Descripción general de la seguridad de la gestión de dispositivos móviles
Los sistemas operativos de Apple son compatibles con las soluciones de gestión de dispositivos móviles (MDM), que permiten a las organizaciones configurar y gestionar implementaciones de dispositivos Apple a gran escala.
Cómo funciona la solución MDM de forma segura
Las funciones de MDM están basadas en las tecnologías de los sistemas operativos, como las configuraciones, la inscripción remota y el servicio de notificaciones push de Apple (APNs). Por ejemplo, el APNs se utiliza para activar el dispositivo de manera que pueda comunicarse directamente con la solución MDM a través de una conexión segura. No se transmite información confidencial ni privada a través del APNs.
Con ayuda de una solución MDM, los departamentos de TI pueden inscribir dispositivos Apple en un entorno empresarial o educativo, configurar los ajustes y actualizarlos mediante una red inalámbrica, supervisar el cumplimiento de políticas corporativas, gestionar las actualizaciones de software e incluso borrar o bloquear de forma remota los dispositivos gestionados.
En iOS 13, iPadOS 13.1 y macOS 10.15 o posterior, los dispositivos Apple son compatibles con una nueva opción de inscripción específicamente diseñada para los programas “trae tu propio dispositivo” (BYOD). La inscripción de usuario proporciona más autonomía a los usuarios que utilizan sus propios dispositivos, a la vez que se aumenta la seguridad de los datos de la empresa al separar criptográficamente los datos gestionados. Esto proporciona un mayor equilibrio de seguridad, privacidad y experiencia del usuario para los programas BYOD. Se ha añadido un mecanismo de separación de datos similar para las inscripciones de dispositivos basadas en cuentas en iOS 17, iPadOS 17 y macOS 14 o posterior.
Tipos de inscripción
Inscripción de usuario: La inscripción de usuario está diseñada para los dispositivos que son propiedad del usuario y está integrada en el ID de Apple gestionado para establecer la identidad de un usuario en el dispositivo. Los ID de Apple gestionados se requieren para iniciar la inscripción y el usuario debe autenticarse correctamente para que se complete la inscripción. Los ID de Apple gestionados se pueden usar junto con un ID de Apple personal con el que el usuario ya haya iniciado sesión. Las cuentas y apps gestionadas utilizan el ID de Apple gestionado, mientras que las cuentas y apps personales usan el ID de Apple personal.
Inscripción de dispositivos: La inscripción de dispositivos permite a los usuarios de las organizaciones inscribir dispositivos manualmente y gestionar numerosos aspectos del uso del dispositivo, incluyendo la posibilidad de borrarlo. La inscripción de dispositivos proporciona también un conjunto más amplio de configuraciones y restricciones que pueden aplicarse al dispositivo. Cuando un usuario elimina un perfil de inscripción, todas las configuraciones, los ajustes y las apps gestionadas basadas en dicho perfil también se eliminan. De forma similar a la inscripción de usuario, la inscripción de dispositivos también se puede integrar con un ID de Apple gestionado. Esta inscripción de dispositivos basada en cuentas también ofrece la posibilidad de usar un ID de Apple gestionado junto con un ID de Apple personal y separar criptográficamente los datos corporativos.
Inscripción automatizada de dispositivos: La inscripción automatizada de dispositivos permite a las organizaciones configurar y gestionar los dispositivos desde el momento que se sacan del embalaje. Estos dispositivos se convierten en supervisados y los usuarios tienen la posibilidad de establecer que el usuario no pueda eliminar el perfil MDM. La inscripción automatizada de dispositivos se ha diseñado para los dispositivos que son propiedad de la organización.
Restricciones del dispositivo
Los administradores pueden activar (o, en algunos casos, desactivar) las restricciones para ayudar a impedir que los usuarios accedan a una app, un servicio o una función específicos de un iPhone, iPad, Mac, Apple TV o Apple Watch inscrito en una solución MDM. Las restricciones se envían a los dispositivos en una carga útil de restricciones, que forma parte de una configuración. Ciertas restricciones en un iPhone se pueden duplicar en un Apple Watch enlazado.
Gestión de los ajustes del código y de la contraseña
Por defecto, el código del usuario se puede definir como un PIN numérico en iOS, iPadOS y watchOS. En dispositivos iPhone y iPad con Face ID o Touch ID, la longitud por defecto del código es de seis dígitos, con una longitud mínima de cuatro dígitos. Se recomiendan los códigos más largos y más complejos, puesto que son más difíciles de averiguar o atacar.
Los administradores pueden aplicar requisitos de uso de códigos complejos y otras políticas mediante soluciones MDM o, en iOS y iPadOS, Microsoft Exchange. Se necesita una contraseña de administrador cuando la carga útil de la política de código del macOS se instala manualmente. Las políticas de código pueden requerir que el código tenga una determinada composición, longitud u otros atributos.
El Apple Watch usa códigos numéricos por defecto. Si una política de código aplicada a un Apple Watch no gestionado requiere el uso de caracteres no numéricos, hay que usar el iPhone para desbloquear el dispositivo.