Inscripción automática de dispositivos iOS/iPadOS mediante la inscripción de dispositivos automatizada de Apple

  • Artículo
  • Tiempo de lectura: 34 minutos

Importante

Apple ha dejado de usar recientemente el Programa de inscripción de dispositivos (DEP) y ahora usa la inscripción de dispositivos automatizada (ADE). La interfaz de usuario de Microsoft Intune no refleja dicho cambio actualmente. Por ahora, seguirá viendo Programa de inscripción de dispositivos en el portal de Intune. Siempre que vea referencias a DEP, Intune ahora usa la inscripción de dispositivos automatizada.

Puede configurar Intune para inscribir dispositivos iOS/iPadOS adquiridos mediante la inscripción de dispositivos automatizada (ADE) de Apple. La Inscripción de dispositivos automatizada permite inscribir una gran cantidad de dispositivos sin siquiera tocarlos. Los dispositivos como iPhone, iPad y MacBook se pueden enviar directamente a los usuarios. Cuando un usuario activa el dispositivo, se ejecuta el Asistente para la instalación, que incluye la típica experiencia predeterminada de los productos de Apple, con opciones preconfiguradas, y el dispositivo se inscribe en la administración.

Para habilitar ADE, se pueden usar los portales de Intune, Apple Business Manager (ABM) o Apple School Manager (ASM). En cualquiera de los portales de Apple, se necesita una lista de números de serie o un pedido de compra para poder asignar dispositivos a Intune para su administración. Puede crear perfiles de inscripción de ADE en Intune. Estos perfiles contienen opciones que se aplican a los dispositivos durante la inscripción. ADE no se puede usar con una cuenta de administrador de inscripciones de dispositivos.

Nota

ADE establece configuraciones de dispositivo que los usuarios finales no pueden quitar necesariamente. Por tanto, antes de usar ADE, el dispositivo debe borrarse para devolverlo a su estado predeterminado (nuevo). Para obtener más información, consulte Guía de implementación: Inscripción de dispositivos iOS e iPadOS.

Si experimenta problemas de sincronización durante el proceso de inscripción, puede buscar opciones de resolución en el artículo Solución de problemas de inscripción de dispositivos iOS/iPadOS.

Inscripción de dispositivos automatizada y Portal de empresa

Las inscripciones de ADE no son compatibles con la versión de App Store de la aplicación Portal de empresa. Puede conceder acceso a los usuarios a la aplicación Portal de empresa en un dispositivo ADE. Es posible que quiera proporcionar este acceso por una de las razones siguientes:

  • Para que los usuarios puedan elegir qué aplicaciones corporativas quieren usar en sus dispositivos.
  • Para usar la autenticación moderna para completar el proceso de inscripción.
  • Para proporcionar una inscripción por fases en la que el dispositivo esté inscrito y reciba directivas de dispositivo antes de que los usuarios se autentiquen en Portal de empresa.

Para habilitar la autenticación moderna durante la inscripción, inserte la aplicación al dispositivo utilizando Instalar portal de empresa con VPP(programa de compra por volumen) en el perfil de ADE. Para obtener más información, consulte Inscripción automática de dispositivos iOS/iPadOS con ADE de Apple.

Para permitir que Portal de empresa se actualice automáticamente y proporcione la aplicación Portal de empresa a los dispositivos ya inscritos con ADE, implemente la aplicación Portal de empresa a través de Intune como una aplicación de VPP necesaria con una directiva de configuración de la aplicación aplicada. Implemente la aplicación Portal de empresa de esta manera para habilitar el almacenamiento provisional de dispositivos solo para dispositivos sin afinidad de usuario. Con el almacenamiento provisional de dispositivos, un dispositivo se inscribe completamente y recibe directivas de dispositivo antes de agregar una afinidad de usuario. El almacenamiento provisional de dispositivos también se puede usar para realizar la transición de un dispositivo sin afinidad de usuario a un dispositivo con afinidad de usuario.

Específicamente para el método de autenticación Asistente de configuración con autenticación moderna, no implemente por separado la aplicación Portal de empresa como una aplicación cliente, con o sin una configuración de aplicación destinada a ella. Los dispositivos ADE que se inscriben con el Asistente de configuración con autenticación moderna deben excluirse de cualquier Portal de empresa independiente que tenga como destino el inquilino. El Portal de empresa se envía automáticamente como una aplicación necesaria cuando se elige el Asistente de configuración con autenticación moderna como método de autenticación en el perfil de inscripción asignado.

¿Qué es el modo de supervisión?

Apple introdujo el modo supervisado en iOS/iPadOS 5. Un dispositivo iOS/iPadOS en modo supervisado proporciona más controles de administración, como el bloqueo de capturas de pantalla y de la instalación de aplicaciones desde App Store. Por tanto, esto resulta especialmente útil para los dispositivos corporativos. Intune admite la configuración de dispositivos en el modo de supervisión como parte de ADE.

La compatibilidad con dispositivos ADE no supervisados entró en desuso en iOS/iPadOS 11. En iOS/iPadOS 11 y versiones posteriores, siempre se deben supervisar los dispositivos configurados mediante ADE. La marca is_supervised de ADE se omitirá en iOS/iPadOS 13.0 y versiones posteriores. Todos los dispositivos iOS/iPadOS con la versión 13.0 y versiones posteriores se supervisan de forma automática cuando se inscriben con la inscripción de dispositivos automatizada.

Requisitos previos

Volumen admitido

  • Número máximo de perfiles de inscripción por token: 1000.
  • Número máximo de dispositivos de inscripción de dispositivos automatizada por perfil: igual que el número máximo de dispositivos por token (200 000 dispositivos por token).
  • Número máximo de tokens de inscripción de dispositivos automatizada por cuenta de Intune: 2000.
  • Número máximo de dispositivos de inscripción de dispositivos automatizada por token: Se recomienda no superar los 200 000 dispositivos por token. De lo contrario, es posible que tenga problemas de sincronización. Si tiene más de 200 000 dispositivos, divídalos en varios tokens de ADE.
    • Unos 3 000 dispositivos por minuto se sincronizan desde ABM/ASM a Intune. Le recomendamos que espere a sincronizar manualmente de nuevo desde la consola de administración hasta que haya pasado el tiempo suficiente para que todos los dispositivos se sincronicen (número total de dispositivos/3 000 dispositivos por minuto).

Obtención de un token de inscripción de dispositivo automatizada de Apple

Para poder inscribir dispositivos iOS/iPadOS con ADE, necesita un archivo de token de ADE (.p7m) de Apple. Este token permite a Intune sincronizar información sobre dispositivos corporativos de ADE. También permite a Intune cargar perfiles de inscripción en Apple y asignar dispositivos a esos perfiles.

Use el portal de Apple Business Manager (ABM) o Apple School Manager (ASM) para crear un token. También puede usar el portal de ABM o ASM para asignar dispositivos a Intune para su administración.

Nota

Puede usar tanto el portal de ABM como el portal de ASM para habilitar ADE. En el resto de este artículo se hace referencia al portal de ABM, pero los pasos son los mismos para ambos portales.

Paso 1: Descargar el certificado de clave pública de Intune

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > iOS/iPadOS > iOS/iPadOS enrollment (Inscripción de iOS/iPadOS):

    Captura de pantalla en la que se muestra el Centro de administración de Microsoft Endpoint Manager.

  2. Seleccione Tokens del programa de inscripción > Agregar.

  3. En la pestaña Aspectos básicos:

    1. Seleccione Acepto para conceder a Microsoft permiso para enviar información del usuario y el dispositivo a Apple:

      Captura de pantalla en la que se muestra la pantalla Agregar el token del programa de inscripción.

    2. Seleccione Descargar la clave pública. En este paso se descarga y guarda el archivo de la clave de cifrado (.pem) localmente. El archivo .pem se usa para solicitar un certificado de relación de confianza en el portal de Apple Business Manager.

      Cargará este archivo .pem en Apple Business Manager en Paso 2: Ir al portal de Apple Business Manager (en este artículo).

    3. Mantenga abierta la pestaña y la página del explorador web. Si cierra la pestaña:

      • El certificado que ha descargado se invalida.
      • Tendrá que repetir los pasos.
      • En la pestaña Revisar y crear, el botón Crear no está disponible y no se puede completar este procedimiento.

Paso 2: Ir al portal de Apple Business Manager

Use el portal de Apple Business Manager para crear y renovar el token de ADE (servidor MDM). Este token se agrega a Intune y se comunica entre Intune y Apple.

Nota

En los pasos siguientes se describe lo que debe hacer en Apple Business Manager. Para obtener los pasos específicos, consulte la documentación de Apple. La Guía del usuario de Apple Business Manager, en el sitio web de Apple, puede resultarle útil.

Descarga del token de Apple

  1. En Apple Business Manager, inicie sesión con el id. de Apple de la empresa.

  2. En este portal, lleve a cabo los pasos siguientes.

    • En la configuración, se muestran todos los tokens. Agregue un servidor MDM y cargue el certificado de clave pública (archivo .pem) que descargó de Intune en el Paso 1: descargar el certificado de clave pública de Intune (en este artículo).

      Use el nombre del servidor para identificar el servidor de administración de dispositivos móviles (MDM). No es el nombre ni la dirección URL del servicio Microsoft Intune.

    • Después de guardar el servidor MDM, selecciónelo y descargue el token (el archivo .p7m). Cargará este token .p7m en Intune en Paso 4: Cargar el token y finalizar (en este artículo).

Asignación de dispositivos al token de Apple (servidor MDM)

  1. En Apple Business Manager > Dispositivos, seleccione los dispositivos que quiera asignar a este token. Puede ordenarlos según varias propiedades de dispositivo, como el número de serie. También puede seleccionar varios dispositivos simultáneamente.
  2. Edite la administración de dispositivos y seleccione el servidor MDM que acaba de agregar. Este paso asigna los dispositivos al token.

Paso 3: Guardar el Id. de Apple

  1. En el explorador web, vuelva a la página Agregar el token del programa de inscripción en Intune. Debería haber mantenido esta página abierta, como se indica en Paso 1: Descargar el certificado de clave pública de Intune (en este artículo).

  2. En Id. de Apple, escriba su identificador. Este paso guarda el identificador, que puede usarse para futuras referencias.

    Captura en la que se muestra el cuadro Id. de Apple en la pestaña Datos básicos.

Paso 4: Cargar el token y finalizar

  1. En Token de Apple, vaya al archivo de certificado .p7m y seleccione Abrir.

    Ha descargado este token .p7m en Paso 2: Ir al portal de Apple Business Manager.

  2. Seleccione Siguiente.

  3. (Opcional), Si quiere aplicar etiquetas de ámbito a este token de ADE, haga clic en Seleccionar etiquetas de ámbito y seleccione las etiquetas de ámbito existentes. Los perfiles y dispositivos inscritos en ADE agregados a este token heredan las etiquetas de ámbito aplicadas al token. Los dispositivos a los que se hace referencia son los dispositivos que se han sincronizado desde ABM/ASM y se han inscrito a través de la inscripción automatizada de dispositivos y se muestran dentro del token específico.

    Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito para TI distribuida.

    Seleccione Siguiente.

  4. En la pestaña Revisar y crear , seleccione Crear.

Con el certificado push, Intune puede inscribir y administrar dispositivos iOS/iPadOS mediante la inserción de directivas en los dispositivos móviles inscritos. Intune se sincroniza automáticamente con Apple para acceder a la cuenta del programa de inscripción.

Crear un perfil de inscripción de Apple

Ahora que ha instalado el token, puede crear un perfil de inscripción para dispositivos ADE. Un perfil de inscripción de dispositivos define la configuración que se aplica a un grupo de dispositivos durante la inscripción. Hay un límite de 1000 perfiles de inscripción por token de ADE.

Nota

Los dispositivos se bloquean si no hay suficientes licencias de Portal de empresa para un token VPP o si el token ha expirado. Intune le avisa cuando un token está a punto de expirar o las licencias se están agotando.

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > iOS/iPadOS > Inscripción iOS/iPadOS > Tokens del programa de inscripción.
  2. Seleccione un token y, a continuación, seleccione Perfiles.
  3. Seleccione Crear perfil > iOS/iPadOS.
  4. Para Datos básicos, asigne al perfil un Nombre y Descriptción con fines administrativos. Los usuarios no ven estos detalles.
  5. Seleccione Siguiente.

Importante

Si realiza cambios en la configuración del perfil de inscripción existente, los nuevos cambios no surtirán efecto en los dispositivos asignados hasta que los dispositivos se restablezcan a la configuración de fábrica y se reactiven. La reactivación se produce cuando se recibe la carga de administración remota en dispositivos ADE. Cambiar el nombre de la plantilla de nombre de dispositivo es el único cambio que puede realizar y que no requiere un restablecimiento de fábrica.

  1. En la lista Afinidad de usuario, seleccione una opción que determine si los dispositivos con este perfil deben inscribirse con o sin un usuario asignado.

    • Inscribirse con afinidad de usuario. Seleccione esta opción para los dispositivos que pertenecen a usuarios que desean utilizar el Portal de la empresa para servicios como la instalación de aplicaciones.

    • Inscribir sin afinidad de usuario: seleccione esta opción para los dispositivos que no están asociados a un solo usuario. Use esta opción para los dispositivos que no tengan acceso a los datos de usuario local. Esta opción suele utilizarse para dispositivos de pantalla completa, de punto de venta (POS) o de utilidades compartidas.

      En algunas situaciones, es posible que quiera asociar un usuario primario en dispositivos inscritos sin afinidad de usuario. Para realizar esta tarea, puede enviar la clave IntuneUDAUserlessDevice a la aplicación Portal de empresa en una directiva de configuración de aplicaciones para dispositivos administrados. El primer usuario que inicia sesión en la aplicación Portal de empresa se establece como el usuario primario. Si el primer usuario cierra sesión y un segundo usuario inicia sesión, aquel sigue siendo el usuario principal del dispositivo. Para obtener más información, vea Configuración de la aplicación Portal de empresa para admitir dispositivos iOS y iPadOS inscritos con Inscripción de dispositivo automatizada.

  2. Si seleccionó Inscribirse con afinidad de usuario para el campo Afinidad de usuario, ahora tiene la opción de elegir el método de autenticación que se usará al autenticar a los usuarios. Para el método de autenticación, seleccione una de las siguientes opciones:

    Captura de pantalla de las opciones del método de autenticación.

    • Portal de empresa: realice la autenticación con la aplicación Portal de empresa si quiere:

      • Usar la autenticación multifactor.
      • Pedir a los usuarios que cambien sus contraseñas cuando inician sesión por primera vez.
      • Pedir a los usuarios que restablezcan las contraseñas expiradas durante la inscripción.

      Estas características no se admiten durante la autenticación con el Asistente de configuración de Apple.

    • Asistente de configuración (heredado): use el Asistente de configuración heredado si desea que los usuarios experimenten la configuración rápida típica para productos Apple. Esto instala la configuración preconfigurada estándar cuando el dispositivo se inscribe con la administración de Intune. Si usa Servicios de federación de Active Directory (AD FS) y el Asistente de configuración para realizar la autenticación, se requiere un punto de conexión mixto de tipo WS-Trust 1.3. Más información.

    • Asistente para la configuración con autenticación moderna: Los dispositivos que ejecutan iOS/iPadOS 13.0 y versiones posteriores pueden usar este método (los dispositivos iOS/iPadOS más antiguos de este perfil volverán a usar el proceso del Asistente para la configuración [heredado]).

      Nota

      MFA no funcionará para el Asistente de configuración con autenticación moderna si usa un proveedor de MFA de terceros para presentar la pantalla MFA durante la inscripción. Solo la pantalla Azure AD MFA funciona durante la inscripción. Para obtener las actualizaciones de soporte técnico más recientes acerca de los controles personalizados para MFA, vea Próximos cambios en Controles personalizados.

      Este método proporciona la misma seguridad que la autenticación del Portal de empresa, pero evita el problema de dejar a los usuarios finales con un dispositivo que no pueden usar hasta completarse la instalación del Portal de empresa.

      El Portal de empresa se instalará sin interacción del usuario (el usuario no verá la opción Instalar el Portal de empresa) en las dos situaciones siguientes:

      • Si utiliza la opción Instalar Portal de empresa con VPP (recomendada).
      • Si el usuario final configura su cuenta de Apple ID durante el Asistente para la configuración.

      En ambas situaciones, el Portal de empresa será una aplicación necesaria en el dispositivo. Además, cuando el usuario final llegue a la pantalla principal, se aplicará automáticamente la directiva de configuración de aplicaciones correcta al dispositivo.

      No envíe una directiva de configuración de aplicaciones independiente al Portal de la empresa para dispositivos iOS/iPadOS después de inscribirse con el Asistente de configuración con autenticación moderna. Si lo hace, se producirá un error.

      Si no usa la opción VPP, el usuario debe proporcionar un Apple ID para instalar el Portal de empresa (ya sea durante el Asistente para la configuración o cuando Intune intente instalar el Portal de empresa).

      Si una directiva de acceso condicional que requiere autenticación multifactor (MFA) se aplica en la inscripción o en el inicio de sesión del Portal de empresa, se requiere MFA. Sin embargo, MFA es opcional en función de la configuración de AAD de la directiva de acceso condicional de destino.

      Después de completar todas las pantallas del Asistente para la configuración, el usuario final llega a la página principal (momento en que se establece su afinidad de usuario). Pero, hasta que el usuario inicie sesión en el Portal de empresa con sus credenciales de Azure AD y pulse "Comenzar" en la pantalla "Setup Company access (Acceso a la configuración de la compañía)", el dispositivo:

      • No se registrará completamente con Azure AD.
      • No se mostrará en la lista de dispositivos del usuario en el portal de Azure AD.
      • No tendrá acceso a los recursos protegidos por el acceso condicional.
      • No se evaluará el cumplimiento del dispositivo.
      • Se redirigirá al Portal de empresa desde otras aplicaciones si el usuario intenta abrir cualquier aplicación administrada que esté protegida por el acceso condicional.

  3. Si ha elegido Asistente de configuración (heredado) como método de autenticación, pero también quiere usar el acceso condicional o implementar aplicaciones de empresa en los dispositivos, debe instalar Portal de empresa en los dispositivos e iniciar sesión para completar el registro de Azure AD. Para ello, seleccione para Instalar Portal de empresa. Si quiere que los usuarios reciban Portal de empresa sin tener que autenticarse en App Store, elija Instalar Portal de empresa con VPP y seleccione un token de VPP. Asegúrese de que el token no expira y de que dispone de suficientes licencias de dispositivos para que la aplicación Portal de empresa se implemente correctamente.

  4. Si selecciona un token para Instalar Portal de empresa con VPP, puede bloquear el dispositivo en modo Una aplicación (en concreto, la aplicación Portal de empresa) inmediatamente después de que finalice el Asistente de configuración. Haga clic en en Ejecutar el Portal de empresa en modo de aplicación única hasta la autenticación para establecer esta opción. Para usar el dispositivo, primero el usuario debe autenticarse iniciando sesión con Portal de empresa.

    Nota

    No se admite la autenticación multifactor en un único dispositivo bloqueado en modo Una aplicación. Esta limitación existe porque el dispositivo no puede cambiar a otra aplicación para completar el segundo factor de autenticación. Si quiere usar la autenticación multifactor en un dispositivo en modo Una aplicación, el segundo factor debe estar en un dispositivo diferente.

    Esta característica solo es compatible con iOS/iPadOS 11.3.1 y versiones posteriores.

    Captura de pantalla en la que se muestra la opción para ejecutar Portal de empresa en modo Una aplicación.

  5. Si quiere que los dispositivos que usan este perfil se supervisen, elija en la lista Supervisado:

    Captura de pantalla en la que se muestra la opción Supervisado.

    Los dispositivos supervisados ofrecen más opciones de administración y, en este caso, el bloqueo de activación está deshabilitado de forma predeterminada. Microsoft recomienda usar ADE como mecanismo para habilitar el modo de supervisión, sobre todo si se implementa un gran número de dispositivos iOS/iPadOS. Los dispositivos iPad empresariales compartidos de Apple deben supervisarse.

    Los usuarios reciben notificaciones de que sus dispositivos están supervisados de dos maneras:

    • En la pantalla de bloqueo aparece: Este iPhone está administrado por nombre de la empresa.
    • En la pantalla Configuración > General > Acerca de aparece:Este iPhone está supervisado. Nombre de la empresa puede supervisar el tráfico de Internet y localizar este dispositivo.

    Nota

    Si un dispositivo se inscribe sin supervisión, debe usar Apple Configurator si quiere establecerlo como supervisado. Para restablecer el dispositivo de esta manera, debe conectarlo a un equipo Mac con un cable USB. Para obtener más información, vea Ayuda de Apple Configurator.

  6. En la lista Inscripción bloqueada, seleccione o No. La inscripción bloqueada deshabilita la configuración de iOS/iPadOS que permite que el perfil de administración se quite del menú Configuración. Tras la inscripción del dispositivo, no se puede cambiar esta configuración sin borrar dicho dispositivo. Para usar esta opción, el dispositivo debe tener la opción de administración Supervisado establecida en .

    Nota

    Si un dispositivo se inscribe con inscripción bloqueada, el usuario no podrá usar las opciones Quitar dispositivo ni Restablecimiento de fábrica en la aplicación Portal de empresa. Las opciones no estarán disponibles para el usuario. Además, el usuario tampoco podrá quitar el dispositivo del sitio web de Portal de empresa.

    Si un dispositivo BYOD se convierte en un dispositivo ADE de Apple y se inscribe con un perfil que tiene la inscripción bloqueada habilitada, el usuario podrá usar las opciones Quitar dispositivo y Restablecimiento de fábrica durante 30 días. Después, las opciones se deshabilitarán o no estarán disponibles. Para obtener más información, consulte Preparar dispositivos manualmente.

  7. Si ha seleccionado Inscribir sin afinidad de usuario y Supervisado en los pasos anteriores, debe decidir si quiere configurar los dispositivos para que sean dispositivos iPad empresariales compartidos de Apple. Seleccione para iPad compartido para permitir que varios usuarios inicien sesión en un único dispositivo. Los usuarios se autenticarán con sus cuentas de autenticación federadas y los identificadores de Apple administrados, o bien a través de una sesión temporal (como la cuenta de invitado). Esta opción requiere iOS/iPadOS 13.4 o una versión posterior. Con iPad compartido, se omiten automáticamente todos los paneles del asistente de configuración después de la activación.

    Nota

    • Se requiere un borrado del dispositivo si se envía un perfil de inscripción de iOS/iPadOS con iPad compartido habilitado a un dispositivo no compatible. Entre los dispositivos no compatibles se incluyen los modelos de iPhone y los iPad que ejecutan iPadOS/iOS 13.3 y versiones anteriores. Los dispositivos compatibles incluyen iPad que ejecutan iPadOS 13.3 y versiones posteriores.
    • Para configurar un dispositivo como iPad empresarial compartido de Apple, establezca los siguientes valores:
      • En la lista Afinidad de usuario, seleccione Inscribir sin afinidad de usuario.
      • En la lista Supervisado, seleccione .
      • En la lista iPad compartido, seleccione .

    Si configura iPad compartido de Apple para dispositivos empresariales, también configurará:

    • Número máximo de usuarios almacenados en la caché: escriba el número de usuarios que espera que usen el iPad compartido. Puede almacenar en caché hasta 24 usuarios en un dispositivo de 32 o 64 GB. Si elige un número bajo, es posible que los datos del usuario tarden un tiempo en llegar al dispositivo después del inicio de sesión. Si elige un número alto, los usuarios podrían quedarse sin espacio en disco.

    • Número máximo de segundos después del bloqueo de pantalla antes de solicitar la contraseña: Escriba el número de segundos de 0 a 14.400. Si el bloqueo de pantalla supera esta cantidad de tiempo, se requiere una contraseña del dispositivo para desbloquear el dispositivo. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 13.0 y versiones posteriores.

    • Número máximo de segundos de inactividad hasta que se cierre la sesión de usuario: El valor mínimo permitido para esta configuración es 30. Si no hay ninguna actividad después del período definido, la sesión de usuario finaliza y se cierra sesión. Si deja la entrada en blanco o la establece en cero (0), la sesión no finalizará debido a la inactividad. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

    • Requerir solo la sesión temporal de iPad compartido: Configura el dispositivo para que los usuarios solo puedan ver la versión de invitado de la experiencia de inicio de sesión y tengan que iniciar sesión como invitados. No pueden iniciar sesión con un Id. de Apple administrado. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

      Cuando se establece en Sí, esta configuración cancela la siguiente configuración de iPad compartido, ya que no es aplicable en sesiones temporales:

      • Número máximo de usuarios almacenados en caché
      • Número máximo de segundos tras bloqueo de pantalla antes de solicitar la contraseña
      • Número máximo de segundos de inactividad hasta que la sesión de usuario se cierra

    • Número máximo de segundos de inactividad hasta que se cierre la sesión temporal: El valor mínimo permitido para esta configuración es 30. Si no hay ninguna actividad después del período definido, la sesión temporal finaliza y se cierra sesión. Si deja la entrada en blanco o la establece en cero (0), la sesión no finalizará debido a la inactividad. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

      Esta configuración está disponible cuando Requerir solo sesión temporal de iPad compartido se establece en .

    Nota

    • Si las sesiones temporales están habilitadas, todos los datos del usuario se eliminan al cerrar sesión. Esto significa que todas las directivas y aplicaciones dirigidas llegarán al usuario cuando inicien sesión y se borrarán cuando cierre sesión.
    • Para modificar o cambiar una configuración de iPads compartidos con el fin de que no tengan sesiones temporales, será necesario que el dispositivo se restablezca completamente y tendrá que enviarse al iPad un nuevo perfil de inscripción con las configuraciones actualizadas.

  8. En la lista Sincronizar con equipos, seleccione una opción para los dispositivos que usan este perfil. Si selecciona Permitir Apple Configurator mediante certificado, debe seleccionar un certificado en Certificados de Apple Configurator.

    Nota

    Si establece Sincronizar con equipos en Denegar todo, el puerto estará limitado en dispositivos iOS y iPadOS. El puerto solo se podrá usar para la carga. No se permitirá que use iTunes o Apple Configurator 2.

    Si establece Sincronizar con equipos en Permitir Apple Configurator mediante certificado, asegúrese de tener una copia local del certificado que pueda usar más adelante. No es posible realizar cambios en la copia cargada y es importante conservar una copia de este certificado. Para conectarse al dispositivo iOS/iPadOS desde un equipo o dispositivo macOS, se debe instalar el mismo certificado en el dispositivo que establece la conexión con el dispositivo iOS/iPadOS.

  9. Si ha seleccionado Permitir Apple Configurator mediante certificado en el paso anterior, elija un certificado de Apple Configurator para importarlo.

  10. Puede especificar un formato de nombres para los dispositivos que se aplique automáticamente cuando se inscriban y en cada sincronización sucesiva. Para crear una plantilla de nombres, seleccione en Aplicar plantilla de nombre de dispositivo. Después, en el cuadro Plantilla de nombre de dispositivo, escriba la plantilla que se usará para los nombres que usan este perfil. Puede especificar un formato de plantilla que incluya el tipo de dispositivo y el número de serie. Esta característica es compatible con iPhone, iPad y iPod Touch. La entrada de la plantilla del nombre de dispositivo no puede ser más largo de 63 caracteres, incluidas las variables.

  11. Puede activar un plan de datos móviles. Este ajuste se aplica a los dispositivos con iOS/iPadOS 13.0 y posteriores. La configuración de esta opción enviará un comando para activar los planes de datos celulares para sus dispositivos celulares habilitados para eSim. Su operador debe aprovisionar las activaciones para sus dispositivos antes de que pueda activar los planes de datos utilizando este comando. Para activar el plan de datos móviles, haga clic en y luego introduzca la URL del servidor de activación de su operador.

  12. Seleccione Siguiente.

  13. En la pestaña Asistente de configuración, configure las siguientes opciones de perfil:

    Opción de configuración Descripción
    Departamento Aparece cuando los usuarios pulsan Acerca de la configuración durante la activación.
    Teléfono del departamento Aparece cuando los usuarios pulsan el botón Necesito ayuda durante la activación.

    Puede ocultar las pantallas del Asistente de configuración en el dispositivo durante la configuración del usuario.

    • Si selecciona Ocultar, la pantalla no se mostrará durante la configuración. Después de configurar el dispositivo, el usuario seguirá teniendo la posibilidad de ir al menú Ajustes para configurar la característica.
    • Si selecciona Mostrar, la pantalla se mostrará durante la configuración, pero solo si hay pasos que completar después de la restauración o de la actualización de software. Los usuarios pueden omitir la pantalla sin realizar ninguna acción. Posteriormente podrán ir al menú Ajustes del dispositivo para configurar la característica.
    • Con iPad compartido, se omiten automáticamente todos los paneles del asistente de configuración después de la activación independientemente de la configuración.
    Características del Asistente de configuración Qué ocurre cuando está visible
    Código de acceso Pida al usuario un código de acceso. Requiera siempre un código de acceso para los dispositivos no seguros a menos que el acceso esté controlado de alguna otra manera (por ejemplo, la configuración de pantalla completa que restringe el dispositivo a una aplicación). Para iOS/iPadOS 7.0 y versiones posteriores.
    Servicios de ubicación Solicitar al usuario su ubicación En macOS 10.11 y versiones posteriores y iOS/iPadOS 7.0 y versiones posteriores.
    Restore Visualizar la pantalla de Aplicación y Datos En esta pantalla, los usuarios tendrán la opción de restaurar o transferir datos de una copia de seguridad de iCloud al configurar el dispositivo. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
    ID de Apple Le ofrece al usuario la opción de iniciar sesión con su Apple ID y usar iCloud. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
    Términos y condiciones Requiere que el usuario acepte los términos y condiciones de Apple. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
    Touch ID y Face ID Ofrece al usuario la opción de configurar la identificación dactilar o facial en su dispositivo. Para macOS 10.12.4 y posterior y iOS/iPadOS 8.1 y posterior. En iOS/iPadOS 14.5 y versiones posteriores, las pantallas del Asistente para la instalación de Touch ID y el código de acceso durante la configuración del dispositivo no funcionan. Si usa la versión 14.5 y posteriores, no configure las pantallas del Asistente para la instalación de Touch ID o código de acceso. Si necesita un código de acceso en los dispositivos, use una directiva de configuración de dispositivos o una directiva de cumplimiento. Una vez que el usuario se inscribe y recibe la directiva, se le pide un código de acceso.
    Apple Pay Le ofrece al usuario la opción de configurar Apple Pay en el dispositivo. Para macOS 10.12.4 y posterior y iOS/iPadOS 7.0 y posterior.
    Zoom Ofrece al usuario la opción de ampliar la pantalla al configurar el dispositivo. Para iOS/iPadOS 8.3 y posteriores.
    Siri Le ofrece al usuario la opción de configurar Siri. Para macOS 10.12 y posterior y iOS/iPadOS 7.0 y posterior.
    Datos de diagnóstico Se mostrará la pantalla Diagnósticos. Esta pantalla le ofrece al usuario la opción de enviar datos de diagnóstico a Apple. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
    Display Tone Le ofrece al usuario la opción de habilitar Display Tone. Para macOS 10.13.6 y posterior y iOS/iPadOS 9.3.2 y posterior.
    Privacidad Muestra la pantalla de privacidad. Para macOS 10.13.4 y posterior, y iOS/iPadOS 11.3 y posterior.
    Migración de Android Dé al usuario la opción de migrar datos desde un dispositivo Android. Para iOS/iPadOS 9.0 y posterior.
    iMessage y FaceTime Dar al usuario la opción de configurar iMessage y FaceTime. Para iOS/iPadOS 9.0 y posteriores.
    Incorporación Muestra pantallas informativas de bienvenida para la educación del usuario, como la portada y la multitarea y el Centro de control. Para iOS/iPadOS 11.0 y posteriores.
    Tiempo de pantalla Muestra la pantalla Tiempo frente a la pantalla. Para macOS 10.15 y versiones posteriores, e iOS/iPadOS 12.0 y versiones posteriores.
    Configuración SIM Le ofrece al usuario la opción de agregar un plan de teléfono. Para iOS/iPadOS 12.0 y posterior.
    Actualización de sotware Muestra la pantalla de actualizaciones de software que se requieren. Para iOS/iPadOS 12.0 y posterior.
    Migración de Watch Dé al usuario la opción de migrar datos de su dispositivo antiguo a un dispositivo de inspección. Para iOS/iPadOS 11.0 y posterior.
    Apariencia Muestra la pantalla de apariencia. Para macOS 10.14 y posterior, y iOS/iPadOS 13.0 y posterior.
    Dispositivo para mirar dispositivo Dar al usuario la opción de migrar los datos de un dispositivo antiguo a este dispositivo. Para iOS/iPadOS 13.0 y posteriores.
    Restauración completada Muestra a los usuarios la pantalla Restauración completada después de realizar una copia de seguridad y restauración durante el Asistente de configuración.
    Actualización de software completada Muestra al usuario todas las actualizaciones de software que se producen durante el Asistente de configuración.
    Introducción Muestra a los usuarios la pantalla de bienvenida Introducción.

  14. Seleccione Siguiente.

  15. Seleccione Crear para guardar el perfil.

Nota

Si necesita volver a inscribir su dispositivo de inscripción automática de dispositivos, primero debe borrar el dispositivo desde la consola de administración de Intune. Para volver a inscribirlo:

  1. Borre el dispositivo de la consola de Intune.
    • Como alternativa, retire el dispositivo de la consola de Intune y restablézcalo a sus valores de fábrica mediante la aplicación de configuración, Apple Configurator 2 o iTunes.
  2. Vuelva a activar el dispositivo y ejecute el Asistente de configuración para recibir el perfil de administración remota.

Grupos dinámicos en Azure Active Directory

Puede usar el campo de nombre de la inscripción para crear un grupo dinámico en Azure Active Directory (Azure AD). Para obtener más información, consulte Grupos dinámicos de Azure Active Directory.

Puede usar el nombre de perfil para definir el parámetro enrollmentProfileName para asignar dispositivos con este perfil de inscripción.

Para obtener la entrega de directivas más rápida en dispositivos ADE con afinidad de usuario, asegúrese, antes de la configuración del dispositivo, de que el usuario de la inscripción es miembro de un grupo de usuarios de Azure AD.

Si asigna grupos dinámicos a perfiles de inscripción, puede haber un retraso en la entrega de aplicaciones y directivas a los dispositivos después de la inscripción.

Sincronizar dispositivos administrados

Ahora que Intune tiene permiso para administrar los dispositivos, puede sincronizar Intune con Apple para ver los dispositivos administrados en Intune en Azure Portal.

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > iOS/iPadOS > iOS/iPadOS enrollment > Tokens del programa de inscripción.

  2. Seleccione un token de la lista y, después, seleccione Dispositivos > Sincronizar:

    Captura de pantalla en la que se muestra cómo sincronizar dispositivos iOS y iPadOS con un token del programa de inscripción.

    Para cumplir con los términos de Apple relativos a un tráfico del programa de inscripción aceptable, Intune impone las restricciones siguientes:

    • Una sincronización completa no se puede ejecutar más de una vez cada siete días. Durante una sincronización completa, Intune captura la lista actualizada completa de números de serie asignados al servidor MDM de Apple conectado a Intune.

      Importante

      Si se elimina un dispositivo de Intune, pero permanece asignado al token de inscripción de ADE en el portal de ASM/ABM, volverá a aparecer en Intune en la siguiente sincronización completa. Si no quiere que el dispositivo vuelva a aparecer en Intune, anule la asignación del servidor MDM de Apple en el portal de ABM/ASM.

    • Si se libera un dispositivo de ABM/ASM, la eliminación automática de la página de dispositivos en Intune puede tardar hasta 45 días en realizarse. Puede eliminar manualmente los dispositivos de Intune uno por uno, si lo necesita. En Intune, los dispositivos liberados de ABM/ASM se mostrarán como eliminados hasta que se eliminen automáticamente en un plazo de 30-45 días.
    • Se ejecuta una sincronización automáticamente cada 12 horas. También puede desencadenar una sincronización diferencial haciendo clic en el botón Sincronizar (no más de una vez cada 15 minutos). Todas las solicitudes de sincronización tardan 15 minutos en finalizar. El botón Sincronizar queda deshabilitado hasta que se completa la sincronización. Esta sincronización actualizará el estado del dispositivo existente e importará nuevos dispositivos asignados al servidor MDM de Apple. Si se produce un error en la sincronización diferencial por cualquier motivo, la siguiente sincronización será una sincronización completa para resolver cualquier problema.

Asignar un perfil de inscripción a los dispositivos

Para poder inscribir los dispositivos, debe asignarles un perfil del programa de inscripción.

Nota

También puede asignar números de serie a perfiles en el panel de números de serie de Apple.

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > iOS/iPadOS > iOS/iPadOS enrollment > Tokens del programa de inscripción. Seleccione un token de la lista.
  2. Seleccione Dispositivos. Seleccione los dispositivos en la lista, y luego, seleccione Asignar perfil.
  3. En Asignar perfil, elija un perfil para los dispositivos y seleccione Asignar.

Asignación de un perfil predeterminado

Puede elegir un perfil predeterminado para aplicarlo a todos los dispositivos inscritos con un token específico.

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > iOS/iPadOS > iOS/iPadOS enrollment > Tokens del programa de inscripción. Seleccione un token de la lista.
  2. Seleccione Establecer el perfil predeterminado, elija un perfil de la lista y, después, haga clic en Guardar. El perfil se aplicará a todos los dispositivos que se inscriben con el token.

Nota

Asegúrese de que Restricciones de tipo de dispositivo en Restricciones de inscripción no tiene la directiva predeterminada Todos los usuarios establecida para bloquear la plataforma iOS/iPadOS. Esta configuración provocará un error en la inscripción automatizada y el dispositivo se mostrará como Perfil no válido, independientemente de la atestación del usuario. Para permitir la inscripción solo por dispositivos administrados por la empresa, bloquee solo los dispositivos de propiedad personal, lo que permitirá que los dispositivos corporativos se inscriban. Microsoft define un dispositivo corporativo como un dispositivo inscrito a través de un Programa de inscripción de dispositivos o un dispositivo que se especifica manualmente en Identificadores de dispositivo corporativos.

Distribución de los dispositivos

Ha habilitado la administración y sincronización entre Apple e Intune, y ha asignado un perfil para permitir que los dispositivos ADE se puedan inscribir. Ya tiene todo listo para distribuir los dispositivos a los usuarios. Algunos puntos que tener en cuenta:

  • Los dispositivos inscritos con afinidad de usuario necesitan que a cada usuario se le asigne una licencia de Intune.

  • Los dispositivos inscritos sin afinidad de usuario no suelen tener usuarios asociados. Por lo tanto, estos dispositivos deben tener una licencia de dispositivo de Intune. Si los dispositivos inscritos sin afinidad de usuario los va a usar un usuario con licencia de Intune, no se necesita una licencia de dispositivo.

    En resumen, si un dispositivo tiene un usuario, dicho usuario debe tener una licencia de Intune asignada. Si el dispositivo no tiene un usuario con licencia de Intune, el dispositivo debe tener una licencia de dispositivo de Intune.

    Para obtener más información sobre las licencias de Intune, vea Licencias de Microsoft Intune y la guía de planificación de Intune.

  • Un dispositivo que se ha activado se debe borrar para poder inscribirlo correctamente con ADE en Intune. Después de borrarlo, pero antes de volver a activarlo, puede aplicar el perfil de inscripción. Consulte Configuración de un dispositivo iPhone, iPad o iPod touch.

  • Al realizar la inscripción con ADE y la afinidad de usuario, se puede producir el siguiente error durante la instalación:

    The SCEP server returned an invalid response.

    Para resolver este error, pruebe a descargar la administración de nuevo en 15 minutos. Si han pasado más de 15 minutos, deberá restablecer el dispositivo a sus valores de fábrica para resolver este error. Por motivos de seguridad, este error se produce debido a un límite de tiempo de 15 minutos en los certificados de SCEP.

Para obtener información sobre la experiencia del usuario final, vea el artículo Inscripción de dispositivos iOS proporcionados por la organización en la administración.

Renovación de un token de inscripción de dispositivo automatizada

En ciertas ocasiones, deberá renovar los tokens:

  • Renueve el token de ADE anualmente. En el Centro de administración de Endpoint Manager se muestra la fecha de expiración.
  • Si cambia la contraseña del id. de Apple para el usuario que ha configurado el token en Apple Business Manager, renueve el token del programa de inscripción en Intune y Apple Business Manager.
  • Si el usuario que ha configurado el token en Apple Business Manager deja la organización, renueve el token del programa de inscripción en Intune y Apple Business Manager.

Renovación de los tokens

  1. Vaya a business.apple.com e inicie sesión con una cuenta que tenga un rol de administrador o administrador de inscripción de dispositivos.

  2. Seleccione Configuración. En Servidores MDM, seleccione el servidor MDM asociado al archivo de token que desea renovar. Seleccione Descargar token:

    Captura de pantalla en la que se muestra cómo renovar y descargar un token de Apple en Apple Business Manager.

  3. Seleccione Descargar token de servidor.

    Nota

    Como se indica en el mensaje, no seleccione Descargar token de servidor si no quiere renovar el token. Si lo hace, se invalidará el token que usa Intune (o cualquier otra solución MDM). Si ya ha descargado el token, asegúrese de continuar con los pasos siguientes hasta que se renueve.

  4. Después de descargar el token, vaya al Centro de administración de Microsoft Endpoint Manager. Seleccione Dispositivos > iOS/iPadOS > Inscripción de iOS/iPadOS > Tokens del programa de inscripción. Seleccione el token.

  5. Seleccione Renovar el token. Escriba el identificador de Apple que ha usado para crear el token original (si no se ha rellenado de forma automática):

    Captura de pantalla en la que se muestra la página de renovación del token.

  6. Cargue el token recién descargado.

  7. Seleccione Siguiente para ir a la página Etiquetas de ámbito. Asigne etiquetas de ámbito si quiere.

  8. Seleccione Renovar token. Verá una confirmación de que el token está renovado:

    Captura de pantalla en la que se muestra el mensaje de confirmación.

Eliminación de un token de inscripción de dispositivo automatizada de Intune

Puede eliminar un token de perfil de inscripción de Intune siempre y cuando:

  • No haya dispositivos asignados al token.
  • No haya dispositivos asignados al perfil predeterminado.
  • No hay ningún perfil de inscripción en ese token.

Para crear un token de perfil de inscripción:

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > iOS/macOS > iOS/macOS enrollment (Inscripción de iOS/macOS) > Tokens del programa de inscripción. Seleccione el token y, después, seleccione Dispositivos.
  2. Elimine todos los dispositivos asignados al token.
  3. Vaya a Dispositivos > iOS/macOS > iOS/macOS enrollment > Tokens del programa de inscripción. Seleccione el token y, después, seleccione Perfiles.
  4. Si hay un perfil predeterminado o cualquier otro perfil de inscripción, todos deben eliminarse.
  5. Vaya a Dispositivos > iOS/macOS > iOS/macOS enrollment > Tokens del programa de inscripción. Seleccione el token y, después, seleccione Eliminar.

Siguientes pasos

Escenarios de copia de seguridad y restauración para iOS/iPadOS

Información general sobre la inscripción de iOS/iPadOS