Compartir vía

Métodos de autenticación para la inscripción automatizada de dispositivos en Intune

  • Artículo

Se aplica a iOS/iPadOS

En este artículo se describen los métodos de autenticación disponibles para dispositivos iOS/iPadOS inscritos en Intune mediante la inscripción automatizada de dispositivos. Los métodos de autenticación disponibles incluyen:

  • Aplicación Portal de empresa de Intune
  • Asistente para la instalación con autenticación moderna
  • Registro Just-In-Time (JIT) para el Asistente para la instalación con autenticación moderna
  • Asistente de configuración (heredado)

Todos los métodos están disponibles para dispositivos corporativos con afinidad de usuario y comprados a través de Apple Business Manager o Apple School Manager.

Opción 1: Aplicación portal de empresa de Intune

Use la aplicación Portal de empresa de Intune como método de autenticación si desea:

  • Use la autenticación multifactor (MFA).
  • Pedir a los usuarios que cambien sus contraseñas cuando inician sesión por primera vez.
  • Pedir a los usuarios que restablezcan las contraseñas expiradas durante la inscripción.
  • Registre dispositivos en Microsoft Entra ID y use las características disponibles con Microsoft Entra ID, como el acceso condicional.
  • Instale automáticamente la aplicación Portal de empresa durante la inscripción. Si la compañía usa el Programa de Compras por Volumen de Apple (VPP), puede instalar automáticamente la aplicación Portal de empresa durante la inscripción sin necesidad de usar los ID de Apple de los usuarios.
  • Quiere bloquear el dispositivo hasta que se instale la aplicación Portal de empresa.

Precaución

Intune bloqueará una inscripción que use este método de autenticación si el usuario del dispositivo tiene como destino un tipo de perfil de inscripción de usuario de Apple controlado por la cuenta. Este comportamiento es normal. El usuario recibe un mensaje de error que indica que su cuenta no admite la inscripción a través de la aplicación Portal de empresa y que necesita inscribirse a través del sitio web del Portal de empresa. Para garantizar que las inscripciones se realicen correctamente a través de la inscripción automatizada de dispositivos, use la opción 2: Asistente para la instalación con la autenticación moderna como método de autenticación al trabajar con tipos de perfil de inscripción de usuario de Apple controlados por la cuenta.

Opción 2: Asistente para la instalación con autenticación moderna

Esta opción proporciona la misma seguridad que la autenticación del Portal de empresa de Intune, pero es diferente porque permite al usuario del dispositivo acceder a partes del dispositivo incluso si el Portal de empresa no se ha instalado. Use esta opción para la autenticación cuando desee:

  • Borre el dispositivo.
  • Use la autenticación multifactor (MFA).
  • Pedir a los usuarios que cambien sus contraseñas cuando inician sesión por primera vez.
  • Pedir a los usuarios que restablezcan las contraseñas expiradas durante la inscripción.
  • Registre dispositivos en Microsoft Entra ID y use las características disponibles con Microsoft Entra ID, como el acceso condicional.
  • Instale automáticamente la aplicación Portal de empresa durante la inscripción. Si la compañía usa el Programa de Compras por Volumen de Apple (VPP), puede instalar automáticamente la aplicación Portal de empresa durante la inscripción sin necesidad de usar los ID de Apple de los usuarios.
  • Permitir que los usuarios usen el dispositivo incluso cuando la aplicación Portal de empresa no esté instalada.

El Asistente para la instalación con autenticación moderna se admite en dispositivos que ejecutan iOS/iPadOS 13.0 y versiones posteriores. Los dispositivos iOS/iPadOS anteriores a los que se les asigna este tipo de perfil se revertirán en la autenticación del Asistente para la instalación (heredado ).

Instalación automática de la aplicación Portal de empresa

Si la compañía usa el Programa de Compras por Volumen de Apple (VPP), puede instalar automáticamente la aplicación Portal de empresa durante la inscripción sin necesidad de usar los ID de Apple de los usuarios. Para habilitar la instalación automática en el perfil de inscripción, seleccione en Instalar portal de empresa con VPP. Se recomienda usar esta opción.

Si no usa la opción VPP, el usuario del dispositivo debe escribir su identificador de Apple durante el Asistente para la instalación o cuando Intune intente instalar el Portal de empresa.

En ambos escenarios, la opción de instalación portal de empresa está oculta al usuario del dispositivo y el Portal de empresa se convierte en una aplicación necesaria en su dispositivo. Cuando el usuario llega a la pantalla principal, Intune aplica automáticamente la directiva de configuración de la aplicación correcta al dispositivo.

Precaución

No envíe una directiva de configuración de aplicaciones independiente al Portal de empresa para dispositivos iOS/iPadOS después de inscribirse con el Asistente para la configuración con autenticación moderna. Si lo hace, se producirá un error.

Autenticación multifactor

La autenticación multifactor (MFA) será necesaria si se aplica una directiva de acceso condicional que lo requiera en la inscripción o durante el inicio de sesión de Portal de empresa. Sin embargo, MFA es opcional, según la configuración de Microsoft Entra en la directiva de acceso condicional de destino.

Los métodos de autenticación externa se admiten en Microsoft Entra ID, lo que significa que puede usar la solución mfa preferida para facilitar mfa durante la inscripción de dispositivos. Si decide usar un proveedor de MFA de terceros, antes de implementar perfiles de inscripción en todos los dispositivos, realice una ejecución de prueba para asegurarse de que la pantalla Microsoft Entra MFA y MFA funcionan durante la inscripción. Para obtener más información y detalles de soporte técnico sobre los métodos de autenticación externa, consulte Versión preliminar pública: Métodos de autenticación externa en Microsoft Entra ID.

Acción del Portal de empresa necesaria

Después de pasar por las pantallas del Asistente de configuración, el usuario del dispositivo llega a la página principal. En este momento, se establece su afinidad de usuario. Sin embargo, hasta que el usuario inicie sesión en el Portal de empresa con sus credenciales de Microsoft Entra y seleccione Comenzar, el dispositivo:

  • No se registrará completamente con el id. de Microsoft Entra.
  • No se mostrará en la lista de dispositivos del usuario en Microsoft Entra ID.
  • No tendrá acceso a los recursos protegidos por el acceso condicional.
  • No se evaluará el cumplimiento del dispositivo.
  • Se redirigirá al Portal de empresa desde otras aplicaciones si el usuario intenta abrir cualquier aplicación administrada que esté protegida por el acceso condicional.

Opción 3: Registro Just-In-Time para el Asistente para la instalación con autenticación moderna

Esta opción es la misma que el Asistente para la instalación con autenticación moderna, excepto que portal de empresa no es necesario para el registro o el cumplimiento de Microsoft Entra. En su lugar, las comprobaciones de cumplimiento y registro de Microsoft Entra están totalmente integradas en una aplicación designada de Microsoft o que no es de Microsoft que está configurada con la extensión de aplicación de inicio de sesión único (SSO) de Apple. La extensión reduce las solicitudes de autenticación y establece el inicio de sesión único en todo el dispositivo. El registro JIT solicita a los usuarios que se autentiquen dos veces:

  • Una autenticación controla la inscripción y la afinidad usuario-dispositivo, y se produce cuando el usuario del dispositivo activa su dispositivo e inicia sesión en el Asistente para la instalación.
  • Otra autenticación controla el registro de Microsoft Entra y se produce cuando el usuario inicia sesión en la aplicación designada. Las comprobaciones de cumplimiento también se realizan en esta aplicación.

Nota:

Si su organización usa Microsoft Defender para punto de conexión, para que el registro JIT y la corrección de cumplimiento funcionen según lo previsto, asegúrese de que la aplicación Microsoft Defender para punto de conexión no sea la primera que abran los usuarios de la aplicación.

Una vez que el usuario del dispositivo llega a la pantalla principal, puede iniciar sesión en cualquier aplicación profesional o educativa configurada con la extensión SSO para completar las comprobaciones de cumplimiento y registro de Microsoft Entra. SSO inicia sesión al usuario en todas las aplicaciones que forman parte de la directiva de extensión de SSO. En ese momento, también pueden iniciar sesión manualmente en cualquier aplicación que no esté configurada para usar la extensión sso.

Para configurar el registro JIT con la inscripción automatizada de dispositivos:

  1. Cree una directiva de configuración de dispositivo y configure las opciones en la categoría Extensión de aplicación de inicio de sesión único . Para ver los pasos, consulte Configuración del registro Just-In-Time.

  2. Cree un perfil de inscripción de Apple y seleccione Asistente para la instalación con autenticación moderna como método de autenticación. Para completar este paso, debe haber un token de inscripción de dispositivos automatizado activo de Apple Business Manager o Apple School Manager en Intune.

  3. Cuando llegue a la página Asignaciones del perfil de inscripción, asigne el perfil a los dispositivos sincronizados desde Apple Business Manager y Apple School Manager. Después de asignar el perfil, los empleados y los alumnos pueden completar la configuración y la autenticación en sus dispositivos.

    Nota:

    El Portal de empresa se sigue enviando a los dispositivos como una aplicación necesaria, aunque no sea necesaria para el registro o el cumplimiento de Microsoft Entra. Los usuarios del dispositivo pueden usar la aplicación Portal de empresa para recopilar y cargar registros si experimentan problemas en la aplicación.

Ejemplo de autenticación correcta

En la siguiente secuencia de eventos se describe un ejemplo del aspecto de una autenticación correcta con jit registration for Setup Assistant con autenticación moderna. La experiencia de su organización puede ser diferente en función de las configuraciones de inscripción de dispositivos automatizadas.

  1. El usuario del dispositivo activa el dispositivo.

  2. Comienza el Asistente para la configuración. El usuario del dispositivo se autentica con sus credenciales de Microsoft Entra en el Asistente para la instalación.

  3. El usuario del dispositivo completa la autenticación multifactor si es necesario en la directiva de acceso condicional.

  4. El dispositivo termina de inscribirse en Intune y se establece la afinidad usuario-dispositivo.

  5. El usuario del dispositivo llega a la pantalla principal y abre Microsoft Teams u otra aplicación de Office e inicia sesión con su cuenta profesional. Si el dispositivo cumple todos los requisitos de cumplimiento, el usuario del dispositivo tendrá acceso a sus mensajes y calendario de inmediato.

    Nota:

    Durante el registro de Microsoft Entra, el usuario del dispositivo puede ver un número corto mientras Intune finaliza las comprobaciones de cumplimiento. Este es el comportamiento esperado.

  6. La extensión SSO establece el inicio de sesión único en todas las demás aplicaciones de destino y en todas las aplicaciones de Microsoft.

  7. El dispositivo está registrado con el identificador de Microsoft Entra y es compatible. Puede ver el estado del dispositivo en el centro de administración y el identificador de Microsoft Entra. El usuario del dispositivo puede ver el estado en el Portal de empresa de Intune y usar el Portal de empresa para el cumplimiento, el inventario de aplicaciones, las sincronizaciones de dispositivos y el uso compartido de registros.

  8. El usuario del dispositivo abre Teams y se inicia sesión automáticamente.

Opción 4: Asistente para la instalación (heredado)

Use el Asistente de configuración heredado si desea que los usuarios experimenten la experiencia típica y rápida de los productos de Apple. Esta opción instala la configuración preconfigurada estándar cuando el dispositivo se inscribe en Intune. Use esta opción para la autenticación cuando:

  • Quiere borrar un dispositivo.
  • No quiere características de autenticación modernas, como la autenticación multifactor.
  • No quiere registrar dispositivos en Microsoft Entra ID. El Asistente para la instalación (heredado) autentica al usuario con el token .p7m de Apple.

Si usa Servicios de federación de Active Directory (AD FS) y el Asistente de configuración para realizar la autenticación, se requiere un punto de conexión mixto de tipo WS-Trust 1.3. Para obtener más información, consulte Get-AdfsEndpoint en nuestra guía de referencia de Windows PowerShell.

Siguientes pasos

Ahora que sabe qué método de autenticación usa, cree un perfil de inscripción de Apple y seleccione el método de autenticación cuando se le solicite. Para completar este paso, debe haber un token de inscripción de dispositivos automatizado activo de Apple Business Manager o Apple School Manager en Intune.