iCloud para cuentas de Apple gestionadas
Según cuál sea el modelo de implementación elegido por la organización, los usuarios de dispositivos gestionados podrían utilizar su cuenta de Apple personal, una cuenta de Apple gestionada, ambas o ninguna.
Las cuentas de Apple gestionadas están pensadas para los usuarios que trabajen en dispositivos propiedad de la organización. Dado que la cuenta es propiedad de tu organización, puedes gestionar tanto los servicios a los que acceden como los dispositivos en los que pueden iniciar sesión.
Servicios de iCloud
Con los servicios de iCloud disponibles para una cuenta de Apple gestionada, los usuarios pueden almacenar contenido como contactos, calendarios, documentos y notas, y actualizarlos en varios dispositivos Apple. iCloud protege el contenido; para ello lo encripta cuando se envía por internet, lo guarda en un formato encriptado y utiliza identificadores seguros para su autenticación. Para obtener más información sobre la seguridad de iCloud, consulta Visión general de la seguridad de iCloud en Seguridad de las plataformas de Apple.
Nota: Algunas funciones de iCloud requieren una conexión Wi-Fi, algunas funciones no están disponibles en todos los países o regiones, y el acceso a algunos servicios está limitado a 10 dispositivos con la misma cuenta de Apple.
iCloud Drive
Los usuarios pueden almacenar sus documentos y archivos en iCloud Drive y acceder a ellos tanto desde un dispositivo iPhone, iPad o Mac como desde ordenadores Windows configurados con iCloud. Los documentos se mantienen actualizados en todos los dispositivos, y los cambios realizados en un archivo cuando el usuario no está conectado se actualizan automáticamente en cuanto el dispositivo se conecta de nuevo.
Los usuarios también pueden configurar las carpetas Escritorio y Documentos de macOS para que se guarden en iCloud Drive automáticamente, de modo que el contenido esté disponible en todos sus dispositivos.
Los usuarios pueden incluso colaborar en documentos almacenados en iCloud Drive también siempre y cuando se hayan creado con Pages, Numbers, Keynote y otras apps compatibles con CloudKit. Para las cuentas de Apple gestionadas, las organizaciones pueden definir si la colaboración solo es posible con usuarios internos o con usuarios externos también.
Llavero de iCloud
El llavero de iCloud mantiene actualizadas las contraseñas de las redes Wi-Fi y de sitios web utilizadas en Safari en todos los dispositivos iPhone, iPad y Mac que hayas configurado con iCloud. También almacena información de configuración e inicio de sesión en cuentas de internet, así como contraseñas de otras apps compatibles con iCloud. El llavero de iCloud también puede almacenar información de las tarjetas de crédito que los usuarios guardan en Safari, para que Safari pueda rellenar dicha información automáticamente.
El llavero de iCloud consta de dos servicios:
Mantenimiento del llavero actualizado en todos los dispositivos
Recuperación de llaveros
Para intercambiar ítems de llavero de forma segura, se establece un círculo de confianza y se utiliza entre los dispositivos aprobados de un usuario. Los nuevos dispositivos que se conecten al círculo deben aprobarse, bien con un dispositivo existente en el llavero de iCloud, bien utilizando la recuperación del llavero de iCloud. Los ítems que se sincronizan se encriptan para que pueda desencriptarlos únicamente un dispositivo del círculo de confianza del usuario; no pueden desencriptarlos ningún otro dispositivo ni Apple.
El llavero de iCloud custodia los datos de los llaveros de los usuarios sin permitir a Apple leer las contraseñas ni ningún otro de dato que contenga. Aunque el usuario solo tenga un dispositivo, la recuperación de llaveros ofrece una red de seguridad contra la pérdida de datos. Esto tiene especial importancia cuando se usa Safari para generar contraseñas seguras y aleatorias para cuentas de internet, porque estas contraseñas solo quedan registradas en el llavero.
Parte del proceso de recuperación de llaveros es la autenticación secundaria y un servicio de custodia seguro creado por Apple precisamente para poder utilizar esta función. El llavero del usuario se encripta mediante una clave de encriptación segura y el servicio de custodia proporciona una copia de esa clave solo si se cumplen una serie de condiciones muy estrictas, y si el usuario introduce el código de uno de sus dispositivos anteriores.
Importante: Las cuentas de Apple son incompatibles con la recuperación del llavero de iCloud mediante un contacto de recuperación.
Llaves de acceso
Las llaves de acceso están diseñadas para proporcionar una experiencia de inicio de sesión sin contraseña práctica y segura. Se trata de una tecnología basada en estándares que es capaz de resistir a los ataques de suplantación de identidad, siempre es robusta y no tiene secretos compartidos.
Gracias a la compatibilidad del llavero de iCloud con las cuentas de Apple gestionadas, las organizaciones pueden implementar llaves de acceso para que los empleados accedan a los recursos corporativos y asegurarse de que las llaves de acceso se sincronicen de forma segura con todos sus dispositivos iPhone, iPad y Mac. Mediante la funcionalidad de gestión del acceso, también pueden definir el estado de gestión necesario de un dispositivo para permitir el acceso a las llaves de acceso gestionadas.
Una configuración de una atestación declarativa de llaves de acceso permite que un dispositivo gestionado facilite una atestación cuando se aprovisione una llave de acceso para un servicio de una organización. La atestación se proporciona cuando un usuario registra una llave de acceso para un sitio web o una app usando un dominio especificado en la configuración. Una vez que el dispositivo ha generado una llave de acceso de forma segura, usa la identidad de certificado definida en la configuración para realizar una atestación WebAuthn con el servicio accedido. Esto permite que el servicio verifique que la llave de acceso se ha creado en un dispositivo gestionado por la organización antes de aprovisionar el acceso.
Las llaves de acceso generadas se almacenan automáticamente en el llavero de iCloud asociado con la cuenta de Apple gestionada. Si no hay una cuenta de Apple gestionada, no se puede crear la llave de acceso.
Para proporcionar al usuario un proceso de inicio de sesión sencillo, los desarrolladores de apps pueden hacer uso de dominios asociados para establecer una asociación segura entre los dominios y su app (y, opcionalmente, permitir una configuración de dominios asociados a través de MDM). Si esto está disponible, iOS, iPadOS y macOS pueden seleccionar y proporcionar automáticamente la llave de acceso correcta para ofrecer al usuario una experiencia de inicio de sesión impecable. Si un servicio de terceros facilita la autenticación, en su lugar se puede usar ASWebAuthenticationSession.
Para obtener más información, consulta Configuración declarativa de “Atestación de llaves de acceso”.
Acceso a los servicios de iCloud
Iniciar sesión con un cuenta de Apple gestionada durante el asistente de configuración o mediante el ítem de menú del cuenta de Apple que aparece en la parte superior de Ajustes (iPhone y iPad) o Ajustes del Sistema (Mac) permite acceder a todos los servicios disponibles en la cuenta.
Los usuarios pueden añadir cuentas adicionales en Ajustes > Mail > Cuentas (iPhone, iPad y Apple Vision Pro) o Ajustes del Sistema > Cuentas de internet (Mac) para acceder al correo (si la cuenta dispone de él), los contactos y calendarios almacenados con otra cuenta de Apple personal y a los contactos, calendarios y recordatorios de una cuenta de Apple gestionada.
La inscripción de dispositivo por cuentas y la inscripción de usuario amplían la lista de servicios accesibles en un dispositivo con una cuenta de Apple gestionada a contactos, calendarios, recordatorios, notas iCloud Drive y la copia de seguridad de iCloud.
Gestionar el acceso a iCloud
Puedes desactivar los servicios de iCloud disponibles para una cuenta de Apple gestionada que consideres oportunos en Apple School Manager y Apple Business Manager. Además, puedes definir qué usuarios de dispositivos pueden iniciar sesión, acceder a los datos de su cuenta de Apple gestionada y especificar con quién pueden comunicarse y colaborar. Si el usuario utiliza una cuenta de Apple personal principalmente, las organizaciones pueden usar las restricciones para desactivar ciertos servicios de iCloud en dispositivos gestionados. Recuerda que algunas restricciones requieren que el dispositivo esté supervisado.