Introducción a los perfiles de gestión de dispositivos móviles

Un servicio de gestión de dispositivos permite a un administrador configurar dispositivos de forma remota y segura enviando configuraciones, perfiles y comandos al dispositivo, independientemente de si es propiedad del usuario o de tu organización. Las funciones incluyen tareas como actualizar el software y los ajustes del dispositivo, supervisar la conformidad con las políticas internas y borrar o bloquear dispositivos en remoto. Los usuarios pueden inscribir sus propios dispositivos en un servicio de gestión de dispositivos, mientras que las organizaciones pueden inscribir los de su propiedad automáticamente con Apple School Manager o Apple Business Manager.

Si vas a usar un servicio de gestión de dispositivos, debes entender algunos conceptos. Lee las siguientes secciones para saber cómo usa un servicio de gestión de dispositivos los perfiles de registro y configuración, la supervisión y las cargas útiles.

Dispositivos Apple compatibles

Los siguientes dispositivos Apple incluyen un marco compatible con la gestión de dispositivos:

iPhone con iOS 4 o posterior
iPad con iOS 4.3 o posterior o iPadOS 13.1 o posterior
Ordenadores Mac con OS X 10.7 o posterior
Apple TV con tvOS 9 o posterior
Apple Watch con watchOS 10 o posterior
Apple Vision Pro con visionOS 1.1 o posterior

Cómo se inscriben los dispositivos

La inscripción en un servicio de gestión de dispositivos implica inscribir identidades de certificado cliente utilizando protocolos como el Entorno de gestión de certificados automatizado (ACME), o el Protocolo de inscripción de certificados simple (SCEP). Los dispositivos utilizan estos protocolos para crear certificados de identidad única para la autenticación en los servicios de una empresa.

A menos que la inscripción sea automática, los usuarios deciden si quieren inscribirse en un servicio de gestión de dispositivos, y pueden cancelar la inscripción de sus dispositivos en cualquier momento. Por lo tanto, debes plantearte la posibilidad de incentivar a los usuarios para que no cancelen la gestión. Por ejemplo, puedes hacer que el servicio de gestión de dispositivos proporcione automáticamente las credenciales para acceder a la red Wi-Fi, de modo que sea necesario inscribirse para usar dicha red. Cuando un usuario cancela la inscripción en el servicio, su dispositivo intenta notificar al servicio de gestión de dispositivos que no puede seguir bajo su gestión.

En el caso de los dispositivos propiedad de la organización, puedes usar Apple School Manager o Apple Business Manager para inscribirlos automáticamente en un servicio de gestión de dispositivos y supervisarlos de forma inalámbrica durante la configuración inicial; este proceso de inscripción se conoce como “Inscripción automatizada de dispositivos”.

Gestión de dispositivos y protección en caso de robo

Cuando la protección de dispositivos robados está activada, si el usuario está en un lugar desconocido, el sistema operativo demora una hora las siguientes acciones:

Inscribir manualmente su dispositivo en un servicio de gestión de dispositivos
Instalar manualmente una configuración o un perfil de código
Configurar una cuenta de Microsoft Exchange en Ajustes o con un perfil o una configuración

Perfiles de inscripción

Una de las dos maneras principales que tienen los usuarios de inscribir un dispositivo en un servicio de gestión de dispositivos es mediante un perfil de inscripción (la otra manera es utilizar la inscripción de usuarios o la inscripción de dispositivos por cuentas). Con este perfil, que contiene una carga útil, el servicio envía comandos al dispositivo y, si es necesario, perfiles de configuración adicionales. También puede enviarle consultas al dispositivo para obtener información, como cuál es su estado de bloqueo de activación, el nivel de carga de la batería o su nombre.

Cuando un usuario elimina un perfil de inscripción, con él se suprimen todos los perfiles de configuración, sus ajustes y las apps gestionadas basadas en ese perfil. En el dispositivo solo puede haber instalado un perfil de configuración al mismo tiempo.

Una vez aprobado el perfil de inscripción, por el dispositivo o por el usuario, se envían al dispositivo perfiles de configuración que contienen cargas útiles. Entonces puedes distribuir, gestionar y configurar inalámbricamente apps y libros adquiridos mediante Apple School Manager o Apple Business Manager. Los usuarios pueden instalar aplicaciones o dejar que se instalen automáticamente, según el tipo de aplicación, cómo se ha asignado y si el dispositivo está supervisado. Para obtener más información, consulta Acerca de la supervisión de dispositivos Apple.

Perfiles de configuración

Un perfil de configuración es un archivo XML (termina en .mobileconfig) que contiene cargas útiles que cargan los ajustes y la información de autorización en dispositivos Apple. Los perfiles de configuración automatizan la configuración de ajustes, cuentas, restricciones y credenciales. Un servicio de gestión de dispositivos puede crear estos archivos, o bien puedes crearlos manualmente o con Apple Configurator para Mac. Para obtener más información sobre el uso de Apple Configurator para Mac para crear e instalar perfiles de configuración en dispositivos iPhone, iPad y Apple TV, consulta el apartado Crear y editar perfiles de configuración en el Manual de uso de Apple Configurator para Mac.

Dado que puedes encriptar y firmar los perfiles de configuración, puedes restringir su uso a un dispositivo Apple concreto e impedir que nadie cambie los ajustes (salvo los nombres de usuario y las contraseñas). También puedes marcar un perfil de configuración como bloqueado para el dispositivo.

Si tu servicio de gestión de dispositivos lo permite, puedes distribuir los perfiles de configuración como un archivo adjunto de correo mediante un enlace a tu propia página web o a través del portal integrado del usuario de tu servicio. Cuando los usuarios abren el adjunto de correo o descargan el perfil de configuración mediante un navegador web, se abre una ventana que les solicita iniciar la instalación del perfil.

Puedes distribuir un perfil de configuración que cambie los ajustes de todo el dispositivo o de un solo usuario:

Perfiles de dispositivo: Puedes enviar perfiles de dispositivo a dispositivos y grupos de dispositivos, y aplicar los ajustes de dispositivo a todo el dispositivo.
El iPhone, iPad, Apple TV, Apple Watch y Apple Vision Pro no pueden reconocer más de un usuario, así que los perfiles de configuración creados para los dispositivos de Apple compatibles son siempre perfiles de dispositivo. Aunque los perfiles de iPadOS son perfiles de dispositivo, los dispositivos iPad configurados como iPad compartido son compatibles con los perfiles basados en el dispositivo o en el usuario.
Perfiles de usuario: Puedes enviar perfiles de usuario a los usuarios y (si el servicio de gestión de dispositivos los admite) a grupos de usuarios, y aplicar los ajustes de usuario solo a los usuarios correspondientes. Puesto que los ordenadores Mac pueden tener varios usuarios, las cargas útiles y los ajustes de los perfiles de macOS pueden estar basados, bien en el dispositivo, bien en el usuario. La cuenta de usuario que crea el asistente de configuración se considera gestionada por el servicio de gestión de dispositivos y puede recibir perfiles. En un Mac con macOS 11 o posterior, otra opción es que las cuentas de administrador creadas por un servicio de gestión de dispositivos durante la inscripción se gestionen. En el caso de las implementaciones vinculadas con Active Directory, el usuario que haya iniciado sesión en la red en ese momento se convierte en un usuario gestionado.

Los ajustes del dispositivo y del usuario varían en función de dónde residen: Los ajustes instalados en el nivel de sistema residen en un canal del dispositivo. Los ajustes instalados para un usuario residen en un canal del usuario.

Para obtener más información sobre la instalación de perfiles y el modo de aislamiento, consulta el artículo de soporte técnico de Apple Acerca del modo de aislamiento.

Eliminación de perfiles

La forma de eliminar los perfiles depende de cómo se instalaron. La siguiente secuencia indica cómo eliminar un perfil:

1. Puedes eliminar todos los perfiles borrando todos los datos del dispositivo.

2. Si el dispositivo se ha registrado en un servicio de gestión de dispositivos vinculado a Apple School Manager o Apple Business Manager, el administrador puede elegir si el usuario puede eliminar el perfil de inscripción o si solo puede hacerlo el servicio de gestión de dispositivos.

3. Si un servicio de gestión de dispositivos instala el perfil, ese servicio puede eliminarlo o bien el usuario puede hacerlo anulando la inscripción en el servicio (eliminando el perfil de configuración de la inscripción).

4. Si Apple Configurator instala el perfil, esa instancia de supervisión de Apple Configurator puede eliminarlo.

5. Si Apple Configurator instala el perfil o tú lo instalas manualmente en un dispositivo supervisado y el perfil tiene una carga útil de contraseña de eliminación, el usuario tendrá que introducir la contraseña de eliminación para eliminarlo.

6. El usuario puede eliminar todos los demás perfiles.

Las cuentas instaladas por un perfil de configuración pueden borrarse eliminando el perfil. Las cuentas Microsoft Exchange ActiveSync, incluidas las que se hayan instalado mediante un perfil de configuración, se pueden eliminar mediante Microsoft Exchange Server, con el comando de borrado remoto solo de cuentas.

Importante: Si los usuarios conocen la contraseña del dispositivo, pueden eliminar los perfiles de configuración instalados de iPhone y iPad que no estén supervisados manualmente, aunque la opción esté ajustada en Nunca. Los usuarios de Mac pueden hacer lo mismo únicamente si saben el nombre de usuario y la contraseña de administrador. Para hacerlo, pueden utilizar la herramienta de línea de comandos profiles, Ajustes del Sistema (en macOS 13 o posterior) o Preferencias del Sistema (en macOS 12.0.1 o anterior). En un Mac con macOS 10.15 o posterior, al igual que sucede con iOS y iPadOS, si un servicio de gestión de dispositivos instala un perfil, ese servicio puede eliminarlo o el sistema operativo lo eliminará automáticamente al cancelar la inscripción en el servicio.

Requisitos de comunicación del servicio de gestión de dispositivos

Es más probable que la comunicación del servicio de gestión de dispositivos con los dispositivos Apple sea correcta cuando:

El servicio de gestión de dispositivos configura el dispositivo, lo prueba y se asegura de que funciona correctamente
El certificado de los APNs es válido y no ha caducado
El dispositivo está encendido
El dispositivo está inscrito en el servicio
La red a la que está conectado el dispositivo tiene acceso a internet (para la comunicación APNs)
Es necesario que la red a la que está conectado el dispositivo tenga acceso a servidores Apple relacionados con el servicio
Para obtener más información, consulta el artículo de soporte de Apple Usar productos Apple en redes empresariales.

Nota: Apple no controla los servicios de gestión de dispositivos de terceros. La comunicación también puede fallar por culpa de otros problemas, como una carga útil mal configurada.

Consulta tambiénImplementar dispositivos con Apple School Manager o Apple Business Manager Seleccionar un servicio de gestión de dispositivos Sitio web Apple at Work Apple en la educación

¿Te ha resultado útil?

Implementación de las plataformas de Apple