Citrix Endpoint Management

Integración en funciones de Apple Educación

Puede usar Endpoint Management como solución de administración de dispositivos móviles (MDM) en un entorno que usa Apple Educación. Endpoint Management admite Apple School Manager (ASM) y la aplicación Aula para iPad. La directiva de configuración de la educación de Endpoint Management define los dispositivos de profesores y alumnos que van a usarse con Apple Educación.

En el marco de Apple Educación, ofrece iPads preconfigurados y supervisados a profesores y alumnos. Esa configuración incluye la inscripción de ASM en Endpoint Management, una cuenta administrada de ID de Apple configurada con una contraseña nueva y los iBooks y aplicaciones de compras por volumen obligatorios.

Para obtener más información acerca de las funciones de Apple Educación, consulte el sitio Educación de Apple y la guía de implantación para el sector educativo en el mismo sitio.

Apple School Manager

Siga estos pasos generales para integrar Endpoint Management en ASM.

  1. Cree una cuenta para su institución en ASM con el fin de inscribir su institución en ASM.
  2. Configure una cuenta de compras por volumen de Educación para Apple School Manager.
  3. Agregue contraseñas para los usuarios de Apple School Manager.
  4. Planifique y agregue recursos y grupos de entrega a Endpoint Management.
  5. Pruebe las inscripciones de dispositivos de profesor y alumno.
  6. Después de ello, puede ofrecer los dispositivos preconfigurados a profesores y alumnos.
  7. Administrar datos de profesores, alumnos y clases
  8. Si un dispositivo se pierde o alguien lo roba, puede bloquearlo y localizarlo.

Para obtener información sobre cómo inscribirse en ASM y conectar su cuenta con Endpoint Management, consulte Implementar dispositivos mediante el Programa de implementación de Apple.

Requisitos previos

  • Citrix Gateway

  • Perfil de inscripción configurado para MDM+MAM.

  • Apple iPad de 3.ª generación (versión mínima) o iPad Mini, con iOS 9.3 (versión mínima)

Nota:

Endpoint Management no valida cuentas de usuario de ASM en LDAP o Active Directory. Sin embargo, puede conectar Endpoint Management a LDAP o Active Directory para administrar usuarios y dispositivos no relacionados con profesores y alumnos de ASM. Por ejemplo, puede usar Active Directory para proporcionar Secure Mail y Secure Web a otros miembros de ASM, como gestores y administradores de TI.

Como los alumnos y los profesores de ASM son usuarios locales, no es necesario implementar Citrix Secure Hub en sus dispositivos.

No se admiten usuarios locales (solo usuarios de Active Directory) en la inscripción MAM que incluye la autenticación de Citrix Gateway. Por lo tanto, Endpoint Management solo implementa los iBooks y las aplicaciones de compras por volumen obligatorios en los dispositivos de profesores y alumnos.

Aplicación Aula para iPad

La aplicación Aula para iPad permite a los profesores conectarse a los dispositivos de los alumnos y administrarlos. Puede ver las pantallas de los iPads, abrir aplicaciones en ellos, abrir y compartir enlaces Web, así como presentar la pantalla de un alumno en Apple TV.

Aula es una aplicación gratuita disponible en el App Store. Usted carga la aplicación en la consola de Endpoint Management. Luego, se configura a través de la directiva de configuración de la educación, que se implementará a posteriori en los dispositivos de los profesores.

Para obtener más información sobre cómo implementar la aplicación Aula, consulte Distribuir aplicaciones de Apple.

Para obtener más información sobre los requisitos, la instalación y las funciones de la aplicación Aula, consulte el manual del usuario de Aula del sitio de soporte de Apple.

Agregar contraseñas para los usuarios de Apple School Manager

Después de agregar una cuenta de ASM, Endpoint Management importa las clases y los usuarios desde ASM. Endpoint Management trata las clases como grupos locales y, en la consola, se usa el término “grupo” para ellas. Si una clase ya tiene un nombre de grupo en ASM, Endpoint Management asigna ese nombre de grupo a la clase. De lo contrario, Endpoint Management utiliza el ID del sistema de origen para formar el nombre del grupo. Endpoint Management no utiliza el nombre del curso para nombrar la clase debido a que los nombres de los cursos en ASM no son únicos.

Endpoint Management utiliza los ID de Apple administrados para crear usuarios locales con el tipo de usuario ASM. Los usuarios son locales porque ASM crea las credenciales independientemente de todos los orígenes de datos externos. Por eso, Endpoint Management no utiliza un servidor de directorio para autenticar a estos usuarios nuevos.

ASM no envía contraseñas de usuario temporales a Endpoint Management. Puede importarlas desde un archivo CSV o agregarlas manualmente. Para importar contraseñas de usuario temporales:

  1. Obtenga el archivo CSV generado por ASM cuando cree las contraseñas temporales de los ID de Apple administrados.

  2. Modifique ese archivo CSV, cambie las contraseñas temporales por las contraseñas nuevas que los usuarios deberán proporcionar para inscribirse en Endpoint Management. No hay ninguna restricción en el tipo de contraseña que se puede utilizar para este propósito.

    El formato de una entrada en el archivo CSV es el siguiente: user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    Donde:

    Usuario: user@appleid.citrix.com

    Nombre: Firstname

    Segundo nombre: Middle

    Apellido: Lastname

    Contraseña: Password123!

  3. En la consola de Endpoint Management, haga clic en Administrar > Usuarios. Aparecerá la página Usuarios.

    En la siguiente página de ejemplo Administrar > Usuarios se muestra una lista de los usuarios importados desde ASM. En la lista Usuarios:

    • El Nombre de usuario es el ID de Apple administrado.

    • El tipo de usuario es ASM, para indicar que la cuenta proviene de ASM.

    • En Grupos se muestran las clases.

    Pantalla Usuarios

  4. Haga clic en Importar usuarios locales. Aparece el cuadro de diálogo Importar archivo de aprovisionamiento.

  5. En “Formato”, elija Usuario ASM, vaya al archivo CSV que ha preparado en el paso 2 y, a continuación, haga clic en Importar.

    Pantalla Usuarios

  6. Para ver las propiedades de un usuario local, selecciónelo y haga clic en Modificar.

    Pantalla Usuarios

    Además de las propiedades de nombre, están disponibles estas propiedades de ASM:

    • Origen de datos de ASM: El origen de los datos de la clase, como CSV o SFTP.
    • ID de Apple administrado por ASM: Un ID de Apple administrado puede incluir el nombre de la institución y appleid. Por ejemplo, el ID puede ser del tipo elsagomez@appleid.micolegio.edu. Endpoint Management requiere un ID de Apple administrado para la autenticación.
    • Nombre de la organización de ASM: El nombre que dio a la cuenta en Endpoint Management.
    • Tipo de código de acceso de ASM: La directiva Contraseña de la persona: complejo (una contraseña de no alumno con ocho o varios números y letras), cuatro (dígitos) o seis (dígitos).
    • ID personal único de ASM: Un identificador del usuario.
    • Estado personal de ASM: Especifica si el ID de Apple administrado está Activo o Inactivo. Este estado se activa después de que el usuario proporcione la nueva contraseña de la cuenta de ID de Apple administrado.
    • Título personal de ASM: Puede ser profesor, alumno u otro.
    • ID personal único de ASM: Un identificador único para el usuario.
    • ID del sistema de origen de ASM: Identificador del origen del sistema.
    • Curso del alumno de ASM: Información del curso del alumno (los profesores no usan esta opción).

Planificar y agregar recursos y grupos de entrega a Endpoint Management

Con un grupo de entrega, se especifican los recursos que se van a implementar en categorías de usuarios. Por ejemplo, puede crear un grupo de entrega para profesores y alumnos. También puede optar por crear varios grupos de entrega para personalizar las aplicaciones, el contenido multimedia y las directivas que se enviarán a los diferentes profesores o alumnos. Asimismo, puede crear uno o varios grupos de entrega por clase. También puede crear uno o varios grupos de entrega para los administradores (otro personal existente en el centro educativo).

Los recursos que implemente en los dispositivos de usuario incluyen directivas de dispositivo, aplicaciones de compras por volumen y libros de iBooks.

  • Directivas de dispositivo:

    Si los profesores utilizan la aplicación Aula, se necesita la directiva de configuración de la educación. No olvide consultar otras directivas de dispositivo para determinar cómo configurar y restringir los iPads de profesores y alumnos.

  • Aplicaciones de compras por volumen:

    Endpoint Management requiere que implemente las aplicaciones de compras por volumen como aplicaciones obligatorias para los usuarios de Educación. Endpoint Management no admite la implementación de esas aplicaciones de compras por volumen como opcionales.

    Si usa la aplicación Aula de Apple, impleméntela solamente en los dispositivos de los profesores.

    Implemente las demás aplicaciones que quiera proporcionar a profesores o alumnos. Esta solución no usa la aplicación Citrix Secure Hub, de modo que no es necesario implementarla a profesores o alumnos.

  • iBooks de compras por volumen:

    Una vez que Endpoint Management se haya conectado a su cuenta de ASM, los libros de iBooks que haya adquirido aparecen en la consola de Endpoint Management, en Configurar > Multimedia. Los libros de iBooks que figuran en dicha página están disponibles para agregarlos a grupos de entrega. Endpoint Management solo admite que se agreguen libros de iBooks como contenido multimedia obligatorio.

Tras determinar los recursos y los grupos de entrega correspondientes a profesores y alumnos, puede crear esos elementos en la consola de Endpoint Management.

  1. Cree las directivas de dispositivo que quiera implementar en los dispositivos de profesores o alumnos. Para obtener información acerca de la directiva de dispositivo “Configuración de la educación”, consulte Directiva de configuración de la educación.

    Pantalla Directiva de configuración de la educación

    Para obtener más información acerca de las directivas de dispositivo, consulte Directivas de dispositivo y los artículos concretos de directiva.

  2. Configure aplicaciones (Configurar > Aplicaciones) y iBooks (Configurar > Multimedia):

    • De forma predeterminada, Endpoint Management asigna aplicaciones y libros de iBooks por usuario. Durante la primera implementación, tanto profesores como alumnos reciben una solicitud para registrarse en ASM. Después de aceptar la invitación, los usuarios reciben sus aplicaciones y sus libros de iBooks de ASM durante la siguiente implementación (en las seis horas siguientes). Citrix recomienda forzar la implementación de aplicaciones y libros de iBooks a usuarios nuevos de ASM. Para ello, seleccione el grupo de entrega y haga clic en Implementar.

      Puede asignar aplicaciones (pero no libros de iBooks) por dispositivo. Para ello, active el parámetro Forzar asociación de licencia con el dispositivo. Cuando se asignan aplicaciones a nivel de dispositivo, los usuarios no reciben una invitación para participar en el Programa de compras por volumen.

    Pantalla Configuración de aplicaciones

    • Para implementar una aplicación solo a profesores, seleccione un grupo de entrega que incluya solo profesores o use la siguiente regla de implementación:

       Deploy this resource by ASM device type
       only
       Instructor
      

    Pantalla Configuración de aplicaciones

  3. Opcional. Cree acciones basadas en las propiedades de usuario de ASM. Por ejemplo, puede crear una acción para enviar una notificación a los dispositivos de alumno cuando se instale una nueva aplicación en ellos. También puede optar por crear una acción que se active con una propiedad de usuario determinada, como se muestra en el siguiente ejemplo.

    Pantalla de configuración Acciones

    Para crear una acción, vaya a Configurar > Acciones. Para obtener información sobre cómo configurar las acciones, consulte Acciones automatizadas.

  4. En Configurar > Grupos de entrega, cree grupos de entrega para profesores y para alumnos. Elija las clases que se importaron desde ASM. Asimismo, cree una regla de implementación para profesores y alumnos.

    Por ejemplo, las siguientes asignaciones de usuario son para profesores. La regla de implementación es:

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    Pantalla de configuración de grupos de entrega

    En cambio, las siguientes asignaciones de usuario son para los alumnos. La regla de implementación es:

    Limit by user property
    ASM person title
    is equal to
    Student
    

    Pantalla de configuración de grupos de entrega

    También puede filtrar un grupo de entrega mediante una regla de implementación basada en el nombre de organización de ASM.

    Pantalla de configuración de grupos de entrega

  5. Asigne los recursos a los grupos de entrega. En el siguiente ejemplo se muestra un libro de iBook que contiene un grupo de entrega.

    Pantalla de configuración de grupos de entrega

    En el siguiente ejemplo se muestra el cuadro de confirmación que aparece cuando se selecciona un grupo de entrega y se hace clic en Implementar.

    Pantalla de configuración de grupos de entrega

    Para obtener más información, consulte “Para modificar un grupo de entrega” y “Para implementar en grupos de entrega” en Implementar recursos.

Probar las inscripciones de dispositivos de profesor y alumno

Puede inscribir dispositivos mediante uno de los siguientes métodos:

  • Un administrador de centro educativo puede inscribir dispositivos de profesores y alumnos con la contraseña de usuario que se estableció en la consola de Endpoint Management. Por lo tanto, puede facilitar a los usuarios dispositivos que ya están configurados con las aplicaciones y el contenido multimedia pertinente.

  • Tras recibir los dispositivos, los usuarios pueden inscribirse con la contraseña de usuario que se les haya dado. Una vez completada la inscripción, Endpoint Management envía las directivas de dispositivo, las aplicaciones y el contenido multimedia a los dispositivos.

Para probar la inscripción, use los dispositivos del Programa de implementación de Apple que están vinculados a ASM.

  1. Si los dispositivos no están vinculados a ASM, borre el contenido y los parámetros de estos. Para ello, restablezca el disco duro a los valores de fábrica.

  2. Inscriba un dispositivo de ASM con un profesor. A continuación, inscriba un dispositivo de ASM con un alumno.

  3. En la página Administrar > Dispositivos, compruebe que ambos dispositivos de ASM se inscribieron en modo de solo MDM.

    Puede filtrar la página Dispositivos por el estado del dispositivo de ASM: Registrado en ASM, Compartido en ASM, Profesor y Alumno.

    Pantalla de configuración de dispositivos

  4. Para verificar que los recursos MDM se hayan implementado correctamente en el dispositivo: seleccione cada dispositivo, haga clic en Modificar y revise la información de las distintas páginas.

    Pantalla de configuración de dispositivos

Distribuir dispositivos

Apple recomienda organizar un evento para poder distribuir dispositivos a profesores y alumnos.

Si no va a distribuir dispositivos preinscritos, también deberá dar lo siguiente a los usuarios:

  • Contraseñas de Endpoint Management para la inscripción

  • Contraseñas temporales de ASM para los ID de Apple administrados.

A continuación, se expone la primera experiencia que tendrá el usuario.

  1. La primera vez que un usuario inicia su dispositivo después de un restablecimiento completo, Endpoint Management le solicita que inscriba el dispositivo en la pantalla de inscripción.

  2. El usuario proporciona su ID de Apple administrado y la contraseña de Endpoint Management que se usa para autenticarse en Endpoint Management.

  3. En el paso de configuración del ID de Apple, el dispositivo pide al usuario que introduzca su ID de Apple administrado y su contraseña temporal de ASM. Esos elementos autentican al usuario en los servicios de Apple.

  4. El dispositivo pide al usuario que cree una contraseña para su ID de Apple administrado. Esa contraseña se va a utilizar para proteger sus datos en iCloud.

  5. Al final del Asistente de configuración, Endpoint Management empieza a instalar las directivas, las aplicaciones y el contenido multimedia en el dispositivo. En cuanto a las aplicaciones y los libros de iBooks asignados a cada usuario, el asistente pide a profesores y alumnos que se registren en compras por volumen. Después de aceptar la invitación, los usuarios reciben sus aplicaciones y sus libros de iBooks de compras por volumen durante la siguiente implementación (en las seis horas siguientes).

Administrar datos de profesores, alumnos y clases

Cuando administre datos de profesores, alumnos y clases, tenga en cuenta lo siguiente:

  • No cambie los ID de Apple administrados una vez que haya importado la información de ASM en Endpoint Management. Endpoint Management también utiliza identificadores de usuario de ASM para identificar a los usuarios.

  • Si agrega o modifica los datos de clase en ASM después de crear una o varias directivas “Configuración de la educación”: modifique las directivas y, a continuación, vuelva a implementarlas.

  • Si una clase cambia de profesor después de que haya implementado la directiva de configuración de la educación, revise la directiva para comprobar que se haya actualizado en la consola de Endpoint Management y, a continuación, vuelva a implementarla.

  • Si actualiza las propiedades de usuario en el portal de ASM, Endpoint Management también actualiza esas propiedades en la consola. Sin embargo, Endpoint Management no recibe la propiedad “Título personal de ASM” (alumno, profesor u otro) de la misma forma que recibe las demás propiedades. Por lo tanto, si cambia el “Título personal de ASM” en ASM, complete los siguientes pasos para reflejar ese cambio en Endpoint Management.

Para administrar los datos:

  1. En el portal de ASM, actualice el curso del alumno y borre el curso del profesor.

  2. Si cambia una cuenta de alumno a una cuenta de profesor, quite al usuario de la lista de alumnos que corresponda a la clase. A continuación, agregue el usuario a la lista de profesores de la misma clase u otra.

    Si cambia una cuenta de profesor a una cuenta de alumno, quite al usuario de la clase. A continuación, agregue el usuario a la lista de alumnos en la misma clase o en otra. Sus actualizaciones aparecerán en la consola de Endpoint Management tras la siguiente sincronización (cada cinco minutos de forma predeterminada) o la siguiente obtención de datos (cada 24 horas de forma predeterminada).

  3. Modifique la directiva de configuración de la educación para aplicar el cambio y vuelva a implementarla.

    • Si elimina a un usuario en el portal de ASM, Endpoint Management también eliminará a ese usuario de la consola de Endpoint Management después de una obtención de datos.

      Puede reducir el intervalo entre dos puntos de referencia. Para ello, cambie este valor de propiedad de servidor: bulk.enrollment.fetchRosterInfoDelay (el valor predeterminado es 1440 minutos).

    • Después de implementar los recursos: si un alumno se une a una clase, cree un grupo de entrega que solo contenga a ese alumno e implemente los recursos en el dispositivo de ese alumno.

    • Si un alumno o profesor pierde su contraseña temporal, deberá ponerse en contacto con el administrador de ASM. El administrador puede proporcionar una contraseña temporal o generar una nueva.

Administrar un dispositivo perdido o robado

El servicio “Buscar Mi iPhone” o “Buscar Mi iPad” de Apple incluye la función “Bloqueo de activación”. El “Bloqueo de activación” impide que usuarios no autorizados usen o revendan un dispositivo perdido o robado que está inscrito en el Programa de implementación de Apple.

Endpoint Management incluye la acción de seguridad Bloqueo de activación de ASM, que permite enviar un código de bloqueo a un dispositivo inscrito en el Programa de implementación de Apple de ASM.

Cuando se usa la acción de seguridad Bloqueo de activación de ASM, Endpoint Management puede localizar dispositivos sin que los usuarios habiliten el servicio “Buscar Mi iPhone” o “Buscar Mi iPad”. Si un dispositivo de ASM se restablece a los valores de fábrica o se borran todos los datos que contiene, el usuario debe proporcionar su ID de Apple administrado y la contraseña para desbloquear el dispositivo.

Para quitar el bloqueo desde la consola, haga clic en la acción de seguridad Omisión del bloqueo de activación. Para obtener información sobre cómo omitir un bloqueo de activación, consulte Omitir un bloqueo de activación de iOS. El usuario también puede dejar en blanco el inicio de sesión y escribir el Código de anulación del bloqueo de activación de ASM en el lugar de la contraseña. Esa información está disponible en Detalles del dispositivo, en la ficha Propiedades.

Para establecer el bloqueo de activación, vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Seguridad y, a continuación, haga clic en Bloqueo de activación de ASM.

Pantalla de configuración de dispositivos

Las propiedades Clave de custodia de ASM y Código de anulación del bloqueo de activación de ASM aparecen en Detalles del dispositivo.

Pantalla de configuración de dispositivos

El permiso de RBAC para un bloqueo de activación ASM se encuentra en Dispositivos > Habilitar omisión de bloqueo de activación de ASM.

Pantalla de configuración de RBAC