Administrar dispositivos

La administración de dispositivos incluye la inscripción de dispositivos, las acciones de seguridad y la supervisión de dispositivos.

Inscribir dispositivos

Para poder administrar dispositivos del usuario de forma remota y segura, dichos dispositivos deben inscribirse en Endpoint Management. El software cliente de Endpoint Management debe estar instalado en el dispositivo del usuario y el usuario debe haberse autenticado. A continuación, se instalan Endpoint Management y el perfil del usuario. A continuación, puede realizar tareas de administración de dispositivos desde la consola de Endpoint Management. Puede aplicar directivas, implementar aplicaciones, insertar datos en el dispositivo, bloquearlo, borrarle los datos y localizar dispositivos perdidos o robados.

Se respalda la inscripción de Azure Active Directory para dispositivos iOS, Android y Windows 10. Para obtener más información sobre la configuración de Azure como proveedor de identidades (IdP), consulte Inicio de sesión único con Azure Active Directory.

Nota:

Antes de poder inscribir usuarios de dispositivos iOS, debe solicitar un certificado APNs. Para obtener información más detallada, consulte Certificados y autenticación.

Puede actualizar las opciones de configuración de usuarios y dispositivos desde la página Administrar > Invitaciones de inscripción. Para obtener más información, consulte Enviar una invitación de inscripción en este artículo.

Para obtener otra información de inscripción, consulte:

Dispositivos Android

Nota:

Para obtener información sobre la inscripción de dispositivos Android Enterprise, consulte Android Enterprise.

  1. Vaya a la tienda Google Play en el dispositivo Android, descargue la aplicación Citrix Secure Hub y toque para abrirla.
  2. Cuando se le solicite la instalación de la aplicación, haga clic en Siguiente y, a continuación, haga clic en Instalar.
  3. Después de que Secure Hub se instale, toque en Abrir.
  4. Introduzca las credenciales de empresa, como el nombre del servidor de Endpoint Management de su empresa, el nombre principal de usuario (UPN) o su dirección de correo electrónico. A continuación, haga clic en Siguiente.
  5. En la pantalla Activate device administrator, toque en Activate.
  6. Escriba la contraseña de empresa y, a continuación, toque Iniciar sesión.
  7. Es posible que tenga que crear un PIN de Citrix (según la configuración de Endpoint Management). Puede usar el PIN para iniciar sesión en Secure Hub y en otras aplicaciones habilitadas para Endpoint Management, como Secure Mail y Citrix Files. Deberá introducir su PIN de Citrix dos veces. En la pantalla Crear PIN de Citrix, introduzca un PIN.
  8. Vuelva a escribir el PIN. Se abrirá Secure Hub. En ese momento, puede acceder a la tienda de aplicaciones para ver las aplicaciones que puede instalar en el dispositivo Android.
  9. Si ha configurado Endpoint Management de manera que las aplicaciones se envíen automáticamente a los dispositivos de los usuarios después de la inscripción, los usuarios verán mensajes con solicitudes de instalación de las aplicaciones. Además, las directivas que configure en Endpoint Management se implementan en el dispositivo. Toque Instalar para instalar las aplicaciones.

Para inscribir y reinscribir un dispositivo Android

Los usuarios pueden desinscribirse una vez dentro de Secure Hub. Cuando los usuarios se desinscriben con el siguiente procedimiento, el dispositivo sigue apareciendo en el inventario de dispositivos en la consola de Endpoint Management. No obstante, no es posible realizar acciones en el dispositivo. No puede realizar un seguimiento del dispositivo ni supervisar su estado de cumplimiento.

  1. Toque en Secure Hub para abrir la aplicación.

  2. Dependiendo de si dispone de un teléfono o una tableta, lleve a cabo lo siguiente:

    En un teléfono:

    • Deslice desde la izquierda de la pantalla para abrir un panel de configuración.

    • Toque en Preferencias > Cuentas. A continuación, toque en Eliminar cuenta.

    En una tableta:

    • Pulse la flecha situada junto a su dirección de correo electrónico en la esquina superior derecha.

    • Toque en Preferencias > Cuentas. A continuación, toque en Eliminar cuenta.

  3. Toque en Reinscribir. Aparecerá un mensaje para confirmar que quiere volver a inscribir el dispositivo.

  4. Toque en Aceptar.

    El dispositivo está desinscrito.

  5. Siga las instrucciones que aparecen en la pantalla para reinscribir el dispositivo.

Dispositivos macOS

Endpoint Management ofrece dos métodos para inscribir dispositivos que ejecutan macOS. Ambos métodos permiten a los usuarios de macOS inscribirse de forma inalámbrica y directamente desde sus dispositivos.

  • Enviar una invitación de inscripción a los usuarios. Este método de inscripción permite definir uno de estos modos de inscripción para dispositivos macOS:

    • Nombre de usuario y contraseña

    • Nombre de usuario y PIN

    • Dos factores

    Cuando el usuario siga las instrucciones de la invitación a la inscripción, aparecerá una pantalla de inicio de sesión con el nombre de usuario ya rellenado.

  • Enviar un enlace de instalación a los usuarios. Este método de inscripción para dispositivos macOS envía a los usuarios un enlace de inscripción, que pueden abrir en los exploradores Web Safari o Chrome. A continuación, el usuario se inscribe suministrando su nombre de usuario y contraseña.

    Para impedir que se use un enlace de inscripción para dispositivos macOS, defina la propiedad de servidor Enable macOS OTAE en False. Como resultado, los usuarios de macOS solo podrán inscribirse mediante una invitación de inscripción.

Enviar una invitación de inscripción a los usuarios

  1. Si quiere, puede configurar directivas de dispositivo para macOS en la consola de Endpoint Management. Consulte Directivas de dispositivo para obtener más información acerca de las directivas de dispositivo.

  2. Agregue una invitación para la inscripción de usuarios de macOS. Para obtener más información, consulte Enviar una invitación de inscripción en este artículo.

  3. Cuando los usuarios reciban la invitación y hagan clic en el enlace, aparecerá la siguiente pantalla en el explorador Safari. Endpoint Management rellena el nombre de usuario. Si eligió Dos factores como modo de inscripción, aparecerá un campo adicional.

    Imagen del mensaje de certificado raíz en el explorador Safari

  4. Los usuarios deben instalar certificados según sea necesario. La solicitud a los usuarios para instalar certificados depende de si se ha configurado un certificado SSL público de confianza y un certificado de firma digital público de confianza para macOS. Para obtener más información acerca de los certificados, consulte Certificados y autenticación.

  5. Los usuarios proporcionan las credenciales solicitadas.

    Se instalan las directivas de dispositivos Mac. Ahora ya puede iniciar la administración de equipos Mac con Endpoint Management del mismo modo en que administra dispositivos móviles.

Enviar un enlace de instalación a los usuarios

  1. Si quiere, puede configurar directivas de dispositivo para macOS en la consola de Endpoint Management. Consulte Directivas de dispositivo para obtener más información acerca de las directivas de dispositivo.

  2. Envíe el enlace de inscripción https://serverFQDN:8443/instanceName/macos/otae, que los usuarios abrirán en los exploradores Web Safari o Chrome.

    • serverFQDN es el nombre de dominio completo del servidor que ejecuta Endpoint Management.
    • El puerto 8443 es el puerto seguro predeterminado. Si ha configurado otro puerto, indique ese puerto, en lugar de 8443.
    • El elemento instanceName a menudo se muestra como zdm y es el nombre que se especificó durante la instalación del servidor.

    Para obtener más información acerca del envío de enlaces de instalación, consulte Para enviar un enlace de instalación.

  3. Los usuarios deben instalar certificados según sea necesario. Si ha configurado un certificado SSL público de confianza y un certificado de firma digital público de confianza para iOS y macOS, los usuarios verán el mensaje que pide instalar los certificados. Para obtener más información acerca de los certificados, consulte Certificados y autenticación.

  4. Los usuarios inician sesión en su Mac.

    Se instalan las directivas de dispositivos Mac. Ahora ya puede iniciar la administración de equipos Mac con Endpoint Management del mismo modo en que administra dispositivos móviles.

Dispositivos Windows

Nota:

Esta sección contiene referencias a dispositivos Windows Phone 8.1, cuyo fin de respaldo anunció Microsoft el 11 de julio de 2017. Actualmente, Endpoint Management respalda dispositivos Windows Phone 8.1 solo para la inscripción MDM.

Los dispositivos que ejecutan Windows 10 se inscriben con Azure como método federado de autenticación de Active Directory. Puede unir dispositivos Windows 10 con Microsoft Azure Active Directory de cualquiera de las siguientes maneras:

  • Inscribirse en MDM como parte de Azure AD Join la primera vez que se encienda el dispositivo.
  • Inscribirse en MDM como parte de Azure AD Join desde la página de configuración de Windows una vez que el dispositivo esté configurado.

En Endpoint Management, puede inscribir dispositivos que ejecuten los siguientes sistemas operativos Windows:

  • Windows 10 Phone y Tablet
  • Windows Phone 8.1

Los usuarios pueden inscribirse directamente a través de sus dispositivos.

Nota:

Durante la reinscripción de Windows 10 RS2 Phone y Tablet, no se solicita al usuario que introduzca la URL del servidor. Para solucionar este problema, reinicie el dispositivo. O bien, en la pantalla de dirección del correo electrónico, toque en la X situada al otro lado de Conectando con un servicio para ir a la página “Dirección URL del servidor”. Este es un problema de terceros.

Debe configurar la detección automática de Citrix para la inscripción de usuarios si quiere permitir la administración de los dispositivos Windows admitidos.

Para que los usuarios de dispositivos Windows puedan inscribir sus dispositivos mediante Azure, debe configurar los parámetros del servidor Microsoft Azure en Endpoint Management. Para obtener más información, consulte Inicio de sesión único con Azure Active Directory.

Nota:

Para que los dispositivos Windows se puedan inscribir, el certificado SSL de escucha debe ser un certificado público. La inscripción falla si se ha cargado un certificado SSL autofirmado.

Para inscribir dispositivos Windows mediante el servicio de detección automática

  1. En el dispositivo, busque e instale todas las actualizaciones disponibles de Windows.

  2. Para Windows 10: En el menú Accesos, toque en Configuración > Cuentas > Obtener acceso a trabajo o escuela > Conectarse a la red del trabajo o colegio. Para teléfonos Windows 8.1: Toque en Configuración de PC > Red > Área de trabajo.

  3. Introduzca su dirección de correo electrónico empresarial y después toque en Activar la administración de dispositivos en Windows 8.1, o bien en Continuar en Windows 10. Para inscribirse como un usuario local, introduzca una dirección de correo electrónico que no exista y un nombre de dominio correcto (por ejemplo, foo@mydomain.com). Esto le permite omitir una limitación conocida de Microsoft, por la que la inscripción se realiza en la Administración de dispositivos nativa de Windows; en el cuadro de diálogo Conectando con un servicio, escriba el nombre de usuario y la contraseña asociados al usuario local. El dispositivo detecta automáticamente el servidor Endpoint Management y se inicia el proceso de inscripción.

  4. Introduzca la contraseña. Utilice la contraseña asociada a una cuenta que forme parte de un grupo de usuarios en Endpoint Management.

  5. Para Windows 10: En el cuadro de diálogo Condiciones de uso, indique que acepta que el dispositivo sea administrado y, a continuación, toque en Aceptar. Para Windows 8.1: En el cuadro de diálogo Permitir aplicaciones y servicios del administrador de TI, indique que acepta que el dispositivo sea administrado y, a continuación, toque en Activar.

Para inscribir dispositivos Windows sin detección automática (solo para entornos de prueba)

La inscripción de dispositivos Windows sin utilizar el servicio de detección automática no es la práctica recomendada para implementaciones de producción. Citrix recomienda utilizar este proceso solo en entornos de prueba y en el contexto de implementaciones de prueba de concepto.

La inscripción sin el servicio de detección automática genera una llamada al puerto 80 antes de conectarse a la URL deseada.

  1. En el dispositivo, busque e instale todas las actualizaciones disponibles de Windows.

  2. En el menú Accesos, toque en Configuración > Cuentas > Obtener acceso a trabajo o escuela > Conectarse a la red del trabajo o colegio. Para Windows 8.1: Toque en Configuración de PC > Red > Área de trabajo.

  3. Introduzca la dirección de correo electrónico de empresa.

  4. Si no se ha configurado la detección automática, aparecerá una opción donde podrá introducir datos del servidor, como se describe en el paso 5.

  5. En el campo Escribir dirección del servidor, escriba la dirección: https://serverfqdn:8443/serverInstance/wpe.

    Si se utiliza un puerto que no sea 8443 para las conexiones SSL sin autenticar, utilice ese puerto en lugar de 8443 en esta dirección.

  6. Escriba la contraseña.

  7. En el cuadro de diálogo Condiciones de uso, indique que acepta que el dispositivo sea administrado y, a continuación, toque en Aceptar.

Para inscribir dispositivos Windows Phone

Para inscribir dispositivos Windows Phone en Endpoint Management, los usuarios necesitan su dirección de correo electrónico y su contraseña de Active Directory o de la red interna. Si la detección automática no está configurada, los usuarios también necesitan la dirección Web del servidor Endpoint Management. A continuación, deben seguir este procedimiento en sus dispositivos para inscribirse.

Nota:

Para implementar aplicaciones desde la tienda de Windows Phone de la empresa, antes de que los usuarios se inscriban, compruebe que ha configurado la directiva Hub empresarial (con una aplicación Secure Hub firmada, la aplicación Windows Phone para cada plataforma a la que quiera dar respaldo).

  1. En la pantalla principal del teléfono Windows, toque en el icono Configuración.

    • Para Windows 10: En función de la versión, toque en Cuentas > Obtener acceso a trabajo o escuela > Conectarse a la red del trabajo o colegio o toque en Cuentas > Acceso al trabajo > Inscribir en administración de dispositivos (MDM).
    • Para Windows 8.1: Toque en Configuración de PC > Red > Área de trabajo, y después toque en Agregar cuenta.
  2. En la pantalla siguiente, introduzca una dirección de correo electrónico y una contraseña y, a continuación, toque en iniciar sesión.

    Si se ha configurado la detección automática para el dominio, la información solicitada en los siguientes pasos se completa automáticamente. Vaya al paso 8.

    En cambio, si no se ha configurado la detección automática para el dominio, continúe al paso siguiente. Para inscribirse como un usuario local, introduzca una dirección de correo electrónico que no exista y un nombre de dominio correcto (por ejemplo, foo@mydomain.com). Esto permite omitir una restricción conocida de Microsoft; en el cuadro de diálogo Conectando con un servicio, escriba el nombre de usuario y la contraseña asociados al usuario local.

  3. En la pantalla siguiente, introduzca la dirección Web del servidor Endpoint Management, como: https://<xenmobile_server>:<portnumber>/<instancename>/wpe. Por ejemplo, https://mycompany.mdm.com:8443/zdm/wpe.

    Nota:

    El número de puerto debe adaptarse a la implementación. Debe ser el mismo puerto que se ha usado para la inscripción de iOS.

  4. Introduzca el nombre de usuario y el dominio si la autenticación se valida mediante un nombre de usuario y un dominio. A continuación, toque Iniciar sesión.

  5. Si aparece una pantalla informando sobre un problema con el certificado, el error se debe al uso de un certificado autofirmado. Si el servidor es de confianza, toque Continuar. De lo contrario, toque Cancelar.

  6. En Windows Phone 8.1, una vez agregada la cuenta, tiene la opción de seleccionar Instalar aplicación de empresa. Si el administrador ha configurado una tienda de aplicaciones de la empresa, seleccione esta opción y, a continuación, toque Listo. Si desactiva esta opción, deberá volver a inscribir el dispositivo para recibir la tienda de aplicaciones de empresa.

  7. En Windows Phone 8.1, en la pantalla Cuenta agregada, toque en listo.

  8. Para forzar la conexión con el servidor, toque el icono de actualización. Si el dispositivo no se conecta manualmente al servidor, Endpoint Management intenta reconectarse. Endpoint Management se conecta al dispositivo cada 3 minutos 5 veces sucesivas; después, se conecta cada 2 horas. Puede modificar este intervalo de conexión en Intervalo de latidos del servicio WNS, ubicado en Propiedades del servidor. Una vez finalizada la inscripción, Secure Hub se inscribe en segundo plano. No aparece ningún indicador tras completarse la instalación. Toque en Secure Hub desde la pantalla Todas las aplicaciones.

Enviar una invitación de inscripción

Desde la consola de Endpoint Management, puede enviar a los usuarios una inscripción de dispositivos iOS, macOS y Android. También puede enviar un enlace de instalación a los usuarios con dispositivos iOS o Android.

Las invitaciones de inscripción se envían de la siguiente manera:

  • Si la invitación de inscripción es para un usuario local o un usuario de Active Directory: el usuario recibe la invitación por SMS en el número de teléfono y nombre de operador que usted especifique.

  • Si la invitación de inscripción es para un grupo: los usuarios reciben invitaciones por SMS. Si los usuarios de Active Directory tienen una dirección de correo electrónico y un número de teléfono móvil en Active Directory, recibirán la invitación. Los usuarios locales reciben la invitación en el número de teléfono y correo electrónico especificado en las propiedades de usuario.

Después de que los usuarios se inscriban, sus dispositivos aparecen como administrados en Administrar > Dispositivos. El estado de la URL de invitación aparece como Canjeado.

Requisitos previos

  • LDAP configurado
  • Si utiliza grupos locales y usuarios locales:

    • Uno o varios grupos locales.

    • Usuarios locales asignados a grupos locales.

    • Los grupos de entrega se asocian con grupos locales.

  • Si usa Active Directory:

    • Los grupos de entrega se asocian con grupos de Active Directory.

Crear invitación de inscripción

  1. En la consola de Endpoint Management, haga clic en Administrar > Inscripciones. Aparecerá la página Invitaciones de inscripción.

    Imagen de la página Inscripciones de la consola Endpoint Management

  2. Haga clic en Agregar. Aparecerá un menú con opciones de inscripción.

    Imagen del menú Agregar invitación

    • Para enviar una invitación de inscripción a un usuario o un grupo, haga clic en Agregar invitación.
    • Si quiere enviar un enlace de instalación para la inscripción a una lista de destinatarios a través de SMTP o SMS, haga clic en Enviar enlace de instalación.

    El envío de invitaciones de inscripción y enlaces de instalación se describe después de estos pasos.

  3. Haga clic en Agregar invitación. Aparecerá la pantalla Invitación de inscripción.

    Imagen de la pantalla Invitación de inscripción

  4. Configure estos parámetros:

    • Destinatario: Elija Grupo o Usuario.
    • Seleccionar una plataforma: Si el Destinatario es un Grupo, se seleccionan todas las plataformas. Puede cambiar las plataformas seleccionadas. Si el Destinatario es un Usuario, no se selecciona ninguna plataforma. Seleccione una plataforma.
    • Propietario del dispositivo: Seleccione Empresa o Empleado.

    Aparecerán parámetros para usuarios o grupos, como se describe en las secciones siguientes.

Para enviar una invitación de inscripción a un usuario

Imagen de los parámetros de Invitación de inscripción

  1. Configure estos parámetros de Usuario:

    • Nombre de usuario: Escriba un nombre de usuario. Este usuario debe existir en el servidor Endpoint Management como usuario local, o bien como usuario en Active Directory. Si el usuario es local, la propiedad de correo electrónico del usuario debe estar configurada para poder enviarle notificaciones. Si se trata de un usuario de Active Directory, asegúrese de que LDAP está configurado.
    • Información del dispositivo: Este parámetro no aparece si se seleccionan varias plataformas, o si se selecciona solo macOS. Elija Número de serie, UDID o IMEI. Después de elegir una opción, aparece un campo en el que puede escribir el valor correspondiente del dispositivo.
    • Número de teléfono: Este parámetro no aparece si se seleccionan varias plataformas, o si se selecciona solo macOS. Si quiere, introduzca el número de teléfono del usuario.
    • Operador: Este parámetro no aparece si se seleccionan varias plataformas, o si se selecciona solo macOS. Seleccione un operador para asociarlo con el número de teléfono del usuario.
    • Modo de inscripción: Elija cómo quiere que se inscriban los usuarios. El valor predeterminado es Nombre de usuario y contraseña. Algunas de las siguientes opciones no están disponibles para todas las plataformas:
      • Nombre de usuario y contraseña
      • Alta seguridad
      • URL de invitación
      • URL de invitación + PIN
      • URL de invitación + contraseña
      • Dos factores
      • Nombre de usuario y PIN

    Solo aparecen las opciones de modo de inscripción que son válidas para cada plataforma seleccionada. Un PIN de inscripción se denomina también un PIN de un solo uso. Este tipo de PIN es válido solamente cuando se inscribe el usuario.

    Nota:

    Cuando seleccione un modo de inscripción que incluya un PIN, aparecerá el campo Plantilla para PIN de inscripción, donde deberá hacer clic en PIN de inscripción.

    • Plantilla para la descarga del agente: Elija la plantilla de enlace de descarga denominada Enlace de descarga. Esa plantilla es para todas las plataformas compatibles.
    • Plantilla para URL de inscripción: Elija Invitación de inscripción.
    • Plantilla para confirmación de la inscripción: Elija Confirmación de la inscripción.
    • Caduca después de: Este campo se establece cuando se configura el modo de inscripción y se indica cuándo caduca la inscripción. Para obtener más información sobre cómo configurar modos de inscripción, consulte Configurar modos de inscripción.
    • Máximo de intentos: Este campo se establece cuando se configura el modo de inscripción y se indica la cantidad máxima de veces que tiene lugar el proceso de inscripción.
    • Enviar invitación: Active la opción para enviar la invitación inmediatamente. Desactívela para agregar la invitación a la tabla en la página Invitaciones de inscripción sin enviarla.
  2. Haga clic en Guardar y enviar si habilitó Enviar invitación. De lo contrario, haga clic en Guardar. La invitación aparecerá en la tabla de la página Invitaciones de inscripción.

    Imagen de la tabla en la página Invitaciones de inscripción

Para enviar una invitación de inscripción a un grupo

En la imagen siguiente, se muestran los parámetros de una invitación de inscripción para un grupo.

Imagen de la página Invitación de inscripción para un grupo

  1. Configure estos parámetros:

    • Dominio: Elija el dominio del grupo que recibirá la invitación.
    • Grupo: Elija el grupo que recibirá la invitación.
    • Modo de inscripción: Elija cómo quiere que se inscriban los usuarios del grupo. El valor predeterminado es Nombre de usuario y contraseña. Algunas de las siguientes opciones no están disponibles para todas las plataformas:
      • Nombre de usuario y contraseña
      • Alta seguridad
      • URL de invitación
      • URL de invitación + PIN
      • URL de invitación + contraseña
      • Dos factores
      • Nombre de usuario y PIN

    Solo aparecen las opciones de modo de inscripción que son válidas para cada plataforma seleccionada.

    Nota:

    Cuando seleccione un modo de inscripción que incluya un PIN, aparecerá el campo Plantilla para PIN de inscripción, donde deberá hacer clic en PIN de inscripción.

    • Plantilla para la descarga del agente: Elija la plantilla de enlace de descarga denominada Enlace de descarga. Esa plantilla es para todas las plataformas compatibles.
    • Plantilla para URL de inscripción: Elija Invitación de inscripción.
    • Plantilla para confirmación de la inscripción: Elija Confirmación de la inscripción.
    • Caduca después de: Este campo se establece cuando se configura el modo de inscripción y se indica cuándo caduca la inscripción. Para obtener más información sobre cómo configurar modos de inscripción, consulte Configurar modos de inscripción.
    • Máximo de intentos: Este campo se establece cuando se configura el modo de inscripción y se indica la cantidad máxima de veces que tiene lugar el proceso de inscripción.
    • Enviar invitación: Active la opción para enviar la invitación inmediatamente. Desactívela para agregar la invitación a la tabla en la página Invitaciones de inscripción sin enviarla.
  2. Haga clic en Guardar y enviar si habilitó Enviar invitación. De lo contrario, haga clic en Guardar. La invitación aparecerá en la tabla de la página Invitaciones de inscripción.

    Imagen de la tabla disponible en Invitaciones de inscripción

Para enviar un enlace de instalación

Para poder enviar un enlace de instalación para la inscripción, antes debe configurar canales (SMTP o SMS) en el servidor de notificaciones. Puede hacerlo desde la página Parámetros. Para obtener más información, consulte Notificaciones.

Imagen de la página Enviar enlace de instalación

  1. Configure estos parámetros y haga clic en Guardar.

    • Destinatario: Haga clic en Agregar y lleve a cabo lo siguiente para agregar cada destinatario:
      • Correo electrónico: Escriba la dirección de correo electrónico del destinatario. Este campo es obligatorio.
      • Número de teléfono: Escriba el número de teléfono del destinatario. Este campo es obligatorio.

      Nota:

      Para eliminar un destinatario existente, coloque el cursor sobre la línea que lo contiene y, a continuación, haga clic en el icono de papelera situado a la derecha. Aparecerá un cuadro de diálogo de confirmación. Haga clic en Eliminar para eliminar el elemento, o bien haga clic en Cancelar para conservarlo.

      Para modificar un destinatario, coloque el cursor sobre la línea que lo contiene y, a continuación, haga clic en el icono con forma de lápiz situado a la derecha. Realice los cambios necesarios y, a continuación, haga clic en Guardar para guardar los cambios, o bien en Cancelar para descartarlos.

    • Canales: Seleccione el canal que se va a usar para enviar el enlace de instalación para la inscripción. Puede enviar notificaciones a través de SMTP o SMS. Estos canales no se pueden activar hasta que se configuren los parámetros de servidor en la página Parámetros, en Servidor de notificaciones. Para obtener más información, consulte Notificaciones.
    • SMTP: La configuración de estos parámetros es opcional. Si no escribe nada en estos campos, se utilizarán los valores predeterminados que haya especificado en la plantilla de notificaciones definida para la plataforma seleccionada:
      • Remitente: Escriba un remitente opcional.
      • Asunto: Aquí puede escribir un asunto para el mensaje. Por ejemplo: “Inscriba su dispositivo”.
      • Mensaje: Escriba el mensaje opcional que se enviará al destinatario. Por ejemplo: “Inscriba su dispositivo para tener acceso a las aplicaciones y al correo electrónico de la organización”.
    • SMS: Configure este parámetro. Si no escribe nada en este campo, se utilizará el valor predeterminado que haya especificado en la plantilla de notificaciones definida para la plataforma seleccionada:
      • Mensaje: Escriba el mensaje que se enviará a los destinatarios. Este campo es obligatorio para las notificaciones por SMS.

        En Norteamérica, los mensajes SMS que superen los 160 caracteres se entregan en varios mensajes.

  2. Haga clic en Enviar.

    Nota:

    Si su entorno hace uso de nombres SAMAccountName, después de que los usuarios reciban la invitación y hagan clic en el enlace, deberán modificar el nombre de usuario para completar la autenticación. El nombre de usuario aparece con el formato sAMAccountName@domainname.com. Los usuarios deben quitar la parte @domainname.com.

Límite de inscripción de dispositivos

Endpoint Management incluye un perfil de inscripción predeterminado que permite a los usuarios inscribir una cantidad ilimitada de dispositivos. El perfil predeterminado se llama “Global”. Cree perfiles de inscripción solamente si quiere limitar la cantidad de dispositivos que los usuarios pueden inscribir. Los perfiles de inscripción se asocian a los diferentes grupos de entrega.

El límite de inscripción de dispositivos se aplica a los modos de servidor ENT, MDM y MAM. Esta función solo está disponible para dispositivos iOS y Android.

Cuando su implementación de Endpoint Management incluye dispositivos COSU, un único administrador de Endpoint Management o un pequeño grupo de administradores inscriben muchos dispositivos COSU. Para garantizar que estos administradores puedan inscribir todos los dispositivos necesarios, cree un perfil de inscripción para ellos con dispositivos ilimitados permitidos por usuario. Para obtener más información, consulte Agregar un perfil de inscripción COSU en el artículo “Android Enterprise”.

  1. Vaya a Configurar > Perfiles de inscripción. Aparecerá el perfil predeterminado “Global”.

    Imagen del perfil predeterminado Global

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página Información de inscripción, escriba un nombre para el perfil de inscripción y, a continuación, seleccione la cantidad de dispositivos que podrán inscribir los miembros que tengan este perfil.

    Imagen de Información de inscripción

  3. Haga clic en Siguiente. Aparecerá la pantalla Asignación de grupos de entrega.

    Imagen de la pantalla Asignación de grupos de entrega

  4. Seleccione los grupos de entrega para este perfil de inscripción y, a continuación, haga clic en Guardar.

    Aparecerá la página Grupos de entrega.

    Imagen de la página Grupos de entrega

    Para cambiar los perfiles de inscripción asociados a un grupo de entrega, vaya a Configurar > Grupos de entrega y, a continuación, haga clic en Perfiles de inscripción.

    Imagen de la página Perfiles de inscripción

Experiencia del usuario con un límite de inscripción de dispositivos

Cuando se establece el límite de inscripción de dispositivos y los usuarios intentan inscribir un dispositivo, siguen estos pasos:

  1. Iniciar sesión en Secure Hub.

  2. Escribir la dirección de servidor para inscribirse.

  3. Introducir las credenciales.

  4. Si se alcanza el límite de dispositivos, un mensaje de error informa al usuario que ha superado el límite de inscripción de dispositivos.

    Imagen de la pantalla de inscripción de Secure Hub

    Aparece de nuevo la pantalla de inscripción de Secure Hub.

Acciones de seguridad

Puede realizar acciones de seguridad en dispositivos y aplicaciones desde la página Administrar > Dispositivos. Las acciones de seguridad en los dispositivos son: revocar, bloquear, desbloquear y borrar. Las acciones de seguridad en las aplicaciones son: bloquear y borrar.

  • Omisión del bloqueo de activación: En dispositivos iOS supervisados, quita el Bloqueo de activación antes de la activación del dispositivo. Este comando no requiere el ID de Apple ni la contraseña personal de un usuario.

  • Bloqueo de aplicaciones: Deniega el acceso a todas las aplicaciones de un dispositivo. En Android, después de un bloqueo de aplicaciones, los usuarios no pueden iniciar sesión en Endpoint Management. En iOS, los usuarios pueden iniciar sesión, pero no pueden acceder a las aplicaciones.

  • Borrado de aplicaciones: En Android, elimina la cuenta del usuario en Endpoint Management. En iOS, elimina la cuenta de usuario en Secure Hub.

  • Bloqueo de activación de DEP ASM: Crea un código de omisión del bloqueo de activación para dispositivos iOS inscritos en Apple School Manager DEP.

  • Desactivar restricciones: En dispositivos iOS supervisados, este comando permite que Endpoint Management borre la contraseña de restricciones y los parámetros de restricciones configurados por el usuario.

  • Habilitar o inhabilitar el modo perdido: Coloca un dispositivo iOS supervisado en el modo Perdido y envía un mensaje, un número de teléfono y una nota al pie que aparecen en el dispositivo. La segunda vez que se envíe este comando, el dispositivo sale del modo Perdido.

  • Borrado completo: Borra inmediatamente todos los datos y todas las aplicaciones que hubiera presentes en un dispositivo, incluidas las tarjetas de memoria.

    • En caso de dispositivos Android, esta solicitud puede incluir la opción de borrar las tarjetas de memoria.

    • Para dispositivos iOS, macOS y tvOS, el borrado se aplica inmediatamente, incluso aunque el dispositivo esté bloqueado.

      Para dispositivos iOS 11 (versión mínima): Tras confirmar el borrado completo, puede optar por conservar el plan de datos móviles que hubiera presente en el dispositivo.

      Para dispositivos con iOS 11.3 (versión mínima): Tras confirmar el borrado completo, puede evitar que los dispositivos iOS realicen la configuración por proximidad. Al configurar un nuevo dispositivo iOS, los usuarios normalmente pueden usar un dispositivo iOS ya configurado para configurar el suyo. Puede rechazar esta configuración por proximidad en dispositivos cuyos datos hayan sido borrados y estén bajo la administración de Endpoint Management.

    • En caso de dispositivos Windows Phone, un borrado completo elimina toda la información de Endpoint Management, además de todos los datos del usuario, incluido el contenido personal (como aplicaciones, mensajes de correo electrónico, contactos y archivos multimedia).

    • Si los dispositivos Windows Mobile ejecutan Windows Mobile 6 o una versión anterior, después del borrado, es posible que deba enviar el dispositivo al fabricante para que este vuelva a cargar el sistema operativo original, el software original o ambos.

    • Si el usuario apaga el dispositivo antes de que se elimine el contenido de la tarjeta de memoria, aún podría tener acceso a los datos del dispositivo.

    • Puede cancelar la solicitud de borrado hasta que se envíe al dispositivo.

  • Localizar: Busca un dispositivo y notifica su ubicación con un mapa en la página Administrar > Dispositivos, en Detalles del dispositivo > General.

  • Bloquear: Bloquea remotamente un dispositivo, lo que resulta útil si un dispositivo se ha perdido, pero no es seguro que lo hayan robado. Cuando se envía este comando, Endpoint Management genera un código PIN y lo establece en el dispositivo. Para acceder al dispositivo, el usuario deberá teclear ese código PIN. Use el comando Cancelar bloqueo de dispositivo para quitar el bloqueo desde la consola de Endpoint Management.

  • Bloquear y restablecer contraseña: Bloquea remotamente un dispositivo y restablece la contraseña en él.

  • Notificar (Hacer sonar): Reproduce un sonido en dispositivos Android.

  • Reiniciar: Reinicia dispositivos Windows 10. Para tabletas y equipos Windows, aparece el mensaje “El sistema va a reiniciase” y el reinicio se produce en cinco minutos. Para Windows Phone, no aparece ningún mensaje de advertencia a los usuarios y el reinicio se produce después de unos minutos.

  • Solicitar o detener duplicación AirPlay: Inicia y detiene la duplicación AirPlay en los dispositivos iOS supervisados.

  • Reiniciar o apagar: Reinicia o apaga inmediatamente dispositivos iOS supervisados.

  • Revocar: Prohíbe a un dispositivo que se conecte a Endpoint Management.

  • Revocar o autorizar (iOS, macOS): Realiza las mismas acciones que el borrado selectivo. Después de la revocación, puede volver a autorizar el dispositivo para la reinscripción.

  • Hacer sonar: Si el dispositivo está en el modo perdido, esta acción reproduce un sonido en un dispositivo iOS supervisado. El sonido se reproduce hasta que se saque al dispositivo del modo perdido o hasta que el usuario quite el sonido.

  • Borrado selectivo: Borra todas las aplicaciones y los datos empresariales de un dispositivo, pero no afecta a las aplicaciones ni los datos personales. Después de un borrado selectivo, un usuario puede volver a inscribir el dispositivo.

    • Borrar un dispositivo Android de forma selectiva no lo desconecta de Device Manager ni de la red corporativa. Para evitar que el dispositivo acceda a Device Manager, también debe revocar los certificados de dispositivo.
    • Si habilita la API de Samsung KNOX, el borrado selectivo también quita el contenedor Samsung KNOX del dispositivo.
    • Para dispositivos iOS y macOS, este comando elimina cualquier perfil instalado a través de MDM.
    • El borrado selectivo en un dispositivo Windows también elimina el contenido de la carpeta de perfil del usuario que haya iniciado sesión en el dispositivo en ese momento. En un borrado selectivo, no se elimina ningún clip Web que entregue a los usuarios a través de una configuración. Los clips Web se eliminan cuando los usuarios desinscriben sus dispositivos de forma manual. No se puede volver a inscribir un dispositivo en el que se ha realizado el borrado selectivo.
    • El borrado selectivo de un dispositivo Windows Phone quita el token de empresa, el cual permite que Endpoint Management instale aplicaciones en el dispositivo. El borrado también elimina todos los certificados y todas las configuraciones de Endpoint Management que se hayan implementan en el dispositivo. No se puede volver a inscribir un dispositivo Windows Phone en el que se ha realizado el borrado selectivo.
    • En dispositivos Android, el borrado selectivo también revoca el dispositivo en sí, y este puede reinscribirse solo después de autorizarlo nuevamente o eliminarlo de la consola.
  • Desbloquear: Borra el código de acceso que se envía al dispositivo cuando este se bloquea. Este comando no desbloquea el dispositivo.

En Administrar > Dispositivos, la página Detalles del dispositivo muestra también las propiedades de seguridad del dispositivo. Entre esas propiedades, se encuentran: el ID seguro, el bloqueo del dispositivo, la omisión del bloqueo de activación, así como otra información en función del tipo de plataforma. El campo Borrado completo del dispositivo contiene el código PIN del usuario. El usuario debe introducir ese código después de que se haya borrado el dispositivo. Si el usuario no consigue recordar el código, usted puede buscarlo en “Detalles del dispositivo”.

Acciones de seguridad para dispositivos Android

Acción de seguridad Android (excepto para dispositivos Android Enterprise) Android Enterprise (uso de dispositivos personales en el trabajo) Android Enterprise (dispositivos de la empresa)
Bloqueo de aplicaciones No No
Borrado de aplicaciones No No
Borrado completo No
Localizar Sí: Para dispositivos que ejecutan Android 6.0+, el comando “Localizar” requiere que el usuario conceda permisos de localización durante la inscripción. El usuario puede optar por no conceder permisos de localización. Si el usuario no concede el permiso durante la inscripción, Endpoint Management vuelve a solicitarlo cuando envía el comando de localización. Sí: Para dispositivos que ejecutan Android 6.0+, el comando “Localizar” requiere que el usuario conceda permisos de localización durante la inscripción. El usuario puede optar por no conceder permisos de localización. Si el usuario no concede el permiso durante la inscripción, Endpoint Management vuelve a solicitarlo cuando envía el comando de localización. Sí: Para dispositivos que ejecutan Android 6.0+, el comando “Localizar” requiere que el usuario conceda permisos de localización durante la inscripción. El usuario puede optar por no conceder permisos de localización. Si el usuario no concede el permiso durante la inscripción, Endpoint Management vuelve a solicitarlo cuando envía el comando de localización.
Bloquear
Bloqueo y restablecimiento de contraseña No
Notificar (Hacer sonar)
Revocar
Borrado selectivo No

Acciones de seguridad para dispositivos iOS, macOS y tvOS

Acción de seguridad iOS macOS tvOS
Omisión del bloqueo de activación No No
Bloqueo de aplicaciones No No
Borrado de aplicaciones No No
Bloqueo de activación de DEP ASM No No
Desactivar restricciones No No
Habilitar o inhabilitar el modo perdido No No
Habilitar o inhabilitar el seguimiento No No
Borrado completo
Localizar No No
Bloquear No
Hacer sonar No
Solicitar o detener la duplicación AirPlay No No
Reiniciar o apagar No Sí (reiniciar)
Revocar o autorizar
Borrado selectivo No
Desbloquear No No

Para obtener detalles sobre las acciones de seguridad para iPads compartidos, consulte Acciones de seguridad para iPads compartidos.

Acciones de seguridad para dispositivos Windows

Acción de seguridad Windows Phone 10 Windows Tablet 10 Windows Phone 8.1
Localizar No
Bloquear
Bloqueo y restablecimiento de contraseña No
Reiniciar No
Revocar
Hacer sonar No
Borrado selectivo
Borrar No

En el resto de este artículo se indican los pasos a seguir para realizar diversas acciones de seguridad. También se pueden automatizar algunas acciones. Para obtener información detallada, consulte Acciones automatizadas.

Bloquear dispositivos iOS

Puede bloquear un dispositivo iOS perdido y mostrar un mensaje y un número de teléfono en la pantalla de bloqueo. Esta función está respaldada en dispositivos iOS 7 y versiones posteriores.

Para que se muestren un mensaje y un teléfono en un dispositivo bloqueado, establezca la directiva Código de acceso en true en la consola de Endpoint Management. De forma alternativa, los usuarios pueden habilitar manualmente el código de acceso en el dispositivo.

  1. Haga clic en Administrar > Dispositivos. Aparecerá la página Dispositivos.

    Imagen de la pantalla Dispositivos

  2. Seleccione el dispositivo iOS que quiere bloquear.

    Marque la casilla situada junto a un dispositivo para que el menú de opciones aparezca encima de la lista de dispositivos. Haga clic en cualquier lugar de la lista para que el menú de opciones aparezca a la derecha de la lista.

    Imagen del menú de opciones

    Imagen del menú de opciones

  3. En el menú de opciones, seleccione Proteger. Aparecerá el cuadro de diálogo Acciones de seguridad.

    Imagen del cuadro de diálogo Acciones de seguridad

  4. Haga clic en Bloquear. Aparecerá el cuadro de confirmación Acciones de seguridad.

    Imagen de la confirmación de acciones de seguridad

  5. Si lo prefiere, puede introducir el mensaje y el número de teléfono que aparecerán en la pantalla de bloqueo del dispositivo.

    Para iPads que ejecutan iOS 7 y versiones posteriores: iOS añade las palabras “iPad perdido” a lo que escriba en el campo Mensaje.

    Para iPhones que ejecutan iOS 7 y versiones posteriores: Si deja el campo Mensaje vacío y proporciona un número de teléfono, Apple mostrará un mensaje del tipo “Llamar al propietario” en la pantalla de bloqueo del dispositivo.

  6. Haga clic en Bloquear dispositivo.

Quitar un dispositivo de la consola de Endpoint Management

Importante:

Cuando se quita un dispositivo de la consola de Endpoint Management, las aplicaciones administradas y los datos permanecen en el dispositivo. Para quitar las aplicaciones administradas y los datos que contiene el dispositivo, consulte “Eliminar un dispositivo” más adelante en este artículo.

Para eliminar un dispositivo de la consola de Endpoint Management, vaya a Administrar > Dispositivos, seleccione el dispositivo administrado y, a continuación, haga clic en Eliminar.

Imagen de la opción Eliminar

Borrar datos selectivamente de un dispositivo

  1. Vaya a Administrar > Dispositivos, seleccione un dispositivo administrado y haga clic en Proteger.

  2. En Acciones de seguridad, haga clic en Borrado selectivo.

  3. En los dispositivos Android (y únicamente en ellos), desconecte el dispositivo de la red corporativa. Para ello, después de que se borre el dispositivo, en Acciones de seguridad, haga clic en Revocar.

    Para anular una solicitud de borrado selectivo antes de que se haya llevado a cabo, en Acciones de seguridad, haga clic en Cancelar borrado selectivo.

Eliminar un dispositivo

Este procedimiento elimina las aplicaciones administradas y los datos que contiene un dispositivo. Asimismo, se elimina el dispositivo de la lista “Dispositivos” en la consola de Endpoint Management.

  1. Vaya a Administrar > Dispositivos, seleccione un dispositivo administrado y haga clic en Proteger.

  2. Haga clic en Borrado selectivo. Cuando se le solicite, haga clic en Ejecutar borrado selectivo.

  3. Para verificar que el comando de borrado se ha realizado, actualice Administrar > Dispositivos. En la columna Modo, el color anaranjado de MAM y MDM indica que el comando de borrado se ha realizado.

    Imagen de un comando de borrado realizado

  4. En Administrar > Dispositivos, seleccione el dispositivo y haga clic en Eliminar. Cuando se le solicite, haga clic en Eliminar de nuevo.

Bloquear, desbloquear, borrar o anular el borrado de aplicaciones

  1. Vaya a Administrar > Dispositivos, seleccione un dispositivo administrado y haga clic en Proteger.

  2. En el cuadro de diálogo Acciones de seguridad, haga clic en la acción de aplicaciones pertinente.

    También puede utilizar el cuadro de diálogo Acciones de seguridad para consultar el estado del dispositivo de un usuario cuya cuenta se haya inhabilitado o eliminado de Active Directory. La presencia de las acciones “Desbloqueo de aplicaciones” o “Anular borrado de aplicaciones” indica que hay aplicaciones que se han bloqueado o borrado.

Colocar dispositivos iOS en modo perdido

La propiedad de dispositivo “modo perdido” de Endpoint Management coloca un dispositivo iOS en el modo Perdido (de Apple). A diferencia del modo Perdido gestionado de Apple, el modo perdido de Endpoint Management no requiere que el usuario configure Buscar mi iPhone o iPad ni habilite los servicios de localización geográfica de Citrix Secure Hub para permitir la localización de su dispositivo.

En el modo Perdido de Endpoint Management, solo Endpoint Management puede desbloquear el dispositivo. (En cambio, si usa la funcionalidad de bloqueo del dispositivo de Endpoint Management, los usuarios pueden desbloquear el dispositivo directamente con un código PIN que proporcione.)

Para habilitar o inhabilitar el modo perdido, vaya a Administrar > Dispositivos, elija un dispositivo iOS supervisado y haga clic en Proteger. A continuación, haga clic en Habilitar modo perdido o Inhabilitar modo perdido.

Imagen de las opciones del modo perdido

Si hace clic en Habilitar modo perdido, escriba la información que aparecerá en el dispositivo cuando esté en el modo perdido.

Imagen de la información que aparecerá en un dispositivo

Para comprobar el estado del modo perdido, utilice cualquiera de los siguientes métodos:

  • En la ventana Acciones de seguridad, compruebe si el botón es Inhabilitar modo perdido.
  • Desde Administrar > Dispositivos, en la ficha General, en Seguridad, consulte la última acción de “Habilitar modo perdido” o “Inhabilitar modo perdido”.

Imagen de la ficha General

  • Desde Administrar > Dispositivos, en la ficha Propiedades, compruebe que el valor del parámetro Modo perdido de MDM habilitado es correcto.

Imagen del parámetro Modo perdido de MDM habilitado

Si habilita el modo Perdido de Endpoint Management en un dispositivo iOS, la consola de Endpoint Management también cambia de la siguiente manera:

  • En Configurar > Acciones, la lista Acciones no incluye las siguientes acciones automatizadas: Revocar el dispositivo, Borrar datos selectivamente del dispositivo ni Borrar datos completamente del dispositivo.
  • En Administrar > Dispositivos, la lista Acciones de seguridad ya no incluye las acciones de dispositivo Revocar ni Borrado selectivo. En cambio, puede llevar a cabo un Borrado completo, si fuera necesario.

En caso de iPads con iOS 7 y versiones posteriores, iOS añade las palabras “iPad perdido” a lo que escriba en el campo Mensaje de la pantalla Acciones de seguridad.

En caso de iPhones con iOS 7 y versiones posteriores, Si deja el campo Mensaje vacío y proporciona un número de teléfono, Apple mostrará un mensaje del tipo “Llamar al propietario” en la pantalla de bloqueo del dispositivo.

Omitir un bloqueo de activación de iOS

El bloqueo de activación es una característica de Buscar mi iPhone o iPad que evita la reactivación de un dispositivo supervisado que se haya perdido o haya sido robado. El bloqueo de activación requiere el ID de Apple del usuario y la contraseña para poder desactivar Buscar mi iPhone o iPad, borrar el dispositivo o volver a activarlo. Para los dispositivos propiedad de la organización, es necesario omitir un bloqueo de activación para, por ejemplo, restablecer o reasignar dispositivos.

Para habilitar el bloqueo de activación, debe configurar e implementar la directiva de opciones MDM de Endpoint Management. A continuación, puede administrar un dispositivo desde la consola de Endpoint Management sin las credenciales de Apple del usuario. Para omitir el requisito de credenciales de Apple en un bloqueo de activación, debe emitir la acción de seguridad “Omisión del bloqueo de activación” desde la consola de Endpoint Management.

Por ejemplo, si un usuario devuelve un teléfono perdido o si usted quiere configurar uno antes o después de un borrado completo, cuando el teléfono le solicite las credenciales de la cuenta de iTunes, puede omitir ese paso emitiendo la acción de seguridad “Omisión del bloqueo de activación” desde la consola de Endpoint Management.

Requisitos del dispositivo para la omisión del bloqueo de activación

  • iOS 7.1 (versión mínima)
  • Supervisado a través de Apple Configurator o Apple DEP
  • Configurado con una cuenta de iCloud
  • Buscar mi iPhone o iPad habilitado
  • Inscrito en Endpoint Management
  • La directiva Opciones MDM, con el bloqueo de activación habilitado, implementada en los dispositivos

Para omitir un bloqueo de activación antes de emitir el borrado completo de un dispositivo:

  1. Vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Proteger y, a continuación, haga clic en Omisión del bloqueo de activación.
  2. Borre los datos del dispositivo. La pantalla del bloqueo de activación no aparece durante la configuración del dispositivo.

Para omitir un bloqueo de activación después de emitir el borrado completo de un dispositivo:

  1. Borre los datos del dispositivo o restablézcalo. La pantalla del bloqueo de activación aparece durante la configuración del dispositivo.
  2. Vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Proteger y, a continuación, haga clic en Omisión del bloqueo de activación.
  3. Toque en el botón Atrás del dispositivo. Aparecerá la pantalla de inicio.

Tenga en cuenta lo siguiente:

  • Recomiende a los usuarios que no desactiven Buscar mi iPhone o iPad. No realice ningún borrado completo desde el dispositivo. En cualquiera de estos casos, se pide al usuario que escriba la contraseña de la cuenta de iCloud. Tras validar la cuenta, el usuario no verá la pantalla “Activar iPhone o iPad” después de borrar todo el contenido y toda la configuración.
  • Para un dispositivo con un código de omisión del bloqueo de activación generado y con el bloqueo de activación habilitado: si no puede omitir la página “Activar iPhone o iPad” después de un borrado completo, no es necesario eliminar el dispositivo de Endpoint Management. Usted o el usuario pueden ponerse en contacto con la asistencia técnica de Apple para desbloquear el dispositivo directamente.
  • Durante un inventario de hardware, Endpoint Management busca en el dispositivo un código de omisión del bloqueo de activación. Si hay disponible un código de omisión, el dispositivo lo envía a Endpoint Management. A continuación, para quitar ese código de omisión del dispositivo, envíe la acción de seguridad “Omisión del bloqueo de activación” desde la consola de Endpoint Management. En ese momento, Endpoint Management y Apple tienen el código de omisión requerido para desbloquear el dispositivo.
  • La acción de seguridad “Omisión del bloqueo de activación” necesita la disponibilidad de un servicio de Apple. Si la acción no funciona, puede desbloquear un dispositivo como se indica a continuación. En el dispositivo, debe introducir manualmente las credenciales de la cuenta iCloud. O bien, deje en blanco el campo del nombre de usuario y escriba el código de omisión en el campo de la contraseña. Para buscar el código de omisión, vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Modificar > Propiedades. El Código de omisión del bloqueo de activación se encuentra en el apartado Información de seguridad.

Obtener información acerca de dispositivos

La base de datos de Endpoint Management almacena una lista de dispositivos móviles. Cada dispositivo móvil está definido por un número de serie exclusivo o una identificación International Mobile Station Equipment Identity (IMEI) o Mobile Equipment Identifier (MEID). Para rellenar la consola de Endpoint Management con los datos de los dispositivos, puede agregar los dispositivos de forma manual o importar una lista de dispositivos desde un archivo. Para obtener más información acerca de formatos del archivo de aprovisionamiento de dispositivos, consulte Formatos del archivo de aprovisionamiento de dispositivos más adelante en este artículo.

En la página Administrar > Dispositivos de la consola de Endpoint Management, se ofrece una lista de cada dispositivo y la siguiente información:

  • Estado (Los iconos indican el estado de implementación, si está administrado, si ha sido liberado por jailbreak y si ActiveSync Gateway está disponible)
  • Modo (Si el modo del dispositivo es MDM, MAM o ambos)
  • Se ofrece otra información del dispositivo, como Nombre de usuario, Plataforma del dispositivo, Versión del sistema operativo, Modelo de dispositivo, Último acceso y Días de inactividad. Estos son los encabezados predeterminados que aparecen.

Para personalizar la tabla Dispositivos, haga clic en la flecha hacia abajo en el último encabezado. A continuación, seleccione los encabezados adicionales que quiera mostrar en la tabla o borre los que quiera quitar.

Imagen de las opciones de personalización de la tabla Dispositivos

Puede agregar dispositivos manualmente, importarlos desde un archivo de aprovisionamiento, modificar los datos de los dispositivos, realizar acciones para aumentar la seguridad en ellos y enviarles notificaciones. También puede exportar todos los datos de la tabla de dispositivos a un archivo CSV para generar un informe personalizado. El servidor exporta todos los atributos de dispositivo. Si se aplican filtros, Endpoint Management los tendrá en cuenta al crear el archivo CSV.

Agregar manualmente un dispositivo

  1. En la consola de Endpoint Management, haga clic en Administrar > Dispositivos. Aparecerá la página Dispositivos.

    Imagen de la página Dispositivos

  2. Haga clic en Agregar. Aparecerá la página Agregar dispositivo.

    Imagen de la página Agregar dispositivo

  3. Configure estos parámetros:

    • Seleccionar plataforma: Haga clic en iOS o Android.
    • Número de serie: Escriba el número de serie del dispositivo.
    • IMEI/MEID: Solo para dispositivos Android, puede escribir información referente al identificador IMEI/MEID del dispositivo.
  4. Haga clic en Agregar. La tabla Dispositivos aparecerá con el dispositivo agregado al final de la lista. Seleccione el dispositivo agregado y, a continuación, en el menú que aparecerá, haga clic en Modificar para ver y confirmar los detalles del dispositivo.

    Nota:

    Cuando se marca la casilla situada junto a un dispositivo, el menú de opciones aparece encima de la lista de dispositivos. Si hace clic en cualquier lugar de la lista, el menú de opciones aparece a la derecha de la lista.

    • LDAP configurado

    • Si utiliza grupos locales y usuarios locales:

      • Uno o varios grupos locales.

      • Usuarios locales asignados a grupos locales.

      • Los grupos de entrega se asocian con grupos locales.

    • Si usa Active Directory:

      • Los grupos de entrega se asocian con grupos de Active Directory.

      Imagen de la lista en Detalles del dispositivo

  5. La página General muestra una lista de los identificadores de dispositivo, como el número de serie, el ID de ActiveSync y otra información en función del tipo de plataforma. Para Propietario del dispositivo, seleccione Empresa o BYOD.

    Asimismo, la página General muestra una lista de las propiedades de Seguridad de que está dotado el dispositivo (como el ID seguro, el bloqueo del dispositivo y la omisión del bloqueo de activación), así como otra información en función del tipo de plataforma. El campo Borrado completo del dispositivo contiene el código PIN del usuario. El usuario debe introducir ese código después de que se haya borrado el dispositivo. Si el usuario no consigue recordar el código, usted puede buscarlo en “Detalles del dispositivo”.

  6. La página Propiedades muestra una lista de las propiedades de dispositivo que aprovisionará Endpoint Management. La lista contiene todas las propiedades de dispositivo incluidas en el archivo de aprovisionamiento utilizado para agregar el dispositivo. Para agregar una propiedad, haga clic en Agregar y, a continuación, seleccione una propiedad de la lista. Para saber cuáles son los valores válidos para cada propiedad, consulte el PDF Valores y nombres de propiedades de dispositivo.

    Cuando se agrega una propiedad, esta aparece inicialmente en la categoría donde se haya agregado. Después de hacer clic en Siguiente y volver a la página Propiedades, la propiedad aparece en la lista apropiada.

    Para eliminar una propiedad, coloque el cursor sobre ella y, a continuación, haga clic en el aspa (X) situada en el lado derecho. Endpoint Management elimina inmediatamente el elemento.

  7. Las secciones restantes de Detalles del dispositivo contienen información resumida acerca del dispositivo.

    • Propiedades de usuario: Muestra los roles de RBAC, los miembros del grupo, las cuentas de VPP y las propiedades del usuario. Puede retirar una cuenta de VPP desde esta página.
    • Directivas asignadas: Muestra la cantidad de directivas asignadas, incluidas las directivas implementadas, pendientes y fallidas. También muestra el nombre, el tipo y la última información implementada de cada directiva.
    • Aplicaciones: Muestra la cantidad de implementaciones de aplicaciones instaladas, pendientes y erróneas según el último inventario. Indica el nombre de la aplicación, el identificador y el tipo, entre otros datos. Para obtener una descripción de las claves de inventario de iOS y macOS, como HasUpdateAvailable, consulte Mobile Device Management (MDM) Protocol.
    • Multimedia: Muestra la cantidad de implementaciones de archivos multimedia instalados, pendientes y erróneos según el último inventario.
    • Acciones: Muestra la cantidad de acciones implementadas, pendientes y erróneas. Indica el nombre de la acción y la hora de la última implementación.
    • Grupos de entrega: Muestra la cantidad de grupos de entrega en estado correcto, pendiente y fallido. Indica el nombre del grupo de entrega y la hora de cada implementación. Seleccione un grupo de entrega para ver información más detallada (como el estado, la acción, el canal o el usuario).
    • Perfiles iOS: Muestra el último inventario de perfiles iOS, que incluye el nombre, el tipo, la organización y la descripción.
    • Perfiles de aprovisionamiento de iOS: Muestra información acerca del perfil de aprovisionamiento utilizado por la empresa para la distribución (como el UUID, la fecha de caducidad y si se administra o no).
    • Certificados: Muestra la cantidad de certificados válidos, caducados o revocados, incluida la información sobre el tipo, el proveedor, el emisor, el número de serie y los días que quedan hasta la caducidad.
    • Conexiones: Muestra los estados de la primera y la última conexión. Para cada conexión, aparecen el nombre de usuario, así como la hora de las dos últimas autenticaciones (la penúltima y la última).
    • Estado de MDM: Muestra información como el estado MDM, la hora del último envío push y la hora de la última respuesta del dispositivo.
    • TouchDown: Pensada solo para dispositivos Android, muestra información acerca de la última autenticación del dispositivo y el último usuario autenticado. Aparecen los nombres y los valores de todas las directivas aplicables.

Importar dispositivos desde un archivo de aprovisionamiento

Puede importar un archivo proporcionado por operadores de telefonía móvil o fabricantes de dispositivos móviles. También puede crear su propio archivo de aprovisionamiento de dispositivos. Para obtener más información, consulte Formatos del archivo de aprovisionamiento de dispositivos más adelante en este artículo.

  1. Vaya a Administrar > Dispositivos y haga clic en Importar. Aparece el cuadro de diálogo Importar archivo de aprovisionamiento.

    Imagen del cuadro de diálogo Importar archivo de aprovisionamiento

  2. Haga clic en Elegir archivo y, a continuación, vaya al archivo que quiere importar.

  3. Haga clic en Importar. El archivo importado aparecerá en la tabla Dispositivos.

  4. Para modificar la información del dispositivo, selecciónelo y, a continuación, haga clic en Modificar. Para obtener información sobre las páginas que contiene Detalles del dispositivo, consulte Agregar un dispositivo manualmente.

Enviar una notificación a dispositivos

Puede enviar notificaciones a los dispositivos desde la página Dispositivos. Para obtener más información acerca de las notificaciones, consulte Notificaciones.

  1. En la página Administrar > Dispositivos, seleccione los dispositivos a los que quiera enviar una notificación.

  2. Haga clic en Notificar. Aparecerá el cuadro de diálogo Notificación. En el campo Destinatarios, se ofrece una lista de todos los dispositivos que van a recibir la notificación.

    Imagen del cuadro de diálogo Notificación

  3. Configure estos parámetros:

    • Plantillas: En la lista, haga clic en el tipo de notificación que quiere enviar. Los campos Asunto y Mensaje se rellenarán con el texto configurado de la plantilla que eligió, excepto en el caso de haber elegido Ad hoc.
    • Canales: Seleccione cómo enviar el mensaje. El valor predeterminado es SMTP y SMS. Haga clic en las fichas para ver el formato del mensaje para cada canal.
    • Remitente: Escriba un remitente opcional.
    • Asunto: Escriba el asunto para un mensaje Ad hoc.
    • Mensaje: Escriba el mensaje para un mensaje Ad hoc.
  4. Haga clic en Notificar.

Exportar la tabla Dispositivos

  1. Filtre la tabla Dispositivos según lo que quiera que aparezca en el archivo de exportación.

  2. Haga clic en el botón Exportar situado sobre la tabla Dispositivos. Endpoint Management extrae la información de la tabla Dispositivos filtrada y la convierte a un archivo CSV.

  3. Cuando se le solicite, abra o guarde el archivo CSV.

Etiquetar manualmente los dispositivos de usuario

En Endpoint Management, puede etiquetar manualmente un dispositivo de las siguientes maneras:

  • Durante el proceso de inscripción por invitación.
  • Durante el proceso de inscripción mediante el portal Self Help Portal.
  • Agregando el propietario del dispositivo a las propiedades del mismo.

Tiene la opción de etiquetar el dispositivo como propiedad de la empresa o del empleado. Cuando se usa el portal Self-Help Portal para inscribir un dispositivo, también se puede etiquetarlo como propiedad de la empresa o propiedad del empleado. También puede etiquetar un dispositivo manualmente siguiendo este procedimiento.

  1. Agregue una propiedad al dispositivo desde la ficha Dispositivos en la consola de Endpoint Management.
  2. Agregue la propiedad denominada Propietario y elija Empresa o BYOD (propiedad del empleado).

    Imagen de los parámetros de la propiedad Propietario

Buscar dispositivos

Para una búsqueda rápida, el ámbito predeterminado de las búsquedas incluye solo las siguientes propiedades del dispositivo:

  • Número de serie
  • IMEI
  • Dirección MAC de Wi-Fi
  • Dirección MAC de Bluetooth
  • ID de Active Sync
  • Nombre de usuario

Puede configurar el ámbito de la búsqueda a través de una nueva propiedad del servidor, include.device.properties.during.search, cuyo valor predeterminado es false. Para incluir todas las propiedades del dispositivo en una búsqueda de dispositivos, vaya a Parámetros > Propiedades del servidor y cambie la configuración a true.

Formatos del archivo de aprovisionamiento de dispositivos

Muchos operadores móviles o fabricantes de dispositivos proporcionan listas de dispositivos móviles autorizados. Puede usar estas listas para evitar tener que introducir una larga lista de dispositivos móviles manualmente. Endpoint Management es compatible con un formato de archivo de importación común para los tres tipos de dispositivo respaldados: Android, iOS y Windows.

Un archivo de aprovisionamiento que se crea manualmente y se usa para importar dispositivos en Endpoint Management debe tener el siguiente formato:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

Tenga en cuenta lo siguiente:

  • Para saber cuáles son los valores válidos para cada propiedad, consulte el PDF Valores y nombres de propiedades de dispositivo.
  • Use el conjunto de caracteres UTF-8.
  • Use un punto y coma (;) para separar los campos que contenga el archivo de aprovisionamiento. Si parte de un campo contiene un punto y coma, debe anteponérsele un carácter de barra diagonal inversa (\).

    Por ejemplo, para esta propiedad:

    propertyV;test;1;2

    Coloque una barra diagonal inversa de la siguiente manera:

    propertyV\;test\;1\;2

  • El número de serie es obligatorio para dispositivos iOS porque es el identificador del dispositivo iOS.
  • Para otras plataformas de dispositivos, se debe incluir el número de serie o el IMEI.
  • Los valores válidos para OperatingSystemFamily son: WINDOWS, ANDROID o iOS.

Ejemplo de un archivo de aprovisionamiento de dispositivos:

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

Cada línea del archivo describe un dispositivo. La primera entrada del ejemplo significa lo siguiente:

  • SerialNumber: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • OperatingSystemFamily: WINDOWS
  • ProertyName: propertyN
  • PropertyValue: propertyV\;test\;1\;2;prop 2

Dispositivos compartidos

Endpoint Management permite configurar dispositivos que se puedan compartir entre varios usuarios. La función de dispositivos compartidos permite, por ejemplo, que los médicos, en los hospitales, usen cualquier dispositivo cercano para acceder a las aplicaciones y a los datos, en lugar de tener que llevar encima un dispositivo concreto. También puede interesarle intercambiar dispositivos en ámbitos judiciales, comerciales y de fabricación para compartir los dispositivos entre sí y, de esta manera, reducir costes de equipamiento.

Puntos clave sobre dispositivos compartidos

Puede usar cualquiera de los dispositivos iOS y Android respaldados en calidad de dispositivos compartidos. Para obtener una lista de las plataformas respaldadas, consulte Sistemas operativos respaldados de dispositivo.

Modo MDM

  • Disponible en teléfonos y tabletas iOS y Android. No se admite la inscripción básica del Device Enrollment Program (DEP) para dispositivos compartidos de Endpoint Management Enterprise. Debe utilizar una inscripción autorizada de DEP para inscribir un dispositivo compartido en este modo.
  • No se admiten: la autenticación de certificados de cliente, el PIN de Citrix, Touch ID, la autenticación de dos factores ni la entropía de usuario.

Modo MDM+MAM

  • Disponible solo en tabletas iOS y Android.
  • Solo se respalda la autenticación de nombre de usuario y contraseña de Active Directory.
  • No se admiten la autenticación de certificados de cliente, el PIN de Citrix, Touch ID ni la entropía de usuario.
  • No se admite el modo solo MAM. Los dispositivos deben inscribirse en MDM.
  • Solo se da respaldo a Secure Mail, Secure Web y la aplicación para móvil de Citrix Files. No se admiten las aplicaciones HDX.
  • Los usuarios de Active Directory son los únicos usuarios admitidos; los grupos y los usuarios locales no se admiten.
  • Los dispositivos compartidos existentes que están en modo solo MDM que quieran actualizarse a MDM+MAM deben reinscribirse.
  • Los usuarios solo pueden compartir aplicaciones móviles de productividad de Citrix y aplicaciones MDX empaquetadas; no pueden compartir aplicaciones nativas en los dispositivos.
  • Una vez se hayan descargado durante la primera inscripción, las aplicaciones móviles de productividad Citrix no se vuelven a descargar cada vez que un nuevo usuario inicia sesión en el dispositivo. El nuevo usuario puede coger el dispositivo, iniciar sesión y utilizarlo.
  • En Android, para aislar los datos de cada usuario por motivos de seguridad, la directiva Disallow rooted devices de la consola de Endpoint Management debe activarse.

Requisitos previos para la inscripción de dispositivos compartidos

Antes de inscribir dispositivos compartidos, debe realizar lo siguiente:

Requisitos previos para el modo MDM+MAM

  1. Crear un grupo de Active Directory con un nombre parecido a Inscripción de dispositivos compartidos.
  2. Agregar a este grupo usuarios de Active Directory que inscribirán dispositivos compartidos. Si quiere una nueva cuenta para este fin, cree un nuevo usuario de Active Directory (por ejemplo, sdenroll) y agréguelo al grupo de Active Directory.

Configurar un dispositivo compartido

Siga estos pasos para configurar un dispositivo compartido.

  1. Desde la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.
  2. Haga clic en Control de acceso basado en roles y, a continuación, haga clic en Agregar. Aparecerá la página Agregar rol.
  3. Cree un rol de usuario de inscripción de dispositivo compartido denominado usuario de inscripción de dispositivos compartidos con permisos de Inscripción de dispositivos compartidos en Acceso autorizado. Expanda Dispositivos, en la sección Funcionalidad de la consola y, a continuación, seleccione Borrado selectivo del dispositivo. Esta configuración garantiza que las aplicaciones y las directivas aprovisionadas mediante la cuenta de inscripción de dispositivos compartidos se eliminen a través de Secure Hub cuando se anule la inscripción del dispositivo.

    En Aplicar permisos, puede conservar la configuración predeterminada Para todos los grupos de usuarios, o bien asignar permisos a grupos de usuarios de Active Directory específicos con Para grupos de usuarios específicos.

    Imagen de las opciones de Aplicar permisos

    Haga clic en Siguiente para pasar a la pantalla Asignación. Asigne el rol de inscripción de dispositivo compartido que acaba de crear al grupo de Active Directory que ha creado para los usuarios de inscripción de dispositivos compartidos en el paso 1 de requisitos previos. En la siguiente imagen, citrix.lab es el dominio de Active Directory y Shared Device Enrollers es el grupo de Active Directory.

    Imagen de la pantalla Asignación

  4. Cree un grupo de entrega que contenga las directivas base, las aplicaciones y las acciones que quiere que se apliquen al dispositivo cuando un usuario no haya iniciado sesión. A continuación, asocie ese grupo de entrega al grupo de Active Directory del usuario de inscripción de dispositivos compartidos.

    Imagen de parámetros de los grupos de entrega

  5. Instale Secure Hub en el dispositivo compartido e inscríbalo en Endpoint Management con la cuenta del usuario de inscripción de dispositivos compartidos. Ahora, puede ver y administrar el dispositivo a través de la consola de Endpoint Management. Para obtener más información, consulte Inscribir dispositivos.

  6. Si quiere aplicar directivas diferentes u ofrecer aplicaciones adicionales a los usuarios autenticados, cree un grupo de entrega asociado a esos usuarios e impleméntelo solo en los dispositivos compartidos. Al crear los grupos, configure reglas de implementación para que los paquetes se implementen en dispositivos compartidos. Para obtener más información, consulte Implementar recursos.

  7. Si quiere dejar de compartir el dispositivo, realice un borrado selectivo para quitar la cuenta del usuario de inscripción de dispositivos compartidos del dispositivo, junto con las aplicaciones y las directivas que se han implementado en él.

Experiencia de usuario en dispositivos compartidos

Modo MDM

Los usuarios solo ven los recursos disponibles para ellos, y obtienen la misma experiencia en cada dispositivo compartido. Las aplicaciones y las directivas de inscripción de dispositivos compartidos permanecen en el dispositivo. Cuando un usuario que no se ha inscrito en dispositivos compartidos inicia sesión en Secure Hub, las aplicaciones y las directivas de esa persona se implementan en el dispositivo. Cuando dicho usuario cierra la sesión, se eliminan las directivas y las aplicaciones que son diferentes de las de la inscripción de dispositivos compartidos, mientras los recursos de inscripción de dispositivos compartidos permanecen intactos.

Modo MDM+MAM

Secure Mail y Secure Web se implementan en el dispositivo cuando el usuario de inscripción de dispositivos compartidos los inscribe. Los datos de usuario se conservan de forma segura en el dispositivo. Los datos no se expondrán a otros usuarios cuando estos usen Secure Mail o Secure Web.

Solo un usuario a la vez puede iniciar sesión en Secure Hub. El usuario anterior debe finalizar la sesión antes de que el siguiente pueda iniciarla. Por motivos de seguridad, Secure Hub no almacena credenciales de usuario en dispositivos compartidos, de modo que los usuarios deben introducir sus credenciales cada vez que inicien sesión. Con el fin de que el usuario nuevo no pueda acceder a los recursos pensados para el usuario anterior, Secure Hub no permite que los nuevos usuarios inicien sesión mientras se quitan las directivas, las aplicaciones y los datos asociados al usuario anterior.

La inscripción de dispositivos compartidos no cambia el proceso de actualización de aplicaciones. Puede insertar actualizaciones en los usuarios de dispositivos compartidos como siempre, y estos pueden actualizar las aplicaciones directamente en sus dispositivos.

Directivas recomendadas para Secure Mail

  • Para conseguir el mejor funcionamiento de Secure Mail, configure el periodo de sincronización máximo según la cantidad de usuarios que compartirán el dispositivo. No se recomienda permitir una sincronización ilimitada.
Cantidad de usuarios que comparten el dispositivo Periodo de sincronización máximo recomendado
De 21 a 25 1 semana o menos
6 a 20 2 semanas o menos
Hasta 5 1 mes o menos
  • Bloquee Enable contact export para evitar exponer los contactos de un usuario a los demás usuarios que comparten el dispositivo.

  • En iOS, solo se pueden definir los parámetros siguientes para cada usuario. Todos los demás parámetros serán comunes a todos los usuarios que compartan el dispositivo:

    • Notificaciones
    • Firma
    • Fuera de la oficina
    • Período de sincronización de correo
    • S/MIME
    • Comprobar ortografía