Descripción general de la administración de dispositivos móviles
Los sistemas operativos de Apple son compatibles con la administración de dispositivos móviles (MDM), lo que les permite a las organizaciones configurar y administrar de forma segura las implementaciones de dispositivos escalados de Apple.
Cómo la administración de dispositivos móviles (MDM) funciona de manera segura
Las funcionalidades MDM se encuentran integradas en las tecnologías de sistemas operativos, tales como las configuraciones, la inscripción OTA y el servicio de notificaciones push de Apple (APNs). Por ejemplo, el APNs se utiliza para activar el dispositivo e iniciar la comunicación directamente con la solución MDM a través de una conexión segura. Mediante el APNs, no se transmite información confidencial ni privada.
Con ayuda de una MDM, los departamentos de TI pueden inscribir dispositivos Apple en un entorno empresarial o educativo, establecer la configuración y actualizarla de forma inalámbrica, supervisar el cumplimiento, administrar las actualizaciones de software e incluso borrar o bloquear de forma remota los dispositivos administrados.
En iOS 13, iPadOS 13.1, macOS 10.15 o versiones posteriores, los dispositivos Apple admiten una nueva opción de inscripción de usuarios que está diseñada específicamente para los programas BYOD. Con la inscripción de usuarios, las personas tienen más autonomía en sus propios dispositivos a la vez que se aumenta la seguridad de los datos empresariales, pues los datos administrados se separan criptográficamente. Esto brinda un mejor equilibrio entre la seguridad, la privacidad y la experiencia del usuario en los programas BYOD. En iOS 17, iPadOS 17, macOS 14 y versiones posteriores, se agregó un mecanismo de separación similar para la inscripción de dispositivos basada en cuentas.
Tipos de inscripciones
Inscripciones de usuarios: la inscripción de usuarios está diseñada para dispositivos que son propiedad del usuario, y se integra en el Apple ID administrado para establecer una identidad de usuario en el dispositivo. Para iniciar la inscripción, se requieren Apple ID administrados y, para completarla, el usuario debe autenticarse correctamente. Los Apple ID administrados se pueden usar junto con un Apple ID personal con el que el usuario ya ha iniciado sesión. Las apps y cuentas administradas usan un Apple ID administrado, y las apps y cuentas personales usan un Apple ID personal.
Inscripción de dispositivos: la inscripción de dispositivos les permite a las organizaciones dejar que los usuarios inscriban dispositivos de forma manual y luego administrar diversos aspectos del uso de estos, lo que incluye la capacidad de borrarlos. La inscripción de dispositivos también tiene un conjunto más amplio de configuraciones y restricciones que se pueden aplicar a los dispositivos. Cuando un usuario elimina un perfil de inscripción, también se borran todas las configuraciones, los parámetros y las apps administradas según el perfil de inscripción. La inscripción de dispositivos, al igual que la inscripción de usuarios, también se puede integrar con Apple ID administrados. Además, la inscripción de dispositivos basada en cuentas ofrece la posibilidad de usar un Apple ID administrado junto con un Apple ID personal, y separar de forma criptográfica los datos corporativos.
Inscripción automatizada de dispositivos: la inscripción automatizada de dispositivos les permite a las organizaciones configurar y administrar dispositivos desde el momento en el que los sacan de su empaque. A estos dispositivos se les conoce como supervisados; y los usuarios tienen la opción de impedir que un usuario elimine el perfil MDM. La inscripción automatizada de dispositivos está diseñada para dispositivos propiedad de la organización.
Restricciones de dispositivos
Los administradores pueden activar o desactivar restricciones para ayudar a impedir que los usuarios accedan a apps, funciones o servicios específicos de un dispositivo iPhone, iPad, Mac, Apple TV o Apple Watch que esté inscrito en una solución de administración de dispositivos móviles (MDM). Las restricciones se envían a los dispositivos en una carga útil de restricciones, que forma parte de una configuración. Es posible que algunas restricciones aplicadas a un iPhone se apliquen también a un Apple Watch enlazado.
Administración de la configuración de códigos y contraseñas
De forma predeterminada, el código del usuario se puede definir como un PIN numérico en iOS, iPadOS y watchOS. En dispositivos iPhone y iPad con Face ID o Touch ID, la longitud predeterminada del código es de seis dígitos, y la mínima es de cuatro. Se recomienda usar códigos largos y complejos, ya que son más difíciles de adivinar o atacar.
Los administradores pueden aplicar requisitos de códigos complejos y otras políticas usando una solución MDM o Microsoft Exchange en iOS y iPadOS. Se necesita una contraseña de administrador para instalar de forma manual la carga útil de la política de códigos para macOS. Las políticas de códigos pueden requerir cierta longitud, composición u otros atributos para el código.
De forma predeterminada, el Apple Watch utiliza códigos numéricos. Si una política de código aplicada a un Apple Watch administrado requiere que se usen caracteres no numéricos, será necesario usar el iPhone enlazado para desbloquear el dispositivo.