Configuración de Intune inscripción para dispositivos sin usuario corporativos de Apple

Intune permite la inscripción de dispositivos iOS/iPadOS con la ejecución de la herramienta Apple Configurator en un equipo Mac. Este procedimiento difiere de lo que se muestra en el proceso de inscripción de Apple Configurator porque solo inscribe dispositivos sin afinidad de usuario. La inscripción con Apple Configurator requiere que conecte mediante USB cada dispositivo iOS/iPadOS a un equipo Mac para configurar la inscripción corporativa.

Puede inscribir dispositivos en Intune como un dispositivo sin usuario con Apple Configurator mediante la inscripción directa. Este método no borra el dispositivo e inscribe el dispositivo a través de la configuración de iOS/iPadOS. Este método solo admite dispositivos sin afinidad de usuario.

En este artículo se describe cómo configurar la administración de dispositivos iOS/iPadOS e inscribir dispositivos sin usuario para su uso en el trabajo.

Certificados

Importante

La descarga del perfil acme no se admite en este momento y provocará un error. Descargue el perfil SCEP para todos los dispositivos solo hasta que corrijamos este problema y restauremos la compatibilidad.

La inscripción de Apple Configurator admite el protocolo Del entorno de administración automatizada de certificados (ACME). Cuando se inscriben nuevos dispositivos, el perfil de administración del dispositivo recibe un certificado ACME. El protocolo ACME proporciona una mejor protección que el protocolo SCEP contra la emisión de certificados no autorizados a través de sólidos mecanismos de validación y procesos automatizados, lo que ayuda a reducir los errores en la administración de certificados.

Los dispositivos que ya están inscritos no obtienen un certificado ACME a menos que se vuelvan a inscribir en Microsoft Intune. ACME se admite en dispositivos que ejecutan:

• iOS 16.0 o posterior

• iPadOS 16.1 o posterior

Requisitos previos

• Acceso físico a dispositivos iOS/iPadOS
• Configurar entidad de MDM
• Un certificado push MDM de Apple
• Números de serie del dispositivo (solo inscripción mediante el Asistente de configuración)
• Cables de conexión USB
• Equipo macOS con Apple Configurator 2.0

Creación de un perfil de Apple Configurator para los dispositivos

Un perfil de inscripción de dispositivo define la configuración que se aplica durante la inscripción. Esta configuración se aplica una sola vez. Siga estos pasos para crear un perfil de inscripción para inscribir dispositivos iOS/iPadOS con Apple Configurator.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Dispositivos.

3. Expanda Incorporación de dispositivos y, a continuación, seleccione Inscripción.

4. Seleccione la pestaña Apple .

5. En Métodos de inscripción masiva, seleccione Apple Configurator.

6. Vaya aCreación de perfiles>.

7. En Crear perfil de inscripción, en la pestaña Aspectos básicos , escriba un nombre y una descripción para el perfil. Los usuarios no ven estos detalles. Puede usar el nombre para crear un grupo dinámico en Microsoft Entra ID. Use el nombre de perfil para definir el parámetro enrollmentProfileName para asignar dispositivos con este perfil de inscripción. Para obtener más información sobre cómo crear un grupo dinámico con reglas, consulte Creación de una regla de pertenencia a grupos.

   

8. Seleccione Siguiente para ir a la página Configuración .

9. En Afinidad de usuario, elija si los dispositivos con este perfil deben inscribirse con o sin un usuario asignado.

   • Inscribir sin afinidad de usuario : elija esta opción para dispositivos no afiliados con un único usuario e inscríbase como dispositivo sin usuario. Use esta opción para dispositivos que realizan tareas sin tener acceso a datos de usuario local. Las aplicaciones que requieren la afiliación de un usuario no funcionarán, incluida la aplicación Portal de empresa cuando se usa para instalar aplicaciones de línea de negocio. Se requiere para la inscripción directa.

10. Elija Crear para guardar el perfil.

Crear un grupo de dispositivos

Puede crear grupos de dispositivos asignados o grupos de dispositivos dinámicos en Intune. Para más información sobre ambos grupos, consulte Agregar grupos para organizar usuarios y dispositivos.

Los grupos de dispositivos dinámicos están configurados para agregar y quitar dispositivos automáticamente en función de un conjunto de reglas y parámetros. Por ejemplo, puede agrupar dispositivos por nombre de perfil de inscripción.

Complete los pasos siguientes para crear un grupo de dispositivos Microsoft Entra dinámico para los dispositivos inscritos con un perfil de inscripción sin usuario y propiedad corporativa de Apple.

1. En el centro de administración, vaya a Grupos>Todos los grupos>Nuevo grupo.

2. Escriba los campos necesarios como se indica a continuación:

   • Tipo de grupo: seguridad
   • Nombre del grupo: escriba un nombre intuitivo (como Dispositivos de fábrica 1)
   • Tipo de pertenencia: dispositivo dinámico

3. Elija Agregar una consulta dinámica.

4. En la hoja Reglas de pertenencia dinámica, rellene los campos del modo siguiente:

   • Agregar regla de pertenencia dinámica: regla simple
   • Agregar dispositivos donde: enrollmentProfileName
   • En el cuadro central, elija Igual a.
   • En el último campo, escriba el nombre del perfil de inscripción que creó en Crear un perfil de Apple Configurator para dispositivos.

   Para obtener más información sobre las reglas de pertenencia dinámica, vea Reglas de pertenencia dinámica para grupos en Microsoft Entra ID.

5. Elija Agregar consulta>Crear.

Exportación del perfil como .mobileconfig a dispositivos iOS/iPadOS

1. En el centro de administración de Microsoft Intune, vaya a Dispositivos.

2. Expanda Incorporación de dispositivos y, a continuación, seleccione Inscripción.

3. Seleccione la pestaña Apple .

4. En Métodos de inscripción masiva, seleccione Apple Configurator.

5. Vaya a Perfiles. Elija un perfil para exportar.

   • Elija el perfil SCEP o ACME en función del sistema operativo.

6. Seleccione Exportar perfil.

7. Copie la dirección URL del perfil. Puede agregarla a Apple Configurator para definir el perfil de Intune usado por los dispositivos iOS/iPadOS.

8. En Inscripción directa, elija Descargar perfil y guarde el archivo. Un archivo de perfil de inscripción solo es válido durante dos semanas, momento en el que se debe volver a crear.

9. Transfiera el archivo a un equipo Mac en el que se ejecute Apple Configurator para poder transferir archivos directamente como un perfil de administración a dispositivos iOS/iPadOS.

10. Prepare el dispositivo con Apple Configurator mediante los pasos siguientes:

    1. En un equipo Mac, abra Apple Configurator 2.0.

    2. Conecte el dispositivo iOS/iPadOS al equipo Mac con un cable USB. Cierre Fotos, iTunes y otras aplicaciones que se abren en el dispositivo cuando se detecta el dispositivo.

    3. En Apple Configurator, elija el dispositivo iOS/iPadOS conectado y, después, elija el botón Agregar. Las opciones que se pueden agregar al dispositivo aparecen en la lista desplegable. Elija Perfiles.

       

    4. Use el selector de archivos para seleccionar el archivo .mobileconfig que ha exportado desde Intune y, después, elija Agregar. El perfil se agrega al dispositivo. Si el dispositivo es No supervisado, la instalación requiere la aceptación en el dispositivo.

11. Use los pasos siguientes para instalar el perfil en el dispositivo iOS/iPadOS. El dispositivo debe haber completado el Asistente de configuración y estar listo para usarse. Si la inscripción implica implementaciones de aplicaciones, el dispositivo debe tener un identificador de Apple configurado, porque la implementación de aplicaciones requieren que se disponga de un identificador de Apple con la sesión iniciada en App Store.

    1. Desbloquee el dispositivo iOS/iPadOS.
    2. En el cuadro de diálogo Instalar el perfil de Perfil de administración, elija Instalar.
    3. Proporcione el código de acceso del dispositivo o el identificador de Apple, si es necesario.
    4. Acepte la advertencia y elija Instalar.
    5. Acepte la advertencia remota y elija Confianza.
    6. Cuando el cuadro Perfil instalado confirme el perfil como Instalado, elija Listo.

12. En el dispositivo iOS/iPadOS, abra Configuración y vaya a General>Administración de dispositivos>Perfil de administración. Confirme que aparece la instalación del perfil y compruebe las restricciones de directiva de iOS/iPadOS y las aplicaciones instaladas. Las aplicaciones y las restricciones de directivas pueden tardar hasta 10 minutos en aparecer en el dispositivo.

13. Distribuya los dispositivos. Ahora el dispositivo iOS/iPadOS está inscrito en Intune y administrado.

Después de la inscripción

Actualizaciones de aplicaciones

La aplicación Microsoft Intune instala automáticamente las actualizaciones de aplicaciones disponibles para sí misma, Authenticator y Portal de empresa. Cuando una actualización está disponible, la aplicación Intune se cierra e instala la actualización. La aplicación debe cerrarse completamente para instalar la actualización.

Administrar dispositivos de forma remota

Las siguientes acciones remotas están disponibles para dispositivos Apple:

• Retirar
• Barrido
• Delete
• Bloqueo remoto
• Sincronizar
• Eliminación del código de acceso
• Revocación de licencias

Puede actuar en un dispositivo a la vez. Para obtener más información sobre dónde encontrar acciones remotas en Intune, consulte Quitar dispositivos mediante el borrado, retirada o anulación manual de la inscripción del dispositivo.

Solución de problemas y soporte técnico

Vaya a Solución de problemas y soporte técnico en el centro de administración de Microsoft Intune para:

• Consulta una lista de dispositivos iOS/iPadOS inscritos por un usuario.
• Habilite la solución de problemas de dispositivos Apple de la misma manera que puede solucionar problemas de otros dispositivos de usuario.

Limitaciones conocidas

El perfil ACME a veces puede no instalarse en iOS/iPadOS 16 o versiones posteriores aunque se trata de un sistema operativo correcto. Si esto sucede, use el perfil SCEP en su lugar. Siga los pasos de Exportación del perfil como .mobileconfig a dispositivos iOS/iPadOS para instalar el perfil SCEP en el dispositivo. Si no se puede instalar una vez, vuelva a intentarlo hasta que la instalación se realice correctamente.

Pasos siguientes

• Cree una directiva de configuración de aplicaciones MDM de iOS/iPadOS para restringir la configuración en dispositivos con usuarios específicos.
• Para obtener información sobre la inscripción de dispositivos macOS a través de la inscripción directa con Apple Configurator, consulte Usar la inscripción directa para dispositivos macOS.