iOS

Para administrar dispositivos iOS en Endpoint Management, configure un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para obtener información, consulte Certificados APNs.

Endpoint Management inscribe dispositivos iOS en el modo MDM+MAM, con la opción de que los usuarios se inscriban en el modo solo MAM. Endpoint Management admite los siguientes tipos de autenticación para dispositivos iOS en modo MDM+MAM. Para obtener más información, consulte los artículos que se encuentran en Certificados y autenticación.

  • Dominio
  • Dominio y token de seguridad
  • Certificado de cliente
  • Certificado de cliente y dominio
  • Credenciales derivadas
  • Proveedores de identidades:
    • Azure Active Directory
    • Proveedor de identidades Citrix

Un flujo de trabajo general para iniciar la administración de dispositivos iOS es el siguiente:

  1. Complete el proceso de incorporación. Consulte Incorporarse como usuario y configurar recursos y Preparar la inscripción de dispositivos y la entrega de recursos.

  2. Elija y configure un método de inscripción. Consulte Métodos de inscripción admitidos.

  3. Configurar directivas para dispositivos iOS.

  4. Inscribir dispositivos iOS.

  5. Configure las acciones de seguridad para los dispositivos y las aplicaciones. Consulte Acciones de seguridad.

Para saber qué sistemas operativos son compatibles, consulte Sistemas operativos compatibles.

Métodos de inscripción admitidos

En la siguiente tabla se indican los métodos de inscripción que Endpoint Management admite para dispositivos iOS:

Método Se admite
Device Enrollment Program (DEP) de Apple
DEP de Apple School Manager
Apple Configurator
Inscripción manual
Invitaciones de inscripción

Apple dispone de programas de inscripción de dispositivos para las cuentas Empresas y Educación. Para cuentas Business, debe inscribirse en el Programa de implementación de Apple para usar Device Enrollment Program (DEP) para inscribir y administrar dispositivos en Endpoint Management. Ese programa está pensado para dispositivos iOS, macOS y Apple TV. Consulte Implementar dispositivos mediante DEP de Apple.

Para las cuentas de Educación, cree una cuenta de Apple School Manager. Apple School Manager unifica los programas Device Enrollment Program (DEP) y Volume Purchase Program (VPP). Apple School Manager es un tipo de DEP de Apple Educación. Consulte Integración con funciones de Apple Educación.

Puede utilizar el programa Device Enrollment Program (DEP) de Apple para inscribir en bloque dispositivos iOS, macOS y Apple TV. Puede comprar esos dispositivos directamente de Apple, un distribuidor autorizado de Apple o un proveedor. Puede usar Apple Configurator para inscribir dispositivos iOS tanto si los adquirió directamente de Apple como si no. Consulte Inscribir en bloque dispositivos Apple.

Agregar manualmente un dispositivo iOS

Si quiere agregar manualmente un dispositivo iOS (por ejemplo, para probarlo), siga estos pasos.

  1. En la consola de Endpoint Management, haga clic en Administrar > Dispositivos. Aparecerá la página Dispositivos.

    Imagen de la página Dispositivos

  2. Haga clic en Agregar. Aparecerá la página Agregar dispositivo.

    Imagen de la página Agregar dispositivo

  3. Configure estos parámetros:

    • Seleccione la plataforma: Haga clic en iOS.
    • Número de serie: Escriba el número de serie del dispositivo.
  4. Haga clic en Agregar. La tabla Dispositivos aparecerá con el dispositivo agregado al final de la lista. Seleccione el dispositivo agregado y, a continuación, en el menú que aparecerá, haga clic en Modificar para ver y confirmar los detalles del dispositivo.

    Nota:

    Cuando se marca la casilla situada junto a un dispositivo, el menú de opciones aparece encima de la lista de dispositivos. Si hace clic en cualquier lugar de la lista, el menú de opciones aparece a la derecha de la lista.

    • LDAP configurado

    • Si utiliza grupos y usuarios locales:

      • Uno o varios grupos locales.

      • Usuarios locales asignados a grupos locales.

      • Los grupos de entrega se asocian con grupos locales.

    • Si usa Active Directory:

      • Los grupos de entrega se asocian con grupos de Active Directory.

      Imagen de la lista en Detalles del dispositivo

  5. En la página General se muestra una lista de los identificadores de dispositivo, como el número de serie y otra información en función del tipo de plataforma. Para Propietario del dispositivo, seleccione Empresa o BYOD.

    Asimismo, la página General muestra una lista de las propiedades de Seguridad de que está dotado el dispositivo (como el ID seguro, el bloqueo del dispositivo y la omisión del bloqueo de activación), así como otra información en función del tipo de plataforma. El campo Borrado completo del dispositivo contiene el código PIN del usuario. El usuario debe introducir ese código después de que se haya borrado el dispositivo. Si el usuario no consigue recordar el código, usted puede buscarlo en “Detalles del dispositivo”.

  6. La página Propiedades muestra una lista de las propiedades de dispositivo que aprovisionará Endpoint Management. La lista contiene todas las propiedades de dispositivo incluidas en el archivo de aprovisionamiento utilizado para agregar el dispositivo. Para agregar una propiedad, haga clic en Agregar y, a continuación, seleccione una propiedad de la lista. Para saber cuáles son los valores válidos para cada propiedad, consulte el PDF Valores y nombres de propiedades de dispositivo.

    Cuando se agrega una propiedad, esta aparece inicialmente en la categoría donde se haya agregado. Después de hacer clic en Siguiente y volver a la página Propiedades, la propiedad aparece en la lista apropiada.

    Para eliminar una propiedad, coloque el cursor sobre ella y, a continuación, haga clic en el aspa (X) situada en el lado derecho. Endpoint Management elimina inmediatamente el elemento.

  7. Las secciones restantes de Detalles del dispositivo contienen información resumida acerca del dispositivo.

    • Propiedades de usuario: Muestra los roles de RBAC, los miembros del grupo, las cuentas de VPP y las propiedades del usuario. Puede retirar una cuenta de VPP desde esta página.
    • Directivas asignadas: Muestra la cantidad de directivas asignadas, incluidas las directivas implementadas, pendientes y fallidas. También muestra el nombre, el tipo y la última información implementada de cada directiva.
    • Aplicaciones: Muestra la cantidad de implementaciones de aplicaciones instaladas, pendientes y erróneas según el último inventario. Indica el nombre de la aplicación, el identificador y el tipo, entre otros datos. Para obtener una descripción de las claves de inventario de iOS y macOS, como HasUpdateAvailable, consulte Mobile Device Management (MDM) Protocol.
    • Multimedia: Muestra la cantidad de implementaciones de archivos multimedia instalados, pendientes y erróneos según el último inventario.
    • Acciones: Muestra la cantidad de acciones implementadas, pendientes y erróneas. Indica el nombre de la acción y la hora de la última implementación.
    • Grupos de entrega: Muestra la cantidad de grupos de entrega en estado correcto, pendiente y fallido. Indica el nombre del grupo de entrega y la hora de cada implementación. Seleccione un grupo de entrega para ver información más detallada (como el estado, la acción, el canal o el usuario).
    • Perfiles iOS: Muestra el último inventario de perfiles iOS, que incluye el nombre, el tipo, la organización y la descripción.
    • Perfiles de aprovisionamiento de iOS: Muestra información acerca del perfil de aprovisionamiento utilizado por la empresa para la distribución (como el UUID, la fecha de caducidad y si se administra o no).
    • Certificados: Muestra la cantidad de certificados válidos, caducados o revocados, incluida la información sobre el tipo, el proveedor, el emisor, el número de serie y los días que quedan hasta la caducidad.
    • Conexiones: Muestra los estados de la primera y la última conexión. Para cada conexión, aparecen el nombre de usuario, así como la hora de las dos últimas autenticaciones (la penúltima y la última).
    • Estado de MDM: Muestra información como el estado MDM, la hora del último envío push y la hora de la última respuesta del dispositivo.

Configurar directivas para dispositivos iOS

Use estas directivas para configurar cómo interactúa Endpoint Management con los dispositivos iOS. En esta tabla se indican todas las directivas de dispositivo disponibles para dispositivos iOS.

     
Duplicación AirPlay AirPrint APN
Acceso a aplicaciones Atributos de aplicaciones Configuración de aplicaciones
Inventario de aplicaciones Bloqueo de aplicaciones Uso de red de las aplicaciones
Desinstalación de aplicaciones Notificaciones de aplicaciones Calendario (CalDav)
Móvil Contactos (CardDAV) Control de actualización del SO
Credenciales Nombre del dispositivo Configuración de la educación
Exchange Fuente Diseño de pantalla inicial
Importar perfil de iOS y macOS LDAP Ubicación
Mensaje de la pantalla bloqueada Correo Dominios administrados
Opciones de MDM Información sobre la organización Código de acceso
Hotspot personal Eliminación de perfiles Perfil de aprovisionamiento
Eliminar perfil de aprovisionamiento Proxy Restricciones
Itinerancia SCEP iPad compartido: Máximo de usuarios residentes
iPad compartido: Período de gracia de bloqueo de código de acceso Cuenta SSO Almacén
Calendarios suscritos Términos y condiciones VPN
Wallpaper Filtro de contenido web Clip web
Wi-Fi    

Inscribir dispositivos iOS

En esta sección se muestra cómo los usuarios inscriben dispositivos iOS (12.2 o una versión posterior) en Endpoint Management. Para obtener más información sobre la inscripción en iOS, abra el siguiente vídeo:

Vídeo de inscripción en iOS

Para obtener información sobre la inscripción con credenciales derivadas, consulte Inscribir dispositivos.

  1. Vaya a la tienda Apple en su dispositivo iOS, descargue la aplicación Citrix Secure Hub y, a continuación, toque la aplicación.
  2. Cuando se le pida instalar la aplicación, toque en Siguiente y, a continuación, en Instalar.
  3. Después de que Secure Hub se instale, toque en Abrir.
  4. Introduzca las credenciales de empresa, como el nombre del servidor Endpoint Management de su empresa, el nombre principal de usuario (UPN) o su dirección de correo electrónico. A continuación, haga clic en Siguiente.
  5. Toque en Sí, inscribirlo para inscribir el dispositivo iOS. Inscribir el dispositivo
  6. Después de escribir las credenciales, toque en Permitir cuando se le pida para descargar el perfil de configuración. Descargar el perfil
  7. Después de descargar el perfil de configuración, toque en Cerrar. Cerrar el perfil
  8. En la configuración del dispositivo, instale el certificado de iOS y agregue el dispositivo a la lista de confianza.
    • Vaya a Configuración > General > Perfil > XenMobile Profile Service y toque en Instalar para agregar el perfil. Agregar el perfil
    • En la ventana de notificaciones, toque en Confiar para inscribir el dispositivo en la administración remota. Configuración de la confianza
  9. Inicie sesión en Secure Hub. Si inscribe dispositivos en MDM+MAM: Una vez que se hayan validado las credenciales, cree el PIN de Citrix y confírmelo cuando se le solicite.
  10. Una vez completado el flujo de trabajo, el dispositivo está inscrito. Ahora, puede acceder al almacén de aplicaciones para ver las aplicaciones que puede instalar en el dispositivo iOS.

Acciones de seguridad

iOS admite las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.

     
Omisión del bloqueo de activación Bloqueo de aplicaciones Borrado de aplicaciones
Bloqueo de activación de DEP ASM Renovación de certificados Desactivar restricciones
Habilitar o inhabilitar el modo perdido Habilitar o inhabilitar el seguimiento Borrado completo
Localizar Bloquear Hacer sonar
Solicitar o detener la duplicación AirPlay Reiniciar o apagar Revocar o autorizar
Borrado selectivo Desbloquear  

Bloquear dispositivos iOS

Puede bloquear un dispositivo iOS perdido y mostrar un mensaje y un número de teléfono en la pantalla de bloqueo.

Para que se muestren un mensaje y un teléfono en un dispositivo bloqueado, establezca la directiva Código de acceso en true en la consola de Endpoint Management. De forma alternativa, los usuarios pueden habilitar manualmente el código de acceso en el dispositivo.

  1. Haga clic en Administrar > Dispositivos. Aparecerá la página Dispositivos.

    Imagen de la pantalla Dispositivos

  2. Seleccione el dispositivo iOS que quiere bloquear.

    Marque la casilla situada junto a un dispositivo para que el menú de opciones aparezca encima de la lista de dispositivos. Haga clic en cualquier lugar de la lista para que el menú de opciones aparezca a la derecha de la lista.

    Imagen del menú de opciones

    Imagen del menú de opciones

  3. En el menú de opciones, seleccione Proteger. Aparecerá el cuadro de diálogo Acciones de seguridad.

    Imagen del cuadro de diálogo Acciones de seguridad

  4. Haga clic en Bloquear. Aparecerá el cuadro de confirmación Acciones de seguridad.

    Imagen de la confirmación de acciones de seguridad

  5. Si lo prefiere, puede introducir el mensaje y el número de teléfono que aparecerán en la pantalla de bloqueo del dispositivo.

    iOS agrega las palabras “iPad perdido” a lo que escriba en el campo Mensaje.

    Si deja el campo Mensaje vacío y proporciona un número de teléfono, Apple mostrará un mensaje del tipo “Llamar al propietario” en la pantalla de bloqueo del dispositivo.

  6. Haga clic en Bloquear dispositivo.

Colocar dispositivos iOS en modo perdido

La propiedad de dispositivo “modo perdido” de Endpoint Management coloca un dispositivo iOS en el modo Perdido (de Apple). A diferencia del modo Perdido gestionado de Apple, el modo perdido de Endpoint Management no requiere que el usuario configure Buscar mi iPhone o iPad ni habilite los servicios de localización geográfica de Citrix Secure Hub para permitir la localización de su dispositivo.

En el modo Perdido de Endpoint Management, solo Endpoint Management puede desbloquear el dispositivo (en cambio, si usa la funcionalidad de bloqueo del dispositivo de Endpoint Management, los usuarios pueden desbloquear el dispositivo directamente con un código PIN que proporcione).

Para habilitar o inhabilitar el modo perdido, vaya a Administrar > Dispositivos, elija un dispositivo iOS supervisado y haga clic en Proteger. A continuación, haga clic en Habilitar modo perdido o Inhabilitar modo perdido.

Imagen de las opciones del modo perdido

Si hace clic en Habilitar modo perdido, escriba la información que aparecerá en el dispositivo cuando esté en el modo perdido.

Imagen de la información que aparecerá en un dispositivo

Para comprobar el estado del modo perdido, utilice cualquiera de los siguientes métodos:

  • En la ventana Acciones de seguridad, compruebe si el botón es Inhabilitar modo perdido.
  • Desde Administrar > Dispositivos, en la ficha General, en Seguridad, consulte la última acción de “Habilitar modo perdido” o “Inhabilitar modo perdido”.

Imagen de la ficha General

  • Desde Administrar > Dispositivos, en la ficha Propiedades, compruebe que el valor del parámetro Modo perdido de MDM habilitado es correcto.

Imagen del parámetro Modo perdido de MDM habilitado

Si habilita el modo Perdido de Endpoint Management en un dispositivo iOS, la consola de Endpoint Management también cambia de la siguiente manera:

  • En Configurar > Acciones, la lista Acciones no incluye las siguientes acciones automatizadas: Revocar el dispositivo, Borrar datos selectivamente del dispositivo ni Borrar datos completamente del dispositivo.
  • En Administrar > Dispositivos, la lista Acciones de seguridad ya no incluye las acciones de dispositivo Revocar ni Borrado selectivo. En cambio, puede llevar a cabo un Borrado completo, si fuera necesario.

iOS agrega las palabras “iPad perdido” a lo que escriba en el campo Mensaje de la pantalla Acciones de seguridad.

Si deja el campo Mensaje vacío y proporciona un número de teléfono, Apple mostrará un mensaje del tipo “Llamar al propietario” en la pantalla de bloqueo del dispositivo.

Omitir un bloqueo de activación de iOS

El bloqueo de activación es una función de Buscar mi iPhone o iPad que evita la reactivación de un dispositivo supervisado que se haya perdido o haya sido robado. El bloqueo de activación requiere el ID de Apple del usuario y la contraseña para poder desactivar Buscar mi iPhone o iPad, borrar el dispositivo o volver a activarlo. Para los dispositivos propiedad de la organización, es necesario omitir un bloqueo de activación para, por ejemplo, restablecer o reasignar dispositivos.

Para habilitar el bloqueo de activación, debe configurar e implementar la directiva de opciones de MDM de Endpoint Management. A continuación, puede administrar un dispositivo desde la consola de Endpoint Management sin las credenciales de Apple del usuario. Para omitir el requisito de credenciales de Apple en un bloqueo de activación, debe emitir la acción de seguridad “Omisión del bloqueo de activación” desde la consola de Endpoint Management.

Por ejemplo, si un usuario devuelve un teléfono perdido o si usted quiere configurar uno antes o después de un borrado completo, cuando el teléfono le solicite las credenciales de la cuenta de iTunes, puede omitir ese paso emitiendo la acción de seguridad “Omisión del bloqueo de activación” desde la consola de Endpoint Management.

Requisitos del dispositivo para la omisión del bloqueo de activación

  • Supervisado a través de Apple Configurator o Apple DEP
  • Configurado con una cuenta de iCloud
  • Buscar mi iPhone o iPad habilitado
  • Inscrito en Endpoint Management
  • La directiva de opciones de MDM, con el bloqueo de activación habilitado, implementada en los dispositivos

Para omitir un bloqueo de activación antes de emitir el borrado completo de un dispositivo:

  1. Vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Proteger y, a continuación, haga clic en Omisión del bloqueo de activación.
  2. Borre los datos del dispositivo. La pantalla del bloqueo de activación no aparece durante la configuración del dispositivo.

Para omitir un bloqueo de activación después de emitir el borrado completo de un dispositivo:

  1. Borre los datos del dispositivo o restablézcalo. La pantalla del bloqueo de activación aparece durante la configuración del dispositivo.
  2. Vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Proteger y, a continuación, haga clic en Omisión del bloqueo de activación.
  3. Toque en el botón Atrás del dispositivo. Aparecerá la pantalla de inicio.

Tenga en cuenta lo siguiente:

  • Recomiende a los usuarios que no desactiven Buscar mi iPhone o iPad. No realice ningún borrado completo desde el dispositivo. En cualquiera de estos casos, se pide al usuario que escriba la contraseña de la cuenta de iCloud. Tras validar la cuenta, el usuario no verá la pantalla “Activar iPhone o iPad” después de borrar todo el contenido y toda la configuración.
  • Para un dispositivo con un código de omisión del bloqueo de activación generado y con el bloqueo de activación habilitado: si no puede omitir la página “Activar iPhone o iPad” después de un borrado completo, no es necesario eliminar el dispositivo de Endpoint Management. Usted o el usuario pueden ponerse en contacto con la asistencia técnica de Apple para desbloquear el dispositivo directamente.
  • Durante un inventario de hardware, Endpoint Management busca en el dispositivo un código de omisión del bloqueo de activación. Si hay disponible un código de omisión, el dispositivo lo envía a Endpoint Management. A continuación, para quitar ese código de omisión del dispositivo, envíe la acción de seguridad “Omisión del bloqueo de activación” desde la consola de Endpoint Management. En ese momento, Endpoint Management y Apple tienen el código de omisión requerido para desbloquear el dispositivo.
  • La acción de seguridad “Omisión del bloqueo de activación” necesita la disponibilidad de un servicio de Apple. Si la acción no funciona, puede desbloquear un dispositivo como se indica a continuación. En el dispositivo, debe introducir manualmente las credenciales de la cuenta iCloud. O bien deje en blanco el campo del nombre de usuario y escriba el código de omisión en el campo de la contraseña. Para buscar el código de omisión, vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Modificar > Propiedades. El Código de omisión del bloqueo de activación se encuentra en el apartado Información de seguridad.