Inscripción de usuario y MDM
La inscripción de usuario está diseñada para implementaciones BYOD (trae tu propio dispositivo), en las que el propietario del dispositivo es el usuario, no la organización. Funciona con un proveedor de identidades (IdP), Google Workspace o Microsoft Entra ID y Apple School Manager o Apple Business Manager y una solución MDM de terceros. También funciona con la gestión de dispositivos de Apple Business Essentials.
La inscripción de los usuarios en MDM se divide en cuatro etapas:
Servicio de detección: El dispositivo se identifica ante la solución MDM.
Inscripción de usuario: El usuario proporciona las credenciales a un proveedor de identidades (IdP) para obtener la autorización para inscribirse en la solución MDM.
Identificador de sesión: Para que el dispositivo pueda realizar una autenticación continua, se asigna un identificador de sesión.
Inscripción MDM: El perfil de inscripción se envía al dispositivo con las cargas útiles configuradas por el administrador de MDM.
Inscripción de usuario y cuentas de Apple gestionadas
La inscripción de usuario requiere cuentas de Apple gestionadas. Son propiedad de una organización, que también los gestiona y proporcionan a los empleados acceso a determinados servicios de Apple. Además, las cuentas de Apple gestionadas:
Se crean manualmente o bien automáticamente mediante autenticación vinculada.
Se integran con un sistema de información de estudiantes (SIE) o cargando archivos .csv (solo en Apple School Manager)
También se pueden usar para iniciar sesión con una función asignada en Apple School Manager, Apple Business Manager o Apple Business Essentials.
Cuando un usuario elimina un perfil de inscripción, con él se suprimen todos los perfiles de configuración, sus ajustes y las apps gestionadas basadas en ese perfil.
La inscripción de usuario se integra con las cuentas de Apple gestionadas para establecer una identidad de usuario en el dispositivo. Para que la inscripción se complete, el usuario debe autenticarse correctamente. La cuenta de Apple gestionada puede utilizarse paralelamente a la cuenta de Apple personal con el que ya haya iniciado sesión el usuario y los dos no interactúan entre sí.
Inscripción de usuario y autenticación vinculada
Aunque es posible crear cuentas de Apple gestionadas de forma manual, las organizaciones pueden beneficiarse de la sincronización con un IdP, Google Workspace o Microsoft Entra ID y la inscripción de usuario. Para ello, tu organización debe, en primer lugar:
Gestionar credenciales de usuario con un IdP, Google Workspace o Microsoft Entra ID
Si tienes una versión local de Active Directory, es posible que sea necesario configurar algunas opciones adicionales para prepararse para la autenticación vinculada.
Registrar la organización en Apple School Manager, Apple Business Manager o Apple Business Essentials
Configurar la autenticación vinculada en Apple School Manager, Apple Business Manager o Apple Business Essentials
Configurar una solución MDM y enlazarla con Apple School Manager, Apple Business Manager o Apple Business Essentials, o bien, usar la gestión de dispositivos que está incorporada en Apple Business Essentials
(Opcional) Crear cuentas de Apple gestionadas
Inscripción de usuario y apps gestionadas (macOS)
La inscripción de usuario ha añadido apps gestionadas a macOS (esta función ya estaba posible mediante la inscripción de dispositivo y la inscripción automatizada de dispositivo). Las apps gestionadas que usan CloudKit utilizan la cuenta de Apple gestionada asociada a la inscripción de MDM. Los administradores de MDM deben añadir la clave InstallAsManaged
al comando InstallApplication
. Al igual que las apps de iOS y iPadOS, estas apps se pueden eliminar automáticamente cuando un usuario anula la inscripción en MDM.
Inscripción de usuario y conexión a red por app
En iOS 16, iPadOS 16.1, visionOS 1.1, o posterior, la conexión a red por app está disponible para VPN (lo que se conoce como VPN por app), proxies DNS y filtros de contenido web para los dispositivos inscritos mediante inscripción de usuario. Esto significa que solo el tráfico iniciado por las apps gestionadas se hace pasar por el proxy DNS, el filtro de contenido web o ambos. El tráfico personal de un usuario sigue tratándose por separado y no se filtrará ni pasará por el proxy de una organización. Esto se realiza utilizando nuevos pares clave-valor para las cargas útiles siguientes:
Cómo inscriben los usuarios sus dispositivos personales
En iOS 15, iPadOS 15, macOS 14, visionOS 1.1, o posterior, las organizaciones pueden usar un proceso de inscripción de usuario mejorado, integrado en la propia app Ajustes de manera que a los usuarios les resulta más fácil inscribir sus dispositivos personales.
Para ello:
En el iPhone, iPad y Apple Vision Pro, el usuario va a Ajustes > General > VPN y gestión de dispositivos; a continuación, toca el botón “Iniciar sesión con la cuenta de empresa o centro educativo”.
En el Mac, el usuario navega hasta Ajustes > Privacidad y seguridad > Perfiles y, a continuación, selecciona el botón “Iniciar sesión con la cuenta de empresa o centro educativo”.
Cuando introducen su cuenta de Apple gestionada, el servicio de detección identifica la URL de inscripción de la solución MDM.
El usuario, entonces, introduce el nombre de usuario de su organización y la contraseña. Una vez que la autenticación de la organización se haya realizado correctamente, se envía al dispositivo el perfil de inscripción. Para que el dispositivo pueda realizar una autenticación continua, también se asigna un identificador de sesión. A continuación, el dispositivo pone en marcha el proceso de inscripción e indica al usuario que inicie sesión con su cuenta de Apple gestionada. En el iPhone, iPad y Apple Vision Pro, el proceso de autenticación puede simplificarse utilizando el inicio de sesión único de inscripción para que los mensajes de autenticación no se repitan tanto.
Una vez completada la inscripción, la nueva cuenta gestionada se muestra visiblemente en la app Ajustes (iPhone, iPad y Apple Vision Pro) y en Ajustes del Sistema (Mac). Esto permite a los usuarios seguir accediendo a los archivos de iCloud Drive creados con su cuenta de Apple. La cuenta de iCloud Drive de la organización (asociada con la cuenta de Apple gestionada del usuario) aparece aparte en la app Archivos.
En el iPhone, iPad y Apple Vision Pro, las apps y los documentos gestionados basados en web tienen acceso al iCloud Drive de la organización, pero el administrador de MDM puede, mediante restricciones específicas, mantener separados los documentos personales y empresariales. Para obtener más información, consulta Restricciones y funciones de apps gestionadas.
Los usuarios pueden ver los detalles sobre lo que se está gestionando en su dispositivo personal y cuánto espacio de almacenamiento en iCloud proporciona su organización. Dado que el usuario es el propietario del dispositivo, la inscripción de usuario solo puede aplicarle un conjunto limitado de cargas útiles y restricciones. Para obtener más información, consulta Información de MDM de inscripción de usuario.
Cómo separa Apple los datos del usuario de los de la organización
Una vez completada la inscripción de usuario, se crean automáticamente claves de encriptación en el dispositivo. Si se anula la inscripción el dispositivo de forma remota con la solución MDM o lo hace el usuario directamente, esas claves de encriptación se destruyen de forma segura. Las claves se utilizan para separar mediante criptografía los datos gestionados siguientes:
Contenedores de datos de apps: iPhone, iPad, Mac y Apple Vision Pro
Calendario: iPhone, iPad, Mac y Apple Vision Pro
Los dispositivos deben usar iOS 16, iPadOS 16.1, macOS 13, visionOS 1.1, o posterior.
Ítems del llavero: iPhone, iPad, Mac y Apple Vision Pro
Nota: La app de terceros para Mac debe utilizar la API del llavero de protección de los datos. Para obtener más información, consulta la documentación para desarrolladores de Apple kSecUseDataProtectionKeychain.
Archivos adjuntos y cuerpo de mensajes de correo: iPhone, iPad, Mac y Apple Vision Pro
Notas: iPhone, iPad, Mac y Apple Vision Pro
Recordatorios: iPhone, iPad, Mac y Apple Vision Pro
Los dispositivos deben usar iOS 17, iPadOS 17, macOS 14, visionOS 1.1, o posterior.
Si un usuario ha iniciado sesión con una cuenta de Apple personal y con una cuenta de Apple gestionada, “Iniciar sesión con Apple” utiliza la cuenta de Apple gestionada automáticamente para las apps gestionadas y la cuenta de Apple personal para las no gestionadas. Al usar un flujo de inicio de sesión en Safari o SafariWebView en una app gestionada, el usuario puede introducir su cuenta de Apple gestionada para asociar el inicio de sesión con su cuenta de trabajo.
Los administradores del sistema solo pueden gestionar las cuentas de una organización, los ajustes y la información que dispongan de MDM; nunca la cuenta personal de un usuario. De hecho, las mismas características que mantienen seguros los datos en las apps gestionadas propiedad de la organización también protegen la información personal para que no entre en la secuencia de datos corporativos.
MDM puede | MDM no puede |
---|---|
Configurar cuentas | Ver información personal, datos de uso o registros |
Inventario personal de apps gestionadas | Inventario personal de apps personales |
Eliminar solo datos gestionados | Eliminar datos personales |
Instalar y configurar apps | Tomar el control de la gestión de una app personal |
Solicitar un código | Requerir un código o una contraseña que sean complejos |
Aplicar determinadas restricciones | Acceder a la ubicación del dispositivo |
Configurar VPN por app | Acceder a los identificadores únicos de los dispositivos |
| Borrar todo el dispositivo de forma remota |
| Gestionar el bloqueo de activación |
| Acceder al estado de la itinerancia |
| Activar el modo Perdido |
Nota: Para el iPhone y el iPad, los administradores pueden requerir códigos con un mínimo de seis caracteres e impedir que los usuarios utilicen códigos sencillos (por ejemplo, “123456” o “abcdef”), pero no pueden exigir contraseñas o caracteres complejos.