Comparteix a través de

Configuración de la inscripción automatizada de dispositivos (ADE) para iOS/iPadOS

  • Article

Se aplica a iOS/iPadOS

Los dispositivos corporativos comprados a través de Apple Business Manager o Apple School Manager se pueden inscribir en Intune mediante la inscripción automatizada de dispositivos. Esta opción de inscripción aplica la configuración de su organización desde Apple Business Manager y Apple School Manager e inscribe los dispositivos sin necesidad de tocarlos. Los iPhones y iPad se pueden enviar directamente a empleados y estudiantes. Cuando encienden sus dispositivos, el Asistente para la configuración de Apple los guía a través de la configuración y la inscripción.

En este artículo se describe cómo preparar y configurar la inscripción automatizada de dispositivos en Microsoft Intune.

Introducción a las características

En la tabla siguiente se muestran las características y escenarios admitidos con la inscripción automatizada de dispositivos.

Característica Usar esta opción de inscripción cuando
Quiere el modo de supervisión. ✔️

El modo supervisado implementa las actualizaciones de software, restringe características, permite y bloquea aplicaciones, etc.
Los dispositivos pertenecen a la organización o centro educativo. ✔️
Tiene dispositivos nuevos. ✔️
Necesita inscribir un pequeño número de dispositivos, o bien un gran número de dispositivos (inscripción masiva). ✔️
Los dispositivos están asociados a un único usuario. ✔️
Los dispositivos son sin usuario, como pantalla completa o un dispositivo dedicado. ✔️
Los dispositivos están en modo de dispositivo compartido. ✔️
Los dispositivos son personales o traen su propio (BYOD).

No se recomienda. Las aplicaciones en BYOD o dispositivos personales se pueden administrar mediante MAM o la inscripción de usuarios y dispositivos.
Los dispositivos los administra otra solución de MDM.

Si desea administrar completamente un dispositivo en Intune, los usuarios deben anular la inscripción del proveedor de MDM actual y, a continuación, inscribirse en Intune. O bien, puede usar MAM para administrar aplicaciones específicas en el dispositivo. Dado que estos dispositivos son propiedad de la organización, se recomienda inscribirlos en Intune.
Usa la cuenta del administrador de inscripción de dispositivos (DEM).

No se puede usar la cuenta DEM.

Certificados

Este tipo de inscripción admite el protocolo del entorno de administración automatizada de certificados (ACME). Cuando se inscriben nuevos dispositivos, el perfil de administración de Intune recibe un certificado ACME. El protocolo ACME proporciona una mejor protección que el protocolo SCEP contra la emisión de certificados no autorizados a través de sólidos mecanismos de validación y procesos automatizados, lo que ayuda a reducir los errores en la administración de certificados.

Los dispositivos que ya están inscritos no obtienen un certificado ACME a menos que se vuelvan a inscribir en Microsoft Intune. ACME se admite en dispositivos que ejecutan:

  • iOS 16.0 o posterior

  • iPadOS 16.1 o posterior

Requisitos previos

Antes de crear el perfil de inscripción, debe tener:

Antes de empezar

Lea estos requisitos de inscripción y los procedimientos recomendados para prepararse para una instalación e implementación correctas.

Elección de un método de autenticación

Antes de crear el perfil de inscripción, decida cómo desea que los usuarios se autentiquen en sus dispositivos: mediante la aplicación Portal de empresa de Intune, el Asistente para la instalación (heredado) o el Asistente para la instalación con autenticación moderna. El uso de la aplicación Portal de empresa o el Asistente para la instalación con autenticación moderna se considera autenticación moderna y tiene características como la autenticación multifactor.

Intune también admite el registro Just-In-Time (registro JIT) para el Asistente de configuración con autenticación moderna, lo que elimina la necesidad de la aplicación de Portal de empresa para Microsoft Entra registro y cumplimiento. Para usar el registro JIT, debe crear una directiva de configuración de dispositivos antes de crear el perfil de inscripción de Apple y configurar el Asistente para la instalación con autenticación moderna.

El Asistente para la instalación con autenticación moderna se admite en dispositivos que ejecutan iOS/iPadOS 13.0 y versiones posteriores. Los dispositivos iOS/iPadOS más antiguos, dado este perfil, usarán en su lugar el Asistente para la instalación (heredado) para la autenticación.

Para obtener más información sobre las opciones de autenticación, consulte Métodos de autenticación para la inscripción automatizada de dispositivos.

¿Qué es el modo de supervisión?

El modo supervisado proporciona más control de administración sobre los dispositivos corporativos, por lo que puede hacer cosas como capturas de pantalla en bloque y restringir AirDrop.

Los dispositivos corporativos que ejecutan iOS/iPadOS 11+ e inscritos a través de la inscripción automatizada de dispositivos siempre deben estar en modo supervisado, lo que puede activar en el perfil de inscripción. Para obtener más información sobre el modo supervisado, consulte Activar el modo supervisado de iOS/iPadOS. Microsoft Intune omite la marca de is_supervised para dispositivos que ejecutan iOS/iPadOS 13.0 y versiones posteriores porque estos dispositivos se colocan automáticamente en modo supervisado en el momento de la inscripción.

Inscripción de dispositivos en modo de dispositivo compartido

Puede configurar la inscripción automatizada de dispositivos para dispositivos en modo de dispositivo compartido. El modo de dispositivo compartido es una característica de Microsoft Entra ID que permite a los trabajadores de primera línea compartir un único dispositivo durante todo el día, iniciando sesión y saliendo según sea necesario. Para obtener más información sobre cómo habilitar la inscripción de dispositivos en Microsoft Entra modo de dispositivo compartido, consulte Inscripción automatizada de dispositivos para el modo de dispositivo compartido.

Implementación de la aplicación Portal de empresa

Importante

No se recomienda usar la versión App Store de la aplicación de Portal de empresa porque no es compatible con la inscripción automatizada de dispositivos y no proporciona las actualizaciones automáticas y la disponibilidad, como hace la implementación.

La implementación de la aplicación Portal de empresa de Intune a través de Intune es la mejor manera de proporcionar la aplicación a los usuarios y la única manera de:

  • Asegúrese de que todos los dispositivos ADE, incluidos los ya inscritos, reciban la aplicación.
  • Habilite las actualizaciones automáticas de aplicaciones para la Portal de empresa en dispositivos ADE.

Implemente la aplicación como una aplicación de VPP necesaria con licencias de dispositivos. Para obtener información sobre cómo sincronizar, asignar y administrar una aplicación de VPP, consulte Asignación de una aplicación comprada por volumen.

Para habilitar las actualizaciones automáticas de aplicaciones para Portal de empresa, vaya a la configuración del token de aplicación en el Centro de administración y cambie Actualizaciones automáticas de la aplicación a . Consulte Carga de un token de ubicación de Apple VPP o Apple Business Manager para ver los pasos para acceder a la configuración del token. Si no habilita las actualizaciones automáticas, el usuario del dispositivo debe comprobarlas manualmente por su cuenta.

El almacenamiento provisional del dispositivo se usa para realizar la transición de un dispositivo sin afinidad de usuario a un dispositivo con afinidad de usuario. Para almacenar provisionalmente un dispositivo, configure la implementación de VPP como se describió anteriormente en esta sección. A continuación, configure e implemente una directiva de configuración de aplicaciones. Asegúrese de que la directiva solo tiene como destino esos dispositivos ADE sin afinidad de usuario.

Importante

Durante la inscripción inicial, Intune inserta automáticamente la configuración de la directiva de configuración de la aplicación para los dispositivos inscritos con el Asistente para la instalación con autenticación moderna, configurado en configurar la aplicación Portal de empresa para admitir dispositivos iOS e iPadOS inscritos con la inscripción automatizada de dispositivos, cuando la configuración del perfil de inscripción Se instala Portal de empresa se establece en sí. Esta configuración no debe implementarse manualmente para los usuarios porque provocará un conflicto con la configuración enviada durante la inscripción inicial. Si ambos están implementados, Intune solicitará incorrectamente a los usuarios del dispositivo que inicien sesión en el Portal de empresa y descarguen un perfil de administración que ya hayan instalado.

Límites

  • Máximo de perfiles de inscripción por token: 1000
  • Número máximo de dispositivos de inscripción de dispositivos automatizados por perfil: 200 000 (igual que el número máximo de dispositivos por token).
  • Número máximo de tokens de inscripción de dispositivos automatizados por cuenta de Intune: 2000
  • Número máximo de dispositivos de inscripción de dispositivos automatizados por token: 200 000
    • Se recomienda no superar los 200 000 dispositivos por token. De lo contrario, es posible que tenga problemas de sincronización. Si tiene más de 200 000 dispositivos, divídalos en varios tokens de ADE.
    • Apple Business Manager y Apple School Manager sincronizan aproximadamente 3000 dispositivos a Intune por minuto. Se recomienda mantener la sincronización manual de nuevo desde el centro de administración hasta que pase suficiente tiempo para que todos los dispositivos finalicen la sincronización (número total de dispositivos/3000 dispositivos por minuto).

Solución de problemas de inscripción

Si experimenta problemas de sincronización durante el proceso de inscripción, puede buscar opciones de resolución en el artículo Solución de problemas de inscripción de dispositivos iOS/iPadOS.

Obtención de un token de inscripción de dispositivos automatizados de Apple

Para poder inscribir dispositivos iOS/iPadOS con ADE, necesita un token de inscripción de dispositivos automatizado (archivo .p7m) de Apple. Este token permite Intune información de sincronización sobre los dispositivos ADE de su organización. También permite a Intune cargar perfiles de inscripción en Apple y asignar dispositivos a esos perfiles.

Use Apple Business Manager (ABM) o Apple School Manager (ASM) para crear un token y asignar dispositivos a Intune para la administración.

Nota:

Puede usar cualquiera de los portales de Apple para habilitar ADE. El resto de este artículo hace referencia a Apple Business Manager, pero los pasos son los mismos para Apple School Manager.

Paso 1: Descargar el certificado de clave pública de Intune

  1. En el centro de administración de Microsoft Intune, vaya aInscripción de dispositivos>.

  2. Seleccione la pestaña Apple .

  3. Seleccione Tokens del programa de inscripción>Agregar.

  4. En la pestaña Aspectos básicos:

    1. Seleccione Acepto conceder permiso a Microsoft para enviar información de usuario y dispositivo a Apple.

      Captura de pantalla en la que se muestra la pantalla Agregar el token del programa de inscripción.

    2. Seleccione Descargar la clave pública. En este paso se descarga y guarda el archivo de la clave de cifrado (.pem) localmente. El archivo .pem se usa para solicitar un certificado de relación de confianza en el portal de Apple Business Manager.

      Más adelante, en Paso 2: Vaya al portal de Apple Business Manager y cargue este archivo .pem en Apple Business Manager.

    3. Mantenga abierta la pestaña y la página del explorador web. Si cierra la pestaña:

      • El certificado que ha descargado se invalida.
      • Tendrá que repetir los pasos.
      • En la pestaña Revisar y crear, el botón Crear no está disponible y no se puede completar este procedimiento.

Paso 2: Ir al portal de Apple Business Manager

Use el portal de Apple Business Manager para crear y renovar el token de ADE (servidor MDM). Este token se agrega a Intune y se comunica entre Intune y Apple.

Nota:

En los pasos siguientes se describe lo que debe hacer en Apple Business Manager. Para obtener los pasos específicos, consulte la documentación de Apple. La Guía del usuario de Apple Business Manager (en el sitio web de Apple) puede ser útil.

Descarga del token de Apple

  1. En Apple Business Manager, inicie sesión con el id. de Apple de la empresa.

  2. En este portal, complete los pasos siguientes:

    • En la pantalla de configuración, se muestran todos los tokens. Agregue un servidor MDM y cargue el certificado de clave pública (el archivo .pem) que ha descargado de Intune en Paso 1: Descargar el certificado de clave pública de Intune (en este artículo).

      Use el nombre del servidor para identificar el servidor de administración de dispositivos móviles (MDM). No es el nombre ni la dirección URL del servicio Microsoft Intune.

    • Después de guardar el servidor MDM, selecciónelo y descargue el token (el archivo .p7m). Más adelante, en Paso 4: Cargar el token y finalizar, cargue el token .p7m en Intune.

Asignación de dispositivos al token de Apple (servidor MDM)

  1. En Apple Business Manager>Dispositivos, seleccione los dispositivos que quiera asignar a este token. Puede ordenarlos según varias propiedades de dispositivo, como el número de serie. También puede seleccionar varios dispositivos simultáneamente.
  2. Edite la administración de dispositivos y seleccione el servidor MDM que acaba de agregar. Este paso asigna los dispositivos al token.

Paso 3: Guardar el Id. de Apple

  1. En el explorador web, vuelva a la pestaña que tiene la página Microsoft Intune Agregar token del programa de inscripción, donde comenzó en Paso 1: Descargar el certificado de clave pública Intune.

  2. En Id. de Apple, escriba su identificador. Este paso guarda el identificador, que puede usarse para futuras referencias.

    Captura en la que se muestra el cuadro Id. de Apple en la pestaña Datos básicos.

Paso 4: Cargar el token y finalizar

  1. En Token de Apple, vaya al archivo de certificado .p7m y seleccione Abrir.

    Sugerencia

    Descargó el token en Paso 2: Ir al portal de Apple Business Manager.

  2. Seleccione Siguiente.

  3. En la pestaña Revisar y crear , seleccione Crear.

Con el certificado push, Intune puede inscribir y administrar dispositivos iOS/iPadOS mediante la inserción de directivas en los dispositivos móviles inscritos. Intune se sincroniza automáticamente con Apple para acceder a la cuenta del programa de inscripción.

Crear un perfil de inscripción de Apple

Ahora que ha instalado el token, puede crear un perfil de inscripción para la inscripción automatizada de dispositivos. Un perfil de inscripción de dispositivos define la configuración que se aplica a un grupo de dispositivos durante la inscripción. Hay un límite de 1000 perfiles de inscripción por token de inscripción.

Nota:

Se bloqueará la inscripción de los dispositivos si no hay suficientes licencias de Portal de empresa para un token de VPP o si el token expira. Intune le avisa cuando un token está a punto de expirar o las licencias se están agotando.

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.

  2. Seleccione la pestaña Apple .

  3. Elija Tokens del programa de inscripción.

  4. Elija un token y, a continuación, seleccione Perfiles.

  5. Seleccione Crear perfil>iOS/iPadOS.

  6. Para Datos básicos, asigne al perfil un Nombre y Descriptción con fines administrativos. Los usuarios no ven estos detalles.

  7. Seleccione Siguiente.

    Importante

    Si realiza cambios en un perfil de inscripción existente, la nueva configuración no surtirá efecto en los dispositivos asignados hasta que los dispositivos se restablezcan a la configuración de fábrica y se vuelvan a activar. La configuración de plantilla de nombre de dispositivo es la única configuración que puede cambiar y que no requiere que el restablecimiento de fábrica surta efecto. Los cambios en la plantilla de nomenclatura surten efecto en la siguiente protección.

  8. En la lista Afinidad de usuario, seleccione una opción que determine si los dispositivos con este perfil deben inscribirse con o sin un usuario asignado.

    • Inscribirse con afinidad de usuario: seleccione esta opción para los dispositivos que pertenecen a usuarios que desean usar la Portal de empresa para servicios como la instalación de aplicaciones.

    • Inscribir sin afinidad de usuario: seleccione esta opción para los dispositivos que no están afiliados a un solo usuario. Use esta opción para los dispositivos que no tengan acceso a los datos de usuario local. Esta opción suele utilizarse para dispositivos de pantalla completa, de punto de venta (POS) o de utilidades compartidas.

      En algunas situaciones, es posible que quiera asociar un usuario principal a dispositivos inscritos sin afinidad de usuario. Para realizar esta tarea, puede enviar la clave IntuneUDAUserlessDevice a la aplicación Portal de empresa en una directiva de configuración de aplicaciones para dispositivos administrados. El primer usuario que inicia sesión en la aplicación Portal de empresa se establece como el usuario primario. Si el primer usuario cierra sesión y un segundo usuario inicia sesión, aquel sigue siendo el usuario principal del dispositivo. Para obtener más información, vea Configuración de la aplicación Portal de empresa para admitir dispositivos iOS y iPadOS inscritos con Inscripción de dispositivo automatizada.

    • Inscribirse con Microsoft Entra ID modo compartido: seleccione esta opción para inscribir dispositivos que estarán en modo compartido.

  9. Si seleccionó Inscribir con afinidad de usuario para el campo Afinidad de usuario , tiene la opción de elegir el método de autenticación que deben usar los empleados. Para obtener más información sobre cada método de autenticación, consulte Métodos de autenticación para la inscripción automatizada de dispositivos.

    Captura de pantalla de las opciones del método de autenticación.

    Las opciones son:

    • Portal de empresa
    • Asistente de configuración (heredado)
    • Asistente para la instalación con autenticación moderna

  10. Si seleccionó asistente de instalación (heredado) para el método de autenticación, pero también quiere usar el acceso condicional o implementar aplicaciones de empresa en los dispositivos, debe instalar Portal de empresa en los dispositivos e iniciar sesión para completar el registro de Microsoft Entra. Para ello, seleccione para Instalar Portal de empresa. Si desea que los usuarios reciban Portal de empresa sin tener que autenticarse en el App Store, en Instalar Portal de empresa con VPP, seleccione un token de VPP. Asegúrese de que el token no expira y de que dispone de suficientes licencias de dispositivos para que la aplicación Portal de empresa se implemente correctamente.

  11. Si selecciona un token para Instalar Portal de empresa con VPP, puede bloquear el dispositivo en modo Una aplicación (en concreto, la aplicación Portal de empresa) inmediatamente después de que finalice el Asistente de configuración. Haga clic en en Ejecutar el Portal de empresa en modo de aplicación única hasta la autenticación para establecer esta opción. Para usar el dispositivo, el usuario debe autenticarse primero iniciando sesión en el Portal de empresa.

    Nota:

    No se admite la autenticación multifactor en un único dispositivo bloqueado en modo Una aplicación. Esta limitación existe porque el dispositivo no puede cambiar a otra aplicación para completar el segundo factor de autenticación. Si quiere usar la autenticación multifactor en un dispositivo en modo Una aplicación, el segundo factor debe estar en un dispositivo diferente.

    Esta característica solo es compatible con iOS/iPadOS 11.3.1 y versiones posteriores.

    Captura de pantalla en la que se muestra la opción para ejecutar Portal de empresa en modo Una aplicación.

  12. Si desea que los dispositivos que usan este perfil sean supervisados, seleccione en la lista Supervisado .

    Captura de pantalla en la que se muestra la opción Supervisado.

    Los dispositivos supervisados ofrecen más opciones de administración y, en este caso, el bloqueo de activación está deshabilitado de forma predeterminada. Microsoft recomienda usar ADE como mecanismo para habilitar el modo de supervisión, sobre todo si se implementa un gran número de dispositivos iOS/iPadOS. Los dispositivos iPad empresariales compartidos de Apple deben supervisarse.

    Se notifica a los usuarios que sus dispositivos están supervisados en la aplicación Configuración . En la aplicación de la parte superior de su pantalla, un mensaje estático indica que este iPhone está supervisado y administrado por <your organization>.

    Nota:

    Si un dispositivo se inscribe sin supervisión, debe usar Apple Configurator si quiere establecerlo como supervisado. Para restablecer el dispositivo de esta manera, debe conectarlo a un equipo Mac con un cable USB. Para obtener más información, vea Ayuda de Apple Configurator.

  13. En la lista Inscripción bloqueada, seleccione o No. La inscripción bloqueada deshabilita la configuración de iOS/iPadOS que permite quitar el perfil de administración. Si habilita la inscripción bloqueada, el botón de la aplicación Configuración que permite a los usuarios quitar un perfil de administración se ocultará y los usuarios no podrán anular la inscripción de su dispositivo. Si va a configurar dispositivos en Microsoft Entra ID modo compartido, seleccione .

    La inscripción bloqueada funciona de forma un poco diferente, al principio, en los dispositivos que no se compraron originalmente a través de Apple Business Manager, pero que posteriormente se agregaron para formar parte de la inscripción automatizada de dispositivos: los usuarios de estos dispositivos pueden ver el botón quitar administración en la aplicación Configuración durante los primeros 30 días después de activar su dispositivo. Después de ese período provisional, esta opción se oculta. Para obtener más información, consulte Preparación manual de dispositivos (abre los documentos de ayuda de Apple Configurator).

    Importante

    Esta configuración es diferente de las opciones de eliminación y restablecimiento de la aplicación Portal de empresa. Independientemente de cómo configure la inscripción bloqueada, las opciones Quitar dispositivo o Restablecimiento de fábrica de la aplicación Portal de empresa permanecen no disponibles en los dispositivos inscritos mediante la inscripción automatizada de dispositivos. Los usuarios tampoco podrán quitar el dispositivo en el sitio web de Portal de empresa. Para obtener más información sobre las acciones de autoservicio disponibles en los dispositivos inscritos, consulte Acciones de autoservicio.

  14. Si ha seleccionado Inscribir sin afinidad de usuario y Supervisado en los pasos anteriores, debe decidir si quiere configurar los dispositivos para que sean dispositivos iPad empresariales compartidos de Apple. Seleccione para iPad compartido para permitir que varios usuarios inicien sesión en un único dispositivo. Los usuarios se autentican mediante sus identificadores de Apple administrados y cuentas de autenticación federada o mediante una sesión temporal (como la cuenta de invitado). Esta opción requiere iOS/iPadOS 13.4 o una versión posterior. Con iPad compartido, se omiten automáticamente todos los paneles del asistente de configuración después de la activación.

    Nota:

    • Se requiere un borrado del dispositivo si se envía un perfil de inscripción de iOS/iPadOS con iPad compartido habilitado a un dispositivo no compatible. Entre los dispositivos no compatibles se incluyen los modelos de iPhone y los iPad que ejecutan iPadOS/iOS 13.3 y versiones anteriores. Los dispositivos compatibles incluyen iPad que ejecutan iPadOS 13.3 y versiones posteriores.
    • Para configurar un dispositivo como iPad empresarial compartido de Apple, establezca los siguientes valores:
      • En la lista Afinidad de usuario, seleccione Inscribir sin afinidad de usuario.
      • En la lista Supervisado, seleccione .
      • En la lista iPad compartido, seleccione .

    Si configura iPad compartido de Apple para dispositivos empresariales, también configurará:

    • Número máximo de usuarios almacenados en la caché: escriba el número de usuarios que espera que usen el iPad compartido. Puede almacenar en caché hasta 24 usuarios en un dispositivo de 32 o 64 GB. Si elige un número bajo, es posible que los datos del usuario tarden un tiempo en llegar al dispositivo después del inicio de sesión. Si elige un número alto, los usuarios podrían quedarse sin espacio en disco.

    • Máximo de segundos después del bloqueo de pantalla antes de que se requiera la contraseña: escriba la cantidad de tiempo en segundos. Los valores aceptados son: 0, 60, 300, 900, 3600 y 14400. Si el bloqueo de pantalla supera esta cantidad de tiempo, se requiere una contraseña del dispositivo para desbloquear el dispositivo. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 13.0 y versiones posteriores.

    • Número máximo de segundos de inactividad hasta que se cierre la sesión de usuario: El valor mínimo permitido para esta configuración es 30. Si no hay ninguna actividad después del período definido, la sesión de usuario finaliza y cierra la sesión del usuario. Si deja la entrada en blanco o la establece en cero (0), la sesión nunca finalizará debido a la inactividad. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

    • Requerir solo la sesión temporal de iPad compartido: Configura el dispositivo para que los usuarios solo puedan ver la versión de invitado de la experiencia de inicio de sesión y tengan que iniciar sesión como invitados. No pueden iniciar sesión con un Id. de Apple administrado. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

      Cuando se establece en , esta configuración cancela la siguiente configuración de iPad compartida, ya que no son aplicables en sesiones temporales:

      • Número máximo de usuarios almacenados en caché
      • Número máximo de segundos tras bloqueo de pantalla antes de solicitar la contraseña
      • Número máximo de segundos de inactividad hasta que la sesión de usuario se cierra

    • Número máximo de segundos de inactividad hasta que se cierre la sesión temporal: El valor mínimo permitido para esta configuración es 30. Si no hay ninguna actividad después del período definido, la sesión temporal finaliza y cierra la sesión del usuario. Si deja la entrada en blanco o la establece en cero (0), la sesión nunca finalizará debido a la inactividad. Disponible para dispositivos en modo iPad compartido que ejecuten iPadOS 14.5 y versiones posteriores.

      Esta configuración está disponible cuando Requerir solo sesión temporal de iPad compartido se establece en .

    Nota:

    • Si las sesiones temporales están habilitadas, todos los datos del usuario se eliminan al cerrar sesión. Esto significa que todas las directivas y aplicaciones dirigidas llegarán al usuario cuando inicien sesión y se borrarán cuando cierre sesión.
    • Para modificar o cambiar una configuración de iPads compartidos con el fin de que no tengan sesiones temporales, será necesario que el dispositivo se restablezca completamente y tendrá que enviarse al iPad un nuevo perfil de inscripción con las configuraciones actualizadas.

  15. En la lista Sincronizar con equipos, seleccione una opción para los dispositivos que usan este perfil. Si selecciona Permitir Apple Configurator mediante certificado, debe seleccionar un certificado en Certificados de Apple Configurator.

    Nota:

    Si establece Sincronizar con equipos en Denegar todo, el puerto estará limitado en dispositivos iOS y iPadOS. El puerto solo se podrá usar para la carga. No se permitirá que use iTunes o Apple Configurator 2.

    Si establece Sincronizar con equipos en Permitir Apple Configurator mediante certificado, asegúrese de tener una copia local del certificado que pueda usar más adelante. No es posible realizar cambios en la copia cargada y es importante conservar una copia de este certificado. Si desea conectarse al dispositivo iOS/iPadOS desde un dispositivo Mac, el mismo certificado debe instalarse en el dispositivo que realiza la conexión al dispositivo iOS/iPadOS.

  16. Si ha seleccionado Permitir Apple Configurator mediante certificado en el paso anterior, elija un certificado de Apple Configurator para importarlo. El límite es de 10 certificados.

  17. Para la configuración final de Await, las opciones son:

    • : habilite una experiencia bloqueada al final del Asistente para la instalación para asegurarse de que las directivas de configuración de dispositivos más críticas están instaladas en el dispositivo. Justo antes de que se cargue la pantalla principal, el Asistente para la instalación se pausa y permite Intune proteger con el dispositivo. La experiencia del usuario final se bloquea mientras los usuarios esperan configuraciones finales.

      La cantidad de tiempo que los usuarios se mantienen en la pantalla awaiting final configuration varía y depende del número total de directivas y aplicaciones que aplique al dispositivo. Cuantos más directivas y aplicaciones se asignen al dispositivo, mayor será el tiempo de espera. El Asistente de configuración y Microsoft Intune no aplican un límite de tiempo mínimo o máximo durante esta parte de la instalación. Durante la validación del producto, la mayoría de los dispositivos que probamos se lanzaron y pudieron acceder a la pantalla principal en 15 minutos. Si habilita esta característica y usa a alguien fuera de Microsoft para ayudarle a aprovisionar dispositivos, informe sobre la posibilidad de aumentar el tiempo de aprovisionamiento.

      Nota:

      Solo las directivas de configuración de dispositivos comienzan a instalarse durante la pantalla de configuración final en espera y las aplicaciones no se incluyen en esta.

      La experiencia bloqueada funciona en dispositivos destinados a perfiles de inscripción nuevos y existentes. Los dispositivos compatibles incluyen:

      • Dispositivos iOS/iPadOS 13+ que se inscriben con el Asistente para la instalación con autenticación moderna
      • Dispositivos iOS/iPadOS 13+ que se inscriben sin afinidad de usuario
      • Dispositivos iOS/iPadOS 13+ que se inscriben con Microsoft Entra ID modo compartido

      Esta configuración se aplica una vez durante la experiencia de inscripción de dispositivos automatizada de fábrica en el Asistente para la instalación. El usuario del dispositivo no vuelve a experimentarlo a menos que vuelva a inscribir su dispositivo. es la configuración predeterminada para los nuevos perfiles de inscripción.

    • No: el dispositivo se libera en la pantalla principal cuando finaliza el Asistente para la instalación, independientemente del estado de instalación de la directiva. Es posible que los usuarios del dispositivo puedan acceder a la pantalla principal o cambiar la configuración del dispositivo antes de instalar todas las directivas. No es la configuración predeterminada para los perfiles de inscripción existentes.

    La configuración await no está disponible en los perfiles con esta combinación de configuraciones:

    • Afinidad de usuario: inscribirse sin afinidad de usuario (paso 6 de esta sección)
    • IPad compartido: (paso 12 de esta sección)

  18. Opcionalmente, cree una plantilla de nombre de dispositivo para identificar rápidamente los dispositivos asignados a este perfil en el centro de administración. Intune usa la plantilla para crear y dar formato a los nombres de dispositivo. Los nombres se proporcionan a los dispositivos cuando se inscriben y en cada registro sucesivo. Para crear una plantilla:

  19. En Aplicar plantilla de nombre de dispositivo, seleccione .

  20. En el cuadro Plantilla de nombre de dispositivo, escriba la plantilla que desea usar para construir nombres de dispositivo. La plantilla puede incluir el tipo de dispositivo y el número de serie. No puede contener más de 63 caracteres, incluidas las variables. Ejemplo: {{DEVICETYPE}}-{{SERIAL}}

  21. Puede activar un plan de datos móviles. Este ajuste se aplica a los dispositivos con iOS/iPadOS 13.0 y posteriores. La configuración de esta opción envía un comando para activar los planes de datos móviles para los dispositivos móviles habilitados para eSim. El operador debe aprovisionar activaciones para los dispositivos antes de poder activar planes de datos con este comando. Para activar el plan de datos móviles, seleccione y escriba la dirección URL del servidor de activación del operador.

  22. Seleccione Siguiente.

  23. En la pestaña Asistente de configuración, configure las siguientes opciones de perfil:

    Opción de configuración Descripción
    Departamento Aparece cuando los usuarios pulsan Acerca de la configuración durante la activación.
    Teléfono del departamento Aparece cuando los usuarios pulsan el botón Necesito ayuda durante la activación.

    Puede ocultar las pantallas del Asistente para la instalación en el dispositivo durante la instalación del usuario. Para obtener una descripción de todas las pantallas, consulte La referencia de pantalla del Asistente para la instalación (en este artículo).

    • Si selecciona Ocultar, la pantalla no se mostrará durante la instalación. Después de configurar el dispositivo, el usuario seguirá teniendo la posibilidad de ir al menú Ajustes para configurar la característica.
    • Si selecciona Mostrar, la pantalla se muestra durante la instalación, pero solo si hay pasos que completar después de la restauración o después de la actualización de software. Los usuarios pueden omitir la pantalla sin realizar ninguna acción. Posteriormente podrán ir al menú Ajustes del dispositivo para configurar la característica.
    • Con iPad compartido, se omiten automáticamente todos los paneles del asistente de configuración después de la activación independientemente de la configuración.

  24. Seleccione Siguiente.

  25. Seleccione Crear para guardar el perfil.

Grupos dinámicos en Microsoft Entra ID

Puede usar el campo Nombre de inscripción para crear un grupo dinámico en Microsoft Entra ID. Para obtener más información, consulte Microsoft Entra grupos dinámicos.

Puede usar el nombre de perfil para definir el parámetro enrollmentProfileName para asignar dispositivos con este perfil de inscripción.

Antes de la configuración del dispositivo y para garantizar la entrega rápida a los dispositivos con afinidad de usuario, asegúrese de que el usuario que se inscribe es miembro de un grupo de usuarios de Microsoft Entra.

Si asigna grupos dinámicos a perfiles de inscripción, puede haber un retraso en la entrega de aplicaciones y directivas a los dispositivos después de la inscripción.

Referencia de pantalla del Asistente para la instalación

En la tabla siguiente se describen las pantallas del Asistente para la instalación que se muestran durante la inscripción automatizada de dispositivos para iOS/iPadOS. Puede mostrar u ocultar estas pantallas en los dispositivos compatibles durante la inscripción. Para obtener más información sobre cómo afecta cada pantalla del Asistente de configuración a la experiencia del usuario, consulte estos recursos de Apple:

Pantalla del Asistente de configuración Qué ocurre cuando está visible
Código de acceso Muestra el panel de bloqueo de contraseña y código de acceso a los usuarios y solicita a los usuarios un código de acceso. Siempre necesita un código de acceso para dispositivos no seguros a menos que el acceso se controle de alguna otra manera (por ejemplo, a través de una configuración de modo de pantalla completa que restrinja el dispositivo a una aplicación). Esta pantalla está disponible para iOS/iPadOS 7.0 y versiones posteriores, con algunas limitaciones. Para obtener más información, consulte Limitaciones en este artículo.
Servicios de ubicación Muestra el panel de configuración de los servicios de ubicación, donde los usuarios pueden habilitar los servicios de ubicación en su dispositivo. Para iOS/iPadOS 7.0 y posterior.
Restaurar Muestra el panel de configuración de datos y aplicaciones. En esta pantalla, los usuarios que configuran dispositivos pueden restaurar o transferir datos desde iCloud Backup. Para iOS/iPadOS 7.0 y posterior.
ID de Apple Muestra el panel de configuración de Id. de Apple, que ofrece a los usuarios la opción de iniciar sesión con su id. de Apple y usar iCloud. Para iOS/iPadOS 7.0 y posterior.
Términos y condiciones Muestra el panel Términos y condiciones de Apple y requiere que los usuarios los acepten. Para iOS/iPadOS 7.0 y posterior.
Touch ID y Face ID Muestra el panel de configuración biométrica, que ofrece a los usuarios la opción de configurar la huella digital o la identificación facial en sus dispositivos. Para iOS/iPadOS 8.1 y versiones posteriores, con algunas limitaciones. Para obtener más información, consulte Limitaciones en este artículo.
Apple Pay Muestra el panel de configuración de Apple Pay, que ofrece a los usuarios la opción de configurar Apple Pay en sus dispositivos. Para iOS/iPadOS 7.0 y posterior.
Zoom Muestra el panel de configuración de zoom, que ofrece a los usuarios la opción de configurar los valores de zoom. Para iOS/iPadOS 8.3 y versiones posteriores, y en desuso en iOS/iPadOS 17.
Siri Muestra el panel de configuración de Siri a los usuarios. Para iOS/iPadOS 7.0 y posterior.
Datos de diagnóstico Muestra el panel de diagnóstico donde los usuarios pueden participar para enviar datos de diagnóstico a Apple. Para iOS/iPadOS 7.0 y posterior.
Display Tone Muestra el panel de configuración del tono de visualización, donde los usuarios pueden configurar los valores de balance de blancos de la pantalla. Para iOS/iPadOS 9.3.2 y versiones posteriores, y está en desuso en iOS/iPadOS 15.
Privacidad Muestra el panel de configuración de privacidad al usuario. Para iOS/iPadOS 11.3 y versiones posteriores.
Migración de Android Muestra un panel de configuración destinado a usuarios anteriores de Android. En esta pantalla, los usuarios pueden migrar datos desde un dispositivo Android. Para iOS/iPadOS 9.0 y posterior.
iMessage y FaceTime Muestra el panel de configuración de iMessage y FaceTime. Para iOS/iPadOS 9.0 y posterior.
Incorporación Muestra las pantallas informativas de incorporación para la educación de los usuarios, como la hoja de portada y la multitarea y el Centro de control. Para iOS/iPadOS 11.0 y posterior.
Tiempo de pantalla Muestra la pantalla Tiempo de pantalla. Para iOS/iPadOS 12.0 y posterior.
Configuración SIM Muestra el panel de configuración de telefonía móvil, donde los usuarios pueden agregar un plan de telefonía móvil. Para iOS/iPadOS 12.0 y posterior.
Actualización de sotware Muestra la pantalla de actualización de software obligatoria. Para iOS/iPadOS 12.0 y posterior.
Migración de Watch Muestra el panel de migración Apple Watch, donde los usuarios pueden migrar datos desde un Apple Watch. Para iOS/iPadOS 11.0 y posterior.
Apariencia Muestra el panel de configuración de apariencia. Para iOS/iPadOS 13.0 y posterior.
Dispositivo para mirar dispositivo Muestra el panel de migración de dispositivo a dispositivo. En esta pantalla, los usuarios pueden transferir datos de un dispositivo antiguo a su dispositivo actual. La opción para transferir datos directamente desde un dispositivo no está disponible para dispositivos que ejecutan iOS 13 o posterior.
Restauración completada Muestra a los usuarios la pantalla Restauración completada después de realizar una copia de seguridad y restauración durante el Asistente de configuración.
Actualización de software completada Muestra a los usuarios todas las actualizaciones de software que se producen durante el Asistente para la instalación.
Introducción Muestra a los usuarios la pantalla de bienvenida Introducción.
Términos de dirección Muestra los términos del panel de direcciones, que ofrece a los usuarios la opción de elegir cómo quieren abordarse en todo el sistema: femenino, masculino o neutro. Esta característica de Apple está disponible para algunos idiomas. Para obtener más información, consulte Características y mejoras clave (abre el sitio web de Apple). Para iOS/iPadOS 16.0 y versiones posteriores.
SOS de emergencia Muestra el panel de configuración de seguridad. Para iOS/iPadOS 16.0 y versiones posteriores.
Botón Acción Muestra el panel de configuración del botón de acción. Para iOS/iPadOS 17.0 y versiones posteriores.
Intelligence Muestra el panel de configuración de Apple Intelligence, donde los usuarios pueden configurar las características de Apple Intelligence. Para iOS/iPadOS 18.0 y versiones posteriores.

Sincronizar dispositivos administrados

Ahora que Intune tiene permiso para administrar los dispositivos, puede sincronizar Intune con Apple para ver los dispositivos administrados en Intune en Azure Portal.

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.

  2. Seleccione la pestaña Apple .

  3. Elija Tokens del programa de inscripción.

  4. Seleccione un token en la lista y, a continuación, seleccione Sincronización de dispositivos>.

    Captura de pantalla en la que se muestra cómo sincronizar dispositivos iOS y iPadOS con un token del programa de inscripción.

    Para cumplir con los términos de Apple relativos a un tráfico del programa de inscripción aceptable, Intune impone las restricciones siguientes:

    • Una sincronización completa no se puede ejecutar más de una vez cada siete días. Durante una sincronización completa, Intune captura la lista actualizada completa de números de serie asignados al servidor MDM de Apple conectado a Intune.

      Importante

      Si se elimina un dispositivo de Intune, pero permanece asignado al token de inscripción de ADE en el portal de ASM/ABM, volverá a aparecer en Intune en la siguiente sincronización completa. Si no quiere que el dispositivo vuelva a aparecer en Intune, anule la asignación del servidor MDM de Apple en el portal de ABM/ASM.

    • Si se libera un dispositivo de ABM/ASM, la eliminación automática de la página de dispositivos en Intune puede tardar hasta 45 días en realizarse. Puede eliminar manualmente los dispositivos de Intune uno por uno, si lo necesita. Los dispositivos liberados se notifican con precisión como eliminados de ABM/ASM en Intune hasta que se eliminan automáticamente en un plazo de entre 30 y 45 días.
    • Se ejecuta una sincronización automáticamente cada 12 horas. También puede desencadenar una sincronización diferencial haciendo clic en el botón Sincronizar (no más de una vez cada 15 minutos). Todas las solicitudes de sincronización tienen 15 minutos para finalizar. El botón Sincronizar se vuelve inactivo hasta que se realiza la sincronización. La sincronización actualiza el estado del dispositivo existente e importa nuevos dispositivos asignados al servidor MDM de Apple. Si se produce un error en una sincronización diferencial por cualquier motivo, la siguiente sincronización es una sincronización completa y podría resolver cualquier problema.

Asignar un perfil de inscripción a los dispositivos

Antes de que los dispositivos se puedan inscribir, debe asignarles un perfil de inscripción.

Nota:

También puede asignar números de serie a perfiles en el panel de números de serie de Apple.

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.
  2. Seleccione la pestaña Apple .
  3. Elija Tokens de programa de inscripción.
  4. Seleccione un token de inscripción.
  5. Seleccione Dispositivos.
  6. Seleccione todos los dispositivos que desea asignar y, a continuación, seleccione Asignar perfil.
  7. En Asignar perfil, elija el perfil de inscripción de dispositivos automatizado que creó para los dispositivos y, a continuación, seleccione Asignar.

Asignación de un perfil predeterminado

Puede elegir un perfil predeterminado para aplicarlo a todos los dispositivos inscritos con un token específico.

  1. En el centro de administración, vuelva a Tokens del programa de inscripción.
  2. Seleccione un token de inscripción.
  3. Seleccione Establecer perfil predeterminado.
  4. Seleccione un perfil en la lista y, a continuación, seleccione Guardar. Desde aquí, Intune aplica el perfil a todos los dispositivos que se inscriben con el token de inscripción seleccionado.

Nota:

Asegúrese de que Restricciones de tipo de dispositivo en Restricciones de inscripción no tiene la directiva predeterminada Todos los usuarios establecida para bloquear la plataforma iOS/iPadOS. Esta configuración provocará un error en la inscripción automatizada y el dispositivo se mostrará como Perfil no válido, independientemente de la atestación del usuario. Para permitir la inscripción solo por dispositivos administrados por la empresa, bloquee solo los dispositivos de propiedad personal, lo que permitirá que los dispositivos corporativos se inscriban. Microsoft define un dispositivo corporativo como un dispositivo inscrito a través de un Programa de inscripción de dispositivos o un dispositivo que se especifica manualmente en Identificadores de dispositivo corporativos.

Distribución de los dispositivos

Ha habilitado la administración y sincronización entre Apple e Intune, y ha asignado un perfil para permitir que los dispositivos ADE se puedan inscribir. Ya tiene todo listo para distribuir los dispositivos a los usuarios. Algunos puntos que tener en cuenta:

  • Para usar dispositivos inscritos con afinidad de usuario, los usuarios deben tener asignada una licencia de Intune.

  • Los dispositivos inscritos sin afinidad de usuario no suelen tener usuarios asociados. Por lo tanto, estos dispositivos deben tener una licencia de dispositivo de Intune. Si un usuario con licencia de Intune usa un dispositivo sin afinidad de usuario, no se necesita una licencia de dispositivo.

    En resumen, si un dispositivo tiene un usuario, dicho usuario debe tener una licencia de Intune asignada. Si el dispositivo no tiene un usuario con licencia de Intune, el dispositivo debe tener una licencia de dispositivo de Intune.

    Para obtener más información sobre las licencias de Intune, vea Licencias de Microsoft Intune y la guía de planificación de Intune.

  • Es necesario borrar un dispositivo que ya está activado para poder inscribirse correctamente con la inscripción automatizada de dispositivos. Después de borrarlo, pero antes de volver a activarlo, puede aplicar el perfil de inscripción. Consulte Configuración de un dispositivo iPhone, iPad o iPod touch.

  • Al realizar la inscripción con ADE y la afinidad de usuario, se puede producir el siguiente error durante la instalación:

    The SCEP server returned an invalid response.

    Para resolver este error, pruebe a descargar la administración de nuevo en 15 minutos. Después de 15 minutos, debe restablecer de fábrica el dispositivo para resolver el error. Este error se produce debido a un límite de tiempo de 15 minutos en los certificados SCEP, que se aplica por seguridad.

Para obtener información sobre la experiencia del usuario final, vea el artículo Inscripción de dispositivos iOS proporcionados por la organización en la administración.

Volver a inscribir un dispositivo

Complete estos pasos para volver a inscribir un dispositivo que ya ha pasado por la inscripción automatizada de dispositivos.

  1. Hay dos opciones para restablecer el dispositivo:
    • Borre el dispositivo en el centro de administración de Microsoft Intune.
    • Retire el dispositivo en el Centro de administración y, a continuación, restablezca el dispositivo a la configuración de fábrica mediante la aplicación Configuración, Apple Configurator 2 o iTunes.
  2. Encienda el dispositivo y siga los pasos en pantalla del Asistente para la instalación para recuperar el perfil de administración remota.

Renovación de un token de inscripción de dispositivo automatizada

Es importante renovar el token del programa de inscripción cada año. El centro de administración de Intune muestra la fecha de expiración.

  • Si cambia la contraseña del id. de Apple para el usuario que ha configurado el token en Apple Business Manager, renueve el token del programa de inscripción en Intune y Apple Business Manager.
  • Si el usuario que ha configurado el token en Apple Business Manager deja la organización, renueve el token del programa de inscripción en Intune y Apple Business Manager.
  • Al cambiar el identificador de Apple usado para crear el token de ADE, el cambio no afecta a los dispositivos inscritos actualmente con ese token, hasta que se vuelvan a inscribir. Este comportamiento es distinto del certificado de Apple Push Notification Service (APNS) usado para el inquilino. El certificado APNS se puede cambiar con la ayuda del soporte técnico de Apple. De lo contrario, para realizar cambios, todos los dispositivos deben volver a inscribirse.

Renovación de los tokens

  1. Vaya a business.apple.com e inicie sesión con una cuenta que tenga un rol de administrador o administrador de inscripción de dispositivos.

  2. Seleccione Configuración. En Servidores MDM, seleccione el servidor MDM asociado con el archivo de token que quiere renovar. Seleccione Descargar token.

    Captura de pantalla en la que se muestra cómo renovar y descargar un token de Apple en Apple Business Manager.

  3. Seleccione Descargar token de servidor.

    Nota:

    Como se indica en el mensaje, no seleccione Descargar token de servidor si no quiere renovar el token. Si lo hace, se invalidará el token que usa Intune (o cualquier otra solución MDM). Si ya ha descargado el token, asegúrese de continuar con los pasos siguientes hasta que se renueve.

  4. Después de descargar el token, vaya a Microsoft Intune centro de administración.

  5. Seleccione Inscripción de dispositivos>.

  6. Elija Tokens de programa de inscripción.

  7. Seleccione el token.

  8. Seleccione Renovar el token. Escriba el id. de Apple usado para crear el token original (si aún no está rellenado):

    Captura de pantalla en la que se muestra la página de renovación del token.

  9. Cargue el token recién descargado.

  10. Seleccione Siguiente para ir a la página Etiquetas de ámbito. Asigne etiquetas de ámbito si quiere.

  11. Seleccione Renovar el token. Espere a que se confirme que se ha realizado la renovación del token.

    Captura de pantalla en la que se muestra el mensaje de confirmación.

Eliminación de un token de inscripción de dispositivo automatizada de Intune

Puede eliminar un token de perfil de inscripción de Intune siempre y cuando:

  • No haya dispositivos asignados al token.
  • No haya dispositivos asignados al perfil predeterminado.
  • No hay ningún perfil de inscripción en ese token.

Para crear un token de perfil de inscripción:

  1. En Microsoft Intune centro de administración, vaya aInscripción de dispositivos>.
  2. Seleccione la pestaña Apple .
  3. Elegir tokens del programa de inscripción
  4. Seleccione el token y, después, seleccione Dispositivos.
  5. Elimine todos los dispositivos asignados al token.
  6. Vuelva a tokens del programa de inscripción. Seleccione el token y, después, seleccione Perfiles.
  7. Si hay un perfil predeterminado o cualquier otro perfil de inscripción, todos deben eliminarse.
  8. Vuelva a tokens del programa de inscripción. Seleccione el token y, después, seleccione Eliminar.

Limitaciones

Estas pantallas del Asistente para la instalación no funcionan correctamente en dispositivos que ejecutan iOS/iPadOS 14.5 y versiones posteriores:

  • Código de acceso
  • Touch ID y Face ID

Oculta ambas pantallas en dispositivos que ejecutan iOS/iPadOS 14.5 y versiones posteriores. Si desea requerir códigos de acceso en esos dispositivos, cree una directiva de configuración de dispositivos o una directiva de cumplimiento con los requisitos de código de acceso. Una vez que el usuario se inscribe y recibe la directiva, se iniciará el requisito de código de acceso.

Pasos siguientes

Para obtener información general sobre los requisitos de los usuarios del dispositivo, consulte Tareas del usuario final de ADE.