Introducción a los perfiles de gestión de dispositivos móviles
iOS, iPadOS, macOS, tvOS, watchOS 10, o posterior, y visionOS 1.1, o posterior, incluyen un marco compatible con la gestión de dispositivos móviles (MDM). MDM te permite configurar dispositivos de forma segura e inalámbrica enviando perfiles y comandos a los dispositivos, tanto si son propiedad del usuario como si pertenecen a la empresa. Las funciones MDM incluyen tareas como actualizar el software y los ajustes del dispositivo, supervisar la conformidad con las políticas internas y borrar o bloquear dispositivos en remoto. Los usuarios pueden inscribir sus propios dispositivos en MDM, mientras que los dispositivos de la organización se pueden inscribir en MDM automáticamente con Apple School Manager o Apple Business Manager. Si utilizas Apple Business Essentials, también puedes usar el sistema gestión de dispositivos que tiene integrado.
Hay algunos conceptos que debes entender si vas a usar MDM, así que lee las siguientes secciones para averiguar cómo usa MDM los perfiles de inscripción y configuración, la supervisión y las cargas útiles.
Cómo se inscriben los dispositivos
La inscripción en MDM implica inscribir identidades de certificado cliente utilizando protocolos como el Entorno de gestión de certificados automatizado (ACME), o el Protocolo de inscripción de certificados simple (SCEP). Los dispositivos utilizan estos protocolos para crear certificados de identidad única para la autenticación en los servicios de una empresa.
A menos que la inscripción sea automática, los usuarios deciden si quieren inscribirse en MDM, y pueden cancelar la inscripción de sus dispositivos en cualquier momento. Por lo tanto, debes plantearte la posibilidad de incentivar a los usuarios para que no cancelen la gestión. Por ejemplo, puedes hacer que MDM proporcione automáticamente las credenciales para acceder a la red Wi-Fi, de modo que sea necesario inscribirse en MDM para usar dicha red. Cuando un usuario cancela la inscripción en MDM, su dispositivo intenta notificar a la solución MDM que no puede seguir bajo su gestión.
En el caso de los dispositivos propiedad de la organización, puedes usar Apple School Manager, Apple Business Manager o Apple Business Essentials para inscribirlos automáticamente en MDM y supervisarlos de forma inalámbrica durante la configuración inicial; este proceso de inscripción se conoce como “Inscripción automatizada de dispositivo”.
MDM y la protección en caso de robo del dispositivo
Cuando la protección de dispositivos robados está activada, si el usuario está en un lugar desconocido, las siguientes acciones se demoran una hora:
Inscribir su dispositivo manualmente en MDM
Instalar manualmente una configuración o un perfil de código
Configurar una cuenta de Microsoft Exchange en los ajustes o con un perfil o una configuración
Perfiles de inscripción
Una de las dos maneras principales que tienen los usuarios de inscribir dispositivos personales en una solución MDM es mediante un perfil de inscripción (la otra manera es utilizar la inscripción de usuario). Con este perfil, que contiene una carga útil de MDM, la solución MDM envía comandos al dispositivo y, si es necesario, perfiles de configuración adicionales. También puede enviarle consultas al dispositivo para obtener información, como cuál es su estado de bloqueo de activación, el nivel de carga de la batería o su nombre.
Cuando un usuario elimina un perfil de inscripción, con él se suprimen todos los perfiles de configuración, sus ajustes y las apps gestionadas basadas en ese perfil. En el dispositivo solo puede haber instalado un perfil de configuración al mismo tiempo.
Una vez aprobado el perfil de inscripción, por el dispositivo o por el usuario, se envían al dispositivo perfiles de configuración que contienen cargas útiles. Entonces puedes distribuir, gestionar y configurar inalámbricamente apps y libros adquiridos mediante Apple School Manager, Apple Business Manager o Apple Business Essentials. Los usuarios pueden instalar aplicaciones o dejar que se instalen automáticamente, según el tipo de aplicación, cómo se ha asignado y si el dispositivo está supervisado. Para obtener más información, consulta Acerca de la supervisión de dispositivos Apple.
Perfiles de configuración
Un perfil de configuración es un archivo XML (termina en .mobileconfig) que contiene cargas útiles que cargan los ajustes y la información de autorización en dispositivos Apple. Los perfiles de configuración automatizan la configuración de ajustes, cuentas, restricciones y credenciales. Estos archivos se pueden crear con una solución MDM, con Apple Configurator para Mac o manualmente. Para obtener más información sobre el uso de Apple Configurator para Mac para crear e instalar perfiles de configuración en dispositivos iPhone, iPad y Apple TV, consulta el apartado Crear y editar perfiles de configuración en el Manual de uso de Apple Configurator para Mac.
Puesto que los perfiles de configuración se pueden encriptar y firmar, puedes limitar su uso a un determinado dispositivo Apple y, a excepción de los nombres de usuario y las contraseñas, impedir la modificación de los ajustes. También puedes marcar un perfil de configuración como bloqueado para el dispositivo.
Si tu solución MDM lo permite, puedes distribuir los perfiles de configuración como un archivo adjunto de correo mediante un enlace a tu propia página web o a través del portal integrado del usuario de tu solución MDM. Cuando los usuarios abren el adjunto de correo o descargan el perfil de configuración mediante un navegador web, se abre una ventana que les solicita iniciar la instalación del perfil.
Puedes distribuir un perfil de configuración que cambie los ajustes de todo el dispositivo o de un solo usuario:
Los perfiles de dispositivo se pueden enviar a dispositivos y grupos de dispositivos, y aplican los ajustes de dispositivo a todo el dispositivo.
Los dispositivos iPhone, iPad, Apple TV, Apple Watch y Apple Vision Pro no pueden reconocer más de un usuario, así que los perfiles de configuración creados para iOS, iPadOS, tvOS, watchOS 10, o posterior, y visionOS 1.1, o posterior, son siempre perfiles de dispositivo. Aunque los perfiles de iPadOS son perfiles de dispositivo, los dispositivos iPad configurados como iPad compartido son compatibles con los perfiles basados en el dispositivo o en el usuario.
Los perfiles de usuario se pueden enviar a usuarios y (si la solución MDM los admite) a grupos de usuarios para aplicar los ajustes de usuario solo a los usuarios respectivos. Puesto que los ordenadores Mac pueden tener varios usuarios, las cargas útiles y los ajustes de los perfiles de macOS pueden estar basados bien en el dispositivo bien en el usuario. Se considera que la cuenta de usuario creada durante el asistente de configuración está configurada por la solución MDM y puede recibir perfiles. En macOS 11 o posterior, otra opción es que las cuentas de administrador creadas por una solución MDM durante la inscripción se gestionen. En el caso de las implementaciones vinculadas con Active Directory, el usuario que haya iniciado sesión en la red en ese momento puede gestionarse con MDM.
Los ajustes del dispositivo y del usuario varían en función de dónde residen: Los ajustes instalados en el nivel de sistema residen en un canal del dispositivo. Los ajustes instalados para un usuario residen en un canal del usuario.
Para obtener más información sobre la instalación de perfiles y el modo de aislamiento, consulta el artículo de soporte técnico de Apple Acerca del modo de aislamiento.
Eliminación de perfiles
La forma de eliminar los perfiles depende de cómo se instalaron. La siguiente secuencia indica cómo eliminar un perfil:
1. Todos los perfiles se pueden eliminar borrando todos los datos del dispositivo.
2. Si el perfil se inscribió en MDM mediante Apple School Manager, Apple Business Manager o Apple Business Essentials, el administrador puede elegir si el usuario puede eliminar el perfil de inscripción o si solo puede hacerlo el propio servidor MDM.
3. Si el perfil se instala mediante una solución MDM, se puede eliminar a través de esa solución MDM concreta, o bien, puede hacerlo el usuario anulando la inscripción en MDM eliminando el perfil de configuración de la inscripción.
4. Si se instala el perfil en un dispositivo supervisado utilizando Apple Configurator, esa instancia de supervisión de Apple Configurator puede eliminar el perfil.
5. Si se instala el perfil en un dispositivo supervisado de forma manual o utilizando Apple Configurator y el perfil tiene una carga útil de contraseña para la eliminación, el usuario tiene que introducir esa contraseña para eliminar el perfil.
6. El usuario puede eliminar todos los demás perfiles.
Las cuentas instaladas por un perfil de configuración pueden borrarse eliminando el perfil. Las cuentas Microsoft Exchange ActiveSync, incluidas las que se hayan instalado mediante un perfil de configuración, se pueden eliminar mediante Microsoft Exchange Server, con el comando de borrado remoto solo de cuentas.
Importante: Si los usuarios conocen la contraseña del dispositivo, pueden eliminar los perfiles de configuración instalados de iPhone y iPad que no estén supervisados manualmente, aunque la opción esté ajustada en Nunca. Los usuarios de Mac pueden hacer lo mismo únicamente si saben el nombre de usuario y la contraseña de administrador. Para hacerlo, pueden utilizar la herramienta de línea de comandos profiles, Ajustes del Sistema (en macOS 13 o posterior) o Preferencias del Sistema (en macOS 12.0.1 o anterior). A partir de macOS 10.15, al igual que sucede con iOS y iPadOS, los perfiles instalados con MDM deben eliminarse con MDM; de lo contrario, se eliminarán automáticamente al cancelar la inscripción desde MDM.
Requisitos de comunicación de MDM
La comunicación MDM de terceros con los dispositivos Apple es más probable cuando:
La solución MDM está configurada, probada y en funcionamiento correctamente
El certificado de los APNs es válido y no ha caducado
El dispositivo está encendido
El dispositivo está inscrito en la solución MDM
La red a la que está conectado el dispositivo tiene acceso a internet (para la comunicación APNs)
La red a la que está conectado el dispositivo debe tener acceso a servidores Apple relacionados con la solución MDM
Para obtener más información, consulta el artículo de soporte de Apple Usar productos Apple en redes empresariales.
Nota: Apple no tiene ningún control de las soluciones MDM de terceros. La comunicación de la solución MDM también puede fallar por culpa de otros problemas, como una carga útil MDM mal configurada.
Dispositivos Apple compatibles
Los siguientes dispositivos de Apple incluyen un marco integrado compatible con MDM:
iPhone con iOS 4 o posterior
iPad con iOS 4.3 o posterior o iPadOS 13.1 o posterior
Ordenadores Mac con OS X 10.7 o posterior
Apple TV con tvOS 9 o posterior
Apple Watch con watchOS 10 o posterior
Apple Vision Pro con visionOS 1.1 o posterior
Nota: No todas las opciones están disponibles en todas las soluciones MDM. Para ver qué opciones de MDM están disponibles para tus dispositivos, consulta la documentación de tu proveedor de MDM.