Introducción a los servicios de gestión de dispositivos en Apple Business
Información general
iOS, iPadOS, macOS, tvOS, visionOS y watchOS tienen un marco integrado que admite la gestión de dispositivos. Un servicio de gestión de dispositivos permite a una organización configurar dispositivos de forma segura y remota mediante el envío de configuraciones, perfiles y comandos al dispositivo, tanto si es propiedad del usuario como de la organización. También permite que el dispositivo aplique la configuración e informe del estado al servicio de gestión de dispositivos de forma asíncrona sin necesidad de sondeos constantes. Esto es ideal para el rendimiento y la escalabilidad. La gestión declarativa de dispositivos da a las organizaciones la seguridad de que sus dispositivos están en el estado deseado y que los datos esenciales se mantienen seguros, incluso sin conexión a Internet. Además, desde el punto de vista del usuario, ofrece una experiencia mucho más dinámica. Entre sus funciones se incluyen la actualización del software y los ajustes del dispositivo, la supervisión del cumplimiento de las políticas de la organización y el borrado o bloqueo de dispositivos de forma remota.
Puedes asignar dispositivos a un servicio de gestión de dispositivos para designar qué servicios deben usarse para la inscripción de dispositivos y la inscripción automática de dispositivos. La asignación de un servicio de gestión de dispositivos no afecta a la inscripción actual de un dispositivo. La diferencia entre los dos métodos de inscripción es la siguiente:
Inscripción de dispositivos: los dispositivos los inscribe el usuario después de completar el Asistente de Configuración.
Inscripción automática de dispositivos: los dispositivos aparecen en el Asistente de Configuración.
También puedes asignar dispositivos a un servicio automáticamente por plataforma, dispositivo a dispositivo en la página del dispositivo, mediante una acción en bloque y con Apple Configurator para iPhone.
En función de tus criterios, puedes crear una breve lista de servicios de gestión de dispositivos y configurarlos a modo de prueba con unos pocos dispositivos de prueba para evaluar qué solución se adapta mejor a tus necesidades antes de tomar una decisión final. Apple Business te permite conectarte con más de un servicio de gestión de dispositivos y asignar dispositivos a diferentes servicios según sea necesario.
Antes de empezar
Antes de enlazar con un servicio de gestión de dispositivos externo, revisa la siguiente información:
Seguridad: Apple debe estar al corriente de todos los servicios de gestión de dispositivos externos que crees, que además deben contar con una autorización segura mediante un proceso de verificación en dos pasos. El proceso de verificación implica crear un identificador de servicio de gestión de dispositivos e instalarlo en el servicio. El certificado encripta el identificador. Para obtener información sobre cómo transferir el identificador, consulta la documentación de tu servicio de gestión de dispositivos.
Certificados: para añadir un servicio de gestión de dispositivos externo, el desarrollador del servicio debe proporcionarte el archivo de certificado de clave pública (terminado en .pem o .der) para cada servicio que quieras añadir. Consulta la documentación del servicio de gestión de dispositivos para saber cómo obtener el certificado de clave pública del servicio.
Nota: No puedes cargar más de 250 archivos de certificados de clave pública.
Nombres: cuando pongas nombre a un servicio de gestión de dispositivos externo, no tendrás que utilizar el nombre de dominio completo. Por ejemplo, puedes elegir un nombre basado en un edificio, sede, sala o cargo específicos, pero no puedes usar el mismo nombre para varios servicios. Tampoco puedes nombrar tus servicios Sin asignar ni Reasignados.
Soporte para dispositivos: algunos servicios de gestión de dispositivos están diseñados con soporte completo para tipos específicos de dispositivos Apple, por ejemplo solo ordenadores Mac o dispositivos iPhone y iPad, mientras que otros ofrecen soporte multiplataforma. Puedes elegir varios desarrolladores, de modo que cada tipo de dispositivo sea compatible con una solución especializada. La asignación automática por tipo de dispositivo te lo pone fácil. También puedes elegir un desarrollador que sea compatible con todos los tipos de dispositivos de Apple que se utilicen en tu organización.
Servicios de consultas e informes: un servicio de gestión de dispositivos puede consultar a los dispositivos Apple para obtener diversa información, como el número de serie del hardware, el UDID del dispositivo, la red Wi-Fi, la dirección MAC y el estado de encriptación de FileVault (para ordenadores Mac). También puede consultar información del software, como la versión del dispositivo y las restricciones, y mostrar una lista de las apps instaladas en el dispositivo. Esta información se puede utilizar para garantizar que los usuarios mantienen las apps adecuadas. iOS y iPadOS permiten consultar la última vez que se hizo una copia de seguridad de un dispositivo en iCloud y el hash de la cuenta de asignación de apps del usuario que ha iniciado sesión. En tvOS, un servicio de gestión de dispositivos puede consultar información como el idioma, la configuración regional y la organización de los dispositivos Apple TV inscritos.
Políticas y acceso de soporte técnico del proveedor: el servicio de gestión de dispositivos es fundamental. Debes evaluar el soporte, los servicios y la formación que proporciona el desarrollador del servicio de gestión de dispositivos.
Requisitos de red para el servicio de gestión de dispositivos
Cuando instales y configures el servicio de gestión de dispositivos, ten en cuenta cómo configurarás la red, Transport Layer Security (TLS), los servicios de infraestructura, los servicios de Apple y las copias de seguridad.
Si instalas un servicio de gestión de dispositivos alojado localmente, debes configurar todos los siguientes elementos. Configura y prueba cada uno de ellos en las primeras etapas del proceso para garantizar una implementación sin problemas. Si tu servicio de gestión de dispositivos está gestionado por terceros o está alojado en la nube, el desarrollador puede gestionar muchas de estas cuestiones en tu nombre:
DNS: los servicios de gestión de dispositivos deben usar un nombre de dominio completo que se pueda resolver tanto dentro como fuera de la red de la organización. Esto permite que el servicio gestione los dispositivos, tanto si están conectados de forma local como remota. Para mantener la conexión con los clientes, este nombre de dominio no puede cambiar.
Dirección IP: la mayoría de los servicios de gestión de dispositivos requieren una dirección IP estática. El nombre DNS actual debe conservarse si se cambia la dirección IP del servidor.
Configurar con TLS: todas las comunicaciones entre los dispositivos Apple y el servicio de gestión de dispositivos se encriptan con HTTPS. Se requiere un certificado TLS (anteriormente SSL) para proteger estas comunicaciones. No implementes dispositivos sin un certificado de una entidad de certificación (CA) conocida. Apunta la fecha de vencimiento y asegúrate de renovar el certificado antes de que caduque.
Puertos del cortafuegos: para permitir el acceso interno y externo al servicio de gestión de dispositivos, deben estar abiertos ciertos puertos del cortafuegos. La mayoría de los servicios de gestión de dispositivos aceptan conexiones entrantes que utilizan HTTPS en el puerto 443. Los dispositivos Apple deben poder conectarse a puertos específicos en hosts específicos:
Puerto TCP 443 durante la activación del dispositivo y después como reserva si los dispositivos no pueden establecer conexión con los APN en el puerto 5223
Puerto TCP 5223 para comunicarse con APN
Puerto TCP 443 o 2197 para enviar notificaciones desde el servicio de gestión de dispositivos a las APN
Nota: Tu servicio de gestión de dispositivos puede alojar claves de custodia y códigos de omisión del bloqueo de activación, identificadores de arranque de macOS y otros datos únicos importantes para la continuidad del acceso al dispositivo. Por este motivo, asegúrate de tener una estrategia sólida de recuperación ante desastres para tu servicio de gestión de dispositivos local. Se recomienda probar las copias de seguridad y las restauraciones con regularidad.
Gestión adicional de dispositivos
Por lo general, supervisión indica que el dispositivo es propiedad de la organización, lo que proporciona un control adicional sobre su configuración y restricciones. Hay varias formas en que las organizaciones pueden supervisar dispositivos; algunos tipos varían según la plataforma. Consulta Acerca de la supervisión de dispositivos Apple en “Implementación de las plataformas de Apple”.