Configuración de características del dispositivo macOS en Intune

  • Artículo

Nota:

Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para obtener más información, vaya al catálogo configuración.

Intune incluye la configuración integrada para personalizar las características en los dispositivos macOS. Por ejemplo, los administradores pueden agregar impresoras AirPrint, elegir cómo inician sesión los usuarios, configurar los controles de energía, usar la autenticación de inicio de sesión único, etc.

Use estas características para controlar dispositivos macOS como parte de la solución de administración de dispositivos móviles (MDM).

Esta característica se aplica a:

  • macOS

En este artículo se describe esta configuración. También se enumeran los pasos para obtener la dirección IP, la ruta de acceso y el puerto de las impresoras AirPrint mediante la aplicación Terminal (emulador). Para obtener más información sobre las características del dispositivo, vaya a Agregar configuración de características de dispositivos iOS/iPadOS o macOS.

Antes de empezar

Airprint

La configuración se aplica a: Todos los tipos de inscripción

  • Destinos de AirPrint: escriba una o más información de impresora AirPrint para que los usuarios puedan imprimir desde sus dispositivos:

    • Dirección IP: escriba la dirección IPv4 o IPv6 de la impresora. Por ejemplo, escriba 10.0.0.1. Si usa nombres de host para identificar impresoras, puede obtener la dirección IP haciendo ping a la impresora en la aplicación Terminal. Obtener la dirección IP y la ruta de acceso (en este artículo) tiene más detalles.
    • Ruta de acceso del recurso: escriba la ruta de acceso del recurso de la impresora. La ruta de acceso suele ipp/print ser para impresoras de la red. Obtener la dirección IP y la ruta de acceso (en este artículo) tiene más detalles.
    • Puerto (iOS 11.0+, iPadOS 13.0+): escriba el puerto de escucha del destino de AirPrint. Si deja esta propiedad en blanco, AirPrint usa el puerto predeterminado.
    • Forzar TLS (iOS 11.0+, iPadOS 13.0+): sus opciones:
      • Deshabilitar (valor predeterminado): la seguridad de la capa de transporte (TLS) no se aplica al conectarse a impresoras AirPrint.
      • Habilitar: protege las conexiones AirPrint con Seguridad de la capa de transporte (TLS).

  • Importe un archivo separado por comas (.csv) que incluya una lista de impresoras AirPrint. Además, después de agregar impresoras AirPrint en Intune, puede exportar esta lista.

Obtener la dirección IP y la ruta de acceso

Para agregar servidores AirPrinter, necesita la dirección IP de la impresora, la ruta de acceso del recurso y el puerto. En los pasos siguientes se muestra cómo obtener esta información.

  1. En un Equipo Mac que se conecta a la misma red local (subred) que las impresoras AirPrint, abra la aplicación Terminal (desde /Applications/Utilities).

  2. En la aplicación Terminal, escriba ippfindy seleccione Entrar.

    Anote la información de la impresora. Por ejemplo, puede devolver algo parecido ipp://myprinter.local.:631/ipp/port1a . La primera parte es el nombre de la impresora. La última parte (ipp/port1) es la ruta de acceso del recurso.

  3. En la aplicación Terminal, escriba ping myprinter.localy seleccione Entrar.

    Anote la dirección IP. Por ejemplo, puede devolver algo parecido PING myprinter.local (10.50.25.21)a .

  4. Use los valores de dirección IP y ruta de acceso del recurso. En este ejemplo, la dirección IP es 10.50.25.21y la ruta de acceso del recurso es /ipp/port1.

Dominios asociados

En Intune, puede:

  • Agregue muchas asociaciones de aplicación a dominio.
  • Asocie muchos dominios a la misma aplicación.

Esta configuración se aplica a:

  • macOS 10.15 y versiones más recientes

La configuración se aplica a: Inscripción de dispositivos aprobada por el usuario e Inscripción automatizada de dispositivos

Esta configuración usa la carga de AssociatedDomains.ConfigurationItem (abre el sitio web de Apple).

  • Dominios asociados: agregue una asociación entre el dominio y una aplicación. Esta característica comparte las credenciales de inicio de sesión entre una aplicación de Contoso y un sitio web de Contoso. Escriba también:

    • Id. de aplicación: escriba el identificador de aplicación de la aplicación que se va a asociar a un sitio web. El identificador de la aplicación incluye el identificador de equipo y un identificador de lote: TeamID.BundleID.

      El identificador de equipo es una cadena alfanumérica de 10 caracteres (letras y números) generada por Apple para los desarrolladores de aplicaciones, como ABCDE12345. Busca tu id. de equipo (abre el sitio web de Apple) y tiene más información.

      El identificador de lote identifica de forma única la aplicación y normalmente tiene formato en notación inversa de nombre de dominio. Por ejemplo, el identificador de agrupación de Finder es com.apple.finder.

      Para obtener el identificador de lote:

    • Dominios: escriba el dominio del sitio web para asociarlo a una aplicación. El dominio incluye un tipo de servicio y un nombre de host completo, como webcredentials:www.contoso.com.

      Puede hacer coincidir todos los subdominios de un dominio asociado escribiendo *. (un carácter comodín de asterisco y un punto) antes del principio del dominio. El período es necesario. Los dominios exactos tienen una prioridad mayor que los dominios comodín. Por lo tanto, los patrones de los dominios primarios coinciden si no se encuentra una coincidencia en el subdominio completo.

      El tipo de servicio puede ser:

      • authsrv: extensión de aplicación de inicio de sesión único
      • applink: vínculo universal
      • webcredentials: Autorrellenar contraseña

    • Habilitar descargas directas: descarga los datos del dominio directamente desde el dispositivo, en lugar de pasar por la red de entrega de contenido (CDN) de Apple. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría descargar datos a través de la red CDN de Apple dedicada a dominios asociados.

      Esta configuración se aplica a:

      • macOS 11 y versiones posteriores

Sugerencia

Para solucionar problemas, en el dispositivo macOS, abra Perfiles de preferencias> del sistema. Confirme que el perfil que creó está en la lista de perfiles de dispositivo. Si aparece en la lista, asegúrese de que la configuración de dominios asociados está en el perfil e incluye el identificador de aplicación y los dominios correctos.

Almacenamiento en caché de contenido

El almacenamiento en caché de contenido guarda una copia local del contenido. Otros dispositivos Apple pueden obtener esta información sin conectarse a Internet. Este almacenamiento en caché acelera las descargas guardando actualizaciones de software, aplicaciones, fotos y otro contenido la primera vez que se descargan. Dado que las aplicaciones se descargan una vez y se comparten en otros dispositivos, las escuelas y la organización con muchos dispositivos ahorran ancho de banda.

Nota:

Use solo un perfil para esta configuración. Si asigna varios perfiles con esta configuración, se produce un error.

Para obtener más información sobre la supervisión del almacenamiento en caché de contenido, vaya a Ver registros y estadísticas de almacenamiento en caché de contenido (abre el sitio web de Apple).

Esta configuración se aplica a:

  • macOS 10.13.4 y versiones posteriores

La configuración se aplica a: Todos los tipos de inscripción

Para obtener más información sobre esta configuración, vaya a Configuración de carga de almacenamiento en caché de contenido (abre el sitio web de Apple).

Habilitar el almacenamiento en caché de contenido: activa el almacenamiento en caché de contenido y los usuarios no pueden deshabilitarlo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría desactivarlo.

  • Tipo de contenido que se va a almacenar en caché: las opciones:

    • Todo el contenido: almacena en caché el contenido de iCloud y el contenido compartido.
    • Solo contenido de usuario: almacena en caché el contenido de iCloud del usuario, incluidas fotos y documentos.
    • Solo contenido compartido: almacena en caché las aplicaciones y las actualizaciones de software.

  • Tamaño máximo de caché: escriba la cantidad máxima de espacio en disco (en bytes) que se usa para almacenar en caché el contenido. Cuando se deja en blanco (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría establecer este valor en cero (0) bytes, lo que proporciona espacio ilimitado en disco a la memoria caché.

    Asegúrese de que no supera el espacio disponible en los dispositivos. Para obtener más información sobre la capacidad de almacenamiento de dispositivos, vaya a How iOS and macOS report storage capacity (How iOS and macOS report storage capacity (Cómo se abre el sitio web de Apple).

  • Ubicación de caché: escriba la ruta de acceso para almacenar el contenido almacenado en caché. La ubicación predeterminada es /Library/Application Support/Apple/AssetCache/Data. Se recomienda no cambiar esta ubicación.

    Si cambia esta configuración, el contenido almacenado en caché no se mueve a la nueva ubicación. Para moverlo automáticamente, los usuarios deben cambiar la ubicación del dispositivo (Almacenamiento encaché de contenido compartido de preferencias>> del sistema).

  • Puerto: escriba el número de puerto TCP en los dispositivos para que la memoria caché acepte solicitudes de descarga y carga, del 0 al 65535. Escriba cero (0) (valor predeterminado) para usar cualquier puerto disponible.

  • Bloquear la conexión a Internet y el uso compartido de contenido en caché: también conocido como almacenamiento en caché anclado. impide el uso compartido de conexiones a Internet y evita el uso compartido de contenido almacenado en caché con dispositivos iOS/iPadOS conectados mediante USB a su Mac. Los usuarios no pueden habilitar esta característica. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración.

  • Habilitar el uso compartido de conexiones a Internet: también conocido como almacenamiento en caché con tethered. permite el uso compartido de conexiones a Internet y permite compartir contenido almacenado en caché con dispositivos iOS/iPadOS conectados mediante USB a su Mac. Los usuarios no pueden deshabilitar esta característica. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría desactivarlo.

    Esta configuración se aplica a:

    • macOS 10.15.4 y versiones posteriores

  • Habilitar la memoria caché para registrar los detalles del cliente: registra la dirección IP y el número de puerto de los dispositivos que solicitan contenido. Si está solucionando problemas de dispositivo, este archivo de registro puede ayudar. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no registre esta información.

  • Mantenga siempre el contenido de la memoria caché, incluso cuando el sistema necesite espacio en disco para otras aplicaciones: mantiene el contenido de la caché y se asegura de que no se elimine nada, incluso cuando el espacio en disco sea bajo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría purgar contenido de la memoria caché automáticamente cuando necesite espacio de almacenamiento para otras aplicaciones.

    Esta configuración se aplica a:

    • macOS 10.15 y versiones más recientes

  • Mostrar alertas de estado: muestra las alertas como notificaciones del sistema. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre estas alertas como notificaciones del sistema.

    Esta configuración se aplica a:

    • macOS 10.15 y versiones más recientes

  • Impedir que el dispositivo se quede inactivo mientras el almacenamiento en caché está activado: impide que el equipo se vaya a suspender cuando el almacenamiento en caché está activado. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que el dispositivo se suspenda.

    Esta configuración se aplica a:

    • macOS 10.15 y versiones más recientes

  • Dispositivos que se van a almacenar en caché: elija los dispositivos que pueden almacenar en caché el contenido. Sus opciones:

    • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración.
    • Dispositivos que usan la misma red local: la caché de contenido ofrece contenido a los dispositivos de la misma red local inmediata. No se ofrece contenido a los dispositivos de otras redes, incluidos los dispositivos accesibles por la caché de contenido.
    • Dispositivos que usan la misma dirección IP pública: la caché de contenido ofrece contenido a los dispositivos que usan la misma dirección IP pública. No se ofrece contenido a los dispositivos de otras redes, incluidos los dispositivos accesibles por la caché de contenido.
    • Dispositivos que usan redes locales personalizadas: la caché de contenido proporciona contenido a los dispositivos de los intervalos IP especificados.
      • Intervalos de escucha de cliente: escriba el intervalo de direcciones IP que pueden recibir la caché de contenido.
    • Dispositivos que usan redes locales personalizadas con reserva: la caché de contenido proporciona contenido a los dispositivos de los intervalos de escucha, los intervalos de escucha del mismo nivel y las direcciones IP principales.
      • Intervalos de escucha de cliente: escriba el intervalo de direcciones IP que pueden recibir la caché de contenido.

  • Direcciones IP públicas personalizadas: escriba un intervalo de direcciones IP públicas. Los servidores en la nube usan este intervalo para hacer coincidir los dispositivos cliente con las memorias caché.

  • Compartir contenido con otras memorias caché: cuando la red tiene más de una caché de contenido, las cachés de contenido en otros dispositivos se convierten automáticamente en del mismo nivel. Estos dispositivos pueden consultar y compartir software almacenado en caché.

    Cuando un elemento solicitado no está disponible en una caché de contenido, comprueba el elemento en sus elementos del mismo nivel. Si el elemento está disponible, se descarga de la caché de contenido en el dispositivo del mismo nivel. Si todavía no está disponible, la caché de contenido descarga el elemento de:

    • Una dirección IP primaria, si hay alguna configurada

      O

    • Desde Apple mediante Internet

    Cuando hay más de una caché de contenido disponible, los dispositivos seleccionan automáticamente la caché de contenido adecuada.

    Sus opciones:

    • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración.

    • Cachés de contenido que usan las mismas redes locales: la caché de contenido solo se empareja con otras cachés de contenido en la misma red local inmediata.

    • Cachés de contenido con la misma dirección IP pública: la memoria caché de contenido solo se empareja con otras cachés de contenido en la misma dirección IP pública.

    • Cachés de contenido mediante redes locales personalizadas: la caché de contenido solo se empareja con otras cachés de contenido en el intervalo de escucha de direcciones IP que especifique:

      • Intervalos de escucha del mismo nivel: escriba las direcciones IP de inicio y finalización IPv4 o IPv6 del intervalo. La caché de contenido solo responde a las solicitudes de caché del mismo nivel de las cachés de contenido en los intervalos de direcciones IP especificados.
      • Intervalos de filtro del mismo nivel: escriba las direcciones IP de inicio y finalización IPv4 o IPv6 del intervalo. La caché de contenido filtra su lista de elementos del mismo nivel mediante los intervalos de direcciones IP especificados.

  • Direcciones IP principales: escriba la dirección IP local de otra caché de contenido para agregarla como caché primaria. La memoria caché carga y descarga contenido en estas cachés, en lugar de cargar o descargar directamente con Apple. Agregue solo una dirección IP primaria una vez.

  • Directiva de selección primaria: cuando haya muchas cachés primarias, seleccione cómo se elige la dirección IP primaria. Sus opciones:

    • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración.
    • Round robin: use las direcciones IP principales en orden. Esta opción es buena para escenarios de equilibrio de carga.
    • Primera disponible: use siempre la primera dirección IP disponible en la lista.
    • Hash: crea un valor hash para la parte de ruta de acceso de la dirección URL solicitada. Esta opción garantiza que siempre se use la misma dirección IP primaria para la misma dirección URL.
    • Aleatorio: use aleatoriamente una dirección IP en la lista. Esta opción es buena para escenarios de equilibrio de carga.
    • Sticky available (Sticky disponible): use siempre la primera dirección IP de la lista. Si no está disponible, use la segunda dirección IP de la lista. Siga usando la segunda dirección IP hasta que no esté disponible, etc.

Elementos de inicio de sesión

La configuración se aplica a: Todos los tipos de inscripción

  • Agregue los archivos, carpetas y aplicaciones personalizadas que se iniciarán al iniciar sesión: agregue la ruta de acceso de un archivo, carpeta, aplicación personalizada o aplicación del sistema que se abre cuando los usuarios inician sesión en sus dispositivos. Escriba también:

    • Ruta de acceso del elemento: escriba la ruta de acceso al archivo, carpeta o aplicación. Las aplicaciones del sistema o las aplicaciones creadas o personalizadas para su organización suelen estar en la Applications carpeta, con una ruta de acceso similar a /Applications/AppName.app.

      Puede agregar muchos archivos, carpetas y aplicaciones. Por ejemplo, escriba:

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      Al agregar cualquier aplicación, carpeta o archivo, asegúrese de escribir la ruta de acceso correcta. No todos los elementos están en la Applications carpeta. Si los usuarios mueven un elemento de una ubicación a otra, la ruta de acceso cambia. Este elemento movido no se abre cuando el usuario inicia sesión.

    • Ocultar: elija mostrar u ocultar la aplicación. Sus opciones:

      • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar elementos en la lista Usuarios & Grupos elementos de inicio de sesión con la opción Ocultar desactivada.
      • : oculta la aplicación en la lista Usuarios & Grupos elementos de inicio de sesión.

Ventana de inicio de sesión

La configuración se aplica a: Todos los tipos de inscripción

Diseño de Windows

  • Mostrar información adicional en la barra de menús: cuando se selecciona el área de tiempo de la barra de menús, muestra el nombre de host y la versión de macOS. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre esta información en la barra de menús.

  • Banner: escriba un mensaje que se muestra en la pantalla de inicio de sesión en los dispositivos. Por ejemplo, escriba la información de su organización, un mensaje de bienvenida, información perdida y encontrada, etc.

  • Requerir campos de texto de nombre de usuario y contraseña: elija cómo inician sesión los usuarios en los dispositivos. requiere que los usuarios escriban un nombre de usuario y una contraseña. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría requerir que los usuarios seleccionen su nombre de usuario en una lista y, a continuación, escriban su contraseña.

    Cuando se establece en No configurado, escriba también:

    • Ocultar usuarios locales: oculta las cuentas de usuario locales en la lista de usuarios, que pueden incluir las cuentas estándar y de administrador. Solo se muestran las cuentas de usuario de red y del sistema. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar las cuentas de usuario locales en la lista de usuarios.
    • Ocultar cuentas móviles: oculta las cuentas móviles en la lista de usuarios. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar las cuentas móviles en la lista de usuarios. Algunas cuentas móviles se pueden mostrar como usuarios de red.
    • Mostrar usuarios de red: seleccione para mostrar los usuarios de red en la lista de usuarios. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre las cuentas de usuario de red en la lista de usuarios.
    • Ocultar los administradores del equipo: oculta las cuentas de usuario de administrador en la lista de usuarios. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar las cuentas de usuario de administrador en la lista de usuarios.
    • Mostrar otros usuarios: seleccione para mostrar Otros... usuarios en la lista de usuarios. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no muestre las otras cuentas de usuario en la lista de usuarios.

Configuración de energía de la pantalla de inicio de sesión

  • Ocultar botón de apagado: oculta el botón de apagado en la pantalla de inicio de sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar el botón de apagado.
  • Ocultar botón de reinicio: oculta el botón de reinicio en la pantalla de inicio de sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar el botón de reinicio.
  • Ocultar botón de suspensión: oculta el botón de suspensión en la pantalla de inicio de sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría mostrar el botón de suspensión.
  • Deshabilitar el inicio de sesión de usuario desde la consola: oculta la línea de comandos de macOS usada para iniciar sesión. Para los usuarios típicos, establezca esta opción en . Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios avanzados inicien sesión con la línea de comandos de macOS. Para entrar en el modo de consola, los usuarios escriben >console en el campo Nombre de usuario y deben autenticarse en la ventana de la consola.

Menú Apple

  • Deshabilitar apagar durante la sesión: impide que los usuarios seleccionen la opción Apagar después de iniciar sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios seleccionar el elemento de menú Apagar en los dispositivos.
  • Deshabilitar reiniciar durante la sesión: impide que los usuarios seleccionen la opción Reiniciar después de iniciar sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios seleccionen el elemento de menú Reiniciar en los dispositivos.
  • Deshabilitar apagado durante la sesión: impide que los usuarios seleccionen la opción Apagar después de iniciar sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios seleccionar el elemento de menú Apagado en los dispositivos.
  • Deshabilitar el cierre de sesión mientras inicia sesión (macOS 10.13 y versiones posteriores): impide que los usuarios seleccionen la opción Cerrar sesión después de iniciar sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que los usuarios seleccionen el elemento de menú Cerrar sesión en los dispositivos.
  • Deshabilitar la pantalla de bloqueo al iniciar sesión (macOS 10.13 y versiones posteriores): impide que los usuarios seleccionen la opción Bloquear pantalla después de iniciar sesión. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir a los usuarios seleccionar el elemento de menú Pantalla de bloqueo en los dispositivos.

Extensión de aplicación de inicio de sesión único

Esta configuración se aplica a:

  • macOS 10.15 y versiones más recientes

La configuración se aplica a: Inscripción de dispositivos aprobada por el usuario e Inscripción automatizada de dispositivos

  • Tipo de extensión de aplicación sso: elija el tipo de extensión de aplicación sso. Sus opciones:

    • No configurado: no se usan las extensiones de aplicación. Para deshabilitar una extensión de aplicación, cambie el tipo de extensión de aplicación sso a No configurado.

    • Microsoft Entra ID: usa el complemento Microsoft Entra ID Enterprise SSO, que es una extensión de aplicación sso de tipo redireccionamiento. Este complemento proporciona sso para cuentas de Active Directory local en todas las aplicaciones macOS que admiten la característica de inicio de sesión único enterprise de Apple. Use este tipo de extensión de aplicación sso para habilitar el inicio de sesión único en aplicaciones de Microsoft, aplicaciones de la organización y sitios web que se autentican mediante Microsoft Entra ID. Para obtener más información, vaya a Uso del complemento de inicio de sesión único de Microsoft Enterprise en dispositivos macOSOS.

      El complemento SSO actúa como agente de autenticación avanzada que ofrece mejoras en la seguridad y la experiencia del usuario.

      Importante

      Para lograr el inicio de sesión único con el tipo de extensión de aplicación Microsoft Entra SSO, instale la aplicación Portal de empresa macOS en los dispositivos. La aplicación Portal de empresa entrega el complemento de inicio de sesión único de Microsoft Enterprise a los dispositivos. La configuración de la extensión de la aplicación DE SSO de MDM activa el complemento. Después de instalar la aplicación de Portal de empresa y el perfil de extensión de la aplicación sso en los dispositivos, los usuarios inician sesión con sus credenciales y crean una sesión en sus dispositivos. Esta sesión se usa en diferentes aplicaciones sin necesidad de que los usuarios se autentiquen de nuevo.

      Para obtener más información sobre la aplicación Portal de empresa, vaya a ¿Qué ocurre si instala la aplicación Portal de empresa e inscribe el dispositivo macOS en Intune?

      También puede descargar la aplicación Portal de empresa.

    • Redireccionamiento: use una extensión de aplicación de redireccionamiento genérica y personalizable para usar el inicio de sesión único con flujos de autenticación modernos. Asegúrese de conocer la extensión y el identificador de equipo de la extensión de aplicación de su organización.

    • Credencial: use una extensión de aplicación de credenciales genérica y personalizable para usar el inicio de sesión único con flujos de autenticación de desafío y respuesta. Asegúrese de conocer el identificador de extensión y el identificador de equipo de la extensión de la aplicación sso de su organización.

    • Kerberos: use la extensión Kerberos integrada de Apple, que se incluye en macOS Catalina 10.15 y versiones posteriores. Esta opción es una versión específica de Kerberos de la extensión de la aplicación Credential .

    Sugerencia

    Con los tipos Redirect y Credential , agrega sus propios valores de configuración para pasar a través de la extensión. Si usa Credential, considere la posibilidad de usar los valores de configuración integrados proporcionados por Apple en el tipo Kerberos .

  • Identificador de extensión (redirección, credencial): escriba el identificador de agrupación que identifica la extensión de la aplicación sso, como com.apple.ssoexample.

  • Id. de equipo (redirección, credencial): escriba el identificador de equipo de la extensión de la aplicación sso. Un identificador de equipo es una cadena alfanumérica de 10 caracteres (números y letras) generada por Apple, como ABCDE12345.

    Busca tu id. de equipo (abre el sitio web de Apple) y tiene más información.

  • Realm (Credential, Kerberos): escriba el nombre del dominio de autenticación. El nombre del dominio debe estar en mayúsculas, como CONTOSO.COM. Normalmente, el nombre del dominio es el mismo que el nombre de dominio DNS, pero en todas las mayúsculas.

  • Dominios (Credential, Kerberos): escriba los nombres de dominio o host de los sitios que pueden autenticarse a través del inicio de sesión único. Por ejemplo, si el sitio web es mysite.contoso.com, mysite es el nombre de host y .contoso.com es el nombre de dominio. Cuando los usuarios se conectan a cualquiera de estos sitios, la extensión de aplicación controla el desafío de autenticación. Esta autenticación permite a los usuarios usar Face ID, Touch ID o código de acceso o código de acceso de Apple para iniciar sesión.

    • Todos los dominios de la extensión de aplicación de inicio de sesión único Intune perfiles deben ser únicos. No puede repetir un dominio en ningún perfil de extensión de aplicación de inicio de sesión, incluso si usa distintos tipos de extensiones de aplicación sso.
    • Estos dominios no distinguen mayúsculas de minúsculas.
    • El dominio debe comenzar con un punto (.).

  • Direcciones URL (solo redirección): escriba los prefijos de dirección URL de los proveedores de identidades en cuyo nombre la extensión de la aplicación de redirección usa sso. Cuando se redirige a los usuarios a estas direcciones URL, la extensión de aplicación sso interviene y solicita el inicio de sesión único.

    • Todas las direcciones URL de los perfiles de extensión de aplicación de inicio de sesión único de Intune deben ser únicas. No puede repetir un dominio en ningún perfil de extensión de aplicación de SSO, incluso si usa diferentes tipos de extensiones de aplicación sso.
    • Las direcciones URL deben comenzar por http:// o https://.

  • Configuración adicional (Microsoft Entra ID, redirección, credencial): escriba más datos específicos de la extensión para pasarlos a la extensión de la aplicación sso:

    • Clave: escriba el nombre del elemento que desea agregar, como user name.

    • Tipo: escriba el tipo de datos. Sus opciones:

      • Cadena
      • Boolean: en Valor de configuración, escriba True o False.
      • Entero: en Valor de configuración, escriba un número.

    • Valor: escriba los datos.

  • Bloquear el uso de cadena de claves (solo Kerberos): impide que las contraseñas se guarden y almacenen en la cadena de claves. Además, no se pide a los usuarios que guarden su contraseña y que vuelvan a escribirla cuando expire el vale de Kerberos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que las contraseñas se guarden y almacenen en la cadena de claves. No se pide a los usuarios que vuelvan a escribir su contraseña cuando expire el vale.

  • Requerir Face ID, Touch ID o código de acceso (solo Kerberos): obliga a los usuarios a escribir su Face ID, Touch ID o código de acceso del dispositivo cuando se necesita la credencial para actualizar el vale de Kerberos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no requiera que los usuarios usen la biometría o el código de acceso del dispositivo para actualizar el vale de Kerberos. Si bloquear el uso de cadena de claves se establece en , esta configuración no se aplica.

  • Establecer como dominio predeterminado (solo Kerberos): elija para establecer el valor De dominio que especificó como dominio predeterminado. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no establezca un dominio predeterminado.

    • Si va a configurar varias extensiones de aplicación sso de Kerberos en su organización, seleccione .
    • Si usa varios reinos, seleccione . Establece el valor de Realm que escribiste como dominio predeterminado.
    • Si solo tiene un dominio, déjelo sin configurar (valor predeterminado).

  • Bloquear detección automática (solo Kerberos): cuando se establece en , la extensión Kerberos no usa automáticamente LDAP y DNS para determinar su nombre de sitio de Active Directory. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que la extensión busque automáticamente el nombre del sitio de Active Directory.

  • Permitir solo aplicaciones administradas (solo Kerberos): cuando se establece en , la extensión Kerberos solo permite que las aplicaciones administradas y las aplicaciones especificadas con el identificador de agrupación de aplicaciones accedan a la credencial. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que las aplicaciones no administradas accedan a la credencial.

    Esta característica se aplica a:

    • macOS 12 y versiones más recientes

  • Bloquear cambios de contraseña (solo Kerberos): impide que los usuarios cambien las contraseñas que usan para iniciar sesión en los dominios especificados. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir cambios de contraseña.

  • Habilitar la sincronización de contraseñas locales (solo Kerberos): elija para sincronizar las contraseñas locales de los usuarios con Microsoft Entra ID. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría deshabilitar la sincronización de contraseñas para Microsoft Entra ID.

    Use esta configuración como alternativa o copia de seguridad en el inicio de sesión único. Esta configuración no funciona si los usuarios han iniciado sesión con una cuenta móvil de Apple.

  • Retrasar la configuración de la extensión Kerberos (solo Kerberos): cuando se establece en , no se pide al usuario que configure la extensión Kerberos hasta que el administrador habilite la extensión o se reciba un desafío de Kerberos. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría solicitar inmediatamente al usuario que configure la extensión Kerberos.

    Esta característica se aplica a:

    • macOS 11 y versiones posteriores

  • Permitir utilidades kerberos estándar (solo Kerberos): cuando se establece en , la extensión Kerberos permite que las aplicaciones especificadas con el identificador de lote de aplicaciones, las aplicaciones administradas y las utilidades estándar de Kerberos, como TicketViewer y klist, accedan a la credencial y la usen. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no permita que las aplicaciones enumeradas accedan a la credencial y la usen.

    Esta característica se aplica a:

    • macOS 12 y versiones más recientes

  • Solicitud de credencial (solo Kerberos): cuando se establece en , se solicita la credencial en el siguiente desafío de Kerberos coincidente o en el cambio de estado de red. Cuando la credencial ha expirado o falta, se crea una nueva credencial. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no solicite una nueva credencial.

    Esta característica se aplica a:

    • macOS 12 y versiones más recientes

  • Requerir conexiones LDAP para TLS (solo Kerberos): cuando se establece en , las conexiones LDAP son necesarias para usar seguridad de la capa de transporte (TLS). Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no requiera conexiones LDAP para usar TLS.

    Esta característica se aplica a:

    • macOS 11 y versiones posteriores

  • Requerir complejidad de contraseña de Active Directory (solo Kerberos): elija para forzar que las contraseñas de usuario cumplan los requisitos de complejidad de contraseñas de Active Directory. En los dispositivos, esta configuración muestra una ventana emergente con casillas para que los usuarios vean que están completando los requisitos de contraseña. Ayuda a los usuarios a saber lo que necesitan especificar para la contraseña. Para obtener más información, vaya a Contraseña debe cumplir los requisitos de complejidad. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no requiera que los usuarios cumplan el requisito de contraseña de Active Directory.

  • Longitud mínima de la contraseña (solo Kerberos): escriba el número mínimo de caracteres que pueden componer las contraseñas de los usuarios. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no aplique una longitud mínima de contraseña a los usuarios.

  • Límite de reutilización de contraseñas (solo Kerberos): escriba el número de contraseñas nuevas, de 1 a 24, que se usan hasta que se pueda reutilizar una contraseña anterior en el dominio. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no aplique un límite de reutilización de contraseñas.

  • Antigüedad mínima de contraseña (días) (solo Kerberos): escriba el número de días que se usa una contraseña en el dominio antes de que los usuarios puedan cambiarla. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo no aplique una antigüedad mínima de contraseñas antes de que se puedan cambiar.

  • Notificación de expiración de contraseña (días) (solo Kerberos): escriba el número de días antes de que expire una contraseña para que los usuarios reciban una notificación de que su contraseña expirará. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría usar 15 días.

  • Expiración de contraseña (días) (solo Kerberos): escriba el número de días antes de que cambie la contraseña del dispositivo. Cuando se establece en Sin configurar (valor predeterminado), Intune no cambia ni actualiza esta configuración. De forma predeterminada, es posible que el sistema operativo nunca expire las contraseñas.

  • Dirección URL de cambio de contraseña (solo Kerberos): escriba la dirección URL que se abre cuando los usuarios inician un cambio de contraseña de Kerberos.

  • Nombre de usuario personalizado (solo Kerberos): escriba el texto que reemplaza el nombre de usuario que se muestra en la extensión Kerberos. Puede escribir un nombre que coincida con el nombre de su empresa u organización. Por ejemplo, puede escribirContoso.

    Esta característica se aplica a:

    • macOS 11 y versiones posteriores

  • Uso de la extensión Kerberos (solo Kerberos): seleccione cómo usan otros procesos la credencial de extensión Kerberos. Sus opciones:

    • Siempre: la credencial de extensión siempre se usa si el SPN aparece en Dominios. No se usa si la aplicación que realiza la llamada no aparece en Identificadores de lote de aplicaciones.
    • Cuando no se especifica: la credencial de extensión solo se usa cuando el autor de la llamada no escribe otra credencial y el SPN aparece en Dominios. No se usa si la aplicación que realiza la llamada no aparece en Identificadores de lote de aplicaciones.
    • Valor predeterminado de Kerberos: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo usa los procesos de Kerberos predeterminados para seleccionar credenciales. Esta opción es la misma que no configurar esta configuración.

    Esta característica se aplica a:

    • macOS 11 y versiones posteriores

  • Nombre principal (solo Kerberos): escriba el nombre de usuario de la entidad de seguridad kerberos. No es necesario incluir el nombre del dominio. Por ejemplo, en user@contoso.com, user es el nombre principal y contoso.com es el nombre del dominio.

    • También puede usar variables en el nombre principal si escribe corchetes {{ }}. Por ejemplo, para mostrar el nombre de usuario, escriba Username: {{username}}.
    • Tenga cuidado con la sustitución de variables porque las variables no se validan en la interfaz de usuario y distinguen mayúsculas de minúsculas. Asegúrese de escribir la información correcta.

  • Código de sitio de Active Directory (solo Kerberos): escriba el nombre del sitio de Active Directory que debe usar la extensión Kerberos. Es posible que no necesite cambiar este valor, ya que la extensión Kerberos puede encontrar automáticamente el código de sitio de Active Directory.

  • Nombre de caché (solo Kerberos): escriba el nombre de Servicios de seguridad genéricos (GSS) de la memoria caché kerberos. Lo más probable es que no necesite establecer este valor.

  • Texto de la ventana de inicio de sesión (solo Kerberos): escriba el texto que se muestra a los usuarios en la ventana de inicio de sesión de Kerberos.

    Esta característica se aplica a:

    • macOS 11 y versiones posteriores

  • Mensaje de requisitos de contraseña (solo Kerberos): escriba una versión de texto de los requisitos de contraseña de la organización que se muestra a los usuarios. El mensaje muestra si no necesita los requisitos de complejidad de contraseña de Active Directory o no especifica una longitud mínima de contraseña.

    Cuando se establece en , todas las cuentas de usuario existentes se borran de los dispositivos. Para evitar la pérdida de datos o evitar un restablecimiento de fábrica, asegúrese de comprender cómo cambia esta configuración los dispositivos.

    Para obtener más información sobre el modo de dispositivo compartido, vaya a Información general sobre el modo de dispositivo compartido.

  • Identificadores de agrupación de aplicaciones (Microsoft Entra ID, Kerberos): escriba los identificadores de agrupación de aplicaciones que deben usar el inicio de sesión único en los dispositivos. A estas aplicaciones se les concede acceso al vale de concesión de vales de Kerberos y al vale de autenticación. Las aplicaciones también autentican a los usuarios en los servicios a los que están autorizados.

    Para obtener el identificador de agrupación de una aplicación agregada a Intune, puede usar el centro de administración de Intune.

  • Asignación de dominios (solo Kerberos): escriba los sufijos DNS de dominio que deben asignarse a su dominio. Use esta configuración cuando los nombres DNS de los hosts no coincidan con el nombre del dominio. Lo más probable es que no necesite crear esta asignación de dominio a dominio personalizada.

  • Certificado PKINIT (solo Kerberos): seleccione el certificado criptografía de clave pública para la autenticación inicial (PKINIT) que se puede usar para la autenticación Kerberos. Puede elegir entre los certificados PKCS o SCEP que agregue en Intune. Para obtener más información sobre los certificados, vaya a Uso de certificados para la autenticación en Microsoft Intune.

  • KDC preferidos (solo Kerberos): escriba los centros de distribución de claves (KDC) que se usarán para el tráfico Kerberos en orden de preferencia. Esta lista se usa cuando los servidores no se pueden detectar mediante DNS. Cuando se pueden detectar los servidores, la lista se usa para ambas comprobaciones de conectividad y se usa primero para el tráfico Kerberos. Si los servidores no responden, el dispositivo usa la detección de DNS.

    Esta característica se aplica a:

    • macOS 12 y versiones más recientes