políticas de Windows IoT en la página 167

13.1 Crear perfiles o políticasLos perfiles y las políticas están compuestos de una o varias configuraciones. Al añadirconfiguraciones, se define el ámbito del perfil o la política, es decir, las áreas que seadministran en los dispositivos.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Perfiles, políticas y, acontinuación, en la plataforma para la que quiere crear el perfil o política.

61


2. En la página Perfiles y políticas, haga clic en Crear. Si hay más de un tipo de perfil opolítica para una plataforma, Crear abre un menú desde el que se puede seleccionar eltipo correspondiente.

Para obtener una lista de los tipos de perfiles y políticas disponibles, consulte Perfiles ypolíticas en la página 61.

3. Especifique un nombre y una descripción.

La versión se incrementa automáticamente cada vez que se guarda el perfil o la política.

4. Para las políticas de contenedor de Sophos, una configuración General es obligatoria yse añade de forma automática a la política. En la página Editar política, haga clic enGeneral para abrir la configuración y efectuar los cambios oportunos.

5. Para las políticas de Android enterprise, una configuración Restricciones es obligatoriay se añade de forma automática a la política. En la página Editar política, haga clic enRestricciones para abrir la configuración y efectuar los cambios oportunos.

6. Para añadir más configuraciones al perfil o política, haga clic en Añadir configuracióny, a continuación, seleccione la configuración que desee añadir.

Nota: las configuraciones compatibles pueden depender de la versión del sistema operativoo de otras características del dispositivo. Los requisitos vienen indicados por una etiquetaazul.

7. En la página de ajustes de la configuración, especifique las opciones oportunas.

8. Opcional: Para añadir más configuraciones, repita los pasos anteriores.

9. Una vez especificadas todas las configuraciones necesarias, haga clic en Guardar.

El perfil o política se ha creado. Para más información sobre cómo aplicar el perfil o la políticaa los dispositivos, consulte Instalar un perfil en dispositivos en la página 65 o Asignar unapolítica a dispositivos en la página 66.

Consejo: cuando actualiza un perfil, puede reinstalarlo fácilmente en todos los dispositivosen los que está instalado: En la página Perfiles y políticas, haga clic en el triángulo azuljunto al dispositivo correspondiente y haga clic en Actualizar dispositivos.

Cuando actualiza una política, se actualiza automáticamente en todos los dispositivos a losque está asignada.

13.2 Importar perfiles de dispositivo iOS creados con AppleConfiguratorSe pueden importar perfiles creados con Apple Configurator en Sophos Mobile.

Apple Configurator puede descargarse del App Store.

Nota: los perfiles de dispositivo se importan con el mismo procedimiento que para los perfilesde aprovisionamiento para sus apps iOS de desarrollo propio. Cuando carga un archivo deperfil, Sophos Mobile analiza su contenido para distinguir entre los dos tipos de perfil.

1. Una vez creado un perfil en Apple Configurator, expórtelo (sin cifrar ni firmar) y guárdeloen su ordenador.

2. En la barra lateral de menús, en CONFIGURAR, haga clic enPerfiles, políticas > AppleiOS.

3. En la página Perfiles y políticas, haga clic en Crear > Importar perfil.

Aparece la página Editar perfil.

62


4. En los campos correspondientes, especifique un nombre y una descripción para el nuevoperfil.

5. Haga clic en Subir un archivo y busque el archivo que ha guardado en su ordenador,selecciónelo y haga clic en Abrir.


El perfil se ha creado. Puede instalarse en dispositivos. Consulte Instalar un perfil endispositivos en la página 65.

13.3 Importar perfiles de aprovisionamiento para apps iOSAl desarrollar sus propias apps iOS, crea perfiles de aprovisionamiento para que sus appspuedan instalarse desde un archivo IPA en lugar del App Store. Puede cargar estos perfilesde aprovisionamiento al servidor de Sophos Mobile para distribuirlos posteriormente a susdispositivos.

Para obtener detalles sobre los perfiles de aprovisionamiento, consulte la Biblioteca paradesarrolladores de iOS.

Nota: los perfiles de aprovisionamiento se importan con el mismo procedimiento que paralos perfiles de dispositivo creados con Apple Configurator. Cuando carga un archivo de perfil,Sophos Mobile analiza su contenido para distinguir entre los dos tipos de perfil.

1. Una vez que haya generado un perfil de aprovisionamiento en su entorno de desarrolloiOS, guárdelo en su ordenador.

2. En la barra lateral de menús, en CONFIGURAR, haga clic enPerfiles, políticas > AppleiOS.

3. En la página Perfiles y políticas, haga clic en Crear > Importar perfil.

Aparece la página Editar perfil.

4. En los campos correspondientes, especifique un nombre y una descripción para el nuevoperfil.

5. Haga clic en Subir un archivo y busque el archivo que ha guardado en su ordenador,selecciónelo y haga clic en Abrir.


El perfil se ha creado. Puede instalarse en dispositivos. Consulte Instalar un perfil endispositivos en la página 65.

13.4 Reglas de complejidad de contraseña de WindowsDesktopLas reglas de complejidad de contraseña (es decir, la longitud, el número de letras enmayúsculas y minúsculas) para dispositivos de Windows Desktop son fijas y no pueden serestablecidas por políticas de Sophos Mobile. Existen reglas diferentes para las cuentas localesy las cuentas Microsoft.

Cuentas locales■ La contraseña no puede contener el nombre de cuenta del usuario ni más de dos caracteres

consecutivos del nombre completo del usuario.

■ La contraseña debe tener al menos seis caracteres.

63


■ La contraseña debe contener caracteres de tres de las cuatro categorías siguientes:

■ Caracteres en mayúscula A-Z (alfabeto latino)

■ Caracteres en minúscula a-z (alfabeto latino)

■ Dígitos del 0-9

■ Caracteres especiales (!, $, #, %, etc.)

Cuentas Microsoft■ La contraseña debe tener al menos ocho caracteres.

■ La contraseña debe contener caracteres de dos de las cuatro categorías siguientes:

■ Caracteres en mayúscula A-Z (alfabeto latino)

■ Caracteres en minúscula a-z (alfabeto latino)

■ Dígitos del 0-9

■ Caracteres especiales (!, $, #, %, etc.)

13.5 Soporte Samsung KnoxPuede administrar sus dispositivos Samsung Knox con Sophos Mobile.

Para activar el soporte para Samsung Knox, debe configurar una clave de licencia de SamsungKnox Premium en Sophos Mobile. Consulte Licencia Samsung Knox en la página 25.

Para configurar el contenedor Knox de los dispositivos Samsung, consulte Configuracionespara perfiles de contenedor Knox en la página 107.

Para instalar apps en un contenedor Samsung Knox, consulte Añadir app en la página 180.

Para administrar sus dispositivos Samsung Knox puede crear paquetes de tareas para lassiguientes acciones:

■ Contenedor Knox: bloquear

■ Contenedor Knox: desbloquear

■ Contenedor Knox: restablecer contraseña

■ Contenedor Knox: eliminar (elimina el contenedor y toda la configuración relacionadadel dispositivo)

Para crear un paquete de tareas para un dispositivo Knox, consulte Crear paquete de tareasen la página 171.

13.6 Marcadores en perfiles y políticasLos perfiles y las políticas pueden contener marcadores que se sustituyen por datos actualesen el momento de ejecutarse la tarea. Los marcadores que se pueden usar en los perfilesson los siguientes:

■ Marcadores de datos de usuario:

■ %_EMAILADDRESS_%

■ %_USERNAME_%

64


■ Marcadores de propiedades de dispositivo:

■ %_DEVPROP(nombre de propiedad)_%

nombre de propiedad puede ser una propiedad estándar o una propiedadpersonalizada del dispositivo. Consulte Definir propiedades personalizadas paradispositivos en la página 49.

■ Marcadores de propiedades de cliente:

■ %_CUSTPROP(nombre de propiedad)_%

Consulte Definir propiedades de cliente en la página 16.

13.7 Instalar un perfil en dispositivos1. En la barra lateral de menú, en CONFIGURAR, haga clic en Perfiles, políticas y, a

continuación, haga clic en uno de los dispositivos compatibles con los perfiles:

■ Android■ Apple iOS

Aparece la página Perfiles y políticas para la plataforma seleccionada.

2. Haga clic en el triángulo azul junto al perfil que va a instalar y haga clic en Instalar.

Aparece la página Seleccionar dispositivos.


■ Seleccionar los dispositivos individuales en los que desea instalar el perfil.■ Hacer clic en Seleccionar grupos de dispositivos y seleccionar uno o varios grupos

de dispositivos.

4. Una vez realizada la selección, haga clic en Siguiente.

Aparece la página Establecer fecha de ejecución.

5. En Fecha programada, seleccione Ahora o especifique una fecha y una hora para laejecución de la tarea.

6. Haga clic en Finalizar.

Aparece la página Vista de tareas.

El perfil se instala en los dispositivos seleccionados en la fecha y hora seleccionadas.

Consejo: también se puede instalar un perfil mediante una de las opciones siguientes:

■ Para actualizar el perfil en todos los dispositivos en los que esté instalado el perfil: En lapágina Perfiles y políticas, haga clic en el triángulo azul junto al dispositivocorrespondiente y haga clic en Actualizar dispositivos.

■ Para instalar un perfil en un dispositivo individual: En la página Mostrar dispositivo deldispositivo, seleccione la ficha Perfiles y haga clic en Instalar perfil.

■ Para instalar un perfil en varios dispositivos: En la página Dispositivos , seleccione losdispositivos necesarios y haga clic en Acciones > Instalar perfil o asignar política.

■ Para instalar un perfil en uno o más dispositivos como parte de un paquete de tareas:Añada una tarea Instalar perfil o asignar política al paquete de tareas y transfiéralo alos dispositivos o grupos de dispositivos necesarios.

65


13.8 Asignar una política a dispositivos1. En la barra lateral de menú, en CONFIGURAR, haga clic en Perfiles, políticas y, a

continuación, haga clic en una de las plataformas de dispositivo compatibles con laspolíticas:

■ Android■ Android Things■ Apple iOS■ Windows Mobile■ Windows Desktop■ Windows IoT

Aparece la página Políticas para la plataforma seleccionada.

2. Haga clic en el triángulo azul junto a la política que desea asignar y haga clic en Asignar.



■ Seleccionar los dispositivos individuales a los que quiere asignar la política.■ Haga clic en Seleccionar grupos de dispositivos y seleccione uno o varios grupos

de dispositivos para asignar la política.

4. Una vez realizada la selección, haga clic en Finalizar.

La política se asigna a los dispositivos seleccionados y se activa un proceso de sincronizaciónpara los dispositivos seleccionados.

Nota: las políticas no se pueden eliminar de un dispositivo. Para desactivar una política,debe asignar una política distinta al dispositivo en cuestión.

Consejo: también se puede asignar una política mediante una de las opciones siguientes:

■ Para asignar una política a un dispositivo individual: En la página Mostrar dispositivodel dispositivo, seleccione la ficha Políticas y haga clic en Asignar política.

■ Para asignar una política a varios dispositivos: En la página Dispositivos , seleccione losdispositivos necesarios y haga clic en Acciones > Instalar perfil o asignar política.

■ Para asignar una política a uno o más dispositivos como parte de un paquete de tareas:Añada una tarea Instalar perfil o asignar política al paquete de tareas y transfiéralo alos dispositivos o grupos de dispositivos necesarios.

13.9 Eliminar un perfilPara quitar un perfil de un dispositivo, utilice uno de los procedimientos siguientes:

■ En la página Mostrar dispositivo de un dispositivo, seleccione la ficha Perfiles. Hagaclic en el triángulo azul junto al perfil que desea eliminar y haga clic en Eliminar.

■ Cree un paquete de tareas con una tarea Eliminar perfil y transfiéralo a los dispositivoso grupos de dispositivos necesarios.

66


13.10 Descargar perfiles y políticasPuede descargar perfiles y políticas que haya configurado en la consola de Sophos Mobile.Esto resulta útil si, p. ej., tiene que enviar la configuración definida al soporte de Sophos.

1. En la barra lateral de menús, vaya a Perfiles, políticas y haga clic en la plataforma dedispositivo.

Aparece la página Perfiles y políticas para la plataforma seleccionada.

2. Haga clic en el nombre del perfil o política correspondiente.

Aparece la página Mostrar perfil o Mostrar política.

3. Haga clic en Descargar.

El perfil o la política se guarda en su ordenador local.

13.11 Configuraciones para perfiles de dispositivos AndroidCon un perfil de dispositivo Android, se configuran varios aspectos de los dispositivos Android,como políticas de contraseñas, restricciones y configuración Wi-Fi.

Para obtener información sobre cómo crear un perfil de dispositivo, consulte Crear perfileso políticas en la página 61.

13.11.1 Configuración Políticas de contraseña (perfil de dispositivo Android)Con la configuración Políticas de contraseña, se definen los requisitos mínimos de lascontraseñas para los dispositivos.

Nota: los ajustes compatibles pueden depender de la versión del sistema operativo o deotras características del dispositivo. El alcance viene indicado por una etiqueta azul en SophosMobile.

Tipo de contraseña

En la lista Tipo de contraseña, seleccione el tipo de contraseña que se permite configurara los usuarios:

DescripciónOpción/campo

Los usuarios deben establecer un bloqueo depantalla. Pueden optar por un bloqueo de pantalla

Patrón, PIN o contraseña

del tipo Patrón, PIN o Contraseña. No se imponenrestricciones adicionales.

Los usuarios deben establecer un bloqueo depantalla de Contraseña. Se permiten dígitos, pero

Contraseña sencilla

la contraseña debe tener al menos una letra.Puede definir una longitud mínima. Consulte latabla siguiente.

67



Los usuarios deben establecer un bloqueo depantalla de PIN o Contraseña. Puede definir unalongitud mínima. Consulte la tabla siguiente.

PIN o contraseña

Los usuarios deben establecer un bloqueo depantalla de Contraseña. La contraseña debe tener

Contraseña alfanumérica

tanto letras como dígitos. Puede definir unalongitud mínima. Consulte la tabla siguiente.


Contraseña compleja

tanto letras como dígitos. Puede definir unalongitud mínima y un número mínimo de dígitos,letras en mayúsculas y minúsculas y caracteresespeciales. Consulte las dos tablas siguientes.

Al seleccionar Contraseña sencilla, PIN o contraseña, Contraseña alfanumérica oContraseña compleja, se muestran los campos siguientes:


El número mínimo de caracteres que debecontener la contraseña.

Longitud mínima de la contraseña

El tiempo que puede estar sin usarse el dispositivoantes de bloquearlo. El dispositivo se puededesbloquear introduciendo la contraseña.

Nota: es posible que el dispositivo imponga unperiodo de tiempo más corto que el que haconfigurado aquí.

Tiempo de espera máximo antes de solicitudde contraseña

Obliga a los usuarios a cambiar la contraseña enel intervalo especificado. Rango de valores: 0 (sincambio de contraseña) a 730 días.

Antigüedad máxima de contraseña en días

El número máximo de intentos fallidos paraintroducir la contraseña correcta antes de que seborre el dispositivo.

Número de intentos fallidos antes de borrar eldispositivo

El número de contraseñas antiguas que se puedenrecordar y comparar con nuevas contraseñas.

Longitud mínima de historial

Cuando el usuario defina una nueva contraseña,no se aceptará si coincide con una contraseña queya se ha usado. Rango de valores: 1 a 5 oninguno.

68


Si selecciona Contraseña compleja, se muestran los siguientes campos adicionales:


El número mínimo de letras que debe contener lacontraseña.

Número mínimo de letras

El número mínimo de minúsculas que debecontener la contraseña.

Número mínimo de minúsculas

El número mínimo de mayúsculas que debecontener la contraseña.

Número mínimo de mayúsculas

El número mínimo de caracteres no alfabéticosque debe contener la contraseña (p. ej. & o !).

Número mínimo de caracteres no alfabéticos

El número mínimo de numerales que debecontener la contraseña.

Número mínimo de numerales

El número mínimo de caracteres especiales quedebe contener la contraseña (p. ej.!"§$%&/()=,.-;:_@<>).

Número mínimo de caracteres especiales

Autenticación biométrica


Si el dispositivo es compatible, el usuario puede utilizarla autenticación de huella digital para desbloquear eldispositivo.

Permitir autenticación de huella digital

Si el dispositivo es compatible, el usuario puede utilizarla autenticación de iris para desbloquear el dispositivo.

Permitir autenticación de iris

13.11.2 Configuración Restricciones (perfil de dispositivo Android)Con la configuración Restricciones, se definen restricciones para los dispositivos.

Seguridad


Los usuarios deben cifrar sus dispositivos.Imponer cifrado

69



Cuando el perfil se instala en un dispositivo, el usuariodebe cifrar la tarjeta SD.

Nota: para algunos tipos de dispositivos, el usuariopuede optar por cancelar el cifrado. Se le volverá arecordar la próxima vez que monte la tarjeta SD.

Imponer cifrado de tarjetas SD

Si la casilla está desactivada, las opciones de cifradorápido en la configuración del dispositivo no estándisponibles.

Permitir cifrado rápido

Si la casilla está desactivada, los usuarios no puedenrestablecer los valores de fábrica en su dispositivo.

Permitir restablecer valores de fábrica

Si la casilla está desactivada, los usuarios no puedencambiar las opciones de desarrollo.

Permitir "Opciones de desarrollo"

Si la casilla está desactivada, los usuarios no puedenarrancar el dispositivo en modo seguro.

Permitir modo seguro

Si la casilla está desactivada, se desactiva la depuraciónUSB.

Nota: para los dispositivos Sony con Enterprise APIversión 9 o posterior, desmarcar la casilla Permitir

Permitir depuración USB

depuración USB hace que todas las opciones dedesarrollo dejen de estar disponibles.

Si la casilla está desactivada, se desactivan todos lostipos de actualizaciones de firmware (inalámbrica,descarga, etc.).

Permitir recuperación de firmware

Si la casilla está desactivada, los usuarios no puedencrear copias de seguridad del sistema. Se desactiva la

Permitir copia de seguridad

copia de seguridad de Google. Otros métodos de copiade seguridad (p. ej., copias de seguridad de SophosMobile) siguen estando disponibles.

Si la casilla está desactivada, los usuarios no puedencambiar la configuración del dispositivo. En algunosdispositivos se elimina el icono de configuración.

Permitir cambios de configuración

Si la casilla está desactivada, los usuarios no puedencopiar ningún contenido al portapapeles.

Permitir portapapeles

Permite a los usuarios copiar contenido al portapapelesentre apps.

Al desactivar la casilla, cada app tiene un portapapelesindividual.

Activar portapapeles compartido

70



Esta opción solamente está disponible si seleccionaPermitir portapapeles.

Si la casilla está desactivada, los usuarios no puedenrealizar capturas de pantalla.

Permitir captura de pantalla

Si la casilla está desactivada, los usuarios no puedenseleccionar una app de localización ficticia en lasopciones de desarrollo de Android.

Permitir localizaciones GPS ficticias

Si la casilla está desactivada, se desactivan lasactualizaciones de firmware inalámbricas.

Permitir actualizaciones de firmwaremediante conexión inalámbrica

Si la casilla está desactivada, los usuarios no puedenrealizar grabaciones de audio.

Permitir grabación de audio

Si la casilla está desactivada, los usuarios no puedenrealizar grabaciones de vídeo. Pueden hacer fotos oretransmitir vídeo.

Permitir grabación de video

Si la casilla está desactivada, las opciones de bloqueode activación del dispositivo no están disponibles.

Permitir bloqueo de activación

Si la casilla está desactivada, la app Samsung S Beamno está disponible.

Permitir S Beam

Si la casilla está desactivada, la app Samsung S Voiceno está disponible.

Permitir S Voice

Si la casilla está desactivada, se desactiva la funciónCompartir por.

Permitir "Compartir por"

Cuentas


Si la casilla está desactivada, se desactiva el soportemultiusuario. Los usuarios u otras apps no pueden crearcuentas de usuario adicionales.

Permitir múltiples cuentas de usuario

Si la casilla está desactivada, los usuarios no puedenañadir cuentas de correo electrónico.

Esto no afecta la creación de cuentas a través de un perfilde dispositivo.

Permitir añadir cuentas de correoelectrónico

71



Si la casilla está desactivada, los usuarios no puedeneliminar la cuenta de Google del dispositivo.

Permitir eliminación de la cuenta deGoogle

Si la casilla está desactivada, las cuentas de Google nose sincronizan automáticamente. Los usuarios pueden

Permitir autosincronización para cuentasGoogle

realizar la sincronización manual igualmente desdealgunas apps como Gmail.

Red y comunicación


Si la casilla está desactivada, los usuarios no puedenactivar el modo avión.

Permitir modo avión

Si la casilla está desactivada, se desactiva lasincronización en itinerancia.

Permitir sincronización en itinerancia

Solo se permiten las llamadas de emergencia. Todas lasdemás llamadas se bloquean.

Permitir solo llamadas de emergencia

Se desactiva la sincronización de datos automática conel dispositivo en itinerancia. Esto afecta a todas lascuentas configuradas, como Google o Exchange.

Forzar sincronización manual enitinerancia

Los usuarios no pueden desactivar los datos móviles.Forzar conexión de datos móviles

Si la casilla está desactivada, los usuarios no puedenenviar mensajes de texto.

Permitir SMS

Si la casilla está desactivada, se desactivan lasconexiones de datos móviles en itinerancia.

Permitir la conexión de datos móvilesen itinerancia

Si la casilla está desactivada, se desactivan las llamadasde voz en itinerancia.

Permitir llamadas de voz en itinerancia

Si la casilla está desactivada, los usuarios no puedenestablecer un límite de datos móviles.

Permitir límite de datos móviles deusuario

Si la casilla está desactivada, los usuarios no puedenusar conexiones VPN.

Permitir VPN

Si la casilla está desactivada, se desactiva la transferenciade datos a través de Wi-Fi Direct.

Permitir Wi-Fi Direct

72



Si la casilla está desactivada, se desactiva la transferenciade datos a través de Android Beam. Esto incluye la appSamsung S Beam.

Permitir Android Beam

Si la casilla está desactivada, se desactiva la transferenciade datos a través de Miracast.

Permitir política de Miracast

Si la casilla está desactivada, se desactiva el Bluetooth.Permitir Bluetooth

Si la casilla está desactivada, se desactiva la tecnologíaNFC (comunicación de campo cercano).

Permitir NFC

Si la casilla está desactivada, se desactiva la Wi-Fi.Permitir Wi-Fi

Tethering


si la casilla está desactivada, se desactiva el tethering.Esto incluye el tethering por Wi-Fi, USB y Bluetooth.

Nota: si la casilla está desactivada, las opciones Permitirtethering Wi-Fi, Permitir tethering USB y Permitirtethering Bluetooth no tienen efecto.

Permitir tethering

Si la casilla está desactivada, se desactiva el tetheringWi-Fi (punto de acceso Wi-Fi).

Permitir tethering Wi-Fi

Si la casilla está desactivada, se desactiva el tetheringUSB.

Permitir tethering USB

Si la casilla está desactivada, se desactiva el tetheringBluetooth.

Permitir tethering Bluetooth

El usuario puede configurar las opciones del punto deacceso Wi-Fi.

Permitir configuración de tethering Wi-Fi

73


Hardware


Si la casilla está desactivada, la cámara no estádisponible.

Permitir cámara

Si la casilla está desactivada, la cámara no estádisponible cuando se bloquea la pantalla.

Para permitir la cámara en la pantalla de bloqueo, tambiéndebe seleccionar la opción Permitir cámara.

Permitir cámara en pantalla de bloqueo

Se utiliza la información de GPS para la localización dedispositivos.

Forzar GPS para consultas de ubicación

Si la casilla está desactivada, se impide el uso de tarjetasSD en los dispositivos.

Permitir tarjeta SD

Si la casilla está desactivada, los usuarios no puedenmover apps del almacenamiento interno a la tarjeta SD.

Permitir mover apps a la tarjeta SD

Si la casilla está desactivada, no es posible escribir entarjetas SD sin cifrar.

Permitir escribir en tarjeta SD no cifrada

Si la casilla está desactivada, el micrófono no estádisponible.

Permitir micrófono

El modo de almacenamiento masivo USB y el modo dedispositivo de medios USB (MTP) están disponibles enel dispositivo.

Permitir USB

Si la casilla está desactivada, el protocolo de transferenciade medios (MTP) no está disponible. Puesto que Android

Permitir reproductor multimedia USB

utiliza el protocolo MTP para la transferencia de archivospor USB, se bloquea cualquier transferencia de archivospor USB.

Aplicaciones


Si la casilla está desactivada, los usuarios no puedeninstalar apps.

Permitir instalación de apps

74



Si la casilla está desactivada, los usuarios no puedendesinstalar apps.

Permitir desinstalación de apps

Si la casilla está desactivada, los usuarios solo puedeninstalar archivos APK firmados.

Permitir instalación de apps sin firmar

Si la casilla está desactivada, la app Google Play Storeno está disponible.

Permitir Play Store

Si la casilla está desactivada, los usuarios solo puedeninstalar aplicaciones a través de la app Google Play Store.

Permitir apps de fuentes desconocidas

Si la casilla está desactivada, el navegador nativo no estádisponible. Las apps de navegador de terceros no se venafectadas.

Permitir navegador nativo

Si la casilla está desactivada, las apps no pueden enviarinformes de errores.

Permitir informes de errores de apps

Si la casilla está desactivada, los usuarios no puedencambiar el fondo de pantalla.

Permitir cambiar fondo de pantalla

Si la casilla está desactivada, los widgets no estándisponibles cuando se bloquea la pantalla.

Permitir widgets en pantalla de bloqueo

Por defecto, un dispositivo Samsung Knox muestrainformación de contacto cuando el usuario recibe una

Permitir información de contacto deKnox para llamadas personales

llamada de un contacto de Knox mientras está en modopersonal.

Si la casilla está desactivada, la información de contactoKnox no se muestra en el modo personal.

El usuario puede permitir la función de autocompletar enla configuración del navegador Android nativo. Si se activa

Permitir función de autocompletar en elnavegador

la opción, los sitios web pueden ofrecer sugerencias alusuario cuando rellene datos de formulario.

Si la casilla está desactivada, la función de autocompletarse desactiva y la opción de configuración del navegadorno está disponible.

El usuario puede habilitar las cookies en la configuracióndel navegador Android nativo. Si se activa la opción, lossitios web pueden almacenar cookies en el dispositivo.

Si la casilla está desactivada, las cookies se desactivany la opción de configuración del navegador no estádisponible.

Permitir cookies en el navegador

75



El usuario puede habilitar JavaScript en la configuracióndel navegador Android nativo. Si se activa la opción, los

Permitir JavaScript en el navegador

sitios web pueden ejecutar código JavaScript en eldispositivo.

Si la casilla está desactivada, JavaScript se desactiva yla opción de configuración del navegador no estádisponible.

El usuario puede habilitar las ventanas emergentes en laconfiguración del navegador Android nativo. Si se activa

Permitir ventanas emergentes en elnavegador

la opción, los sitios web pueden abrir ventanas nuevasdel navegador.

Si la casilla está desactivada, las ventanas emergentesse desactivan y la opción de configuración del navegadorno está disponible.

El usuario puede cambiar la configuración de fecha yhora.

Permitir la modificación de laconfiguración de fecha y hora

Puede configurar Apps permitidas o bien Appsprohibidas. Seleccione la opción deseada en la primera

Apps permitidas / Apps prohibidas

lista y seleccione el grupo de apps que contiene las appspermitidas o prohibidas en la segunda lista.

Las instalaciones de apps iniciadas por el servidor deSophos Mobile no están restringidas por estaconfiguración.

Para información sobre cómo crear grupos de apps,consulte Grupos de apps en la página 191.

13.11.3 Configuración Restricciones Knox Premium (perfil de dispositivoAndroid)Con la configuración Restricciones Knox Premium, se definen restricciones para losdispositivos Samsung Knox. Estas restricciones se aplican al dispositivo, no al contenedorKnox.

DescripciónOpción

El dispositivo busca actualizaciones de firmwareautomáticamente. Los usuarios no pueden cambiaresta opción en la configuración del dispositivo.

Permitir opciones de actualización automáticadel firmware

76


DescripciónOpción

El dispositivo descifra la partición de datos alarrancar solo si el binario y el kernel son oficiales,es decir, si el dispositivo no es desbloqueado.

Si la casilla está desactivada, el dispositivosiempre descifra la partición de datos al arrancar.

Permitir verificación ODE Trusted Boot

Se impide la instalación de apps que requieranprivilegios de administrador en el dispositivo. Estono afecta a las apps instaladas por Sophos Mobile.

Evitar instalación de otra app de administración

Se impide la activación de privilegios deadministrador para apps en el dispositivo.

Evitar activación de otra app de administración

Se activa el modo Common Criteria (modo CC) enel dispositivo, lo que garantiza que el dispositivo

Permitir modo Common Criteria

cumple los requisitos de seguridad establecidospor el perfil de protección fundamental dedispositivos móviles (MDFPP).

Nota: El modo CC solamente se utiliza si secumplen los siguientes requisitos adicionales:

El cifrado de dispositivo esté activado.

El cifrado rápido esté desactivado.

El cifrado del almacenamiento externo estéactivado.

Se defina un número máximo de intentos deinicio de sesión fallidos antes de borrar eldispositivo.

La revocación de certificados esté activada.

El historial de contraseñas esté desactivado.

13.11.4 Configuración Protección de apps (perfil de dispositivo Android)Con la configuración Protección de apps, se definen los requisitos de contraseñas paraproteger las apps.

Con la protección de apps activada, los usuarios deben definir una contraseña al abrir unaapp protegida por primera vez.Tras un intento de inicio de sesión fallido se impone un retardopara el inicio de sesión.

Si la protección de apps está activada en un dispositivo, aparece el comando Restablecercontraseña de protección de apps en el menú Acciones en la página Mostrar dispositivo.El usuario también puede restablecer la contraseña de protección de apps en el portal deautoservicio de Sophos Central.

77



Los requisitos mínimos de complejidad de lascontraseñas que deben establecer los usuarios.

Complejidad de contraseña

Una vez expirado el periodo de gracia, las appsprotegidas solo se pueden desbloquearintroduciendo una contraseña.

Periodo de gracia en minutos

Seleccione el grupo de apps que contiene lasaplicaciones que están protegidas por contraseña.

Para información sobre cómo crear grupos deapps, consulte Grupos de apps en la página 191.

Grupo de apps

Los usuarios pueden desbloquear una appprotegida con su huella digital.


13.11.5 Configuración Control de apps (perfil de dispositivo Android)Con la configuración Control de apps, se definen las apps que los usuarios no tienen permisopara iniciar. Por ejemplo, puede usar esta opción para bloquear las apps que ha preinstaladoel fabricante del dispositivo y que no se pueden desinstalar.


Seleccione el grupo de apps que contiene las appsbloqueadas.


Grupo de apps

13.11.6 Configuración Exchange ActiveSync (perfil de dispositivo Android)Con la configuración Exchange ActiveSync, se definen las opciones de configuración deusuario para su servidor de Microsoft Exchange.


El nombre de la cuenta.Nombre de cuenta

La dirección del servidor de Microsoft Exchange.

Nota: si utiliza el proxy SMC EAS, introduzca laURL del servidor proxy SMC.

Host de Exchange ActiveSync

El dominio de esta cuenta.Dominio

78



El usuario de esta cuenta.

Si introduce la variable %_USERNAME_%, el servidorla sustituye por el nombre de usuario real.

Usuario

La dirección de correo electrónico de la cuenta.

Si introduce la variable %_EMAILADDRESS_%, elservidor la sustituye por la dirección de correoelectrónico real.

Dirección de correo electrónico

Un nombre de remitente para la cuenta.


Remitente

La contraseña de esta cuenta.

Si deja este campo vacío, los usuarios debenintroducir la contraseña en sus dispositivos.

Contraseña

El periodo de tiempo para la sincronización delcorreo electrónico.

Solo los correos electrónicos que se correspondanal periodo especificado se sincronizan en la bandejade entrada del dispositivo administrado.

Periodo de sincronización

El intervalo entre los procesos de sincronización decorreo electrónico.

Intervalo de sincronización

Todas las comunicaciones se envían a través deSSL (Capa de sockets seguros).

Recomendamos seleccionar esta casilla.

SSL

La cuenta se usa como la cuenta de correoelectrónico predeterminada.

Cuenta predeterminada

Permitir todos los certificados en los procesos detransferencia del servidor de correo electrónico.

Permitir todos los certificados

El certificado de cliente para la conexión aActiveSync.

Certificado de cliente

Permitir reenviar correos electrónicos.Permitir reenviar correos electrónicos

Permitir el uso de formato HTML en los correoselectrónicos.

Permitir usar formato HTML

El tamaño máximo de un solo mensaje de correoelectrónico (1, 3, 5, 10, Ilimitado).

Tamaño máximo de adjuntos en MB

79



Los tipos de contenido que se deben sincronizar.Sincronizar tipos de contenido

Nota: en el caso de los dispositivos Sony con Enterprise API versión 6.x o anterior, esimportante que la información de la cuenta de Exchange ActiveSync coincida con el usuarioasignado al dispositivo.

En estos dispositivos, el cliente de SMC no puede enviar el ID de ActiveSync al servidor deSMC. Cuando un dispositivo se pone en contacto con el proxy EAS de SMC por primera vez,el ID de ActiveSync que envía el cliente de correo electrónico es desconocido para SophosMobile. Para verificar los datos de la cuenta, el proxy EAS de SMC busca un dispositivo conun ID de ActiveSync desconocido y un usuario asignado que coincida con la información delusuario proporcionada por el cliente de correo electrónico. Si se encuentra dicho dispositivo,el ID de ActiveSync se asigna a ese dispositivo y la solicitud de correo electrónico se pasaal servidor de Exchange. De lo contrario, se rechaza la solicitud.

Para obtener más información, consulte el artículo 121360 de la base de conocimiento deSophos.

13.11.7 Configuración Wi-Fi (perfil de dispositivo Android)Con la configuración Wi-Fi, se especifican las opciones de configuración para la conexión aredes Wi-Fi.


El ID de la red Wi-Fi.SSID

El tipo de seguridad de la red Wi-Fi:Tipo de seguridad

Ninguno

WEP

WPA/WPA2 PSK

EAP/PEAP

EAP/TLS

EAP/TTLS

Si se selecciona WEP o WPA/WPA2 PSK, semostrará el campo Contraseña. Introduzca lacontraseña correspondiente.

Si se selecciona una de las opciones EAP, semostrarán los campos Identidad, Identidadanónima y Contraseña. Introduzca la informaciónEAP necesaria.

Si se selecciona EAP/PEAP o EAP/TTLS, tambiénse muestra el campo Autorización fase 2.Seleccione el tipo de autorización:

PAP

CHAP

80


https://www.sophos.com/es-es/support/knowledgebase/121360.aspx



MSCHAP

MSCHAPv2

El nombre o la dirección IP y el número de puertode un servidor proxy para la conexión Wi-Fi.

Servidor y puerto proxy

13.11.8 Configuración VPN (perfil de dispositivo Android)Con la configuración VPN, se definen las opciones de configuración VPN para las conexionesde red.


El nombre de la conexión mostrada en el dispositivo.Nombre de conexión

El nombre del host o la dirección IP de su servidor.Servidor

El tipo de la conexión VPN:Tipo de conexión

L2TP/IPsec (PSK)

Si se selecciona este tipo, se mostrarán los campos Usuario, Contraseñay L2TP/IPsec (PSK). Introduzca el usuario y la contraseña. En el campoL2TP/IPsec (PSK), introduzca la clave previamente compartida para laautenticación.

L2TP/IPsec (certificado)

Si se selecciona este tipo, se mostrarán los campos Certificado de cliente,Certificado raíz, Usuario y Contraseña. Seleccione los certificadoscorrespondientes en los campos Certificado de cliente y Certificado raíz.Además, introduzca el Usuario y la Contraseña correspondiente.

13.11.9 Configuración Certificado raíz (perfil de dispositivo Android)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos.

En el campo Archivo, busque el certificado correspondiente y haga clic en Subir un archivo.El nombre del certificado se muestra en el campo Nombre de certificado. Introduzca lacontraseña para el certificado seleccionado.

Nota: el certificado cargado aquí solo está disponible para este perfil. Si requiere certificadosen otros perfiles o políticas, debe subirlos de nuevo.

13.11.10 Configuración Certificado de cliente (perfil de dispositivo Android)Con la configuración Certificado de cliente, se instala un certificado de cliente en losdispositivos.

81




13.11.11 Configuración SCEP (perfil de dispositivo Android)Con la configuración SCEP, se permite que los dispositivos soliciten certificados de unaautoridad de certificación (CA) usando el protocolo de inscripción de certificados simple(SCEP).

Nota: para poder añadir una configuración SCEP, primero hay que añadir una configuraciónde Certificado raíz para cargar el certificado de CA del servidor SCEP.


La dirección web del servidor de la autoridad decertificación.

Use la variable %_SCEPPROXYURL_% para referirsea la dirección del servidor que está configurada en

URL

la ficha SCEP de la página Configuración delsistema.

El nombre con el que el certificado aparecerá enlos diálogos de selección.

Debe ser un nombre fácil de recordar queidentifique el certificado. Por ejemplo, utilice los

Nombre de alias

mismos valores que en el campo Sujeto, pero sinel prefijo CN=.

El nombre de la entidad (por ejemplo, persona odispositivo) que recibirá el certificado.

Puede usar marcadores para los datos de usuarioo propiedades de dispositivo.

Sujeto

El valor que especifique (con marcadores que sesustituyen por los datos actuales) debe ser unnombre X.500 válido.

Por ejemplo:

Introduzca CN=%_USERNAME_% paraespecificar un usuario.

IntroduzcaCN=%_DEVPROP(número_de_serie)_% paraespecificar un dispositivo.

Para obtener información sobre los marcadoresdisponibles, consulte Marcadores en perfiles ypolíticas en la página 64.

82



Otra opción es configurar un nombre alternativode sujeto (SAN). Seleccione uno de los tipos deSAN disponibles.

Tipo de nombre alternativo del sujeto

Si ha seleccionado un tipo de SAN, introduzca elvalor de SAN.

Valor de nombre alternativo del sujeto

Nombre de inicio de sesión de usuario NT

La dirección web para obtener una contraseña dedesafío del servidor SCEP.

Use la variable %_CACHALLENGE_% para referirsea la dirección del desafío que está configurada en

Desafío


El certificado de CA.

Seleccione el certificado de la lista. La lista incluyetodos los certificados que ha cargado en lasconfiguraciones Certificado raíz del perfil actual.

Certificado raíz

El tamaño de la clave pública en el certificadoemitido.

Asegúrese de que el valor coincide con el tamañodefinido en el servidor SCEP.

Tamaño de clave

Si selecciona esta casilla, la clave pública puedeutilizarse como firma digital.

Usar como firma digital

Si selecciona esta casilla, la clave pública puedeutilizarse para el cifrado de datos.

Usar para cifrado

13.11.12 Configuración Nombre de punto de acceso (perfil de dispositivoAndroid)Con la configuración Nombre de punto de acceso se especifica una configuración de nombrede punto de acceso (APN) para dispositivos móviles. Las configuraciones APN definen laforma en la que los dispositivos se conectan a la red del móvil.

Importante: recomendamos que consulte con su operador los ajustes necesarios. Si seselecciona Usar como APN predeterminado y los ajustes no son los correctos, el dispositivono podrá acceder a datos a través de las redes móviles.

Nota: con la excepción del campo APN, todos los demás ajustes son opcionales y solo sedeben especificar si lo requiere su operador de red móvil.

83



El APN que el dispositivo indica al abrir unaconexión con el operador.

Debe coincidir con un APN que acepte el operador.En caso contrario, la conexión no puedeestablecerse.

APN

Un nombre opcional que se muestra en eldispositivo además del APN.

Nombre descriptivo

La dirección y el puerto del servidor HTTP que seusa para el tráfico web.

Servidor y puerto proxy

Un nombre de usuario y contraseña para laconexión al APN.

Nombre de usuario y contraseña

El servidor de puerta de enlace WAP.Servidor

El centro de servicio de mensajería multimedia(MMSC).

MMSC

La dirección y el puerto del servidor HTTP que seusa para la comunicación con MMSC.

Puerto y servidor proxy MMS

MCC y MNC para especificar el operador.

El APN se utiliza solo para este operador.

Código de país de móvil (MCC), Código de redde móvil (MNC)

El método de autenticación para conexiones PPP.Tipo de autenticación

Los tipos de conexión de datos para los que seutiliza este APN.

Para usar el APN para todos los tipos de datos,introduzca * o deje el campo vacío.

Tipo de APN

La tecnología de acceso de radio (RAT) que eloperador usa.

Portador

El protocolo de red admitido por el operador.Protocolo

El protocolo de red admitido por el operador enmodo de itinerancia.

Protocolo de itinerancia

Si se selecciona, los dispositivos usarán este APNcomo predeterminado.

Se producirá un error cuando se intenteseleccionar esta opción en más de unaconfiguración de Nombre de punto de acceso.

Usar como APN predeterminado

84


13.11.13 Configuración Modo quiosco (perfil de dispositivo Android)Con la configuración Modo quiosco, se definen restricciones para dispositivos para colocarlosen un modo quiosco.

Haga clic en Seleccionar origen y, a continuación, seleccione una de las opciones siguientespara especificar una app que se iniciará cuando se transfiera el perfil al dispositivo:

■ Seleccione Personalizado e introduzca un identificador de app.

■ Seleccione Lista de apps y, a continuación, seleccione una app de la lista Identificadorde app. La lista contiene todas las apps que ha configurado en la página Apps. ConsulteAñadir app en la página 180.

■ Seleccione Ninguna para configurar el modo quiosco sin especificar ninguna app. Seaplican las restricciones del modo quiosco al dispositivo, pero no se inicia ninguna app.

En Opciones, anule la selección de las funciones de harware y software que desea desactivaren el modo quiosco.

Cuando el perfil se transfiere a un dispositivo, se inicia la app que ha especificado. Sinembargo, si no ha desactivado las funciones de hardware y software disponibles, el usuariopodrá salir de la app y usar el dispositivo de forma normal. Para colocar el dispositivo en unmodo quiosco verdadero, debe desactivar por lo menos las casillas Permitir botón Inicio yPermitir administrador de tareas.

Nota:

■ La app especificada debe estar instalada en el dispositivo. En caso contrario, las tareasde transferencia se quedarán en el estado Incompleto hasta que se instale la app. Parainstalar la app, cree un paquete de tareas que contenga, p. ej., una tarea Instalar app ytransfiéralo a sus dispositivos.

■ Si desea especificar una app para dispositivos Samsung Knox, asegúrese de que seauna app launcher. Este tipo de app ofrece un escritorio alternativo para Android.

■ Para los dispositivos Sony con Enterprise API versión 9 o posterior, si desactiva cualquierade las casillas Permitir subir volumen, Permitir bajar volumen o Permitir silenciarvolumen, se desactivan todos los botones de volumen del dispositivo.

13.12 Configuraciones para políticas de Android enterpriseCon una política de Android enterprise, se configuran las opciones relacionadas con el perfilde trabajo de un dispositivo.

Para obtener información sobre cómo crear una política de Android enterprise, consulte Crearperfiles o políticas en la página 61.

13.12.1 Configuración "Políticas de contraseña - Dispositivo" (política Androidpara empresas)Con la configuración Políticas de contraseña - Dispositivo se definen los requisitos mínimosde contraseña para la contraseña del bloqueo de pantalla.


85


Tipo de contraseña










PIN o contraseña











El tiempo que puede estar sin usarse el dispositivoantes de bloquearlo. El dispositivo se puededesbloquear introduciendo la contraseña.



86





El número máximo de intentos fallidos paraintroducir la contraseña correcta antes de que seborre el dispositivo.



















13.12.2 Configuración "Políticas de contraseña - Perfil de trabajo" (políticaAndroid para empresas)Con la configuración Políticas de contraseña - Perfil de trabajo se definen los requisitosmínimos de contraseña para la contraseña del perfil de trabajo. El usuario debe introduciresa contraseña para abrir una app de trabajo cuando el perfil de trabajo está bloqueado.

87



Tipo de contraseña










PIN o contraseña







A los usuarios se les permite usar métodos dereconocimiento biométricos débiles, como el

Reconocimiento biométrico débil

reconocimiento facial, para desbloquear el perfilde trabajo.

Nota: los métodos de reconocimiento biométricosdébiles proporcionan una seguridad similar queun PIN de 3 dígitos. Esto quiere decir que sepuede producir un desbloqueo no autorizado cada1000 intentos.


88





El tiempo que puede estar sin usarse el perfil detrabajo antes de bloquearlo. El perfil se puededesbloquear introduciendo la contraseña.





El número máximo de intentos fallidos paraintroducir la contraseña correcta antes de que seborre el perfil de trabajo.

















89





13.12.3 Configuración Restricciones (política de Android enterprise)Con la configuración Restricciones, se definen restricciones y opciones relacionadas conlos perfiles de trabajo Android.

Seguridad


Los usuarios pueden realizar capturas de pantalla de lasapps de trabajo.


Los usuarios pueden instalar o eliminar certificados en elperfil de trabajo.

Permitir al usuario configurar lascredenciales

Los usuarios pueden copiar texto de una app de trabajoy pegarlo en una app personal.

Pegar el texto del portapapeles de una app personal auna app de trabajo siempre es posible.

Permitir el portapapeles de apps detrabajo a apps personales

Los usuarios pueden activar la función Smart Lock deAndroid que desbloquea automáticamente el dispositivoen determinadas situaciones.

Permitir Smart Lock

Las apps de trabajo pueden acceder a las funciones deubicación de un dispositivo.

Si la casilla está desactivada, las apps de trabajo nopueden acceder a las funciones de ubicación del

Permitir el uso compartido de ubicación

dispositivo, aunque el usuario haya activado el usocompartido de ubicación.

Los enlaces web que pulsa el usuario en una app detrabajo los puede abrir una app de navegador personal.

Permitir abrir enlaces web en appspersonales

Los usuarios pueden activar las funciones de depuraciónen las opciones de desarrollo de Android.

Permitir depuración

Los usuarios pueden usar un sensor de huella digital paradesbloquear el dispositivo.

Permitir desbloquear el dispositivomediante huella digital

90



La app de teléfono personal muestra el nombre de lapersona que llama para las llamadas entrantes decontactos de trabajo.

Permitir información de contactos detrabajo para llamadas personales

Los dispositivos Bluetooth conectados muestran elnombre de la persona que llama para las llamadasentrantes personales de contactos de trabajo.

Permitir información de contactos detrabajo para dispositivos Bluetooth

La app de teléfono personal incluye los resultados decontactos de trabajo al buscar el nombre de la personaque llama.

Permitir buscar contactos de trabajo enel perfil personal

Cuentas


Los usuarios pueden añadir o eliminar cuentas del perfilde trabajo, por ejemplo, cuentas de apps.

Los usuarios no pueden suprimir la cuenta de Google delperfil de trabajo.

Permitir la gestión de cuentas

Red y comunicación


Los usuarios pueden enviar datos desde apps de trabajoa través de Android Beam (transferencia de datosmediante NFC).

Permitir Android Beam

Los usuarios pueden utilizar conexiones VPN para lasapps de trabajo.

Permitir VPN

Hardware


Las apps de trabajo pueden acceder a la cámara.Permitir cámara

91


Aplicaciones


Los usuarios pueden desinstalar apps de trabajo.Permitir desinstalación de apps

Si la casilla está desactivada, los usuarios solo puedeninstalar apps de trabajo desde Google Play Store, no de

Permitir instalar apps de fuentesdesconocidas

fuentes desconocidas ni mediante ADB (puente dedepuración Android).

Si la casilla está desactivada, los usuarios no puedenrealizar las tareas siguientes en las apps de trabajo:

Permitir la gestión de apps

Desinstalar apps

Desactivar apps

Detener apps

Borrar caché de apps

Borrar datos de apps

Borrar opción de configuración Abrir de formapredeterminada

Los usuarios pueden desactivar el ajuste de seguridadde Google Buscar amenazas de seguridad en eldispositivo.

El ajuste está disponible en la app Configuración, enGoogle > Seguridad > Google Play Protect.

Permitir deshabilitar escaneados deseguridad de Google

Un mensaje de soporte específico de la empresa que semuestra al usuario cuando se ha desactivado lafuncionalidad.

Nota: si escribe más de 200 caracteres, es posible queel mensaje aparezca truncado.

Mensaje corto

Texto adicional para complementar el mensaje corto. Eltexto aparece cuando el usuario pulsa Más informaciónen las pantallas que muestran el mensaje corto.

Nota: este texto también aparece en la pantallaAdministrador de dispositivo de Android para la appSophos Mobile Control.

Mensaje largo

92


13.12.4 Configuración Protección de apps (política de Android enterprise)Con la configuración Protección de apps, se definen los requisitos de contraseñas paraproteger las apps de trabajo, es decir, las aplicaciones que están instaladas en el perfil detrabajo.

Con la protección de apps activada, los usuarios deben definir una contraseña al abrir unaapp protegida por primera vez.Tras un intento de inicio de sesión fallido se impone un retardopara el inicio de sesión.

Si la protección de apps está activada en un dispositivo, aparece el comando Restablecercontraseña de protección de apps en el menú Acciones en la página Mostrar dispositivo.El usuario también puede restablecer la contraseña de protección de apps en el portal deautoservicio de Sophos Central.


Los requisitos mínimos de complejidad de lascontraseñas que deben establecer los usuarios.


Una vez expirado el periodo de gracia, las appsprotegidas solo se pueden desbloquearintroduciendo una contraseña.


Seleccione el grupo de apps que contiene lasaplicaciones que están protegidas por contraseña.


Grupo de apps

Los usuarios pueden desbloquear una appprotegida con su huella digital.


13.12.5 Configuración Control de apps (política de Android enterprise)Con la configuración Control de apps, se definen las apps de trabajo que los usuarios notienen permiso para iniciar.


Seleccione el grupo de apps que contiene las appsbloqueadas.


Grupo de apps

13.12.6 Configuración Permisos de apps (política de Android enterprise)Con la configuración Permisos de apps, se configura lo que sucede cuando una app detrabajo solicita un permiso en tiempo de ejecución.

93



La respuesta predeterminada para solicitudes de permisoen tiempo de ejecución de apps de trabajo:

Gestión de permisos por defecto

Preguntar: Las apps piden al usuario que otorgue unpermiso.

Aceptar automáticamente: Todas las solicitudes depermiso en tiempo de ejecución se otorgan de formaautomática.

Denegar automáticamente:Todas las solicitudes depermiso en tiempo de ejecución se deniegan de formaautomática.

El usuario no puede modificar los permisos más adelante.

Puede otorgar o denegar ciertos permisos en tiempo deejecución para aplicaciones individuales. Haga clic en

Permisos en tiempo de ejecuciónespecíficos de la app

Añadir y configure las opciones de configuración de unaapp:

En el campo Identificador de app, introduzca elidentificador interno de la aplicación.

Para cada permiso en tiempo de ejecución, seleccioneel estado de otorgamiento que desee:

Seleccionable: El usuario puede otorgar o denegarel permiso.

Otorgado: El permiso se ha otorgado y el usuario nolo puede denegar.

Denegado: El permiso se ha denegado y el usuariono lo puede otorgar.

13.12.7 Configuración Exchange ActiveSync (política Android para empresas)









Usuario

94








Remitente



Contraseña






SSL



El certificado de cliente para la conexión aActiveSync.

Certificado de cliente

13.12.8 Configuración Certificado raíz (política de Android enterprise)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos. Estecertificado estará disponible para las apps de trabajo, es decir, las aplicaciones que estáninstaladas en el perfil de trabajo.


Nota: el certificado cargado aquí solo está disponible para esta política. Si requiere certificadosen otros perfiles o políticas, debe subirlos de nuevo.

13.12.9 Configuración Certificado de cliente (política de Android enterprise)Con la configuración Certificado de cliente, se instala un certificado de cliente en losdispositivos. Este certificado estará disponible para las apps de trabajo, es decir, lasaplicaciones que están instaladas en el perfil de trabajo.

95




13.12.10 Configuración SCEP (política de Android enterprise)Con la configuración SCEP, se permite que los dispositivos soliciten certificados de unaautoridad de certificación (CA) usando el protocolo de inscripción de certificados simple(SCEP). Estos certificados estarán disponibles para las apps de trabajo, es decir, lasaplicaciones que están instaladas en el perfil de trabajo.





URL




Nombre de alias




Sujeto


Por ejemplo:




96










Desafío




Certificado raíz



Tamaño de clave




Usar para cifrado

13.13 Configuraciones para políticas de contenedor deSophos para AndroidCon una política de contenedor de Sophos, se configuran las opciones relacionadas con lasapps Sophos Secure Email y Sophos Secure Workspace del contenedor de Sophos.

Para obtener información sobre cómo crear una política de contenedor de Sophos, consulteCrear perfiles o políticas en la página 61.

13.13.1 Configuración General (política de contenedor de Sophos en Android)Con la configuración General, se definen las opciones que se aplican a todas las apps decontenedor de Sophos, si procede.

97



Los usuarios deben introducir una contraseñaadicional para poder iniciar una app de contenedor

Habilitar contraseña del contenedor de Sophos

de Sophos. La contraseña debe definirse cuandose inicia la primera app de contenedor una vezaplicada la configuración. Esta contraseña aplicaa todas las apps de contenedor.

La complejidad mínima necesaria de la contraseñadel contenedor de Sophos. En cualquier caso se


permitirán siempre contraseñas más seguras. Lascontraseñas (una combinación de caracteresnuméricos y alfanuméricos) se consideran siempremás seguras que un PIN (solo caracteresnuméricos).

Cualquiera: Las contraseñas del contenedorde Sophos no tienen restricciones.

PIN de 4 dígitos

PIN de 6 dígitos

Contraseña de 4 caracteres




Los caracteres de los campos de contraseña nose muestran brevemente antes de ocultarlos.

Ocultar siempre los caracteres en los camposde introducción de contraseñas

El número de días que se puede usar unacontraseña antes de que los usuarios debancambiarla.

Antigüedad de contraseña en días

El número de intentos de inicio de sesión fallidosantes de que las apps de contenedor se bloqueen.

Inicios de sesión fallidos hasta bloqueo

Una vez bloqueadas es necesario que unadministrador desbloquee las apps o, si estápermitido, que los usuarios lo hagan a través delportal de autoservicio de Sophos Central.

Los usuarios pueden desbloquear la aplicacióncon su huella digital.

Permitir huella digital

El periodo de tiempo durante el cual no esnecesario introducir ninguna contraseña del


contenedor de Sophos cuando una app decontenedor vuelve a primer plano.

El periodo de gracia aplica a todas las apps decontenedor. Durante el periodo de gracia se puedecambiar entre las apps sin introducir unacontraseña.

98



Cuando el dispositivo se bloquea, el contenedorde Sophos también se bloquea.

Si la casilla está desactivada, el contenedor sebloquea únicamente después de haber caducadoel periodo de gracia.

Bloquear cuando el dispositivo esté bloqueado

El periodo de tiempo que los usuarios pueden usaruna app de contenedor de Sophos sin unaconexión al servidor de Sophos Mobile.

Cuando se activa la app de contenedor de Sophossin tener contacto con el servidor dentro del

Última conexión al servidor

periodo de tiempo definido, se mostrará unapantalla de bloqueo. Los usuarios puededesbloquear la app pulsando Reintentar en lapantalla de bloqueo. Entonces, la app intentaráconectarse al servidor. Si la conexión se puedeestablecer, la app se desbloquea. En casocontrario, se deniega el acceso.

En acceso La conexión al servidor se requieresiempre y la app se bloquea cuando no sepuede alcanzar el servidor.

1 hora: La conexión al servidor se requierecuando la app se activa una hora o más trasla última conexión realizada correctamente conel servidor.

3 horas

6 horas

12 horas

1 día

3 días

1 semana

ninguna: No se requiere un contacto regular.

En este campo se define cuántas veces losusuarios pueden ejecutar las apps de contenedorde Sophos sin una conexión con el servidor.

Nota: esta opción requiere que la función decontraseña del contenedor de Sophos estéactivada.

Arranques offline sin conexión al servidor

Cada vez que el usuario introduzca la contraseñadel contenedor de Sophos se incrementa uncontador. Si el contador supera un númerodefinido, se mostrará la misma pantalla de bloqueoque para la opción Última conexión al servidor.El contador se restablece en cuanto se produceuna conexión al servidor de Sophos Mobile.

Ilimitado No se requiere ninguna conexión.

99



0: No es posible ejecutar la app sin que hayauna conexión al servidor.

1: Una vez ejecutada la aplicación una vez serequiere una conexión al servidor.

3

5

10

20

Se permite ejecutar apps de contenedor endispositivos con acceso a raíz.

Acceso a raíz permitido

Restricciones de uso de apps

Aquí se pueden definir limitaciones de uso para las apps de contenedor Sophos. Haga clic en Añadirpara introducir restricciones.

Permite añadir coordenadas de latitud y longitudy un radio dentro del que las apps de contenedorde Sophos se pueden usar.

Barrera geográfica

Permite añadir una hora de inicio y una hora finaldentro de las cuales las apps de contenedor de

Barrera de tiempo

Sophos se pueden usar. También se puedendefinir los días de la semana en los que se puedenusar las apps.

Permite definir las redes Wi-Fi a las que eldispositivo debe estar conectado para poder usarlas apps de contenedor de Sophos.

El dispositivo debe estar conectado a una de lasredes enumeradas. Poder ver una red en particularen la lista de redes disponibles no es suficiente.

Importante: recomendamos que no utilice unabarrera Wi-Fi como único mecanismo de seguridad

Barrera Wi-Fi

porque los nombres de Wi-Fi pueden falsificarsemuy fácilmente.

13.13.2 Configuración Correo electrónico corporativo (política de contenedorde Sophos en Android)Con la configuración Correo electrónico corporativo, se definen las opciones deconfiguración de usuario para su servidor de Microsoft Exchange. Estas opciones se aplicana la app Sophos Secure Email si está instalada en el contenedor de Sophos.

100








Usuario





La dirección de correo electrónico que se usarácomo la dirección de correo electrónico de"contacto de soporte".

Correo electrónico de contacto de soporte

Los usuarios pueden exportar los contactos deExchange con un número de teléfono a la lista de

Exportar contactos a dispositivo

contactos local del dispositivo para identificar loscontactos de la empresa durante llamadasentrantes.

Sophos Secure Email mantiene la informaciónsincronizada.

Nota: la información de contacto local se eliminaautomáticamente en las siguientes situaciones:

Cuando se quita la configuración Correoelectrónico corporativo de la política decontenedor de Sophos (requiere reiniciar laapp Secure Email).

Cuando el contenedor de Sophos se quita deldispositivo.

Cuando se anula la inscripción del dispositivoen Sophos Mobile.

Seleccione la cantidad de información mostradaen las notificaciones de correo electrónico.

Este ajuste también afecta a los recordatorios deeventos. Si selecciona Ninguna notificación, los

Detalles de notificaciones

recordatorios de eventos se desactivan. Siselecciona cualquier otro valor, los recordatoriosde eventos se activan e incluyen la hora, el lugary el título.

Los usuarios no pueden copiar o cortar textos enla app Sophos Secure Email.

Denegar copiar al portapapeles

101



Los usuarios no pueden hacer capturas de pantallade la app Sophos Secure Email.

Denegar capturas de pantalla

Los mensajes de correo electrónico que sean másgrandes que el tamaño que seleccione (incluyendo

Tamaño máximo de correo electrónico

adjuntos) no se descargan del servidor deExchange.

Los usuarios pueden ver o compartir archivosadjuntos de correo electrónico.

Permitir ver/compartir

Seleccione si los archivos adjuntos se pueden veren todas las apps o solo en las apps de contenedor

Ver adjuntos

de Sophos Sophos Secure Workspace y SophosSecure Email.

Seleccione si los archivos adjuntos se puedencompartir con todas las apps o solo con las apps

Compartir adjuntos

de contenedor de Sophos Sophos SecureWorkspace y Sophos Secure Email.

Haga clic en Opciones avanzadas para configurarlas funciones que pueda requerir una versión futurade la app Sophos Secure Email.

Importante: configure estas opciones solo si selo indica el equipo de soporte de Sophos.

Opciones avanzadas

13.13.3 Configuración Documentos corporativos (política de contenedor deSophos en Android)Con la configuración Documentos corporativos, se definen las opciones de configuraciónde la función Documentos corporativos de la app Sophos Secure Workspace.

Configurar proveedores de almacenamiento

Puede definir para cada proveedor de almacenamiento las siguientes opciones por separado:


El proveedor de almacenamiento está disponibleen la app.

Activar

Los usuarios pueden añadir archivos desde elproveedor de almacenamiento a la lista deFavoritos de la app para uso sin conexión.

Offline

102



Los usuarios pueden compartir archivos cifradoscon otras apps mediante la opción Abrir en.

Abrir en (cifrado)

Los usuarios pueden compartir archivos sin cifrarcon otras apps mediante la opción Abrir en.

Abrir en (no cifrado)

Los usuarios pueden copiar partes de undocumento y pegarlos en otras aplicaciones.

Portapapeles

Opciones de proveedores de empresas

Para el proveedor WebDAV, también llamado proveedor de empresas, puede definir laconfiguración del servidor y las credenciales de inicio de sesión de forma centralizada. Estasno pueden ser cambiadas por los usuarios.

Las opciones de configuración de las credenciales que no defina de forma centralizada puedenser seleccionadas por los usuarios en las pantallas de credenciales de los proveedores dela app.

P. ej., puede definir centralmente el servidor y la cuenta de usuario que debe usarse, peropuede dejar el campo de contraseña sin definir. Entonces los usuarios deben conocer lacontraseña para acceder al proveedor de almacenamiento.


El nombre del proveedor que se muestra en la appSophos Secure Workspace.

Nombre

En este campo introduzca:Servidor

La URL de la carpeta raíz en el servidorWebDAV de Documentos corporativos.

La URL de la carpeta raíz en el servidorWebDAV.

Utilice el formato siguiente:https://server.company.com

Solo es compatible el protocolo https.

El nombre de usuario para el servidor pertinente.También se puede usar la variable%_USERNAME_%.

Nombre de usuario

La contraseña para la cuenta pertinente.Contraseña

La carpeta de carga para la cuenta pertinente.Carpeta de carga

103


Otra configuración


Esta opción activa la función Documentos paradistribuir documentos empresariales de formasegura.

Activar documentos

La complejidad mínima necesaria de las frases decontraseña para las claves de cifrado. En cualquier

Complejidad de frase de contraseña

caso se permitirán siempre frases de contraseñamás seguras.

Puede seleccionar las opciones siguientes:





Los usuarios no pueden hacer capturas de pantallade la app Sophos Secure Workspace.


13.13.4 Configuración Navegador corporativo (política de contenedor deSophos en Android)Con la configuración Navegador corporativo, se definen las opciones de configuración dela función Navegador corporativo de la app Sophos Secure Workspace.

El Navegador corporativo permite acceder de forma segura a las páginas de la intranet dela empresa u otras páginas permitidas. Se pueden definir dominios y marcadores dentro deun dominio.

Cada marcador pertenece a un dominio determinado. Al añadir un marcador, la entrada dedominio se crea automáticamente si no existe.

Configuración general


Los usuarios no pueden hacer capturas de pantallade la app Sophos Secure Workspace.


104


Opciones del dominio


El dominio que desea permitir.URL

Los usuarios pueden copiar y pegar texto desdeel Navegador corporativo a otras apps.

Permitir copiar y pegar

Los usuarios puede descargar adjuntos y pasarlosa otras apps.

Permitir abrir con

Los usuarios pueden guardar sus contraseñas enel Navegador corporativo.

Permitir guardar contraseña

Opciones del marcador


El nombre del marcador.Nombre

La dirección web del marcador.URL

13.13.5 Configuración Certificado de cliente (política de contenedor de Sophosen Android)Con la configuración Certificado de cliente, se instala un certificado de cliente en losdispositivos. Este certificado estará disponible para las apps Sophos Secure Email y SophosSecure Workspace si están instaladas en el contenedor de Sophos.



13.13.6 Configuración Certificado raíz (política de contenedor de Sophos enAndroid)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos. Estecertificado estará disponible para las apps Sophos Secure Email y Sophos Secure Workspacesi están instaladas en el contenedor de Sophos.

105




13.13.7 Configuración SCEP (política de contenedor de Sophos en Android)Con la configuración SCEP, se permite que los dispositivos soliciten certificados de unaautoridad de certificación (CA) usando el protocolo de inscripción de certificados simple(SCEP). Estos certificados están disponibles para la app Sophos Secure Workspace si estáinstalada en el contenedor de Sophos.





URL




Nombre de alias




Sujeto


Por ejemplo:




106










Desafío




Certificado raíz



Tamaño de clave




Usar para cifrado

13.14 Configuraciones para políticas de Mobile SecurityCon una política de Mobile Security, se configuran las opciones relacionadas con la appSophos Mobile Security.

Para obtener información detallada sobre las políticas de Mobile Security, consulte estosapartados:

Configurar opciones de antivirus para Sophos Mobile Security en la página 218Configurar opciones de filtrado web para Sophos Mobile Security en la página 220

13.15 Configuraciones para perfiles de contenedor KnoxCon un perfil de contenedor Knox, se configuran las opciones relacionadas con el contenedorKnox de los dispositivos Samsung.

107


Para obtener información sobre cómo crear un perfil de contenedor Knox, consulte Crearperfiles o políticas en la página 61.

13.15.1 Configuración Políticas de contraseña (perfil de contenedor Knox)Con la configuración Políticas de contraseña, se definen los requisitos mínimos para elcontenedor Knox de dispositivos Samsung.


Tipo de contraseña










PIN o contraseña








108





El tiempo que puede estar sin usarse el contenedorKnox antes de bloquearlo. El contenedor se puededesbloquear introduciendo la contraseña.





El número máximo de intentos fallidos paraintroducir la contraseña correcta antes de que seborre el contenedor Knox.

















109





Autenticación biométrica


Si el dispositivo es compatible, el usuario puede utilizarla autenticación de huella digital para desbloquear elcontenedor Knox.


Si el dispositivo es compatible, el usuario puede utilizarla autenticación de iris para desbloquear el contenedorKnox.

Permitir autenticación de iris

13.15.2 Configuración Restricciones (perfil de contenedor Knox)


Los usuarios pueden realizar capturas de pantalla de lasapps dentro del contenedor Samsung Knox.


Las apps dentro del contenedor Samsung Knox puedenacceder a la cámara.

Permitir cámara

Los usuarios pueden copiar cualquier contenido alportapapeles.

Permitir portapapeles

Se activa la función Compartir por que utilizandeterminadas apps.

Permitir "Compartir por"

Las apps dentro del contenedor Samsung Knox puedenacceder al micrófono.

Permitir micrófono

Los usuarios deben utilizar el teclado seguro.Imponer el uso de teclado seguro

Los usuarios pueden añadir cuentas de correo electrónicomás allá de las cuentas configuradas por un perfil deSophos Mobile.

Permitir añadir cuentas de correoelectrónico nuevas

Las apps privadas pueden acceder a los datos desdedentro del contenedor Samsung Knox.

Permitir exportación de datos

110



Los archivos privados pueden copiarse o moverse alcontenedor Samsung Knox.

Permitir la copia de archivos en elcontenedor

Las apps dentro del contenedor Samsung Knox puedenusar conexiones Bluetooth.

Permitir Bluetooth

Las apps dentro del contenedor Samsung Knox puedenusar conexiones NFC (comunicación de campo cercano).

Permitir NFC

Puede configurar Apps permitidas o bien Appsprohibidas. Seleccione la opción deseada en la primera


lista y seleccione el grupo de apps que contiene las appspermitidas o prohibidas en la segunda lista.

Las instalaciones de apps iniciadas por el servidor deSophos Mobile no están restringidas por estaconfiguración.

Para información sobre cómo crear grupos de apps,consulte Grupos de apps en la página 191.

13.15.3 Configuración Exchange ActiveSync (perfil de contenedor Knox)









Usuario






Remitente

111





Contraseña








SSL

La cuenta se usa como la cuenta de correoelectrónico predeterminada.

Cuenta predeterminada



Permitir reenviar correos electrónicos.Permitir reenviar correos electrónicos

Permitir el uso de formato HTML en los correoselectrónicos.

Permitir usar formato HTML

El tamaño máximo de un solo mensaje de correoelectrónico (1, 3, 5, 10, Ilimitado).

Tamaño máximo de adjuntos en MB


13.16 Configuraciones para políticas de Android ThingsCon una política de Android Things, se configuran varios aspectos de los dispositivos AndroidThings. Actualmente, solo se admiten opciones de Wi-Fi.

Para obtener información sobre cómo crear una política de Android Things, consulte Crearperfiles o políticas en la página 61.

13.16.1 Configuración Wi-Fi (política de Android Things)Con la configuración Wi-Fi, se especifican las opciones de configuración para la conexión aredes Wi-Fi.

112





Ninguno

WEP

WPA/WPA2

Si se selecciona WEP o WPA/WPA2, se mostraráel campo Contraseña. Introduzca la contraseñacorrespondiente.

13.17 Configuraciones para perfiles de dispositivos iOSCon un perfil de dispositivo iOS, se configuran varios aspectos de los dispositivos iOS, comopolíticas de contraseñas, restricciones y configuración Wi-Fi.

Para obtener información sobre cómo crear un perfil de dispositivo, consulte Crear perfileso políticas en la página 61.

13.17.1 Configuración Políticas de contraseña (perfil de dispositivo iOS)Con la configuración Políticas de contraseña, se definen reglas de contraseñas para losdispositivos.


Los usuarios pueden usar caracteres secuencialeso repetidos en su contraseña, p. ej., 1111 oabcde.

Permitir valor sencillo

Las contraseñas deben contener al menos unaletra o número.

Requerir valor alfanumérico

Especifica el número mínimo de caracteres quedebe contener la contraseña.


Especifica el número mínimo de caracteres noalfanuméricos que debe contener la contraseña(p. ej. & o !).

Número mínimo de caracteres complejos



En este campo puede especificar el valor máximoque el usuario puede configurar en el dispositivo.

Autobloqueo máximo (en minutos)

Autobloqueo especifica en minutos el tiempo que

113



puede estar sin usarse el dispositivo antes debloquearlo.

En este campo puede especificar el número decontraseñas antiguas que se pueden recordar y

Historial de contraseña

comparar con nuevas contraseñas. Cuando elusuario defina una nueva contraseña, no seaceptará si coincide con una contraseña que yase ha usado. Rango de valores: 1 a 50 o 0 (sinhistorial de contraseñas).

En este campo puede especificar el valor máximoque el usuario puede configurar en el dispositivo.

Periodo de gracia máximo para bloqueo dedispositivo

El periodo de gracia para el bloqueo de dispositivoespecifica el intervalo durante el cual se puededesbloquear el dispositivo sin que se solicite lacontraseña. Si selecciona Ninguno, el usuariopuede seleccionar cualquiera de los intervalosdisponibles. Si selecciona Inmediato, los usuariosdeben introducir una contraseña cada vez quequiera desbloquear su dispositivo.

En este campo puede especificar el númeromáximo de intentos fallidos para introducir la

Número máximo de intentos fallidos antes deborrar el dispositivo

contraseña correcta antes de que se borre eldispositivo. Tras seis intentos fallidos se imponeun periodo de espera antes de que se puedaintroducir la contraseña de nuevo. El periodo deespera aumentará cada vez que tenga lugar unintento fallido. Tras el último intento fallido, todoslos datos y la configuración se eliminan de formasegura del dispositivo. El periodo de esperacomienza tras el sexto intento. De modo que sise ajusta este valor en 6 o menos, no se imponeningún periodo de espera y el dispositivo se borracuando se supera el límite de intentos.

13.17.2 Configuración Restricciones (perfil de dispositivo iOS)Con la configuración Restricciones, se definen restricciones para los dispositivos.

Dispositivo


Si la casilla está desactivada, el App Store no estádisponible y su icono se elimina de la pantalla de inicio.

Permitir instalación de apps

Los usuarios no pueden instalar ni actualizar apps desdeApp Store, iTunes o Apple Configurator.

114



Si la casilla está desactivada, el App Store no estádisponible y su icono se elimina de la pantalla de inicio.

Permitir instalación de apps desde IU dedispositivos

Los usuarios pueden seguir instalando o actualizandoapps desde iTunes o Apple Configurator.

Si la casilla está desactivada, la cámara no estádisponible y el icono de cámara se elimina de la pantalla

Permitir usar cámara

de inicio. Los usuarios no pueden hacer fotografías,grabar vídeos ni usar FaceTime.

Los usuarios pueden realizar o recibir videollamadas conFaceTime.

Permitir FaceTime

Los usuarios pueden realizar capturas de pantalla.Permitir captura de pantalla

Si la casilla está desactivada, los dispositivos enitinerancia solo se sincronizarán cuando el usuario accedea una cuenta.

Permitir sincronización automática enitinerancia

Si la casilla está desactivada, los usuarios no puedenusar Siri, comandos de voz ni la función de dictado.

Permitir Siri

Si la casilla está desactivada, los usuarios debendesbloquear sus dispositivos introduciendo su contraseñaantes de usar Siri.

Permitir Siri con el dispositivo bloqueado

Si la casilla está desactivada, Siri no solicita contenidode la web.

Permitir a Siri solicitar contenido de laweb

Si la casilla está desactivada, no se impone el filtro delenguaje explícito en Siri en el dispositivo.

Imponer filtro de lenguaje explícito enSiri

si la casilla está desactivada, los usuarios no puedenmarcar con comandos de voz cuando el dispositivo estábloqueado por contraseña.

Nota: si el usuario no ha configurado una contraseña dedispositivo, la marcación por voz se permite siempre.

Permitir marcación por voz con eldispositivo bloqueado

Las notificaciones de Passbook se muestran cuando eldispositivo está bloqueado.

Permitir Passbook con el dispositivobloqueado

Los usuarios pueden realizar compras ofrecidas dentrode las apps.

Permitir compras en apps

Los usuarios deben introducir la contraseña de su ID deApple para cualquier compra.

Si la casilla está desactivada, existe un breve periodo degracia durante el cual los usuarios pueden realizar

Obligar al usuario a introducir lacontraseña de la tienda para todas lascompras

115



compras posteriores sin tener que volver a introducir sucontraseña.

Los usuarios pueden jugar juegos multijugador en GameCenter.

Permitir multijugador

Si la casilla está desactivada, Game Center no estádisponible.

Permitir Game Center

Los usuarios pueden añadir amigos a Game Center.Permitir añadir amigos a Game Center

Si la casilla está desactivada, la opción de poder realizarcambios en la app Buscar a mis amigos no estádisponible.

Permitir modificar Buscar a mis Amigos

Si la casilla está desactivada, se desactiva elemparejamiento de host excepto el host de supervisión.

Permitir emparejamiento de host

Si no hay configurado ningún certificado de host desupervisión, quedan desactivados todos losemparejamientos.

Si la casilla está desactivada, los usuarios no puedenemparejar el dispositivo con un Apple Watch. CualquierApple Watch emparejado actualmente se desempareja.

Permitir emparejamiento con AppleWatch

Se activa la opción de compartir contenidos medianteAirDrop.

Permitir AirDrop

Si la casilla está desactivada, el centro de control no estádisponible cuando la pantalla del dispositivo estábloqueada.

Permitir centro de control en pantalla debloqueo

Si la casilla está desactivada, el centro de notificacionesno está disponible cuando la pantalla del dispositivo estábloqueada.

Permitir centro de mensajes en pantallade bloqueo

Si la casilla está desactivada, la vista de hoy no estádisponible cuando la pantalla del dispositivo estábloqueada.

Permitir vista de hoy en pantalla debloqueo

La app de noticias está disponible.Permitir noticias

Se permiten las actualizaciones de PKI medianteconexiones inalámbricas.

Permitir actualizaciones de PKI medianteconexiones inalámbricas

Los usuarios pueden comprar libros en iBooks.Permitir iBooks Store

Si la casilla está desactivada, se bloquea el contenidosexual explícito a través de iBooks Store.

Permitir contenido sexual explícito eniBooks Store

116



Los usuarios pueden instalar perfiles de configuración.Permitir a usuarios instalar archivos deconfiguración

Los usuarios pueden usar iMessage para enviar o recibirmensajes de texto.

Permitir iMessage

Los usuarios pueden eliminar apps del dispositivo.Permitir eliminar app

Si la casilla está desactivada, la opción Eliminar todo elcontenido y configuración en la interfaz derestablecimiento no está disponible.

Permitir eliminar todo el contenido yconfiguración

Si la casilla está desactivada, Spotlight no devuelveresultados de búsqueda de Internet.

Permitir resultados de búsqueda enInternet para Spotlight

Si la casilla está desactivada, la opción Permitirrestricciones en la interfaz de restablecimiento no estádisponible.

Permitir activar opción de restricciones

Los usuarios pueden utilizar la función Handoff deContinuidad de Apple. Con Handoff, los usuarios pueden

Permitir Handoff

empezar a trabajar en un documento, correo electrónicoo mensaje en un dispositivo y continuar desde otro.

Los usuarios pueden cambiar el nombre del dispositivo.Permitir modificación de nombres dedispositivos

Los usuarios pueden cambiar el fondo de pantalla.Permitir modificación de fondo depantalla

Los usuarios pueden usar accesos directos de teclado.Permitir accesos directos de teclado

Los usuarios pueden activar el dictado en las opcionesdel teclado.

Permitir dictado para el teclado

Si la casilla está desactivada, se desactiva la descargaautomática de apps adquiridas en otros dispositivos. Estono afecta a las actualizaciones de las apps existentes.

Permitir descarga de apps automática

Los usuarios pueden acceder a la biblioteca de AppleMusic.

Permitir Apple Music

Los usuarios pueden acceder a Apple Music Radio.Permitir Apple Music Radio

Los usuarios pueden modificar la configuración deBluetooth.

Permitir modificación de la configuraciónde Bluetooth

117


Datos corporativos


Esta opción restringe el acceso a documentos a soloapps o cuentas administradas por Sophos Mobile, p. ej.,una cuenta de correo electrónico de empresa.

Si los usuarios tienen una cuenta de correo electrónicoadministrada por Sophos Mobile y apps administradas

Permitir compartir documentos solo conapps/cuentas administradas

por Sophos Mobile en sus dispositivos, los adjuntos dela cuenta de correo electrónico administrada solo puedenabrirse con apps administradas.

De esta forma se puede evitar que documentoscorporativos puedan abrirse en apps no administradas.

Esta opción restringe el acceso a documentos a soloapps o cuentas no administradas por Sophos Mobile, p.ej., una cuenta de correo electrónico personal.

Si los usuarios tienen una cuenta de correo electrónicoy apps no administradas por Sophos Mobile en sus

Permitir compartir documentos solo conapps/cuentas no administradas

dispositivos, los adjuntos de la cuenta de correoelectrónico no administrada solo pueden abrirse con appsno administradas.

De esta forma se puede evitar que documentos privadospuedan abrirse en apps administradas.

AirDrop se considera un destino de colocación noadministrado.

Forzar uso de documentos de AirDropcomo documentos no administrados

Las apps administradas pueden utilizar la sincronizaciónde iCloud.

Permitir a las apps administradassincronizarse con iCloud

Se realizan copias de seguridad de los libros de empresa.Permitir copia de seguridad para librosde empresa

Se sincronizan las notas y los subrayados de los librosde empresa.

Permitir sincronización de notas ysubrayados de libros de empresa

Aplicaciones


Si la casilla está desactivada, el iTunes Store no estádisponible y su icono se elimina de la pantalla de inicio.

Permitir usar iTunes Store

118



Los usuarios no pueden previsualizar, comprar nidescargar contenido.

Si la casilla está desactivada, el navegador web Safarino está disponible y su icono se elimina de la pantalla de

Permitir el uso de Safari

inicio. Esto también impide que los usuarios puedan abrirClips web.

Si la casilla está desactivada, Safari no autocompletaformularios web con información introducidaanteriormente.

Activar autocompletar

El ajuste de seguridad de Safari para avisar al usuariocuando visita un sitio web sospechoso de suplantar laidentidad siempre está activado.

Imponer advertencias sobre fraudes

Se activa el bloqueador de elementos emergentes deSafari.

Bloquear elementos emergentes

Los sitios web pueden ejecutar código JavaScript en eldispositivo.

Permitir JavaScript en el navegador

En este campo se define si Safari acepta cookies.

Al permitir cookies, se puede definir si se aceptan cookiessolo del sitio actual, de sitios visitados previamente o detodos los sitios.

Aceptar cookies

Los usuarios pueden modificar el uso de datos móvilespor app.

Permitir modificar uso de datos móvilespor app

Puede especificar Apps permitidas o Apps prohibidas.Seleccione la opción deseada en la primera lista y


seleccione el grupo de apps que contiene las appspermitidas o prohibidas en la segunda lista. Parainformación sobre cómo crear grupos de apps, consulteGrupos de apps en la página 191.

iCloud


Los usuarios pueden hacer copias de seguridad de susdispositivos en iCloud.

Permitir copia de seguridad

Los usuarios pueden guardar documentos en iCloud.Permitir sincronización de documentos

119



si la casilla está desactivada, los usuarios no puedenactivar Photo Stream.

Nota: si restringe Photo Stream, esto también eliminalas fotos existentes de Photo Stream en los dispositivos.

Permitir Photo Stream

Si no hay más copias de estas fotografías, estas seperderán.

Los usuarios pueden utilizar la biblioteca de fotos deiCloud.

Permitir biblioteca de fotos de iCloud

Los usuarios pueden invitar a otros para que vean susstreams de fotografías y ver los que compartan otrosusuarios.

Permitir streams compartidos defotografías

La función de llavero de iCloud para sincronizarcontraseñas en distintos dispositivos iOS y macOS estádisponible.

Permitir sincronización de llavero iCloud

Seguridad y privacidad


Si la casilla está desactivada, la información dediagnóstico de iOS no se envía a Apple.

Permitir enviar datos de diagnóstico aApple

Si la casilla está desactivada, no se pregunta a losusuarios si quieren confiar en certificados que no sepuedan verificar.

Esta opción aplica a Safari, contactos de correo y cuentasdel calendario.

Permitir a usuarios aceptar certificadosTLS no fiables

Las apps empresariales se consideran de confianza.Confiar en apps empresariales

Los usuarios pueden añadir, cambiar o eliminar lacontraseña del dispositivo.

Permitir modificación de contraseñas

Si la casilla está desactivada, los usuarios no puedenmodificar cuentas. El menú Cuentas está disponible.

Permitir modificar cuenta

Si la casilla está desactivada, el dispositivo no se puededesbloquear con Touch ID.

Permitir desbloquear dispositivo conTouch ID

No se proporcionan datos de usuario anónimos del usode apps para publicidad dirigida.

Imponer limitar seguimiento

120



Los usuarios deben cifrar las copias de seguridad eniTunes.

Imponer copias de seguridad cifradas

Los dispositivos solo pueden conectarse a redes Wi-Fique hayan sido configuradas por un perfil de SophosMobile.

Imponer redes Wi-Fi configuradas

Clasificación de contenido


Si la casilla está desactivada, el contenido con música ovídeo explícitos se oculta en el iTunes Store. El contenido

Permitir música y podcasts explícitos

explícito es señalado por los proveedores de contenidos,p. ej., discográficas, en las listas de iTunes Store.

13.17.3 Configuración Itinerancia/punto de acceso (perfil de dispositivo iOS)Con la configuración Itinerancia/punto de acceso, se definen las opciones de configuraciónde la itinerancia y puntos de acceso personales.

Nota: los usuarios pueden cambiar estas opciones siempre que deseen.


La itinerancia de voz está disponible.Activar itinerancia de voz

La itinerancia de datos está disponible.Activar itinerancia de datos

El usuario puede configurar el dispositivo para queactúe como punto de acceso personal.

Activar punto de acceso personal

13.17.4 Configuración Exchange ActiveSync (perfil de dispositivo iOS)Con la configuración Exchange ActiveSync, se definen las opciones de configuración deusuario para su servidor de Microsoft Exchange.



121









Usuario






Contraseña






SSL

Los usuarios pueden mover correos electrónicos deesta cuenta a otra. Esto también permite que los

Permitir mover

usuarios puedan usar una cuenta distinta paracontestar o reenviar un mensaje desde esta cuenta.

La cuenta se incluye en la sincronización dedirecciones usadas recientemente con otrosdispositivos que usen iCloud.

Permitir sincronización de direccionesrecientes

La cuenta solo se puede usar para enviar mensajesdesde la app de correo. No se puede seleccionar

Solo usar en correo

como una cuenta de envío para mensajes creadoscon otras apps, p. ej., Fotos o Safari.

Seleccione el certificado de identidad para laconexión a ActiveSync.

La lista incluye todos los certificados de lasconfiguraciones Certificado de cliente del perfilactual.

Certificado de identidad

122



Compatibilidad con el estándar de cifrado S/MIMEActivar S/MIME

Los certificados usados para la firma y el cifrado decorreos electrónicos.

Para seleccionar un certificado debe primerocargarlo en una configuración de Certificado decliente del perfil actual.

Certificado de firma

Certificado de cifrado

Para cada correo saliente, el usuario podrá elegirentre cifrarlo o no.

Permitir al usuario enviar correo electrónicosin cifrar

13.17.5 Configuración Wi-Fi (perfil de dispositivo iOS)Con la configuración Wi-Fi, se especifican las opciones de configuración para la conexión aredes Wi-Fi.



Conectar automáticamente con la red deseada.Conectar automáticamente

La red deseada no es de tipo abierto o no está visible.Red oculta


Ninguno

WEP (personal)

WPA/WPA2 (personal)

Cualquiera (personal)

WEP (empresa)

WPA/WPA2 (empresa)

Cualquiera (empresa)

Si selecciona un tipo con personal en su nombre, semuestra un campo de Contraseña. Introduzca lacontraseña correspondiente.

Si se si selecciona un tipo con empresa en su nombre,se muestran las fichas Protocolos, Autenticación yConfianza.

En la ficha Protocolos configure lo siguiente:

En Tipos EAP aceptados, especifique los métodosEAP utilizados para la autenticación. Dependiendode los tipos seleccionados en esta ficha, semuestran los valores en el campo Identidad internade esta ficha para seleccionarlos.

123



Configure en EAP-FAST las opciones de lascredenciales de acceso protegido EAP-FAST.

En la ficha Autenticación, configure las opciones deautenticación del cliente:

Introduzca en el campo Usuario el nombre deusuario para la conexión a la red Wi-Fi.

Seleccione Requerir contraseña en cadaconexión, si la contraseña se debe solicitar paracada conexión y transferir con la autenticación.

Introduzca en el campo Contraseña la contraseñacorrespondiente.

En la lista Certificado de identidad, seleccione elcertificado para la conexión a la red Wi-Fi.

Nota: el certificado que deba usarse debeespecificarse en una configuración de Certificadode cliente.

Introduzca en el campo Identidad externa el IDvisible externamente (para TTLS, PEAP yEAP-FAST).

En la ficha Confianza, configure las opciones deautenticación del servidor:

Seleccione los certificados de confianza en la lista.

Nota: debe especificar los certificados en unaconfiguración Certificado raíz.

En esta lista, seleccione las opciones de configuraciónde proxy para la conexión Wi-Fi:

Proxy

Ninguno

Manualmente

Automático

Al seleccionar Manualmente, se muestran los camposServidor y puerto, Autenticación y Contraseña.Introduzca la información de proxy necesaria. Alseleccionar Automático, se muestra el campo URLde servidor proxy. Introduzca la URL del servidorproxy.

13.17.6 Configuración VPN (perfil de dispositivo iOS)Con la configuración VPN, se definen las opciones de configuración VPN para las conexionesde red.

124



El nombre de la conexión mostrada en eldispositivo.

Nombre de conexión


Cisco AnyConnect

Cisco Legacy AnyConnect

IPsec (Cisco)

F5

Check Point

SSL personalizado

En la página VPN se muestran distintos camposen función del tipo de conexión que seleccione.

El identificador personalizado en formato DNSinverso.

Identificador (formato DNS inverso)


La cuenta de usuario para la autenticación de laconexión.

Cuenta

Si su proveedor ha especificado propiedades deconexión personalizadas, puede introducirlas eneste campo.

Para especificar una propiedad, haga clic enAñadir y, a continuación, indique la Clave y elValor de la propiedad en el cuadro de diálogo.

Datos personalizados

Todo el tráfico se envía por VPN.Enviar todo el tráfico por VPN

El grupo que puede ser necesario para laautenticación de la conexión.

Grupo

El tipo de autenticación de usuario para laconexión:

Autenticación de usuarios

Contraseña

Al seleccionar esta opción, el campoContraseña se muestra a continuación delcampo Autenticación de usuario. Introduzcala contraseña de autenticación.

Certificado

Al seleccionar esta opción, el campoCertificado se muestra a continuación delcampo Autenticación de usuario. Seleccioneun certificado.

125



El tipo de autenticación del dispositivo:Autenticación de dispositivo

Claves (secreto compartido)/Nombre degrupo

Al seleccionar esta opción, los campos Nombrede grupo, Claves (secreto compartido), Usarautenticación híbrida y Solicitar contraseñase muestran a continuación del campoAutenticación de dispositivo. Introduzca lainformación de autenticación necesaria en loscampos Nombre de grupo y Claves (secretocompartido). Seleccione Usar autenticaciónhíbrida y Solicitar contraseña según seanecesario.

Certificado

Al seleccionar esta opción, los camposCertificado e Incluir PIN de usuario semuestran a continuación del campoAutenticación de dispositivo. En la listaCertificado, seleccione el certificado necesario.Seleccione Incluir PIN de usuario para incluirel PIN de usuario en la autenticación deldispositivo.

Las opciones de configuración de proxy para laconexión:

Proxy

Ninguno

Manualmente

Al seleccionar esta opción, se muestran loscampos Servidor y puerto, Autenticación yContraseña. Introduzca en el campo Servidory puerto la dirección válida y el puerto delservidor proxy. Introduzca en el campoAutenticación el nombre de usuario para laconexión al servidor proxy. Introduzca en elcampo Contraseña la contraseña para laconexión al servidor proxy.

Automático

Al seleccionar esta opción, se muestra el campoURL de servidor proxy. Introduzca en estecampo la URL del servidor con la configuracióndel proxy.

El tipo de conexión VPN.Tipo de proveedor

Proxy de app: El tráfico de la red se envía através de un túnel VPN a nivel de la aplicación.

Túnel de paquetes: El tráfico de la red se envíaa través de un túnel VPN a nivel de la red.

126


13.17.7 Configuración VPN por app (perfil de dispositivo iOS)Con la configuración VPN por app, se definen las opciones de configuración VPN para appsindividuales.

Puede configurar las apps para que se conecten automáticamente a VPN al iniciarse. Deeste modo, p. ej., es posible asegurar que los datos transmitidos por apps administradasutilicen VPN.

Una vez configuradas las configuraciones VPN por app, puede seleccionar una configuraciónen la página Editar paquete de una app. Consulte Configurar VPN por app y opciones paraapps iOS en la página 189.


El nombre de la conexión mostrada en eldispositivo.

Nombre de conexión


Cisco AnyConnect

Cisco Legacy AnyConnect

F5

Check Point

SSL personalizado

En la página VPN se muestran distintos camposen función del tipo de conexión que seleccione.

El identificador personalizado en formato DNSinverso.

Identificador (formato DNS inverso)


La cuenta de usuario para la autenticación de laconexión.

Cuenta

Si su proveedor ha especificado propiedades deconexión personalizadas, puede introducirlas eneste campo.

Para especificar una propiedad, haga clic enAñadir y, a continuación, indique la Clave y elValor de la propiedad en el cuadro de diálogo.

Datos personalizados

Todo el tráfico se envía por VPN.Enviar todo el tráfico por VPN

El grupo que puede ser necesario para laautenticación de la conexión.

Grupo

El tipo de autenticación de usuario para laconexión:

Autenticación de usuarios

Contraseña

127



Al seleccionar esta opción, el campoContraseña se muestra a continuación delcampo Autenticación de usuario. Introduzcala contraseña de autenticación.

Certificado

Al seleccionar esta opción, el campoCertificado se muestra a continuación delcampo Autenticación de usuario. Seleccioneun certificado.

El tipo de autenticación del dispositivo:Autenticación de dispositivo

Claves (secreto compartido)/Nombre degrupo

Al seleccionar esta opción, los camposNombre de grupo, Claves (secretocompartido), Usar autenticación híbrida ySolicitar contraseña se muestran acontinuación del campo Autenticación dedispositivo. Introduzca la información deautenticación necesaria en los camposNombre de grupo y Claves (secretocompartido). Seleccione Usar autenticaciónhíbrida y Solicitar contraseña según seanecesario.

Certificado

Al seleccionar esta opción, los camposCertificado e Incluir PIN de usuario semuestran a continuación del campoAutenticación de dispositivo. En la listaCertificado, seleccione el certificadonecesario. Seleccione Incluir PIN de usuariopara incluir el PIN de usuario en laautenticación del dispositivo.

Las opciones de configuración de proxy para laconexión:

Proxy

Ninguno

Manualmente


Automático

128



Al seleccionar esta opción, se muestra elcampo URL de servidor proxy. Introduzca eneste campo la URL del servidor con laconfiguración del proxy.

El tipo de conexión VPN.Tipo de proveedor

Proxy de app: El tráfico de la red se envía através de un túnel VPN a nivel de la aplicación.

Túnel de paquetes: El tráfico de la red seenvía a través de un túnel VPN a nivel de lared.

En este campo, puede introducir una lista decadenas de dominio. Utilice una nueva línea paracada cadena de dominio.

Cuando un dominio que coincide con una de lascadenas de dominios se abre en Safari o en otra

Dominios de Safari

aplicación de navegador, se activa la conexiónVPN.

El comportamiento de coincidencia con reglas esel siguiente:

Los puntos al principio y al final se ignoran. Porejemplo, la cadena .example.com coincidecon los mismos dominios que la cadenaexample.com.

Cada componente de cadena debe coincidircon un componente de dominio completo. Porejemplo, la cadena example.com coincidecon el dominio www.example.com, pero nocon www.myexample.com.

Las cadenas con un único componente solocoinciden con ese dominio específico. Porejemplo, la cadena example coincide con eldominio example, pero no conwww.example.com.

13.17.8 Configuración Inicio de sesión único (perfil de dispositivo iOS)Con la configuración Inicio de sesión único, se definen las opciones de configuración deinicio de sesión único para apps de terceros.


Un nombre legible para la cuenta.Nombre

129



El nombre principal Kerberos.

Si no introduce un valor, el usuario debeespecificar el nombre durante la instalación delperfil.

Nombre principal Kerberos

El nombre de dominio Kerberos.

Debe especificarse en mayúsculas.

Dominio Kerberos

13.17.9 Configuración Modo de solo una app (perfil de dispositivo iOS)Con la configuración Modo de solo una app, se definen opciones para el modo operativoque bloquea los dispositivos a una sola app y evita que los usuarios puedan cambiar a otrasapps.


Seleccione cómo desea especificar la app para el modode solo una app:

Seleccionar origen

Lista de apps: Seleccione la app de la lista de todaslas apps iOS disponibles.

Personalizado: Introduzca manualmente el ID delpaquete de la app.

La aplicación para el modo de solo una app.

Seleccione una app de la lista o bien introduzca un ID depaquete.

Identificador de app

Los gestos de tocar no están disponibles.Desactivar pantalla táctil

La pantalla no gira.Desactivar rotación

Los botones de volumen no están disponibles.Desactivar botones de volumen

El botón de tono/silencio no está disponible.Desactivar botón de tono/silencio

El botón de encendido/apagado no está disponible.Desactivar botón de encendido/apagado

Se desactiva la función de bloqueo automático que haceque el dispositivo entre en modo suspensión tras unperíodo de inactividad.

Desactivar bloqueo automático

VoiceOver está disponible.Activar VoiceOver

La función de zoom está disponible.Activar zoom

130



La función de invertir colores está disponible.Activar invertir colores

AssistiveTouch está disponible.Activar AssistiveTouch

La función de leer selección está disponible.Activar leer selección

La función de audio mono está disponible.Activar audio mono

Los ajustes de VoiceOver están disponibles.VoiceOver

Los ajustes de zoom están disponibles.Zoom

Los ajustes de invertir colores están disponibles.Invertir colores

Los ajustes de AssistiveTouch están disponibles.AssistiveTouch

13.17.10 Configuración Clip web (perfil de dispositivo iOS)Con la configuración Clip web, se definen clips web para añadir a la pantalla de inicio de losdispositivos de los usuarios. Los clips web proporcionan un acceso rápido a las páginas web.Pero también puede añadir un clip web con el número de teléfono de soporte, p. ej., paraañadir una forma rápida de llamar al departamento de soporte.


Una descripción para el clip web.Descripción

La dirección web del clip web.URL

Si la casilla está desactivada, el usuario no puedeneliminar el clip web. No puede ser eliminado del

Se puede eliminar

dispositivo a no ser que el cliente elimine el perfilque lo instaló.

El clip web se abre a pantalla completa en eldispositivo. Un clip web a pantalla completa abrela URL como una app web.

Pantalla completa

Seleccione una imagen para usarla como iconode clip web en la pantalla de inicio. Debe ser una

Icono

imagen PNG, GIF o JPEG con un tamaño máximode 1 MB.

La imagen se recorta a un cuadrado y se escalaa la resolución de la pantalla. Recomendamos usarimágenes de 180 px por 180 px para el mejorresultado posible.

Nota: cuando hay definido un favicono en elcódigo HTML de la página web, el dispositivo

131



puede mostrar ese favicono como icono de clipweb. Esto sucede solo para determinadas páginasweb, dependiendo de cómo está configurado elfavicono en el código de la página web.

13.17.11 Configuración Fondo de pantalla (perfil de dispositivo iOS)Con la configuración Fondo de pantalla define las imágenes de fondo de la pantalla debloqueo y/o la pantalla de inicio en los dispositivos iOS.


Seleccione si la imagen se usa para la pantalla de bloqueo, lapantalla de inicio o ambas.

Aplicar a

Seleccione una imagen PNG o JPEG con un tamaño máximo de 5MB para usar como fondo de pantalla.

iOS recorta y escala la imagen según sea necesario. Serecomiendan los siguientes tamaños (en píxeles) para obtener elmejor resultado posible:

Imagen

640 × 1136 (iPhone 5)

750 × 1334 (iPhone 6/7)

1242 × 2208 (iPhone 6/7 Plus)

1536 × 2048 (iPad, iPad mini, iPad Air)

2048 × 2732 (iPad Pro)

Nota: los usuarios pueden cambiar el fondo de pantalla en cualquiermomento.

13.17.12 Configuración Nombre de punto de acceso (perfil de dispositivo iOS)Con la configuración Nombre de punto de acceso se especifica una configuración de nombrede punto de acceso (APN) para dispositivos iOS. Las configuraciones APN definen la formaen la que los dispositivos se conectan a la red del móvil.

Nota: la configuración Nombre de punto de acceso ha quedado obsoleta en favor de laconfiguración Móvil Consulte Configuración Móvil (perfil de dispositivo iOS) en la página 136.

Importante: si esta configuración no es correcta, el dispositivo no puede acceder a los datosutilizando la red móvil. Para deshacer los cambios en la configuración es necesario eliminarel perfil del dispositivo.

132



El APN que el dispositivo indica al abrir unaconexión GPRS con el operador.


APN

Nombre de usuario para punto de acceso.

Nota: iOS es compatible con nombres de usuariode APN de hasta 64 caracteres.

Nombre de usuario para punto de acceso

Contraseña para punto de acceso.

Nota: iOS es compatible con contraseñas de APNde hasta 64 caracteres.

Contraseña para puntos de acceso

La dirección y el puerto del servidor proxy.Servidor y puerto proxy

13.17.13 Configuración Filtro de contenidos web (perfil de dispositivo iOS)Con la configuración Filtro de contenidos web, se definen las URL bloqueadas y las URLpermitidas con marcadores.


Si selecciona esta casilla, puede definir una listade URL bloqueadas a las que no debe accedersedesde los dispositivos.

Haga clic en Siguiente para mostrar la páginaFiltrado de contenidos web. En esta vista puedeañadir URL individuales.

URL bloqueadas

Introduzca cada URL en una línea nueva.

Si selecciona esta casilla, puede definir las URLpermitidas con marcadores que deben añadirse

URL permitidas con marcadores

al navegador Safari en los dispositivos. Demássitios bloqueados.

Haga clic en Siguiente para mostrar la páginaFiltrado de contenidos web. Haga clic en Añadirpara añadir URL individuales como marcadores.

En la página Filtrado de contenidos web, useesto para activar un filtro de Apple que bloquea

Bloquear contenido para adultos

el contenido para adultos. Por ejemplo, páginasweb que contienen lenguaje ofensivo osexualmente explícito.

133


13.17.14 Configuración Proxy HTTP global (perfil de dispositivo iOS)Con la configuración Proxy HTTP global, se define un servidor proxy corporativo.


Seleccione las opciones de configuración de proxypara la conexión:

Proxy HTTP global

Manualmente


Automático

Al seleccionar esta opción, se muestra elcampo URL de servidor proxy. Introduzca eneste campo la URL del servidor con laconfiguración del proxy.

13.17.15 Configuración Certificado raíz (perfil de dispositivo iOS)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos.



13.17.16 Configuración Certificado de cliente (perfil de dispositivo iOS)Con la configuración Certificado de cliente, se instala un certificado de cliente en losdispositivos.



134


13.17.17 Configuración SCEP (perfil de dispositivo iOS)Con la configuración SCEP, se permite que los dispositivos soliciten certificados de unaautoridad de certificación (CA) usando el protocolo de inscripción de certificados simple(SCEP).




URL


Un nombre que es entendido por la autoridad decertificación. El nombre puede, p. ej., utilizarse paradiferenciar instancias.

Nombre de CA



Sujeto


Por ejemplo:

Introduzca CN=%_USERNAME_% para especificarun usuario.



Otra opción es configurar un nombre alternativo desujeto (SAN). Seleccione uno de los tipos de SANdisponibles.







Desafío

135




El número de reintentos si el servidor envía unarespuesta pendiente.

Reintentos

El número de segundos entre los reintentos.Retardo reintento



Tamaño de clave




Usar para cifrado

13.17.18 Configuración Dominios administrados (perfil de dispositivo iOS)Con la configuración Dominios administrados, se definen los dominios administrados paradispositivos iOS.

Cuando los dominios están administrados, los archivos descargados desde sitios webespecíficos en Safari solo pueden abrirse con apps administradas. Para obtener informaciónsobre apps administradas, consulte Apps administradas para iOS en la página 184.

Nota: si una entrada de dominio web administrada contiene un número de puerto, solo lasdirecciones que especifiquen este número de puerto se consideraran como administradas.En caso contrario, solo se considerarán como administrados los puertos estándar (puerto 80para http y 443 para https).

13.17.19 Configuración Móvil (perfil de dispositivo iOS)Con la configuración Móvil, se definen las opciones de configuración de redes móviles paralos dispositivos iOS.

Nota: no se puede instalar una configuración Móvil en un dispositivo si ya se ha instaladouna configuración Nombre de punto de acceso.


PAP

CHAP

Autenticación

136



El APN que el dispositivo indica al abrir unaconexión GPRS con el operador.


APN

Nombre de usuario para punto de acceso.

Nota: iOS es compatible con nombres de usuariode APN de hasta 64 caracteres.

Nombre de usuario para punto de acceso

Contraseña para punto de acceso.

Nota: iOS es compatible con contraseñas de APNde hasta 64 caracteres.

Contraseña para puntos de acceso

La dirección y el puerto del servidor proxy.Servidor y puerto proxy

13.17.20 Configuración CalDAV (perfil de dispositivo iOS)Con la configuración CalDAV, se configura la sincronización de datos de calendario con unservidor CalDAV. P. ej., esto puede utilizarse para sincronizar el calendario de Google conun dispositivo iOS.


El nombre mostrado de la cuenta CalDAV en el dispositivo.Nombre de cuenta

El nombre del host o la dirección IP y opcionalmente elnúmero de puerto en el servidor CalDAV.

P. ej., para el calendario de Google se debe introducir:

Host y puerto de cuenta

calendar.google.com:443

Si lo requiere el servidor CalDAV, introduzca la URL principaldel recurso de calendario.

P. ej., para sincronizar con un calendario distinto al calendarioprimario en una cuenta de Google, introduzca:

URL principal

https://apidata.googleusercontent.com/caldav/

v2/calendar_id/user

donde calendar_id es el ID del calendario con el que deseaque se produzca la sincronización. En la aplicación web delcalendario de Google, el ID del calendario se muestra en lasopciones del calendario. Consulte la ayuda del calendariode Google para más información.

137



Las credenciales para iniciar sesión en la cuenta CalDAV.

P. ej., para el calendario de Google introduzca lascredenciales de la cuenta de Google.


13.17.21 Configuración CardDAV (perfil de dispositivo iOS)Con la configuración CardDAV, se configura la sincronización de datos de contactos con unservidor CardDAV. P. ej., esto puede utilizarse para sincronizar los contactos de Google conun dispositivo iOS.


El nombre mostrado de la cuenta CardDAV en el dispositivo.Nombre de cuenta

El nombre del host o la dirección IP y opcionalmente elnúmero de puerto en el servidor CardDAV.

P. ej., para los contactos de Google se debe introducir:

Host y puerto de cuenta

google.com

Si lo requiere el servidor CardDAV, introduzca la URLprincipal del recurso de contactos.

P. ej., la API de Google CardDAV admite la siguiente URLprincipal:

URL principal

https://www.googleapis.com/carddav/ v1/principals/[email protected]

donde account_name es el nombre de cuenta de Google.

Las credenciales para iniciar sesión en la cuenta CardDAV.

P. ej., para los contactos de Google introduzca lascredenciales de la cuenta de Google.


13.17.22 Configuración IMAP/POP (perfil de dispositivo iOS)Con la configuración IMAP/POP, se añade una cuenta de correo IMAP o POP al dispositivoiOS.


El nombre mostrado de la cuenta de correo en el dispositivo.Nombre de cuenta

138



El tipo de servidor de correo electrónico para el correoentrante (ya sea IMAP o POP).

Tipo de cuenta

El nombre mostrado del usuario para el correo saliente.

Use la variable %_USERNAME_% para referirse al nombre delusuario que está asignado al dispositivo.

Nombre para mostrar del usuario


Use la variable %_EMAILADDRESS_% para referirse a ladirección de correo electrónico del usuario que está asignadoal dispositivo.


Los usuarios pueden mover correos electrónicos de estacuenta a otra. Esto también permite que los usuarios puedan

Permitir mover

usar una cuenta distinta para contestar o reenviar un mensajedesde esta cuenta.

La cuenta se incluye en la sincronización para la lista dedirecciones recientes.

Permitir sincronización dedirecciones recientes

La cuenta solo se puede usar para enviar mensajes desdela app de correo. No se puede seleccionar como una cuenta

Solo usar en correo

de envío para mensajes creados con otras apps, p. ej., Fotoso Safari.

Permitir Apple Mail Drop para esta cuenta.Permitir Mail Drop

Compatibilidad con el estándar de cifrado S/MIMEActivar S/MIME

Los certificados usados para la firma y el cifrado de correoselectrónicos.

Para seleccionar un certificado debe primero cargarlo en unaconfiguración de Certificado de cliente del perfil actual.

Certificado de firma

Certificado de cifrado

Para cada correo saliente, el usuario podrá elegir entrecifrarlo o no.

Permitir al usuario enviar correoelectrónico sin cifrar

Correo electrónico entrante

El nombre del host o la dirección IP y el número de puertodel servidor de correo entrante (servidor de entrada).

Servidor y puerto de correoelectrónico

El nombre de usuario para conexión al servidor de entrada.Nombre de usuario

El método de autenticación para conexión al servidor deentrada.

Tipo de autenticación

La contraseña para conexión al servidor de entrada (siprocede).

Contraseña

139



Usar capa de sockets seguros para transferencia de correoentrante.

SSL

Correo electrónico saliente

El nombre del host o la dirección IP y el número de puertodel servidor de correo saliente (servidor de salida).

Servidor y puerto de correoelectrónico

El nombre de usuario para conexión al servidor de salida.Nombre de usuario

El método de autenticación para conexión al servidor desalida.

Tipo de autenticación

La contraseña para conexión al servidor de salida (siprocede).

Contraseña

Usar la contraseña especificada para el correo entrante.Usar la misma contraseña que parael correo electrónico entrante

Usar capa de sockets seguros para transferencia de correosaliente.

SSL

13.17.23 Configuración Reglas de uso de red (perfil de dispositivo iOS)Con la configuración Reglas de uso de red, se especifica cómo se permite a las appsadministradas usar las redes de datos móviles.

Reglas generales

En Reglas para todas las apps administradas, especifique las opciones en general paralas apps administradas.


Las apps administradas puede usar comunicación de datosen redes móviles.

Permitir datos móviles

Las apps administradas puede usar comunicación de datoscon el dispositivo en itinerancia en una red móvil extranjera.

Permitir itinerancia de datos

Excepciones

Las excepciones anulan las reglas generales. Use Añadir excepción para definir las reglasque sean específicas de un grupo de apps.

140



Seleccione un grupo de apps que contenga las appsadministradas a las que se aplique la excepción.

Grupo de apps

Las apps administradas del grupo de apps seleccionadopueden usar comunicación de datos en redes móviles.

Permitir datos móviles

Las apps administradas del grupo de apps seleccionadopueden usar comunicación de datos con el dispositivo enitinerancia en una red móvil extranjera.

Permitir itinerancia de datos

Nota: no pueden definirse excepciones múltiples para el mismo grupo de apps.

13.18 Configuraciones para políticas de contenedor deSophos para iOSCon una política de contenedor de Sophos, se configuran las opciones relacionadas con lasapps Sophos Secure Email y Sophos Secure Workspace del contenedor de Sophos.

Para obtener información sobre cómo crear una política de contenedor de Sophos, consulteCrear perfiles o políticas en la página 61.

13.18.1 Configuración General (política de contenedor de Sophos en iOS)Con la configuración General, se definen las opciones que se aplican a todas las apps decontenedor de Sophos, si procede.


Los usuarios deben introducir una contraseñaadicional para poder iniciar una app de contenedor

Habilitar contraseña del contenedor de Sophos

de Sophos. La contraseña debe definirse cuandose inicia la primera app de contenedor una vezaplicada la configuración. Esta contraseña aplicaa todas las apps de contenedor.

La complejidad mínima necesaria de la contraseñadel contenedor de Sophos. En cualquier caso se


permitirán siempre contraseñas más seguras. Lascontraseñas (una combinación de caracteresnuméricos y alfanuméricos) se consideran siempremás seguras que un PIN (solo caracteresnuméricos).

Cualquiera: Las contraseñas del contenedorde Sophos no tienen restricciones.

PIN de 4 dígitos

PIN de 6 dígitos


141






Los caracteres de los campos de contraseña nose muestran brevemente antes de ocultarlos.

Ocultar siempre los caracteres en los camposde introducción de contraseñas

El número de días que se puede usar unacontraseña antes de que los usuarios debancambiarla.

Antigüedad de contraseña en días

El número de intentos de inicio de sesión fallidosantes de que las apps de contenedor se bloqueen.

Inicios de sesión fallidos hasta bloqueo

Una vez bloqueadas es necesario que unadministrador desbloquee las apps o, si estápermitido, que los usuarios lo hagan a través delportal de autoservicio de Sophos Central.

Los usuarios pueden desbloquear la aplicacióncon su huella digital.

Permitir huella digital

El periodo de tiempo durante el cual no esnecesario introducir ninguna contraseña del


contenedor de Sophos cuando una app decontenedor vuelve a primer plano.

El periodo de gracia aplica a todas las apps decontenedor. Durante el periodo de gracia se puedecambiar entre las apps sin introducir unacontraseña.

Cuando el dispositivo se bloquea, el contenedorde Sophos también se bloquea.

Si la casilla está desactivada, el contenedor sebloquea únicamente después de haber caducadoel periodo de gracia.

Bloquear cuando el dispositivo esté bloqueado

El periodo de tiempo que los usuarios pueden usaruna app de contenedor de Sophos sin unaconexión al servidor de Sophos Mobile.

Cuando se activa la app de contenedor de Sophossin tener contacto con el servidor dentro del

Última conexión al servidor

periodo de tiempo definido, se mostrará unapantalla de bloqueo. Los usuarios puededesbloquear la app pulsando Reintentar en lapantalla de bloqueo. Entonces, la app intentaráconectarse al servidor. Si la conexión se puedeestablecer, la app se desbloquea. En casocontrario, se deniega el acceso.

En acceso La conexión al servidor se requieresiempre y la app se bloquea cuando no sepuede alcanzar el servidor.

142



1 hora: La conexión al servidor se requierecuando la app se activa una hora o más trasla última conexión realizada correctamente conel servidor.

3 horas

6 horas

12 horas

1 día

3 días

1 semana

ninguna: No se requiere un contacto regular.

En este campo se define cuántas veces losusuarios pueden ejecutar las apps de contenedorde Sophos sin una conexión con el servidor.

Nota: esta opción requiere que la función decontraseña del contenedor de Sophos estéactivada.

Arranques offline sin conexión al servidor

Cada vez que el usuario introduzca la contraseñadel contenedor de Sophos se incrementa uncontador. Si el contador supera un númerodefinido, se mostrará la misma pantalla de bloqueoque para la opción Última conexión al servidor.El contador se restablece en cuanto se produceuna conexión al servidor de Sophos Mobile.

Ilimitado No se requiere ninguna conexión.

0: No es posible ejecutar la app sin que hayauna conexión al servidor.

1: Una vez ejecutada la aplicación una vez serequiere una conexión al servidor.

3

5

10

20

Se permite ejecutar apps de contenedor endispositivos con jailbreak.

Jailbreak permitido

Restricciones de uso de apps

Aquí se pueden definir limitaciones de uso para las apps de contenedor Sophos. Haga clic en Añadirpara introducir restricciones.

Permite añadir coordenadas de latitud y longitudy un radio dentro del que las apps de contenedorde Sophos se pueden usar.

Barrera geográfica

143



Permite añadir una hora de inicio y una hora finaldentro de las cuales las apps de contenedor de

Barrera de tiempo

Sophos se pueden usar. También se puedendefinir los días de la semana en los que se puedenusar las apps.

Permite definir las redes Wi-Fi a las que eldispositivo debe estar conectado para poder usarlas apps de contenedor de Sophos.

El dispositivo debe estar conectado a una de lasredes enumeradas. Poder ver una red en particularen la lista de redes disponibles no es suficiente.

Importante: recomendamos que no utilice unabarrera Wi-Fi como único mecanismo de seguridad

Barrera Wi-Fi

porque los nombres de Wi-Fi pueden falsificarsemuy fácilmente.

13.18.2 Configuración Correo electrónico corporativo (política de contenedorde Sophos en iOS)Con la configuración Correo electrónico corporativo, se definen las opciones deconfiguración de usuario para su servidor de Microsoft Exchange. Estas opciones se aplicana la app Sophos Secure Email si está instalada en el contenedor de Sophos.







Usuario





La dirección de correo electrónico que se usarácomo la dirección de correo electrónico de"contacto de soporte".

Correo electrónico de contacto de soporte

144



El contenido de los campos de entrada estáprotegido. Autocompletar y autocorregir están

Usar campos de texto seguros

desactivados en la app Sophos Secure Email paraimpedir que se guarden palabras sensibles en lamemoria del dispositivo.

Los usuarios pueden exportar los contactos deExchange con un número de teléfono a la lista de

Exportar contactos a dispositivo

contactos local del dispositivo para identificar loscontactos de la empresa durante llamadasentrantes.

Sophos Secure Email mantiene la informaciónsincronizada.

Nota: la información de contacto local se eliminaautomáticamente en las siguientes situaciones:

Cuando se quita la configuración Correoelectrónico corporativo de la política decontenedor de Sophos (requiere reiniciar laapp Secure Email).

Cuando el contenedor de Sophos se quita deldispositivo.

Cuando se anula la inscripción del dispositivoen Sophos Mobile.

Seleccione la cantidad de información mostradaen las notificaciones de correo electrónico.

Este ajuste también afecta a los recordatorios deeventos. Si selecciona Ninguna notificación, los

Detalles de notificaciones

recordatorios de eventos solo incluyen la hora. Siselecciona cualquier otro valor, los recordatoriosde eventos incluyen la hora, el lugar y el título.

Los usuarios no pueden copiar o cortar textos enla app Sophos Secure Email.

Denegar copiar al portapapeles

Seleccione si los archivos adjuntos se pueden abriren todas las apps o solo en las apps de contenedor

Adjuntos abiertos

de Sophos Sophos Secure Workspace y SophosSecure Email.

Los mensajes de correo electrónico que sean másgrandes que el tamaño que seleccione (incluyendo

Tamaño máximo de correo electrónico

adjuntos) no se descargan del servidor deExchange.

Haga clic en Opciones avanzadas para configurarlas funciones que pueda requerir una versión futurade la app Sophos Secure Email.

Importante: configure estas opciones solo si selo indica el equipo de soporte de Sophos.

Opciones avanzadas

145


13.18.3 Configuración Documentos corporativos (política de contenedor deSophos en iOS)

Configurar proveedores de almacenamiento

Puede definir para cada proveedor de almacenamiento las siguientes opciones por separado:


El proveedor de almacenamiento está disponibleen la app.

Activar

Los usuarios pueden añadir archivos desde elproveedor de almacenamiento a la lista deFavoritos de la app para uso sin conexión.

Offline

Los usuarios pueden compartir archivos cifradoscon otras apps mediante la opción Abrir en.

Abrir en (cifrado)

Los usuarios pueden compartir archivos sin cifrarcon otras apps mediante la opción Abrir en.

Abrir en (no cifrado)

Los usuarios pueden copiar partes de undocumento y pegarlos en otras aplicaciones.

Portapapeles

Opciones de proveedores de empresas

Para el proveedor Egnyte y WebDAV, también llamado proveedor de empresas, puededefinir la configuración del servidor y las credenciales de inicio de sesión de forma centralizada.Estas no pueden ser cambiadas por los usuarios.

Las opciones de configuración de las credenciales que no defina de forma centralizada puedenser seleccionadas por los usuarios en las pantallas de credenciales de los proveedores dela app.

P. ej., puede definir centralmente el servidor y la cuenta de usuario que debe usarse, peropuede dejar el campo de contraseña sin definir. Entonces los usuarios deben conocer lacontraseña para acceder al proveedor de almacenamiento.


El nombre del proveedor que se muestra en la appSophos Secure Workspace.

Nombre

146



En este campo introduzca:Servidor

La URL de la carpeta raíz en el servidorWebDAV de Documentos corporativos.

La URL de la carpeta raíz en el servidorEgnyte.

La URL de la carpeta raíz en el servidorWebDAV.

Utilice el formato siguiente:https://server.company.com

Introduzca en este campo el nombre de usuariopara el servidor correspondiente.

Nombre de usuario

Introduzca en este campo la contraseña para lacuenta correspondiente.

Contraseña

Introduzca en este campo la carpeta de carga parala cuenta correspondiente.

Carpeta de carga

Otra configuración


Esta opción activa la función Documentos paradistribuir documentos empresariales de formasegura.

Activar documentos

La complejidad mínima necesaria de las frases decontraseña para las claves de cifrado. En cualquier

Complejidad de frase de contraseña

caso se permitirán siempre frases de contraseñamás seguras.

Puede seleccionar las opciones siguientes:





13.18.4 Configuración Navegador corporativo (política de contenedor deSophos en iOS)Con la configuración Navegador corporativo, se definen las opciones de configuración dela función Navegador corporativo de la app Sophos Secure Workspace.

147


El Navegador corporativo permite acceder de forma segura a las páginas de la intranet dela empresa u otras páginas permitidas. Se pueden definir dominios y marcadores dentro deun dominio.

Cada marcador pertenece a un dominio determinado. Al añadir un marcador, la entrada dedominio se crea automáticamente si no existe.

Opciones del dominio


El dominio que desea permitir.URL

Los usuarios pueden copiar y pegar texto desdeel Navegador corporativo a otras apps.

Permitir copiar y pegar

Los usuarios puede descargar adjuntos y pasarlosa otras apps.

Permitir abrir con

Los usuarios pueden guardar sus contraseñas enel Navegador corporativo.

Permitir guardar contraseña

Opciones del marcador


El nombre del marcador.Nombre

La dirección web del marcador.URL

13.18.5 Configuración Certificado de cliente (política de contenedor de Sophosen iOS)Con la configuración Certificado de cliente, se instala un certificado de cliente en losdispositivos. Este certificado estará disponible para las apps Sophos Secure Email y SophosSecure Workspace si están instaladas en el contenedor de Sophos.



148


13.18.6 Configuración Certificado raíz (política de contenedor de Sophos eniOS)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos. Estecertificado estará disponible para las apps Sophos Secure Email y Sophos Secure Workspacesi están instaladas en el contenedor de Sophos.



13.18.7 Configuración SCEP (política de contenedor de Sophos en iOS)Con la configuración SCEP, se permite que los dispositivos soliciten certificados de unaautoridad de certificación (CA) usando el protocolo de inscripción de certificados simple(SCEP). Estos certificados están disponibles para la app Sophos Secure Workspace si estáinstalada en el contenedor de Sophos.





URL




Nombre de alias




Sujeto


Por ejemplo:


149












Desafío




Certificado raíz



Tamaño de clave




Usar para cifrado

13.19 Configuraciones para políticas de Windows MobileCon una política de Windows Mobile, se configuran varios aspectos de los dispositivosWindows Mobile, como políticas de contraseñas, restricciones y configuración Wi-Fi.

Para obtener información sobre cómo crear una política de Windows Mobile, consulte Crearperfiles o políticas en la página 61.

150


13.19.1 Configuración Políticas de contraseña (política de Windows Mobile)Con la configuración Políticas de contraseña, se definen los requisitos mínimos de lascontraseñas para los dispositivos.


El tipo de contraseña que los usuarios debendefinir:

Tipo de contraseña

Alfanuméricos: La contraseña debe tenertanto letras como dígitos

Numéricos: La contraseña solo debe estarcompuesta por dígitos

En Windows Phone 8.1, Alfanuméricos incluyecontraseñas con dígitos y/o letras.

Esto define los tipos de caracteres que debenusarse en una contraseña alfanumérica.

Para Windows 10 Mobile:

Complejidad mínima de contraseñasalfanuméricas

1: No aplicable (con la opción seleccionada,se usa 2)

2: Se requieren dígitos y letras en minúsculas

3: Se requieren dígitos, letras en minúsculasy letras en mayúsculas

4: Se requieren dígitos, letras en minúsculas,letras en mayúsculas y caracteres especiales

En Windows Phone 8.1, el valor seleccionado esel número de distintas clases de caracteres quedeben usarse en una contraseña. Las clases decaracteres son:

Dígitos

Letras en minúsculas

Letras en mayúsculas

Caracteres especiales

Las contraseñas pueden incluir caracteressecuenciales o repetidos, p. ej., abcde o 1111.

Permitir contraseña sencilla



El número máximo de intentos de inicio de sesiónfallidos para introducir la contraseña correcta antesde que se borre el dispositivo.

Introduzca un valor entre 1 y 999 o 0 para cerorestricciones.

Número máximo de intentos fallidos

151



El tiempo en minutos que puede estar sin usarseel dispositivo antes de bloquearlo. El usuario puededesbloquear el dispositivo.


Tiempo en minutos hasta el bloqueo deldispositivo



Cuando el usuario defina una nueva contraseña,no se aceptará si coincide con una contraseña queya se ha usado.


El número de días tras los cuales el usuario debemodificar su contraseña.



Los usuarios pueden determinar el periodo degracia de la contraseña.

Permitir determinar el periodo de gracia de lacontraseña

13.19.2 Configuración Restricciones (política de Windows Mobile)Con la configuración Restricciones, se definen restricciones para los dispositivos.

Dispositivo


Los usuarios no pueden acceder a la tarjeta dealmacenamiento. Esto no impide que las appsaccedan a la tarjeta de almacenamiento.

Prohibir tarjeta SD

Se activa el cifrado del almacenamiento interno.

Importante: después de activar esta opción enun dispositivo, no se puede volver a desactivarmediante una política.

Prohibir dispositivos no cifrados

Nota: debe activar BitLocker en el dispositivoantes de aplicar la política.

No se muestran notificaciones del Centro deacciones sobre la pantalla de bloqueo deldispositivo.

Prohibir notificaciones del centro de accionessuperpuestas a la pantalla de bloqueo

152



Prohíbe añadir todos los tipos de cuentas decorreo electrónico, así como cuentas de Exchange,Office 365 y Outlook.

Prohibir añadir manualmente cuentas de correoelectrónico que no sean de Microsoft

La cuenta de Microsoft es la cuenta de sistemautilizada para la sincronización, las copias deseguridad y el almacén.

Prohibir conexión de cuenta Microsoft

El modo desarrollador de Windows estádesactivado.

Prohibir modo desarrollador

La tienda de apps no está disponible.Prohibir Windows Store

El navegador Microsoft Edge no está disponible.Prohibir navegador nativo

La opción de privacidad Permitir que las appsaccedan a la cámara está desactivada.

Prohibir cámara

La cantidad de datos de diagnóstico y uso deWindows que se permite enviar a los dispositivos.

Windows 10:

Nivel de telemetría

Completo: Todos los datos necesarios paraidentificar y analizar problemas.

Ampliado: Datos sobre cómo se usa Windowsy las apps y sobre su rendimiento.

Básico: Un conjunto de datos limitado críticopara comprender el dispositivo y suconfiguración.

Deshabilitado (solo Windows Phone 8.1):No admitido en dispositivos Windows 10. Siselecciona esto, se usa el nivel Básico.

Nota: los niveles son acumulativos, es decir, queAmpliado incluye todos los datos de Básico.

Consejo: para información detallada sobre losniveles de telemetría, consulte el artículo deMicrosoft Configurar la telemetría de Windows enla organización (enlace externo).

Windows Phone 8.1 no admite distintos niveles detelemetría:

Completo, Ampliado, Básico: Los usuariospuede activar o desactivar la telemetría.

Deshabilitado (solo Windows Phone 8.1):No se envía ningún dato de telemetría.

153


https://technet.microsoft.com/es-es/itpro/windows/manage/configure-windows-telemetry-in-your-organization


Varios


El portapapeles no está disponible.Prohibir copiar y pegar

Cortana está desactivada.Prohibir Cortana

Los usuarios no pueden guardar un archivo en eldispositivo como archivo de Office.

Prohibir «Guardar como» para archivos Office

Las capturas de pantalla están desactivadas.Prohibir captura de pantalla

Los usuarios no pueden compartir archivos deOffice.

Prohibir uso compartido de archivos Office

La configuración del dispositivo no se puedesincronizar entre dispositivos Windows.

Prohibir "Sincronizar mis ajustes"

La grabación de voz está desactivada.Prohibir grabación de voz

Wi-Fi


Las conexiones Wi-Fi están desactivadas.Prohibir Wi-Fi

La conexión compartida a Internet (ICS) estádesactivada.

Prohibir compartir internet

El dispositivo no se conecta automáticamente alos puntos de acceso Wi-Fi.

Prohibir Wi-Fi Sense (conexión automática apuntos de acceso)

El dispositivo no envía información sobre lasconexiones Wi-Fi.

Prohibir informes de puntos de acceso

Los usuarios no pueden configurar conexionesWi-Fi más allá de las conexiones que estánconfiguradas por Sophos Mobile.

Prohibir configuración manual

154


Conectividad


NFC (comunicación de campo cercano) estádesactivada.

Prohibir NFC

Bluetooth está desactivado.Prohibir Bluetooth

No se permite la conexión USB entre el dispositivoy un ordenador para sincronizar archivos ni para

Prohibir conexión USB

utilizar herramientas de desarrollo a fin dedesplegar o depurar apps. Esto no afecta a lacarga USB.

Itinerancia y costes


Las conexiones de datos a través de redes móvilesextranjeras están desactivadas.

Prohibir itinerancia de datos móviles

Las conexiones VPN a través de redes móvilesestán desactivadas.

Prohibir VPN vía móvil

Las conexiones VPN a través de redes móvilesextranjeras están desactivadas.

Prohibir itinerancia VPN vía móvil



Bing Vision no guarda el contenido de lasimágenes capturadas al realizar búsquedas deBing Vision.

Prohibir a Bing Vision guardar imágenes desdela búsqueda de Bing Vision

La búsqueda no puede utilizar la información sobrela ubicación.

Prohibir usar localización al buscar

Los usuarios no pueden instalar manualmentecertificados raíz ni certificados de CA intermedia.

Prohibir instalación manual de certificados raíz

155



Se desactivan todos los ajustes de privacidad deubicación del dispositivo. Ninguna app puede

Prohibir localización

utilizar el servicio de localización. También seprohíbe que Sophos Mobile pueda localizar eldispositivo.

El nivel de filtrado de los resultados de búsquedaque se impone en el dispositivo:

Permiso SafeSearch

Moderado: Filtrado moderado del contenidopara adultos. Los resultados de búsquedaválidos no se filtran.

Estricto: Filtrado máximo del contenido paraadultos.

Anulación de inscripción


Los usuarios no pueden restablecer los valores defábrica del dispositivo a través del panel de controlni de combinaciones de teclas de hardware.

Prohibir a usuarios restablecer el teléfono

Los usuarios no pueden eliminar la cuenta del áreade trabajo.

Prohibir anulación de inscripción en MDMmanual

13.19.3 Configuración Exchange ActiveSync (política de Windows Mobile)Con la configuración Exchange ActiveSync, se definen las opciones de configuración deusuario para su servidor de Microsoft Exchange.







156





Usuario






Contraseña








SSL


13.19.4 Configuración Wi-Fi (política de Windows Mobile)Con la configuración Wi-Fi, se especifican las opciones de configuración para la conexión aredes Wi-Fi.


Introduzca el ID de la red Wi-Fi en este campo.SSID

La conexión se establecerá automáticamente.Conectar automáticamente

La red deseada no es de tipo abierto o no estávisible.

Red oculta

Seleccione el tipo de seguridad en la lista. Siselecciona WPA (personal) o WPA2 (personal)debe especificar la contraseña.

Tipo de seguridad

157



Si selecciona Manualmente en la lista, debeespecificar el servidor y el puerto.

Proxy

13.19.5 Configuración Restricciones de apps (política de Windows Mobile)Con la configuración Restricciones de apps, se permiten o bloquean aplicaciones endispositivos de forma específica.


Contiene un conjunto de apps específicas que losusuarios pueden instalar y usar en el dispositivo.

Apps permitidas

Los usuarios no pueden instalar ni utilizar ningunaapp que no esté incluida explícitamente en la lista.

Use Apps permitidas cuando sabe la lista de appsque quiere permitir y quiera bloquear todas lasdemás.

Contiene un conjunto de apps específicas que losusuarios no pueden instalar en el dispositivo. Los

Apps prohibidas

usuarios pueden instalar cualquier app que no estéincluida explícitamente en la lista.

Use Apps prohibidas cuando sabe la lista deapps que quiere bloquear y quiera permitir todaslas demás.

Seleccione el grupo de apps que contiene la listade apps que desea permitir o bloquear.

Nota: el grupo de apps debe crearse deantemano. Consulte Grupos de apps en la página191.

Grupo de apps

13.19.6 Configuración Certificado raíz (política de Windows Mobile)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos.



158


13.19.7 Configuración SCEP (política de Windows Mobile)Con la configuración SCEP, se permite que los dispositivos soliciten certificados de unaautoridad de certificación (CA) usando el protocolo de inscripción de certificados simple(SCEP).


Una descripción de la configuración.Descripción



URL




Sujeto


Por ejemplo:

Introduzca CN=%_USERNAME_% para especificarun usuario.



Otra opción es configurar uno o más valores denombre alternativo de sujeto (SAN).

Haga clic en Añadir y, a continuación, introduzcaun tipo de SAN y un valor de SAN.

Nombre alternativo del sujeto



Desafío


159





Certificado raíz

El número de reintentos si el servidor envía unarespuesta pendiente.

Reintentos

El número de segundos entre los reintentos.Retardo reintento



Tamaño de clave




Usar para cifrado

Seleccione uno o más algoritmos hash compatiblescon el servidor SCEP.

Algoritmo hash

Aviso: recomendamos que no use elalgoritmo SHA-1 porque se considerainseguro.

13.19.8 Configuración IMAP/POP (política de Windows Mobile)Con la configuración IMAP/POP, se añade una cuenta de correo IMAP o POP al dispositivo.


El tipo de servidor de correo electrónico para el correoentrante (ya sea IMAP o POP).

Tipo de cuenta

El nombre mostrado de la cuenta de correo en el dispositivo.Nombre de cuenta


Use la variable %_EMAILADDRESS_% para referirse a ladirección de correo electrónico del usuario que está asignadoal dispositivo.


160



El nombre mostrado del usuario para el correo saliente.

Use la variable %_USERNAME_% para referirse al nombre delusuario que está asignado al dispositivo.

Nombre para mostrar del usuario

El nombre de usuario para conexión al servidor de entrada.Nombre de usuario

La parte del dominio de las credenciales para el servidor deentrada (si procede).

Dominio

La contraseña para conexión al servidor de entrada (siprocede).

Contraseña

El nombre del host (o la dirección IP) y el número de puertodel servidor de correo entrante (servidor de entrada).

Formato: nombre de servidor:nombre de puerto

Servidor de correo entrante

No es necesario especificar el número de puerto si se usael puerto estándar:

143 (IMAP)

993 (IMAP con SSL)

110 (POP3)

995 (POP3 con SSL)

Usar capa de sockets seguros para transferencia de correoentrante.

Usar SSL para correo entrante

El nombre del host (o la dirección IP) y el número de puertodel servidor de correo saliente (servidor de salida).

Formato: nombre de servidor:nombre de puerto

Servidor de correo saliente

Usar capa de sockets seguros para transferencia de correosaliente.

Usar SSL para correo saliente

El servidor de salida requiere autenticación.

Se usan las mismas credenciales que para el servidor deentrada, tal y como se han definido en los campos Nombrede usuario, Dominio y Contraseña.

Autenticación requerida paraconexiones salientes

El periodo de tiempo para la sincronización del correoelectrónico.

Solo los correos electrónicos que se correspondan al periodoespecificado se sincronizan en la bandeja de entrada deldispositivo administrado.


El intervalo para la sincronización automática del correoelectrónico.

Sincronización automática

161


13.20 Configuraciones para políticas de Windows DesktopCon una política de Windows Desktop, se configuran varios aspectos de los dispositivosWindows Desktop, como políticas de contraseñas, restricciones y configuración Wi-Fi.

Para obtener información sobre cómo crear una política de Windows Desktop, consulte Crearperfiles o políticas en la página 61.

13.20.1 Configuración Políticas de contraseña (política de Windows Desktop)Con la configuración Políticas de contraseña, se definen reglas de contraseñas para losdispositivos.

Nota: las reglas de complejidad de contraseña (es decir, la longitud, el número de letras enmayúsculas y minúsculas) para dispositivos de Windows Desktop son fijas y no pueden serestablecidas por políticas de Sophos Mobile. Para más información, consulte Reglas decomplejidad de contraseña de Windows Desktop en la página 63.

Nota: las políticas de contraseñas no se pueden asignar a dispositivos Windows Desktopsi se cumplen las dos condiciones siguientes:

■ Hay otros usuarios locales configurados en el dispositivo además del usuario inscrito enSophos Mobile.

■ Uno o más de estos usuarios no tienen permiso para cambiar su contraseña.


El número máximo de intentos de inicio de sesiónfallidos para introducir la contraseña correcta antesde que se borre el dispositivo.


Número máximo de intentos fallidos

El tiempo en minutos que puede estar sin usarseel dispositivo antes de bloquearlo. El usuario puededesbloquear el dispositivo.


Tiempo en minutos hasta el bloqueo deldispositivo



Cuando el usuario defina una nueva contraseña,no se aceptará si coincide con una contraseña queya se ha usado.


El número de días tras los cuales el usuario debemodificar su contraseña.



162


13.20.2 Configuración Restricciones (política de Windows Desktop)Con la configuración Restricciones, se definen restricciones para los dispositivos.

Dispositivo



Prohibir tarjeta SD

Prohíbe añadir todos los tipos de cuentas decorreo electrónico, así como cuentas de Exchange,Office 365 y Outlook.

Prohibir añadir manualmente cuentas de correoelectrónico que no sean de Microsoft




Prohibir cámara

La opción Guardar las entradas de formulariosdel navegador web Edge está desactivada y nopuede ser activada por el usuario.

Si la casilla está desactivada, la opción estáactivada y no puede ser desactivada por el usuario.

Desactivar Autocompletar en Edge

Las herramientas de desarrollo F12 del navegadorEdge no están disponibles.

Desactivar Herramientas de desarrollo F12 enEdge

La opción Bloquear los elementos emergentesdel navegador web Edge está desactivada y nopuede ser activada por el usuario.


Desactivar Bloqueador de elementosemergentes en Edge

Las secciones correspondientes del panel decontrol de Windows no están disponibles. El

Desactivar ajustes de reproducción automática

Desactivar ajustes de fecha y hora usuario no puede cambiar ninguna de estasopciones de configuración una vez la política sehaya asignado al dispositivo.

Nota: Desactivar ajustes de reproducciónautomática no afecta a los dispositivosconectados, como p. ej., teléfonos móviles.

Desactivar ajuste de idioma

Desactivar ajustes de energía y suspensión

Desactivar ajustes de región

163



Desactivar ajustes de inicio de sesión

Desactivar ajustes VPN

Desactivar ajustes de Mi empresa

Desactivar ajustes de cuenta






Seguridad: Información que es necesaria paramantener el dispositivo protegido con lasúltimas actualizaciones de seguridad.

Nota: los niveles son acumulativos, es decir, queAmpliado incluye todos los datos de Básico y deSeguridad.


Varios


Cortana está desactivada.Prohibir Cortana

La configuración del dispositivo no se puedesincronizar entre dispositivos Windows.

Prohibir "Sincronizar mis ajustes"

La opción de notificaciones de WindowsMostrarme sugerencias de Windows estádesactivada y no disponible.

Desactivar sugerencias de Windows

164




Wi-Fi






Conectividad





La búsqueda no puede utilizar la información sobrela ubicación.

Prohibir usar localización al buscar

Anulación de inscripción


Los usuarios no pueden eliminar la cuenta del áreade trabajo.

Prohibir anulación de inscripción en MDMmanual

13.20.3 Configuración Exchange ActiveSync (política de Windows Desktop)Con la configuración Exchange ActiveSync, se definen las opciones de configuración deusuario para su servidor de Microsoft Exchange.

Importante: si utiliza múltiples configuraciones para crear cuentas Exchange ActiveSync,es probable que los dispositivos solo puedan acceder al correo de una cuenta. Generalmente,esto ocurre cuando las cuentas se encuentran en servidores Exchange ActiveSync distintos

165


y estos tienen definidas diferentes políticas de buzón de correo. Dado que los dispositivosWindows Desktop solo pueden aplicar una sola política de buzón de correo, no podránconectarse a las cuentas que utilicen una política distinta.

Nota: Windows permite al usuario rechazar todos los cambios que usted hace a laconfiguración Exchange ActiveSync.









Usuario






Contraseña








SSL


166


13.20.4 Configuración Wi-Fi (política de Windows Desktop)





Red oculta


Tipo de seguridad

13.20.5 Configuración Certificado raíz (política de Windows Desktop)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos.



13.21 Configuraciones para políticas de Windows IoTCon una política de Windows IoT, se configuran varios aspectos de los dispositivos WindowsIoT, como políticas de contraseñas, restricciones y configuración Wi-Fi.

Para obtener información sobre cómo crear una política de Windows IoT, consulte Crearperfiles o políticas en la página 61.

13.21.1 Configuración Restricciones (política de Windows IoT)Con la configuración Restricciones, se definen restricciones para los dispositivos.

Dispositivo



Prohibir tarjeta SD

167






Prohibir cámara

La opción Guardar las entradas de formulariosdel navegador web Edge está desactivada y nopuede ser activada por el usuario.


Desactivar Autocompletar en Edge

La opción Bloquear los elementos emergentesdel navegador web Edge está desactivada y nopuede ser activada por el usuario.


Desactivar Bloqueador de elementosemergentes en Edge






Seguridad: Información que es necesaria paramantener el dispositivo protegido con lasúltimas actualizaciones de seguridad.

Nota: los niveles son acumulativos, es decir, queAmpliado incluye todos los datos de Básico y deSeguridad.


168




Wi-Fi






Conectividad



13.21.2 Configuración Wi-Fi (política de Windows IoT)Con la configuración Wi-Fi, se especifican las opciones de configuración para la conexión aredes Wi-Fi.





Red oculta


Tipo de seguridad

13.21.3 Configuración Certificado raíz (política de Windows IoT)Con la configuración Certificado raíz, se instala un certificado raíz en los dispositivos.


169



170


14 Paquetes de tareasLos paquetes de tareas permiten agrupar varias tareas en una sola transacción. De estaforma puede agrupar todas las tareas necesarias para inscribir y configurar un dispositivo:

■ Inscribir el dispositivo.

■ Aplicar las políticas necesarias.

■ Instalar las apps necesarias (p. ej., apps administradas para dispositivos iOS).

■ Aplique los perfiles necesarios.

También puede incluir comandos de borrado en los paquetes de tareas para automáticamenteborrar dispositivos infractores (p. ej., con jailbreak o rooteados). Para más información,consulte Políticas de cumplimiento en la página 28.

Los paquetes de tareas están disponibles para las siguientes plataformas:

■ Android

■ Apple iOS

14.1 Crear paquete de tareas1. En la barra lateral de menús, en CONFIGURAR, haga clic en Paquetes de tareas y

seleccione Android o Apple iOS.

2. En la página Paquetes de tareas haga clic en Crear paquetes de tareas.

Aparece la página Editar paquete de tareas.

3. En los campos correspondientes, especifique un nombre y, opcionalmente, una descripciónpara el nuevo paquete de tareas.

La versión se incrementa automáticamente cada vez que se guarda el paquete de tareas.

4. Opcional: Seleccione Seleccionable para acciones de cumplimiento para transferir elpaquete de tareas a un dispositivo cuando infrinja una regla de cumplimiento. ConsultePolíticas de cumplimiento en la página 28.

Nota: esta opción se desactiva cuando se edita un paquete de tareas existente y elpaquete de tareas ya se utiliza como acción de cumplimiento.

5. Opcional: Seleccione Ignorar errores de instalación de apps para seguir procesandoel paquete de tareas aunque no se pueda instalar una aplicación.

6. En la barra lateral de menús, en CONFIGURAR, haga clic en Paquetes de tareas yseleccione Android o Apple iOS.

7. Haga clic en Crear paquete.

8. Seleccione el tipo de tarea y haga clic en Siguiente.

La vista siguiente depende del tipo de tarea que ha seleccionado. En cada vista es posibleespecificar nombres significativos propios. Los nombres de las tareas se muestran durantela instalación en el portal de autoservicio de Sophos Central.

171


9. Siga los pasos del asistente para añadir la tarea necesaria y haga clic en Aplicar paracrear la tarea.

Para ver una descripción de los tipos de tareas disponibles, consulte Tipos de tareas deAndroid disponibles en la página 172 y Tipos de tareas de iOS disponibles en la página175.

10. Opcional: Añada más tareas al paquete de tareas.

Nota: en el caso de los paquetes de tareas de Android, no se pueden combinar tareasde Android con tareas de Android enterprise. Por ejemplo, no se puede instalar un perfilde dispositivo Android y una app de Android Work con el mismo paquete de tareas.

Consejo: puede cambiar el orden de instalación de las tareas por medio de las flechasdel lado derecho de la lista de tareas.

11. Una vez que haya añadido todas las tareas necesarias al paquete de tareas, haga clic enGuardar en la página Editar paquete de tareas.

El paquete de tareas está disponible para transferirse. Se muestra en la página Paquetesde tareas.

Nota: cuando se edita un paquete de tareas existente que se usa como un Paquete inicialen las opciones del portal de autoservicio, la tarea de inscripción no se puede eliminar.Consulte Configurar las opciones del portal de autoservicio en la página 17.

14.2 Tipos de tareas de Android disponiblesEstán disponibles los siguientes tipos de tareas para los paquetes de tareas de Android:

Inscribir

Al transferir la tarea a los dispositivos, se envía un correo electrónico de inscripción a ladirección de correo electrónico configurada para cada dispositivo. Los usuarios deben seguirlos pasos descritos en el correo para inscribir su dispositivo.

Al transferir la tarea a un dispositivo que ya está inscrito, no se envía ningún correo deinscripción.

Inscribir contenedor de Sophos



Instalar perfil o asignar política

Seleccione un perfil o una política de la lista de perfiles y políticas disponibles. Para obtenerinformación sobre cómo añadir perfiles o políticas a esta lista, consulte Perfiles y políticas enla página 61.

Al transferir la tarea a los dispositivos, se instala de forma silenciosa el perfil o se asigna deforma silenciosa la política.

172


En general, puede añadir más de una tarea de este tipo a un paquete de tareas. Solo puedeañadir una única tarea del tipo Política de contenedor de Sophos o Política de seguridadpara dispositivos móviles a un paquete de tareas.

Quitar perfil

En Seleccionar origen, seleccione Perfiles y luego seleccione un perfil de la lista.

Además de los perfiles que están disponibles en el servidor de Sophos Mobile, la lista incluyelos perfiles que están en uso en los dispositivos administrados.

También puede eliminar un perfil que no se encuentre en la lista. Seleccione Identificadore introduzca el identificador del perfil que quiera eliminar de los dispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa el perfil.

Puede añadir más de una tarea de este tipo a un paquete de tareas.

Nota: no puede eliminar directamente una política de contenedor de Sophos ni una políticade seguridad para dispositivos móviles de los dispositivos. En su lugar, utilice la acción dedispositivo Anular inscripción del contenedor de Sophos o Anular inscripción de SMSec.Esto también eliminará las políticas relacionadas del dispositivo.

Instalar app

Seleccione una app de la lista de apps disponibles. Para obtener información sobre cómoañadir apps a esta lista, consulte Añadir app en la página 180.

Al transferir la tarea a los dispositivos, los usuarios reciben una notificación en sus dispositivosde que Sophos Mobile quiere instalar la app. Los usuarios pueden tocar Aceptar para iniciarel proceso o Ahora no para volver a recibir la notificación pasado un breve periodo de tiempo.

Si los usuarios tocan Aceptar pero luego tocan Cancelar en el siguiente cuadro de diálogode Android, la tarea falla.

Si la app ya está instalada en el dispositivo que recibe la tarea, la app se actualiza.


Instalar app Android Work

Este tipo de tarea está disponible si ha configurado Android enterprise.

Seleccione una app de la lista de apps de trabajo disponibles. Para obtener información sobrecómo añadir apps a esta lista, consulte Editar una app de trabajo en la página 204.

La tarea de instalación se envía a un servicio de Google. Posteriormente, Google gestionala instalación de la app en el dispositivo. En la página Vista de tareas, el estado de la tareaes correcto cuando se ha enviado a Google.


También puede instalar apps de trabajo desde la página Apps Android Work. ConsulteInstalar una app de trabajo en la página 206.

Para obtener información sobre cómo desinstalar una app de trabajo de los dispositivos,consulte Desinstalar una app de trabajo en la página 207.

173


Eliminar app

En Seleccionar origen, seleccione Apps para elegir la app que debe eliminarse de la listade apps disponibles.

Además de las apps disponibles en el servidor de Sophos Mobile, la lista incluye apps queestán en uso en los dispositivos administrados, con la excepción de las apps del sistemaAndroid y las apps que haya preinstalado el fabricante del dispositivo.

También puede eliminar una app que no se encuentre en la lista. Seleccione Identificadore introduzca el nombre del paquete de la app que quiera eliminar de los dispositivos. Siselecciona App de contenedor Knox, la aplicación se eliminará del contenedor SamsungKnox.

Al transferir la tarea a los dispositivos, los usuarios reciben una notificación en sus dispositivosde que Sophos Mobile quiere eliminar la app. Los usuarios pueden tocar Aceptar para iniciarel proceso o Ahora no para volver a recibir la notificación pasado un breve periodo de tiempo.

Si los usuarios tocan Aceptar pero luego tocan Cancelar en el siguiente cuadro de diálogode Android, la tarea falla.

Si la app no está instalada en el dispositivo que recibe la tarea, no se muestra ningunanotificación.


Enviar mensaje

Introduzca el texto sin formato que se mostrará en los dispositivos.

Al transferir la tarea a los dispositivos, el texto del mensaje se muestra en una ventana denotificación. Los usuarios pueden ver los mensajes anteriores en la página Mensajes de laapp Sophos Mobile Control.


Anular inscripción

Al transferir la tarea a los dispositivos, se anula su inscripción de Sophos Mobile. ConsulteAnular la inscripción de dispositivos en la página 44. Los usuarios de los dispositivos nonecesitan confirmar la operación.

No puede añadir una tarea Anular inscripción y una tarea Borrar al mismo paquete detareas.

Borrar

Al transferir la tarea a los dispositivos, se restablece la configuración de fábrica en ellos. Losusuarios de los dispositivos no necesitan confirmar la operación.

Importante: utilice este tipo de tarea con precaución. Se eliminarán todos los datos de losdispositivos que reciban la tarea sin confirmación por parte del usuario.

Nota: al transferir una tarea Borrar a un dispositivo en el que Sophos Mobile administra elperfil de trabajo, solo se eliminan el perfil de trabajo y todas las apps de trabajo.


174


Contenedor Knox: bloquear

Al transferir la tarea a un dispositivo Samsung compatible con Samsung Knox, se bloqueael contenedor Knox.

Contenedor Knox: desbloquear

Al transferir la tarea a un dispositivo Samsung compatible con Samsung Knox, se desbloqueael contenedor Knox.

Contenedor Knox: restablecer contraseña

Al transferir la tarea a un dispositivo Samsung compatible con Samsung Knox, se restablecela contraseña del contenedor Knox. Los usuarios deben establecer una nueva contraseñapara desbloquear el contenedor Knox.

Contenedor Knox: eliminar

Al transferir la tarea a un dispositivo Samsung compatible con Samsung Knox, se elimina elcontenedor Knox (incluida cualquier configuración relacionada con el contenedor).

Activar escaneado de SMSec

Al transferir la tarea a los dispositivos, la app Sophos Mobile Security se activa de formasilenciosa para realizar un escaneo en busca de malware y apps no deseadas (PUA).

Esta tarea requiere que Sophos Mobile Security se administre desde Sophos Mobile, es decir,que se asigne una política de seguridad para dispositivos móviles al dispositivo. ConsulteAdministrar Sophos Mobile Security en la página 218.

Si Sophos Mobile Security no está administrada por Sophos Mobile en un dispositivo querecibe la tarea (es decir, si no hay asignada una política de Mobile Security al dispositivo), latarea permanece en el estado Se reintentará.

14.3 Tipos de tareas de iOS disponiblesEstán disponibles los siguientes tipos de tareas para los paquetes de tareas de iOS:

Inscribir



175


Inscribir contenedor de Sophos



Instalar perfil o asignar política

Seleccione un perfil o una política de la lista de perfiles y políticas disponibles. Para obtenerinformación sobre cómo añadir perfiles o políticas a esta lista, consulte Perfiles y políticas enla página 61.

Al transferir la tarea a los dispositivos, se instala de forma silenciosa el perfil o se asigna deforma silenciosa la política.

En general, puede añadir más de una tarea de este tipo a un paquete de tareas. Solo puedeañadir una única tarea del tipo Política de contenedor de Sophos o Política de seguridadpara dispositivos móviles a un paquete de tareas.

Quitar perfil

En Seleccionar origen, seleccione Perfiles y luego seleccione un perfil de la lista.


También puede eliminar un perfil que no se encuentre en la lista. Seleccione Identificadore introduzca el identificador del perfil que quiera eliminar de los dispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa el perfil.


Nota: no puede eliminar directamente una política de contenedor de Sophos de losdispositivos. En su lugar, utilice la acción de dispositivo Anular inscripción del contenedorde Sophos. Esto también eliminará la política relacionada del dispositivo.

Instalar perfil de aprovisionamiento

Seleccione un perfil de aprovisionamiento de apps de la lista de perfiles disponibles. Paraobtener información sobre cómo añadir apps a esta lista, consulte Importar perfiles deaprovisionamiento para apps iOS en la página 63.

Al transferir la tarea a los dispositivos, se instala de forma silenciosa el perfil deaprovisionamiento.

Quitar perfil de aprovisionamiento

En Seleccionar origen, seleccione Perfiles y luego seleccione un perfil de aprovisionamientode la lista.


176


También puede eliminar un perfil de aprovisionamiento que no se encuentre en la lista.Seleccione Identificador e introduzca el identificador del perfil que quiera eliminar de losdispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa el perfil deaprovisionamiento.

Reconfigurar app SMC

Cuando la tarea se transfiere a un dispositivo, al usuario se le pide escanear un código QRo introducir los detalles de configuración manualmente. Esto reconecta una app SophosMobile Control desinstalada anteriormente al servidor.

Nota: esta tarea debe ir precedida por una tarea Instalar app para la app Sophos MobileControl.

Instalar app

Seleccione una app de la lista de apps disponibles. Para obtener información sobre cómoañadir apps a esta lista, consulte Añadir app en la página 180.

Al transferir la tarea a los dispositivos, los usuarios reciben una notificación en sus dispositivosde que Sophos Mobile quiere instalar la app. Los usuarios pueden tocar Instalar para iniciarel proceso o Cancelar para rechazar la instalación.

Si los usuarios rechazan la instalación, la tarea falla.

Si la app ya está instalada en el dispositivo que recibe la tarea, la app se actualiza.


Eliminar app

En Seleccionar origen, seleccione Apps para elegir la app que debe eliminarse de la listade apps disponibles.

Además de las apps que están disponibles en el servidor de Sophos Mobile, la lista incluyelas apps que están en uso en los dispositivos administrados, con la excepción de las appsdel sistema iOS.

También puede eliminar una app que no se encuentre en la lista. Seleccione Identificadore introduzca el ID del paquete de la app que quiera eliminar de los dispositivos.

Al transferir la tarea a los dispositivos, se elimina de forma silenciosa la app.


Instalar última actualización iOS

Cuando la tarea se transfiere a los dispositivos, se instala la última actualización disponibledel software iOS. Las actualizaciones instaladas pueden depender del modelo de dispositivoiOS.

Solo puede actualizar el software iOS en los siguientes dispositivos:

■ Dispositivos supervisados con iOS 10.3 o superior

■ Dispositivos del DEP de Apple supervisados

Para otros dispositivos, la tarea fallará.

177


Enviar mensaje

Introduzca el texto sin formato que se mostrará en los dispositivos.

Al transferir la tarea a los dispositivos, el texto del mensaje se muestra en una ventana denotificación. Los usuarios pueden ver los mensajes anteriores en la página Mensajes de laapp Sophos Mobile Control.


Anular inscripción

Al transferir la tarea a los dispositivos, se anula su inscripción de Sophos Mobile. ConsulteAnular la inscripción de dispositivos en la página 44. Los usuarios de los dispositivos nonecesitan confirmar la operación.


Borrar

Al transferir la tarea a los dispositivos, se restablece la configuración de fábrica en ellos. Losusuarios de los dispositivos no necesitan confirmar la operación.

Importante: utilice este tipo de tarea con precaución. Se eliminarán todos los datos de losdispositivos que reciban la tarea sin confirmación por parte del usuario.


14.4 Duplicar paquetes de tareasComo la creación de un paquete de tareas puede consumir bastante tiempo, es posibleduplicar paquetes de tareas ya finalizados. Esta función resulta útil cuando se requierenvarios paquetes de tareas extensos con tareas similares. Entonces solo es necesario eliminaro añadir unas pocas tareas.

Nota: solo se pueden duplicar paquetes de tareas si no se están editando a la vez. Lascopias se nombran "Copy of" seguido por el nombre original. Puede renombrar los paquetessegún sus requisitos.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Paquetes de tareas yseleccione Android o Apple iOS.

Aparece la página Paquetes de tareas.

2. Haga clic en el triángulo azul junto al paquete de tareas que desea duplicar y haga clicen Duplicar.

El paquete de tareas se duplica y se muestra en la página Paquetes de tareas. Ahora puedeeditar el paquete de tareas duplicado según sea necesario. Para editar el paquete de tareas,haga clic en el triángulo azulo junto al mismo y haga clic en Editar.

178


14.5 Transferir paquetes de tareas a dispositivosindividuales o grupos de dispositivos1. En la barra lateral de menús, en CONFIGURAR, haga clic en Paquetes de tareas y

seleccione Android o Apple iOS.

Aparece la página Paquetes de tareas.

2. Haga clic en el triángulo azul junto a la tarea correspondiente y haga clic en Transferir.



■ Seleccionar los dispositivos individuales a los que quiere transferir el paquete de tareas.■ Haga clic en Seleccionar grupos de dispositivos para abrir la página Seleccionar

grupos de dispositivos y seleccione uno o varios grupos de dispositivos para transferirel paquete de tareas.

4. Una vez realizada la selección, haga clic en Siguiente.

Aparece la página Establecer fecha de ejecución.

5. En Fecha programada, seleccione Ahora o especifique una fecha y una hora para laejecución de esta tarea.


Aparece la página Vista de tareas.

El paquete de tareas se transfiere a los dispositivos seleccionados en la fecha y horaespecificadas.

179


15 AppsEn Sophos Mobile las apps se configuran para ponerlas a disposición para su instalación através de la consola de Sophos Mobile (a petición del administrador) o a través de la appSophos Mobile Control (a petición del usuario).

La administración de apps está disponible para las siguientes plataformas:

■ Android

■ Apple iOS

■ Windows Mobile

Las apps se pueden poner a disposición en Sophos Mobile mediante una de las opcionessiguientes:

■ Suba el paquete de app al servidor de Sophos Mobile. Esta opción no está disponiblepara apps de Windows Mobile ni para dispositivos en que Sophos Mobile solo administrael contenedor de Sophos.

■ Proporcione un enlace a la app en la tienda de apps correspondiente.

Para ambas opciones, consulte la sección Añadir app en la página 180.

Para instalar una app en un dispositivo, cree un paquete de tareas que contenga una tareaInstalar app. Para dispositivos iOS y Android, puede crear estos paquetes de tareasdirectamente en la página Apps. Consulte Instalar app en la página 182.

Nota: para poder instalar paquetes de apps almacenados en el servidor de Sophos Mobile(a diferencia de las instalaciones desde la tienda de apps), deben cumplirse las siguientescondiciones:

■ Para Android, la opción de seguridad de Android Fuentes desconocidas debe estaractivada en los dispositivos. Si se intenta instalar un archivo APK con la opción Fuentesdesconocidas desactivada, la app Sophos Mobile Control dirigirá a los usuarios a lapágina en la que pueden activar la opción. Esta restricción no se aplica a dispositivos conLG GATE, Samsung Knox o Sony Enterprise API.

■ Para iOS, la instalación de apps desde archivos IPA solo es posible para las apps dedesarrollo propio. Cuando la app está lista para su distribución, debe crear un perfil deaprovisionamiento para la app y hacer que esté disponible en los dispositivos, ya seainstalándolo previamente por separado o incluyéndolo en el archivo IPA de la app. Puedeutilizar Sophos Mobile para distribuir perfiles de aprovisionamiento a sus dispositivos iOS.Consulte Importar perfiles de aprovisionamiento para apps iOS en la página 63. Paraobtener detalles sobre los perfiles de aprovisionamiento, consulte la Biblioteca paradesarrolladores de iOS.

15.1 Añadir appPara poner una app a disposición para su instalación, se puede subir el paquete de app ocrear un enlace a la app en la tienda de apps correspondiente.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y seleccione laplataforma a la que va a añadir la app.

180


2. En la página Apps, haga clic en Añadir app y, a continuación, seleccione:

■ Paquete de Android o Paquete de iOS para añadir la app cargando el archivo APK(para apps de Android) o el archivo IPA (para apps de iOS).

■ Enlace de Android, Enlace de iOS o Enlace de Windows Mobile para añadir la appenlazándola a la tienda de apps correspondiente.

En la página siguiente puede configurar los detalles de la app.

Nota: para enlaces de iOS, puede hacer clic en Buscar en iTunes para buscar la app enla base de datos de iTunes. Al seleccionar una app en la lista de resultados de la búsqueda,los campos correspondientes en la página Editar enlace de iOS se rellenarán con los valorescorrespondientes de iTunes.

3. En el campo Nombre, escriba un nombre para la nueva app.

4. Opcional: En el campo de texto Versión, introduzca una versión que se mostrará paralos paquetes de apps en el Almacén empresarial de aplicaciones.

Para enlaces de apps, la versión se muestra como Google Play Store o App Store.En el Almacén empresarial de aplicaciones, esto se sustituye por la versión real de latienda de aplicaciones.

5. Opcional: En el campo Identificador de app, introduzca el identificador interno de laaplicación.

Deje este campo vacío si no conoce el identificador exacto. En la mayoría de los casos,Sophos Mobile puede leer el valor desde la propia app y rellena este campoautomáticamente.

6. Opcional: En el campo Categoría de app, introduzca un nombre de categoría, por ejemplo,Recomendada.

Cuando la app se pone a disposición en el Almacén empresarial de aplicaciones segúnse describe en el paso siguiente, la app se incluirá en una sección con ese nombre.

7. La app se puede poner a disposición en el Almacén empresarial de aplicaciones para quela instalación pueda ser iniciada por el usuario. Haga clic en Mostrar, junto a Disponiblepara grupos de dispositivos, y seleccione uno o más grupos de dispositivos para losque la app se incluirá en el Almacén empresarial de aplicaciones.

8. Para dispositivos iOS, al seleccionar Instalación administrada de SMC, la app se instalarácomo una app administrada.

Ciertas opciones de configuración en los perfiles de dispositivos solo están disponiblespara las apps administradas.

Nota: la opción Instalación administrada de SMC solo afecta a las apps que ha instaladoel usuario desde el Almacén empresarial de aplicaciones. Las apps que se instalan desdela consola de Sophos Mobile son siempre administradas.

Para obtener información sobre apps administradas, consulte Apps administradas paraiOS en la página 184.

9. Opcional: En el campo Descripción, introduzca una descripción que se mostrará en elAlmacén empresarial de aplicaciones.

Nota: puede usar el marcador de posición %_appstoretext_% en cualquier parte deltexto de descripción. En el Almacén empresarial de aplicaciones, esto se sustituye por ladescripción real de la app de Google Play o el App Store.

10. Haga clic en Mostrar, junto a Sistemas operativos, y seleccione las versiones de lossistemas operativos a las que aplica la app.

181


11. Para dispositivos Samsung Knox, al seleccionar Instalar en contenedor Knox, la appse instalará dentro del contenedor Knox.

Esta opción solo está disponible cuando se ha configurado una clave de licencia SamsungKnox Premium en la página Configuración del sistema.

12. Configure la fuente de la app.

■ Para enlaces de apps, introduzca la URL de la app en la tienda de apps correspondienteen el campo Enlace.

Para determinar la URL, haga clic en el enlace debajo del campo Enlace para abrir latienda de apps en una pestaña nueva del navegador y navegar hasta la página de laapp. A continuación, copie la URL desde la barra de direcciones de la pestaña y cópielaen el campo Enlace.

■ Para paquetes de app, haga clic en Subir un archivo para subir la app al servidor deSophos Mobile. Desplácese hasta el archivo APK (para apps de Android apps) o elarchivo IPA (para apps de iOS) y haga clic en Abrir.

13. Una vez configurados los detalles de la app, haga clic en Guardar para guardar laconfiguración de la app y volver a la página Apps.

La app está disponible para instalar. Se muestra en la página Apps. Si ha configurado elcampo Disponible para grupos de dispositivos, la app también se muestra en el Almacénempresarial de aplicaciones de la app de Sophos Mobile Control desde el cual los usuariospodrán instalarla. El proceso de instalación se ejecuta en segundo plano o con muy pocasintervenciones por parte del usuario.

Nota: en los dispositivos en que Sophos Mobile solo administra el contenedor de Sophos,las apps que haya añadido cargando el archivo APK (para apps de Android) o el archivo IPA(para apps de iOS) no están disponibles.

15.2 Instalar appNota: esta sección solo aplica a dispositivos iOS y Android.

Nota: Esta sección no es aplicable a apps de trabajo Android. Para instalar apps de trabajo,consulte Instalar una app de trabajo en la página 206.

Nota: esta sección no es aplicable a dispositivos en los que solo Sophos Mobile administreel contenedor de Sophos.

Una vez añadida una app a Sophos Mobile según se describe en Añadir app en la página180, es posible instalarla manualmente en dispositivos y grupos de dispositivos seleccionados.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y, a continuación, enAndroid o Apple iOS.

2. En la página Apps, haga clic en el triángulo azul junto al dispositivo correspondiente yhaga clic en Instalar.

3. Seleccione los dispositivos en los que desea instalar la app. Escoja una de las siguientesopciones:

■ Seleccione dispositivos individuales.■ Haga clic en Seleccionar grupos de dispositivos y, a continuación, seleccione uno

o más grupos de dispositivos.

Cuando haya terminado, haga clic en Siguiente.

182


4. En la página Establecer fecha de ejecución, especifique la fecha en la que se instalarála app:

■ Seleccione Ahora para que se instale inmediatamente.■ Seleccione Fecha e introduzca una fecha y hora para su instalación programada.


La app seleccionada se instala en los dispositivos seleccionados en la fecha especificada.

Nota: en los siguientes dispositivos las apps se instalan de forma silenciosa, es decir, sinintervención por parte del usuario:

■ Dispositivos iOS supervisados

■ Dispositivos Android con Samsung Knox Standard SDK 5.1 o superior

■ Dispositivos Android con LG GATE

■ Dispositivos Android con API Sony Enterprise versión 8 o superior

Consejo: el estado de la tarea de instalación se puede consultar en la página Vista detareas.

Consejo: también puede instalar una app usando una de las opciones siguientes:

■ Para instalar una app en un dispositivo individual: En la página Mostrar dispositivo deun dispositivo, seleccione la ficha Apps instaladas y haga clic en Instalar app.

■ Para instalar una app en varios dispositivos: En la página Dispositivos , seleccione losdispositivos necesarios y haga clic en Acciones > Instalar app.

■ Para instalar una app en uno o más dispositivos como parte de un paquete de tareas:Añada una tarea Instalar app al paquete de tareas y transfiéralo a los dispositivos ogrupos de dispositivos necesarios.

15.3 Desinstalar appNota: esta sección solo aplica a dispositivos iOS y Android.

Nota: Esta sección no es aplicable a apps de trabajo Android. Para desinstalar apps detrabajo, consulte Desinstalar una app de trabajo en la página 207.

Nota: esta sección no es aplicable a dispositivos en los que solo Sophos Mobile administreel contenedor de Sophos.

Una vez añadida una app a Sophos Mobile según se describe en Añadir app en la página180, es posible desinstalarla manualmente en dispositivos y grupos de dispositivosseleccionados.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y, a continuación, enAndroid o Apple iOS.

2. En la página Apps, haga clic en Desinstalar.

3. Seleccione los dispositivos en los que desea desinstalar una app. Escoja una de lassiguientes opciones:




183


4. En la página Seleccionar app, seleccione la app correspondiente.

5. En la página Establecer fecha de ejecución, especifique la fecha en la que se desinstalarála app:

■ Seleccione Ahora para que se desinstale inmediatamente.■ Seleccione Fecha e introduzca una fecha y hora para su desinstalación programada.


La app seleccionada se desinstala del dispositivo seleccionado en la fecha y horaespecificadas.

En dispositivos iOS supervisados, las apps administradas se desinstalan de forma silenciosa,es decir, sin intervención por parte del usuario.

Consejo: otra opción es utilizar el siguiente procedimiento para desinstalar una app de unúnico dispositivo: Abra la página Mostrar dispositivo del dispositivo, vaya a la ficha Appsinstaladas y, a continuación, haga clic en el icono de papelera junto al nombre de la aplicación.

15.4 Apps administradas para iOSPara las aplicaciones de iOS que añada a Sophos Mobile, puede optar por instalar la appcomo administrada o no administrada en los dispositivos de los usuarios.

Las apps administradas tienen las características siguientes:

■ Cuando los usuarios seleccionan una app administrada en el almacén empresarial deaplicaciones, una tarea de instalación se crea y procesa en Sophos Mobile. En cambio,cuando seleccionan una app no administrada, se les redirige al App Store de Apple paraque instalen la aplicación desde allí.

■ Puede desinstalar apps administradas en la consola de Sophos Mobile. Esta opción noes posible para las apps no administradas.

■ En dispositivos iOS supervisados, las apps administradas se instalan y desinstalan deforma silenciosa, es decir, sin intervención por parte del usuario.

■ Ciertas opciones de configuración en los perfiles de dispositivos iOS solo están disponiblespara las apps administradas.

■ Cuando se anula la inscripción de un dispositivo iOS de Sophos Mobile, todas las appsadministradas se eliminan automáticamente del dispositivo. Las apps no administradaspermanecerán en el dispositivo.

Las reglas siguientes determinan si una app se instala administrada o no administrada:

■ Las apps que se instalan desde la consola de Sophos Mobile son siempre administradas.

■ Las apps que el usuario instala desde el App Store son siempre no administradas.

■ Las apps que el usuario instala desde el almacén empresarial de aplicaciones sonadministradas si ha activado la opción Instalación administrada de SMC en laspropiedades de la aplicación, como se describe en el apartado Añadir app en la página180.

Para comprobar el estado de una app en un dispositivo, abra la página Mostrar dispositivode ese dispositivo y vaya a la ficha Apps instaladas. Consulte La página Mostrar dispositivoen la página 46.

Consejo: si un usuario ha instalado una app no administrada, el administrador la puedeconvertir en una app administrada. Para ello, configure la app en Sophos Mobile comoadministrada y, a continuación, cree una tarea de instalación para ella. Dado que la app ya

184


está instalada, no se vuelve a instalar, pero su estado cambia de no administrada aadministrada.

15.5 Administrar apps VPP de AppleCon el Programa de compras por volumen de Apple (VPP) puede adquirir apps iOS engrandes cantidades para distribuirlas en su empresa.

Una vez se ha completado un pedido con el Programa de compras por volumen (VPP) deApple, puede descargar el token de servicio (sToken) que contiene las licencias para lasapps adquiridas.

En Sophos Mobile, puede proporcionar las licencias incluidas en los sToken a los usuariosinvitándolos a convertirse en usuarios autorizados del Programa de compras por volumende Apple. Después de aceptar esta invitación, pasan a ser usuarios autorizados del VPP deApple y les puede asignar apps VPP. Los usuarios pueden instalar apps VPP asignadas ensus dispositivos con iTunes.

También puede asignar apps VPP a dispositivos. No necesita invitar a dispositivos al VPP.Una app VPP asignada se instala en un dispositivo mediante Sophos Mobile.

Para información detallada sobre cómo inscribirse en el Programa de compras por volumende Apple y usarlo, consulte http://www.apple.com/business/vpp/.

Para obtener más información sobre cómo asignar apps de VPP a usuarios o dispositivos,consulte Asignar apps de VPP automáticamente en la página 187 y Asignar apps de VPPmanualmente en la página 187.

15.5.1 Instalar un sToken VPP

Para proporcionar licencias para las apps adquiridas a través del Programa de compras porvolumen (VPP) de Apple en Sophos Mobile, es necesario instalar un token de servicio(sToken).

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema.

2. En la página Configuración del sistema, haga clic en la ficha Apple VPP.

3. Haga clic en el enlace Apple iTunes VPP Portal.

A continuación se abre el portal web del VPP de Apple en una ventana nueva delnavegador.

4. En la página seleccione Empresas.

5. En el cuadro de diálogo Iniciar sesión en el Store para Empresas, introduzca su ID deApple y su contraseña.

6. Vaya a la página Resumen de cuenta y haga clic en Descargar token.

A continuación se genera el sToken y se guarda en su ordenador local en un archivo detexto con la extensión .vpptoken, según las preferencias de descarga de su navegadorweb.

7. Opcional: Mueva el archivo sToken a una ubicación a la que pueda acceder desde laconsola de Sophos Mobile.

8. Vuelva a la ficha Apple VPP en la consola de Sophos Mobile, haga clic en Subir unarchivo, seleccione el archivo sToken y haga clic en Abrir.

Sophos Mobile lee el archivo y completa los campos de Organización y Fecha devencimiento a partir de los datos del sToken.

185


http://www.apple.com/business/vpp/

9. En la lista Asignar apps de VPP automáticamente al instalar, puede configurar laasignación automática de apps de VPP. Consulte Asignar apps de VPP automáticamenteen la página 187.

10. Opcional: Complete los campos restantes de la ficha Apple VPP.

En el campo País, introduzca el código de dos letras de su país, p. ej., US para los EstadosUnidos.


15.5.2 Invitar usuarios a VPP de Apple

Es necesario instalar un sToken antes de poder invitar usuarios al programa de compras porvolumen (VPP) de Apple. Consulte Instalar un sToken VPP en la página 185.

1. En la barra lateral de menús, en ADMINISTRAR, haga clic en Usuarios.

2. En la página Invitar usuarios, puede invitar todos los usuarios o usuarios específicos aVPP de Apple:

■ Para invitar todos los usuarios:

1. Haga clic en Invitar usuarios a VPP de Apple en la parte superior de la páginaMostrar usuarios.

2. Haga clic en Sí en el cuadro de diálogo de confirmación.

■ Para invitar un usuario específico:

1. Haga clic en el nombre de usuario correspondiente:2. En la página Mostrar usuario, haga clic en Invitar usuario a VPP.3. Haga clic en Sí en el cuadro de diálogo de confirmación.

Sophos Mobile envía un correo electrónico de invitación a todos los usuarios correspondientes.

Los usuarios deben seguir el enlace en el correo electrónico de invitación para conectar sucuenta de Apple iTunes a VPP de Apple. A continuación podrán instalar y usar las apps paralas que su empresa tiene licencias.

15.5.3 Administrar usuarios VPP de Apple

Una vez instalado un sToken VPP de Apple según se describe en Instalar un sToken VPPen la página 185, la página Mostrar usuario de cada usuario incluye una sección Programade compras por volumen (VPP) de Apple.

En esta sección puede realizar las siguientes tareas para ver o editar el estado VPP de Appledel usuario:

■ Vea el estado de usuario de VPP de Apple. Este puede ser:

■ No registrado: El usuario no ha sido invitado a VPP de Apple

■ Registrado: El usuario ha sido invitado a VPP de Apple, pero no ha conectado sucuenta de Apple iTunes a VPP de Apple.

■ Asociado: El usuario ha conectado su cuenta de Apple iTunes a VPP de Apple ypuede instalar las apps VPP.

■ Ver las apps VPP de Apple que el usuario ha instalado.

■ Invite el usuario a VPP de Apple haciendo clic en Invitar usuario a VPP.

186


En la mayoría de los casos se envía un correo electrónico con un enlace de invitación alusuario. Si la cuenta del usuario no incluye una dirección de correo electrónico, se mostraráun enlace de invitación en un cuadro de mensaje.

■ Envíe otro correo electrónico de invitación si el usuario no ha recibido o ha perdido elcorreo electrónico inicial haciendo clic en Volver a enviar correo electrónico deinvitación.

■ Anule el registro del usuario en VPP de Apple haciendo clic en Eliminar registro en VPP.

15.5.4 Asignar apps de VPP automáticamente

De manera predeterminada, las apps que se compran a través del Programa de compraspor volumen (VPP) de Apple se asignan automáticamente al dispositivo en el que se instalala app. Si el dispositivo no admite la asignación de apps de VPP, la app se asigna al usuarioque está asignado al dispositivo.

Nota: para admitir la asignación de apps de VPP, el dispositivo debe tener el estadoadministrado.

Puede invertir el orden de preferencia y dar prioridad a la asignación a usuarios sobre laasignación a dispositivos, o puede desactivar la asignación automática y asignar las apps deVPP de forma manual como se describe en Asignar apps de VPP manualmente en la página187.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema.

2. En la página Configuración del sistema, haga clic en la ficha Apple VPP.

3. En la lista Asignar apps de VPP automáticamente al instalar, seleccione la opción quedesee:

■ Preferiblemente a dispositivo: Si el dispositivo lo admite, la app de VPP se asignaal dispositivo. De lo contrario, la app de VPP se asigna al usuario que está asignadoal dispositivo.

■ Preferiblemente a usuario: La app de VPP se asigna al usuario que está asignadoal dispositivo.

■ Desactivado: Las apps de VPP no se asignan automáticamente. Si selecciona estaopción, las apps de VPP deben asignarse manualmente.

15.5.5 Asignar apps de VPP manualmente

En este sección se describe la asignación manual de apps de VPP individuales. De manerapredeterminada, las apps que se compran a través del Programa de compras por volumen(VPP) de Apple se asignan automáticamente al dispositivo en el que se instala la app. ConsulteAsignar apps de VPP automáticamente en la página 187.

Puede asignar apps que adquirió a través del Programa de compras por volumen (VPP) deApple a usuarios o a dispositivos. Después de asignar una app de VPP a usuarios que esténasociados al VPP de Apple, estos pueden instalarla en todos los dispositivos iOS que esténasociados a su ID de Apple. Después de asignar una app de VPP a dispositivos, se puededistribuir a los dispositivos mediante Sophos Mobile.

Para asignar una app de VPP a usuarios o dispositivos:

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps > Apple iOS.

Se abrirá la página Apps en la que aparece una lista de todas las apps que ha añadidoa Sophos Mobile.

187


2. Para añadir apps que adquirió a través del VPP de Apple a la lista de apps, haga clic enImportar apps de VPP.

Así se obtiene la información de las apps del servidor VPP de Apple y se crean entradasde apps en Sophos Mobile si es necesario.

3. Haga clic en el triángulo azul junto a la app de VPP que desea asignar a usuarios odispositivos y haga clic en Editar.

Consejo: las apps VPP están marcadas con un icono de marca de verificación en lacolumna VPP.

4. En la página Editar enlace de iOS, haga clic en Mostrar junto a la opción LicenciasVPP.

Se abrirá el cuadro de diálogo Licencias VPP.

5. Para asignar la app a uno o más usuarios, haga clic en Usuarios de VPP y, a continuación,seleccione los usuarios correspondientes.

La lista contiene todos los usuarios que estén registrados o asociados con el Programade compras por volumen de Apple.

6. Para asignar la app a uno o más dispositivos, haga clic en Dispositivos y, a continuación,seleccione los dispositivos correspondientes.

La lista contiene todos los dispositivos con iOS con el estado Administrado.

7. Haga clic en Aplicar para confirmar los cambios y cerrar el cuadro de diálogo LicenciasVPP.

8. Por defecto, las apps VPP no están asignadas a ningún grupo de dispositivos. Para asignaruna app a uno o más grupos de dispositivos, haga clic en Mostrar junto a Disponiblepara grupos de dispositivos y, a continuación, seleccione uno o más grupos dedispositivos para los que la app está incluida en el Almacén empresarial de aplicaciones.

9. Por defecto, las apps VPP se instalan como administradas en los dispositivos de losusuarios. Para instalar una app como no administrada, quite la marca de la casilla deverificación Instalación administrada de Sophos Mobile.

Para obtener información sobre apps administradas, consulte Apps administradas paraiOS en la página 184.

10. Haga clic en Guardar para guardar los cambios y sincronizar la asignación de apps conel servidor VPP de Apple.

Consejo: para descartar cambios de asignación que haya hecho en el cuadro de diálogoLicencias VPP, haga clic en Aplicar para cerrar el cuadro de diálogo y, después, hagaclic en Atrás para salir de la página Editar enlace de iOS sin guardar los cambios en labase de datos.

Para instalar la app asignada en un dispositivo:

■ Después de asignar la app a usuarios, aparecerá en la vista Comprado de la app iTunesen sus dispositivos. Los usuarios la pueden instalar desde ahí.

■ Después de asignar la app a dispositivos, se puede instalar mediante Sophos Mobile.Consulte Instalar app en la página 182.

Para anular la asignación de una app:

■ Abra el cuadro de diálogo Licencias VPP como se ha descrito antes y, a continuación,desmarque los usuarios o dispositivos correspondientes.

Nota: puesto que el estado de las apps de VPP está gestionado por el servidor VPP deApple, es posible que los cambios que realice en Sophos Mobile tarden un tiempo en servisibles en los dispositivos.

188


15.5.6 Sincronizar la información de licencias VPP

Por motivos de rendimiento, Sophos Mobile guarda una copia local de la información delicencias VPP. Puede hacer que Sophos Mobile sincronice sus datos VPP con el servidorVPP de Apple.

Nota: solo es necesario sincronizar los datos VPP si la información de licencia que se muestrade una app no es correcta.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema y, a continuación, haga clic en la ficha Apple VPP.

2. Haga clic en Borrar caché de VPP.

Sophos Mobile descarta la información de VPP local y sincroniza los datos con el servidorVPP de Apple.

Nota: para obtener más información sobre cómo mostrar la información de licencia de unaapp de VPP, consulte Asignar apps de VPP manualmente en la página 187.

15.6 Configurar VPN por app y opciones para apps iOSPara apps iOS, puede configurar una conexión VPN que se usa al abrir la app. También esposible configurar opciones que se implementan durante la instalación de la app en eldispositivo.

Requisitos previos:

■ Para poder seleccionar una VPN por app, es necesario definir una configuración VPN porapp en un perfil de configuración iOS. Consulte Configuración VPN por app (perfil dedispositivo iOS) en la página 127.

■ Para definir la configuración es necesario conocer el parámetro necesario y el tipo deparámetro.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y, a continuación, enApple iOS.

2. En la página Apps, haga clic en el triángulo azul junto al dispositivo correspondiente yhaga clic en Editar.

3. En la página Editar enlace de iOS o Editar paquete de iOS, haga clic en Mostrar juntoal campo Configuración y VPN.

4. En la página Editar configuración y VPN, seleccione la configuración necesaria en lalista VPN por app para definir la VPN a la que se debe conectar la app.

5. Haga clic en Crear parámetros para añadir opciones de configuración personalizadas.

6. En el cuadro de diálogo Parámetro de configuración, configure lo siguiente:

a) Introduzca en el campo Parámetro el parámetro necesario, p. ej., SMC_URL.

b) Introduzca en el campo Valor el valor del parámetro, p. ej., smc.sophos.com.

c) Seleccione en la lista Tipo el tipo de parámetro: Cadena, Booleano, Entero o Real.

d) Haga clic en Aplicar.

El conjunto de opciones de configuración personalizadas se muestra en la páginaEditar configuración y VPN.

7. Haga clic en Aplicar en la página Editar configuración y VPN.


189


La VPN por app seleccionada se usará cuando la app se conecte a VPN. La configuraciónse proporcionará a los dispositivos durante la instalación de la app.

190


16 Grupos de appsEn Sophos Mobile se pueden crear grupos de apps para definir listas de apps para perfiles,políticas y políticas de cumplimiento.

Los grupos de apps se utilizan en las configuraciones siguientes:

■ En la configuración Protección de apps de los perfiles de dispositivos Android.

■ En la configuración Control de apps de los perfiles de dispositivos Android.

■ En la configuración Restricciones de perfiles de dispositivos Android, perfiles dedispositivos iOS y perfiles de contenedor Knox.

■ En la configuración Restricciones de apps de las políticas de Windows Mobile.

■ En las políticas de cumplimiento para especificar las lista de apps permitidas, prohibidasy obligatorias.

16.1 Crear grupo de apps1. En la barra lateral de menús, en CONFIGURAR, haga clic en Grupos de apps y seleccione

la plataforma para la que quiere crear el grupo.

2. En la página Grupo de apps, haga clic en Crear grupo de apps.

3. En la página Editar grupo de apps, introduzca un Nombre para el nuevo grupo de appsy haga clic en Añadir app.

4. En el cuadro de diálogo Editar app, puede seleccionar una app de una lista o bien introducirdatos de apps personalizados.

■ Para seleccionar una app de una lista, haga clic en Lista de apps y, a continuación,seleccione una app de la lista de todas las apps que se encuentran actualmenteinstaladas en los dispositivos administrados para la plataforma que ha seleccionado.

■ Para especificar datos de app personalizados para una app para Android, haga clicen Personalizado y configure la información siguiente:

■ Nombre de app: Un nombre arbitrario que se usa para identificar la app.

■ Identificador: El nombre del paquete de la app. El nombre del paquete se puedeconsultar en la URL de la app en Google Play. P. ej., para la app Sophos MobileControl para Android, la URL de Google Play esplay.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android yel nombre del paquete es com.sophos.mobilecontrol.client.android.

■ Para especificar datos de app personalizados para una app para iOS, haga clic enPersonalizado y configure la información siguiente:


■ Identificador: El ID del paquete de la app.

191


■ Para especificar datos de app personalizados para una app para Windows Mobile,haga clic en Personalizado y configure la información siguiente:


■ Enlace: La URL de la app en la Tienda Windows. P. ej., para la app Sophos MobileControl para Windows, la URL de la Tienda Windows eswww.microsoft.com/es-es/store/apps/mobile-control/9nblggh0g04v.

■ GUID: Si conoce el GUID de la app, puede introducirlo en vez de especificar elenlace. De lo contrario, deje este campo vacío.

5. Después de seleccionar una app de la lista o especificar datos de app personalizados,haga clic en Añadir para añadirla al grupo de apps.

6. Opcional: Añada más aplicaciones al grupo de apps.

7. Cuando termine, haga clic en Guardar para guardar el grupo de apps.

16.2 Importar grupo de appsPuede crear un grupo de apps importando un archivo de valores separados por coma (CSV)con codificación UTF-8 con hasta 10.000 apps.

Nota: utilice un editor de texto para editar el archivo CSV. Si utiliza Microsoft Excel, es posibleque los valores introducidos no se resuelvan correctamente. Asegúrese de guardar el archivocon la extensión .csv.

Consejo: en la página Importar apps hay disponible para descargar un archivo de ejemplocon los nombres y el orden de columnas correctos.

Para importar apps de un archivo CSV y añadirlas a un grupo de apps:

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Grupos de apps y seleccionela plataforma para la que quiere crear el grupo.

2. En la página Grupo de apps, haga clic en Crear grupo de apps.

3. En la página Editar grupo de apps, introduzca un Nombre para el nuevo grupo de appsy haga clic en Importar apps.

4. En la página Importar apps, haga clic en Subir un archivo y busque el archivo CSV queha preparado.

Las entradas se leen desde el archivo y se muestran.

5. Si los datos no tienen el formato correcto o no son coherentes, no es posible importarninguna parte del archivo. En este caso, lea los mensajes de error que se muestran juntoa las entradas afectadas, corrija el contenido el archivo CSV como corresponda y vuelvaa subirlo.

6. Haga clic en Finalizar para añadir las apps al grupo de apps.

7. En la página Editar grupo de apps haga clic en Guardar.

192


17 Documentos corporativosNota: esta función requiere una licencia del tipo Mobile Advanced.

En Sophos Mobile, puede cargar archivos para que se distribuyan a los dispositivos de losusuarios.

■ Los documentos que se administran en Sophos Mobile se añaden automáticamente alalmacén Documentos corporativos de Sophos Secure Workspace.

■ Puede asignar una categoría a cada documento desde el proveedor de almacenamientode Documentos corporativos.

■ Los documentos del proveedor de almacenamiento de Documentos corporativos sonsolo de lectura.

■ Si Sophos Secure Workspace no es administrado por Sophos Mobile, el proveedor dealmacenamiento de Documentos corporativos no está disponible.

Para distribuir documentos corporativos:

1. Instale la app Sophos Secure Workspace en los dispositivos. Consulte Apps en la página180.

2. Asigne una política de contenedor Sophos con una configuración de Documentoscorporativos.

3. Suba documentos a Sophos Mobile.

17.1 Añadir documentos corporativosNota: esta función requiere una licencia del tipo Mobile Advanced.

Para distribuir documentos a dispositivos:

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Documentos.

Aparece la página Documentos.

2. Haga clic en Añadir documento.

Aparece la página Editar documento.

3. En el campo de Categoría introduzca la categoría bajo la que se muestra el documentoen el proveedor de almacenamiento de Documentos corporativos del dispositivo.

Si se deja este campo en blanco, el archivo se muestra en la carpeta raíz del proveedorde almacenamiento de Documentos corporativos.

193


4. Defina la configuración para el documento:

■ Seleccione Copiar a portapapeles para permitir a los usuarios copiar el documentoal portapapeles.

■ Seleccione Compartir documento para permitir a los usuarios compartir el documento.

■ Seleccione Usar documento offline para permitir a los usuarios añadir el documentoa la lista Favoritos.

Cuando un documento sin cifrar de Documentos corporativos se añade a la listaFavoritos, la copia local se guarda de forma cifrada. Cuando se permite compartir eldocumento, el archivo se descifra automáticamente antes de mandarlo a otras apps.Si desactiva la casilla Usar documento offline, las copias locales se eliminanautomáticamente durante la siguiente sincronización.

5. Haga clic en Mostrar junto a Grupos asignados y seleccione el grupo que debe teneracceso al documento.

6. Añada una descripción para el documento.

7. Haga clic en Subir archivo y busque el documento. Selecciónelo y haga clic en Aceptar.

8. Repita este paso para cada tipo de documente que quiera distribuir.

El documento se añade a la lista de documentos. Se distribuye a los usuarios que podránverlo en la app Sophos Secure Workspace.

194


18 Android para empresasAndroid incluye una funcionalidad que le ayuda a usted y a sus usuarios a mantener separadoslos datos personales y los de empresa en dispositivos Android. Esto se conoce como Androidpara empresas (anteriormente Android for Work).

Android para empresas admite distintos escenarios de despliegue. Sophos Mobile usa elescenario de despliegue Dispositivo personal:

■ Los usuarios crean un perfil de trabajo en sus dispositivos.

■ Sophos Mobile administra el contenido del perfil de trabajo.

■ Todas las apps en el perfil de trabajo, incluyendo la app Sophos Mobile Control, estánmarcadas con una insignia de maletín.

■ Los usuarios usan la versión con insignia de la app Google Play Store para instalar appsde trabajo desde Google Play Store administrado.

■ Puede configurar el contenido y la disposición de Google Play Store administrado usandoSophos Mobile.

Nota: Sophos Mobile admite la creación de perfiles de trabajo para dispositivos con Android 6o superior.

Enlaces relacionadosAyuda de Android enterprise (enlace externo)

18.1 Configurar Android para empresasDebe configurar Android para empresas para su organización.

Puede elegir entre dos escenarios distintos:

Escenario Cuenta de Google Play administrada

Este es el método más sencillo de configurar Android para empresas para su organización.

■ Sophos Mobile le guía en el proceso de configurar una cuenta de Android para empresasen su organización.

■ En caso necesario, puede crear múltiples cuentas de Android para empresas en suorganización.

■ Sophos Mobile administra el ciclo de vida completo de la cuenta de usuario.

Consulte Configurar Android para empresas (escenario Cuenta de Google Play administrada)en la página 196.

195


https://support.google.com/work/android#topic=6151012

Escenario Dominio de Google administrado

Utilice este método si ya tiene un dominio de Google administrado o si desea administrar lascuentas de sus usuarios de Android para empresas fuera de Sophos Mobile.

■ Registre un dominio de Google administrado con Google y verifique la titularidad deldominio.

■ Enlace Sophos Mobile como EMM (gestión de movilidad empresarial) externo a su dominiode Google administrado.

■ Sophos Mobile crea cuentas de usuario según sea necesario. Aparte de eso, SophosMobile no administra el ciclo de vida de la cuenta.

Consulte Configurar Android para empresas (escenario Dominio de Google administrado) enla página 196.

18.1.1 Configurar Android para empresas (escenario Cuenta de Google Playadministrada)

En un escenario Cuenta de Google Play administrada, Sophos Mobilele guía en el procesode configurar Android para empresas en su organización.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema y, a continuación, haga clic en la ficha Android para empresas.

2. Haga clic en Configurar.

3. Seleccione Escenario "Cuenta Google administrada" y, a continuación, haga clic enSiguiente.

4. Seleccione Registrar cuenta.

Esto le redirige a un sitio web de Google para registrar su organización con Android paraempresas.

5. Inicie sesión en el sitio web de Google con su cuenta de Google.

Nota: recomendamos crear una cuenta Google nueva para esto.

6. En el sitio web de Google, siga los pasos para registrar su organización.

Consejo: al especificar el nombre de su organización, incluya el término SMC, comoNombre de mi empresa (SMC). Las propiedades de la cuenta no mencionan ningunainformación sobre que la cuenta está conectada a Sophos Mobile.

Una vez completados los pasos del registro, el sitio web de Google le redirige de nuevoa Sophos Mobile.

7. En Sophos Mobile, haga clic en Finalizar configuración para completar el proceso deregistro.

Esto completa el proceso de configuración de Android para empresas para su organización.

18.1.2 Configurar Android para empresas (escenario Dominio de Googleadministrado)

En un escenario Dominio de Google administrado, para configurar Android para empresasen su organización:

1. Registre un dominio de Google administrado con Google.

196


2. Cree una cuenta de servicio de la empresa y configure las API necesarias para comunicarsecon los servicios de Google.

3. Enlace Sophos Mobile como EMM (gestión de movilidad empresarial) externo a su dominiode Google administrado.

18.1.2.1 Registrar un dominio con GoogleEn la primera fase del procedimiento de configuración de Android para empresas, se registraun dominio con Google (dominio de Google administrado), se crea un administrador dedominio (cuenta de Google administrada) y se verifica la titularidad del dominio.

Nota: si ya dispone de un dominio de Google administrado, por ejemplo porque ya estáregistrado en G Suite (anteriormente Google Apps), puede omitir esta sección.

1. Haga clic en el enlace siguientehttps://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=es pararegistrarse en un dominio de Google administrado.

2. Rellene el formulario web con la información pertinente.

■ En el apartado Información sobre tu empresa, en el campo Dirección de dominiode empresa, escriba el dominio que se utilizará como dominio de Google administrado.Por ejemplo, puede usar el dominio del servidor de Sophos Mobile.

■ En el apartado Tu cuenta de administrador de Google, especifique las credencialesde un nuevo administrador de dominio.

Nota: tome nota de las credenciales, ya que las necesitará más tarde para seguir conel procedimiento de configuración.

3. Haga clic en el botón para crear la cuenta de administrador del dominio.

Esto abre la consola de administración de Google.

4. En la consola de administración de Google, proceda a comprobar la titularidad del dominio.

Siga las instrucciones que proporciona Google para verificar el dominio.

Tras comprobar la titularidad del dominio, recibirá un token para conectarse a su dominio deGoogle administrado con su proveedor de EMM externo, es decir, con Sophos Mobile.

A continuación, debe crear una cuenta de servicio de Google y configurar las API de Googlepertinentes. Consulte Configurar una cuenta de servicio de Google en la página 197.

18.1.2.2 Configurar una cuenta de servicio de GoogleEn la segunda fase del procedimiento de configuración de Android para empresas, se creay configura una cuenta de servicio de Google.

Requisitos previos: Dispone de una cuenta de administrador de dominio para su dominiode Google administrado.

Una cuenta de servicio de Google es un tipo especial de cuenta de Google para una aplicación.Sophos Mobile utiliza esta cuenta para comunicarse con las API de Google.

Cree un proyecto:

1. Haga clic en el enlace siguiente https://console.developers.google.com/apis/library paraabrir la consola de API de Google. Inicie sesión con las credenciales de la cuenta deadministrador de dominio.

2. En la cabecera de la consola de API de Google, haga clic en Proyecto > Crear proyecto.

Si ya tiene un proyecto, la cabecera mostrará el nombre del proyecto en lugar de la palabraProyecto.

197


https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=es

https://console.developers.google.com/apis/library

3. En el cuadro de diálogo Nuevo proyecto, escriba un nombre, por ejemplo Androidenterprise y, a continuación, haga clic en Crear.

Active las API necesarias:

4. En la barra lateral de menús, haga clic en Biblioteca e introduzca la cadena admin sdken el campo de búsqueda.

5. En la lista de resultados, haga clic en Admin SDK.

6. En la parte superior de la página Admin SDK, haga clic en Habilitar.

7. Repita estos tres pasos para Google Play EMM API.

a) En la barra lateral de menús, haga clic en Biblioteca e introduzca la cadena emm enel campo de búsqueda.

b) En la lista de resultados, haga clic en Google Play EMM API.

c) En la parte superior de la página Google Play EMM API, haga clic en Habilitar.

Cree una cuenta de servicio de Google:

8. En la página Google Play EMM API, haga clic en Crear credenciales.

9. En el primer paso de la página Añadir credenciales al proyecto, haga clic en el enlacecuenta de servicio.

10. En la página Cuentas de servicio, haga clic en Crear cuenta de servicio.

11. En el cuadro de diálogo Crear cuenta de servicio, especifique las opciones siguientes:

a) En Nombre, escriba un nombre para identificar la cuenta de servicio, por ejemplo,Android enterprise.

b) Seleccione Suministrar una nueva clave privada y, después, JSON.

c) Seleccione Habilitar delegación de todo el dominio de G Suite.

d) En Nombre de producto para la pantalla de autorización, introduzca por ejemploAndroid enterprise.

Al hacer clic en Crear, se genera la clave privada de la cuenta de servicio y se guarda enel ordenador en un archivo JSON.

Nota: guarde el archivo JSON en una ubicación segura. Necesita que enlace SophosMobile a su dominio de Google administrado.

Configure el acceso API:

12. Haga clic en el enlace siguiente https://admin.google.com para abrir la consola deadministración de Google e iniciar sesión con las credenciales de su cuenta deadministrador de dominio.

13. Haga clic en Seguridad y, a continuación, en Configuración avanzada.

Consejo: es posible que tenga que hacer clic en Mostrar más para visualizar laConfiguración avanzada.

14. Haga clic en Administrar el acceso de cliente API.

15. Abra el archivo JSON en un editor de texto y copie el valor de client_id en el campoNombre del cliente.

Por ejemplo, si el archivo JSON contiene una línea

"client_id": "123456789",

introduzca 123456789 en el campo Nombre del cliente.

198


https://admin.google.com

16. En el campo Uno o más ámbitos API, especifique las dos direcciones siguientes,separadas por una coma:

https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/androidenterprise

17. Haga clic en Autorizar.

Ahora puede enlazar Sophos Mobile a su dominio de Google administrado. Consulte EnlazarSophos Mobile a su dominio en la página 199.

18.1.2.3 Enlazar Sophos Mobile a su dominioEn la tercera fase del procedimiento de configuración de Android para empresas para suorganización, enlaza Sophos Mobile a su dominio de Google administrado.

Requisitos previos:

■ Dispone de una cuenta de administrador de dominio para su dominio de Googleadministrado.

■ Ha comprobado la titularidad del dominio.

■ Ha activado las API de Google correspondientes.

■ Ha creado una cuenta de servicio de Google.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema y, a continuación, haga clic en la ficha Android para empresas.

2. Haga clic en Configurar.

3. Seleccione Escenario "Dominio Google administrado" y, a continuación, haga clic enSiguiente.

4. En el cuadro de diálogo que se abre, configure las opciones siguientes:

Su dominio de Google administrado verificadopor Google.

Dominio empresarial

El nombre de su cuenta de administrador dedominio. Este es el administrador que ha creadocuando ha registrado el dominio en Google.

Administrador del dominio

El token que ha recibido de Google después deverificar la titularidad del dominio.

Para ver el token, inicie sesión en la consola deadministración de Google(https://admin.google.com) con sus credencialesde administrador de dominio y vaya aSeguridad > Administrar proveedor de EMMde Android.

Token EMM

5. Haga clic en Subir un archivo y vaya al archivo JSON que ha descargado de Google alcrear la cuenta de servicio.

El archivo JSON que selecciona debe tener una extensión .json.

6. Haga clic en Enlazar.

Sophos Mobile contacta con el servicio web de Google para enlazarse a sí mismo comoproveedor EMM al dominio de Google administrado.

199



En la última fase del procedimiento de configuración de Android para empresas, se debenconfigurar las opciones EMM de Google. Consulte Configurar opciones EMM en la página200.

18.1.2.4 Configurar opciones EMMEn la última fase del procedimiento de configuración de Android para empresas, se configuranlas opciones EMM de Google.

Requisitos previos: Ha enlazado Sophos Mobile a su dominio de Google administrado.

1. Haga clic en el enlace siguiente https://admin.google.com para abrir la consola deadministración de Google e iniciar sesión con las credenciales de su cuenta deadministrador de dominio.

2. Haga clic en Seguridad y, a continuación, en Administrar proveedor de EMM de Android.

Consejo: es posible que tenga que hacer clic en Mostrar más para visualizar la pantallaAdministrar proveedor de EMM de Android.

3. En Configuración general, seleccione Aplicar políticas de administración de movilidadempresarial en dispositivos Android.

Esto completa el proceso de configuración de Android para empresas para su organización.

18.2 Configurar Android enterprisePara permitir a sus usuarios configurar un perfil de trabajo en sus dispositivos, debe completarlas siguientes tareas de configuración:

1. Cree una política de Android enterprise y configure como mínimo una configuración deRestricciones. Consulte Configuraciones para políticas de Android enterprise en la página85.

2. Crear un paquete de tareas que se transfiere a un dispositivo cuando un usuario inscribeun dispositivo en el portal de autoservicio de Sophos Central. El paquete de tareas debecontener al menos una tarea Inscribir y una tarea Instalar perfil o asignar política parauna política de Android enterprise. Puede utilizar paquetes de tareas diferentes paradispositivos corporativos y personales. Consulte Crear paquete de tareas en la página171.

3. En la configuración del portal de autoservicio, seleccione el paquete de tareas comopaquete inicial para dispositivos corporativos y/o personales. Consulte Configurar crearperfil de trabajo Android en la página 200.

18.2.1 Configurar crear perfil de trabajo AndroidSus usuarios crean un perfil de trabajo en el portal de autoservicio de Sophos Central, comoparte del proceso de inscripción con Sophos Mobile. En Sophos Mobile, se configuran lospaquetes de tareas que se transfieren a los dispositivos.

Requisitos previos

■ Ha configurado Android para empresas.

■ Ha creado un paquete de tareas para la inscripción de dispositivos. El paquete de tareasdebe contener al menos una tarea Inscribir y una tarea Instalar perfil o asignar políticapara una política de Android enterprise. Puede utilizar paquetes de tareas diferentespara dispositivos corporativos y personales.

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Portal deautoservicio y luego haga clic en la ficha Configuración de grupo.

200



2. Haga clic en el triángulo azul junto al grupo del portal de autoservicio para el que deseaconfigurar la inscripción de dispositivos y, a continuación, haga clic en Editar. O cree ungrupo nuevo.

El grupo del portal de autoservicio debe estar configurado para la plataforma Android.

Para obtener información sobre la configuración del portal de autoservicio, consulteConfigurar las opciones del portal de autoservicio en la página 17.

3. En al menos una de las columnas Paquete inicial - dispositivos corporativos y Paqueteinicial - dispositivos personales, hay que seleccionar un paquete de tareas que debeejecutarse en los dispositivos corporativos y personales.


5. En la ficha Configuración de grupo, haga clic en Guardar.

18.3 Administrar usuarios para Android para empresas(escenario Dominio de Google administrado)Nota: este tema describe la administración de cuentas de usuario de Google si ha configuradoAndroid para empresas usando el escenario Dominio de Google administrado.

Para el escenario Cuenta de Google Play administrada, Sophos Mobile administra de formatransparente las cuentas de Google de sus usuarios.

Un usuario debe disponer de una cuenta de Google administrada para crear un perfil detrabajo. Esta cuenta está conectada al dominio que ha registrado en Google.

El nombre de las cuentas se forma como las direcciones de correo electrónico, por ejemplousuario@dominio_de_Google_administrado.

Cuando un usuario inscribe un dispositivo en el portal de autoservicio de Sophos Central,Sophos Mobile comprueba si existe ya una cuenta de Google administrada para el usuarioen el servidor Google. Para ello, la parte izquierda de la dirección de correo electrónico delusuario en Sophos Mobile se combina con su dominio de Google administrado. Si no existeuna cuenta con ese nombre, Sophos Mobile la crea.

Ejemplo: Si la dirección de correo electrónico del usuario en Sophos Mobile [email protected] y su dominio de Google administrado esdominio_Google_administrado, Sophos Mobile busca la cuentausuario@dominio_de_Google_administrado en el servidor de Google.

Aparte de crear una cuenta de Google administrada para el usuario durante la inscripción,Sophos Mobile no gestiona nada más del ciclo de vida de la cuenta. Si elimina la cuenta deusuario en Sophos Mobile, la cuenta de Google administrada del usuario no desaparece.

Puede administrar las cuentas de su dominio de Google administrado desde la consola deadministración de Google. En caso necesario, puede crear cuentas desde su directorio LDAPmediante Google Apps Directory Sync (GADS).

Enlaces relacionadosConsola de administración de Google (enlace externo)Acerca de Google Apps Directory Sync (enlace externo)

201



https://support.google.com/a/answer/106368

18.4 Crear perfil de trabajoSus usuarios crean un perfil de trabajo durante la inscripción de dispositivos con SophosMobile en el portal de autoservicio de Sophos Central.

Puede eliminar el perfil de trabajo en la consola de Sophos Mobile, p. ej., para eliminar losdatos corporativos del dispositivo en caso de pérdida o robo.

18.5 Bloquear el perfil de trabajoPuede bloquear o desbloquear el perfil de trabajo en la consola de Sophos Mobile. Cuandoel perfil de trabajo está bloqueado, las apps de trabajo no están disponibles ni recibennotificaciones.

Consejo: los usuarios pueden bloquear su perfil de trabajo desde el panel de opcionesrápidas de su dispositivo, por ejemplo cuando están de vacaciones.


2. Haga clic en el triángulo azul junto al dispositivo en el que quiere bloquear o desbloquearel perfil de trabajo y, a continuación, haga clic en Mostrar.

3. Haga clic en Acciones > Establecer acceso al contenedor.

4. Seleccione los permisos de acceso.

■ Denegar: El perfil de trabajo está bloqueado. Los usuarios ya no pueden acceder alas apps o los datos dentro del perfil de trabajo.

■ Permitir: El perfil de trabajo está desbloqueado.■ Modo auto: El perfil de trabajo está bloqueado si el dispositivo infringe alguna regla

de cumplimiento que contenga una acción Bloquear contenedor. Este es elcomportamiento predeterminado si no se ha definido un permiso de acceso.


El dispositivo se sincroniza con el servidor de Sophos Mobile. Una vez haya finalizado lasincronización, la opción de configuración se aplica al dispositivo.

Consejo: para bloquear todo el dispositivo en lugar de solo el perfil de trabajo, useAcciones > Bloquear.

18.6 Eliminar el perfil de trabajo de un dispositivoPuede eliminar el perfil de trabajo en la consola de Sophos Mobile para eliminar los datoscorporativos del dispositivo en caso de pérdida o robo.

Cuando se elimina el perfil de trabajo del dispositivo, todas las apps de trabajo, incluida laapp Sophos Mobile Control, se suprimen también. En la consola de consola de Sophos Mobile,el dispositivo aparece con el estado No inscrito.


2. Haga clic en el triángulo azul junto al dispositivo del que quiere eliminar el perfil de trabajoy, a continuación, haga clic en Mostrar.

3. Haga clic en Acciones > Borrar perfil de trabajo Android.

Se crea una tarea para eliminar el perfil de trabajo y se transfiere al dispositivo. El estado dela tarea se puede consultar en la página Vista de tareas.

202


Nota: si el usuario ya ha eliminado el perfil de trabajo de forma manual, la tarea falla porqueel dispositivo ya no la puede recibir.

Para recrear el perfil de trabajo, el usuario debe repetir el proceso de inscripción en el portalde autoservicio de Sophos Central.

18.7 Eliminación del perfil de trabajo iniciada por el usuarioLos usuarios pueden eliminar el perfil de trabajo de su dispositivo, ya sea accidental ointencionadamente. Sophos Mobile no puede detectar este tipo de eliminación. Siguemostrando el estado del dispositivo como Administrado (Android enterprise).

Después de que el usuario haya eliminado el perfil de trabajo, el dispositivo no puedesincronizarse con el servidor de Sophos Mobile.

Consejo: puede usar el informe Dispositivos no sincronizados en los últimos 7 díaspara identificar dispositivos potencialmente infectados.

Si el perfil de trabajo se ha eliminado accidentalmente, se puede inscribir de nuevo de lasiguiente forma:

1. Suprima el dispositivo de Sophos Mobile.2. El usuario repite el procedimiento de inscripción del dispositivo en el portal de autoservicio

de Sophos Central.

18.8 Apps de trabajoLas apps de trabajo son las apps que se pueden instalar en un perfil de trabajo.

Google Play administrado se utiliza para seleccionar las apps de trabajo que están disponiblesa sus usuarios. Los usuarios instalan estas apps mediante la app de Google Play Storeadministrado en su perfil de trabajo.

Para poner las apps de trabajo a disposición de los usuarios, realice lo siguiente en GooglePlay y Sophos Mobile:

1. En Google Play administrado, selecciona las apps para su organización. Para ello:■ Apruebe la app.■ Compre las licencias de la app.■ Acepte los permisos de la app.

Consulte Aprobar una app de trabajo en la página 204.

2. En Sophos Mobile, debe configurar la app. Para ello:■ Defina la ubicación de la app en la aplicación de Google Play administrado en los

dispositivos de los usuarios.■ Para las apps compatibles, configure las opciones de configuración personalizas de

la app.■ Para las apps de pago, asigne a los usuarios una licencia para la app.

Consulte Editar una app de trabajo en la página 204.

203


18.8.1 Aprobar una app de trabajo

1. Abra Google Play administrado(https://play.google.com/work) e inicie sesión con la cuentade administrador para su dominio de Google administrado.

2. Seleccione la app que quiere que esté disponible a sus usuarios.

3. Haga clic en Aprobar (para apps gratuitas) o bien en Comprar (para apps de pago).

Nota: actualmente, las aplicaciones de trabajo de pago solo están disponibles en EstadosUnidos y en Canadá.

4. Si la app requiere permisos, acéptelos en nombre de la empresa.

Cuando los usuarios instalan la app, no se les pide que concedan permisos.

5. Para las apps de pago, especifique el número de licencias y el método de pago.

Nota: si se produce un error al intentar comprar una aplicación, vaya a la consola deadministración de Google para comprobar que los servicios de pago de Google esténactivados para su dominio o cuenta.

En este punto, la app está aprobada para el dominio pero los usuarios no la pueden instalaraún. Debe completar el proceso de asignación en Sophos Mobile. Consulte Editar una appde trabajo en la página 204.

Nota: si una app de trabajo tiene una actualización que incluye permisos adicionales de laapp, es necesario aceptarlos para que los usuarios puedan instalar la actualización. En elmenú de Google Play, haga clic en Actualizar para consultar y aprobar las actualizacionespendientes.

Enlaces relacionadosGoogle Play administrado (enlace externo)Consola de administración de Google (enlace externo)Ayuda de Google Play administrado (enlace externo)

18.8.2 Editar una app de trabajo

Después de aprobar una app en Google Play administrado, debe configurar la app en SophosMobile para ponerla a disposición de sus usuarios.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps > Android.

2. En la página Apps, haga clic en Apps Android Work.

Se abrirá la página Apps Android Work, que muestra una lista de todas las apps detrabajo que ha aprobado en Google Play administrado.

3. Haga clic en Obtener lista de apps de Google para sincronizar los cambios que ha hechoen Google Play administrado. Después de la sincronización, los usuarios pueden instalarlas apps mediante la app de Google Play Store administrado en su perfil de trabajo.

4. Haga clic en el triángulo azul junto a la app pertinente y, a continuación, haga clic enEditar.

5. En la página Editar app Android Work, configure las opciones según sea necesario.Consulte Opciones de configuración de apps de trabajo en la página 205.


204


https://play.google.com/work

https://play.google.com/work


https://support.google.com/googleplay/work

7. En la página Apps Android Work, haga clic en Enviar configuración a Google paraenviar a Google la información de diseño actualizada y la configuración de la app.

Nota: si omite este último paso, la configuración de la app solo se guarda localmente enSophos Mobile. No se transfiere al servidor de Google ni estará disponible para sususuarios.

Después de sincronizar los datos con el servidor de Google, la app de trabajo está disponiblemediante la app Google Play Store en el perfil de trabajo. Las apps gratuitas están disponiblespara todos los usuarios, mientras que las apps de pago solo están disponibles para aquellosque tengan asignada una licencia.

18.8.3 Opciones de configuración de apps de trabajo


El nombre de app externo tal como aparece enGoogle Play administrado.

Título

El nombre de app interno.ID producto

El tipo de precio:Precios

Gratis

Gratis con las compras desde la propia app

Pagada

Tipo de distribuciónPública (alojada por Google): La app estádisponible al público general en Google Playadministrado.

Privada (alojada por Google): La app ha sidodesarrollada por su empresa y solo estádisponible para los usuarios que se encuentranen su dominio de Google administrado. Elarchivo APK se ha subido a Google Playadministrado.

Privada (autoalojada): Igual que la distribuciónPrivada (alojada por Google), pero el archivoAPK se instala desde el servidor local. GooglePlay administrado solo se utiliza para gestionarla distribución.

La dirección web de la app en Google Playadministrado y Google Play.

Haga clic en el enlace para abrir esa página enuna ventana nueva del navegador.

URL de Google Play administrado, URL deGoogle Play

205



La página en la que aparecerá la app en laaplicación Google Play Store del usuario.

Los valores están preconfigurados por SophosMobile y no se pueden modificar.

Página

El nombre de la categoría en la que aparecerá laapp en la aplicación Google Play Store del usuario.

Al empezar a escribir, se mostrará una lista decategorías que coincidan. Si introduce unacategoría que no está disponible, se creará.

Categoría de app

Haga clic en Mostrar junto a Licencias para vero editar el número de licencias usadas y restantes

Licencias

para la app, y los usuarios que tienen las licenciasasignadas.

Esta opción solo está disponible para lasaplicaciones de pago.

Haga clic en Configuración de la aplicación paraconsultar o editar las opciones de configuraciónespecíficas de la app.

Para obtener información sobre las opciones deconfiguración disponibles, consulte la

Configuración de la aplicación

documentación que ofrece el desarrollador de laaplicación.

Esta opción sólo está disponible si la app ofrececonfiguración administrada.

Consejo: puede usar los marcadores%_USERNAME_% y %_EMAILADDRESS_% que sonsustituidos por el nombre del usuario y la direcciónde correo electrónico reales.

18.8.4 Instalar una app de trabajo

Después de aprobar una app de trabajo en Google Play administrado y asignar licencias dela app a los usuarios, puede instalar la app en dispositivos y grupos de dispositivosseleccionados.

Nota: los usuarios pueden instalar las apps aprobadas mediante la app de Google PlayStore administrado en su perfil de trabajo.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps > Android.


3. Haga clic en el triángulo azul junto a la app pertinente y, a continuación, haga clic enInstalar.

4. Seleccione los dispositivos en los que desea instalar la app. Escoja una de las siguientesopciones:

■ Seleccione dispositivos individuales.

206


■ Haga clic en Seleccionar grupos de dispositivos y, a continuación, seleccione unoo más grupos de dispositivos.


5. En la página Establecer fecha de ejecución, especifique la fecha en la que se instalarála app:

■ Seleccione Ahora para que se instale inmediatamente.■ Seleccione Fecha e introduzca una fecha y hora para su instalación programada.


La tarea de instalación se envía a un servicio de Google. Posteriormente, Google gestionala instalación de la app en el dispositivo. En la página Vista de tareas, el estado de la tareaes correcto después de que haya sido enviada a Google.

18.8.5 Desinstalar una app de trabajo

Se puede desinstalar una app de trabajo de dispositivos y grupos de dispositivosseleccionados.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Apps y, a continuación, enAndroid.


3. En la página Apps Android Work, haga clic en Desinstalar.

4. Seleccione los dispositivos en los que desea desinstalar una app. Escoja una de lassiguientes opciones:




5. En la página Seleccionar app, seleccione la app correspondiente.

6. En la página Establecer fecha de ejecución, especifique la fecha en la que se desinstalarála app:

■ Seleccione Ahora para que se desinstale inmediatamente.■ Seleccione Fecha e introduzca una fecha y hora para su desinstalación programada.


La tarea de desinstalación de la app se envía a un servicio de Google. Posteriormente, Googlegestiona la eliminación de la app del dispositivo. En la página Vista de tareas, el estado dela tarea es correcto después de que haya sido enviada a Google.

Consejo: otra opción es utilizar el siguiente procedimiento para desinstalar una app de unúnico dispositivo: Abra la página Mostrar dispositivo del dispositivo, vaya a la ficha Appsinstaladas y, a continuación, haga clic en el icono de papelera junto al nombre de la aplicación.

18.8.6 Licencias para apps de trabajo

Al asignar licencias para apps de trabajo de pago a los usuarios, define qué aplicacionesestán a disposición de un usuario.

El administrador solamente asigna licencias para apps de trabajo de pago a los usuarios.Las aplicaciones gratuitas que ha aprobado en Google Play administrado están disponibles

207


automáticamente para todos los usuarios después de sincronizar la lista de apps de Googlea Sophos Mobile.

La asignación de licencia se configura en la página Editar app Android Work. ConsulteEditar una app de trabajo en la página 204.

Consejo: no es necesario asignar una licencia para instalaciones de apps iniciadas por eladministrador. Al instalar una app de trabajo como se describe en el apartado Instalar unaapp de trabajo en la página 206, una licencia de su grupo de licencias adquiridas se asignaráautomáticamente a los usuarios correspondientes.

18.8.7 Disposición de Google Play administrado

Puede definir la ubicación de cada app de trabajo en la app de Google Play Store administradoen los dispositivos de los usuarios.

Los elementos de disposición que se pueden configurar son las páginas y categorías.

■ Las páginas son vistas con nombre que se desplazan de forma vertical. Sophos Mobilepredefine las páginas y su nombre.

■ Las categorías son subsecciones con nombre de una página que defina el administradory se desplazan de forma horizontal. En la documentación de Google, las categoríastambién se conocen como clústeres.

■ Cada categoría es específica de una determinada página, y cada app aparece dentro deuna determinada categoría.

■ Las páginas que no contienen ninguna aplicación no se muestran.

■ Se pueden configurar hasta 30 categorías por página y hasta 100 apps por categoría.

Para cada app, se define la página y, de forma opcional, la categoría en la que la app semuestra en la app de Google Play Store administrado en los dispositivos de los usuarios. Pordefecto, las apps se colocan en una página llamada Otras.

La disposición de la tienda se configura en la página Editar app Android Work. ConsulteEditar una app de trabajo en la página 204.

18.8.8 Apps de trabajo configurables

Una app de trabajo puede ofrecer configuración administrada. Esta función la incluye eldesarrollador de la aplicación y permite al administrador configurar opciones de configuraciónpersonalizadas para la app.

Si una app admite la configuración administrada, aparece la nota Esta aplicación ofrececonfiguración administrada en la página de la app en Google Play administrado.

Las opciones de configuración de la app se configuran en la página Editar app AndroidWork. Consulte Editar una app de trabajo en la página 204.

18.8.9 Apps de trabajo privadas y autoalojadas

Todas las apps de trabajo que desee poner a disposición de sus usuarios deben distribuirsea través de Google Play administrado.

■ Las apps de trabajo públicas son aplicaciones que se encuentran disponibles para todoslos usuarios con una cuenta de Google Play administrado.

208


■ Las apps de trabajo privadas son aplicaciones desarrolladas por su empresa que soloestán disponibles para los usuarios que se encuentran en su dominio de Googleadministrado.

■ Las apps de trabajo autoalojadas son aplicaciones privadas para las que el paquete deapp (es decir, el archivo APK) se encuentra en un servidor que pertenece a su empresaen vez de al servidor de Google. Sin embargo, los metadatos de la tienda de apps paralas apps autoalojadas deben subirse a Google para que la app pueda distribuirse a travésde Google Play administrado.

Para más información sobre las apps de trabajo privadas, consulte la página sobre Androiden la empresa para desarrolladores (enlace externo).

209


https://developer.android.com/work/index.html

https://developer.android.com/work/index.html

19 Enviar un mensaje a dispositivosNota: esta sección no es aplicable a dispositivos Windows Desktop o Windows IoT.

Se puede enviar un mensaje personalizado a los dispositivos administrados.



2. Seleccione uno o más dispositivos, haga clic en Acciones y, a continuación, en Enviarmensaje.

3. En el cuadro de diálogo Introducir mensaje, introduzca el mensaje que desea enviar.

El mensaje puede incluir hasta 500 caracteres.


210


20 Proxy EAS independientePuede configurar un proxy EAS para controlar el acceso de sus dispositivos administradosa un servidor de correo electrónico. El tráfico de correo electrónico de sus dispositivosadministrados se enruta a través de ese proxy. Puede bloquear el acceso al correo electrónicopara los dispositivos, por ejemplo, un dispositivo que infrinja una regla de cumplimimento.

Los dispositivos deben estar configurados para usar el proxy EAS como servidor de correoelectrónico para los correos entrantes y salientes. El proxy EAS solo reenviará el tráfico alservidor de correo electrónico actual si el dispositivo es reconocido por Sophos Mobile ycumple las políticas exigidas. Esto garantiza un nivel de seguridad más alto ya que el servidorde correo electrónico no necesita estar accesible desde Internet y solo los dispositivosautorizados (configurados correctamente, por ejemplo mediante directrices de código deacceso) pueden acceder a él. Además, puede configurar el proxy EAS para bloquear elacceso desde dispositivos específicos.

El proxy EAS independiente se descarga e instala separadamente de Sophos Mobile. Secomunica con el servidor de Sophos Mobile a través de una interfaz web HTTPS.

Funciones■ Soporte para múltiples servidores de correo electrónico de Microsoft Exchange o IBM

Notes Traveler. Puede configurar una instancia del proxy EAS por servidor de correoelectrónico.

■ Compatibilidad con equilibrador de carga. Puede configurar instancias de proxy EASindependientes en varios equipos y luego usar un equilibrador de carga para distribuir lassolicitudes de los clientes entre ellas.

■ Soporte para autenticación de cliente basada en certificados. Puede seleccionar uncertificado de una autoridad de certificación (CA), del cual deben derivarse los certificadosde los clientes.

■ Soporte para el control de acceso al correo electrónico a través de PowerShell. En estecaso, el servicio de proxy EAS se comunica con el servidor de correo electrónico a travésde PowerShell para controlar el acceso al correo electrónico de sus dispositivosadministrados. El tráfico de correo electrónico se produce directamente desde losdispositivos al servidor de correo electrónico y no se enruta a través de un proxy. ConsulteConfigurar el control de acceso al correo electrónico a través de PowerShell en la página215.

Nota: para los dispositivos que no son iOS, las capacidades de filtrado del proxy EASindependiente son limitadas debido a las características específicas del protocolo de IBMNotes Traveler. Los clientes de Traveler con dispositivos que no sean iOS no envían el IDde dispositivo con cada solicitud. Las solicitudes sin un ID de dispositivo se siguen reenviandoal servidor de Traveler, aunque el proxy EAS no pueda comprobar que el dispositivo estéautorizado.

20.1 Descargue el instalador de proxy EAS1. Iniciar sesión en Sophos Central Admin.

2. En la barra lateral de menús, en Mis productos, haga clic en Mobile.

211


3. En la barra lateral de menús de la vista de Mobile, en AJUSTES, haga clic enConfiguración > Configuración del sistema y luego haga clic en la pestaña Proxy EAS.

4. En Externo, haga clic en el enlace para descargar el instalador del proxy EAS.

El archivo del instalador se guarda en su ordenador local.

20.2 Instalar el proxy EAS independienteRequisitos previos:

■ Todos los servidores de correo electrónico necesarios están accesibles. El instalador delproxy EAS no configurará conexiones a los servidores que no estén disponibles.

■ Es administrador del ordenador en el que instala el proxy EAS.

Nota: la Guía de distribución del servidor de Sophos Mobile contiene diagramas esquemáticospara la integración del proxy EAS independiente en la infraestructura de su empresa.Recomendamos que lea esta información antes de realizar la instalación y el despliegue delproxy EAS independiente.

1. Ejecute Sophos Mobile Control EAS Proxy Setup.exe para iniciar el SophosMobile Control EAS Proxy - Setup Wizard.

2. En la página Choose Install Location, elija la carpeta de destino y haga clic en Installpara iniciar la instalación.

Una vez que se haya completado la instalación, se iniciará automáticamente el SophosMobile Control EAS Proxy - Configuration Wizard, que le guiará durante los pasos deconfiguración.

3. En el cuadro de diálogo SMC Server configuration, introduzca la URL del servidor SMCcon el que se conectará el proxy EAS.

También es recomendable que seleccione Use SSL for incoming connections (Clientsto EAS Proxy) para asegurar la comunicación entre clientes y el proxy EAS.

Puede seleccionar Use client certificates for authentication si desea que los clientesusen un certificado además de las credenciales del proxy EAS para la autenticación. Estoañade un nivel adicional de seguridad a la conexión.

Seleccione Allow all certificates si su servidor de Sophos Mobile presenta diferentescertificados al proxy EAS, por ejemplo, porque hay varias instancias del servidor detrásde un equilibrador de carga y cada instancia utiliza un certificado distinto. Cuando estaopción está seleccionada, el proxy EAS aceptará cualquier certificado del servidor deSophos Mobile.

Importante: puesto que la opción Allow all certificates reduce el nivel de seguridad dela comunicación con el servidor, es muy recomendable que la seleccione solo si esimprescindible en su entorno de red.

212


https://www.sophos.com/es-es/medialibrary/PDFs/documentation/smc_71_dgeng.pdf

4. Si ha seleccionado Use SSL for incoming connections (Clients to EAS Proxy) antes,se mostrará la página Configure server certificate. En esta página puede crear o importarun certificado para el acceso seguro (HTTPS) al proxy EAS.

Nota: puede descargar un asistente de certificado SSL de MySophos y utilizarlo parasolicitar su certificado SSL para el proxy EAS de Sophos Mobile

Para obtener información general sobre cómo descargar el software de Sophos, consulteel artículo 111195 de la base de conocimiento.

■ Si todavía no tiene un certificado de confianza, seleccione Create self-signedcertificate.

■ Si tiene un certificado de confianza, haga clic en Import a certificate from a trustedissuer y seleccione una de las opciones de importación de la lista:

■ PKCS12 with certificate, private key and certificate chain (intermediate andCA)

■ Separate files for certificate, private key, intermediate and CA certificate

5. En la siguiente página, introduzca la información de certificado pertinente, dependiendodel tipo de certificado que haya seleccionado.

Nota: para un certificado autofirmado, deberá especificar un servidor al que se puedaacceder desde los dispositivos de los clientes.

6. Si ha seleccionado Use client certificates for authenticationantes, se mostrará la páginaSMC client authentication configuration. En esta página, selecciona un certificado deuna autoridad de certificación (CA), del cual deben derivarse los certificados de los clientes.

Cuando un cliente intenta conectarse, el proxy EAS comprobará si el certificado que elcliente proporciona está derivado de la CA que ha especificado aquí.

7. En la página EAS Proxy instance setup, configure una o varias instancias del proxy EAS.

■ Instance type: Seleccione EAS proxy.■ Instance name: Nombre para identificar la instancia.■ Server port: Puerto del proxy EAS para el tráfico de correo electrónico entrante. Si

configura más de una instancia de proxy, cada una de ellas debe usar un puertodiferente.

■ Require client certificate authentication: Los clientes de correo electrónico debenautenticarse cuando se conecten al proxy EAS.

■ ActiveSync server: Nombre o dirección IP del servidor con el que se conectará lainstancia de proxy.

■ SSL: La comunicación entre la instancia de proxy y el servidor ActiveSync está protegidamediante SSL.

■ Permitir solicitudes de suscripción EWS de Secure Email: Seleccione esta opciónpara permitir que la app Sophos Secure Email en iOS se suscriba a las notificacionespush mediante los servicios Web Exchange (EWS). Las notificaciones push informanal dispositivo cuando hay mensajes para Secure Email.

Nota: por defecto, el proxy EAS bloquea todas las solicitudes a la interfaz EWS delservidor de Exchange por motivos de seguridad. Al seleccionar esta casilla, se permitiránlas solicitudes de suscripción. El resto de solicitudes seguirán bloqueándose.

■ Enable Traveler client access: Solo debe seleccionar esta opción si necesita permitirel acceso de los clientes de IBM Notes Traveler en dispositivos que no son iOS.

213



8. Después de introducir la información de la instancia, haga clic en Add para añadir lainstancia a la lista Instances.

Para cada instancia de proxy, el instalador crea un certificado que necesitará cargar alservidor de Sophos Mobile. Después de hacer clic en Add, se abre una ventana de mensajeen la que se explica cómo cargar el certificado.

9. En la ventana de mensaje, haga clic en OK.

Se abrirá un cuadro de diálogo en el que se muestra la carpeta en la que se ha creado elcertificado.

Nota: también puede abrir el cuadro de diálogo seleccionando la instancia pertinente yhaciendo clic en el enlace Export config and upload to SMC en la página EAS Proxyinstance setup.

10. Tome nota de la carpeta del certificado. Necesitará esta información cuando cargue elcertificado en Sophos Mobile.

11. Opcional: Haga clic en Add otra vez para configurar más instancias de proxy EAS.

12. Cuando haya configurado todas las instancias de proxy EAS necesarias, haga clic enNext.

Se probarán los puertos de servidor que ha introducido y se configurarán las reglas detráfico entrante para el firewall de Windows.

13. En la página Allowed mail user agents, puede especificar los agentes de usuario decorreo (por ejemplo, las aplicaciones cliente de correo electrónico) a los que se permiteconectarse al proxy EAS. Cuando un cliente se conecta al proxy EAS utilizando unaaplicación de correo electrónico que no está especificada, se rechazará la solicitud.

■ Seleccione Allow all mail user agents para no establecer restricciones.■ Seleccione Only allow the specified mail user agents y luego seleccione un agente

de usuario de correo de la lista. Haga clic en Add para añadir la entrada a la lista deagentes permitidos. Repita este procedimiento para todos los agentes de usuario decorreo a los que se permita conectarse al proxy EAS.

14. En la página Sophos Mobile Control EAS Proxy - Configuration Wizard finished, hagaclic en Finish para cerrar el asistente de configuración y volver al asistente de instalación.

15. En el asistente de instalación, asegúrese de que el Start Sophos Mobile Control EASProxy server now esté seleccionado, haga clic en Finish para completar la configuracióne iniciar el proxy EAS de Sophos Mobile EAS por primera vez.

Para finalizar la configuración del proxy EAS, cargue los certificados que se han creado paracada instancia de proxy a Sophos Mobile:

16. Iniciar sesión en Sophos Central Admin.



19. En Externo, haga clic en Cargar un archivo. Cargue el certificado que ha creado elasistente de instalación para la conexión de PowerShell.

Si ha configurado más de una instancia, repita este paso para todos los certificados deinstancias.


21. En Windows, abra el cuadro de diálogo Servicios y reinicie el servicio EASProxy.

Con esto finaliza la configuración inicial del proxy EAS independiente.

214


Nota: cada día, las entradas del registro del proxy EAS se mueven a un nuevo archivo,usando el patrón de nomenclatura EASProxy.log.aaaa-mm-dd. Estos archivos de registrodiarios no se eliminan automáticamente y por tanto pueden causar problemas de espacio enel disco con el tiempo. Le recomendamos que configure un proceso para mover los archivosde registro a una ubicación de copia de seguridad.

20.3 Configurar el control de acceso al correo electrónicoa través de PowerShellPuede configurar una conexión de PowerShell a un servidor Exchange u Office 365. Estosignifica que el servicio de proxy EAS se comunica con el servidor de correo electrónico através de PowerShell para controlar el acceso al correo electrónico para sus dispositivosadministrados. El tráfico de correo electrónico se enruta directamente desde los dispositivosal servidor de correo electrónico. No se enruta a través de un proxy.

El entorno de PowerShell tiene estas ventajas:

■ Los dispositivos se comunican directamente con el servidor de Exchange.

■ No necesita abrir ningún puerto en su servidor para el tráfico de correo electrónico entrantedesde sus dispositivos administrados.

Los servidores de correo electrónico admitidos son:

■ Exchange Server 2010



■ Office 365 con un plan Exchange Online

Para configurar PowerShell:

1. Configure PowerShell.2. Cree una cuenta de servicio en el servidor de Exchange u Office 365. Sophos Mobile

utilizará esta cuenta para ejecutar comandos de PowerShell.3. Configure una o varias instancias de conexión de PowerShell para Exchange u Office

365.4. Cargue los certificados de instancias a Sophos Mobile.

Configurar PowerShell

1. En el ordenador en el que va a instalar el proxy EAS, abra Windows PowerShell comoadministrador y escriba:

PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned

Nota: si PowerShell no está disponible, instálelo según se describe en el artículo deMicrosoft Instalación de Windows PowerShell (enlace externo).

2. Si desea conectarse a un servidor de Exchange local, abra Windows PowerShell comoadministrador en ese ordenador y escriba el mismo comando que antes:

PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned

Nota: este paso no es necesario para Office 365.

Crear una cuenta de servicio

215


https://msdn.microsoft.com/es-es/powershell/scripting/setup/installing-windows-powershell

3. Inicie sesión en la consola de administración relevante:

■ Para Exchange Server 2010: Consola de administración de Exchange■ Para Exchange Server 2013/2016: Centro de administración de Exchange■ Para Office 365: Centro de administración de Office 365

4. Cree una cuenta de usuario. Sophos Mobile utilizará esta cuenta como cuenta de serviciopara ejecutar comandos de PowerShell.

■ Utilice un nombre de usuario como smc_powershell que identifique el propósito dela cuenta.

■ Desactive la opción para hacer que el usuario cambie su contraseña la próxima vezque inicie sesión.

■ Elimine cualquier licencia de Office 365 que se haya asignado automáticamente a lanueva cuenta. Las cuentas de servicio no requieren ninguna licencia.

5. Cree un nuevo grupo de roles y asígnelo a los permisos requeridos.

■ Utilice un nombre de grupo de roles como smc_powershell.

■ Añada los roles Mail Recipients y Organization Client Access.

■ Añada la cuenta de servicio como miembro.

Configurar conexiones de PowerShell

6. Utilice el asistente de instalación como si fuera a configurar un proxy EAS independiente.En el paso del asistente EAS Proxy instance setup, configure las siguientes opciones:

■ Instance type: Seleccione PowerShell Exchange/Office 365.■ Instance name: Nombre para identificar la instancia.■ Exchange server: Nombre o dirección IP del servidor de Exchange (para la instalación

de un servidor de Exchange local) u outlook.office365.com (para Office 365).No incluya un prefijo https:// ni un sufijo /powershell. Se añadenautomáticamente.

■ Allow all certificates: El certificado que presenta el servidor de Exchange no esverificado. Utilice esta opción, por ejemplo, si tiene un certificado autofirmado instaladoen su servidor de Exchange. Puesto que la opción Allow all certificates reduce elnivel de seguridad de la comunicación con el servidor, es muy recomendable que laseleccione solo si es imprescindible en su entorno de red.

■ Permitir solicitudes de suscripción EWS de Secure Email: Seleccione esta opciónpara permitir que la app Sophos Secure Email en iOS se suscriba a las notificacionespush mediante los servicios Web Exchange (EWS). Las notificaciones push informanal dispositivo cuando hay mensajes para Secure Email.

Nota: por defecto, el proxy EAS bloquea todas las solicitudes a la interfaz EWS delservidor de Exchange por motivos de seguridad. Al seleccionar esta casilla, se permitiránlas solicitudes de suscripción. El resto de solicitudes seguirán bloqueándose.

■ Service account: Nombre de la cuenta de usuario que ha creado en la consola deadministración de Exchange u Office 365.

■ Password: Contraseña de la cuenta de usuario.

7. Haga clic en Add para añadir la instancia a la lista Instances.

8. Opcional: Repita los pasos anteriores para configurar las conexiones de PowerShell aotros servidores de Exchange u Office 365.

9. Complete el asistente de instalación según se describe en Instalar el proxy EASindependiente en la página 212.

216


Cargar certificados

10. Iniciar sesión en Sophos Central Admin.



13. En Externo, haga clic en Cargar un archivo. Cargue el certificado que ha creado elasistente de instalación para la conexión de PowerShell.

Si ha configurado más de una instancia, repita este paso para todos los certificados deinstancias.



Con esto finaliza la configuración inicial de las conexiones de PowerShell. El tráfico de correoelectrónico entre un dispositivo administrado y los servidores de Exchange u Office 365 sebloquea si el dispositivo infringe una regla de cumplimiento. Puede bloquear un dispositivoindividual estableciendo el modo de acceso al correo electrónico para ese dispositivo enDeny.

Nota: en función de la configuración de su servidor de Exchange, los dispositivos recibenuna notificación cuando se bloquea su acceso al correo electrónico.

20.4 Configurar una conexión al proxy EAS independientePara configurar la conexión entre Sophos Mobile y el proxy EAS independiente, se carga elcertificado del servidor proxy EAS a Sophos Mobile. El certificado se generó cuando configuróla instancia de proxy EAS.

Para obtener información sobre la instalación y la configuración del proxy EAS independiente,consulte Proxy EAS independiente en la página 211.

Importante: si el servicio de proxy EAS se inicia antes de que haya cargado el certificado,Sophos Mobile rechaza la conexión al servidor y el servicio no consigue iniciarse.

Para cargar el certificado del proxy EAS independiente:

1. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuracióndel sistema y, a continuación, haga clic en la ficha Proxy EAS.

2. En la sección Externo, haga clic en Cargar un archivo y busque el archivo del certificado.

Si ha configurado más de una instancia de proxy EAS, repita este paso para todas lasinstancias.



217


21 Administrar Sophos Mobile SecurityNota: esta función requiere una licencia Mobile Security o Mobile Advanced.

Sophos Mobile Security es una app de seguridad para dispositivos Android que protege losdispositivos de apps maliciosas y ayuda a los usuarios a detectar permisos de apps quepodrían suponer un riesgo para la seguridad. Su capacidad de filtrado web le permite filtrarsitios web por categorías y bloquear contenido inapropiado.

En la consola de Sophos Mobile puede administrar la app Sophos Mobile Security en losdispositivos que estén inscritos en Sophos Mobile según se detalla a continuación:

■ Puede definir las opciones de configuración de la app Sophos Mobile Security de formaremota y centralizada.

■ Puede asegurar que la app Sophos Mobile Security esté instalada y que ejecuteescaneados a intervalos definidos. Puede definir esto como una regla de cumplimiento.

■ Puede activar escaneados para dispositivos específicos.

■ Puede ver los resultados de los escaneados para los dispositivos.

Para más información sobre Sophos Mobile Security, consulte la Ayuda de Sophos MobileSecurity.

21.1 Configurar opciones de antivirus para Sophos MobileSecurityRequisitos previos: Ha activado una licencia Mobile Security.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Perfiles y, a continuación,en Android.

Aparece la página Perfiles y políticas.

2. Haga clic en Crear y seleccione Política de seguridad para dispositivos móviles.

Aparece la página Editar política.

3. Introduzca el nombre para el nuevo perfil.

4. En el campo Descripción, escriba una descripción para el perfil.

5. Haga clic en Añadir configuración.

Aparece la página Configuraciones disponibles.

6. Seleccione Antivirus y haga clic en Siguiente.

Aparece la vista de opciones de configuración.

7. Vaya a la ficha Antivirus.

8. En General, puede especificar lo siguiente:

a) Defina en el Modo de escaneado en la nube cuándo Sophos Mobile Security debecomprobar la información más reciente sobre programas maliciosos. Seleccione una

218


de las opciones siguientes para definir cuándo la app debe usar el servicio decomprobación en la nube.

■ Siempre

■ No en roaming

■ Solo Wi-Fi

Estas opciones permiten controlar el tráfico de datos en la app. Si selecciona la opciónSolo Wi-Fi para el Modo de escaneado en la nube, la comprobación en la nube solose realiza cuando el dispositivo tenga una conexión Wi-Fi. Si selecciona la opción Noen roaming para el Modo de escaneado en la nube, no se realiza ningunacomprobación en la nube mientras que el dispositivo se encuentre en roaming en unared extranjera.

b) Seleccione en la lista Intervalo de escaneado programado la frecuencia con la quese deben realizar los escaneados.

Si selecciona Diariamente mientras se carga, se realizará un escaneado cuando eldispositivo haya estado conectado a una fuente de alimentación durante más de 30minutos.

9. En Destinos, puede especificar lo siguiente:

a) Seleccione Escanear apps de sistema para incluir las apps de sistema en losescaneados.

Las apps de sistema no se escanean por defecto, ya que están protegidas por el SOAndroid y no pueden ser eliminadas por el usuario. Pero puede activar el escaneadode apps de sistema aquí.

b) Seleccione Escanear almacenamiento para escanear todos los archivos enalmacenamientos internos compartidos, tarjetas SD y dispositivos USB conectados enbúsqueda de amenazas, además del escaneado por defecto de todas las appsinstaladas.

10. En Apps no deseadas, puede especificar lo siguiente:

a) Seleccione Apps no deseadas detectadas para detectar aplicaciones no deseadas.

Las apps no deseadas son aquellas apps que, a pesar de no ser maliciosas, songeneralmente consideradas inapropiadas para la mayoría de redes corporativas. Lasapps no deseadas incluyen programas publicitarios, marcadores telefónicos oherramientas de control remoto y de piratas informáticos. En cualquier caso, ciertasapps que pueden entrar en la categoría de apps no deseadas pueden ser consideradasútiles por algunos usuarios.

Al seleccionar esta opción, Sophos Mobile Security detectará las apps no deseadasdurante los escaneados y notificará al usuario del dispositivo convenientemente.

b) Seleccione Habilitar usuario para permitir apps no deseadas para que los usuariospuedan permitir apps a pesar de haber sido detectadas como apps no deseadas. Elusuario puede marcarlas como ignoradas. En los escaneados posteriores, estas appsya no aparecerán como apps no deseadas.

219


11. En Apps de baja reputación puede especificar cómo se deben tratar estas apps. Laclasificación de las apps está basada en los datos de Sophos Live Protection. En Modo,puede especificar lo siguiente:

a) Seleccione Permitir para desactivar el escaneado de apps de baja reputación.

b) Seleccione Avisar para mostrar un aviso en el dispositivo cuando se detecte una appde baja reputación. Entonces los usuarios pueden elegir cómo se debe de tratar laapp. Pueden añadirla a una lista de apps permitidas de modo que ya no se muestrenmás advertencias si se detecta esta app de nuevo.

c) Seleccione Bloquear para evitar que se puedan abrir apps de baja reputación. Semuestra una advertencia, pero el usuario no puede abrir la app.

12. En Protección activa, puede especificar lo siguiente:

a) Asegúrese de que la casilla de verificación Notificación de escaneado estáseleccionada para recibir notificaciones de escaneado.

b) Seleccione Supervisar almacenamiento para monitorizar almacenamientos internoscompartidos, tarjetas SD y dispositivos USB conectados en búsqueda de cambios. Alguardar archivos nuevos en estas ubicaciones, estos se escanean.

13. Si los resultados del escaneado incluyen apps que deban poder abrirse, puede añadirlasa la lista de apps permitidas. Las apps de esta lista tienen permiso para poder abrirse.Estas apps no se notificarán.

Para identificar estas apps, puede utilizar los resultados de escaneado de Sophos MobileSecurity. Consulte Ver resultados de escaneado de Sophos Mobile Security en la página222. Antes de poder permitir la ejecución de estas apps en los dispositivos, es necesarioañadirlas a un grupo de apps, según se describe en Grupos de apps en la página 191.

14. Para añadir apps permitidas, seleccione el grupo de apps que contenga las apps permitidas.


21.2 Configurar opciones de filtrado web para SophosMobile SecurityRequisitos previos: Ha activado una licencia Mobile Security.

La app Sophos Mobile Security protege contra la navegación en sitios con contenido malicioso,no deseado o ilegal.

Nota: el filtrado web funciona solo con el navegador web de Android o con Google Chrome.

1. En la barra lateral de menús, en CONFIGURAR, haga clic en Perfiles y, a continuación,en Android.

Aparece la página Perfiles y políticas.

2. Haga clic en Crear y seleccione Política de seguridad para dispositivos móviles.

Aparece la página Editar política.

3. Introduzca el nombre para el nuevo perfil.

4. En el campo Descripción, escriba una descripción para el perfil.

5. Haga clic en Añadir configuración.

Aparece la página Configuraciones disponibles.

220


6. Seleccione Filtrado web y haga clic en Siguiente.

Aparece la página Filtrado web.

7. En el campo Filtrar sitios web maliciosos, configure el acceso a sitios web con contenidomalicioso.

8. En Filtrar sitios web por categoría, configure el acceso a los sitios web según sucategoría.

Los sitios web se categorizan utilizando datos de SophosLabs. Los datos se actualizanpermanentemente.

9. En Excepciones web, puede definir:

a) Dominios permitidos: añada dominios o direcciones IP que deban permitirse, a pesarde que la categoría a la que pertenecen está bloqueada.

b) Dominios permitidos: añada dominios o direcciones IP que deban bloquearse, apesar de que la categoría a la que pertenecen está permitida.

Puede insertar nombres de dominio o direcciones IP. Ejemplos: www.empresa.com,*.empresa.com, 10.2.0.1, 10.2.0.1/24


Los usuarios no pueden modificar las opciones de configuración que ha especificado eladministrador en Sophos Mobile.

21.3 Definir reglas de cumplimiento de Sophos MobileSecurityRequisitos previos: Ha activado una licencia Mobile Security.

Se pueden configurar las reglas de cumplimiento relativas a Sophos Mobile Security.

1. Añada una nueva política de cumplimiento o abra una política existente para editarla. Paramás información, consulte Políticas de cumplimiento en la página 28.

2. Vaya a la ficha Android.

3. En el campo Intervalo máx. de escaneado SMSec puede especificar el intervalo deescaneado máximo de los escaneados realizados por la app Sophos Mobile Security paradetectar programas maliciosos.

4. En la lista Denegación de permisos SMSec permitida, seleccione si la denegación delos permisos necesarios constituye una violación del cumplimiento.

5. Seleccione en la lista Apps maliciosas permitidas si se permiten apps maliciosasdetectadas.

6. Seleccione en la lista Apps sospechosas permitidas si se permiten apps sospechosasdetectadas.

7. Seleccione en la lista Apps no deseadas permitidas si se permiten apps no deseadasdetectadas.

8. Una vez especificadas todas las opciones de configuración necesarias, haga clic enGuardar.

221


21.4 Ver resultados de escaneado de Sophos MobileSecurityNota: esta función requiere una licencia del tipo Mobile Advanced.


2. Haga clic en el triángulo azul junto al dispositivo correspondiente y haga clic en Editar ohaga clic en su nombre.

Aparece la página Mostrar dispositivo o Editar dispositivo.

3. Vaya a la ficha Resultados de escaneado.

La ficha muestra los resultados de escaneado de Sophos Mobile Security. En una tablase muestran los paquetes con problemas, p. ej., apps no deseadas. En Nombre de laamenaza puede hacer clic en los enlaces para ver información adicional de SophosLabssobre la amenaza correspondiente.

4. Vaya a la ficha Infracciones de cumplimiento para ver las infracciones de cumplimientorelacionadas con los resultados del escaneado. Las infracciones mostradas dependen delas reglas de cumplimiento en Sophos Mobile Security.

21.4.1 Crear una lista de apps no deseadas y apps de baja reputaciónpermitidas

Nota: esta función requiere una licencia del tipo Mobile Advanced.

Los resultados del escaneado de Sophos Mobile Security se pueden usar para crear unalista de apps permitidas.


2. Haga clic en el triángulo azul junto al dispositivo cuyos resultados de escaneado deseausar y, a continuación, haga clic en Editar.

3. Vaya a la ficha Resultados de escaneado.

En la tabla se muestran los paquetes con problemas. La columna Nombre de la amenazaindica si el paquete mostrado es una app de baja reputación, una app no deseada o unprograma malicioso. Puede hacer clic en los enlaces para ver información adicional sobrela amenaza de SophosLabs.

Las apps de baja reputación y las apps no deseadas tienen un icono de marca deverificación azul a la izquierda del nombre del paquete. Solo se pueden añadir estas appsa la lista de apps permitidas.

4. Haga clic en el icono de marca de verificación azul para añadir la app a la lista de appspermitidas.

5. En el cuadro de diálogo, haga clic en Sí para confirmar la operación.

La app se añade a la lista de apps permitidas.

6. Repita este paso para todas las apps que quiera añadir.

7. Para ver la lista vaya a Configuración y haga clic en General.

222


8. Haga clic en Ver lista de permisos.

Se muestran todas las apps que ha añadido. Las apps de esta lista se pueden abrir entodos los dispositivos administrados. Desde este momento estas apps ya no se notifican.

Al hacer clic en Vaciar lista de permisos se eliminan todas las entradas de la lista.

223


22 Contenedor de SophosNota: esta función requiere una licencia del tipo Mobile Advanced.

El contenedor de Sophos es un área lógica del dispositivo que contiene las apps SophosSecure Workspace, Sophos Secure Email y Sophos Mobile Security cuando estánadministradas por Sophos Mobile.

El contenedor de Sophos está disponible para las siguientes plataformas:

■ Android

■ iOS

22.1 Configurar Inscripción de contenedor de SophosNota: esta función requiere una licencia del tipo Mobile Advanced.

Para inscribir dispositivos con Sophos Mobile usando el tipo de inscripción Contenedor deSophos, debe realizar los siguientes pasos de configuración. Es necesario hacer esto paracada plataforma (Android, iOS) para la que quiera usar la inscripción de contenedor deSophos.

1. Cree una política de contenedor. Consulte Configuraciones para políticas de contenedorde Sophos para Android en la página 97 y Configuraciones para políticas de contenedorde Sophos para iOS en la página 141.

2. Use esta política de contenedor en un paquete de tareas.

El paquete de tareas debe contener por lo menos una tarea Inscribir contenedor deSophos y una tarea Instalar perfil o asignar política. Consulte Crear paquete de tareasen la página 171.

3. Use este paquete de tareas como paquete inicial para inscripciones a través del portal deautoservicio de Sophos Central:

En las opciones del portal de autoservicio, en la ficha Configuración de grupo, seleccioneel paquete de tareas en el campo Paquete inicial - dispositivos corporativos o Paqueteinicial - dispositivos personales. Consulte Configurar las opciones del portal deautoservicio en la página 17.

22.2 Licencia AdvancedAl activar una licencia Mobile Advanced, puede administrar la app Sophos Secure Workspacey la app Sophos Secure Email mediante Sophos Mobile. Consulte Administrar apps decontenedor de Sophos en la página 225.

Después de recibir la clave de licencia, es necesario activar la licencia.

Activar una licencia Mobile Advanced

En Sophos Central Admin, haga clic en el nombre de su cuenta (parte superior derecha dela interfaz de usuario), seleccione Licencias e introduzca la clave de licencia en el campoAplicar código de activación.

224


22.3 Administrar apps de contenedor de SophosNota: esta función requiere una licencia del tipo Mobile Advanced.

Para una mejor separación de los datos en los dispositivos administrados, Sophos Mobileproporciona las apps de contenedor Sophos Sophos Secure Email y Sophos SecureWorkspace:

■ Sophos Secure Email es una app para dispositivos iOS y Android que ofrece un contenedorseguro para gestionar su correo electrónico, calendario y contactos.

■ Sophos Secure Workspace es una app para dispositivos iOS y Android que permite a losusuarios acceder a archivos cifrados almacenados en la nube. Los archivos puedendescifrarse y visualizarse con facilidad. Los archivos cifrados pueden obtenerse de otrasapps y subirse a uno de los servicios de almacenamiento en la nube compatibles.Alternativamente, también se pueden almacenar los documentos de forma local en laaplicación.

Con Sophos Secure Workspace puede leer archivos cifrados por SafeGuard Cloud Storageo SafeGuard Data Exchange. Ambos son módulos de SafeGuard Enterprise o una de susdiferentes ediciones. Permiten cifrar archivos utilizando una clave local. Estas claveslocales se derivan de una contraseña introducida por el usuario. Sólo puede descifrar unarchivo si conoce la contraseña que se usó para cifrar el archivo.

El contenedor Sophos proporciona:

■ Reglas de contraseñas definidas de forma centralizada

■ Reglas de contraseña para todas las apps de contenedor

■ Inicio de sesión único para todas las apps de contenedor

■ Configuración de documento de Sophos Secure Workspace

■ Configuración de navegador de Sophos Secure Workspace

■ Configuración de Sophos Secure Email

Las apps de Sophos se pueden administrar con Sophos Mobile según se detalla acontinuación:

■ Puede definir las opciones de configuración de las apps de contenedor de Sophos entodos los dispositivos administrados de forma remota y centralizada en Sophos Mobile.Consulte Configuraciones para políticas de contenedor de Sophos para Android en lapágina 97 y Configuraciones para políticas de contenedor de Sophos para iOS en lapágina 141.

■ Mediante políticas de cumplimiento, puede asegurar que las apps del contenedor deSophos estén instaladas en los dispositivos.

■ Puede activar la distribución segura de documentos con el proveedor de almacenamientode Documentos corporativos. Consulte Documentos corporativos en la página 193.

Nota: para poder administrar las apps de contenedor de Sophos, estas se deben distribuircon Sophos Mobile. Si los usuarios ya tienen una versión no administrada de Sophos SecureWorkspace instalada en sus dispositivos, deberán primero desinstalar esta versión e instalara continuación la versión administrada.

Para más información sobre Sophos Secure Workspace, consulte la Ayuda de Sophos SecureWorkspace.

225


22.4 Restablecer contraseña del contenedor de SophosNota: esta función requiere una licencia del tipo Mobile Advanced.

Nota: esta sección se aplica a los dispositivos que tienen asignada una política de contenedorde Sophos.

Puede restablecer la contraseña del contenedor de Sophos. Esto resulta útil, p. ej., cuandolos usuarios olvidan su contraseña. Cuando se restablece la contraseña del contenedor deSophos, los usuarios deben definir una contraseña de contenedor nueva.



2. Haga clic en el dispositivo para el que quiere restablecer la contraseña del contenedor deSophos.

Aparece la página Mostrar dispositivo.

3. Haga clic en Acciones.

Aparece el menú Acciones.

4. Haga clic en Restablecer contraseña del contenedor de Sophos.

5. En el cuadro de diálogo, haga clic en Sí para confirmar la operación.

La contraseña del contenedor de Sophos se restablece. El usuario debe introducir una nuevacontraseña del contenedor de Sophos.

22.5 Bloquear y desbloquear el contenedor SophosNota: esta función requiere una licencia del tipo Mobile Advanced.

Nota: esta sección se aplica a los dispositivos que tienen asignada una política de contenedorde Sophos.

Puede bloquear o desbloquear el contenedor de Sophos, es decir, definir los permisos deacceso para las apps del contenedor de Sophos y para los datos dentro del contenedor.


2. En la página Dispositivos, haga clic en el triángulo azul junto al dispositivo para el quedesea bloquear o desbloquear el contenedor de Sophos y, a continuación, haga clic enMostrar.

3. En la página Mostrar dispositivo, haga clic en Acciones > Establecer acceso alcontenedor de Sophos.

4. En el cuadro de diálogo para definir los permisos de acceso, seleccione una de lassiguientes opciones:

■ Denegar: El contenedor de Sophos está bloqueado. Los usuarios no pueden seguirusándolo.

■ Permitir: El contenedor de Sophos está desbloqueado.■ Modo auto: El contenedor de Sophos está bloqueado si el dispositivo infringe una

regla de cumplimiento para la que esté activada la acción Bloquear contenedor. Estees el comportamiento predeterminado si no se ha definido un permiso de acceso.


226


Se activa la sincronización del dispositivo con el servidor de Sophos Mobile. Al finalizar lasincronización, la opción de configuración se aplica al dispositivo.

227


23 Glosario

Un repositorio de apps alojado en el servidor de Sophos Mobile.El administrador puede utilizar la consola de Sophos Mobile para

Almacén empresarialde aplicaciones

añadir apps al almacén empresarial de aplicaciones. Los usuariospueden usar entonces la app Sophos Mobile Control para instalaresas apps en sus dispositivos.

El proceso de instalar la app Sophos Mobile Control en undispositivo.

aprovisionamiento

La app Sophos Mobile Control que se instala en los dispositivosadministrados por Sophos Mobile.

Cliente Sophos Mobile

El dispositivo que se va a administrar (p. ej., un teléfono inteligente,una tableta o un dispositivo Windows 10).

dispositivo

Registro de un dispositivo con Sophos Mobile.inscripción

La licencia de tipo Mobile Advanced le permite administrar lasapps Sophos Mobile Security, Sophos Secure Workspace ySophos Secure Email mediante Sophos Mobile.

Licencia MobileAdvanced

Paquete que se crea para agrupar diversas tareas en unatransacción. Puede agrupar todas las tareas necesarias paracompletar la inscripción y la activación de un dispositivo.

paquete de tareas

Interfaz web que permite a los usuarios inscribir sus propiosdispositivos y realizar otras tareas sin tener que contactar consoporte.

Portal de autoserviciode Sophos Central

Abreviatura de Sophos Mobile Security.SMSec

La interfaz web que se utiliza para administrar los dispositivos.Sophos Central Admin

Una app de seguridad para dispositivos Android. Puede administraresta app con Sophos Mobile, siempre que haya disponible unalicencia de tipo Mobile Advanced y esta esté activada.

Sophos MobileSecurity

Una app para dispositivos Apple iOS y Android que ofrece uncontenedor seguro para gestionar su correo electrónico, calendario

Sophos Secure Email

y contactos. Puede administrar esta app con Sophos Mobile,siempre que haya disponible una licencia de tipo Mobile Advancedy esta esté activada.

Una app para dispositivos iOS y Android que proporciona unespacio de trabajo seguro en el que se pueden explorar,

Sophos SecureWorkspace

administrar, editar, compartir, cifrar y descifrar documentos dedistintos proveedores de almacenamiento o distribuidos por su

228


empresa. Puede administrar esta app con Sophos Mobile, siempreque haya disponible una licencia de tipo Mobile Advanced y estaesté activada.

229


24 Soporte técnicoPara obtener asistencia técnica sobre cualquier producto de Sophos, puede:

■ Visitar la comunidad de Sophos en community.sophos.com/ para consultar casos similares.

■ Visitar la base de conocimiento de Sophos en www.sophos.com/es-es/support.aspx.

■ Descargar la documentación correspondiente desdewww.sophos.com/es-es/support/documentation.aspx.

■ Abrir un ticket de incidencia con nuestro equipo de soporte enhttps://secure2.sophos.com/support/contact-support/support-query.aspx.

230


https://community.sophos.com

https://www.sophos.com/es-es/support.aspx

https://www.sophos.com/es-es/support/documentation.aspx

https://secure2.sophos.com/es-es/support/contact-support/support-query.aspx

25 Aviso legalCopyright © 2011-2017 Sophos Limited. Todos los derechos reservados.

Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida deninguna forma, ni por ningún medio, sea éste electrónico, mecánico, grabación, fotocopia ocualquier otro sin la correspondiente licencia del producto, bajo dichos términos, o sin laprevia autorización escrita por parte del propietario.

Sophos es una marca registrada de Sophos Limited y Sophos Group. Los demás productosy empresas mencionados son marcas registradas de sus respectivos propietarios.

Última actualización: 20170821

231


Documents

Sophos Mobile en Central · 2017-10-09 · Mobile y Mobile Enterprise de Windows 10 y a Windows Phone 8.1. A no ser que se especifique lo contr ario, Windows Desktop o Windows 10