Citrix Endpoint Management

macOS

Para administrar dispositivos macOS en Citrix Endpoint Management, configure un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para obtener información, consulte Certificados APNs.

Citrix Endpoint Management inscribe los dispositivos macOS en MDM. Citrix Endpoint Management admite los siguientes tipos de autenticación de inscripción para dispositivos macOS en MDM.

  • Dominio
  • Dominio y contraseña de un solo uso
  • URL de invitación y contraseña de un solo uso

Requisitos para certificados de confianza en macOS 15:

Apple tiene nuevos requisitos para certificados de servidor TLS. Verifique que todos los certificados cumplen los nuevos requisitos de Apple. Consulte la publicación de Apple: https://support.apple.com/en-us/HT210176. Para obtener ayuda sobre la administración de certificados, consulte Cargar certificados.

Un flujo de trabajo general para iniciar la administración de dispositivos macOS es el siguiente:

  1. Complete el proceso de incorporación. Consulte Incorporarse como usuario y configurar recursos y Preparar la inscripción de dispositivos y la entrega de recursos.

  2. Elija y configure un método de inscripción. Consulte Métodos de inscripción admitidos.

  3. Configure directivas de dispositivo macOS.

  4. Inscriba los dispositivos macOS.

  5. Configure las acciones de seguridad para los dispositivos y las aplicaciones. Consulte Acciones de seguridad.

Para conocer los sistemas operativos admitidos, consulte Sistemas operativos admitidos.

Nombres de host de Apple que deben permanecer abiertos

Algunos nombres de host de Apple deben permanecer abiertos para garantizar el correcto funcionamiento de iOS, macOS y el App Store. Bloquear dichos nombres de host puede afectar a la instalación, la actualización y el funcionamiento correcto de iOS, aplicaciones iOS, el funcionamiento de MDM y la inscripción de dispositivos y aplicaciones. Para obtener más información, consulte https://support.apple.com/en-us/HT201999.

Métodos de inscripción admitidos

En la siguiente tabla se indican los métodos de inscripción que Citrix Endpoint Management admite para los dispositivos macOS:

Método Compatible
Programa de implementación de Apple
Apple School Manager
Apple Configurator No
Inscripción manual
Invitaciones de inscripción

Apple dispone de programas de inscripción de dispositivos para las cuentas Empresas y Educación. Para las cuentas Business, debe inscribirse en el Programa de implementación de Apple con el fin de usarlo para inscribir y administrar dispositivos en Citrix Endpoint Management. Ese programa está pensado para dispositivos iOS, macOS y Apple TV. Consulte Implementar dispositivos mediante el Programa de implementación de Apple.

Para las cuentas Educación, cree una cuenta de Apple School Manager. Apple School Manager unifica el programa de implementación y las compras por volumen. Apple School Manager es un tipo de Programa de implementación de Apple Educación. Consulte Integrar en funciones de Apple Educación.

Puede utilizar el Programa de implementación de Apple para inscribir en bloque dispositivos iOS, macOS y Apple TV. Puede comprar esos dispositivos directamente de Apple, un distribuidor autorizado de Apple o un proveedor.

Configurar directivas de dispositivo macOS

Use estas directivas para configurar cómo interactúa Citrix Endpoint Management con los dispositivos macOS. En esta tabla se indican todas las directivas de dispositivo disponibles para dispositivos macOS.

     
Duplicación AirPlay Inventario de aplicaciones Desinstalación de aplicaciones
Calendario (CalDAV) Contactos (CardDAV) Credenciales
Nombre del dispositivo Exchange FileVault
Firewall Fuente Importar perfil de iOS y macOS
LDAP Correo Red
Actualización de SO Código de acceso Eliminación de perfiles
Restricciones SCEP VPN
Clip web    

Inscribir dispositivos macOS

Citrix Endpoint Management ofrece dos métodos para inscribir dispositivos que ejecutan macOS. Ambos métodos permiten a los usuarios de macOS inscribirse de forma inalámbrica y directamente desde sus dispositivos.

  • Enviar una invitación de inscripción a los usuarios: Este método de inscripción permite definir uno de estos modos de seguridad de inscripción para dispositivos macOS:

    • Nombre de usuario y contraseña
    • Nombre de usuario y PIN
    • Autenticación de dos factores

    Cuando el usuario siga las instrucciones de la invitación a la inscripción, aparecerá una pantalla de inicio de sesión con el nombre de usuario ya rellenado.

  • Enviar un enlace de inscripción a los usuarios: Este método de inscripción para dispositivos macOS envía a los usuarios un enlace de inscripción, que pueden abrir en los exploradores Safari o Chrome. A continuación, el usuario se inscribe suministrando su nombre de usuario y contraseña.

    Para impedir que se use un enlace de inscripción para dispositivos macOS, defina la propiedad de servidor Enable macOS OTAE en False. Como resultado, los usuarios de macOS solo podrán inscribirse mediante una invitación de inscripción.

Enviar una invitación de inscripción a los usuarios macOS

  1. Agregue una invitación para la inscripción de usuarios de macOS. Consulte Invitaciones de inscripción.

  2. Cuando los usuarios reciban la invitación y hagan clic en el enlace, aparecerá la siguiente pantalla en el explorador Safari. Citrix Endpoint Management rellena el nombre de usuario. Si eligió Dos factores como modo de seguridad de inscripción, aparecerá un campo adicional.

    Mensaje de certificado raíz en el explorador Safari

  3. Los usuarios deben instalar certificados según sea necesario. La solicitud a los usuarios para instalar certificados depende de si se ha configurado un certificado SSL público de confianza y un certificado de firma digital público de confianza para macOS. Para obtener información acerca de los certificados, consulte Certificados y autenticación.

  4. Los usuarios proporcionan las credenciales solicitadas.

    Se instalan las directivas de dispositivos Mac. Ahora ya puede iniciar la administración de dispositivos macOS con Citrix Endpoint Management del mismo modo en que administra dispositivos móviles.

Enviar un enlace de inscripción a los usuarios macOS

  1. Envíe el enlace de inscripción https://serverFQDN:8443/instanceName/macos/otae, que los usuarios abrirán en los exploradores web Safari o Chrome.

    • serverFQDN es el nombre de dominio completo del servidor que ejecuta Citrix Endpoint Management.
    • El puerto 8443 es el puerto seguro predeterminado. Si ha configurado otro puerto, indique ese puerto, en lugar de 8443.
    • El elemento instanceName a menudo se muestra como zdm y es el nombre que se especificó durante la instalación del servidor.

    Para obtener más información acerca del envío de enlaces de instalación, consulte Para enviar un enlace de instalación.

  2. Los usuarios deben instalar certificados según sea necesario. Si ha configurado un certificado SSL público de confianza y un certificado de firma digital público de confianza para iOS y macOS, los usuarios verán el mensaje que pide instalar los certificados. Para obtener información acerca de los certificados, consulte Certificados y autenticación.

  3. Los usuarios inician sesión en su Mac.

    Se instalan las directivas de dispositivos Mac. Ahora ya puede iniciar la administración de dispositivos macOS con Citrix Endpoint Management del mismo modo en que administra dispositivos móviles.

Acciones de seguridad

macOS admite las siguientes acciones de seguridad. Para ver una descripción de cada acción de seguridad, consulte Acciones de seguridad.

     
Revocar Bloquear Borrado selectivo
Borrado completo Renovación de certificados Rotar clave personal de recuperación

Bloquear dispositivos macOS

Puede bloquear de forma remota dispositivos macOS perdidos. Citrix Endpoint Management bloquea el dispositivo. A continuación, genera un código PIN y lo establece en el dispositivo. Para acceder al dispositivo, el usuario deberá teclear ese código PIN. Use el comando Cancelar bloqueo de dispositivo para quitar el bloqueo desde la consola de Citrix Endpoint Management.

Puede utilizar la directiva Código de acceso para configurar más parámetros asociados al código PIN. Para obtener más información, consulte Parámetros de macOS.

  1. Haga clic en Administrar > Dispositivos. Aparecerá la página Dispositivos.

    Página Dispositivos

  2. Seleccione el dispositivo macOS que quiere bloquear.

    Marque la casilla situada junto a un dispositivo para que el menú de opciones aparezca encima de la lista de dispositivos. También puede hacer clic en cualquier otro elemento de la lista para mostrar el menú de opciones en el lado derecho de la lista.

    Menú de opciones

    Menú de opciones

  3. En el menú de opciones, seleccione Proteger. Aparecerá el cuadro de diálogo Acciones de seguridad.

    Cuadro de diálogo Acciones de seguridad

  4. Haga clic en Bloquear. Aparecerá el cuadro de confirmación Acciones de seguridad.

    Confirmación de Acciones de seguridad

  5. Haga clic en Bloquear dispositivo.

Importante:

También puede especificar un código de acceso en lugar de utilizar el código que genera Citrix Endpoint Management. La acción de bloqueo falla si el código especificado no cumple los requisitos de código del dispositivo o del perfil de trabajo existente.

Identificador de arranque

Un identificador de arranque ayuda a otorgar el atributo SecureToken de macOS a las cuentas cuando usted inicia sesión en un dispositivo macOS. SecureToken pasa de una cuenta de confianza a otra. Las cuentas con SecureToken habilitado pueden realizar operaciones criptográficas en el dispositivo. Sin el identificador de arranque, debe seguir complejos flujos de trabajo para crear cuentas en ese dispositivo antes de agregar cuentas de usuario individuales.

Citrix Endpoint Management admite la custodia de identificadores de arranque para dispositivos macOS inscritos a través del Programa de implementación de Apple. El Programa de implementación de Apple se utiliza para inscribir dispositivos macOS adquiridos directamente de Apple, de un distribuidor autorizado de Apple o de un operador. Para obtener información sobre cómo inscribirse en el Programa de implementación de Apple, consulte Implementar dispositivos mediante el Programa de implementación de Apple.

Los identificadores de arranque se generan durante el flujo de trabajo del Asistente de configuración. Concretamente, se generan durante la creación de cuentas de usuario local. El Asistente de configuración se ejecuta la primera vez que los usuarios inician sus dispositivos. Los identificadores se guardan en la base de datos de Citrix Endpoint Management y no resultan visibles ni para usted ni para los usuarios finales. Al eliminar los dispositivos del sitio de Citrix Endpoint Management, se eliminan los identificadores. Restablecer los valores de fábrica de los dispositivos tampoco los elimina.

Requisitos previos:

  • macOS 11.0 o una versión posterior
  • Dispositivos macOS que tienen el chip de seguridad T2 de Apple
  • Dispositivos macOS inscritos a través del Programa de implementación de Apple

Una de las ventajas de la custodia de identificadores de arranque con Citrix Endpoint Management es que las cuentas remotas se pueden habilitar para FileVault y se puede desbloquear el volumen de FileVault. Para obtener información sobre FileVault, consulte Directiva de FileVault.

macOS