Descripción general de la seguridad de la gestión de dispositivos móviles
Los sistemas operativos de Apple son compatibles con las soluciones de gestión de dispositivos móviles (MDM), que permiten a las organizaciones configurar y gestionar implementaciones de dispositivos Apple a gran escala.
Cómo funciona la solución MDM de forma segura
Las funciones de MDM están basadas en las tecnologías de los sistemas operativos existentes, como los perfiles de configuración, la inscripción remota y el servicio de notificaciones push de Apple (APNs). Por ejemplo, el APNs se utiliza para activar el dispositivo de manera que pueda comunicarse directamente con la solución MDM a través de una conexión segura. No se transmite información sensible ni privada con el APNs.
Con ayuda de una solución MDM, los departamentos de TI pueden inscribir dispositivos Apple en un entorno empresarial, configurar los ajustes y actualizarlos mediante una red inalámbrica, supervisar el cumplimiento de políticas corporativas, gestionar políticas de actualización de software e incluso borrar o bloquear de forma remota los dispositivos gestionados.
Además de las inscripciones de dispositivos tradicionales compatibles con iOS, iPadOS, macOS y tvOS, se ha añadido un tipo de inscripción en iOS 13 o posterior, iPadOS 13.1 o posterior y macOS 10.15 o posterior: la inscripción del usuario. Las inscripciones de los usuarios son inscripciones de MDM pensadas especialmente para las implementaciones de “trae tu propio dispositivo” (BYOD), en las que el dispositivo es personal pero se usa en un entorno gestionado. Las inscripciones de los usuarios otorgan a la solución MDM privilegios más limitados que las inscripciones de dispositivos no gestionados y ofrecen una separación criptográfica de los datos del usuario y de los datos corporativos.
Tipos de inscripción
Inscripción automatizada de dispositivos: La inscripción automatizada de dispositivos permite a las organizaciones configurar y gestionar dispositivos desde el momento que se sacan del embalaje (un proceso que se conoce como implementación de avance automático). Estos dispositivos se convierten en supervisados y los usuarios tienen la posibilidad de establecer que el usuario no pueda eliminar el perfil MDM. La inscripción automatizada de dispositivos se ha diseñado para los dispositivos que son propiedad de la organización.
Inscripción de dispositivos: La inscripción de dispositivos permite a los usuarios de las organizaciones inscribir dispositivos manualmente y gestionar numerosos aspectos del uso del dispositivo, incluyendo la posibilidad de borrarlo. La inscripción de dispositivos proporciona también un conjunto más amplio de cargas útiles y restricciones que pueden aplicarse al dispositivo. Cuando un usuario elimina un perfil de inscripción, todos los perfiles de configuración, sus ajustes y las apps gestionadas basadas en dicho perfil también se eliminan.
Inscripción del usuario: La inscripción del usuario está diseñada para los dispositivos que son propiedad del usuario y está integrada en el ID de Apple gestionado para establecer la identidad de un usuario en el dispositivo. Los ID de Apple gestionados forman parte del perfil de inscripción del usuario y el usuario debe autenticarse correctamente para que se complete la inscripción. Los ID de Apple gestionados se pueden usar junto con un ID de Apple personal con el que el usuario ya haya iniciado sesión. Las cuentas y apps gestionadas utilizan un ID de Apple gestionado, mientras que las cuentas y apps personales usan un ID de Apple personal.
Restricciones del dispositivo
Los administradores pueden activar (o, en algunos casos, desactivar) las restricciones para ayudar a impedir que los usuarios accedan a una app, un servicio o una función específicos de un iPhone, iPad, Mac o Apple TV inscrito en una solución MDM. Las restricciones se envían a los dispositivos en una carga útil de restricciones, que forma parte de un perfil de configuración. Ciertas restricciones en un iPhone se pueden duplicar en un Apple Watch enlazado.
Gestión de los ajustes del código y de la contraseña
Por defecto, el código del usuario se puede definir como un PIN numérico. En dispositivos iOS y iPadOS con Face ID o Touch ID, la longitud mínima del código es de cuatro dígitos. Se recomiendan los códigos más largos y más complejos, puesto que son más difíciles de averiguar o atacar.
Los administradores pueden aplicar requisitos de uso de códigos complejos y otras políticas mediante soluciones MDM o Microsoft Exchange ActiveSync, o bien pidiendo a los usuarios que instalen perfiles de configuración manualmente. Se necesita una contraseña de administrador para instalar la carga útil de la política de código del macOS. Algunas políticas de código pueden requerir que el código tenga una determinada composición, longitud u otros atributos.