Métodos de inscripción por cuentas con dispositivos Apple
La inscripción de usuario y la inscripción de dispositivos por cuentas proporcionan una forma segura y sin problemas para que los usuarios y las organizaciones configuren dispositivos Apple para el trabajo iniciando sesión con una cuenta de Apple gestionada.
Este enfoque permite iniciar sesión en una cuenta de Apple gestionada y en una cuenta de Apple personal en el mismo dispositivo, con una separación completa entre los datos del trabajo y los personales. Los usuarios mantienen la privacidad de su información personal y el equipo de TI se encarga de las cuentas, los ajustes y las apps relacionadas con el trabajo.
Para respaldar esta separación, se han realizado los siguientes cambios al modo en que se gestionan las apps y las copias de seguridad:
Todas las configuraciones y los ajustes se eliminan cuando se elimina el perfil de inscripción.
Las apps gestionadas siempre se eliminan durante la inscripción.
Si instalas apps antes de inscribirte en un servicio de gestión de dispositivos, no podrás convertirlas en apps gestionadas.
La restauración de una copia de seguridad no restaura la inscripción en el servicio de gestión de dispositivos.
Los usuarios que inician sesión con su cuenta de Apple personal no pueden aceptar una invitación para la distribución de apps gestionadas.
Aunque es posible crear cuentas de Apple gestionadas de forma manual, las organizaciones pueden beneficiarse de la integración con Google Workspace, Microsoft Entra ID o su proveedor de identidades (IdP).
Para obtener más información sobre la autenticación vinculada, consulta Introducción a la autenticación vinculada con Apple School Manager o Introducción a la autenticación vinculada con Apple Business Manager.
Procesos de inscripción por cuentas
Para inscribir un dispositivo usando la inscripción de usuario o la inscripción de dispositivos por cuentas, el usuario va a Ajustes > General > VPN y gestión de dispositivos, o bien a Ajustes del Sistema > General > “Gestión de dispositivos” y, a continuación, selecciona el botón “Iniciar sesión con la cuenta de empresa o centro educativo”.
Esto inicia un proceso de cuatro etapas para inscribirse en un servicio de gestión de dispositivos:
Detección de servicios: El dispositivo determina la URL de inscripción del servicio de gestión de dispositivos.
Identificador de autenticación y de acceso: El usuario proporciona las credenciales para autorizar la inscripción y obtener acceso al identificador emitido para realizar una autenticación continua.
Inscripción del servicio: El perfil de inscripción se envía al dispositivo y el usuario debe iniciar sesión con su cuenta de Apple gestionada para completar la inscripción.
Autenticación continua: El servicio de gestión de dispositivos verifica continuamente al usuario que haya iniciado sesión mediante el identificador de acceso.
Etapa 1: Detección de servicios
En el primer paso, la detección de servicios intenta identificar la URL de inscripción del servicio de gestión de dispositivos. Para ello, utiliza el identificador que introduce el usuario, por ejemplo, eliza@betterbag.com. El dominio tiene que ser un nombre de dominio completo (FQDN) que anuncie el servicio de gestión de dispositivos de la organización del usuario.
A continuación, sucede lo siguiente:
Paso 1
El dispositivo identifica el dominio en el identificador suministrado (en el ejemplo anterior, betterbag.com).
Paso 2
El dispositivo solicita el recurso conocido del dominio de la organización, por ejemplo, https://<domain>/.well-known/com.apple.remotemanagement.
El cliente incluye dos parámetros de consulta en la ruta de la URL de la solicitud HTTPS GET:
user-identifier: El valor del identificador de cuenta introducido (en el ejemplo anterior, lidia@betterbag.com).
model-family: La familia de modelos del dispositivo (por ejemplo, iPhone, iPad, Mac).
Nota: El dispositivo sigue las solicitudes de redirección HTTP 3xx, lo que permite alojar el archivo en cuestión com.apple.remotemanagement en otro servidor accesible por el dispositivo.
En dispositivos con iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, o posterior, el proceso de detección de servicios permite a un dispositivo obtener el recurso conocido de una ubicación alternativa especificada por el servicio de gestión de dispositivos enlazado a Apple School Manager o Apple Business Manager. La primera preferencia para la detección de servicios sigue siendo el recurso conocido en el dominio de la organización. En caso de que la solicitud falle, el dispositivo procede a comprobar con Apple School Manager o Apple Business Manager una ubicación alternativa del recurso conocido. Este proceso requiere que Apple School Manager o Apple Business Manager verifique el dominio del identificador. Para obtener más información, consulta Añadir y verificar un dominio en Apple School Manager o Añadir y verificar un dominio en Apple Business Manager.
Para usar esta función, el servicio de gestión de dispositivos tiene que configurar la URL alternativa de detección de servicios cuando se enlaza con Apple School Manager o Apple Business Manager. Cuando el dispositivo se conecta con Apple School Manager o Apple Business Manager, se usa el tipo de dispositivo para determinar el servicio asignado para ese tipo (el mismo proceso que para determinar el servicio por omisión para la inscripción automatizada de dispositivos). Si el servicio asignado tiene una URL de detección de servicios configurada, el dispositivo procede a solicitar el recurso conocido desde esa ubicación. Para establecer la asignación de dispositivos por omisión, consulta Configurar la asignación de dispositivos predeterminada en Apple School Manager o Configurar la asignación de dispositivos predeterminada en Apple Business Manager.
El servicio de gestión de dispositivos también puede alojar el recurso conocido.
Paso 3
El servidor que aloja el recurso conocido responde con un documento JSON de detección de servicios que se ajusta al siguiente esquema:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Las claves, tipos y descripciones de inscripción del servicio de gestión de dispositivos están en la siguiente tabla. Todas las claves son obligatorias.
Clave | Tipo | Descripción |
|---|---|---|
Servers | Matriz | Una lista con una sola entrada. |
Version | String (cadena) | Esta clave determina el método de inscripción a usar y tiene que ser |
BaseURL | String (cadena) | La URL de inscripción del servicio de gestión de dispositivos. |
Importante: El servidor tiene que garantizar que el campo de cabecera Content-Type de la respuesta HTTP se haya establecido en application/json.
Paso 4
El dispositivo envía una solicitud HTTP POST a la URL de inscripción especificada por la clave BaseURL.
Etapa 2: Identificador de autenticación y de acceso
Para autorizar la inscripción, el usuario tiene que autenticarse con el servicio de gestión de dispositivos. Una vez autenticado, el servicio de gestión de dispositivos emite un identificador de acceso al dispositivo. El dispositivo guarda el identificador de forma segura para usarlo al autorizar solicitudes posteriores.
El identificador de acceso:
es fundamental tanto en el proceso de autenticación inicial como en el acceso continuo a los recursos del servicio de gestión de dispositivos;
sirve de puente seguro entre la cuenta de Apple gestionada del usuario y el servicio de gestión del dispositivo;
se usa para permitir el acceso continuo a los recursos de trabajo para todas las inscripciones por cuentas.
En el iPhone, iPad y Apple Vision Pro, el proceso de autenticación inicial y continua puede simplificarse utilizando el SSO de inscripción (inicio de sesión único de inscripción) para que los mensajes de autenticación no se repitan tanto. Para obtener más información, consulta Inicio de sesión único de inscripción para iPhone, iPad y Apple Vision Pro.
Etapa 3: Inscripción en el servicio de gestión de dispositivos
Usando el identificador de acceso, el dispositivo puede autenticarse con el servicio de gestión de dispositivos y acceder al perfil de inscripción. Este perfil contiene toda la información que necesita el dispositivo para realizar la inscripción. Para completar la inscripción, el usuario tiene que iniciar sesión correctamente con su cuenta de Apple gestionada. Después de completar la inscripción, la cuenta de Apple gestionada se muestra visiblemente en Ajustes y Ajustes del Sistema.
Para obtener más información sobre qué servicios de iCloud están disponibles para los usuarios, consulta Acceso a los servicios de iCloud.
Etapa 4: Autenticación continua
Tras la inscripción, el identificador de acceso permanece activo y se incluye en todas las solicitudes enviadas al servicio de gestión de dispositivos mediante la cabecera Authorization HTTP. Esto permite al servicio verificar al usuario de forma continua y ayuda a garantizar que solo los usuarios autorizados puedan seguir accediendo a los recursos de la organización.
Los identificadores de acceso suelen caducar tras un periodo determinado. Cuando esto ocurre, el dispositivo puede solicitar al usuario que vuelva a autenticarse para renovar el identificador de acceso. La revalidación periódica ayuda a aumentar la seguridad, lo cual es importante tanto para los dispositivos personales como para los dispositivos propiedad de la organización. Con el SSO de inscripción, la renovación del identificador se produce automáticamente a través del proveedor de identidades de la organización, lo que garantiza un acceso ininterrumpido sin necesidad de autenticarse de nuevo.
Cómo se separan los datos del usuario de los de la organización mediante métodos de inscripción por cuentas
Una vez completada la inscripción de usuario o de dispositivo por cuentas, el sistema operativo crea automáticamente claves de encriptación independientes en el dispositivo. Si el usuario anula la inscripción del dispositivo o si el servicio de gestión de dispositivos lo anula remotamente, el sistema operativo destruye esas claves de encriptación. El sistema operativo utiliza las claves para separar mediante criptografía los datos gestionados que se enumeran en esta tabla.
Contenido | Versión de los sistemas operativos mínimos compatibles | Descripción | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Contenedores de datos de apps gestionadas | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Las apps gestionadas usan la cuenta de Apple gestionada asociada a la inscripción del servicio de gestión de dispositivos para la sincronización de datos en iCloud. Esto incluye las apps gestionadas (instaladas con la clave | |||||||||
App Calendario | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Los eventos son independientes. | |||||||||
Ítems del llavero | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | La app de terceros para Mac tiene que utilizar la API del llavero de protección de los datos. Para obtener más información, consulta la variable global kSecUseDataProtectionKeychain en el sitio web para desarrolladores de Apple. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Los archivos adjuntos y el cuerpo de mensajes de correo son independientes. | |||||||||
App Notas | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Las notas son independientes. | |||||||||
App Recordatorios | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Los recordatorios son independientes. | |||||||||
En el iPhone, iPad y Apple Vision Pro, las apps y los documentos gestionados basados en web tienen acceso al iCloud Drive de la organización (que aparecerá por separado en la app Archivos una vez que el usuario inicie sesión con su cuenta de Apple gestionada). El administrador del servicio de gestión de dispositivos puede ayudar a mantener separados los documentos personales y de la organización mediante restricciones específicas. Para obtener más información, consulta Distribuir apps gestionadas a dispositivos Apple.
Si un usuario ha iniciado sesión con una cuenta de Apple personal y con una cuenta de Apple gestionada, “Iniciar sesión con Apple” utiliza la cuenta de Apple gestionada automáticamente para las apps gestionadas y la cuenta de Apple personal para las no gestionadas. Al usar un flujo de inicio de sesión en Safari o SafariWebView en una app gestionada, el usuario puede introducir su cuenta de Apple gestionada para asociar el inicio de sesión con su cuenta de empresa o centro educativo.
