Introducción a los perfiles de la administración de dispositivos móviles (MDM)
Los sistemas operativos iOS, iPadOS, macOS, tvOS, watchOS 10 o versiones posteriores, y visionOS 1.1 o versiones posteriores cuentan con un marco integrado que es compatible con la administración de dispositivos móviles (MDM). MDM te permite configurar dispositivos de forma segura e inalámbrica al enviar perfiles y comandos al dispositivo, tanto si son propiedad del usuario como si pertenecen a la organización. Las capacidades de MDM incluyen tareas como actualizar el software y la configuración del dispositivo, supervisar el cumplimiento con las políticas internas y borrar o bloquear dispositivos de forma remota. Los usuarios pueden inscribir sus propios dispositivos en MDM, mientras que los dispositivos de una organización se pueden inscribir en MDM automáticamente con Apple School Manager o Apple Business Manager. Si usas Apple Business Essentials, también puedes usar la función de administración de dispositivos que viene integrada.
Hay algunos conceptos que debes entender si vas a usar MDM, así que deberías leer las siguientes secciones para entender cómo MDM usa los perfiles de configuración, el registro, la supervisión y las cargas útiles.
Cómo se inscriben los dispositivos
La inscripción a una solución de MDM consiste en inscribir las identidades de los certificados de los clientes mediante protocolos como el entorno automatizado de administración de certificados (ACME), o el protocolo simple de inscripción de certificados (SCEP). Los dispositivos utilizan estos protocolos para crear certificados de identidad única para la autenticación en los servicios de una organización.
A menos que se automatice el proceso, los usuarios deciden si quieren inscribirse en MDM, y pueden cancelar la inscripción de sus dispositivos en cualquier momento. Por lo tanto, debes plantearte la posibilidad de incentivar a los usuarios para que no cancelen la administración. Por ejemplo, puedes hacer que MDM proporcione automáticamente las credenciales para acceder a la red Wi-Fi, de modo que sea necesario inscribirse en MDM para usar dicha red. Cuando un usuario cancela la inscripción en MDM, su dispositivo intenta notificar a la solución MDM este ya no puede administrarse.
En el caso de los dispositivos propiedad de la organización, puedes usar Apple School Manager, Apple Business Manager o Apple Business Essentials para inscribirlos automáticamente en la solución MDM y supervisarlos inalámbricamente durante la configuración inicial, a este proceso se le conoce como inscripción de dispositivos automatizada.
Protección de dispositivos robados y MDM
Cuando está activada la protección del dispositivo en caso de robo, si el usuario está en una ubicación no reconocida, las siguientes acciones se retrasan durante una hora:
Inscribir manualmente su dispositivo en una solución MDM
Instalar manualmente una configuración o un perfil de código
Configurar una cuenta de Microsoft Exchange en la configuración o con un perfil o configuración
Perfiles de inscripción
Un perfil de inscripción es una de las dos formas principales en que los usuarios pueden inscribir un dispositivo personal en una solución de MDM (la otra forma es mediante Inscripción de usuarios). Con este perfil, que contiene una carga útil de MDM, la solución de MDM envía al dispositivo comandos y, si es necesario, perfiles de configuración adicionales. También puede consultar el dispositivo para obtener información, como su estado de Bloqueo de activación, el nivel de batería y su nombre.
Cuando un usuario elimina un perfil de inscripción, también se eliminan todos los perfiles de configuración, su configuración y las apps administradas basadas en el perfil de inscripción. Sólo puede haber un perfil de inscripción en un dispositivo a la vez.
Una vez aprobado el perfil de inscripción, ya sea por parte del dispositivo o el usuario, los perfiles de configuración que contienen cargas se envían al dispositivo. Después, puedes distribuir, administrar y configurar inalámbricamente apps y libros adquiridos mediante Apple School Manager, Apple Business Manager o Apple Business Essentials . Los usuarios pueden instalar apps, o bien se puede hacer que se instalen de forma automática dependiendo del tipo de app, cómo se asignó y si el dispositivo está supervisado. Para obtener más información, consulta Acerca de la supervisión de dispositivos de Apple.
Perfiles de configuración
Un perfil de configuración es un archivo XML (con extensión .mobileconfig) que se compone de cargas útiles que cargan la configuración y la información de autorización a los dispositivos Apple. Los perfiles de configuración automatizan el establecimiento de configuraciones, cuentas, restricciones y credenciales. Estos archivos se pueden crear mediante una solución MDM, con Apple Configurator para Mac o manualmente. Para obtener más información sobre cómo usar Apple Configurator para Mac para crear e instalar perfiles de configuración en dispositivos iPhone, iPad y Apple TV, consulta Crear y editar perfiles de configuración en el Manual de uso de Apple Configurator para Mac.
Puesto que los perfiles de configuración se pueden encriptar y firmar, puedes limitar su uso a un determinado dispositivo Apple y, a excepción de los nombres de usuario y las contraseñas, impedir la modificación de la configuración. También puedes marcar un perfil de configuración como bloqueado para el dispositivo.
Si tu solución MDM lo permite, puedes distribuir los perfiles de configuración como un archivo adjunto de correo mediante un enlace a tu propia página web o a través del portal integrado del usuario de tu solución MDM. Cuando los usuarios abren el adjunto de correo o descargan el perfil de configuración mediante un navegador web, se abre una ventana que les solicita iniciar la instalación del perfil.
Puedes proporcionar un perfil de configuración que puede cambiar la configuración de todo un dispositivo o de un solo usuario:
Los perfiles de los dispositivos pueden enviarse a dispositivos específicos y a grupos de dispositivos, y aplicar la configuración del dispositivo a todo el dispositivo.
El iPhone, iPad, Apple TV, Apple Watch y Apple Vision Pro no pueden reconocer a más de un usuario, así que los perfiles de configuración creados para iOS, iPadOS, tvOS y watchOS 10 o versiones posteriores, y visionOS 1.1 o versiones posteriores siempre son perfiles de dispositivo. Si bien los perfiles de iPadOS son perfiles de dispositivos, los dispositivos iPad configurados como iPad compartido son compatibles con perfiles basados tanto en el dispositivo como en el usuario.
Los perfiles de usuario se pueden enviar a usuarios específicos o, si son compatibles con la solución de MDM, a grupos de usuarios, y aplicar configuraciones sólo a los usuarios respectivos. Puesto que las computadoras Mac pueden tener varios usuarios, las cargas útiles y configuraciones de los perfiles de macOS pueden basarse tanto en el dispositivo como en el usuario. La cuenta de usuario creada durante el Asistente de Configuración se considera como administrada por la solución de MDM y puede recibir perfiles. En macOS 11 o posterior, una cuenta de administrador creada por una solución de MDM durante la inscripción puede administrarse en su lugar de forma opcional. En las implementaciones vinculadas a Active Directory, el usuario con sesión iniciada actualmente en la red puede ser administrado mediante una solución MDM.
La configuración de los dispositivos y de los usuarios varía en función de dónde residan: La configuración instalada a nivel de sistema reside en un canal de dispositivo. La configuración instalada para un usuario reside en un canal de usuario.
Para obtener más información sobre la instalación de perfiles y el modo hermético, consulta el artículo de soporte de Apple, Acerca del modo hermético.
Eliminar el perfil
La forma en que se eliminan los perfiles depende de cómo se instalaron. La siguiente secuencia indica cómo se puede eliminar un perfil:
1. Todos los perfiles se pueden eliminar limpiando todos los datos del dispositivo.
2. Si el dispositivo se inscribió en la MDM usando Apple School Manager, Apple Business Manager o Apple Business Essentials, el administrador puede elegir si quiere permitir que el usuario elimine el perfil de inscripción o si sólo lo puede eliminar la solución MDM.
3. Si el perfil se instaló mediante una solución MDM, se puede eliminar mediante dicha solución MDM específica; el usuario también lo puede eliminar si cancela su inscripción a la MDM eliminando el perfil de configuración de inscripción.
4. Si el perfil se instaló en un dispositivo supervisado mediante Apple Configurator, dicha instancia de supervisión de Apple Configurator puede eliminarlo.
5. Si el perfil se instaló en un dispositivo supervisado de forma manual o mediante Apple Configurator y tiene una carga útil de contraseña de eliminación, el usuario tiene que ingresar la contraseña de eliminación para eliminar el perfil.
6. El usuario puede eliminar el resto de los perfiles.
Las cuentas instaladas mediante un perfil de configuración se pueden borrar eliminando el perfil. Para eliminar cuentas ActiveSync de Microsoft Exchange (incluidas las que se instalan utilizando un perfil de configuración), se envía un comando de limpieza remota de sólo cuenta de Microsoft Exchange Server.
Importante: si el usuario conoce el código del dispositivo, puede eliminar los perfiles de configuración instalados manualmente de los dispositivos iPhone y iPad que no estén supervisados, aunque la opción esté establecida como Nunca. Los usuarios de Mac también pueden hacerlo si conocen el nombre de usuario y la contraseña de un administrador. Para ello, pueden usar la herramienta de línea de comandos profiles, Configuración del Sistema (en macOS 13 o posterior) o Preferencias del Sistema (en macOS 12.0.1 o anterior). En macOS 10.15 o posterior, al igual que iOS y iPadOS, los perfiles instalados con una solución MDM deben eliminarse también con una solución MDM, o se eliminan automáticamente después de anular la inscripción a la solución MDM.
Requisitos de comunicación de MDM
La comunicación de MDM de terceros con los dispositivos Apple tiene mayor posibilidad de éxito en las siguientes situaciones:
La solución de MDM está configurada, probada con éxito y funcionando correctamente
El certificado de APN es válido y no ha vencido
El dispositivo está encendido
El dispositivo está actualmente inscrito en la solución de MDM
La red a la que está conectado el dispositivo tiene acceso a Internet (para la comunicación APN)
La red a la que está conectada el dispositivo debe poner accesar a los hosts de Apple relacionados con la solución MDM
Para obtener más información, consulta el artículo de soporte de Apple Usar productos Apple en redes empresariales.
Nota: Apple no controla las soluciones MDM de terceros. Los problemas adicionales, como una carga útil de MDM mal configurada, también pueden causar que falle la comunicación de MDM.
Dispositivos Apple compatibles
Los siguientes dispositivos de Apple cuentan con una estructura integrada compatible con MDM:
iPhone con iOS 4 o posterior
iPad con iOS 4.3 o posterior; o con iPadOS 13.1 o posterior
Computadoras Mac con OS X 10.7 o posterior
Apple TV con tvOS 9 o posterior
Apple Watch con watchOS 10 o posterior
Apple Vision Pro con visionOS 1.1 o posterior
Nota: no todas las opciones están disponibles en todas las soluciones MDM. Para consultar las opciones de MDM que están disponibles para tus dispositivos, consulta la documentación de tu proveedor de MDM.