Descripción general de la administración de dispositivos móviles
Los sistemas operativos de Apple son compatibles con la administración de dispositivos móviles (MDM), lo que les permite a las organizaciones configurar y administrar de forma segura las implementaciones de dispositivos escalados de Apple.
Cómo la administración de dispositivos móviles (MDM) funciona de manera segura
Las funciones MDM están integradas en las tecnologías de sistema operativo actuales, tales como los perfiles de configuración, la inscripción OTA y el servicio de notificaciones push de Apple (APNs). Por ejemplo, el APNs se utiliza para activar el dispositivo de manera que pueda comunicarse directamente con la solución MDM a través de una conexión segura. El APNs no permite que se transmita información confidencial ni privada.
Con ayuda de la MDM, los departamentos de TI pueden inscribir dispositivos Apple en un entorno empresarial, configurar los parámetros y actualizarlos mediante una red inalámbrica, supervisar el cumplimiento de políticas corporativas, administrar políticas de actualización de software e incluso borrar o bloquear de forma remota los dispositivos administrados.
Además de las inscripciones tradicionales de dispositivos compatibles con iOS, iPadOS, macOS y tvOS, se agregó un nuevo tipo de inscripción en iOS 13 o versiones posteriores, iPadOS 13.1 o versiones posteriores, y macOS 10.15 o versiones posteriores: la inscripción de usuarios. Las inscripciones de usuarios son inscripciones MDM que se enfocan específicamente en despliegues de “trae tu propio dispositivo” (BYOD), en donde el dispositivo es de propiedad personal, pero se utiliza en un entorno administrado. Las inscripciones de usuarios le otorgan a la solución MDM más privilegios limitados que la inscripción de dispositivos no supervisados, y ofrecen separación criptográfica de los datos corporativos y los del usuario.
Tipos de inscripciones
Inscripción automatizada de dispositivos: la inscripción automatizada de dispositivos les permite a las organizaciones configurar y administrar dispositivos desde el momento en el que los sacan de su empaque (en un proceso conocido como implementación de avance automático). A estos dispositivos se les conoce como supervisados; y los usuarios tienen la opción de impedir que un usuario elimine el perfil MDM. La inscripción automatizada de dispositivos está diseñada para dispositivos propiedad de la organización.
Inscripción de dispositivos: la inscripción de dispositivos les permite a las organizaciones dejar que los usuarios inscriban dispositivos de forma manual y luego administrar diversos aspectos del uso de estos, incluida la capacidad de borrarlos. La inscripción de dispositivos también tiene un conjunto más amplio de cargas útiles y restricciones que se pueden aplicar a los dispositivos. Cuando un usuario elimina un perfil de inscripción, también se borran todos los perfiles de configuración, sus ajustes y las apps administradas según el perfil de registro.
Inscripciones de usuarios: la inscripción de usuarios está diseñada para dispositivos que son propiedad del usuario, y se integra en el Apple ID administrado para establecer una identidad de usuario en el dispositivo. Los Apple ID administrados son parte del perfil de inscripción de usuario, y el usuario debe autenticarse correctamente para que se complete el proceso de inscripción. Los Apple ID administrados se pueden usar junto con un Apple ID personal con el que el usuario ya ha iniciado sesión. Las apps y cuentas administradas usan un Apple ID administrado, y las apps y cuentas personales usan un Apple ID personal.
Restricciones de dispositivos
Los administradores pueden activar o desactivar restricciones para ayudar a impedir que los usuarios accedan a apps, funciones o servicios específicos de un dispositivo iPhone, iPad, Mac o Apple TV que esté inscrito en una solución de administración de dispositivos móviles (MDM). Las restricciones se envían a los dispositivos en una carga de restricciones, que forma parte de un perfil de configuración. Es posible que algunas restricciones aplicadas a un iPhone se apliquen también a un Apple Watch enlazado.
Administración de la configuración de códigos y contraseñas
De forma predeterminada, el código del usuario se puede definir como un PIN numérico. En dispositivos iOS y iPadOS con Face ID o Touch ID, la extensión mínima del código es de cuatro dígitos. Se recomienda usar códigos largos y complejos, ya que son más difíciles de adivinar o atacar.
Los administradores pueden aplicar requisitos de uso de códigos complejos y otras políticas mediante la MDM o Exchange ActiveSync de Microsoft, o bien pidiendo a los usuarios que instalen perfiles de configuración manualmente. Se necesita una contraseña de administrador para la instalación de la carga útil de la política de códigos para macOS. Algunas políticas de códigos pueden requerir cierta longitud, composición u otros atributos para el código.