Configurar la inscripción de dispositivos iOS/iPadOS con Apple School Manager

  • Artículo

Puede configurar Intune para inscribir los dispositivos iOS/iPadOS adquiridos mediante el programa de Apple School Manager. Al usar Intune con Apple School Manager, puede inscribir un gran número de dispositivos iOS/iPadOS sin tener que tocarlos. Cuando un estudiante o profesor activa el dispositivo, se ejecuta el Asistente con opciones preconfigurados y el dispositivo se inscribe en la administración.

Para habilitar la inscripción de Apple School Manager, se usan los portales de Intune y de Apple School Manager. Se necesita una lista de números de serie o un número de pedido de compra, de manera que pueda asignar dispositivos a Intune para administrarlos. Puede crear perfiles de inscripción de Inscripción de dispositivo automatizada (ADE, por sus siglas en inglés) que contengan opciones que se apliquen a los dispositivos durante la inscripción.

La inscripción de Apple School Manager no se puede usar con el administrador de inscripción de dispositivos.

Requisitos previos

Obtener un token de Apple y asignar los dispositivos

Antes de poder inscribir dispositivos iOS/iPadOS corporativos en Apple School Manager, necesita un archivo de token (.p7m) de Apple. Este token permite a Intune sincronizar información sobre dispositivos que participan en Apple School Manager. También permite a Intune realizar cargas de perfiles de inscripción a Apple y asignar dispositivos a esos perfiles. Mientras esté en el portal de Apple, también puede asignar números de serie a los dispositivos para su administración.

Paso 1: Descargar el certificado de clave pública de Intune necesario para crear un token de Apple

  1. En el centro de administración de Microsoft Intune, vaya aInscripción de dispositivos>.
  2. Seleccione la pestaña Apple .
  3. Elija Tokens del programa de inscripción.
  4. Seleccione Agregar.
  5. Seleccione Descargar la clave pública para descargar y guardar el archivo de clave de cifrado (.pem) localmente. El archivo .pem se usa para solicitar un certificado de relación de confianza en el portal de Apple School Manager.

Paso 2: Descarga de un token y asignación de dispositivos

  1. Elija Crear un token mediante Apple School Manager e inicie sesión en Apple School con su identificador de Apple empresarial. Puede usar este identificador de Apple para renovar el token de Apple School Manager.
  2. En el portal de Apple School Manager, vaya a MDM Servers (Servidores MDM) y luego elija Add MDM Server (Agregar servidor MDM) (en la parte superior derecha).
  3. Escriba el nombre del servidor MDM. El nombre del servidor es su referencia para identificar el servidor de administración de dispositivos móviles (MDM). No es el nombre ni la dirección URL del servidor de Microsoft Intune.
  4. Elija Cargar archivo... en el portal de Apple, examine el archivo .pem y elija Guardar servidor MDM (en la parte inferior derecha).
  5. Elija Get Token (Obtener token) y luego descargue el archivo de token del servidor (.p7m) en el equipo.
  6. Vaya a Asignaciones de dispositivos. Elija los dispositivos escribiendo manualmente sus números de serie o número de pedido.
  7. Elija la acción Asignar al servidor y elija el servidor MDM que ha creado.
  8. Especifique cómo Elegir dispositivos, después proporcione información de los dispositivos y detalles.
  9. Elija Asignar al servidor y elija el <nombreDeServidor> especificado para Microsoft Intune, y después elija Aceptar.

Paso 3: Guardar el identificador de Apple usado para crear este token

Vuelva al centro de administración y escriba el id. de Apple.

Captura de pantalla sobre cómo especificar el identificador de Apple que se ha usado para crear y buscar el token del Programa de inscripción.

Paso 4: Carga del token

En el cuadro Token de Apple, examine el archivo de certificado (.pem), seleccione Abrir y después elija Crear. Con el certificado push, Intune puede inscribir y administrar dispositivos iOS/iPadOS mediante la inserción de la directiva en los dispositivos móviles inscritos. Intune sincroniza automáticamente sus dispositivos de Apple School Manager desde Apple.

Crear un perfil de inscripción de Apple

Ahora que ha instalado el token, puede crear un perfil de inscripción para dispositivos de Apple School. Un perfil de inscripción de dispositivos define la configuración que se aplica a un grupo de dispositivos durante la inscripción.

  1. En el centro de administración de Microsoft Intune, vaya aInscripción de dispositivos>.

  2. Seleccione la pestaña Apple .

  3. En Métodos de inscripción masiva, elija Tokens de programa de inscripción.

  4. Seleccione un token.

  5. Seleccione Perfiles>Crear perfil>iOS/iPadOS.

  6. En Crear perfil, escriba un Nombre y una Descripción para el perfil con fines administrativos. Los usuarios no ven estos detalles. Puede usar este campo Nombre para crear un grupo dinámico en Microsoft Entra ID. Use el nombre de perfil para definir el parámetro enrollmentProfileName para asignar dispositivos con este perfil de inscripción. Obtenga más información sobre Microsoft Entra grupos dinámicos.

    Nombre y descripción del perfil.

  7. En Afinidad de usuario, elija si los dispositivos con este perfil deben inscribirse con o sin un usuario asignado.

    • Inscribir con afinidad de usuario: seleccione esta opción para dispositivos que pertenezcan a usuarios y necesiten usar el portal de empresa para hacer uso de servicios, como instalar aplicaciones. Esta opción también permite a los usuarios autenticar sus dispositivos mediante el portal de empresa. Si se usa ADFS, la afinidad de usuario debe ser Punto de conexión mixto/nombre de usuario de WS-Trust 1.3. Más información. El modo iPad compartido de Apple School Manager requiere la inscripción del usuario sin afinidad de usuario.

    • Inscribirse sin afinidad de usuario: seleccione esta opción para dispositivos que no estén afiliados con un único usuario, como un dispositivo compartido. Use esta opción para dispositivos que realizan tareas sin acceder a datos de usuario local. Las aplicaciones como Portal de empresa no funcionan.

  8. Si elige Inscribir con afinidad de usuario, puede permitir que los usuarios se autentiquen con Portal de empresa, el Asistente para la instalación (heredado) y el Asistente para la instalación con autenticación moderna. Seleccione la opción . Para obtener más información sobre los métodos de autenticación, consulte Métodos de autenticación para la inscripción automatizada de dispositivos en Intune.

    Nota:

    Si quiere realizar alguna de las siguientes acciones, establezca Autenticar con el Portal de empresa en lugar del Asistente de configuración en .

    • usar la autenticación multifactor
    • pedir a los usuarios que cambien su contraseña cuando inician sesión por primera vez
    • pedir a los usuarios que restablezcan las contraseñas caducadas durante la inscripción

    Estas operaciones no se admiten durante la autenticación con el Asistente de configuración de Apple.

  9. Elija Configuración de administración de dispositivos y seleccione si quiere o no que se supervisen los dispositivos con este perfil. Los dispositivos supervisados ofrecen más opciones de administración y, en este caso, el bloqueo de activación está deshabilitado de manera predeterminada. Microsoft recomienda usar ADE como mecanismo para habilitar el modo supervisado de Intune, sobre todo para las organizaciones que implementan un gran número de dispositivos iOS/iPadOS.

    Los usuarios reciben notificaciones de que sus dispositivos se supervisan de dos maneras:

    • En la pantalla de bloqueo aparece: "This iPhone is managed by Contoso" (Contoso administra este iPhone).

    • En la pantalla Configuración>General>Acerca de aparece: “Este iPhone está supervisado. Contoso puede supervisar el tráfico de Internet y buscar este dispositivo.”

      Nota:

      Un dispositivo inscrito sin supervisión solo puede restablecerse a supervisado con Apple Configurator. Para restablecer el dispositivo de esta forma, es necesario conectar un dispositivo iOS/iPadOS a un Mac con un cable USB. Obtenga más información en la documentación de Apple Configurator.

  10. Elija si desea que la inscripción de dispositivos esté bloqueada con este perfil. Inscripción bloqueada deshabilita la configuración de iOS/iPadOS que permite que el perfil de administración se quite del menú Configuración. Tras la inscripción del dispositivo, no puede cambiar esta configuración sin borrar dicho dispositivo. Estos dispositivos deben tener el modo de administración Supervisado establecido en .

  11. Puede permitir que varios usuarios inicien sesión en dispositivos iPad inscritos mediante el uso de un identificador de Apple administrado. Para ello, elija en iPad compartido (esta opción requiere Inscribirse sin afinidad de usuario y el modo Supervisado establecido en ). Los identificadores de Apple administrados se crean en el portal de Apple School Manager. Obtenga más información sobre el iPad compartido y los requisitos del iPad compartido de Apple.

  12. Elija si desea que los dispositivos que usan este perfil se puedan sincronizar con equipos. Denegar todo significa que ningún dispositivo que use este perfil podrá sincronizarse con los datos de ningún equipo. Si elige Permitir Apple Configurator mediante certificado, debe elegir un certificado en Certificados de Apple Configurator.

  13. Si elige Permitir Apple Configurator mediante certificado en el paso anterior, elija un certificado de Apple Configurator para importarlo.

  14. Puede especificar un formato de nombre para los dispositivos que se aplique automáticamente cuando se inscriban. Para ello, elija No en Aplicar plantilla de nombre de dispositivo. Luego, en el cuadro Plantilla de nombre de dispositivo, escriba la plantilla que se empleará para los nombres que usan este perfil. Puede especificar un formato de plantilla que incluya el tipo de dispositivo y el número de serie.

  15. Elija Aceptar.

  16. Elija Configuración del Asistente de configuración para configurar los siguientes valores de perfil:

    Configuración Descripción
    Nombre de departamento Aparece cuando los usuarios pulsan Acerca de la configuración durante la activación.
    Teléfono del departamento Aparece cuando el usuario hace clic en el botón Necesito ayuda durante la activación.
    Opciones del Asistente de configuración Estas opciones opcionales se pueden configurar más adelante en el menú Configuración de iOS/iPadOS.
    Código de acceso Solicite el código de acceso durante la activación. Requiera siempre un código de acceso para los dispositivos no seguros a menos que el acceso esté controlado de alguna otra manera (como el modo quiosco que restringe el dispositivo a uan aplicación).
    Servicios de ubicación Si está habilitado, el Asistente de configuración solicitará este servicio durante la activación.
    Restore Si está habilitado, el Asistente de configuración solicitará una copia de seguridad de iCloud durante la activación.
    iCloud y Apple ID Si está habilitado, el Asistente de configuración solicita al usuario que inicie sesión con un identificador de Apple y en la pantalla Aplicaciones y datos se permitirá restaurar el dispositivo a partir de la copia de seguridad de iCloud.
    Términos y condiciones Si está habilitado, el Asistente de configuración solicita a los usuarios que acepten los términos y condiciones de Apple durante la activación.
    Touch ID Si está habilitado, el Asistente de configuración solicitará este servicio durante la activación.
    Apple Pay Si está habilitado, el Asistente de configuración solicitará este servicio durante la activación.
    Zoom Si está habilitado, el Asistente de configuración solicitará este servicio durante la activación.
    Siri Si está habilitado, el Asistente de configuración solicitará este servicio durante la activación.
    Datos de diagnóstico Si está habilitado, el Asistente de configuración solicitará este servicio durante la activación.

  17. Elija Aceptar.

  18. Para guardar el perfil, elija Crear.

Conectar con School Data Sync

(Opcional) Apple School Manager admite la sincronización de datos de lista de clases con el Microsoft Entra ID mediante Microsoft School Data Sync (SDS). Solo puede sincronizar un token con SDS. Si configura otro token con School Data Sync, SDS se quitará del token que lo tenía anteriormente. Una nueva conexión reemplazará el token actual. Complete los pasos siguientes para usar SDS para sincronizar los datos educativos.

  1. En el centro de administración de Microsoft Intune, vaya aInscripción de dispositivos>.
  2. Seleccione la pestaña Apple .
  3. Elija Tokens del programa de inscripción.
  4. Seleccione un token de Apple School Manager y luego elija School Data Sync.
  5. En School Data Sync, elija Permitir. Esta configuración permite a Intune conectarse con SDS en Microsoft 365.
  6. Para habilitar una conexión entre Apple School Manager y Microsoft Entra ID, elija Configurar Microsoft School Data Sync. Obtenga más información sobre cómo configurar School Data Sync.
  7. Seleccione Guardar>aceptar.

Sincronizar dispositivos administrados

Una vez que se ha concedido permiso a Intune para administrar sus dispositivos de Apple School Manager, sincronice Intune con el servicio de Apple para ver los dispositivos administrados en Intune.

  1. Vuelva a tokens del programa de inscripción.
  2. Seleccione un token de la lista.
  3. Seleccione Sincronización de dispositivos>.
    Captura de pantalla del nodo Dispositivos del programa de inscripción y el vínculo Sincronizar.

Para cumplir con los términos de Apple relativos a un tráfico del programa de inscripción aceptable, Intune impone las restricciones siguientes:

  • Una sincronización completa no se puede ejecutar más de una vez cada siete días. Durante una sincronización completa, Intune actualiza todos los números de serie de Apple asignados a Intune. Si se intenta efectuar una sincronización completa sin que hayan pasado siete días desde la última sincronización completa, Intune solo actualizará los números de serie que aún no aparezcan en Intune.
  • Las solicitudes de sincronización tardan 15 minutos en finalizar. Durante este tiempo o hasta que la solicitud finalice correctamente, el botón Sincronización está deshabilitado.
  • Intune sincroniza con Apple los dispositivos nuevos y eliminados cada 24 horas.

Nota:

También puede asignar números de serie de Apple School Manager a los perfiles en la hoja Dispositivos del programa de inscripción.

Asignar un perfil a los dispositivos

Los dispositivos de Apple School Manager que administra Intune deben tener un perfil de inscripción asignado antes de su inscripción.

  1. Vuelva a tokens del programa de inscripción.
  2. Seleccione un token de la lista.
  3. Seleccione Dispositivos y elija los dispositivos.
  4. Seleccione Asignar perfil. A continuación, seleccione un perfil para los dispositivos.
  5. Seleccione Asignar.

Distribuir los dispositivos a los usuarios

Ha habilitado la administración y la sincronización entre Apple e Intune, y ha asignado un perfil para permitir la inscripción de los dispositivos apple school. Ahora ya puede distribuir los dispositivos a los usuarios. Cuando se activa un dispositivo iOS/iPadOS en Apple School Manager, se inscribe para que Intune lo administre. Los perfiles no se pueden aplicar a los dispositivos activados que se estén usando actualmente hasta que se borre el dispositivo.