Inscripción, roles y cuentas de usuario

Puede configurar cuentas de usuario, roles e inscripciones en la consola de Endpoint Management desde la ficha Administrar y la página Parámetros: A menos que se indique lo contrario, los pasos para las siguientes tareas se proporcionan en este artículo.

  • Cuentas de usuario y grupos:
    • En Administrar > Usuarios, puede agregar cuentas de usuario manualmente, o puede usar un archivo .csv de aprovisionamiento para importar cuentas y administrar grupos locales.
    • En Parámetros > Flujos de trabajo, puede utilizar flujos de trabajo para administrar la creación y la eliminación de cuentas de usuario.
  • Roles para cuentas de usuario y grupos
    • En Parámetros > Control de acceso basado en roles puede asignar roles predefinidos o conjuntos de permisos a usuarios y grupos. Con estos permisos, se puede controlar el nivel de acceso de los usuarios a las funciones del sistema. Para obtener información, consulte Configurar roles con RBAC.
    • En Parámetros > Plantillas de notificaciones puede crear o actualizar plantillas de notificaciones que se van a usar en acciones automatizadas, inscripciones y el envío de mensajes de notificación estándar a los usuarios. Puede configurar plantillas de notificaciones para enviar mensajes a través de tres canales diferentes: Secure Hub, SMTP o SMS. Para ver más información: Creación y actualización de plantillas de notificaciones.
  • Invitaciones y modo de inscripción

Para agregar, modificar o eliminar cuentas de usuarios locales

Puede agregar cuentas de usuario local a Endpoint Management de forma manual, o bien puede usar un archivo de aprovisionamiento para importar las cuentas. Para conocer los pasos para importar cuentas de usuario desde un archivo de aprovisionamiento, consulte Importar cuentas de usuario.

  1. En la consola de Endpoint Management, haga clic en Administrar > Usuarios. Aparecerá la página Usuarios.

    Imagen de administración de usuarios

  2. Haga clic en Mostrar filtro para filtrar la lista.

Para agregar una cuenta de usuario local

  1. En la página Usuarios, haga clic en Agregar usuario local. Aparecerá la página Agregar usuario local.

    Imagen de administración de usuarios

  2. Configure estos parámetros:

    • Nombre de usuario: Este es un campo obligatorio. Escriba el nombre. Puede incluir espacios en los nombres, además de letras mayúsculas y minúsculas.
    • Contraseña: Escriba una contraseña opcional de usuario.
    • Rol: En la lista, haga clic en el rol del usuario. Para obtener información sobre roles, consulte Configurar roles con RBAC. Las opciones posibles son:
      • ADMIN
      • DEVICE_PROVISIONING
      • SUPPORT
      • USER
    • Pertenencia a grupos: En la lista, haga clic en el grupo o en los grupos a los que agregar el usuario.
    • Propiedades de usuario: Agregue propiedades de usuario opcionales. Para cada propiedad de usuario que quiera agregar, haga clic en Agregar y haga lo siguiente:
      • Propiedades de usuario: En la lista, haga clic en una propiedad y, a continuación, escriba el atributo de la propiedad de usuario en el campo que hay junto a la propiedad.
      • Haga clic en Listo para guardar la propiedad de usuario o haga clic en Cancelar.

    Para eliminar una propiedad de usuario, coloque el cursor sobre la línea que la contiene y, a continuación, haga clic en la X situada a la derecha. La propiedad se elimina inmediatamente.

    Para modificar una propiedad de usuario, haga clic en la propiedad y realice los cambios. Haga clic en Listo para guardar los cambios del elemento o haga clic en Cancelar para no guardarlos.

  3. Haga clic en Guardar.

Para modificar una cuenta de usuario local

  1. En la página Usuarios, en la lista de usuarios, haga clic para seleccionar un usuario y, a continuación, haga clic en Modificar. Aparecerá la página Modificar usuario local.

    Imagen localizada

  2. Cambie la siguiente información como corresponda:

    • Nombre de usuario: No puede cambiar el nombre de usuario.
    • Contraseña: Cambie o agregue una contraseña de usuario.
    • Rol: En la lista, haga clic en el rol del usuario.
    • Pertenencia a grupos: En la lista, haga clic en el grupo o en los grupos a los que agregar la cuenta de usuario o modificarla. Para quitar la cuenta de usuario de un grupo, quite la marca de la casilla situada junto al nombre del grupo.
    • Propiedades de usuario: Realice una de las siguientes acciones:
      • Para cambiar cada propiedad de usuario, haga clic en ella y realice los cambios. Haga clic en Listo para guardar los cambios del elemento o haga clic en Cancelar para no guardarlos.
      • Para cada propiedad de usuario que quiera agregar, haga clic en Agregar y haga lo siguiente:
        • Propiedades de usuario: En la lista, haga clic en una propiedad y, a continuación, escriba el atributo de la propiedad de usuario en el campo que hay junto a la propiedad.
        • Haga clic en Listo para guardar la propiedad de usuario o haga clic en Cancelar.
      • Para cada propiedad de usuario que quiera eliminar, coloque el cursor sobre la línea que la contiene y, a continuación, haga clic en la X situada a la derecha. La propiedad se elimina inmediatamente.
  3. Haga clic en Guardar para guardar los cambios o en Cancelar para no guardarlos.

Para eliminar una cuenta de usuario local

  1. En la página Usuarios, en la lista de cuentas de usuario, seleccione una cuenta.

    Puede seleccionar varias cuentas de usuario para eliminarlas. Para ello, marque la casilla situada junto a cada cuenta de usuario que quiera seleccionar.

  2. Haga clic en Eliminar. Aparecerá un cuadro de diálogo de confirmación.

  3. Haga clic en Eliminar para eliminar la cuenta de usuario o en Cancelar para no eliminarla.

Para eliminar usuarios de Active Directory

Para eliminar uno o varios usuarios de Active Directory a la vez, selecciónelos y haga clic en Eliminar.

Si un usuario eliminado tiene dispositivos inscritos y usted quiere reinscribirlos, elimine los dispositivos antes de reinscribirlos. Para eliminar un dispositivo, vaya a Administrar > Dispositivos, seleccione el dispositivo y, a continuación, haga clic en Eliminar.

Importar cuentas de usuario

Puede importar propiedades y cuentas de usuarios locales desde un archivo de formato CSV llamado “archivo de aprovisionamiento”, el cual puede crear manualmente. Para obtener información acerca de los formatos de los archivos de aprovisionamiento, consulte Formatos de archivo de aprovisionamiento.

Nota:

  • Para usuarios locales, use el nombre de dominio junto con el nombre de usuario en el archivo de importación. Por ejemplo, especifique nombre-de-usuario@dominio. Si el usuario local que crea o importa es para un dominio administrado en Endpoint Management, el usuario no puede inscribirse utilizando las credenciales LDAP correspondientes.
  • Si importa cuentas de usuario al directorio interno de usuarios de Endpoint Management, inhabilite el dominio predeterminado para acelerar el proceso de importación. Tenga en cuenta que inhabilitar el dominio afecta a las inscripciones, por lo que debe volver a habilitar el dominio predeterminado una vez completada la importación de los usuarios internos.
  • Los usuarios locales pueden tener el formato de Nombre principal del usuario (UPN). Sin embargo, Citrix recomienda no usar el dominio administrado. Por ejemplo, si ejemplo.com está administrado, no cree un usuario local con este formato UPN: usuario@ejemplo.com.

Después de preparar un archivo de aprovisionamiento, siga estos pasos para importar el archivo en Endpoint Management.

  1. En la consola de Endpoint Management, haga clic en Administrar > Usuarios. Aparecerá la página Usuarios.

  2. Haga clic en Importar usuarios locales. Aparece el cuadro de diálogo Importar archivo de aprovisionamiento.

    Imagen de administración de usuarios

  3. Seleccione Usuario o Propiedad para el formato del archivo de aprovisionamiento que va a importar.

  4. Para seleccionar el archivo de aprovisionamiento que quiere usar, haga clic en Examinar y vaya a la ubicación de ese archivo.

  5. Haga clic en Importar.

Formatos de archivo de aprovisionamiento

El archivo de aprovisionamiento que se crea manualmente y se usa para importar en Endpoint Management propiedades y cuentas de usuario debe tener uno de los siguientes formatos:

  • Campos del archivo de aprovisionamiento de usuarios: usuario;contraseña;rol;grupo1;grupo2
  • Campos del archivo de aprovisionamiento de atributos de usuario: usuario;nombrePropiedad1;valorPropiedad1;nombrePropiedad2;valorPropiedad2

Nota:

  • Use un punto y coma (;) para separar los campos que contenga el archivo de aprovisionamiento. Si parte de un campo contiene un punto y coma, debe anteponérsele un carácter de barra diagonal inversa (\). Por ejemplo, la propiedad propertyV;test;1;2 debe escribirse como propertyV;test;1;2 en el archivo de aprovisionamiento.
  • Los valores válidos de Rol son los roles predefinidos USER, ADMIN, SUPPORT y DEVICE_PROVISIONING, además de cualquier rol adicional que haya definido.
  • Use el carácter de punto (.) como separador para crear una jerarquía de grupo. No use un punto en los nombres de grupo.
  • En los archivos de aprovisionamiento de atributos, use minúsculas para los atributos de las propiedades. La base de datos distingue entre mayúsculas y minúsculas.

Ejemplo del contenido de un archivo de aprovisionamiento de usuarios

La entrada user01;pwd\\;o1;USER;myGroup.users01;myGroup.users02;myGroup.users.users01 significa:

  • Usuario: user01
  • Contraseña: pwd;01
  • Rol: USER
  • Grupos:
    • myGroup.users01
    • myGroup.users02
    • myGroup.users.users.users01

Como otro ejemplo, AUser0;1.password;USER;ActiveDirectory.test.net significa:

  • Usuario: AUser0
  • Contraseña: 1.password
  • Rol: USER
  • Grupo: ActiveDirectory.test.net

Ejemplo del contenido de un archivo de aprovisionamiento de atributos de usuario

La entrada user01;propertyN;propertyV\;test\;1\;2;prop 2;prop2 value significa:

  • Usuario: user01
  • Propiedad 1
    • nombre: propertyN
    • valor: propertyV;test;1;2
  • Propiedad 2:
    • nombre: prop 2
    • valor: valor de prop2

Para configurar modos de inscripción

Puede configurar modos de inscripción de dispositivos para que los usuarios puedan inscribir sus dispositivos en Endpoint Management. Endpoint Management ofrece siete modos, cada uno con su propio nivel de seguridad y unos pasos propios que los usuarios deberán seguir para inscribir sus dispositivos.

Puede hacer que algunos modos estén disponibles en Self Help Portal. Los usuarios pueden iniciar sesión en ese portal y generar enlaces de inscripción que les permitan inscribir sus propios dispositivos o enviarse la invitación a una inscripción. Los modos de inscripción se configuran en la consola de Endpoint Management, desde la página Parámetros > Inscripción.

Las invitaciones de inscripción se envían desde la página Administrar > Invitaciones de inscripción. Para obtener información, consulte Enviar una invitación de inscripción.

Nota:

Si va a utilizar plantillas de notificaciones personalizadas, debe definir esas plantillas antes de configurar los modos de inscripción. Para obtener más información acerca de las plantillas de notificaciones, consulte Crear o actualizar plantillas de notificaciones.

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Inscripción. Aparecerá la página Enrollment, que contiene una tabla de todos los modos de inscripción disponibles. De manera predeterminada, están habilitados todos los modos de inscripción.

  3. Seleccione un modo de inscripción de la lista para modificarlo. A continuación, establezca ese modo como predeterminado, inhabilítelo, o bien permita a los usuarios acceder a él a través del portal Self Help Portal.

    Cuando se marca la casilla situada junto a un modo de inscripción, el menú de opciones aparece encima de la lista de los modos de inscripción. Si hace clic en cualquier lugar de la lista, el menú de opciones aparece a la derecha de la lista.

    Imagen de los parámetros de inscripción

    Elija uno de estos modos de inscripción:

    • Nombre de usuario y contraseña
    • Alta seguridad
    • URL de invitación
    • URL de invitación + PIN
    • URL de invitación + contraseña
    • Dos factores
    • Nombre de usuario y PIN

    Puede utilizar las invitaciones de inscripción para restringir la inscripción a los usuarios que tengan una invitación.

    Puede utilizar invitaciones de inscripción con PIN de un solo uso (OTP) como una solución de dos factores. Las invitaciones de inscripción con OTP controlan la cantidad de dispositivos que un usuario puede inscribir.

    Para entornos con requerimientos muy altos de seguridad, puede asociar las invitaciones de inscripción a un dispositivo por UDID/SN/EMEI. También hay una opción de dos factores que consiste en solicitar la contraseña de Active Directory y OTP.

Para modificar un modo de inscripción

  1. En la lista Inscripción, seleccione un modo de inscripción y, a continuación, haga clic en Modificar. Aparecerá la página Modificar modo de inscripción. Las opciones que verá dependerán del modo que seleccione.

    Imagen de cómo editar el modo de inscripción

  2. Cambie la siguiente información como corresponda:

    • Caduca después de: Introduzca una fecha límite de caducidad, después de la cual, los usuarios no podrán inscribir sus dispositivos. Este valor aparece en las páginas de configuración de invitaciones a la inscripción de usuarios y grupos.

      Introduzca 0 para impedir que la invitación caduque.

    • Días: En la lista, haga clic en Días o Horas, de acuerdo con la fecha límite de caducidad que ha introducido en Caduca después de.
    • Máximo de intentos: Escriba la cantidad de intentos de inscripción que un usuario puede llevar a cabo antes de que se bloquee el proceso de inscripción. Este valor aparece en las páginas de configuración de invitaciones a la inscripción de usuarios y grupos.

      Introduzca 0 para permitir una cantidad ilimitada de intentos.

    • Longitud del PIN: Escriba un número para definir la longitud del PIN generado.
    • Numérico: En la lista, haga clic en Numérico o Alfanumérico para el tipo de PIN.

    • Plantillas de notificaciones:

      • Plantilla para URL de inscripción: En la lista, seleccione una plantilla para la URL de inscripción. Por ejemplo, la plantilla de invitaciones de inscripción envía a los usuarios un correo electrónico o un SMS. El método depende de cómo haya configurado la plantilla que les permite inscribir sus dispositivos en Endpoint Management. Para obtener más información acerca de las plantillas de notificaciones, consulte Crear o actualizar plantillas de notificaciones.
      • Plantilla para PIN de inscripción: En la lista, seleccione una plantilla para el PIN de inscripción.
      • Plantilla para confirmación de la inscripción: En la lista, seleccione la plantilla a utilizar para informar al usuario de que la inscripción se ha realizado correctamente.
  3. Haga clic en Guardar.

Para establecer un modo de inscripción como predeterminado

Al establecer un modo de inscripción como predeterminado, ese modo se usará para todas las solicitudes de inscripción de dispositivos a menos que se seleccione otro modo de inscripción. Si no hay ningún modo de inscripción establecido como predeterminado, debe crear una solicitud de inscripción para cada inscripción de dispositivo.

Nota:

Los únicos modos de inscripción que puede usar como predeterminados son Nombre de usuario + contraseña, Dos factores o Nombre de usuario + PIN.

  1. Seleccione el modo de inscripción predeterminado, ya sea Nombre de usuario + contraseña, Dos factores o Nombre de usuario + PIN.

    Para usar un modo como predeterminado, primero habilítelo.

  2. Haga clic en Predeterminado. A partir de ahora, el modo seleccionado es el predeterminado. Si se había establecido otro modo de inscripción como predeterminado, ese modo deja de serlo.

Para inhabilitar un modo de inscripción

Al inhabilitar un modo de inscripción, ese modo no se podrá usar ni para las invitaciones de grupo a las inscripciones ni en el portal Self Help Portal. Puede cambiar la manera de permitir a los usuarios que inscriban sus dispositivos. Para ello, deberá inhabilitar un modo de inscripción y habilitar otro.

  1. Seleccione un modo de inscripción.

    El modo de inscripción predeterminado no se puede inhabilitar. Si quiere inhabilitar el modo de inscripción predeterminado, primero debe quitar su estado predeterminado.

  2. Haga clic en Inhabilitar. El modo de inscripción deja de estar habilitado.

Para habilitar un modo de inscripción en el portal Self Help Portal

Habilitar un modo de inscripción en el portal Self Help Portal permite a los usuarios inscribir sus dispositivos en Endpoint Management uno a uno.

Nota:

  • Para que un modo de inscripción esté disponible en el portal Self Help Portal, debe estar habilitado y enlazado a plantillas de notificaciones.
  • Solo puede habilitar un modo de inscripción en el portal Self Help Portal en un momento dado.
  1. Seleccione un modo de inscripción.

  2. Haga clic en Self Help Portal. El modo de inscripción seleccionado ya está disponible para los usuarios en Self Help Portal. Cualquier otro modo que ya estuviera habilitado en el portal Self Help Portal deja de estar disponible para los usuarios.

Agregar o quitar grupos

Puede administrar grupos desde el cuadro de diálogo Administrar grupos de la consola de Endpoint Management. Para ver este cuadro, vaya a las páginas Usuarios, Agregar usuario local o Modificar usuario local. No hay ningún comando de modificación de grupos.

Si quita un grupo, tenga en cuenta que quitar un grupo no tiene ningún efecto sobre las cuentas de usuario. Quitar un grupo simplemente elimina la asociación de usuarios con ese grupo. Asimismo, los usuarios pierden acceso a las aplicaciones o a los perfiles proporcionados por los grupos de entrega asociados a ese grupo. Sin embargo, las demás asociaciones de grupos permanecen intactas. Si los usuarios no están asociados a ningún otro grupo local, se asocian al nivel superior.

Para agregar un grupo local

  1. Lleve a cabo una de las siguientes acciones:

    • En la página Usuarios, haga clic en Administrar grupos locales.

    Imagen de administración de grupos de usuarios

    • Ya sea en la página Agregar usuario local o Modificar usuario local, haga clic en Administrar grupos.

    Imagen de administración de grupos de usuarios

    Aparecerá el cuadro de diálogo Administrar grupos.

    Imagen de administración de grupos de usuarios

  2. Bajo la lista de grupos, escriba un nuevo nombre de grupo y, a continuación, haga clic en el signo más (+). El grupo de usuarios se agrega a la lista.

  3. Haga clic en Cerrar.

Para quitar un grupo

Quitar un grupo no tiene ningún efecto sobre las cuentas de usuario. Quitar un grupo simplemente elimina la asociación de usuarios con ese grupo. Los usuarios pierden acceso a las aplicaciones o a los perfiles proporcionados por los grupos de entrega asociados con ese grupo. Sin embargo, cualquier otra asociación de grupo permanece intacta. Si los usuarios no están asociados a ningún otro grupo local, se asocian al nivel superior.

  1. Lleve a cabo una de las siguientes acciones:

    • En la página Usuarios, haga clic en Administrar grupos locales.
    • Ya sea en la página Agregar usuario local o Modificar usuario local, haga clic en Administrar grupos.

    Aparecerá el cuadro de diálogo Administrar grupos.

    Imagen de administración de grupos de usuarios

  2. En el cuadro de diálogo Administrar grupos, haga clic en el grupo a eliminar.

  3. Haga clic en el icono con forma de papelera situado a la derecha del nombre de grupo. Aparecerá un cuadro de diálogo de confirmación.

  4. Haga clic en Eliminar para confirmar la operación y eliminar el grupo.

    Importante:

    Esta operación no se puede deshacer.

  5. En el cuadro de diálogo Administrar grupos, haga clic en Cerrar.

Crear y administrar flujos de trabajo

Puede utilizar flujos de trabajo para administrar la creación y la eliminación de cuentas de usuario. Antes de poder usar un flujo de trabajo, es necesario identificar las personas dentro de su organización que tienen la autoridad de aprobar solicitudes de cuentas de usuario. Después, podrá utilizar la plantilla de flujo de trabajo para crear y aprobar solicitudes de cuentas de usuario.

Al configurar Endpoint Management por primera vez, se definen los parámetros de correo electrónico referentes al flujo de trabajo; estos parámetros se deben establecer antes de utilizar los flujos de trabajo. Puede cambiar los parámetros de correo electrónico del flujo de trabajo en cualquier momento. Estos parámetros incluyen servidor de correo electrónico, puerto, dirección de correo electrónico, y si la solicitud para crear la cuenta de usuario requiere aprobación.

Puede configurar flujos de trabajo en dos lugares de Endpoint Management:

  • En la página Parámetros > Flujos de trabajo de la consola de Endpoint Management. En la página Flujos de trabajo, se pueden configurar varios flujos de trabajo para su uso con configuraciones de aplicaciones. Al configurar flujos de trabajo en la página “Flujos de trabajo”, puede seleccionar el flujo de trabajo cuando configure la aplicación.
  • Cuando configure un conector de aplicaciones en la aplicación, deberá proporcionar un nombre de flujo de trabajo y definir a las personas que pueden aprobar solicitudes de cuentas de usuario. Consulte Agregar aplicaciones.

Se puede asignar hasta tres niveles de aprobación del tipo administrador para cuentas de usuario. Si necesita que otras personas aprueben la cuenta de usuario, puede buscar y seleccionar aprobadores adicionales por nombre o dirección de correo electrónico. Cuando Endpoint Management las encuentre, podrá agregarlas al flujo de trabajo. Todas las personas en el flujo de trabajo reciben correos electrónicos para aprobar o denegar la nueva cuenta de usuario.

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Flujos de trabajo. Aparecerá la página Flujos de trabajo.

  3. Haga clic en Agregar. Aparecerá la página Agregar flujo de trabajo.

    Imagen de la gestión de flujos de trabajo

  4. Configure estos parámetros:

    • Nombre: Escriba un nombre único para el flujo de trabajo.
    • Descripción: Si quiere, escriba una descripción del flujo de trabajo.
    • Plantillas de correo electrónico de aprobación: En la lista, seleccione la plantilla de aprobación por correo electrónico que se va a asignar al flujo de trabajo. En la consola de Endpoint Management, puede crear plantillas de correo electrónico en la sección Plantillas de notificaciones en Parámetros. Al hacer clic en el icono con forma de ojo situado a la derecha del campo, aparece una vista previa de la plantilla que desea configurar.
    • Niveles de aprobación administrativa: En la lista, seleccione la cantidad de niveles de aprobación administrativa necesarios para este flujo de trabajo. El valor predeterminado es 1 nivel. Las opciones posibles son:
      • No se necesita
      • 1 nivel
      • 2 niveles
      • 3 niveles
    • Seleccionar dominio de Active Directory: En la lista, seleccione el dominio correspondiente de Active Directory que se va a usar para el flujo de trabajo.
    • Buscar aprobadores adicionales requeridos: Escriba un nombre en el campo de búsqueda y, a continuación, haga clic en Buscar. Los nombres se originan en Active Directory.
    • Cuando el nombre aparezca en el campo, marque la casilla situada al lado. El nombre y la dirección de correo electrónico aparecen en la lista Aprobadores adicionales requeridos seleccionados.
      • Para quitar un nombre de la lista, realice una de las siguientes acciones:
        • Haga clic en Buscar para ver una lista de todos los usuarios del dominio seleccionado.
        • Escriba un nombre completo o parcial en el cuadro de búsqueda y, a continuación, haga clic en Buscar para limitar los resultados de la búsqueda.
        • Las personas de la lista Aprobadores adicionales requeridos seleccionados tienen marcas de verificación junto a sus nombres en la lista de resultados de la búsqueda. Desplácese por la lista y desmarque la casilla situada junto a cada nombre que quiera quitar.
  5. Haga clic en Guardar. El flujo de trabajo creado se muestra en la página Flujos de trabajo.

Después de crear el flujo de trabajo, puede ver sus detalles, las aplicaciones que tiene asociadas, o bien puede eliminarlo. El flujo de trabajo no se puede modificar una vez creado. Si necesita un flujo de trabajo con otros niveles de aprobación o con otros aprobadores, cree otro flujo de trabajo.

Para ver los detalles de un flujo de trabajo y cómo eliminar uno

  1. En la página Flujos de trabajo, en la lista de los flujos de trabajo existentes, seleccione un flujo concreto. Para ello, haga clic en la fila de la tabla o marque la casilla situada junto al flujo de trabajo.

  2. Para eliminar un flujo de trabajo determinado, haga clic en Eliminar. Aparecerá un cuadro de diálogo de confirmación. Vuelva a hacer clic en Eliminar.

    Importante:

    Esta operación no se puede deshacer.