El Mobile Application Management (MAM) de Microsoft Intune se ha convertido en una estrategia muy utilizada por organizaciones que no proporcionan teléfonos corporativos, pero aún necesitan que sus empleados accedan de forma segura a correo, Teams, OneDrive y otros servicios de Microsoft 365 desde sus dispositivos personales.
En este artículo quiero compartirte cómo funciona MAM en un escenario de BYOD (Bring Your Own Device), el rol del Conditional Access, y cómo un script publicado en SMBtoTheCloud puede automatizar la configuración inicial.
🔧 El script para automatizar MAM
El autor del artículo “Configure MAM for iOS & Android with One Script” publicó un script en PowerShell que simplifica la creación de toda la infraestructura necesaria para MAM en Intune.
El script:
- Está reescrito para usar Invoke-MgGraphRequest directamente contra Microsoft Graph, en lugar del SDK de PowerShell.
- Descarga las plantillas de políticas de App Protection desde GitHub (puedes usar las suyas o las tuyas).
- Crea un grupo de seguridad llamado
MAM_PilotGroup. - Crea dos filtros de dispositivo administrado: uno para Android no administrados y otro para iOS no administrados.
- Crea y asigna App Protection Policies (APP) básicas para Android e iOS a ese grupo piloto.
- Crea una política de Acceso Condicional (inicialmente en estado Off) que exige el uso de apps con políticas de protección para acceder desde dispositivos no administrados.
- Genera un log en C:\Temp al ejecutarse.
El resultado: en menos de 10 segundos ya tienes toda la configuración base de MAM lista; solo falta agregar usuarios al grupo piloto y, cuando estés listo, activar la política de Acceso Condicional.
👥 ¿Qué es MAM y en qué se diferencia de MDM?
- MDM (Mobile Device Management) → Inscribe el dispositivo completo en Intune. Permite aplicar configuraciones al sistema operativo, instalar apps corporativas de manera obligatoria, exigir cifrado en todo el dispositivo, etc.
- MAM (Mobile Application Management) → No inscribe el dispositivo. Solo protege las apps corporativas (Outlook, Teams, OneDrive, Word, Excel). El resto del teléfono personal queda fuera de la gestión de la empresa.
👉 Importante:
- En Android/iOS, MAM funciona sin inscripción del dispositivo.
- En Windows 10/11, no existe MAM sin inscripción: ahí siempre se requiere MDM.
🔑 Flujo de usuario en MAM (BYOD)
- Instalar apps corporativas
- El usuario descarga desde la App Store o Google Play Store apps como Outlook, Teams, OneDrive, Word, Excel.
- Si la organización usa MFA, se recomienda instalar también Microsoft Authenticator.
- Iniciar sesión
- El usuario abre, por ejemplo, Outlook e ingresa su cuenta corporativa.
- Durante el proceso, en muchos casos la app solicita instalar Microsoft Intune Company Portal.
- Importante: esto no significa que el dispositivo se vaya a inscribir.
- La app solo necesita detectar que el Company Portal está presente para validar que puede aplicar las App Protection Policies (MAM).
- El usuario no tiene que inscribir su dispositivo, solo asegurarse de que la app Company Portal esté instalada.
- Aplicación de políticas MAM
- Una vez autenticado, se aplican las App Protection Policies:
- Requerir PIN o biometría.
- Datos corporativos cifrados.
- Restringir copiar/pegar fuera de apps gestionadas.
- Bloqueo de sesión tras inactividad.
- Una vez autenticado, se aplican las App Protection Policies:
- Acceso seguro a datos
- El usuario ya puede acceder a su correo, archivos de OneDrive o colaborar en Teams desde su teléfono personal.
- Los datos corporativos quedan protegidos sin necesidad de inscribir el dispositivo completo ni afectar la información personal.
🛡️ Rol del Acceso Condicional (CA)
El Acceso Condicional es el “portero” que decide si el usuario puede entrar o no a los recursos de Microsoft 365.
En este escenario:
- La política creada por el script apunta al grupo
MAM_PilotGroup. - Condición: usuario en Android/iOS desde dispositivo no administrado.
- Requisito: que la app tenga App Protection Policy aplicada.
- Estado inicial: Off (para no bloquear de inmediato).
Cuando el administrador decide activarla:
- Solo las apps corporativas protegidas por MAM podrán acceder a correo y datos.
- Cualquier intento de acceso desde apps no gestionadas (ejemplo: Gmail, Apple Mail, apps de terceros) será bloqueado.
👉 Nota:
- Si activas CA sin APP, bloqueas el acceso.
- Si aplicas APP sin CA, proteges apps gestionadas, pero aún se puede entrar con apps no gestionadas.
- El modelo correcto es APP + CA juntos.
📊 Ejemplo de flujo con todo activo
- El usuario
juan@empresa.comestá en el grupoMAM_PilotGroup. - Juan abre Outlook en su iPhone personal.
- Outlook pide credenciales y solicita instalar Company Portal. El usuario lo instala, pero no inscribe su dispositivo.
- Outlook aplica la política MAM: PIN, cifrado, copy/paste control.
- Outlook intenta conectarse a Exchange Online.
- Conditional Access revisa:
- ¿El usuario está en el grupo correcto? ✅
- ¿Es un dispositivo no administrado? ✅
- ¿La app es gestionada y tiene política MAM aplicada? ✅
- Resultado → acceso concedido.
Si Juan intentara abrir el correo desde Apple Mail:
- CA detecta que no hay App Protection Policy → acceso bloqueado.
📌 Conclusiones
- MAM es ideal para BYOD: protege datos corporativos en apps sin necesidad de inscribir el teléfono completo.
- El script de SMBtoTheCloud ahorra tiempo creando los componentes básicos: grupo piloto, filtros, políticas APP y CA.
- El Company Portal puede ser requerido por algunas apps (como Outlook), pero no implica inscripción del dispositivo; solo sirve para que Intune valide el contexto y aplique las políticas.
- El Conditional Access es la clave para garantizar que solo apps gestionadas puedan acceder a datos corporativos.
- Windows no soporta MAM sin inscripción; solo aplica a Android/iOS.
- El enfoque recomendado es:
- Crear políticas APP.
- Probar con usuarios en
MAM_PilotGroup. - Activar CA cuando la organización esté lista.
Octavio Rdz
About the author
Cómo empezar con Security Copilot Agents en Microsoft Intune
En esta guía te muestro cómo iniciar con Security Copilot Agents (Preview) dentro de Microsoft Intune, de forma segura: primero solo observación y análisis, sin cambios automáticos. Ideal para aprender el flujo, validar permisos y entender qué te entrega Copilot antes de llevarlo a un cliente. 1. ¿Qué son los Security Copilot Agents en Intune? Los Security Copilot Agents en Intune son asistentes basados en IA que ayudan a realizar tareas de seguridad de forma guiada, como: Revisar el impacto de cambios en configuración/políticas Sugerir ajustes recomendados (baseline/seguridad) Detectar inconsistencias o situaciones que requieren atención (por ejemplo, dispositivos “huérfanos”) Importante: están en Vista previa (Preview), por lo que las opciones pueden cambiar y es normal ver “More agents coming soon”. 2. Prerrequisitos (antes de tocar cualquier cosa) Para ver y usar esta pantalla, normalmente necesitas: Requisitos de acceso Acceso al […]
IntelvPro Fleet Services: Conceptos clave con Octavio Rdz Pt.2 – EP11 Cloud Wizards
🎥 “Hands-On con Intel EMA e Intel vPro Fleet Services (Pt. 2)” En esta segunda entrega junto a Cloud Wizards, pasamos del concepto a la práctica real 🧠💻.Recorremos paso a paso cómo administrar Intel vPro Fleet Services e Intel Endpoint Management Assistant (EMA), desde la configuración inicial hasta acciones remotas avanzadas sobre dispositivos administrados. 💡 En este episodio verás:🔹 Activación de Intel AMT y enrolamiento de dispositivos.🔹 Ejecución de comandos y diagnósticos remotos a nivel hardware.🔹 Integración real con Microsoft Intune y escenarios de administración híbrida.🔹 Casos de uso que reducen tiempos de soporte y aumentan la resiliencia operativa. https://www.youtube.com/watch?v=NirLo3c-j2c Sin más por el momento nos despedimos enviándoles un gran saludo a todos nuestros lectores.
IntelvPro Fleet Services: Conceptos clave con Octavio Rdz Pt.1 – EP11 Cloud Wizards
🚀 Nuevo episodio disponible – “Intel vPro Fleet Services: Conceptos clave (Pt.1)”Estoy encantado de acompañar a Cloud Wizards en este episodio donde exploramos en profundidad las capacidades y beneficios de Intel vPro Fleet Services.👉 Algunos puntos que abordamos:Cómo Intel vPro Fleet Services simplifica la gestión de flotas de PCs mediante activación rápida de Intel AMT y control remoto a nivel hardware.La integración con plataformas modernas de gestión (como Microsoft Intune) que permite administrar dispositivos en cualquier ubicación, estén apagados, con sistema operativo caído o fuera de la red corporativa.Cómo estas capacidades se traducen en una recuperación de incidentes más ágil, menos dependencia de soporte presencial y mayor resiliencia operativa.📌 Por qué es relevante para ti (especialmente si estás en TI, movilidad corporativa, Intune, MDM o seguridad):Te permite añadir valor a tu propuesta de gestión de dispositivos, al contar con control […]
CSC-PD-PCO+Dell -Security Week – Microsoft Intune
🚀 Esta semana tuve la oportunidad de participar en el Security Week de PCO con Dell Technologies, compartiendo cómo la plataforma de Microsoft Intune impulsa la gestión moderna y la seguridad de los endpoints en entornos corporativos.🔐 Durante mi sesión hablamos de la importancia de tener una estrategia centralizada para proteger y administrar dispositivos, aplicaciones y datos.📱 Además, realicé un par de demos en vivo de políticas MAM (Mobile Application Management) para mostrar cómo es posible garantizar que la información corporativa permanezca segura incluso en dispositivos móviles personales (BYOD), sin afectar la experiencia del usuario.💡 La combinación de Microsoft Intune + Dell Technologies ofrece a las organizaciones una base sólida para implementar un modelo de seguridad moderno, flexible y alineado con los retos actuales.👉 La gestión moderna ya no es una opción, es un habilitador estratégico para la productividad y […]
🛡️ Integración de tareas de seguridad entre Microsoft Defender e Intune
La administración de vulnerabilidades es un pilar fundamental dentro de una estrategia de Seguridad Zero Trust. Con la integración de Microsoft Defender Vulnerability Management (MDVM) y Microsoft Intune, podemos crear tareas de seguridad desde Defender y gestionarlas directamente en Intune. En este artículo te mostraré paso a paso cómo configurar y utilizar esta integración para que puedas dar seguimiento a vulnerabilidades desde un único punto. 🔹 Requisitos previos Antes de comenzar, asegúrate de contar con lo siguiente: Licencias necesarias: Microsoft Defender para Endpoint Plan 2 (incluido en Microsoft 365 E5 o como add-on). Microsoft Intune (Microsoft Intune Suite o incluido en Microsoft 365 E3/E5). Integración activa entre Defender e Intune: Ingresa al Centro de seguridad de Microsoft 365 Defender: https://security.microsoft.com. Navega a: Configuración → Puntos de conexión → Conexión con Intune. Verifica que el estado aparezca como Activado. 🔹 Paso […]
📱 Protegiendo datos corporativos en dispositivos personales con Intune MAM
El Mobile Application Management (MAM) de Microsoft Intune se ha convertido en una estrategia muy utilizada por organizaciones que no proporcionan teléfonos corporativos, pero aún necesitan que sus empleados accedan de forma segura a correo, Teams, OneDrive y otros servicios de Microsoft 365 desde sus dispositivos personales. En este artículo quiero compartirte cómo funciona MAM en un escenario de BYOD (Bring Your Own Device), el rol del Conditional Access, y cómo un script publicado en SMBtoTheCloud puede automatizar la configuración inicial. 🔧 El script para automatizar MAM El autor del artículo “Configure MAM for iOS & Android with One Script” publicó un script en PowerShell que simplifica la creación de toda la infraestructura necesaria para MAM en Intune. El script: Está reescrito para usar Invoke-MgGraphRequest directamente contra Microsoft Graph, en lugar del SDK de PowerShell. Descarga las plantillas de políticas […]
Related
Crear un Apple Enrollment Profile en Microsoft Intune
Hola a todos, el dia de hoy vamos a ver la manera en como podemos configurar un perfil de enrolamiento de Apple (iOS) para usar con Microsoft Intune, esto con la finalidad de poder administrar de manera corporativa nuestros dispositivos iOS usando Apple Business Manager. Lo primero que debemos hacer es crear el Apple Device Enrollment token (.pem) Este token permite que Intune sincronice información sobre los dispositivos Apple que posee su empresa. También permite que Intune cargue perfiles de inscripción en Apple y asigne dispositivos a esos perfiles. Dentro de el portal de Microsoft Endpoint Manager Admin Center, nos dirijimos a Devices - iOS/iPadOS enrollment - Enrollment Program Tokens - Add. llenamos todos los campos ororgando permiso a Microsoft para enviar información de usuarios y dispositivos a Apple seleccionando Aceptar. elejimos descargar clave pública para descargar y guardar el […]
Microsoft Tunnel – Configuración Básica
Antes de comenzar tecnicamente el post, quiero comentar que 2 años atras escribi un post relacionado a la configuracion de Microsoft Tunnel en la version 1.0, recientemente Microsoft publico la version 2.0 de esta excelente Guía. Aquí el post que realice en el 2020. Guía de Implementación de Microsoft Tunnel - Deployment MX Ahora bien, cabe mencionar que en este post solamente colocare los parámetros básicos de configuración que me llegaron a realizar la correcta instalación de la infraestructura. El túnel de Microsoft es una característica nueva que se lanzó durante Microsoft Ignite 2020. El túnel es una solución de puerta de enlace VPN para Microsoft Intune. El túnel permite el acceso a recursos locales desde dispositivos iOS/iPadOS y Android Enterprise mediante autenticación moderna y acceso condicional. Solo los dispositivos que están inscritos en Intune son compatibles con Microsoft Tunnel. […]
Knox E-FOTA en Microsoft Intune
Knox E-FOTA, es la nueva solucion que ofrece Samsung para administrar el control de las actualizaciones en los dispositivos Android knox de Samsung. Knox E-FOTA permite a los administradores de TI de las empresas implementar remotamente versiones de SO y actualizaciones de seguridad en dispositivos corporativos sin requerir la interacción del usuario. Pruebe las actualizaciones antes de la implementación para verificar la compatibilidad entre las aplicaciones internas y las nuevas versiones del sistema operativo, al tiempo que aumenta la seguridad de los dispositivos empresariales al garantizar que los últimos parches de seguridad se implementen de manera programada. Toda la información podemos ver desde este link https://docs.samsungknox.com/admin/efota-common/welcome.htm Para poder configurar esta solucion, se debe tener una cuenta de Samsung knox previamente, para ello podemos ir al panel principal https://www2.samsungknox.com/en/user Antes de poder enrolar esta solucion con Microsoft Intune debemos dar los […]
Configurar Knox Mobile Enrollment con Microsoft Intune
Samsung Knox Mobile Enrollment (KME) es una solución de aprovisionamiento Zero Touch. Podemos automatizar completamente la inscripción de dispositivos nuevos o restablecidos de fábrica en una solución MDM como Microsoft Intune. El usuario final solo tiene que encender su dispositivo Android propiedad de la empresa y conectarse a una red Wi-Fi o celular. Esto iniciará la inscripción que el usuario final no puede cancelar ni solucionar. En comparación con la solución Android Zero Touch de Google, este servicio solo está disponible para dispositivos Samsung. Una gran ventaja en comparación con Android Zero Touch es que es fácil agregar dispositivos ya comprados (incluso si no los ha comprado un revendedor aprobado) a través de la aplicación Knox Deployment. Para iniciar con el procedimiento vamos a partir de una cuenta creada de Samsung Knox, este link lo puedes encontrar aquí. Damos clic […]
Crear Work Profile Android a través de Workspace One UEM
En este tutorial vamos a ver la manera sencilla de como podemos enrolar nuestro dispositivos a traves de la plataforma de Workspace One UEM usando un dispositivo BYOD para crear un Work Profile. Desde nuestro dispositivo Android vamos a descargar la aplicación Intelligent Hub desde el portal de Aplicaciones. Procedemos a instalar la aplicación. Una vez terminada la instalación, abrimos y debemos seleccionar el servidor o nombre de correo electronico. Ahora colocamos las credenciales correspondientes. Ahora vamos a leer los terminos de privacidad y damos clic en Acepto. Aceptamos terminos y condiciones y damos clic en acepto. Ahora procedemos a configurar el perfil de trabajo, recordar que la organización controla este perfil y lo mantenien seguto, lo que no maneja Workspace One UEM es todo lo demas del dispositivo como temas personales. Finalizamos teniendo nuestro perfil de trabajo de nuestro […]
Configurar las politicas de Office apps en Android Enterprise
a mediados del año pasado Microsoft anuncio Microsoft Office apps preview en donde nos muestra una nueva forma de poder hacer uso de las herramientas mas novedosas de la suite de Office. En un articulo reciente Microsoft a realizado un update para que esten disponibles las politicas en dispositivos Android administrados por Microsoft Intune. https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-how-to-enable-intune-app-protection-policies-with/ba-p/1045493 Microsoft Office Mobile es compatible con las políticas de protección de aplicaciones de Intune en la actualidad. Por lo que Microsoft recomienda que se apunten a la aplicación las siguientes politicas: For Android App Protection Policies, add the Office Hub, Office Hub [HL], and Office Hub [ROW] apps. For iOS App Protection Policies, use com.microsoft.officemobile as a custom app bundle ID Para realizar esto vamos primeramente a activar la suite para Android agregando desde Google Play la suite. Abrimos Intune desde el portal https://portal.azure.com Client Apps - apps - Manage Google […]
