Configuración de la inscripción de usuarios de Apple controlada por la cuenta
Configure la inscripción de usuarios de Apple controlada por la cuenta para dispositivos personales que se inscriban en Microsoft Intune. La inscripción de usuarios controlada por cuentas proporciona una experiencia de inscripción más rápida y fácil de usar que la inscripción de usuarios con Portal de empresa. El usuario del dispositivo inicia la inscripción iniciando sesión en su cuenta profesional en la aplicación Configuración. Una vez que el usuario aprueba la administración de dispositivos, se instala de forma silenciosa el perfil de inscripción y se aplican directivas de Intune. Intune usa el registro Just-In-Time y la aplicación Microsoft Authenticator para la autenticación con el fin de reducir el número de veces que los usuarios tienen que iniciar sesión durante la inscripción y al acceder a las aplicaciones de trabajo.
En este artículo se describe cómo configurar la inscripción de usuarios de Apple controlada por cuentas en Microsoft Intune. Realizará lo siguiente:
- Configure el registro JIT.
- Cree un perfil de inscripción.
- Preparar a los empleados y alumnos para la inscripción.
Requisitos previos
Microsoft Intune admite la inscripción de usuarios de Apple controlada por cuentas en dispositivos que ejecutan iOS/iPadOS versión 15 o posterior. Si asigna un perfil de inscripción de usuario controlado por cuenta a usuarios de dispositivos que ejecutan iOS/iPadOS 14.9 o versiones anteriores, Microsoft Intune los inscribirá automáticamente a través de la inscripción de usuarios con Portal de empresa.
Antes de comenzar la instalación, realice las siguientes tareas:
- Establecimiento de una entidad de administración de dispositivos móviles (MDM)
- Obtención del certificado push mdm de Apple
- Creación de identificadores de Apple administrados para usuarios de dispositivos (abre el sitio web de soporte técnico de Apple)
También debe configurar la detección de servicios para que Apple pueda acceder al servicio Intune y recuperar la información de inscripción. Para ello, configure y publique un archivo de recursos HTTP conocido en el mismo dominio en el que los empleados inician sesión. Apple recupera el archivo a través de una solicitud HTTP GET a “https://contoso.com/.well-known/com.apple.remotemanagement”
, con el dominio de su organización en lugar de contoso.com
. Publique el archivo en un dominio que pueda controlar las solicitudes HTTP GET.
Cree el archivo en formato JSON, con el tipo de contenido establecido en application/json
. Hemos proporcionado los siguientes ejemplos JSON que puede copiar y pegar en el archivo. Use el que se alinee con el entorno. Reemplace la variable YourAADTenantID en la dirección URL base por el identificador de inquilino Microsoft Entra de la organización.
entornos de Microsoft Intune:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune para entornos gubernamentales de EE. UU.:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune operado por 21 entornos de Vianet en China:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
El resto del ejemplo JSON se rellena con toda la información que necesita, entre las que se incluyen:
- Versión: la versión del servidor es
mdm-byod
. - BaseURL: esta dirección URL es la ubicación donde reside el servicio de Intune.
Procedimientos recomendados
Se recomiendan configuraciones adicionales para ayudar a mejorar la experiencia de inscripción de los usuarios del dispositivo. En esta sección se proporciona más información sobre cada recomendación.
Implementación de Portal de empresa aplicación web
Implemente la versión de la aplicación web del sitio web de Portal de empresa de Intune para que los usuarios tengan acceso rápido al estado del dispositivo, las acciones del dispositivo y la información de cumplimiento. La aplicación web aparece en la pantalla principal y funciona como un vínculo al sitio web de Portal de empresa. Sin la aplicación web, los usuarios de dispositivos todavía pueden acceder al sitio web de Portal de empresa, pero tienen que abrir el explorador y escribir la dirección en el campo de búsqueda. Para obtener más información sobre cómo agregar una aplicación web, vea Agregar aplicaciones web a Microsoft Intune.
Habilitación de la autenticación federada
La inscripción de usuarios de Apple requiere que cree y proporcione identificadores de Apple administrados para inscribir usuarios. Si habilita la autenticación federada, que consiste en vincular Apple Business Manager con Microsoft Entra ID, no es necesario crear y proporcionar identificadores de Apple únicos a cada usuario. En su lugar, un usuario del dispositivo puede iniciar sesión en sus aplicaciones con las mismas credenciales que usa para su cuenta profesional. Para obtener más información, consulte Introducción a la autenticación federada con Apple Business Manager en la Guía del usuario de Apple Business Manager.
Paso 1: Configurar el registro Just-In-Time y asignar Microsoft Authenticator
Configure el registro Just-In-Time y asigne Microsoft Authenticator como una aplicación necesaria. Para ver los pasos, consulte Configuración del registro JIT en Intune. Vuelva a este artículo cuando haya terminado para poder continuar con el paso siguiente.
Paso 2: Crear perfil de inscripción
Cree un perfil de inscripción para los dispositivos que se inscriben a través de la inscripción de usuarios controlada por cuentas. El perfil de inscripción desencadena la experiencia de inscripción del usuario del dispositivo y le permite iniciar la inscripción desde la aplicación Configuración.
- En el centro de administración de Microsoft Intune, vaya a Inscripción de dispositivos>.
- Seleccione la pestaña Apple .
- En Opciones de inscripción, elija Tipos de inscripción.
- Seleccione Crear perfil>iOS/iPadOS.
- En la página Aspectos básicos , escriba un nombre y una descripción para el perfil para que pueda distinguirlo de otros perfiles del centro de administración. Los usuarios del dispositivo no ven estos detalles.
- Seleccione Siguiente.
- En la página Configuración , en Tipo de inscripción, seleccione Inscripción de usuario controlada por la cuenta.
- Seleccione Siguiente.
- En la página Asignaciones , asigne el perfil a todos los usuarios o seleccione grupos específicos. Los grupos de dispositivos no se admiten en escenarios de inscripción de usuarios porque la inscripción de usuarios requiere identidades de usuario.
- Seleccione Siguiente.
- En la página Revisar y crear , revise las opciones y, a continuación, seleccione Crear para terminar de crear el perfil.
Paso 3: Preparar a los empleados para la inscripción
Para iniciar la inscripción de dispositivos en un dispositivo personal, el propietario del dispositivo debe ir a la aplicación Configuración e iniciar sesión con su cuenta profesional o educativa. Si intentan iniciar sesión en una aplicación con su cuenta profesional o educativa, la aplicación les avisa del requisito de inscripción y les indica cómo continuar.
En esta sección se describen los pasos de inscripción para los usuarios del dispositivo. Se recomienda usar esta información en la documentación de incorporación de dispositivos de la organización o para solucionar problemas y soporte técnico.
- Abra la aplicación Configuración en el dispositivo.
- Seleccione General.
- Seleccione VPN & Administración de dispositivos.
- Inicie sesión con su cuenta profesional o educativa, o con el id. de Apple que le ha proporcionado su organización.
- Seleccione Iniciar sesión en iCloud.
- Escriba la contraseña del nombre de usuario que se muestra en la pantalla. Luego, seleccione Continue (Continuar).
- Seleccione Permitir administración remota.
- Espere unos minutos mientras el dispositivo está configurado y el perfil de administración está instalado.
- Para confirmar que el dispositivo está listo para usarse para trabajar, vaya a VPN & Administración de dispositivos. Confirme que la cuenta profesional aparece en CUENTA ADMINISTRADA.
- Microsoft Authenticator es necesario para acceder a las aplicaciones de trabajo. Espere unos minutos después de la inscripción para que Authenticator se instale en el dispositivo. Aparece un mensaje de error si intenta iniciar sesión en una aplicación de trabajo sin Authenticator.
- Es posible que reciba más mensajes que le pidan su aprobación para instalar aplicaciones de trabajo. Seleccione Instalar para aprobar la instalación.
Prioridad de perfil
Intune aplica perfiles de inscripción en el orden en que los prioriza. Para cambiar el orden en el que se aplican:
- Volver a Tipos de inscripción para ver los perfiles.
- Arrastre y coloque los perfiles de la lista para reordenar su prioridad.
Si se produce un conflicto porque a un usuario se le asigna más de un perfil, Intune aplica el perfil con mayor prioridad.
Eliminación del dispositivo de la administración
El volumen y las claves criptográficas creadas para administrar los datos de trabajo en el dispositivo se borran cuando el dispositivo se anula la inscripción de Intune.
Problemas conocidos
En esta sección se describen los problemas conocidos actuales con la inscripción de usuarios de Apple controlada por la cuenta y Microsoft Intune.
Se produce un error en la inscripción debido a la aplicación de inicio de sesión único de inscripción
Si la aplicación Microsoft Authenticator está en el dispositivo antes de que comience la inscripción, se producirá un error en la inscripción cuando el usuario del dispositivo intente iniciar sesión con su cuenta profesional o educativa en la aplicación Configuración. El mensaje que reciben dice:
- Título: Error al iniciar sesión
- Descripción: la aplicación Enrollment SSO se ha instalado en el dispositivo.
Para solucionar este problema, el usuario del dispositivo debe desinstalar la aplicación Microsoft Authenticator y reiniciar la inscripción.
Pasos siguientes
Para obtener información general sobre las características de inscripción de usuarios de Apple admitidas y las acciones de administración en Microsoft Intune, consulte Información general sobre la inscripción de usuarios de Apple en Microsoft Intune.
Para obtener más información sobre la inscripción de usuarios de Apple, consulte Inscripción de usuarios y MDM en el sitio web de soporte técnico de Apple.
Para solucionar problemas, consulte Solución de problemas de errores de inscripción de dispositivos iOS/iPadOS en Microsoft Intune.
Para ver la configuración admitida en Intune perfiles de configuraciones de dispositivo, consulte: