Guía de implementación: Administración de dispositivos macOS en Microsoft Intune
Proteja el acceso al correo electrónico, los datos y las aplicaciones del trabajo en dispositivos macOS. Este artículo le guía por las tareas específicas de macOS para ayudarle a habilitar la administración de dispositivos móviles de Intune para macOS, configurar directivas e implementar aplicaciones.
Requisitos previos
Complete los siguientes requisitos previos para habilitar la administración de dispositivos macOS en Intune:
- Agregar usuarios y grupos
- Asignar licencias a los usuarios
- Establecer la entidad de administración de dispositivos móviles
- Configurar el certificado push MDM de Apple (APNs)
Para obtener información sobre los roles y permisos de Microsoft Intune, consulte RBAC con Microsoft Intune. Los roles Administrador global de Microsoft Entra y Administrador de Intune tienen derechos completos en Microsoft Intune. El administrador global tiene más permisos de los necesarios para muchas tareas de administración de dispositivos en Microsoft Intune. Se recomienda usar el rol con privilegios mínimos necesario para completar las tareas. Por ejemplo, el rol con privilegios mínimos que puede completar tareas de inscripción de dispositivos es el Administrador de perfiles y directivas, un rol integrado de Intune.
Para obtener información más detallada sobre cómo realizar la configuración inicial, incorporarse o trasladarse a Microsoft Intune, vea la guía de implementación de configuración en Intune.
Planear la implementación
Use la Guía de planeamiento de Microsoft Intune para definir los objetivos de administración de dispositivos, los escenarios de casos de uso y los requisitos. También le ayudará a planear el despliegue, la comunicación, el soporte técnico, las pruebas y la validación. Por ejemplo, dado que la aplicación Portal de empresa para macOS no está disponible en el App Store, se recomienda tener un plan de comunicación para que los usuarios finales sepan cómo instalar Portal de empresa e inscribir sus dispositivos.
Inscribir dispositivos
Configure los métodos de inscripción y la experiencia para dispositivos macOS personales y propiedad de la empresa. Este paso garantiza que los dispositivos reciban directivas y configuraciones de Intune después de inscribirse. Intune admite la inscripción Bring Your Own Device (BYOD), la inscripción automatizada de dispositivos de Apple y la inscripción directa para dispositivos corporativos. Para obtener información sobre cada método de inscripción y cómo elegir el adecuado para su organización, consulte la Guía de inscripción de dispositivos macOS para Microsoft Intune.
Tarea | Detalles |
---|---|
Configuración de la inscripción de dispositivos macOS en Intune | Complete los requisitos previos de este artículo para habilitar la inscripción de dispositivos propiedad del usuario. También encontrará recursos de inscripción y vínculos para compartirlos con los usuarios del dispositivo para que tengan asistencia a lo largo de la experiencia de inscripción. Este método de inscripción es para organizaciones que tienen directivas Bring Your Own Device (BYOD). BYOD permite a los usuarios usar sus dispositivos personales para cosas relacionadas con el trabajo. |
Configuración de la inscripción de dispositivos automatizada (ADE) de Apple | Configure una experiencia de inscripción inmediata para dispositivos corporativos adquiridos mediante Apple School Manager o Apple Business Manager. Este método es ideal para las organizaciones que tienen un gran número de dispositivos que inscribir, ya que elimina la necesidad de tocar y configurar cada dispositivo individualmente. |
Configuración de la inscripción directa para dispositivos corporativos | Configure una experiencia de inscripción para dispositivos corporativos que no estén asociados con un solo usuario, como los dispositivos que se usan en un espacio compartido o en un entorno comercial. La inscripción directa no borra el dispositivo, por lo que es ideal usarla cuando los dispositivos no necesitan acceder a los datos del usuario local. Tendrá que exportar el perfil de inscripción directamente al Mac, lo que requiere una conexión USB a un equipo Mac que ejecute Apple Configurator. |
Agregar un administrador de inscripción de dispositivos | Las personas designadas como administradores de inscripción de dispositivos (DEM) pueden inscribir hasta 1000 dispositivos móviles corporativos a la vez. Las cuentas DEM son útiles en organizaciones que inscriben y preparan dispositivos antes de entregárselos a los usuarios. |
Identificar dispositivos como corporativos | Puede asignar el estado de propiedad corporativa a los dispositivos para habilitar más funcionalidades de administración e identificación en Intune. El estado de propiedad corporativa no se puede asignar a los dispositivos inscritos a través de Apple Business Manager. |
Cambiar la propiedad del dispositivo | Una vez inscrito un dispositivo, puede cambiar su etiqueta de propiedad en Intune a propiedad corporativa o personal. Este ajuste cambia la forma en que puede administrar el dispositivo. |
Solucionar problemas de inscripción | Solucione los problemas que se producen durante la inscripción o busque opciones para resolverlos. |
Crear reglas de cumplimiento
Cree directivas de cumplimiento para definir las reglas y condiciones que deben cumplir los usuarios y dispositivos para acceder a los recursos protegidos. De esta forma se asegura de que los dispositivos que acceden a los datos cumplen los estándares. Intune marca los dispositivos que no cumplen los requisitos como no conformes y toma medidas (como enviar al usuario una notificación, restringir el acceso o limpiar el dispositivo) según las configuraciones.
También puede crear directivas de Acceso condicional. Pueden funcionar junto con los resultados de cumplimiento de dispositivos para bloquear el acceso a los recursos desde dispositivos no compatibles. Para obtener una explicación detallada sobre las directivas de cumplimiento y cómo empezar, consulte Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune.
Tarea | Detalles |
---|---|
Crear una directiva de cumplimiento | Obtenga instrucciones paso a paso sobre cómo crear y asignar una directiva de cumplimiento a grupos de usuarios y dispositivos. |
Agregar acciones para incumplimiento | Elija lo que sucede cuando los dispositivos ya no cumplen las condiciones de la directiva de cumplimiento. Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva. |
Crear una directiva de acceso condicional basada en dispositivo o basada en la aplicación | Especifique la aplicación o los servicios que desea proteger y defina las condiciones de acceso. |
Bloquear el acceso a aplicaciones que no usan la autenticación moderna | Cree una directiva de acceso condicional basada en aplicaciones para bloquear las aplicaciones que usan métodos de autenticación distintos de OAuth2; por ejemplo, las aplicaciones que usan la autenticación básica y basada en formularios. Sin embargo, antes de bloquear el acceso, inicie sesión en Microsoft Entra ID y revise el informe de actividad de métodos de autenticación para ver si los usuarios usan la autenticación básica para acceder a elementos esenciales que olvidó o de los que no conoce. Por ejemplo, elementos como los quioscos de calendario de las salas de reuniones usan la autenticación básica. |
Configurar los ajustes del dispositivo
Use Microsoft Intune para habilitar o deshabilitar la configuración y las características en dispositivos macOS que se usen para trabajar. Para configurar y aplicar estas opciones, cree un perfil de configuración de dispositivo y, a continuación, asigne el perfil a los grupos de su organización.
Tarea | Detalles |
---|---|
Creación de un perfil de dispositivo en Microsoft Intune | Obtenga información sobre los diferentes tipos de perfiles de dispositivo que puede crear para su organización. |
Configurar características de dispositivo | Configure características y funcionalidades comunes de macOS. Para obtener una descripción de la configuración de esta área, consulte la referencia de características del dispositivo. |
Configurar perfil Wi-Fi | Este perfil permite a los usuarios buscar la red Wi-Fi de su organización y conectarse a ella. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de la red Wi-Fi. |
Configuración de un perfil de redes cableadas | Este perfil permite a los usuarios de equipos de escritorio conectarse a la red cableada de su organización. Para obtener una descripción de la configuración de esta área, consulte la referencia de redes cableadas. |
Configurar el perfil de VPN | Configure una opción de VPN segura, como Microsoft Tunnel, para las personas que se conectan a la red de su organización. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de VPN. |
Restringir las características del dispositivo | Proteja a los usuarios contra el acceso no autorizado y las distracciones limitando las características del dispositivo que pueden usar en su entorno profesional o educativo. Para obtener una descripción de la configuración de esta área, consulte la referencia de las restricciones del dispositivo. |
Configurar perfil personalizado | Agregue y asigne configuraciones y características del dispositivo que no están integradas en Intune. |
Adición y administración de extensiones de macOS | Agregue extensiones de kernel y del sistema, que permiten a los usuarios instalar extensiones de aplicaciones que amplían las funciones nativas del sistema operativo. Para obtener una descripción de la configuración de esta área, consulte la referencia de extensiones de macOS. |
Personalizar la marca y la experiencia de inscripción | Personalice el Portal de empresa de Intune y la experiencia de la aplicación Microsoft Intune con sus propias palabras, la personalización de marca, las preferencias de pantalla y la información de contacto de su organización. |
Configure la seguridad del punto de conexión
Use las características de seguridad del punto de conexión de Intune para configurar la seguridad de los dispositivos y administrar las tareas de seguridad de los dispositivos en riesgo.
Tarea | Detalles |
---|---|
Administrar dispositivos con características de seguridad del punto de conexión | Use la configuración de seguridad del punto de conexión en Intune para administrar de forma eficaz la seguridad de los dispositivos y corregir los problemas de los dispositivos. |
Usar el acceso condicional para limitar el acceso a Microsoft Tunnel | Utilice las directivas de acceso condicional para regular el acceso de los dispositivos a su puerta de enlace de VPN de Microsoft Tunnel. |
Agregar la configuración de Endpoint Protection | Configure características comunes de seguridad de Endpoint Protection, como Firewall, Gatekeeper y FileVault. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración de Endpoint Protection. |
Configure métodos de autenticación seguros
Configure métodos de autenticación en Intune para asegurarse de que solo las personas autorizadas acceden a los recursos internos. Intune admite la autenticación multifactor, los certificados y las credenciales derivadas. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.
Tarea | Detalles |
---|---|
Requerir autenticación multifactor (MFA) | Obligue a las personas a proporcionar dos formas de credenciales en el momento de la inscripción. |
Creación de un perfil de certificado de confianza | Cree e implemente un perfil de certificado de confianza antes de crear un perfil de certificado SCEP, PKCS o PKCS importado. El perfil de certificado de confianza implementa el certificado raíz de confianza en dispositivos y usuarios mediante certificados SCEP, PKCS y PKCS importados. |
Usar certificados SCEP con Intune | Obtenga información sobre lo que se necesita para usar certificados SCEP con Intune y configure la infraestructura necesaria. Después de hacerlo, puede crear un perfil de certificado SCEP o configurar una entidad de certificación de terceros con SCEP. |
Usar certificados PKCS con Intune | Configure la infraestructura necesaria (por ejemplo, los conectores de certificados locales), exporte un certificado PKCS y agregue el certificado a un perfil de configuración de dispositivos de Intune. |
Usar certificados PKCS importados con Intune | Configure los certificados PKCS importados, que le permiten configurar y usar S/MIME para cifrar el correo electrónico. |
Implementar aplicaciones
Al configurar aplicaciones y directivas de aplicaciones, piense en los requisitos de su organización, como las plataformas que admitirá, las tareas que hacen los usuarios, el tipo de aplicaciones que necesitan para completar esas tareas y quién las necesita. Puede usar Intune para administrar todo el dispositivo (incluidas las aplicaciones) o para administrar solo las aplicaciones.
Tarea | Detalles |
---|---|
Adición de la aplicación Portal de empresa de Intune | Aprenda cómo obtener Portal de empresa en dispositivos o indicar a los usuarios cómo hacerlo por sí mismos. |
Adición de Microsoft Edge | Agregue y asigne Microsof Edge en Intune. |
Adición de Microsoft 365 | Agregue y asigne aplicaciones de Microsoft 365 en Intune. |
Adición de aplicaciones de línea de negocio | Agregue y asigne aplicaciones de línea de negocio (LOB) de macOS en Intune. |
Asignación de aplicaciones a grupos | Después de agregar aplicaciones a Intune, asígnelas a usuarios y dispositivos. |
Incluir y excluir asignaciones de aplicaciones | Controle el acceso y la disponibilidad de una aplicación mediante la inclusión y exclusión de grupos seleccionados de la asignación. |
Uso de scripts de shell en dispositivos macOS | Use scripts de shell para ampliar las funciones de administración de dispositivos de Intune más allá de lo que admite el sistema operativo macOS. |
Ejecución de acciones remotas
Una vez configurados los dispositivos, podrá usar acciones remotas en Intune para administrar los dispositivos macOS y solucionar sus problemas a distancia. En los artículos siguientes se presentan las acciones remotas en Intune. Si falta una acción en el portal o está deshabilitada, entonces no se admite en macOS.
Tarea | Detalles |
---|---|
Realizar acciones remotas en dispositivos | Obtenga información sobre cómo explorar en profundidad dispositivos individuales en Intune, así como administrarlos de forma remota y solucionar sus problemas. En este artículo se enumeran todas las acciones remotas disponibles en Intune y los vínculos a esos procedimientos. |
Use TeamViewer para administrar dispositivos Intune de manera remota | Configure TeamViewer en Intune y aprenda a administrar un dispositivo de forma remota. |
Usar tareas de seguridad para ver amenazas y vulnerabilidades | Integre Intune con Microsoft Defender para punto de conexión para aprovechar las ventajas de Administración de amenazas y vulnerabilidades de Defender para punto de conexión y usar Intune para corregir las debilidades de los puntos de conexión que se han identificado con la funcionalidad de administración de vulnerabilidades de Defender. |
Siguientes pasos
Consulte Paseo por el Centro de administración de Intune para obtener un tutorial sobre cómo navegar y usar Intune. Los tutoriales son contenidos de nivel 100 - 200 para usuarios nuevos en Intune o en un escenario específico.
Para ver tutoriales sobre la implementación de aplicaciones, consulte los siguientes blogs de Microsoft Tech Community escritos por el equipo de soporte técnico de Intune:
Para otras versiones de esta guía, consulte: