Guía de implementación: Administración de dispositivos iOS/iPadOS en Microsoft Intune
Intune admite la administración de dispositivos móviles (MDM) de iPads y iPhones para conceder acceso seguro a los usuarios al correo electrónico, los datos y las aplicaciones profesionales. En esta guía se proporcionan instrucciones específicas de iOS para ayudarle a configurar la inscripción e implementar aplicaciones y directivas en usuarios y dispositivos.
Requisitos previos
Antes de comenzar, complete estos requisitos previos para habilitar la administración de dispositivos iOS/iPadOS en Intune. Para obtener información más detallada sobre cómo configurar Intune, incorporar dispositivos o trasladarlos a esta plataforma, consulte la guía de implementación de la configuración de Intune.
- Agregar usuarios y grupos
- Asignar licencias a los usuarios
- Establecer la entidad de administración de dispositivos móviles
- Configurar el certificado push MDM de Apple (APNs)
Para obtener información sobre los roles y permisos de Microsoft Intune, consulte RBAC con Microsoft Intune. Los roles Administrador global de Microsoft Entra y Administrador de Intune tienen derechos completos en Microsoft Intune. El administrador global tiene más permisos de los necesarios para muchas tareas de administración de dispositivos en Microsoft Intune. Se recomienda usar el rol con privilegios mínimos necesario para completar las tareas. Por ejemplo, el rol con privilegios mínimos que puede completar tareas de inscripción de dispositivos es el Administrador de perfiles y directivas, un rol integrado de Intune.
Planear la implementación
La guía de planeamiento de Microsoft Intune proporciona instrucciones y consejos para ayudarlo a determinar los objetivos, los casos de uso y los requisitos. También se describe cómo crear planes de implementación, comunicación, soporte técnico, pruebas y validación.
Crear reglas de cumplimiento
Use directivas de cumplimiento para definir las reglas y condiciones que deben cumplir los usuarios y dispositivos para acceder a los recursos protegidos. Si usa el acceso condicional, las directivas de acceso condicional pueden usar los resultados de cumplimiento de dispositivos para bloquear el acceso a los recursos desde dispositivos no compatibles. Para obtener una explicación detallada sobre las directivas de cumplimiento y cómo empezar, consulte Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune.
Tarea | Detalles |
---|---|
Crear una directiva de cumplimiento | Obtenga instrucciones paso a paso sobre cómo crear y asignar una directiva de cumplimiento a grupos de usuarios y dispositivos. |
Agregar acciones para incumplimiento | Elija lo que sucede cuando los dispositivos ya no cumplen las condiciones de la directiva de cumplimiento. Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva. |
Crear una directiva de acceso condicional basada en dispositivo o basada en la aplicación | Especifique la aplicación o los servicios que desea proteger y defina las condiciones de acceso. |
Bloquear el acceso a aplicaciones que no usan la autenticación moderna | Cree una directiva de acceso condicional basada en aplicaciones para bloquear las aplicaciones que usan métodos de autenticación distintos de OAuth2; por ejemplo, las aplicaciones que usan la autenticación básica y basada en formularios. Sin embargo, antes de bloquear el acceso, inicie sesión en Microsoft Entra ID y revise el informe de actividad de métodos de autenticación para ver si los usuarios usan la autenticación básica para acceder a elementos esenciales que olvidó o de los que no conoce. Por ejemplo, elementos como los quioscos de calendario de las salas de reuniones usan la autenticación básica. |
Configuración de la seguridad del punto de conexión
Use las características de seguridad del punto de conexión de Intune para configurar la seguridad de los dispositivos y administrar las tareas de seguridad de los dispositivos en riesgo.
Tarea | Detalles |
---|---|
Administrar dispositivos con características de seguridad del punto de conexión | Use la configuración de seguridad del punto de conexión en Intune para administrar de forma eficaz la seguridad de los dispositivos y corregir los problemas de los dispositivos. |
Habilitar el conector Mobile Threat Defense (MTD) para dispositivos no inscritos | Habilite la conexión de MTD en Intune para que las aplicaciones asociadas de MTD puedan funcionar con Intune y sus directivas. Si no usa Microsoft Defender para punto de conexión, considere la posibilidad de habilitar el conector para que pueda usar otra solución de Mobile Threat Defense. |
Crear una directiva de protección de aplicaciones de MTD | Cree una directiva de protección de aplicaciones de Intune que evalúe el riesgo y limite el acceso corporativo de un dispositivo en función del nivel de amenaza. |
Agregar aplicaciones MTD a dispositivos no inscritos | Ponga las aplicaciones de MTD a disposición de los usuarios de su organización y configure Microsoft Authenticator para iOS/iPadOS. |
Usar el acceso condicional para limitar el acceso a Microsoft Tunnel | Utilice las directivas de acceso condicional para regular el acceso de los dispositivos a su puerta de enlace de VPN de Microsoft Tunnel. |
Configurar los ajustes del dispositivo
Use Microsoft Intune para habilitar o deshabilitar la configuración y las características en dispositivos iOS/iPadOS. Para configurar y aplicar estas opciones, cree un perfil de configuración de dispositivo y, a continuación, asigne el perfil a los grupos de su organización. Los dispositivos reciben el perfil una vez que se inscriben.
Tarea | Detalles |
---|---|
Creación de un perfil de dispositivo en Microsoft Intune | Obtenga información sobre los diferentes tipos de perfiles de dispositivo que puede crear para su organización. |
Configurar características de dispositivo | Configure características y funcionalidades comunes de iOS/iPadOS para un contexto profesional o educativo. Para obtener una descripción de la configuración de esta área, consulte la referencia de características del dispositivo. |
Configurar perfil Wi-Fi | Este perfil permite a los usuarios buscar la red Wi-Fi de su organización y conectarse a ella. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de la red Wi-Fi. |
Configurar el perfil de VPN | Configure una opción de VPN segura, como Microsoft Tunnel, para las personas que se conectan a la red de su organización. También puede crear una directiva de VPN por aplicación para exigir a los usuarios que inicien sesión en determinadas aplicaciones a través de una conexión VPN. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de VPN. |
Configurar el perfil de correo electrónico | Configure los valores de correo electrónico para que los usuarios puedan conectarse a un servidor de correo electrónico y acceder a su dirección de correo electrónico profesional o educativa. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de correo electrónico. |
Restringir las características del dispositivo | Proteja a los usuarios contra el acceso no autorizado y las distracciones limitando las características del dispositivo que pueden usar en su entorno profesional o educativo. Para obtener una descripción de la configuración de esta área, consulte la referencia de las restricciones del dispositivo. |
Configurar perfil personalizado | Agregue y asigne configuraciones y características del dispositivo que no están integradas en Intune. |
Personalizar la marca y la experiencia de inscripción | Personalice el Portal de empresa de Intune y la experiencia de la aplicación Microsoft Intune con sus propias palabras, la personalización de marca, las preferencias de pantalla y la información de contacto de su organización. |
Configurar la directiva de actualización de software | Programe actualizaciones e instalaciones automáticas del sistema operativo para dispositivos iOS/iPadOS supervisados. |
Configuración de métodos de autenticación seguros
Configure métodos de autenticación en Intune para asegurarse de que solo las personas autorizadas acceden a los recursos internos. Intune admite la autenticación multifactor, los certificados y las credenciales derivadas. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.
Tarea | Detalles |
---|---|
Requerir autenticación multifactor (MFA) | Obligue a las personas a proporcionar dos formas de credenciales en el momento de la inscripción. |
Creación de un perfil de certificado de confianza | Cree e implemente un perfil de certificado de confianza antes de crear un perfil de certificado SCEP, PKCS o PKCS importado. El perfil de certificado de confianza implementa el certificado raíz de confianza en dispositivos y usuarios mediante certificados SCEP, PKCS y PKCS importados. |
Usar certificados SCEP con Intune | Obtenga información sobre lo que se necesita para usar certificados SCEP con Intune y configure la infraestructura necesaria. Después de hacerlo, puede crear un perfil de certificado SCEP o configurar una entidad de certificación de terceros con SCEP. |
Usar certificados PKCS con Intune | Configure la infraestructura necesaria (por ejemplo, los conectores de certificados locales), exporte un certificado PKCS y agregue el certificado a un perfil de configuración de dispositivos de Intune. |
Usar certificados PKCS importados con Intune | Configure los certificados PKCS importados, que le permiten configurar y usar S/MIME para cifrar el correo electrónico. |
Configurar un emisor de credenciales derivadas | Aprovisione dispositivos iOS/iPadOS con certificados derivados de tarjetas inteligentes de usuario. |
Implementar aplicaciones
Al configurar aplicaciones y directivas de aplicaciones, piense en los requisitos de su organización, como las plataformas que admitirá, las tareas que realizan los usuarios, el tipo de aplicaciones que necesitan para completar esas tareas y, por último, quién las necesita. Puede usar Intune para administrar todo el dispositivo (incluidas las aplicaciones) o para administrar solo las aplicaciones.
Tarea | Detalles |
---|---|
Agregar aplicaciones de Store | Agregue aplicaciones de iOS/iPadOS desde el App Store a Intune y asígnelas a grupos. |
Agregar aplicaciones web | Agregue aplicaciones web a Intune y asígnelas a grupos. |
Agregar aplicaciones integradas | Agregue aplicaciones integradas a Intune y asígnelas a grupos. |
Agregar aplicaciones de línea de negocio | Agregue aplicaciones de línea de negocio (LOB) de iOS/iPadOS a Intune y asígnelas a grupos. |
Asignar aplicaciones a grupos | Asigne aplicaciones a usuarios y dispositivos. |
Incluir y excluir asignaciones de aplicaciones | Controle el acceso y la disponibilidad de una aplicación mediante la inclusión y exclusión de grupos seleccionados de la asignación. |
Administrar aplicaciones de iOS/iPadOS adquiridas a través de Apple Business Manager | Sincronice, administre y asigne aplicaciones adquiridas a través de Apple Business Manager. |
Administrar eBooks de iOS/iPadOS adquiridos a través de Apple Business Manager | Sincronice, administre y asigne libros adquiridos a través de Apple Business Manager. |
Crear una directiva de protección de aplicaciones de iOS/iPadOS | Mantenga los datos de su organización dentro de aplicaciones administradas como Outlook y Word. Consulte Configuración de directivas de protección de aplicaciones de iOS/iPadOS para obtener más información sobre cada opción de configuración. |
Crear un perfil de aprovisionamiento de aplicaciones | Evite que los certificados de aplicaciones expiren mediante la asignación proactiva de nuevos perfiles de aprovisionamiento a dispositivos que tienen aplicaciones que están a punto de expirar. |
Crear una directiva de configuración de aplicaciones | Aplique opciones de configuración personalizadas a aplicaciones de iOS/iPadOS en dispositivos inscritos. También puede aplicar estos tipos de directivas a aplicaciones administradas sin inscripción de dispositivos. |
Configurar Microsoft Edge | Use las directivas de configuración y protección de aplicaciones de Intune con Edge para iOS/iPadOS a fin de garantizar que se apliquen medidas de seguridad al acceder a los sitios web corporativos. |
Configurar aplicaciones de Microsoft Office | Use las directivas de configuración y protección de aplicaciones de Intune con aplicaciones de Office a fin de garantizar que se apliquen medidas de seguridad al acceder a los archivos corporativos. |
Configurar Microsoft Teams | Use las directivas de configuración y protección de aplicaciones de Intune con Teams a fin de garantizar que se apliquen medidas de seguridad al acceder a experiencias de colaboración en equipo. |
Configurar Microsoft Outlook | Use las directivas de configuración y protección de aplicaciones de Intune con Outlook a fin de garantizar que se apliquen medidas de seguridad al acceder al correo electrónico y los calendarios corporativos. |
Inscribir dispositivos
La inscripción de dispositivos les permite recibir las directivas que cree, por lo que debe tener listos los grupos de usuarios y los grupos de dispositivos de Microsoft Entra.
Para obtener información sobre cada método de inscripción y cómo elegir el adecuado para su organización, consulte la guía de inscripción de dispositivos de iOS/iPadOS para Microsoft Intune.
Tarea | Detalles |
---|---|
Configurar la inscripción de dispositivos automatizada (ADE) de Apple en Intune | Configure una experiencia de inscripción inmediata para dispositivos corporativos adquiridos a través de Apple School Manager o Apple Business Manager. Para ver un tutorial detallado de este proceso, consulte Tutorial: Uso de las características de inscripción de dispositivos corporativos de Apple en Apple Business Manager (ABM) para inscribir dispositivos iOS/iPadOS en Intune. |
Configurar Apple School Manager en Intune | Configure Intune para inscribir los dispositivos que adquiera mediante el programa de Apple School Manager. |
Configurar la inscripción de dispositivos con Apple Configurator | Cree un perfil de Apple Configurator para inscribir dispositivos corporativos (sin afinidad de usuario) a través de la inscripción directa, o para inscribir dispositivos borrados o nuevos (con afinidad de usuario) a través del Asistente para la configuración. Tendrá que exportar el perfil de Apple Configurator desde Intune, lo cual requiere una conexión USB a un equipo Mac que ejecute Apple Configurator. |
Identificar dispositivos como corporativos | Asigne el estado de propiedad corporativa a los dispositivos para habilitar más funcionalidades de administración e identificación en Intune. El estado de propiedad corporativa no se puede asignar a los dispositivos inscritos a través de Apple Business Manager. |
Configuración de la inscripción de usuarios de Apple | Cree un perfil de inscripción de usuario para implementar la experiencia de inscripción de usuarios de Apple en dispositivos mediante un identificador de Apple administrado. |
Configurar dispositivos iPad compartidos | Configure los dispositivos para que más de una persona los pueda usar (el tipo de configuración que vería en una biblioteca o entorno educativo). |
Hacer copia de seguridad de dispositivo y restaurarlo | Haga una copia de seguridad de un dispositivo y restáurelo para prepararlo para la inscripción o la migración en Intune, como durante la configuración de la inscripción de dispositivo automatizada. |
Cambiar la propiedad del dispositivo | Una vez inscrito un dispositivo, puede cambiar su etiqueta de propiedad en Intune a propiedad corporativa o personal. Este ajuste cambia la forma en que puede administrar el dispositivo. |
Solucionar problemas de inscripción | Solucione los problemas que se producen durante la inscripción o busque opciones para resolverlos. |
Ejecución de acciones remotas
Una vez configurados los dispositivos, podrá usar acciones remotas en Intune para administrar los dispositivos y solucionar sus problemas a distancia. La disponibilidad varía según la plataforma del dispositivo. Si una acción falta en el portal o está deshabilitada, no se admite en el dispositivo.
Tarea | Detalles |
---|---|
Realizar acciones remotas en dispositivos | Obtenga información sobre cómo explorar en profundidad dispositivos individuales en Intune, así como administrarlos de forma remota y solucionar sus problemas. En este artículo se enumeran todas las acciones remotas disponibles en Intune y los vínculos a esos procedimientos. |
Use TeamViewer para administrar dispositivos Intune de manera remota | Configure TeamViewer en Intune y aprenda a administrar un dispositivo de forma remota. |
Corregir las vulnerabilidades que identifica Microsoft Defender para punto de conexión | Integre Intune con Microsoft Defender para punto de conexión para aprovechar las ventajas de Administración de amenazas y vulnerabilidades de Defender para punto de conexión y usar Intune para corregir las debilidades de los puntos de conexión que se han identificado con la funcionalidad de administración de vulnerabilidades de Defender. |
Siguientes pasos
Consulte estos tutoriales de inscripción para aprender a realizar algunas de las tareas principales en Intune. Los tutoriales son contenidos de nivel 100 - 200 para usuarios nuevos en Intune o en un escenario específico.
- Recorrido por el Centro de administración de Intune
- Tutorial: Uso de las características de inscripción de dispositivos corporativos de Apple en Apple Business Manager (ABM) para inscribir dispositivos iOS/iPadOS en Intune
- Proteja el correo electrónico de Exchange Online en los dispositivos administrados
- Proteja el correo electrónico de Exchange Online en dispositivos no administrados
- Configure Slack para usar Intune para EMM y para configuración de aplicaciones
Para obtener la versión de Android de esta guía, consulte Guía de implementación: Administración de dispositivos Android en Microsoft Intune.