Perfil Inscripción de usuarios y MDM
La inscripción de usuarios está diseñada para un modelo BYOD, (“trae tu propio dispositivo” en inglés) en donde el usuario, no la organización, es el propietario del dispositivo. El perfil Inscripción de usuarios funciona con un proveedor de identidad (IdP), Google Workspace o Microsoft Entra ID y Apple School Manager o Apple Business Manager y una solución MDM de terceros. También funciona con la administración de dispositivos en Apple Business Essentials.
Las cuatro etapas de Inscripción de usuarios en MDM son:
Servicio de detección: el dispositivo se identifica a sí mismo ante la solución de MDM.
Inscripción de usuarios: el usuario proporciona credenciales a un proveedor de identidades (IdP) para obtener autorización a fin de inscribirse a la solución de MDM.
Identificador de sesión: se envía un identificador de sesión al dispositivo para permitir la autenticación continua.
MDM enrollment: el perfil de inscripción se envía al dispositivo con cargas útiles configuradas por el administrador de MDM.
El perfil Inscripción de usuarios y las cuentas de Apple administradas
El perfil Inscripción de usuarios requiere cuentas de Apple administradas. las cuales pertenecen y son administrados por la organización, y proporcionan a los empleados acceso a ciertos servicios de Apple. Además, las cuentas de Apple administradas:
Se crean de forma manual o automática utilizando autenticación federada.
Se integran con un Sistema de Información de Estudiantes (SIE) o mediante la carga de archivos .csv (sólo Apple School Manager).
También pueden usarse para iniciar sesión con una función asignada en Apple School Manager, Apple Business Manager o Apple Business Essentials
Cuando un usuario elimina un perfil de inscripción, también se eliminan todos los perfiles de configuración, su configuración y las apps administradas basadas en el perfil de inscripción.
El perfil Inscripción de usuarios está integrado con las cuentas de Apple administradas para establecer una identidad de usuario en el dispositivo. El usuario debe autenticarse correctamente para que se complete la inscripción. La cuenta de Apple administrada se puede usar junto con la cuenta de Apple personal que usó el usuario para iniciar sesión; ambas cuentas funcionan de manera independiente.
Perfil Inscripción de usuarios y autenticación federada
Aunque las cuentas Apple administradas se pueden crear manualmente, las organizaciones pueden aprovechar la sincronización con un proveedor de identidad, Google Workspace o Microsoft Entra ID y el perfil Inscripción de usuarios. Para hacerlo, tu organización primero debe:
Administrar las credenciales de usuario con un IdP, Google Workspace o Microsoft Entra ID
Si tienes una versión local de Active Directory, se requiere configuración adicional para preparar la autenticación federada.
Registrar a tu organización en Apple School Manager, Apple Business Manager o Apple Business Essentials
Configurar la autenticación federada en Apple School Manager, Apple Business Manager o Apple Business Essentials
Configurar una solución de MDM y vincularla con Apple School Manager, Apple Business Manager o Apple Business Essentials, o usar la administración de dispositivos que viene integrada en Apple Business Essentials
(Opcional) Crear cuentas de Apple administradas
Perfil Inscripción de usuarios y apps administradas (macOS)
El perfil Inscripción de usuarios agrega apps administradas a macOS (esta función ya es compatible con el perfil Inscripción de dispositivos y el perfil Inscripción de dispositivos automatizada). Las apps administradas que usan CloudKit usan las cuentas de Apple administradas asociadas a la inscripción de MDM. Los administradores de MDM deben agregar la clave InstallAsManaged al comando InstallApplication. Al igual que las apps de iOS y iPadOS, estas apps se pueden eliminar automáticamente cuando un usuario se desinscribe de una solución de MDM.
Perfil Inscripción del usuario y configuración de red para apps específicas
En iOS 16, iPadOS 16.1 y visionOS 1.1 o versiones posteriores, la configuración de red para apps específicas está disponible para las redes VPN (conocida como VPN individual por app), proxies DNS, y filtros de contenido web para dispositivos inscritos con el perfil Inscripción de usuarios. Esto significa que sólo el tráfico de red iniciado por las apps administradas pasa por el proxy DNS, el filtro de contenido web o ambos. El tráfico personal de un usuario permanece separado y no será filtrado o enviado por proxy. Esto se consigue usando nuevos pares de clave-valor para las siguientes cargas útiles:
Cómo los usuarios pueden inscribir sus dispositivos personales
En iOS 15, iPadOS 15, macOS 14 y visionOS 1.1 o posterior, las organizaciones pueden usar un proceso de inscripción de usuarios simplificado, integrado en la app Configuración, para facilitar la inscripción de los dispositivos personales de los usuarios.
Para hacerlo:
En el iPhone, iPad y Apple Vision Pro, el usuario debe ir a Configuración > General > Administración de dispositivos y VPN, y tocar Inicia sesión con tu cuenta escolar o del trabajo.
En la Mac, el usuario debe ir a Configuración > Privacidad y seguridad > Perfiles, y seleccionar el botón Inicia sesión con tu cuenta escolar o de trabajo.
Cuando ingresa su cuenta de Apple administrada, el descubrimiento de servicios identifica la URL de inscripción de la solución MDM.
El usuario ingresa después el nombre de usuario y contraseña de su organización. Una vez que la autenticación de la organización se completa correctamente, el perfil de inscripción se envía al dispositivo. También se envía un identificador de sesión al dispositivo para permitir la autorización continua. El dispositivo comienza entonces con el proceso de inscripción y le solicita al usuario iniciar sesión con su cuenta de Apple administrada. En el iPhone, iPad y Apple Vision Pro, el proceso de autenticación puede optimizarse mediante el inicio de sesión único de inscripción para reducir el número de solicitudes de autenticación repetidas.
Cuando la inscripción está completa, la nueva cuenta administrada se muestra resaltada en la app Configuración (iPhone, iPad y Apple Vision Pro) y en Configuración del Sistema (Mac). Esto permite a los usuarios a seguir accediendo a los archivos en iCloud Drive creado en su cuenta de Apple personal. El iCloud Drive de la organización (asociado con la cuenta de Apple administrada del usuario) aparece por separado en la app Archivos.
En iPhone, iPad y Apple Vision Pro, las apps administradas y los documentos administrados basados en la web tienen acceso a iCloud Drive de la organización, y el administrador de MDM puede usar restricciones específicas para ayudar a mantener separados determinados documentos personales y de los de la organización. Para obtener más información, consulta Restricciones y funciones de las apps administradas.
Los usuarios pueden ver detalles sobre lo que se está administrando en su dispositivo personal y cuánto espacio de almacenamiento de iCloud proporciona su organización. Debido a que el usuario es el propietario del dispositivo, el perfil Inscripción de usuarios sólo puede aplicar un conjunto limitado de cargas y restricciones. Para obtener más información, consulta Información para MDM sobre el perfil Inscripción de usuarios.
Cómo Apple separa los datos del usuario de los datos de la organización
Cuando se completa la inscripción del usuario, se crea automáticamente claves de encriptación independientes en el dispositivo. Si un usuario cancela la inscripción del dispositivo o se usa una solución de MDM para darlo de baja de forma remota, esas claves de encriptación se destruyen de forma segura. Las claves se usan para separar criptográficamente los datos administrados que se indican a continuación:
Contenedores de datos de las apps: iPhone, iPad, Mac y Apple Vision Pro
Calendario: iPhone, iPad, Mac y Apple Vision Pro
Los dispositivos deben tener iOS 16, iPadOS 16.1, macOS 13 y visionOS 1.1 o versiones posteriores.
Elementos de llavero: iPhone, iPad, Mac y Apple Vision Pro
Nota: la app de terceros para Mac debe usar la API del llavero de protección de datos. Para obtener más información, consulta la sección kSecUseDataProtectionKeychain en la documentación para desarrolladores de Apple.
Los archivos adjuntos y el cuerpo de los mensajes de Mail: iPhone, iPad, Mac y Apple Vision Pro
Notas: iPhone, iPad, Mac y Apple Vision Pro
Recordatorios: iPhone, iPad, Mac y Apple Vision Pro
Los dispositivos deben tener iOS 17, iPadOS 17, macOS 14 y visionOS 1.1 o versiones posteriores.
Si un usuario inicia sesión con una cuenta de Apple personal y una cuenta de Apple administrada, Iniciar sesión con Apple usa automáticamente la cuenta de Apple administrada para las apps administradas y la cuenta de Apple personal para las apps no administradas. Al usar un flujo de inicio de sesión en Safari o SafariWebView en una app administrada, el usuario puede seleccionar e ingresar su cuenta de Apple administrada para asociar el inicio de sesión con su cuenta del trabajo.
Los administradores del sistema sólo pueden administrar las cuentas, la configuración y la información de una organización que cuente con un servicio MDM; nunca la cuenta personal de un usuario. De hecho, las mismas características que mantienen seguros los datos en las apps administradas que son propiedad de las organizaciones también protegen la información personal para que no entre en la secuencia de datos corporativos.
MDM puede | MDM no puede |
|---|---|
Configurar cuentas | Ver información personal, datos de uso y registros |
Acceder al inventario de apps administradas | Acceder al inventario de apps personales |
Eliminar sólo datos administrados | Eliminar datos personales |
Instalar y configurar apps | Administrar una app personal |
Requerir un código | Requerir un código o contraseña complejos |
Imponer ciertas restricciones | Acceder a la ubicación del dispositivo |
Configurar VPN individual por app | Acceder a los identificadores únicos de dispositivos |
| Borrar el dispositivo entero de forma remota |
| Administrar el bloqueo de activación |
| Acceder al estado de roaming |
| Activar el modo perdido |
Nota: para iPhone y iPad, los administradores pueden requerir códigos con un mínimo de seis caracteres y evitar que los usuarios usen contraseñas simples (por ejemplo, “123456” o “abcdef”), pero no pueden requerir caracteres o contraseñas complejas.