Tutorial: Configuración de la inscripción de Microsoft Intune para dispositivos iOS/iPadOS en Apple Business Manager

Use Apple Business Manager con Microsoft Intune para simplificar y automatizar la inscripción de dispositivos para dispositivos iOS/iPadOS adquiridos a través de Apple Business Manager. La inscripción automatizada de dispositivos, que configuraremos en este tutorial, habilita la inscripción automática segura la primera vez que el usuario activa el dispositivo mediante la implementación del perfil de inscripción en el dispositivo por vía inalámbrica.

En este tutorial, aprenderá a:

• Obtención de un token de inscripción de dispositivos Apple
• Sincronizar dispositivos administrados en Intune
• Crear un perfil de inscripción
• Asignación del perfil de inscripción a dispositivos

Al final de este tutorial, los dispositivos estarán listos para distribuirse para la inscripción.

Requisitos previos

• Establezca la entidad de administración de dispositivos móviles (MDM).
• Obtenga el certificado push MDM de Apple.
• Tener dispositivos nuevos o borrados comprados en Apple Business Manager.
• Agregue información de compra en configuración de administración de dispositivos en Apple Business Manager.

Si no tiene una suscripción a Intune, regístrese para obtener una cuenta de prueba gratuita.

Paso 1: Agregar servidor MDM

Cree un perfil de servidor MDM para Microsoft Intune en Apple Business Manager. El token que descargue en este paso habilitará la conexión entre Microsoft Intune y Apple Business Manager en un paso posterior.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Dispositivos>iOS/iPadOS>iOS/inscripción de iPadOS.

3. Seleccione Tokens de programa de inscripción.

4. Seleccione Agregar.

5. Seleccione Acepto conceder permiso a Microsoft para enviar información de usuario y dispositivo a Apple.

6. Seleccione Descargar la clave pública para descargar el certificado de clave pública del servidor (un archivo .pem) en la unidad local.

7. Seleccione Crear un token a través de Apple Business Manager e inicie sesión en Apple Business Manager con el id. de Apple de su empresa.

   Importante

   Mientras esté en Apple Business Manager, no cierre la pestaña del explorador con Microsoft Intune. Volverás más tarde.

8. Agregue un servidor MDM llamado TestMDMServer y descargue el token de servidor en Apple Business Manager. Para más información e instrucciones, consulte Vínculo a un servidor MDM de terceros (abre la Guía del usuario de Apple Business Manager). Guarde el token de servidor localmente como un archivo P7M (.p7m). A continuación, continúe con el paso 2: Asignar dispositivos.

Paso 2: Asignación de dispositivos

Mientras esté en Apple Business Manager, asigne dispositivos al nuevo servidor MDM (TestMDMServer o lo que le haya denominado). Para obtener más información e instrucciones, consulte Asignación, reasignación o anulación de la asignación de dispositivos en Apple Business Manager (abre la Guía del usuario de Apple Business Manager). Cuando haya terminado de asignar dispositivos, continúe con Paso 3: Cargar token de servidor MDM.

Paso 3: Carga del token de servidor MDM

Vuelva al centro de administración de Microsoft Intune para cargar el token de servidor MDM en Intune. Después de cargar el token, Microsoft Intune puede sincronizar e inscribir dispositivos iOS/iPadOS asignados a TestMDMServer.

1. En Id. de Apple, escriba el id. de Apple que usó para crear el token.
2. En Token de Apple, cargue el token de servidor que guardó anteriormente. El archivo debe estar en formato P7M.
3. Seleccione Siguiente.
4. Opcionalmente, aplique etiquetas de ámbito al token de inscripción para impedir que otros administradores accedan a él o realicen cambios en él. Para más información sobre las etiquetas de ámbito, consulte Usar control de acceso basado en roles (RBAC) y etiquetas de ámbito para TI distribuida.
5. Seleccione Siguiente.
6. En Revisar y crear, seleccione Crear para terminar de vincular Microsoft Intune y Apple Business Manager.

Microsoft Intune se sincroniza automáticamente con Apple Business Manager. Los dispositivos pueden tardar hasta 12 horas en aparecer en el centro de administración. Puede esperar a que estos dispositivos se sincronicen o iniciar manualmente la sincronización. Para iniciar la sincronización usted mismo, seleccione el token en la lista del Centro de administración y, a continuación, elija Sincronización de dispositivos>.

Paso 4: Creación de un perfil de inscripción de Apple

Cree un perfil de inscripción para dispositivos iOS/iPadOS de propiedad corporativa. Un perfil de inscripción de dispositivos define la configuración que se aplica a un grupo de dispositivos durante la inscripción.

1. Seleccione el token en el centro de administración y, a continuación, elija Perfiles>Crear perfil>iOS/iPadOS.

2. En la página Datos básicos, escriba TestProfile como Nombre y Prueba de ADE para dispositivos iOS/iPadOS como Descripción. Los usuarios no ven estos detalles.

3. Seleccione Siguiente.

4. En la páginaConfiguración de administración, decida si quiere que los dispositivos se inscriban con o sin Afinidad de usuario. La afinidad de usuario está diseñada para los dispositivos que utilizarán usuarios concretos. Si los usuarios van a usar el portal de empresa para servicios como la instalación de aplicaciones, seleccione Inscribir con afinidad de usuario. Si los usuarios no necesitan el Portal de empresa o desea aprovisionar el dispositivo para muchos usuarios, elija Inscribir sin afinidad de usuario.

5. Si opta por inscribir con afinidad de usuario, aparecerá la opción Seleccionar dónde deben autenticarse los usuarios. Decida si quiere Autenticar con el Portal de empresa o el Asistente de configuración de Apple.

   • Portal de empresa: seleccione esta opción para usar Multi-Factor Authentication, permitir que los usuarios cambien las contraseñas al iniciar sesión por primera vez o pedir a los usuarios que restablezcan sus contraseñas expiradas durante la inscripción. Si quiere que la aplicación Portal de empresa se actualice automáticamente en los dispositivos de los usuarios finales, implemente de forma independiente el Portal de empresa como aplicación requerida para estos usuarios a través del programa de compras por volumen (VPP) de Apple.
   • Asistente de configuración: seleccione esta opción para usar la autenticación HTTP básica que proporciona Apple a través del Asistente de configuración de Apple

6. Si decide inscribir con afinidad de usuario y autenticar con Portal de empresa, aparece la opción Instalar Portal de empresa con VPP. Si instala el Portal de empresa con un token de VPP, el usuario no tendrá que escribir un identificador y una contraseña de Apple para descargar el Portal de empresa desde la tienda de aplicaciones durante la inscripción. Elija Usar token: en Instalar Portal de empresa con VPP para seleccionar un token de VPP con licencias gratuitas del Portal de empresa disponibles. Si no quiere usar VPP para implementar el Portal de empresa, elija No usar VPP.

7. Si ha elegido Inscribir con afinidad de usuario, Autenticar con el Portal de empresa e Instalar Portal de empresa con VPP, decida si quiere ejecutar el Portal de empresa en el modo de aplicación única hasta la autenticación. Con esta configuración, puede asegurarse de que el usuario no tenga acceso a otras aplicaciones hasta que finalice la inscripción corporativa. Si quiere restringir al usuario a este flujo hasta que se haya completado la inscripción, elija Sí en Ejecutar el Portal de empresa en el modo de aplicación única hasta la autenticación.

8. En Configuración de administración de dispositivos, elija Sí en Supervisada (si elige Inscribir con afinidad de usuario, se establece automáticamente en Sí). Los dispositivos supervisados proporcionan la mayoría de las opciones de administración para los dispositivos iOS/iPadOS corporativos.

9. Elija Sí en Inscripción bloqueada para asegurarse de que los usuarios no pueden quitar la administración del dispositivo corporativo.

10. Elija una opción en Sincronizar con equipos para determinar si los dispositivos iOS/iPadOS se podrán sincronizar con los equipos.

11. De forma predeterminada, Apple asigna un nombre al dispositivo con el tipo de dispositivo, como iPad. Si quiere especificar otra plantilla de nombre, elija Sí en Aplicar plantilla de nombre de dispositivo. Escriba el nombre que quiera aplicar a los dispositivos, donde las cadenas {{SERIAL}} y {{DEVICETYPE}} sustituirán el número de serie y el tipo de cada dispositivo. En caso contrario, elija No en Aplicar plantilla de nombre de dispositivo.

12. Elija Siguiente.

13. En la página Asistente de configuración, escriba Departamento de tutoriales como Nombre del departamento. Esta cadena es lo que los usuarios verán cuando pulsen Acerca de la configuración durante la activación del dispositivo.

14. En Teléfono del departamento, escriba un número de teléfono. Este número aparece cuando los usuarios pulsan el botón Necesito ayuda durante la activación.

15. Puede mostrar u ocultar varias pantallas durante la activación del dispositivo. Para obtener la mejor experiencia de inscripción, establezca todas las pantallas en Ocultar.

16. Elija Siguiente para ir a la página Revisar y crear. Seleccione Crear.

Paso 5: Asignación de un perfil de inscripción a dispositivos iOS/iPadOS

Debe asignar un perfil del Programa de inscripción a los dispositivos para poder inscribirlos. Estos dispositivos se sincronizan con Intune desde Apple y se les debe asignar el token de servidor MDM correcto en el portal de ABM, ASM o ADE.

1. En el centro de administración, elija el token de la lista.
2. Seleccione Dispositivos y elija los dispositivos que desea asignar.
3. Seleccione Asignar perfil.
4. En Asignar perfil, elija un perfil para los dispositivos >Asignar.

Nota:

Asegúrese de que Restricciones de tipo de dispositivo en Restricciones de inscripción no tiene la directiva predeterminada Todos los usuarios establecida para bloquear la plataforma iOS/iPadOS. Esta configuración provocará un error en la inscripción automatizada y el dispositivo se mostrará como Perfil no válido, independientemente de la atestación del usuario. Para permitir la inscripción solo por dispositivos administrados por la empresa, bloquee solo los dispositivos de propiedad personal, lo que permitirá que los dispositivos corporativos se inscriban. Microsoft define un dispositivo corporativo como un dispositivo inscrito a través de un Programa de inscripción de dispositivos o un dispositivo que se especifica manualmente en Identificadores de dispositivo corporativos.

Paso 6: Distribuir dispositivos a los usuarios

Ha configurado la administración y sincronización entre Apple e Intune, y ha asignado un perfil para permitir la inscripción de los dispositivos de ADE. Ahora puede distribuir los dispositivos a los usuarios. Los dispositivos con afinidad de usuario necesitan que a cada usuario se le asigne una licencia de Intune.

Siguientes pasos

Puede encontrar más información sobre otras opciones disponibles para la inscripción de dispositivos iOS/iPadOS.

Documentación técnica para la inscripción automatizada de dispositivos iOS/iPadOS