Introducción a los perfiles de administración de dispositivos
Un servicio de administración de dispositivos permite a un administrador configurar dispositivos de forma remota y segura enviando configuraciones, perfiles y comandos al dispositivo, independientemente de si es propiedad de un usuario o de una organización. Las capacidades incluyen tareas como actualizar el software y la configuración del dispositivo, supervisar el cumplimiento de las políticas internas y borrar o bloquear dispositivos de forma remota. Los usuarios pueden inscribir sus propios dispositivos en un servicio de administración de dispositivos, y las organizaciones pueden inscribir automáticamente los dispositivos que sean de su propiedad mediante Apple School Manager o Apple Business Manager.
Si vas a usar un servicio de administración de dispositivos, debes conocer algunos conceptos. Consulta las siguientes secciones para entender cómo se usan los perfiles de inscripción y configuración, la supervisión y las cargas útiles en un servicio de administración de dispositivos.
Dispositivos Apple compatibles
Los siguientes dispositivos Apple tienen un marco integrado que admite la administración de dispositivos:
iPhone con iOS 4 o posterior
iPad con iOS 4.3 o posterior; o con iPadOS 13.1 o posterior
Computadoras Mac con OS X 10.7 o posterior
Apple TV con tvOS 9 o posterior
Apple Watch con watchOS 10 o posterior
Apple Vision Pro con visionOS 1.1 o posterior
Cómo se inscriben los dispositivos
La inscripción en un servicio de administración de dispositivos implica inscribir las identidades de los certificados de los clientes mediante protocolos como el Entorno de administración de certificados automatizado (ACME) o el Protocolo de inscripción de certificados simple (SCEP). Los dispositivos utilizan estos protocolos para crear certificados de identidad única para la autenticación en los servicios de una organización.
A menos que se automatice el proceso, los usuarios deciden si quieren inscribir su dispositivo, y pueden cancelar la inscripción en cualquier momento. Por lo tanto, debes plantearte la posibilidad de incentivar a los usuarios para que no cancelen la administración. Por ejemplo, puedes hacer que el servicio de administración de dispositivos proporcione automáticamente las credenciales necesarias para acceder a la red Wi-Fi, de modo que sea necesario inscribirse para usar dicha red. Cuando un usuario anula la inscripción en el servicio, su dispositivo intenta notificar al servicio de administración de dispositivos que este ya no puede administrarse.
En el caso de los dispositivos propiedad de la organización, puedes usar Apple School Manager o Apple Business Manager para inscribirlos automáticamente en el servicio de administración de dispositivos y supervisarlos de forma inalámbrica durante la configuración inicial; a este proceso se le conoce como inscripción de dispositivos automatizada.
Administración de dispositivos y protección del dispositivo en caso de robo
Cuando la protección del dispositivo en caso de robo está activada, si el usuario está en una ubicación no reconocida, el sistema operativo retrasa durante una hora las siguientes acciones:
Inscripción manual del dispositivo en un servicio de administración de dispositivos
Instalación manual de una configuración o un perfil de código
Configuración de una cuenta de Microsoft Exchange en la app Configuración o con un perfil o configuración
Perfiles de inscripción
Un perfil de inscripción es una de las dos formas principales en que los usuarios pueden inscribir un dispositivo en un servicio de administración de dispositivos (la otra forma es mediante la inscripción de usuarios o la inscripción de dispositivos basada en cuentas). Con este perfil, que contiene una carga útil, el servicio envía al dispositivo comandos y, si es necesario, perfiles de configuración adicionales. También puede consultar el dispositivo para obtener información, como su estado de Bloqueo de activación, el nivel de batería y su nombre.
Cuando un usuario elimina un perfil de inscripción, también se eliminan todos los perfiles de configuración, sus configuraciones y las apps administradas basadas en el perfil de inscripción. Sólo puede haber un perfil de inscripción en un dispositivo a la vez.
Una vez aprobado el perfil de inscripción, ya sea por parte del dispositivo o el usuario, los perfiles de configuración que contienen cargas se envían al dispositivo. Después, puedes distribuir, administrar y configurar inalámbricamente apps y libros adquiridos mediante Apple School Manager o Apple Business Manager. Los usuarios pueden instalar apps, o bien se puede hacer que se instalen de forma automática dependiendo del tipo de app, cómo se asignó y si el dispositivo está supervisado. Para obtener más información, consulta Acerca de la supervisión de dispositivos de Apple.
Perfiles de configuración
Un perfil de configuración es un archivo XML (con extensión .mobileconfig) que se compone de cargas útiles que cargan la configuración y la información de autorización a los dispositivos Apple. Los perfiles de configuración automatizan el establecimiento de configuraciones, cuentas, restricciones y credenciales. Un servicio de administración de dispositivos puede crear estos archivos, o bien puedes crearlos manualmente o con Apple Configurator para Mac. Para obtener más información sobre cómo usar Apple Configurator para Mac para crear e instalar perfiles de configuración en dispositivos iPhone, iPad y Apple TV, consulta Crear y editar perfiles de configuración en el Manual de uso de Apple Configurator para Mac.
Puesto que los perfiles de configuración se pueden encriptar y firmar, puedes limitar su uso a un dispositivo Apple determinado y, a excepción de los nombres de usuario y las contraseñas, impedir que alguien cambie la configuración. También puedes marcar un perfil de configuración como bloqueado para el dispositivo.
Si tu servicio de administración de dispositivos lo admite, puedes distribuir los perfiles de configuración como un archivo adjunto de correo, a través de un enlace en tu propia página web o mediante el portal de usuarios integrado del servicio. Cuando los usuarios abren el archivo adjunto de correo o descargan el perfil de configuración mediante un navegador web, se abre una ventana que les solicita iniciar la instalación del perfil.
Puedes proporcionar un perfil de configuración que puede cambiar la configuración de todo un dispositivo o de un solo usuario:
Perfiles de dispositivo: los perfiles de dispositivos se pueden enviar a dispositivos y grupos de dispositivos, y puedes aplicar la configuraciones de dispositivo a todo el dispositivo.
El iPhone, iPad, Apple TV, Apple Watch y Apple Vision Pro no pueden reconocer a más de un usuario, así que los perfiles de configuración creados para dispositivos Apple compatibles siempre son perfiles de dispositivo. Si bien los perfiles de iPadOS son perfiles de dispositivos, los dispositivos iPad configurados como iPad compartido son compatibles con perfiles basados tanto en el dispositivo como en el usuario.
Perfiles de usuario: los perfiles de usuario se pueden enviar a usuarios y (si el servicio de administración de dispositivos lo admite) a grupos de usuarios, y puedes aplicar las configuraciones de usuario sólo a los usuarios correspondientes. Puesto que las computadoras Mac pueden tener varios usuarios, las cargas útiles y las configuraciones de los perfiles de macOS pueden basarse en el dispositivo o en el usuario. La cuenta de usuario que se crea con Asistente de Configuración se considera administrada por el servicio de administración de dispositivos y puede recibir perfiles. En una Mac con macOS 11 o posterior, otra opción es que en su lugar se administre una cuenta de administrador creada durante la inscripción por el servicio de administración de dispositivos. En las implementaciones vinculadas a Active Directory, el usuario que tenga iniciada la sesión en la red en ese momento se convierte en usuario administrado.
La configuración de los dispositivos y de los usuarios varía en función de dónde residan: La configuración instalada a nivel de sistema reside en un canal de dispositivo. La configuración instalada para un usuario reside en un canal de usuario.
Para obtener más información sobre la instalación de perfiles y el modo hermético, consulta el artículo de soporte de Apple, Acerca del modo hermético.
Eliminar el perfil
La forma en que se eliminan los perfiles depende de cómo se instalaron. La siguiente secuencia indica cómo eliminar un perfil:
1. Puedes eliminar todos los perfiles borrando todos los datos del dispositivo.
2. Si el dispositivo está inscrito en un servicio de administración de dispositivos vinculado a Apple School Manager o Apple Business Manager, el administrador puede elegir si permite que el usuario elimine el perfil de inscripción o si sólo lo puede eliminar el servicio de administración de dispositivos.
3. Si el perfil lo instaló un servicio de administración de dispositivos, ese servicio puede eliminarlo o lo puede eliminar el usuario al anular la inscripción en el servicio (eliminando el perfil de configuración de inscripción).
4. Si el perfil se instaló con Apple Configurator, dicha instancia de supervisión de Apple Configurator puede eliminarlo.
5. Si el perfil se instaló con Apple Configurator o si tú lo instalaste manualmente en un dispositivo supervisado y el perfil tiene una carga útil de contraseña de eliminación, el usuario tendrá que ingresar la contraseña de eliminación para eliminarlo.
6. El usuario puede eliminar el resto de los perfiles.
Las cuentas instaladas mediante un perfil de configuración se pueden borrar eliminando el perfil. Para eliminar cuentas ActiveSync de Microsoft Exchange (incluidas las que se instalan utilizando un perfil de configuración), se envía un comando de limpieza remota de sólo cuenta de Microsoft Exchange Server.
Importante: si el usuario conoce el código del dispositivo, puede eliminar los perfiles de configuración instalados manualmente de los dispositivos iPhone y iPad que no estén supervisados, aunque la opción esté establecida como Nunca. Los usuarios de Mac también pueden hacerlo si conocen el nombre de usuario y la contraseña de un administrador. Para ello, pueden usar la herramienta de línea de comandos profiles, Configuración del Sistema (en macOS 13 o posterior) o Preferencias del Sistema (en macOS 12.0.1 o anterior). En una Mac con macOS 10.15 o posterior, al igual que en iOS y iPadOS, si un servicio de administración de dispositivos instala un perfil, ese servicio puede eliminarlo o el sistema operativo lo eliminará automáticamente al anular la inscripción en el servicio.
Requisitos de comunicación del servicio de administración de dispositivos
Es más probable que se pueda establecer correctamente comunicación entre el servicio de administración de dispositivos y los dispositivos Apple cuando:
El servicio de administración de dispositivos configura el dispositivo, lo prueba correctamente y se asegura de que funciona correctamente
El certificado de APN es válido y no ha vencido
El dispositivo está encendido
El dispositivo está actualmente inscrito en el servicio
La red a la que está conectado el dispositivo tiene acceso a Internet (para la comunicación APN)
La red a la que está conectada el dispositivo debe poder acceder a los servidores de Apple relacionados con el servicio
Para obtener más información, consulta el artículo de soporte de Apple Usar productos Apple en redes empresariales.
Nota: Apple no controla los servicios de administración de dispositivos de terceros. Los problemas adicionales, como una carga útil mal configurada, también pueden causar que falle la comunicación.