Administrar dispositivos

Citrix Endpoint Management puede administrar, proteger e inventariar una amplia gama de tipos de dispositivo desde una sola consola de administración.

  • Puede utilizar un conjunto común de directivas de dispositivo para administrar los dispositivos compatibles. Para ver rápidamente las directivas de dispositivo disponibles por plataforma:

    1. En la consola de Endpoint Management, vaya a Configurar > Directivas de dispositivo.
    2. Haga clic en Agregar y, a continuación, seleccione las plataformas que quiera ver.

      Para obtener más información, consulte Filtrar la lista de las directivas de dispositivo agregadas.

  • Puede proteger la información de su empresa gracias a reglas de seguridad estrictas en cuanto a la identidad, los dispositivos de la empresa y BYOD, las aplicaciones, los datos y las redes. Para ello, especifique las identidades de usuario que se utilizarán para autenticarse en los dispositivos y defina cómo mantener separados los datos personales y empresariales en los dispositivos.

  • Puede entregar todo tipo de aplicaciones a los usuarios finales, independientemente del dispositivo o del sistema operativo. Puede proteger su información a nivel de aplicación al mismo tiempo que garantiza una administración de aplicaciones móviles a nivel de toda la empresa.

  • Puede utilizar unos controles de aprovisionamiento y configuración para configurar los dispositivos. Estos controles incluyen la inscripción de dispositivos, la aplicación de directivas y los privilegios de acceso.

  • Puede utilizar controles de seguridad y cumplimiento para crear un nivel base de seguridad personalizado gracias a desencadenantes basados en acciones. Por ejemplo, puede bloquear un dispositivo, borrar los datos que contenga o notificar al usuario de ese dispositivo de que no cumple las reglas de cumplimiento definidas.

  • Puede utilizar controles de actualización del sistema operativo para impedir o aplicar actualizaciones a los sistemas operativos. Esta función es fundamental para prevenir la pérdida de datos causada por vulnerabilidades específicas de cada sistema operativo.

Para acceder a los artículos referentes a cada plataforma compatible, expanda la sección “Administrar dispositivos” en el índice de contenido. En esos artículos se ofrecen datos específicos sobre cada plataforma de dispositivo. En el resto de este artículo se describe cómo realizar tareas generales de administración de dispositivos.

Flujos de trabajo de administración de dispositivos

En los diagramas de flujo de trabajo que contiene esta sección se ofrece una secuencia recomendada para realizar las tareas de administración de dispositivos.

  1. Requisitos previos recomendados para agregar dispositivos y aplicaciones: Realizar la siguiente configuración de antemano permite configurar dispositivos y aplicaciones sin causar interrupciones en el servicio.

    Diagrama sobre los pasos recomendados antes de agregar dispositivos y aplicaciones

    Consulte:

    Configurar usuarios y grupos

    Implementar recursos

    Configurar roles con RBAC

    Crear y actualizar plantillas de notificaciones

    Crear y administrar flujos de trabajo

  2. Agregar dispositivos:

    Diagrama para agregar dispositivos

    Consulte:

    Preparar la inscripción de dispositivos y la entrega de recursos

    Directivas de dispositivo

    Para implementar en grupos de entrega

    Acciones automatizadas

  3. Preparar invitaciones de inscripción: Realice estas tareas si va a utilizar invitaciones a la inscripción.

    Diagrama sobre la preparación de invitaciones a la inscripción

    Consulte:

    Configurar modos de inscripción

    Enviar una notificación a dispositivos

  4. Agregar aplicaciones:

    Diagrama para agregar aplicaciones

    Consulte:

    MDX Service

    Agregar aplicaciones

    Crear categorías de aplicaciones

    Crear y administrar flujos de trabajo

    Para implementar en grupos de entrega

  5. Realizar una administración continua de dispositivos y aplicaciones: Además de utilizar el panel de control de Endpoint Management, se le recomienda consultar el contenido de Novedades de cada versión. El artículo “Novedades” ofrece información sobre las acciones necesarias, como la configuración de nuevas directivas de dispositivo.

    Diagrama sobre la administración de aplicaciones y dispositivos

    Consulte:

    Supervisar y ofrecer asistencia

    Informes

    Acciones de seguridad

    Novedades

    Directivas de dispositivo

Invitaciones de inscripción

Para poder administrar dispositivos del usuario de forma remota y segura, dichos dispositivos deben inscribirse en Endpoint Management. El software cliente de Endpoint Management debe estar instalado en el dispositivo del usuario y el usuario debe haberse autenticado. A continuación, se instalan Endpoint Management y el perfil del usuario. Para obtener detalles de inscripción para plataformas de dispositivos compatibles, consulte los artículos de dispositivos en esta sección.

Desde la consola de Endpoint Management, puede enviar a los usuarios una inscripción de dispositivos iOS, macOS y Android. También puede enviar un enlace de instalación a los usuarios con dispositivos iOS o Android.

Las invitaciones de inscripción se envían de la siguiente manera:

  • Si la invitación de inscripción es para un usuario local o un usuario de Active Directory: el usuario recibe la invitación por SMS en el número de teléfono y nombre de operador que usted especifique.

  • Si la invitación de inscripción es para un grupo: los usuarios reciben invitaciones por SMS. Si los usuarios de Active Directory tienen una dirección de correo electrónico y un número de teléfono móvil en Active Directory, recibirán la invitación. Los usuarios locales reciben la invitación en el número de teléfono y correo electrónico especificado en las propiedades de usuario.

Después de que los usuarios se inscriban, sus dispositivos aparecen como administrados en Administrar > Dispositivos. El estado de la URL de invitación aparece como Canjeado.

Requisitos previos

  • LDAP configurado
  • Si utiliza grupos locales y usuarios locales:

    • Uno o varios grupos locales.

    • Usuarios locales asignados a grupos locales.

    • Los grupos de entrega se asocian con grupos locales.

  • Si usa Active Directory:

    • Los grupos de entrega se asocian con grupos de Active Directory.

Crear invitación de inscripción

  1. En la consola de Endpoint Management, haga clic en Administrar > Inscripciones. Aparecerá la página Invitaciones de inscripción.

    Imagen de la página Inscripciones de la consola Endpoint Management

  2. Haga clic en Agregar. Aparecerá un menú con opciones de inscripción.

    Imagen del menú Agregar invitación

    • Para enviar una invitación de inscripción a un usuario o un grupo, haga clic en Agregar invitación.
    • Si quiere enviar un enlace de instalación para la inscripción a una lista de destinatarios a través de SMTP o SMS, haga clic en Enviar enlace de instalación.

    El envío de invitaciones de inscripción y enlaces de instalación se describe después de estos pasos.

  3. Haga clic en Agregar invitación. Aparecerá la pantalla Invitación de inscripción.

    Imagen de la pantalla Invitación de inscripción

  4. Configure estos parámetros:

    • Destinatario: Elija Grupo o Usuario.
    • Seleccionar una plataforma: Si el Destinatario es un Grupo, se seleccionan todas las plataformas. Puede cambiar las plataformas seleccionadas. Si el Destinatario es un Usuario, no se selecciona ninguna plataforma. Seleccione una plataforma.
    • Propietario del dispositivo: Seleccione Empresa o Empleado.

    Aparecerán parámetros para usuarios o grupos, como se describe en las secciones siguientes.

Para enviar una invitación de inscripción a un usuario

Imagen de los parámetros de Invitación de inscripción

  1. Configure estos parámetros de Usuario:

    • Nombre de usuario: Escriba un nombre de usuario. Este usuario debe existir en el servidor Endpoint Management como usuario local, o bien como usuario en Active Directory. Si el usuario es local, defina la propiedad de correo electrónico del usuario de forma acorde para poder enviarle notificaciones. Si se trata de un usuario de Active Directory, compruebe que LDAP está configurado.
    • Información del dispositivo: Este parámetro no aparece si se seleccionan varias plataformas, o si se selecciona solo macOS. Elija Número de serie, UDID o IMEI. Después de elegir una opción, aparece un campo en el que puede escribir el valor correspondiente del dispositivo.
    • Número de teléfono: Este parámetro no aparece si se seleccionan varias plataformas, o si se selecciona solo macOS. Si quiere, introduzca el número de teléfono del usuario.
    • Operador: Este parámetro no aparece si se seleccionan varias plataformas, o si se selecciona solo macOS. Seleccione un operador para asociarlo con el número de teléfono del usuario.
    • Modo de inscripción: Elija cómo quiere que se inscriban los usuarios. El valor predeterminado es Nombre de usuario y contraseña. Algunas de las siguientes opciones no están disponibles para todas las plataformas:
      • Nombre de usuario y contraseña
      • Alta seguridad
      • URL de invitación
      • URL de invitación + PIN
      • URL de invitación + contraseña
      • Dos factores
      • Nombre de usuario y PIN

    Solo aparecen las opciones de modo de inscripción que son válidas para cada plataforma seleccionada. Un PIN de inscripción se denomina también un PIN de un solo uso. Este tipo de PIN es válido solamente cuando se inscribe el usuario.

    Nota:

    Cuando seleccione un modo de inscripción que incluya un PIN, aparecerá el campo Plantilla para PIN de inscripción. Deberá hacer clic en PIN de inscripción.

    • Plantilla para la descarga del agente: Elija la plantilla de enlace de descarga denominada Enlace de descarga. Esa plantilla es para todas las plataformas compatibles.
    • Plantilla para URL de inscripción: Elija Invitación de inscripción.
    • Plantilla para confirmación de la inscripción: Elija Confirmación de la inscripción.
    • Caduca después de: Este campo se establece cuando se configura el modo de inscripción y se indica cuándo caduca la inscripción. Para obtener más información sobre cómo configurar modos de inscripción, consulte Configurar modos de inscripción.
    • Máximo de intentos: Este campo se establece cuando se configura el modo de inscripción y se indica la cantidad máxima de veces que tiene lugar el proceso de inscripción.
    • Enviar invitación: Active la opción para enviar la invitación inmediatamente. Desactívela para agregar la invitación a la tabla en la página Invitaciones de inscripción sin enviarla.
  2. Haga clic en Guardar y enviar si habilitó Enviar invitación. De lo contrario, haga clic en Guardar. La invitación aparecerá en la tabla de la página Invitaciones de inscripción.

    Imagen de la tabla en la página Invitaciones de inscripción

Para enviar una invitación de inscripción a un grupo

En la imagen siguiente, se muestran los parámetros de una invitación de inscripción para un grupo.

Imagen de la página Invitación de inscripción para un grupo

  1. Configure estos parámetros:

    • Dominio: Elija el dominio del grupo que recibirá la invitación.
    • Grupo: Elija el grupo que recibirá la invitación.
    • Modo de inscripción: Elija cómo quiere que se inscriban los usuarios del grupo. El valor predeterminado es Nombre de usuario y contraseña. Algunas de las siguientes opciones no están disponibles para todas las plataformas:
      • Nombre de usuario y contraseña
      • Alta seguridad
      • URL de invitación
      • URL de invitación + PIN
      • URL de invitación + contraseña
      • Dos factores
      • Nombre de usuario y PIN

    Solo aparecen las opciones de modo de inscripción que son válidas para cada plataforma seleccionada.

    Nota:

    Cuando seleccione un modo de inscripción que incluya un PIN, aparecerá el campo Plantilla para PIN de inscripción. Deberá hacer clic en PIN de inscripción.

    • Plantilla para la descarga del agente: Elija la plantilla de enlace de descarga denominada Enlace de descarga. Esa plantilla es para todas las plataformas compatibles.
    • Plantilla para URL de inscripción: Elija Invitación de inscripción.
    • Plantilla para confirmación de la inscripción: Elija Confirmación de la inscripción.
    • Caduca después de: Este campo se establece cuando se configura el modo de inscripción y se indica cuándo caduca la inscripción. Para obtener más información sobre cómo configurar modos de inscripción, consulte Configurar modos de inscripción.
    • Máximo de intentos: Este campo se establece cuando se configura el modo de inscripción y se indica la cantidad máxima de veces que tiene lugar el proceso de inscripción.
    • Enviar invitación: Active la opción para enviar la invitación inmediatamente. Desactívela para agregar la invitación a la tabla en la página Invitaciones de inscripción sin enviarla.
  2. Haga clic en Guardar y enviar si habilitó Enviar invitación. De lo contrario, haga clic en Guardar. La invitación aparecerá en la tabla de la página Invitaciones de inscripción.

    Imagen de la tabla disponible en Invitaciones de inscripción

Para enviar un enlace de instalación

Para poder enviar un enlace de instalación para la inscripción, antes debe configurar canales (SMTP o SMS) en el servidor de notificaciones. Puede hacerlo desde la página Parámetros. Para obtener más detalles, consulte Notificaciones.

Imagen de la página Enviar enlace de instalación

  1. Configure estos parámetros y haga clic en Guardar.

    • Destinatario: Haga clic en Agregar y lleve a cabo lo siguiente para agregar cada destinatario:
      • Correo electrónico: Escriba la dirección de correo electrónico del destinatario. Este campo es obligatorio.
      • Número de teléfono: Escriba el número de teléfono del destinatario. Este campo es obligatorio.

      Nota:

      Para eliminar un destinatario existente, coloque el cursor sobre la línea que lo contiene y, a continuación, haga clic en el icono de papelera situado a la derecha. Aparecerá un cuadro de diálogo de confirmación. Haga clic en Eliminar para eliminar el elemento, o bien haga clic en Cancelar para conservarlo.

      Para modificar un destinatario, coloque el cursor sobre la línea que lo contiene y, a continuación, haga clic en el icono con forma de lápiz situado a la derecha. Realice los cambios necesarios y, a continuación, haga clic en Guardar para guardar los cambios, o bien en Cancelar para descartarlos.

    • Canales: Seleccione el canal que se va a usar para enviar el enlace de instalación para la inscripción. Puede enviar notificaciones a través de SMTP o SMS. Estos canales no se pueden activar hasta que se configuren los parámetros de servidor en la página Parámetros, en Servidor de notificaciones. Para obtener más información, consulte Notificaciones.
    • SMTP: La configuración de estos parámetros es opcional. Si no escribe nada en estos campos, se utilizarán los valores predeterminados que haya especificado en la plantilla de notificaciones definida para la plataforma seleccionada:
      • Remitente: Escriba un remitente opcional.
      • Asunto: Aquí puede escribir un asunto para el mensaje. Por ejemplo: “Inscriba su dispositivo”.
      • Mensaje: Escriba el mensaje opcional que se enviará al destinatario. Por ejemplo: “Inscriba su dispositivo para tener acceso a las aplicaciones y al correo electrónico de la organización”.
    • SMS: Configure este parámetro. Si no escribe nada en este campo, se utilizará el valor predeterminado que haya especificado en la plantilla de notificaciones definida para la plataforma seleccionada:
      • Mensaje: Escriba el mensaje que se enviará a los destinatarios. Este campo es obligatorio para las notificaciones por SMS.

        En Norteamérica, los mensajes SMS que superen los 160 caracteres se entregan en varios mensajes.

  2. Haga clic en Enviar.

    Nota:

    Si su entorno hace uso de nombres SAMAccountName, después de que los usuarios reciban la invitación y hagan clic en el enlace, deberán modificar el nombre de usuario para completar la autenticación. El nombre de usuario aparece con el formato sAMAccountName@domainname.com. Los usuarios deben quitar la parte @domainname.com.

Límite de inscripción de dispositivos

Endpoint Management incluye un perfil de inscripción predeterminado que permite a los usuarios inscribir una cantidad ilimitada de dispositivos. El perfil predeterminado se llama “Global”. Cree perfiles de inscripción solamente si quiere limitar la cantidad de dispositivos que los usuarios pueden inscribir. Los perfiles de inscripción se asocian a los diferentes grupos de entrega.

El límite de inscripción de dispositivos se aplica a los modos de servidor ENT, MDM y MAM. Esta función solo está disponible para dispositivos iOS y Android.

Cuando su implementación de Endpoint Management incluye dispositivos COSU, un único administrador de Endpoint Management o un pequeño grupo de administradores inscriben muchos dispositivos COSU. Para garantizar que estos administradores puedan inscribir todos los dispositivos necesarios, cree un perfil de inscripción para ellos con dispositivos ilimitados permitidos por usuario. Para obtener más información, consulte el apartado Agregar un perfil de inscripción COSU del artículo sobre Android Enterprise.

  1. Vaya a Configurar > Perfiles de inscripción. Aparecerá el perfil predeterminado “Global”.

    Imagen del perfil predeterminado Global

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página Información de inscripción, escriba un nombre para el perfil de inscripción y, a continuación, seleccione la cantidad de dispositivos que podrán inscribir los miembros que tengan este perfil.

    Imagen de Información de inscripción

  3. Haga clic en Siguiente. Aparecerá la pantalla Asignación de grupos de entrega.

    Imagen de la pantalla Asignación de grupos de entrega

  4. Seleccione los grupos de entrega para este perfil de inscripción y, a continuación, haga clic en Guardar.

    Aparecerá la página Grupos de entrega.

    Imagen de la página Grupos de entrega

    Para cambiar los perfiles de inscripción asociados a un grupo de entrega, vaya a Configurar > Grupos de entrega y, a continuación, haga clic en Perfiles de inscripción.

    Imagen de la página Perfiles de inscripción

Experiencia del usuario con un límite de inscripción de dispositivos

Cuando se establece el límite de inscripción de dispositivos y los usuarios intentan inscribir un dispositivo, siguen estos pasos:

  1. Iniciar sesión en Secure Hub.

  2. Escribir la dirección de servidor para inscribirse.

  3. Introducir las credenciales.

  4. Si se alcanza el límite de dispositivos, un mensaje de error informa al usuario que ha superado el límite de inscripción de dispositivos.

    Imagen de la pantalla de inscripción de Secure Hub

    Aparece de nuevo la pantalla de inscripción de Secure Hub.

Acciones de seguridad

Puede realizar acciones de seguridad en dispositivos y aplicaciones desde la página Administrar > Dispositivos. Las acciones de seguridad en los dispositivos son: revocar, bloquear, desbloquear y borrar. Las acciones de seguridad en las aplicaciones son: bloquear y borrar.

  • Omisión del bloqueo de activación: En dispositivos iOS supervisados, quita el Bloqueo de activación antes de la activación del dispositivo. Este comando no requiere el ID de Apple ni la contraseña personal de un usuario.

  • Bloqueo de aplicaciones: Deniega el acceso a todas las aplicaciones de un dispositivo. En Android, después de un bloqueo de aplicaciones, los usuarios no pueden iniciar sesión en Endpoint Management. En iOS, los usuarios pueden iniciar sesión, pero no pueden acceder a las aplicaciones.

  • Borrado de aplicaciones: En Android, elimina la cuenta del usuario en Endpoint Management. En iOS, elimina la cuenta de usuario en Secure Hub.

  • Bloqueo de activación de DEP ASM: Crea un código de omisión del bloqueo de activación para dispositivos iOS inscritos en Apple School Manager DEP.

  • Renovación de certificados: Para dispositivos iOS, macOS y Android compatibles, la acción de seguridad “Renovación de certificado” inicia la renovación del certificado. La próxima vez que los dispositivos se conecten a Endpoint Management, el servidor Endpoint Management emitirá nuevos certificados de dispositivo basados en la nueva CA.

  • Desactivar restricciones: En dispositivos iOS supervisados, este comando permite que Endpoint Management borre la contraseña de restricciones y los parámetros de restricciones configurados por el usuario.

  • Habilitar o inhabilitar el modo perdido: Coloca un dispositivo iOS supervisado en el modo Perdido y envía un mensaje, un número de teléfono y una nota al pie que aparecen en el dispositivo. La segunda vez que se envíe este comando, el dispositivo sale del modo Perdido.

  • Borrado completo: Borra inmediatamente todos los datos y todas las aplicaciones que hubiera presentes en un dispositivo, incluidas las tarjetas de memoria.

    • En caso de dispositivos Android, esta solicitud puede incluir la opción de borrar las tarjetas de memoria.

    • Para dispositivos iOS, macOS y tvOS, el borrado se aplica inmediatamente, incluso aunque el dispositivo esté bloqueado.

      Para dispositivos iOS 11 (versión mínima): Tras confirmar el borrado completo, puede optar por conservar el plan de datos móviles que hubiera presente en el dispositivo.

      Para dispositivos con iOS 11.3 (versión mínima): Tras confirmar el borrado completo, puede evitar que los dispositivos iOS realicen la configuración por proximidad. Al configurar un nuevo dispositivo iOS, los usuarios normalmente pueden usar un dispositivo iOS ya configurado para configurar el suyo. Puede rechazar esta configuración por proximidad en dispositivos cuyos datos hayan sido borrados y estén bajo la administración de Endpoint Management.

    • En caso de dispositivos Windows Phone, un borrado completo elimina toda la información de Endpoint Management, además de todos los datos del usuario. En los datos de usuario se incluye el contenido personal (como aplicaciones, mensajes de correo electrónico, contactos y archivos multimedia).

    • Si el usuario apaga el dispositivo antes de que se elimine el contenido de la tarjeta de memoria, aún podría tener acceso a los datos del dispositivo.

    • Puede cancelar la solicitud de borrado hasta que se envíe al dispositivo.

  • Localizar: Busca un dispositivo y notifica su ubicación con un mapa en la página Administrar > Dispositivos, en Detalles del dispositivo > General. Para dispositivos Android Enterprise, esta solicitud falla, a menos que la directiva de localización geográfica haya establecido el modo de ubicación para el dispositivo en Alta precisión o Ahorro de batería.

  • Bloquear: Bloquea de forma remota un dispositivo, lo que resulta útil cuando se pierde un dispositivo y no se sabe si ha sido robado. Cuando se envía este comando, Endpoint Management genera un código PIN y lo establece en el dispositivo. Para acceder al dispositivo, el usuario deberá teclear ese código PIN. Use el comando Cancelar bloqueo de dispositivo para quitar el bloqueo desde la consola de Endpoint Management.

  • Bloquear y restablecer contraseña: Bloquea remotamente un dispositivo y restablece el código de acceso en él.

    • No se admite para dispositivos inscritos en Android Enterprise en el modo de perfil de trabajo con versiones de Android anteriores a Android 7.0.
    • En dispositivos inscritos en Android Enterprise en el modo de perfil de trabajo con Android 7.0 o una versión posterior:
      • El código de acceso enviado bloquea el perfil de trabajo. El dispositivo no se bloquea.
      • Si no se envía ningún código de acceso o el código enviado no cumple los requisitos de código de acceso y no se había establecido ningún código de acceso en el perfil de trabajo, el dispositivo se bloquea.
      • Si no se envía ningún código de acceso o el código enviado no cumple los requisitos de código de acceso, pero ya se había establecido un código de acceso en el perfil de trabajo, el perfil de trabajo se bloquea, pero el dispositivo no se bloquea.
  • Notificar (Hacer sonar): Reproduce un sonido en dispositivos Android.

  • Reiniciar: Reinicia dispositivos Windows 10. Para tabletas y equipos Windows, aparece el mensaje “El sistema va a reiniciase” y el reinicio se produce en cinco minutos. Para Windows Phone, no aparece ningún mensaje de advertencia a los usuarios y el reinicio se produce después de unos minutos.

  • Solicitar o detener duplicación AirPlay: Inicia y detiene la duplicación AirPlay en los dispositivos iOS supervisados.

  • Reiniciar o apagar: Reinicia o apaga inmediatamente dispositivos iOS supervisados. En los dispositivos tvOS se admite el reinicio, pero no el apagado.

  • Revocar: Prohíbe a un dispositivo que se conecte a Endpoint Management.

  • Revocar o autorizar (iOS, macOS): Realiza las mismas acciones que el borrado selectivo. Después de la revocación, puede volver a autorizar el dispositivo para la reinscripción.

  • Hacer sonar: Si el dispositivo está en el modo perdido, esta acción reproduce un sonido en un dispositivo iOS supervisado. El sonido se reproduce hasta que se saque al dispositivo del modo perdido o hasta que el usuario quite el sonido.

  • Borrado selectivo: Borra todas las aplicaciones y los datos empresariales de un dispositivo, pero no afecta a las aplicaciones ni los datos personales. Después de un borrado selectivo, un usuario puede volver a inscribir el dispositivo.

    • Borrar un dispositivo Android de forma selectiva no lo desconecta de Device Manager ni de la red corporativa. Para evitar que el dispositivo acceda a Device Manager, también debe revocar los certificados de dispositivo.
    • Si habilita la API de Samsung Knox, el borrado selectivo también quita el contenedor Samsung Knox del dispositivo.
    • Para dispositivos iOS y macOS, este comando elimina cualquier perfil instalado a través de MDM.
    • El borrado selectivo en un dispositivo Windows también elimina el contenido de la carpeta de perfil del usuario que haya iniciado sesión en el dispositivo en ese momento. En un borrado selectivo, no se elimina ningún clip Web que entregue a los usuarios a través de una configuración. Los clips Web se eliminan cuando los usuarios desinscriben sus dispositivos de forma manual. No se puede volver a inscribir un dispositivo en el que se ha realizado el borrado selectivo.
    • El borrado selectivo de un dispositivo Windows Phone quita el token de empresa, el cual permite que Endpoint Management instale aplicaciones en el dispositivo. El borrado también elimina todos los certificados y todas las configuraciones de Endpoint Management que se hayan implementan en el dispositivo. No se puede volver a inscribir un dispositivo Windows Phone en el que se ha realizado el borrado selectivo.
    • Borrar selectivamente los datos de un dispositivo Android también revoca el dispositivo. Puede volver a inscribir el dispositivo solo después de reautorizarlo o eliminarlo de la consola.
  • Desbloquear: Borra el código de acceso que se envía al dispositivo cuando este se bloquea. Este comando no desbloquea el dispositivo.

En Administrar > Dispositivos, la página Detalles del dispositivo muestra también las propiedades de seguridad del dispositivo. Entre esas propiedades, se encuentran: el ID seguro, el bloqueo del dispositivo, la omisión del bloqueo de activación, así como otra información en función del tipo de plataforma. El campo Borrado completo del dispositivo contiene el código PIN del usuario. El usuario debe introducir ese código después de que se haya borrado el dispositivo. Si el usuario no consigue recordar el código, usted puede buscarlo en “Detalles del dispositivo”.

Se pueden automatizar algunas acciones. Para obtener más información, consulte Acciones automatizadas.

Quitar un dispositivo de la consola de Endpoint Management

Importante:

Cuando se quita un dispositivo de la consola de Endpoint Management, las aplicaciones administradas y los datos permanecen en el dispositivo. Para quitar las aplicaciones administradas y los datos que contiene el dispositivo, consulte “Eliminar un dispositivo” más adelante en este artículo.

Para eliminar un dispositivo de la consola de Endpoint Management, vaya a Administrar > Dispositivos, seleccione el dispositivo administrado y, a continuación, haga clic en Eliminar.

Imagen de la opción Eliminar

Borrar datos selectivamente de un dispositivo

  1. Vaya a Administrar > Dispositivos, seleccione un dispositivo administrado y haga clic en Proteger.

  2. En Acciones de seguridad, haga clic en Borrado selectivo.

  3. En los dispositivos Android (y únicamente en ellos), desconecte el dispositivo de la red corporativa. Para ello, después de que se borre el dispositivo, en Acciones de seguridad, haga clic en Revocar.

    Para anular una solicitud de borrado selectivo antes de que se haya llevado a cabo, en Acciones de seguridad, haga clic en Cancelar borrado selectivo.

Eliminar un dispositivo

Este procedimiento elimina las aplicaciones administradas y los datos que contiene un dispositivo. Asimismo, se elimina el dispositivo de la lista “Dispositivos” en la consola de Endpoint Management.

  1. Vaya a Administrar > Dispositivos, seleccione un dispositivo administrado y haga clic en Proteger.

  2. Haga clic en Borrado selectivo. Cuando se le solicite, haga clic en Ejecutar borrado selectivo.

  3. Para verificar que el comando de borrado se ha realizado, actualice Administrar > Dispositivos. En la columna Modo, el color anaranjado de MAM y MDM indica que el comando de borrado se ha realizado.

    Imagen de un comando de borrado realizado

  4. En Administrar > Dispositivos, seleccione el dispositivo y haga clic en Eliminar. Cuando se le solicite, haga clic en Eliminar de nuevo.

Bloquear, desbloquear, borrar o anular el borrado de aplicaciones

  1. Vaya a Administrar > Dispositivos, seleccione un dispositivo administrado y haga clic en Proteger.

  2. En el cuadro de diálogo Acciones de seguridad, haga clic en la acción de aplicaciones pertinente.

    También puede utilizar el cuadro de diálogo Acciones de seguridad para consultar el estado del dispositivo de un usuario cuya cuenta se haya inhabilitado o eliminado de Active Directory. La presencia de las acciones “Desbloqueo de aplicaciones” o “Anular borrado de aplicaciones” indica que hay aplicaciones que se han bloqueado o borrado.

Obtener información acerca de dispositivos

La base de datos de Endpoint Management almacena una lista de dispositivos móviles. Cada dispositivo móvil está definido por un número de serie exclusivo o una identificación International Mobile Station Equipment Identity (IMEI) o Mobile Equipment Identifier (MEID). Para rellenar la consola de Endpoint Management con los datos de los dispositivos, puede agregar los dispositivos de forma manual o importar una lista de dispositivos desde un archivo. Para obtener más información sobre los formatos del archivo de aprovisionamiento de dispositivos, consulte la sección Formatos del archivo de aprovisionamiento de dispositivos que hay más adelante en este artículo.

En la página Administrar > Dispositivos de la consola de Endpoint Management, se ofrece una lista de cada dispositivo y la siguiente información:

  • Estado: Los iconos indican el estado de implementación, si está administrado, si ha sido liberado por jailbreak y si ActiveSync Gateway está disponible.
  • Modo: Indica el modo del dispositivo (por ejemplo, MDM o MAM + MDM).
  • Se ofrece otra información del dispositivo, como Nombre de usuario, Plataforma del dispositivo, Último acceso y Días de inactividad. Estos son los encabezados predeterminados que aparecen.

Para personalizar la tabla Dispositivos, haga clic en la flecha hacia abajo en el último encabezado. A continuación, seleccione los encabezados adicionales que quiera mostrar en la tabla o borre los que quiera quitar.

Imagen de las opciones de personalización de la tabla Dispositivos

Puede agregar dispositivos manualmente, importarlos desde un archivo de aprovisionamiento, modificar los datos de los dispositivos, realizar acciones para aumentar la seguridad en ellos y enviarles notificaciones. También puede exportar todos los datos de la tabla de dispositivos a un archivo CSV para generar un informe personalizado. El servidor exporta todos los atributos de dispositivo. Si se aplican filtros, Endpoint Management los tendrá en cuenta al crear el archivo CSV.

Importar dispositivos desde un archivo de aprovisionamiento

Puede importar un archivo proporcionado por operadores de telefonía móvil o fabricantes de dispositivos móviles. También puede crear su propio archivo de aprovisionamiento de dispositivos. Para obtener más información, consulte la sección Formatos del archivo de aprovisionamiento de dispositivos que hay más adelante en este artículo.

  1. Vaya a Administrar > Dispositivos y haga clic en Importar. Aparece el cuadro de diálogo Importar archivo de aprovisionamiento.

    Imagen del cuadro de diálogo Importar archivo de aprovisionamiento

  2. Haga clic en Elegir archivo y, a continuación, vaya al archivo que quiere importar.

  3. Haga clic en Importar. El archivo importado aparecerá en la tabla Dispositivos.

  4. Para modificar la información del dispositivo, selecciónelo y, a continuación, haga clic en Modificar. Para obtener información sobre las páginas que contiene Detalles del dispositivo, consulte Obtener información acerca de dispositivos.

Enviar una notificación a dispositivos

Puede enviar notificaciones a los dispositivos desde la página Dispositivos. Para obtener más información acerca de las notificaciones, consulte Notificaciones.

  1. En la página Administrar > Dispositivos, seleccione los dispositivos a los que quiera enviar una notificación.

  2. Haga clic en Notificar. Aparecerá el cuadro de diálogo Notificación. En el campo Destinatarios, se ofrece una lista de todos los dispositivos que van a recibir la notificación.

    Imagen del cuadro de diálogo Notificación

  3. Configure estos parámetros:

    • Plantillas: En la lista, haga clic en el tipo de notificación que quiere enviar. Los campos Asunto y Mensaje se rellenarán con el texto configurado de la plantilla que eligió, excepto en el caso de haber elegido Ad hoc.
    • Canales: Seleccione cómo enviar el mensaje. El valor predeterminado es SMTP y SMS. Haga clic en las fichas para ver el formato del mensaje para cada canal.
    • Remitente: Escriba un remitente opcional.
    • Asunto: Escriba el asunto para un mensaje Ad hoc.
    • Mensaje: Escriba el mensaje para un mensaje Ad hoc.
  4. Haga clic en Notificar.

Exportar la tabla Dispositivos

  1. Filtre la tabla Dispositivos según lo que quiera que aparezca en el archivo de exportación.

  2. Haga clic en el botón Exportar situado sobre la tabla Dispositivos. Endpoint Management extrae la información de la tabla Dispositivos filtrada y la convierte a un archivo CSV.

  3. Cuando se le solicite, abra o guarde el archivo CSV.

Etiquetar manualmente los dispositivos de usuario

En Endpoint Management, puede etiquetar manualmente un dispositivo de las siguientes maneras:

  • Durante el proceso de inscripción por invitación.
  • Durante el proceso de inscripción mediante el portal Self Help Portal.
  • Agregando el propietario del dispositivo a las propiedades de este.

Tiene la opción de etiquetar el dispositivo como propiedad de la empresa o del empleado. Cuando se usa el portal Self-Help Portal para inscribir un dispositivo, también se puede etiquetarlo como propiedad de la empresa o propiedad del empleado. También puede etiquetar un dispositivo manualmente siguiendo este procedimiento.

  1. Agregue una propiedad al dispositivo desde la ficha Dispositivos en la consola de Endpoint Management.
  2. Agregue la propiedad denominada Propietario y elija Empresa o BYOD (propiedad del empleado).

    Imagen de los parámetros de la propiedad Propietario

Buscar dispositivos

Para una búsqueda rápida, el ámbito predeterminado de las búsquedas incluye solo las siguientes propiedades del dispositivo:

  • Número de serie
  • IMEI
  • Dirección MAC de Wi-Fi
  • Dirección MAC de Bluetooth
  • ID de Active Sync
  • Nombre de usuario

Puede configurar el ámbito de la búsqueda a través de una nueva propiedad del servidor, include.device.properties.during.search, cuyo valor predeterminado es false. Para incluir todas las propiedades del dispositivo en una búsqueda de dispositivos, vaya a Parámetros > Propiedades del servidor y cambie la configuración a true.

Formatos del archivo de aprovisionamiento de dispositivos

Muchos operadores móviles o fabricantes de dispositivos proporcionan listas de dispositivos móviles autorizados. Puede usar estas listas para evitar tener que introducir una larga lista de dispositivos móviles manualmente. Endpoint Management es compatible con un formato de archivo de importación común para los tres tipos de dispositivo admitidos: Android, iOS y Windows.

Un archivo de aprovisionamiento que se crea manualmente y se usa para importar dispositivos en Endpoint Management debe tener el siguiente formato:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

Tenga en cuenta lo siguiente:

  • Para saber cuáles son los valores válidos para cada propiedad, consulte el PDF Valores y nombres de propiedades de dispositivo.
  • Use el conjunto de caracteres UTF-8.
  • Use un punto y coma (;) para separar los campos que contenga el archivo de aprovisionamiento. Si parte de un campo contiene un punto y coma, debe anteponérsele un carácter de barra diagonal inversa (\).

    Por ejemplo, para esta propiedad:

    propertyV;test;1;2

    Coloque una barra diagonal inversa de la siguiente manera:

    propertyV\;test\;1\;2

  • El número de serie es obligatorio para dispositivos iOS porque es el identificador del dispositivo iOS.
  • Para otras plataformas de dispositivos, se debe incluir el número de serie o el IMEI.
  • Los valores válidos para OperatingSystemFamily son: WINDOWS, ANDROID o iOS.

Ejemplo de un archivo de aprovisionamiento de dispositivos:

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

Cada línea del archivo describe un dispositivo. La primera entrada del ejemplo significa lo siguiente:

  • SerialNumber: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • OperatingSystemFamily: WINDOWS
  • PropertyName: propertyN
  • PropertyValue: propertyV\;test\;1\;2;prop 2

Dispositivos compartidos

Endpoint Management permite configurar dispositivos que se puedan compartir entre varios usuarios. La función de dispositivos compartidos permite, por ejemplo, que los médicos, en los hospitales, usen cualquier dispositivo cercano para acceder a las aplicaciones y a los datos, en lugar de tener que llevar encima un dispositivo concreto. También puede interesarle intercambiar dispositivos en ámbitos judiciales, comerciales y de fabricación para compartir los dispositivos entre sí y, de esta manera, reducir costes de equipamiento.

Puntos clave sobre dispositivos compartidos

Puede usar cualquiera de los dispositivos iOS y Android respaldados en calidad de dispositivos compartidos. Para ver una lista de los dispositivos compatibles, consulte Sistemas operativos compatibles.

Modo MDM

  • Disponible en teléfonos y tabletas iOS y Android. No se admite la inscripción básica del Device Enrollment Program (DEP) para dispositivos compartidos de Endpoint Management Enterprise. Debe utilizar una inscripción autorizada de DEP para inscribir un dispositivo compartido en este modo.
  • No se admiten: la autenticación de certificados de cliente, el PIN de Citrix, Touch ID, la autenticación de dos factores ni la entropía de usuario.

Modo MDM+MAM

  • Disponible solo en tabletas iOS y Android.
  • Solo se admite la autenticación de nombre de usuario y contraseña de Active Directory.
  • No se admite: la autenticación de certificados de cliente, el código de acceso de Secure Hub, Touch ID, la entropía de usuario ni la autenticación de dos factores.
  • No se admite el modo solo MAM. Los dispositivos deben inscribirse en MDM.
  • Solo se da respaldo a Secure Mail, Secure Web y la aplicación para móvil de Citrix Files. No se admiten las aplicaciones HDX.
  • Los usuarios de Active Directory son los únicos usuarios que se admiten. No se admiten ni los usuarios ni los grupos locales.
  • Los dispositivos compartidos existentes que están en modo solo MDM que quieran actualizarse a MDM+MAM deben reinscribirse.
  • Los usuarios no pueden compartir las aplicaciones nativas presentes en los dispositivos.
  • Una vez se hayan descargado durante la primera inscripción, las aplicaciones móviles de productividad Citrix no se vuelven a descargar cada vez que un nuevo usuario inicia sesión en el dispositivo. El nuevo usuario puede coger el dispositivo, iniciar sesión y utilizarlo.
  • En Android, para aislar los datos de cada usuario por motivos de seguridad, active la directiva Disallow rooted devices de la consola de Endpoint Management.

Requisitos previos para la inscripción de dispositivos compartidos

Antes de inscribir dispositivos compartidos, debe realizar lo siguiente:

Requisitos previos para el modo MDM+MAM

  1. Cree un grupo de Active Directory llamado Inscripción de dispositivos compartidos, por ejemplo.
  2. Agregue a este grupo los usuarios de Active Directory que inscribirán dispositivos compartidos. Si quiere una nueva cuenta para este fin, cree un nuevo usuario de Active Directory (por ejemplo, sdenroll) y agréguelo al grupo de Active Directory.

Configurar un dispositivo compartido

Siga estos pasos para configurar un dispositivo compartido.

  1. Desde la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.
  2. Haga clic en Control de acceso basado en roles y, a continuación, haga clic en Agregar. Aparecerá la página Agregar rol.
  3. Cree un rol de usuario de inscripción de dispositivo compartido denominado usuario de inscripción de dispositivos compartidos con permisos de Inscripción de dispositivos compartidos en Acceso autorizado. Expanda Dispositivos, en la sección Funcionalidad de la consola y, a continuación, seleccione Borrado selectivo del dispositivo. Esta configuración garantiza que las aplicaciones y las directivas aprovisionadas mediante la cuenta de inscripción de dispositivos compartidos se eliminen a través de Secure Hub cuando se desinscriba el dispositivo.

    En Aplicar permisos, puede conservar la configuración predeterminada Para todos los grupos de usuarios, o bien asignar permisos a grupos de usuarios de Active Directory específicos con Para grupos de usuarios específicos.

    Imagen de las opciones de Aplicar permisos

    Haga clic en Siguiente para pasar a la pantalla Asignación. Asigne el rol de inscripción de dispositivo compartido que acaba de crear al grupo de Active Directory que ha creado para los usuarios de inscripción de dispositivos compartidos. En la siguiente imagen, citrix.lab es el dominio de Active Directory y Shared Device Enrollers es el grupo de Active Directory.

    Imagen de la pantalla Asignación

  4. Cree un grupo de entrega que contenga las aplicaciones, las acciones y las directivas base que quiera que se apliquen al dispositivo cuando el usuario no esté conectado. A continuación, asocie ese grupo de entrega al grupo de usuarios de inscripción de dispositivos compartidos de Active Directory.

    Imagen de parámetros de los grupos de entrega

  5. Instale Secure Hub en el dispositivo compartido e inscríbalo en Endpoint Management con la cuenta del usuario de inscripción de dispositivos compartidos. Ahora, puede ver y administrar el dispositivo a través de la consola de Endpoint Management.

  6. Si quiere aplicar directivas diferentes u ofrecer aplicaciones adicionales a los usuarios autenticados, cree un grupo de entrega asociado a esos usuarios e impleméntelo solo en los dispositivos compartidos. Al crear los grupos, configure reglas de implementación para que los paquetes se implementen en dispositivos compartidos. Para obtener más información, consulte Implementar recursos.

  7. Si quiere dejar de compartir el dispositivo, realice un borrado selectivo para quitar la cuenta de usuario de inscripción de dispositivos compartidos que hubiera en el dispositivo. El borrado selectivo también elimina todas las aplicaciones y directivas implementadas en el dispositivo.

Experiencia de usuario en dispositivos compartidos

Modo MDM

Los usuarios solo ven los recursos disponibles para ellos, y obtienen la misma experiencia en cada dispositivo compartido. Las aplicaciones y las directivas de inscripción de dispositivos compartidos permanecen en el dispositivo. Cuando un usuario que no se ha inscrito en dispositivos compartidos inicia sesión en Secure Hub, las aplicaciones y las directivas de esa persona se implementan en el dispositivo. Cuando el usuario cierra la sesión, se eliminan todas las directivas y las aplicaciones que difieran de las de la inscripción de dispositivos compartidos. Los recursos de inscripción de dispositivos compartidos permanecen intactos.

Modo MDM+MAM

Secure Mail y Secure Web se implementan en el dispositivo cuando el usuario de inscripción de dispositivos compartidos los inscribe. Los datos de usuario se conservan de forma segura en el dispositivo. Los datos no se expondrán a otros usuarios cuando estos usen Secure Mail o Secure Web.

Solo un usuario a la vez puede iniciar sesión en Secure Hub. El usuario anterior debe finalizar la sesión antes de que el siguiente pueda iniciarla. Por motivos de seguridad, Secure Hub no almacena credenciales de usuario en dispositivos compartidos, de modo que los usuarios deben introducir sus credenciales cada vez que inicien sesión. Con el fin de que el usuario nuevo no pueda acceder a los recursos pensados para el usuario anterior, Secure Hub no permite que los nuevos usuarios inicien sesión mientras se quitan las directivas, las aplicaciones y los datos asociados al usuario anterior.

La inscripción de dispositivos compartidos no cambia el proceso de actualización de aplicaciones. Puede insertar actualizaciones en los usuarios de dispositivos compartidos como siempre, y estos pueden actualizar las aplicaciones directamente en sus dispositivos.

Directivas recomendadas para Secure Mail

  • Para conseguir el mejor funcionamiento de Secure Mail, configure el periodo de sincronización máximo según la cantidad de usuarios que compartirán el dispositivo. No se recomienda permitir una sincronización ilimitada.
Cantidad de usuarios que comparten el dispositivo Periodo de sincronización máximo recomendado
De 21 a 25 1 semana o menos
De 6 a 20 2 semanas o menos
Hasta 5 1 mes o menos
  • Bloquee Enable contact export para evitar exponer los contactos de un usuario a los demás usuarios que comparten el dispositivo.

  • En iOS, solo se pueden definir los parámetros siguientes para cada usuario. Todos los demás parámetros serán comunes a todos los usuarios que compartan el dispositivo:

    • Notificaciones
    • Firma
    • Fuera de la oficina
    • Período de sincronización de correo
    • S/MIME
    • Comprobar ortografía