Métodos de autenticación para la inscripción automatizada de dispositivos en Intune

  • Artículo

Se aplica a iOS/iPadOS

En este artículo se describen los métodos de autenticación disponibles para dispositivos iOS/iPadOS inscritos en Intune mediante la inscripción automatizada de dispositivos. Los métodos de autenticación disponibles incluyen:

  • Aplicación Portal de empresa de Intune
  • Asistente para la instalación con autenticación moderna
  • Registro Just-In-Time (JIT) para el Asistente para la instalación con autenticación moderna
  • Asistente de configuración (heredado)

Todos los métodos están disponibles para dispositivos corporativos con afinidad de usuario y comprados a través de Apple Business Manager o Apple School Manager.

Opción 1: Portal de empresa de Intune aplicación

Use la aplicación Portal de empresa de Intune como método de autenticación si desea:

  • Use la autenticación multifactor (MFA).
  • Pedir a los usuarios que cambien sus contraseñas cuando inician sesión por primera vez.
  • Pedir a los usuarios que restablezcan las contraseñas expiradas durante la inscripción.
  • Registre dispositivos en Microsoft Entra ID y use características disponibles con Microsoft Entra ID, como el acceso condicional.
  • Instale automáticamente la aplicación Portal de empresa durante la inscripción. Si la compañía usa el Programa de Compras por Volumen de Apple (VPP), puede instalar automáticamente la aplicación Portal de empresa durante la inscripción sin necesidad de usar los ID de Apple de los usuarios.
  • Quiere bloquear el dispositivo hasta que se instale la aplicación Portal de empresa.

Precaución

Intune bloqueará una inscripción que use este método de autenticación si el usuario del dispositivo tiene como destino un tipo de perfil de inscripción de usuario de Apple controlado por la cuenta. Este comportamiento es normal. El usuario recibe un mensaje de error que indica que su cuenta no admite la inscripción a través de la aplicación Portal de empresa y que necesita inscribirse a través del sitio web de Portal de empresa. Para garantizar que las inscripciones se realicen correctamente a través de la inscripción automatizada de dispositivos, use la opción 2: Asistente para la instalación con la autenticación moderna como método de autenticación al trabajar con tipos de perfil de inscripción de usuario de Apple controlados por la cuenta.

Opción 2: Asistente para la instalación con autenticación moderna

Esta opción proporciona la misma seguridad que la autenticación de Portal de empresa de Intune, pero es diferente porque permite al usuario del dispositivo acceder a partes del dispositivo incluso si el Portal de empresa no se ha instalado. Use esta opción para la autenticación cuando desee:

  • Borre el dispositivo.
  • Use la autenticación multifactor (MFA).
  • Pedir a los usuarios que cambien sus contraseñas cuando inician sesión por primera vez.
  • Pedir a los usuarios que restablezcan las contraseñas expiradas durante la inscripción.
  • Registre dispositivos en Microsoft Entra ID y use características disponibles con Microsoft Entra ID, como el acceso condicional.
  • Instale automáticamente la aplicación Portal de empresa durante la inscripción. Si la compañía usa el Programa de Compras por Volumen de Apple (VPP), puede instalar automáticamente la aplicación Portal de empresa durante la inscripción sin necesidad de usar los ID de Apple de los usuarios.
  • Permitir que los usuarios usen el dispositivo incluso cuando la aplicación de Portal de empresa no esté instalada.

El Asistente para la instalación con autenticación moderna se admite en dispositivos que ejecutan iOS/iPadOS 13.0 y versiones posteriores. Los dispositivos iOS/iPadOS anteriores a los que se les asigna este tipo de perfil se revertirán en la autenticación del Asistente para la instalación (heredado ).

Instalar automáticamente Portal de empresa aplicación

Si la compañía usa el Programa de Compras por Volumen de Apple (VPP), puede instalar automáticamente la aplicación Portal de empresa durante la inscripción sin necesidad de usar los ID de Apple de los usuarios. Para habilitar la instalación automática en el perfil de inscripción, seleccione en Instalar Portal de empresa con VPP. Se recomienda usar esta opción.

Si no usa la opción VPP, el usuario del dispositivo debe escribir su id. de Apple durante el Asistente para la instalación o cuando Intune intenta instalar Portal de empresa.

En ambos escenarios, la opción de instalación Portal de empresa está oculta al usuario del dispositivo y el Portal de empresa se convierte en una aplicación necesaria en su dispositivo. Cuando el usuario llega a la pantalla principal, Intune aplica automáticamente la directiva de configuración de la aplicación correcta al dispositivo.

Precaución

No envíe una directiva de configuración de aplicaciones independiente al Portal de empresa para dispositivos iOS/iPadOS después de inscribirse con el Asistente para la configuración con autenticación moderna. Si lo hace, se producirá un error.

Autenticación multifactor

La autenticación multifactor (MFA) será necesaria si una directiva de acceso condicional que lo requiere se aplica en la inscripción o durante Portal de empresa inicio de sesión. Sin embargo, MFA es opcional, en función de la configuración de Microsoft Entra de la directiva de acceso condicional de destino.

MFA no funcionará para el Asistente de configuración con autenticación moderna si usa un proveedor de MFA de terceros para presentar la pantalla MFA durante la inscripción. Solo la pantalla de autenticación multifactor Microsoft Entra funciona durante la inscripción.

Portal de empresa acción necesaria

Después de pasar por las pantallas del Asistente de configuración, el usuario del dispositivo llega a la página principal. En este momento, se establece su afinidad de usuario. Sin embargo, hasta que el usuario inicie sesión en el Portal de empresa con sus credenciales de Microsoft Entra y seleccione Comenzar, el dispositivo:

  • No se registrará completamente con Microsoft Entra ID.
  • No se mostrará en la lista de dispositivos del usuario en Microsoft Entra ID.
  • No tendrá acceso a los recursos protegidos por el acceso condicional.
  • No se evaluará el cumplimiento del dispositivo.
  • Se redirigirá al Portal de empresa desde otras aplicaciones si el usuario intenta abrir cualquier aplicación administrada que esté protegida por el acceso condicional.

Opción 3: Registro Just-In-Time para el Asistente para la instalación con autenticación moderna

Esta opción es la misma que el Asistente para la instalación con autenticación moderna, salvo que no es necesario Portal de empresa para Microsoft Entra registro o cumplimiento. En su lugar, las comprobaciones de registro y cumplimiento de Microsoft Entra están totalmente integradas en una aplicación designada de Microsoft o que no es de Microsoft configurada con la extensión de aplicación de inicio de sesión único (SSO) de Apple. La extensión reduce las solicitudes de autenticación y establece el inicio de sesión único en todo el dispositivo. El registro JIT solicita a los usuarios que se autentiquen dos veces:

  • Una autenticación controla la inscripción y la afinidad usuario-dispositivo, y se produce cuando el usuario del dispositivo activa su dispositivo e inicia sesión en el Asistente para la instalación.
  • Otra autenticación controla Microsoft Entra registro y se produce cuando el usuario inicia sesión en la aplicación designada. Las comprobaciones de cumplimiento también se realizan en esta aplicación.

Nota:

Si su organización usa Microsoft Defender para punto de conexión, para que el registro JIT y la corrección de cumplimiento funcionen según lo previsto, asegúrese de que la aplicación de Microsoft Defender para punto de conexión no sea la primera que abran los usuarios de la aplicación.

Una vez que el usuario del dispositivo llega a la pantalla principal, puede iniciar sesión en cualquier aplicación profesional o educativa configurada con la extensión sso para completar Microsoft Entra comprobaciones de registro y cumplimiento. SSO inicia sesión al usuario en todas las aplicaciones que forman parte de la directiva de extensión de SSO. En ese momento, también pueden iniciar sesión manualmente en cualquier aplicación que no esté configurada para usar la extensión sso.

Para configurar el registro JIT con la inscripción automatizada de dispositivos:

  1. Cree una directiva de configuración de dispositivo y configure las opciones en la categoría Extensión de aplicación de inicio de sesión único . Para ver los pasos, consulte Configuración del registro Just-In-Time.

  2. Cree un perfil de inscripción de Apple y seleccione Asistente para la instalación con autenticación moderna como método de autenticación. Para completar este paso, debe haber un token de inscripción de dispositivos automatizado activo de Apple Business Manager o Apple School Manager en Intune.

  3. Cuando llegue a la página Asignaciones del perfil de inscripción, asigne el perfil a los dispositivos sincronizados desde Apple Business Manager y Apple School Manager. Después de asignar el perfil, los empleados y los alumnos pueden completar la configuración y la autenticación en sus dispositivos.

    Nota:

    El Portal de empresa se sigue enviando a los dispositivos como una aplicación necesaria, aunque no sea necesaria para Microsoft Entra registro o cumplimiento. Los usuarios del dispositivo pueden usar la aplicación Portal de empresa para recopilar y cargar registros si experimentan problemas en la aplicación.

Ejemplo de autenticación correcta

En la siguiente secuencia de eventos se describe un ejemplo del aspecto de una autenticación correcta con jit registration for Setup Assistant con autenticación moderna. La experiencia de su organización puede ser diferente en función de las configuraciones de inscripción de dispositivos automatizadas.

  1. El usuario del dispositivo activa el dispositivo.

  2. Comienza el Asistente para la configuración. El usuario del dispositivo se autentica con sus credenciales de Microsoft Entra en el Asistente para la instalación.

  3. El usuario del dispositivo completa la autenticación multifactor si es necesario en la directiva de acceso condicional.

  4. El dispositivo termina de inscribirse en Intune y se establece la afinidad usuario-dispositivo.

  5. El usuario del dispositivo llega a la pantalla principal y abre Microsoft Teams u otra aplicación de Office e inicia sesión con su cuenta profesional. Si el dispositivo cumple todos los requisitos de cumplimiento, el usuario del dispositivo tendrá acceso a sus mensajes y calendario de inmediato.

    Nota:

    Durante Microsoft Entra registro, es posible que el usuario del dispositivo vea un número corto mientras Intune finaliza las comprobaciones de cumplimiento. Este es el comportamiento esperado.

  6. La extensión SSO establece el inicio de sesión único en todas las demás aplicaciones de destino y en todas las aplicaciones de Microsoft.

  7. El dispositivo está registrado con Microsoft Entra ID y compatible. Puede ver el estado del dispositivo en el centro de administración y Microsoft Entra ID. El usuario del dispositivo puede ver el estado en Portal de empresa de Intune y usar Portal de empresa para el cumplimiento, el inventario de aplicaciones, las sincronizaciones de dispositivos y el uso compartido de registros.

  8. El usuario del dispositivo abre Teams y se inicia sesión automáticamente.

Opción 4: Asistente para la instalación (heredado)

Use el Asistente de configuración heredado si desea que los usuarios experimenten la experiencia típica y rápida de los productos de Apple. Esta opción instala la configuración preconfigurada estándar cuando el dispositivo se inscribe en Intune. Use esta opción para la autenticación cuando:

  • Quiere borrar un dispositivo.
  • No quiere características de autenticación modernas, como la autenticación multifactor.
  • No quiere registrar dispositivos en Microsoft Entra ID. El Asistente para la instalación (heredado) autentica al usuario con el token .p7m de Apple.

Si usa Servicios de federación de Active Directory (AD FS) y el Asistente de configuración para realizar la autenticación, se requiere un punto de conexión mixto de tipo WS-Trust 1.3. Para obtener más información, vea Get-AdfsEndpoint en nuestra guía de referencia de Windows PowerShell.

Pasos siguientes

Ahora que sabe qué método de autenticación usa, cree un perfil de inscripción de Apple y seleccione el método de autenticación cuando se le solicite. Para completar este paso, debe haber un token de inscripción de dispositivos automatizado activo de Apple Business Manager o Apple School Manager en Intune.