Configuración de la inscripción de dispositivos macOS en Intune
Microsoft Intune admite la inscripción en equipos Mac personales y propiedad de la empresa. En este artículo se describen los métodos y características que puede usar para inscribir dispositivos personales, dispositivos propiedad de la empresa y máquinas virtuales (VM).
Habilitar la inscripción en Microsoft Intune
Complete estos pasos primero para habilitar la inscripción en el inquilino de Microsoft Intune.
- Verifique que los dispositivos son aptos para la inscripción de dispositivos de Apple
- Configurar dominios
- Establecer la entidad de MDM
- Obtener un certificado push MDM de Apple
- Asignación de licencias de usuario en el Centro de administración de Microsoft 365
- Crear grupos
- Configurar la aplicación Portal de empresa
Inscribir dispositivos
Después de habilitar la inscripción, use uno de los métodos admitidos que se describen en esta sección para inscribir dispositivos propiedad del usuario y de la empresa.
Dispositivos macOS propiedad del usuario (BYOD)
Intune admite bring-your-own-device o BYOD, que permite a las personas inscribir sus propios dispositivos personales. Para finalizar la configuración de la inscripción para escenarios BYOD, indique a los usuarios con licencia que usen una de estas opciones para inscribir dispositivos:
- Inicie sesión en Portal de empresa sitio web y siga las instrucciones en pantalla para agregar el dispositivo.
- Instale Portal de empresa aplicación para Mac en aka.ms/EnrollMyMac y siga las instrucciones en pantalla para agregar el dispositivo.
Dispositivos macOS propiedad de la empresa
Intune admite los siguientes métodos de inscripción para dispositivos macOS propiedad de la empresa. Seleccione un método con hipervínculos para abrir los pasos de configuración.
- inscripción automatizada de dispositivos de Apple: use este método para automatizar la experiencia de inscripción en los dispositivos adquiridos a través de Apple Business Manager o Apple School Manager. La inscripción de dispositivos automatizada implementa el perfil de inscripción por vía inalámbrica, por lo que no es necesario tener acceso físico a los dispositivos.
- Administrador de inscripción de dispositivos (DEM): use este método para implementaciones a gran escala y cuando haya varias personas en su organización que puedan ayudar con la configuración de la inscripción. Alguien con permisos de administrador de inscripción de dispositivos (DEM) puede inscribir hasta 1000 dispositivos con una sola cuenta de Microsoft Entra. Este método usa la aplicación Portal de empresa o la aplicación Microsoft Intune para inscribir dispositivos. No puede usar una cuenta de DEM para inscribir dispositivos a través de la inscripción de dispositivos automatizada.
- Inscripción directa: la inscripción directa inscribe dispositivos sin afinidad de usuario, por lo que este método es mejor para los dispositivos que no están asociados a un solo usuario. Este método requiere que tenga acceso físico a los equipos Mac que está inscribiendo.
Tokens de arranque
Intune admite el uso de tokens de arranque en equipos Mac inscritos que ejecutan macOS 10.15 o posterior. Los tokens de arranque conceden el estado de propiedad del volumen a las cuentas de usuario local y de invitado, para que los usuarios que no sean administradores puedan aprobar operaciones importantes que, de otro modo, tendría que realizar un administrador. Operaciones como:
Actualizaciones de software iniciadas por el usuario
Instalación de la extensión de kernel en Apple Silicon
Puede usar tokens de arranque en equipos Mac supervisados y equipos Mac inscritos a través de la inscripción automatizada de dispositivos macOS.
Obtener token de arranque
El token de arranque se genera automáticamente cuando:
- Un equipo Mac recién inscrito se registra con Intune y
- Un usuario habilitado para token seguro (normalmente un administrador de Intune) inicia sesión en el equipo Mac con su contraseña de texto no cifrado
A continuación, el token se custodia automáticamente para Microsoft Intune. Puede usar una herramienta de línea de comandos para ver, generar y custodiar manualmente un token de arranque en dispositivos macOS compatibles, si es necesario. Para obtener más información sobre los comandos, consulte Usar token seguro, token de arranque y propiedad del volumen en implementaciones en el soporte técnico de Apple.
Supervisión del estado de la custodia de arranque
Podrá supervisar el estado de la custodia de cualquier equipo Mac inscrito en el centro de administración. La propiedad de hardware Token de arranque custodiado indica si el token de arranque ha sido custodiado en Intune. Intune notifica Sí cuando el token se haya custodiado correctamente y No cuando no se haya custodiado.
- Inicie sesión en el Centro de administración de Microsoft Intune.
- Vaya a Dispositivos>por plataforma>macOS.
- Seleccione un dispositivo de la lista de dispositivos macOS.
- Seleccione Hardware.
- En los detalles de hardware, desplácese hacia abajo hasta Acceso condicional>Token de arranque custodiado.
Administración de extensiones de kernel y actualizaciones de software
Importante
Las extensiones de kernel ya no se recomiendan para macOS. Apple recomienda usar extensiones del sistema siempre que sea posible. Para obtener más información, consulte La guía de seguridad de la plataforma de Apple: extensión segura del kernel en macOS en soporte técnico de Apple.
Se puede usar un token de arranque para aprobar la instalación de extensiones de kernel y actualizaciones de software en un equipo Mac con Apple Silicon.
Las actualizaciones de software iniciadas por el usuario se pueden llevar a cabo con un token de arranque en equipos Mac que ejecutan macOS, versión 11.1, y se inscriben a través de la inscripción de dispositivos automatizada. Para autorizar las actualizaciones de software iniciadas por el usuario en un dispositivo que no está inscrito a través de la inscripción automatizada de dispositivos, debe reiniciar el equipo Mac en modo de recuperación y cambiar a una versión anterior su configuración de seguridad. También puede usar el token de arranque para las actualizaciones de software en equipos Mac que ejecutan macOS 11.2 y versiones posteriores, con el único requisito de que el dispositivo debe supervisarse.
La administración de extensiones de kernel está disponible automáticamente en equipos Mac que ejecutan macOS 11 o posterior e inscritos a través de la inscripción de dispositivos automatizada. Para autorizar la administración remota de extensiones de kernel en un dispositivo que no está inscrito a través de la inscripción automatizada de dispositivos, debe reiniciar el equipo Mac en modo de recuperación y cambiar a una versión anterior su configuración de seguridad. Para obtener más información, consulte Cambiar la configuración de seguridad en el disco de inicio de un equipo Mac con Apple Silicon en el soporte técnico de Apple.
Bloqueo de la inscripción de macOS
De forma predeterminada, Intune permite la inscripción de dispositivos macOS. Para impedir que los dispositivos macOS se inscriba, consulte Establecer una restricción de plataforma de dispositivo.
Inscribir máquinas virtuales macOS para realizar pruebas
Nota:
Intune admite máquinas macOS virtuales solo con fines de prueba. No use máquinas virtuales (VM) como dispositivos oficiales para empleados o alumnos.
Intune admite máquinas virtuales que ejecutan:
- Parallels para escritorio
- Fusión de VMware
- Apple Silicon
Intune debe conocer el modelo de hardware y el número de serie de la máquina virtual para reconocerlo e inscribirlo como un dispositivo. Si intenta inscribir una máquina virtual sin proporcionar esos detalles, se produce un error en la inscripción. En esta sección se proporciona más información sobre cómo satisfacer este requisito antes de la inscripción.
Parallels para escritorio
Modifique las opciones de configuración de la máquina virtual para agregar o cambiar un número de serie de máquina virtual y un identificador de modelo de hardware. Escriba cualquier cadena de caracteres alfanuméricos para el número de serie. Para el modelo de hardware, se recomienda usar el modelo del dispositivo que ejecuta la máquina virtual. Para buscar el modelo de hardware del equipo Mac, seleccione el menú de Apple y vaya a Acerca de este Mac>Informe del sistema>Identificador de modelo.
Para obtener más información, vea los temas siguientes en la Knowledge Basen de Parallels:
- Cómo inscribir una máquina virtual macOS en Parallels Desktop mediante Intune
- Cómo buscar y cambiar el número de serie
Fusión de VMware
Agregue las líneas siguientes al archivo .vmx para establecer el modelo de hardware y el número de serie de la máquina virtual. Los valores que se muestran en este ejemplo son ejemplos.
serialNumber = "ABC123456789"
hw.model = "MacBookAir10,1"
Escriba cualquier cadena de caracteres alfanuméricos para el número de serie. Para el modelo de hardware, se recomienda usar el modelo del dispositivo que ejecuta la máquina virtual. Para buscar el modelo de hardware del equipo Mac, seleccione el menú de Apple y vaya a Acerca de este Mac>Informe del sistema>Identificador de modelo.
VMware Fusion solo se admite en Equipos Mac Intel. Consulte el sitio web de VMware Customer Connect para obtener más información sobre editar el archivo .vmx de la máquina virtual de VMware Fusion.
Apple Silicon
No se requieren cambios en las máquinas virtuales que se ejecutan en hardware de Apple Silicon. Parallels Desktop se admite en macs con Apple Silicon, por lo que si configura una máquina virtual de esta manera, no es necesario modificar el identificador del modelo de hardware ni el número de serie.
Inscripción de usuario aprobada
Todas las inscripciones de Mac en Intune se consideran aprobadas por el usuario. La inscripción aprobada por el usuario le permite administrar dispositivos macOS que no forman parte de Apple School Manager o Apple Business Manager. Proporciona el mismo nivel de control que los dispositivos macOS supervisados inscritos mediante inscripción de dispositivos automatizada o Apple Configurator.
Intune activa automáticamente la supervisión de dispositivos aprobados por el usuario que ejecutan macOS 11 y versiones posteriores. También lo hace para los dispositivos inscritos que posteriormente se actualizan a macOS 11 o posterior.
Nota:
Intune anunció la compatibilidad con la inscripción aprobada por el usuario en junio de 2020. Las inscripciones de BYOD que se produjeron antes de ese momento podrían no ser aprobadas por el usuario. Para obtener más información sobre la aprobación de los dispositivos de Apple por parte del usuario, consulte Inscripción MDM aprobada por el usuario en el sitio web de soporte técnico de Apple.
Experiencia del usuario
El usuario del dispositivo inicia sesión en la aplicación Portal de empresa para iniciar la inscripción. Portal de empresa, a continuación, abre las preferencias del sistema del dispositivo y pide al usuario que instale el perfil de administración. Portal de empresa proporciona instrucciones desde la aplicación para ayudar a los usuarios a encontrar el perfil. Los usuarios van aPerfilesde preferencias> del sistema para aprobar la instalación del perfil de administración. Los usuarios de dispositivos que no proporcionan aprobación durante la inscripción pueden volver a las preferencias del sistema más adelante para dar la aprobación.
Averiguar si el dispositivo está aprobado por el usuario
- En el Centro de administración, seleccione Dispositivos>Todos los dispositivos.
- Elija un dispositivo macOS.
- En el menú lateral, seleccione Hardware.
- Compruebe el valor situado junto a Inscripciones aprobadas por el usuario.
Copia de seguridad y restauración con Apple Migration Assistant
Use Apple Migration Assistant para realizar copias de seguridad y restaurar un dispositivo macOS. Puede usar la herramienta para realizar una copia de seguridad de un Equipo Mac y restaurar los datos de la aplicación en un nuevo dispositivo. Es importante saber lo siguiente:
- No se realiza una copia de seguridad del perfil de administración en el Equipo Mac original. El dispositivo se envía un nuevo perfil de administración a medida que el nuevo Mac se vuelve a inscribir. Esto sucede en los Equipos Mac que pasan por la inscripción de dispositivos automatizada de Apple y los Equipos Mac que no pasan por la inscripción automatizada de dispositivos.
- Es posible que las credenciales de la aplicación portal de empresa se restauren en el nuevo Equipo Mac después de pasar por Migration Assistant e inscribirse. Si esto ocurre, se recomienda que usted o el usuario del dispositivo completen los pasos siguientes para borrar los datos de la aplicación:
- Cierre la sesión de la aplicación Portal de empresa.
- Inicie sesión en la aplicación o en el sitio web del Portal de empresa.
Siguientes pasos
Para obtener documentación de ayuda del usuario, que proporciona instrucciones de inscripción paso a paso para los usuarios de dispositivos, consulte Inscribir el dispositivo macOS en Intune. También puede crear sus propias instrucciones si prefiere capturar la experiencia de inscripción personalizada o con la marca de su organización.
Una vez que los dispositivos macOS se hayan inscrito, puede crear una configuración personalizada para dispositivos macOS.