Configuración de la inscripción automatizada de dispositivos en Intune

  • Artículo

Se aplica a iOS/iPadOS

Los dispositivos corporativos comprados a través de Apple Business Manager o Apple School Manager se pueden inscribir en Intune mediante la inscripción automatizada de dispositivos. Esta opción de inscripción aplica la configuración de su organización desde Apple Business Manager y Apple School Manager e inscribe los dispositivos sin necesidad de tocarlos. Los iPhones y iPad se pueden enviar directamente a empleados y estudiantes. Cuando encienden sus dispositivos, el Asistente para la configuración de Apple los guía a través de la instalación y la inscripción.

En este artículo se describe cómo preparar y configurar la inscripción automatizada de dispositivos en Microsoft Intune.

Introducción a las características

En la tabla siguiente se muestran las características y escenarios admitidos con la inscripción automatizada de dispositivos.

Característica Usar esta opción de inscripción cuando
Quiere el modo de supervisión. ✔️

El modo supervisado implementa las actualizaciones de software, restringe características, permite y bloquea aplicaciones, etc.
Los dispositivos pertenecen a la organización o centro educativo. ✔️
Tiene dispositivos nuevos. ✔️
Necesita inscribir un pequeño número de dispositivos, o bien un gran número de dispositivos (inscripción masiva). ✔️
Los dispositivos están asociados a un único usuario. ✔️
Los dispositivos son sin usuario, como pantalla completa o un dispositivo dedicado. ✔️
Los dispositivos están en modo de dispositivo compartido. ✔️
Los dispositivos son personales o BYOD.

No se recomienda. Las aplicaciones en BYOD o dispositivos personales se pueden administrar mediante MAM o la inscripción de usuarios y dispositivos.
Los dispositivos los administra otro proveedor de MDM.

Para que se administren completamente con Intune, los usuarios deben anular la inscripción del proveedor de MDM actual y, luego, inscribirlos en Intune. O bien, puede usar MAM para administrar aplicaciones específicas en el dispositivo. Dado que estos dispositivos son propiedad de la organización, se recomienda inscribirlos en Intune.
Usa la cuenta del administrador de inscripción de dispositivos (DEM).

No se puede usar la cuenta DEM.

Requisitos previos

Antes de crear el perfil de inscripción, debe tener:

Antes de empezar

Lea estos requisitos de inscripción y los procedimientos recomendados para prepararse para una instalación e implementación correctas.

Elección de un método de autenticación

Antes de crear el perfil de inscripción, decida cómo desea que los usuarios se autentiquen en sus dispositivos: mediante la aplicación Portal de empresa de Intune, el Asistente para la instalación (heredado) o el Asistente para la instalación con autenticación moderna. El uso de la aplicación Portal de empresa o el Asistente para la instalación con autenticación moderna se considera autenticación moderna y tiene características como la autenticación multifactor.

Intune también admite el registro Just-In-Time para el Asistente para la instalación con autenticación moderna, lo que elimina la necesidad de la aplicación de Portal de empresa para Microsoft Entra registro y cumplimiento. Para usar el registro JIT, deberá crear una directiva de configuración de dispositivos antes de crear el perfil de inscripción de Apple y configurar el Asistente para la instalación con autenticación moderna.

El Asistente para la instalación con autenticación moderna se admite en dispositivos que ejecutan iOS/iPadOS 13.0 y versiones posteriores. Los dispositivos iOS/iPadOS más antiguos, dado este perfil, usarán en su lugar el Asistente para la instalación (heredado) para la autenticación.

Para obtener más información sobre las opciones de autenticación, consulte Métodos de autenticación para la inscripción automatizada de dispositivos.

¿Qué es el modo de supervisión?

El modo supervisado proporciona más control de administración sobre los dispositivos corporativos, por lo que puede hacer cosas como capturas de pantalla en bloque y restringir AirDrop.

Los dispositivos corporativos que ejecutan iOS/iPadOS 11+ e inscritos a través de la inscripción automatizada de dispositivos siempre deben estar en modo supervisado, lo que puede activar en el perfil de inscripción. Para obtener más información sobre el modo supervisado, consulte Activar el modo supervisado de iOS/iPadOS. Microsoft Intune omite la marca de is_supervised para dispositivos que ejecutan iOS/iPadOS 13.0 y versiones posteriores porque estos dispositivos se colocan automáticamente en modo supervisado en el momento de la inscripción.

Inscripción de dispositivos en modo de dispositivo compartido

Puede configurar la inscripción automatizada de dispositivos para dispositivos en modo de dispositivo compartido. El modo de dispositivo compartido es una característica de Microsoft Entra ID que permite a los trabajadores de primera línea compartir un único dispositivo durante todo el día, iniciando sesión y saliendo según sea necesario. Para obtener más información sobre cómo habilitar la inscripción de dispositivos en Microsoft Entra modo de dispositivo compartido, consulte Inscripción automatizada de dispositivos para el modo de dispositivo compartido.

Implementación de la aplicación Portal de empresa

Importante

No se recomienda usar la versión App Store de la aplicación de Portal de empresa porque no es compatible con la inscripción automatizada de dispositivos y no proporciona las actualizaciones automáticas y la disponibilidad, como hace la implementación.

La implementación de la aplicación Portal de empresa de Intune a través de Intune es la mejor manera de proporcionar la aplicación a los usuarios y la única manera de:

  • Asegúrese de que todos los dispositivos ADE, incluidos los ya inscritos, reciban la aplicación.
  • Habilite las actualizaciones automáticas de aplicaciones para Portal de empresa en dispositivos ADE.

Implemente la aplicación como una aplicación de VPP necesaria con licencias de dispositivo. Para obtener información sobre cómo sincronizar, asignar y administrar una aplicación de VPP, consulte Asignación de una aplicación comprada por volumen.

Para habilitar las actualizaciones automáticas de aplicaciones para Portal de empresa, vaya a la configuración del token de aplicación en el Centro de administración y cambie Actualizaciones automáticas de la aplicación a . Consulte Carga de un token de ubicación de Apple VPP o Apple Business Manager para ver los pasos para acceder a la configuración del token. Si no habilita las actualizaciones automáticas, el usuario del dispositivo deberá comprobarlas manualmente por su cuenta.

El almacenamiento provisional del dispositivo se usa para realizar la transición de un dispositivo sin afinidad de usuario a un dispositivo con afinidad de usuario. Para almacenar provisionalmente un dispositivo, configure la implementación de VPP como se describió anteriormente en esta sección. A continuación, configure e implemente una directiva de configuración de aplicaciones. Asegúrese de que la directiva solo tiene como destino esos dispositivos ADE sin afinidad de usuario.

Importante

Durante la inscripción inicial, Intune inserta automáticamente la configuración de la directiva de configuración de la aplicación para los dispositivos inscritos con el Asistente para la instalación con autenticación moderna, configurado en Configuración de la aplicación Portal de empresa para admitir dispositivos iOS e iPadOS inscritos con la inscripción automatizada de dispositivos, cuando la configuración del perfil de inscripción Se instala Portal de empresa se establece en sí. Esta configuración no debe implementarse manualmente para los usuarios porque provocará un conflicto con la configuración enviada durante la inscripción inicial. Si ambos están implementados, Intune solicitará incorrectamente a los usuarios del dispositivo que inicien sesión en Portal de empresa y descarguen un perfil de administración que ya hayan instalado.

Límites

  • Máximo de perfiles de inscripción por token: 1000
  • Número máximo de dispositivos de inscripción de dispositivos automatizados por perfil: 200 000 (igual que el número máximo de dispositivos por token).
  • Número máximo de tokens de inscripción de dispositivos automatizados por cuenta de Intune: 2000
  • Número máximo de dispositivos de inscripción de dispositivos automatizados por token: 200 000
    • Se recomienda no superar los 200 000 dispositivos por token. De lo contrario, es posible que tenga problemas de sincronización. Si tiene más de 200 000 dispositivos, divídalos en varios tokens de ADE.
    • Apple Business Manager y Apple School Manager sincronizan aproximadamente 3000 dispositivos a Intune por minuto. Se recomienda mantener la sincronización manual de nuevo desde el centro de administración hasta que haya transcurrido suficiente tiempo para que todos los dispositivos finalicen la sincronización (número total de dispositivos/3000 dispositivos por minuto).

Solución de problemas de inscripción

Si experimenta problemas de sincronización durante el proceso de inscripción, puede buscar opciones de resolución en el artículo Solución de problemas de inscripción de dispositivos iOS/iPadOS.

Obtención de un token de inscripción de dispositivos automatizados de Apple

Para poder inscribir dispositivos iOS/iPadOS con ADE, necesita un token de inscripción de dispositivos automatizado (archivo .p7m) de Apple. Este token permite Intune información de sincronización sobre los dispositivos ADE de su organización. También permite a Intune cargar perfiles de inscripción en Apple y asignar dispositivos a esos perfiles.

Use Apple Business Manager (ABM) o Apple School Manager (ASM) para crear un token y asignar dispositivos a Intune para la administración.

Nota:

Puede usar tanto el portal de ABM como el portal de ASM para habilitar ADE. En el resto de este artículo se hace referencia al portal de ABM, pero los pasos son los mismos para ambos portales.

Paso 1: Descargar el certificado de clave pública de Intune

  1. En el centro de administración de Microsoft Intune, vaya aInscripción de dispositivos>.

  2. Seleccione la pestaña Apple .

  3. Seleccione Tokens del programa de inscripción>Agregar.

  4. En la pestaña Aspectos básicos:

    1. Seleccione Acepto para conceder a Microsoft permiso para enviar información del usuario y el dispositivo a Apple:

      Captura de pantalla en la que se muestra la pantalla Agregar el token del programa de inscripción.

    2. Seleccione Descargar la clave pública. En este paso se descarga y guarda el archivo de la clave de cifrado (.pem) localmente. El archivo .pem se usa para solicitar un certificado de relación de confianza en el portal de Apple Business Manager.

      Cargará este archivo .pem en Apple Business Manager en Paso 2: Ir al portal de Apple Business Manager (en este artículo).

    3. Mantenga abierta la pestaña y la página del explorador web. Si cierra la pestaña:

      • El certificado que ha descargado se invalida.
      • Tendrá que repetir los pasos.
      • En la pestaña Revisar y crear, el botón Crear no está disponible y no se puede completar este procedimiento.

Paso 2: Ir al portal de Apple Business Manager

Use el portal de Apple Business Manager para crear y renovar el token de ADE (servidor MDM). Este token se agrega a Intune y se comunica entre Intune y Apple.

Nota:

En los pasos siguientes se describe lo que debe hacer en Apple Business Manager. Para obtener los pasos específicos, consulte la documentación de Apple. La Guía del usuario de Apple Business Manager, en el sitio web de Apple, puede resultarle útil.

Descarga del token de Apple

  1. En Apple Business Manager, inicie sesión con el id. de Apple de la empresa.

  2. En este portal, lleve a cabo los pasos siguientes.

    • En la pantalla de configuración, se muestran todos los tokens. Agregue un servidor MDM y cargue el certificado de clave pública (el archivo .pem) que ha descargado de Intune en Paso 1: Descargar el certificado de clave pública de Intune (en este artículo).

      Use el nombre del servidor para identificar el servidor de administración de dispositivos móviles (MDM). No es el nombre ni la dirección URL del servicio Microsoft Intune.

    • Después de guardar el servidor MDM, selecciónelo y descargue el token (el archivo .p7m). Cargará este token .p7m en Intune en Paso 4: Cargar el token y finalizar (en este artículo).

Asignación de dispositivos al token de Apple (servidor MDM)

  1. En Apple Business Manager>Dispositivos, seleccione los dispositivos que quiera asignar a este token. Puede ordenarlos según varias propiedades de dispositivo, como el número de serie. También puede seleccionar varios dispositivos simultáneamente.
  2. Edite la administración de dispositivos y seleccione el servidor MDM que acaba de agregar. Este paso asigna los dispositivos al token.

Paso 3: Guardar el Id. de Apple

  1. En el explorador web, vuelva a la página Agregar el token del programa de inscripción en Intune. Debería haber mantenido esta página abierta, como se indica en Paso 1: Descargar el certificado de clave pública de Intune (en este artículo).

  2. En Id. de Apple, escriba su identificador. Este paso guarda el identificador, que puede usarse para futuras referencias.

    Captura en la que se muestra el cuadro Id. de Apple en la pestaña Datos básicos.

Paso 4: Cargar el token y finalizar

  1. En Token de Apple, vaya al archivo de certificado .p7m y seleccione Abrir.

    Ha descargado este token .p7m en Paso 2: Ir al portal de Apple Business Manager.

  2. Seleccione Siguiente.

  3. En la pestaña Revisar y crear , seleccione Crear.

Con el certificado push, Intune puede inscribir y administrar dispositivos iOS/iPadOS mediante la inserción de directivas en los dispositivos móviles inscritos. Intune se sincroniza automáticamente con Apple para acceder a la cuenta del programa de inscripción.

Crear un perfil de inscripción de Apple

Ahora que ha instalado el token, puede crear un perfil de inscripción para la inscripción automatizada de dispositivos. Un perfil de inscripción de dispositivos define la configuración que se aplica a un grupo de dispositivos durante la inscripción. Hay un límite de 1000 perfiles de inscripción por token de inscripción.

Nota:

Se bloqueará la inscripción de los dispositivos si no hay suficientes licencias de Portal de empresa para un token de VPP o si el token expira. Intune le avisa cuando un token está a punto de expirar o las licencias se están agotando.

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.

  2. Seleccione la pestaña Apple .

  3. Elija Tokens del programa de inscripción.

  4. Elija un token y, a continuación, seleccione Perfiles.

  5. Seleccione Crear perfil>iOS/iPadOS.

  6. Para Datos básicos, asigne al perfil un Nombre y Descriptción con fines administrativos. Los usuarios no ven estos detalles.

  7. Seleccione Siguiente.

    Importante

    Si realiza cambios en un perfil de inscripción existente, la nueva configuración no surtirá efecto en los dispositivos asignados hasta que los dispositivos se restablezcan a la configuración de fábrica y se vuelvan a activar. La configuración de plantilla de nombre de dispositivo es la única configuración que puede cambiar y que no requiere que el restablecimiento de fábrica surta efecto. Los cambios en la plantilla de nomenclatura surten efecto en la siguiente protección.

  8. En la lista Afinidad de usuario, seleccione una opción que determine si los dispositivos con este perfil deben inscribirse con o sin un usuario asignado.

    • Inscribirse con afinidad de usuario: seleccione esta opción para los dispositivos que pertenecen a usuarios que desean usar Portal de empresa para servicios como la instalación de aplicaciones.

    • Inscribir sin afinidad de usuario: seleccione esta opción para los dispositivos que no están afiliados a un solo usuario. Use esta opción para los dispositivos que no tengan acceso a los datos de usuario local. Esta opción suele utilizarse para dispositivos de pantalla completa, de punto de venta (POS) o de utilidades compartidas.

      En algunas situaciones, es posible que quiera asociar un usuario primario en dispositivos inscritos sin afinidad de usuario. Para realizar esta tarea, puede enviar la clave IntuneUDAUserlessDevice a la aplicación Portal de empresa en una directiva de configuración de aplicaciones para dispositivos administrados. El primer usuario que inicia sesión en la aplicación Portal de empresa se establece como el usuario primario. Si el primer usuario cierra sesión y un segundo usuario inicia sesión, aquel sigue siendo el usuario principal del dispositivo. Para obtener más información, vea Configuración de la aplicación Portal de empresa para admitir dispositivos iOS y iPadOS inscritos con Inscripción de dispositivo automatizada.

    • Inscribirse con Microsoft Entra ID modo compartido: seleccione esta opción para inscribir dispositivos que estarán en modo compartido.

  9. Si seleccionó Inscribir con afinidad de usuario para el campo Afinidad de usuario , tiene la opción de elegir el método de autenticación que deben usar los empleados. Para obtener más información sobre cada método de autenticación, consulte Métodos de autenticación para la inscripción automatizada de dispositivos.

    Captura de pantalla de las opciones del método de autenticación.

    Sus opciones:

    • Portal de empresa
    • Asistente de configuración (heredado)
    • Asistente para la instalación con autenticación moderna

  10. Si seleccionó asistente de instalación (heredado) para el método de autenticación, pero también quiere usar el acceso condicional o implementar aplicaciones de empresa en los dispositivos, debe instalar Portal de empresa en los dispositivos e iniciar sesión para completar el registro de Microsoft Entra. Para ello, seleccione para Instalar Portal de empresa. Si quiere que los usuarios reciban Portal de empresa sin tener que autenticarse en App Store, elija Instalar Portal de empresa con VPP y seleccione un token de VPP. Asegúrese de que el token no expira y de que dispone de suficientes licencias de dispositivos para que la aplicación Portal de empresa se implemente correctamente.

  11. Si selecciona un token para Instalar Portal de empresa con VPP, puede bloquear el dispositivo en modo Una aplicación (en concreto, la aplicación Portal de empresa) inmediatamente después de que finalice el Asistente de configuración. Haga clic en en Ejecutar el Portal de empresa en modo de aplicación única hasta la autenticación para establecer esta opción. Para usar el dispositivo, primero el usuario debe autenticarse iniciando sesión con Portal de empresa.

    Nota:

    No se admite la autenticación multifactor en un único dispositivo bloqueado en modo Una aplicación. Esta limitación existe porque el dispositivo no puede cambiar a otra aplicación para completar el segundo factor de autenticación. Si quiere usar la autenticación multifactor en un dispositivo en modo Una aplicación, el segundo factor debe estar en un dispositivo diferente.

    Esta característica solo es compatible con iOS/iPadOS 11.3.1 y versiones posteriores.

    Captura de pantalla en la que se muestra la opción para ejecutar Portal de empresa en modo Una aplicación.

  12. Si quiere que los dispositivos que usan este perfil se supervisen, elija en la lista Supervisado:

    Captura de pantalla en la que se muestra la opción Supervisado.

    Los dispositivos supervisados ofrecen más opciones de administración y, en este caso, el bloqueo de activación está deshabilitado de forma predeterminada. Microsoft recomienda usar ADE como mecanismo para habilitar el modo de supervisión, sobre todo si se implementa un gran número de dispositivos iOS/iPadOS. Los dispositivos iPad empresariales compartidos de Apple deben supervisarse.

    Se notifica a los usuarios que sus dispositivos están supervisados en la aplicación Configuración . En la aplicación de la parte superior de su pantalla, un mensaje estático indica que este iPhone está supervisado y administrado por <your organization>.

    Nota:

    Si un dispositivo se inscribe sin supervisión, debe usar Apple Configurator si quiere establecerlo como supervisado. Para restablecer el dispositivo de esta manera, debe conectarlo a un equipo Mac con un cable USB. Para obtener más información, vea Ayuda de Apple Configurator.

  13. En la lista Inscripción bloqueada, seleccione o No. La inscripción bloqueada deshabilita la configuración de iOS/iPadOS que permite quitar el perfil de administración. Si habilita la inscripción bloqueada, el botón de la aplicación Configuración que permite a los usuarios quitar un perfil de administración se ocultará y los usuarios no podrán anular la inscripción de su dispositivo. Si va a configurar dispositivos en Microsoft Entra ID modo compartido, seleccione .

    La inscripción bloqueada funciona de forma un poco diferente, al principio, en los dispositivos que no se compraron originalmente a través de Apple Business Manager, pero que posteriormente se agregaron para formar parte de la inscripción automatizada de dispositivos: los usuarios de estos dispositivos verán el botón Quitar administración en la aplicación Configuración durante los primeros 30 días después de activar su dispositivo. Después de ese período provisional, la opción se ocultará. Para obtener más información, consulte Preparación manual de dispositivos (abre los documentos de ayuda de Apple Configurator).

    Importante

    Esta configuración es diferente de las opciones de eliminación y restablecimiento de la aplicación Portal de empresa. Independientemente de cómo configure la inscripción bloqueada, las opciones Quitar dispositivo o Restablecimiento de fábrica de la aplicación Portal de empresa permanecen no disponibles en los dispositivos inscritos mediante la inscripción automatizada de dispositivos. Los usuarios tampoco podrán quitar el dispositivo en el sitio web de Portal de empresa. Para obtener más información sobre las acciones de autoservicio disponibles en los dispositivos inscritos, consulte Acciones de autoservicio.

  14. Si ha seleccionado Inscribir sin afinidad de usuario y Supervisado en los pasos anteriores, debe decidir si quiere configurar los dispositivos para que sean dispositivos iPad empresariales compartidos de Apple. Seleccione para iPad compartido para permitir que varios usuarios inicien sesión en un único dispositivo. Los usuarios se autenticarán con sus cuentas de autenticación federadas y los identificadores de Apple administrados, o bien a través de una sesión temporal (como la cuenta de invitado). Esta opción requiere iOS/iPadOS 13.4 o una versión posterior. Con iPad compartido, se omiten automáticamente todos los paneles del asistente de configuración después de la activación.

    Nota:

    • Se requiere un borrado del dispositivo si se envía un perfil de inscripción de iOS/iPadOS con iPad compartido habilitado a un dispositivo no compatible. Entre los dispositivos no compatibles se incluyen los modelos de iPhone y los iPad que ejecutan iPadOS/iOS 13.3 y versiones anteriores. Los dispositivos compatibles incluyen iPad que ejecutan iPadOS 13.3 y versiones posteriores.
    • Para configurar un dispositivo como iPad empresarial compartido de Apple, establezca los siguientes valores:
      • En la lista Afinidad de usuario, seleccione Inscribir sin afinidad de usuario.
      • En la lista Supervisado, seleccione .
      • En la lista iPad compartido, seleccione .

    Si configura iPad compartido de Apple para dispositivos empresariales, también configurará:

    • Número máximo de usuarios almacenados en la caché: escriba el número de usuarios que espera que usen el iPad compartido. Puede almacenar en caché hasta 24 usuarios en un dispositivo de 32 o 64 GB. Si elige un número bajo, es posible que los datos del usuario tarden un tiempo en llegar al dispositivo después del inicio de sesión. Si elige un número alto, los usuarios podrían quedarse sin espacio en disco.

    • Máximo de segundos después del bloqueo de pantalla antes de que se requiera la contraseña: escriba la cantidad de tiempo en segundos. Los valores aceptados son: 0, 60, 300, 900, 3600 y 14400. Si el bloqueo de pantalla supera esta cantidad de tiempo, se requiere una contraseña del dispositivo para desbloquear el dispositivo. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 13.0 y versiones posteriores.

    • Número máximo de segundos de inactividad hasta que se cierre la sesión de usuario: El valor mínimo permitido para esta configuración es 30. Si no hay ninguna actividad después del período definido, la sesión de usuario finaliza y cierra la sesión del usuario. Si deja la entrada en blanco o la establece en cero (0), la sesión no finalizará debido a la inactividad. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

    • Requerir solo la sesión temporal de iPad compartido: Configura el dispositivo para que los usuarios solo puedan ver la versión de invitado de la experiencia de inicio de sesión y tengan que iniciar sesión como invitados. No pueden iniciar sesión con un Id. de Apple administrado. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

      Cuando se establece en , esta configuración cancela la siguiente configuración de iPad compartida, ya que no son aplicables en sesiones temporales:

      • Número máximo de usuarios almacenados en caché
      • Número máximo de segundos tras bloqueo de pantalla antes de solicitar la contraseña
      • Número máximo de segundos de inactividad hasta que la sesión de usuario se cierra

    • Número máximo de segundos de inactividad hasta que se cierre la sesión temporal: El valor mínimo permitido para esta configuración es 30. Si no hay ninguna actividad después del período definido, la sesión temporal finaliza y cierra la sesión del usuario. Si deja la entrada en blanco o la establece en cero (0), la sesión no finalizará debido a la inactividad. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

      Esta configuración está disponible cuando Requerir solo sesión temporal de iPad compartido se establece en .

    Nota:

    • Si las sesiones temporales están habilitadas, todos los datos del usuario se eliminan al cerrar sesión. Esto significa que todas las directivas y aplicaciones dirigidas llegarán al usuario cuando inicien sesión y se borrarán cuando cierre sesión.
    • Para modificar o cambiar una configuración de iPads compartidos con el fin de que no tengan sesiones temporales, será necesario que el dispositivo se restablezca completamente y tendrá que enviarse al iPad un nuevo perfil de inscripción con las configuraciones actualizadas.

  15. En la lista Sincronizar con equipos, seleccione una opción para los dispositivos que usan este perfil. Si selecciona Permitir Apple Configurator mediante certificado, debe seleccionar un certificado en Certificados de Apple Configurator.

    Nota:

    Si establece Sincronizar con equipos en Denegar todo, el puerto estará limitado en dispositivos iOS y iPadOS. El puerto solo se podrá usar para la carga. No se permitirá que use iTunes o Apple Configurator 2.

    Si establece Sincronizar con equipos en Permitir Apple Configurator mediante certificado, asegúrese de tener una copia local del certificado que pueda usar más adelante. No es posible realizar cambios en la copia cargada y es importante conservar una copia de este certificado. Si desea conectarse al dispositivo iOS/iPadOS desde un dispositivo Mac, el mismo certificado debe instalarse en el dispositivo que realiza la conexión al dispositivo iOS/iPadOS.

  16. Si ha seleccionado Permitir Apple Configurator mediante certificado en el paso anterior, elija un certificado de Apple Configurator para importarlo.

  17. Para la configuración final de Await, las opciones son:

    • : habilite una experiencia bloqueada al final del Asistente para la instalación para asegurarse de que las directivas de configuración de dispositivos más críticas están instaladas en el dispositivo. Justo antes de que se cargue la pantalla principal, el Asistente para la instalación se pausa y permite Intune proteger con el dispositivo. La experiencia del usuario final se bloquea mientras los usuarios esperan configuraciones finales.

      La cantidad de tiempo que los usuarios se mantienen en la pantalla awaiting final configuration varía y depende del número total de directivas y aplicaciones que aplique al dispositivo. Cuantos más directivas y aplicaciones se asignen al dispositivo, mayor será el tiempo de espera. Ni el Asistente para la instalación ni Intune aplicar un límite de tiempo mínimo o máximo durante esta parte de la instalación. Durante la validación del producto, la mayoría de los dispositivos que probamos se lanzaron y pudieron acceder a la pantalla principal en quince minutos. Si habilita esta característica y usa un tercero para ayudarle a aprovisionar dispositivos, informe sobre la posibilidad de aumentar el tiempo de aprovisionamiento.

      La experiencia bloqueada funciona en dispositivos destinados a perfiles de inscripción nuevos y existentes. Los dispositivos compatibles incluyen:

      • Dispositivos iOS/iPadOS 13+ que se inscriben con el Asistente para la instalación con autenticación moderna
      • Dispositivos iOS/iPadOS 13+ que se inscriben sin afinidad de usuario
      • Dispositivos iOS/iPadOS 13+ que se inscriben con Microsoft Entra ID modo compartido

      Esta configuración se aplica una vez durante la experiencia de inscripción de dispositivos automatizada de fábrica en el Asistente para la instalación. El usuario del dispositivo no vuelve a experimentarlo a menos que vuelva a inscribir su dispositivo. es la configuración predeterminada para los nuevos perfiles de inscripción.

    • No: el dispositivo se libera en la pantalla principal cuando finaliza el Asistente para la instalación, independientemente del estado de instalación de la directiva. Es posible que los usuarios del dispositivo puedan acceder a la pantalla principal o cambiar la configuración del dispositivo antes de instalar todas las directivas. No es la configuración predeterminada para los perfiles de inscripción existentes.

    La configuración await no está disponible en los perfiles con esta combinación de configuraciones:

    • Afinidad de usuario: inscribirse sin afinidad de usuario (paso 6 de esta sección)
    • IPad compartido: (paso 12 de esta sección)

  18. Opcionalmente, cree una plantilla de nombre de dispositivo para identificar rápidamente los dispositivos asignados a este perfil en el centro de administración. Intune usa la plantilla para crear y dar formato a los nombres de dispositivo. Los nombres se proporcionan a los dispositivos cuando se inscriben y en cada registro sucesivo. Para crear una plantilla:

  19. En Aplicar plantilla de nombre de dispositivo, seleccione .

  20. En el cuadro Plantilla de nombre de dispositivo, escriba la plantilla que desea usar para construir nombres de dispositivo. La plantilla puede incluir el tipo de dispositivo y el número de serie. No puede contener más de 63 caracteres, incluidas las variables. Ejemplo: {{DEVICETYPE}}-{{SERIAL}}

  21. Puede activar un plan de datos móviles. Este ajuste se aplica a los dispositivos con iOS/iPadOS 13.0 y posteriores. La configuración de esta opción enviará un comando para activar los planes de datos celulares para sus dispositivos celulares habilitados para eSim. Su operador debe aprovisionar las activaciones para sus dispositivos antes de que pueda activar los planes de datos utilizando este comando. Para activar el plan de datos móviles, haga clic en y luego introduzca la URL del servidor de activación de su operador.

  22. Seleccione Siguiente.

  23. En la pestaña Asistente de configuración, configure las siguientes opciones de perfil:

    Opción de configuración Descripción
    Departamento Aparece cuando los usuarios pulsan Acerca de la configuración durante la activación.
    Teléfono del departamento Aparece cuando los usuarios pulsan el botón Necesito ayuda durante la activación.

    Puede ocultar las pantallas del Asistente para la instalación en el dispositivo durante la instalación del usuario. Para obtener una descripción de todas las pantallas, consulte La referencia de pantalla del Asistente para la instalación (en este artículo).

    • Si selecciona Ocultar, la pantalla no se mostrará durante la configuración. Después de configurar el dispositivo, el usuario seguirá teniendo la posibilidad de ir al menú Ajustes para configurar la característica.
    • Si selecciona Mostrar, la pantalla se mostrará durante la configuración, pero solo si hay pasos que completar después de la restauración o de la actualización de software. Los usuarios pueden omitir la pantalla sin realizar ninguna acción. Posteriormente podrán ir al menú Ajustes del dispositivo para configurar la característica.
    • Con iPad compartido, se omiten automáticamente todos los paneles del asistente de configuración después de la activación independientemente de la configuración.

  24. Seleccione Siguiente.

  25. Seleccione Crear para guardar el perfil.

Grupos dinámicos en Microsoft Entra ID

Puede usar el campo Nombre de inscripción para crear un grupo dinámico en Microsoft Entra ID. Para obtener más información, consulte Microsoft Entra grupos dinámicos.

Puede usar el nombre de perfil para definir el parámetro enrollmentProfileName para asignar dispositivos con este perfil de inscripción.

Antes de la configuración del dispositivo y para garantizar la entrega rápida a los dispositivos con afinidad de usuario, asegúrese de que el usuario que se inscribe es miembro de un grupo de usuarios Microsoft Entra.

Si asigna grupos dinámicos a perfiles de inscripción, puede haber un retraso en la entrega de aplicaciones y directivas a los dispositivos después de la inscripción.

Referencia de pantalla del Asistente para la instalación

En la tabla siguiente se describen las pantallas del Asistente para la instalación que se muestran durante la inscripción automatizada de dispositivos para iOS/iPadOS. Puede mostrar u ocultar estas pantallas en los dispositivos compatibles durante la inscripción.

Pantalla del Asistente de configuración Qué ocurre cuando está visible
Código de acceso Pedir un código de acceso al usuario. Solicite siempre un código de acceso para dispositivos no protegidos a menos que el acceso esté controlado de otra manera. (Por ejemplo, una configuración de modo quiosco que restringe el dispositivo a una aplicación). Para iOS/iPadOS 7.0 y versiones posteriores.
Servicios de ubicación Solicitar al usuario su ubicación En macOS 10.11 y versiones posteriores y iOS/iPadOS 7.0 y versiones posteriores.
Restore Visualizar la pantalla de Aplicación y Datos En esta pantalla, los usuarios tendrán la opción de restaurar o transferir datos de una copia de seguridad de iCloud al configurar el dispositivo. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
ID de Apple Le ofrece al usuario la opción de iniciar sesión con su Apple ID y usar iCloud. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
Términos y condiciones Requiere que el usuario acepte los términos y condiciones de Apple. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
Touch ID y Face ID Ofrece al usuario la opción de configurar la identificación dactilar o facial en su dispositivo. Para macOS 10.12.4 y posterior y iOS/iPadOS 8.1 y posterior. En iOS/iPadOS 14.5 y versiones posteriores, las pantallas del Asistente para la instalación de Touch ID y el código de acceso durante la configuración del dispositivo no funcionan. Si usa la versión 14.5 y posteriores, no configure las pantallas del Asistente para la instalación de Touch ID o código de acceso. Si necesita un código de acceso en los dispositivos, use una directiva de configuración de dispositivos o una directiva de cumplimiento. Una vez que el usuario se inscribe y recibe la directiva, se le pide un código de acceso.
Apple Pay Le ofrece al usuario la opción de configurar Apple Pay en el dispositivo. Para macOS 10.12.4 y posterior y iOS/iPadOS 7.0 y posterior.
Zoom El usuario tendrá la opción de ampliar el contenido de la pantalla al configurar el dispositivo. Para iOS/iPadOS 8.3 y posterior.
Siri Le ofrece al usuario la opción de configurar Siri. Para macOS 10.12 y posterior y iOS/iPadOS 7.0 y posterior.
Datos de diagnóstico Se mostrará la pantalla Diagnósticos. Esta pantalla le ofrece al usuario la opción de enviar datos de diagnóstico a Apple. Para macOS 10.9 y posterior y iOS/iPadOS 7.0 y posterior.
Display Tone Le ofrece al usuario la opción de habilitar Display Tone. Para macOS 10.13.6 y posterior y iOS/iPadOS 9.3.2 y posterior.
Privacidad Se mostrará la pantalla Privacidad. Para macOS 10.13.4 y posterior y iOS/iPadOS 11.3 y posterior.
Migración de Android Le ofrece al usuario la opción de migrar datos desde un dispositivo Android. Para iOS/iPadOS 9.0 y posterior.
iMessage y FaceTime Le ofrece al usuario la opción de configurar iMessage y FaceTime. Para iOS/iPadOS 9.0 y posterior.
Incorporación Se mostrarán las pantallas de información de incorporación (como la portada, la multitarea y el centro de control) para informar al usuario. Para iOS/iPadOS 11.0 y posterior.
Tiempo de pantalla Muestra el tiempo de pantalla. Para macOS 10.15 y posterior y iOS/iPadOS 12.0 y posterior.
Configuración SIM Le ofrece al usuario la opción de agregar un plan de teléfono. Para iOS/iPadOS 12.0 y posterior.
Actualización de sotware Muestra la pantalla de actualizaciones de software que se requieren. Para iOS/iPadOS 12.0 y posterior.
Migración de Watch Le ofrece al usuario la opción de migrar datos desde un reloj. Para iOS/iPadOS 11.0 y posterior.
Apariencia Se mostrará la pantalla Apariencia. Para macOS 10.14 y posterior y iOS/iPadOS 13.0 y posterior.
Dispositivo para mirar dispositivo Proporcione al usuario la opción de transferir datos de un dispositivo antiguo a este dispositivo. La opción para transferir datos directamente desde un dispositivo no está disponible para dispositivos ADE que ejecutan iOS 13 o posterior.
Restauración completada Muestra a los usuarios la pantalla Restauración completada después de realizar una copia de seguridad y restauración durante el Asistente de configuración.
Actualización de software completada Muestra al usuario todas las actualizaciones de software que se producen durante el Asistente de configuración.
Introducción Muestra a los usuarios la pantalla de bienvenida Introducción.
Términos de dirección Dé al usuario la opción de elegir cómo quiere ser abordado en todo el sistema: femenino, masculino o neutro. Esta característica de Apple está disponible para algunos idiomas. Para obtener más información, consulte Características y mejoras clave (abre el sitio web de Apple). Para iOS/iPadOS 16.0 y versiones posteriores.

Sincronizar dispositivos administrados

Ahora que Intune tiene permiso para administrar los dispositivos, puede sincronizar Intune con Apple para ver los dispositivos administrados en Intune en Azure Portal.

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.

  2. Seleccione la pestaña Apple .

  3. Elija Tokens del programa de inscripción.

  4. Seleccione un token de la lista y, después, seleccione Dispositivos>Sincronizar:

    Captura de pantalla en la que se muestra cómo sincronizar dispositivos iOS y iPadOS con un token del programa de inscripción.

    Para cumplir con los términos de Apple relativos a un tráfico del programa de inscripción aceptable, Intune impone las restricciones siguientes:

    • Una sincronización completa no se puede ejecutar más de una vez cada siete días. Durante una sincronización completa, Intune captura la lista actualizada completa de números de serie asignados al servidor MDM de Apple conectado a Intune.

      Importante

      Si se elimina un dispositivo de Intune, pero permanece asignado al token de inscripción de ADE en el portal de ASM/ABM, volverá a aparecer en Intune en la siguiente sincronización completa. Si no quiere que el dispositivo vuelva a aparecer en Intune, anule la asignación del servidor MDM de Apple en el portal de ABM/ASM.

    • Si se libera un dispositivo de ABM/ASM, la eliminación automática de la página de dispositivos en Intune puede tardar hasta 45 días en realizarse. Puede eliminar manualmente los dispositivos de Intune uno por uno, si lo necesita. Los dispositivos liberados se notificarán con precisión como eliminados de ABM/ASM en Intune hasta que se eliminen automáticamente en un plazo de entre 30 y 45 días.
    • Se ejecuta una sincronización automáticamente cada 12 horas. También puede desencadenar una sincronización diferencial haciendo clic en el botón Sincronizar (no más de una vez cada 15 minutos). Todas las solicitudes de sincronización tardan 15 minutos en finalizar. El botón Sincronizar queda deshabilitado hasta que se completa la sincronización. Esta sincronización actualizará el estado del dispositivo existente e importará nuevos dispositivos asignados al servidor MDM de Apple. Si se produce un error en la sincronización diferencial por cualquier motivo, la siguiente sincronización será una sincronización completa para resolver cualquier problema.

Asignar un perfil de inscripción a los dispositivos

Antes de que los dispositivos se puedan inscribir, debe asignarles un perfil de inscripción.

Nota:

También puede asignar números de serie a perfiles en el panel de números de serie de Apple.

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.
  2. Seleccione la pestaña Apple .
  3. Elija Tokens de programa de inscripción.
  4. Seleccione un token de inscripción.
  5. Seleccione Dispositivos.
  6. Seleccione todos los dispositivos que desea asignar y, a continuación, seleccione Asignar perfil.
  7. En Asignar perfil, elija el perfil de inscripción de dispositivos automatizado que creó para los dispositivos y, a continuación, seleccione Asignar.

Asignación de un perfil predeterminado

Puede elegir un perfil predeterminado para aplicarlo a todos los dispositivos inscritos con un token específico.

  1. En el centro de administración, vuelva a Tokens del programa de inscripción.
  2. Seleccione un token de inscripción.
  3. Seleccione Establecer perfil predeterminado.
  4. Seleccione un perfil en la lista y, a continuación, seleccione Guardar. El perfil se aplicará a todos los dispositivos que se inscriban con el token de inscripción seleccionado.

Nota:

Asegúrese de que Restricciones de tipo de dispositivo en Restricciones de inscripción no tiene la directiva predeterminada Todos los usuarios establecida para bloquear la plataforma iOS/iPadOS. Esta configuración provocará un error en la inscripción automatizada y el dispositivo se mostrará como Perfil no válido, independientemente de la atestación del usuario. Para permitir la inscripción solo por dispositivos administrados por la empresa, bloquee solo los dispositivos de propiedad personal, lo que permitirá que los dispositivos corporativos se inscriban. Microsoft define un dispositivo corporativo como un dispositivo inscrito a través de un Programa de inscripción de dispositivos o un dispositivo que se especifica manualmente en Identificadores de dispositivo corporativos.

Distribución de los dispositivos

Ha habilitado la administración y sincronización entre Apple e Intune, y ha asignado un perfil para permitir que los dispositivos ADE se puedan inscribir. Ya tiene todo listo para distribuir los dispositivos a los usuarios. Algunos puntos que tener en cuenta:

  • Los dispositivos inscritos con afinidad de usuario necesitan que a cada usuario se le asigne una licencia de Intune.

  • Los dispositivos inscritos sin afinidad de usuario no suelen tener usuarios asociados. Por lo tanto, estos dispositivos deben tener una licencia de dispositivo de Intune. Si los dispositivos inscritos sin afinidad de usuario los va a usar un usuario con licencia de Intune, no se necesita una licencia de dispositivo.

    En resumen, si un dispositivo tiene un usuario, dicho usuario debe tener una licencia de Intune asignada. Si el dispositivo no tiene un usuario con licencia de Intune, el dispositivo debe tener una licencia de dispositivo de Intune.

    Para obtener más información sobre las licencias de Intune, vea Licencias de Microsoft Intune y la guía de planificación de Intune.

  • Un dispositivo que se ha activado se debe borrar para poder inscribirlo correctamente con ADE en Intune. Después de borrarlo, pero antes de volver a activarlo, puede aplicar el perfil de inscripción. Consulte Configuración de un dispositivo iPhone, iPad o iPod touch.

  • Al realizar la inscripción con ADE y la afinidad de usuario, se puede producir el siguiente error durante la instalación:

    The SCEP server returned an invalid response.

    Para resolver este error, pruebe a descargar la administración de nuevo en 15 minutos. Si han pasado más de 15 minutos, deberá restablecer el dispositivo a sus valores de fábrica para resolver este error. Por motivos de seguridad, este error se produce debido a un límite de tiempo de 15 minutos en los certificados de SCEP.

Para obtener información sobre la experiencia del usuario final, vea el artículo Inscripción de dispositivos iOS proporcionados por la organización en la administración.

Volver a inscribir un dispositivo

Complete estos pasos para volver a inscribir un dispositivo que ya ha pasado por la inscripción automatizada de dispositivos.

  1. Hay dos opciones para restablecer el dispositivo:
    • Borre el dispositivo en el centro de administración de Microsoft Intune.
    • Retire el dispositivo en el Centro de administración y, a continuación, restablezca el dispositivo a la configuración de fábrica mediante la aplicación Configuración, Apple Configurator 2 o iTunes.
  2. Encienda el dispositivo y siga los pasos en pantalla del Asistente para la instalación para recuperar el perfil de administración remota.

Renovación de un token de inscripción de dispositivo automatizada

En ciertas ocasiones, deberá renovar los tokens:

  • Renueve el token de ADE anualmente. El centro de administración de Intune muestra la fecha de expiración.
  • Si cambia la contraseña del id. de Apple para el usuario que ha configurado el token en Apple Business Manager, renueve el token del programa de inscripción en Intune y Apple Business Manager.
  • Si el usuario que ha configurado el token en Apple Business Manager deja la organización, renueve el token del programa de inscripción en Intune y Apple Business Manager.
  • Si cambia el id. de Apple usado para crear el token de ADE, el cambio no afectará a los dispositivos inscritos actualmente con ese token, hasta que se vuelvan a inscribir. Esto es diferente al certificado de Apple Push Notification Service (APNS) usado para el inquilino que no se puede cambiar sin necesidad de volver a inscribir todos los dispositivos a menos que se ponga en contacto con el soporte técnico de Apple para realizar el cambio en el back-end.

Renovación de los tokens

  1. Vaya a business.apple.com e inicie sesión con una cuenta que tenga un rol de administrador o administrador de inscripción de dispositivos.

  2. Seleccione Configuración. En Servidores MDM, seleccione el servidor MDM asociado con el archivo de token que quiere renovar. Seleccione Descargar token:

    Captura de pantalla en la que se muestra cómo renovar y descargar un token de Apple en Apple Business Manager.

  3. Seleccione Descargar token de servidor.

    Nota:

    Como se indica en el mensaje, no seleccione Descargar token de servidor si no quiere renovar el token. Si lo hace, se invalidará el token que usa Intune (o cualquier otra solución MDM). Si ya ha descargado el token, asegúrese de continuar con los pasos siguientes hasta que se renueve.

  4. Después de descargar el token, vaya a Microsoft Intune centro de administración.

  5. Seleccione Inscripción de dispositivos>.

  6. Elija Tokens de programa de inscripción.

  7. Seleccione el token.

  8. Seleccione Renovar el token. Escriba el identificador de Apple que ha usado para crear el token original (si no se ha rellenado de forma automática):

    Captura de pantalla en la que se muestra la página de renovación del token.

  9. Cargue el token recién descargado.

  10. Seleccione Siguiente para ir a la página Etiquetas de ámbito. Asigne etiquetas de ámbito si quiere.

  11. Seleccione Renovar el token. Verá la confirmación de que el token se ha renovado:

    Captura de pantalla en la que se muestra el mensaje de confirmación.

Eliminación de un token de inscripción de dispositivo automatizada de Intune

Puede eliminar un token de perfil de inscripción de Intune siempre y cuando:

  • No haya dispositivos asignados al token.
  • No haya dispositivos asignados al perfil predeterminado.
  • No hay ningún perfil de inscripción en ese token.

Para crear un token de perfil de inscripción:

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.
  2. Seleccione la pestaña Apple .
  3. Elegir tokens del programa de inscripción
  4. Seleccione el token y, después, seleccione Dispositivos.
  5. Elimine todos los dispositivos asignados al token.
  6. Vuelva a tokens del programa de inscripción. Seleccione el token y, después, seleccione Perfiles.
  7. Si hay un perfil predeterminado o cualquier otro perfil de inscripción, todos deben eliminarse.
  8. Vuelva a tokens del programa de inscripción. Seleccione el token y, después, seleccione Eliminar.

Siguientes pasos

Para obtener información general sobre lo que se necesita para los usuarios del dispositivo, consulte Tareas del usuario final de ADE.