Inscripción automática frente a inscripción preparada

Workspace ONE UEM es compatible con dos métodos de inscripción de dispositivos corporativos. Puede permitir que los usuarios inscriban sus propios dispositivos o que los administradores lo hagan en nombre de los usuarios en un proceso denominado inscripción preparada.

En la inscripción preparada, el administrador inscribe los dispositivos antes de asignarlos y distribuirlos a los usuarios finales. Este método es útil para los administradores que deben configurar dispositivos para usuarios finales en una organización.

El almacenamiento provisional del dispositivo se puede realizar en dispositivos Android, iOS y macOS.

Primera consideración: Tipo de propiedad del dispositivo

• ¿Sus usuarios finales ya tienen dispositivos corporativos asignados? En ese caso, puede que no resulte práctico recopilar cada dispositivo y realizar una inscripción preparada, sino que lo mejor será hacer que se inscriban ellos mismos.

• ¿Los usuarios finales van a compartir los dispositivos o van a tener sus propios dispositivos dedicados? Si los usuarios finales no van a compartir los dispositivos, podrá hacer que la inscripción sea responsabilidad del titular.

  Además, la inscripción preparada de dispositivos funciona bien en el caso de los dispositivos que acaban de aprovisionarse, ya que se realiza antes de que el empleado reciba el dispositivo. Si sus usuarios finales ya tienen dispositivos corporativos, lo más adecuado es permitirles inscribirse automáticamente. Permitir que los usuarios inscriban sus propios dispositivos también resulta beneficioso cuando el número total de dispositivos impide que los administradores realicen la inscripción preparada de dispositivos.

Segunda consideración: Detección automática

¿Va a asociar el dominio de correo electrónico a su entorno de Workspace ONE UEM? Este proceso, conocido como detección automática, significa que los usuarios finales solo introducen la dirección de correo electrónico y las credenciales. El ID de grupo y la dirección URL de inscripción se introducen automáticamente.

Consulte también Inscripción por detección automática.

Tercera consideración: Inscripción directa de Workspace ONE

La inscripción preparada de dispositivos no es compatible con la inscripción directa de Workspace ONE. Si debe preparar una inscripción de dispositivo, ya sea para uno o varios usuarios, tendrá que inscribir el dispositivo mediante Workspace ONE Intelligent Hub en lugar de con la inscripción directa de Workspace ONE.

La inscripción directa de Workspace ONE es una característica que se complementa bien con la inscripción automática. Una vez habilitada, todos los dispositivos cualificados que se registren en el grupo organizativo de inscripción se quedan inscritos inmediatamente. Y una vez instalada completamente, el usuario final podrá instalar las aplicaciones seleccionadas por la empresa o excluirlas.

Para obtener más información, consulte Inscripción directa de Workspace ONE.

Cuarta consideración: ¿Participa en un programa de inscripción de dispositivos de Apple?

Apple ha introducido el Programa de inscripción de dispositivos (DEP) con el fin de maximizar las ventajas de la inscripción de los dispositivos de Apple en programas de administración de dispositivos móviles (MDM). Con DEP es posible llevar a cabo las siguientes acciones:

• Instale un perfil de MDM no extraíble en un dispositivo que evite que los usuarios finales puedan eliminarlo.
• Dispositivos de aprovisionamiento en modo supervisado (solo iOS). Los dispositivos en el modo Supervisado pueden acceder a ajustes adicionales de seguridad y configuración.
• Exija la inscripción de todos los usuarios finales.
• Responda a sus necesidades personalizando y agilizando el proceso de inscripción.
• Impida copias de seguridad de iCloud al impedir que los usuarios inicien sesión con el ID de Apple al generar un perfil DEP.
• Forzar actualizaciones del SO para todos los usuarios finales.

Quinta consideración: uso de Apple Configurator

Apple Configurator permite a los administradores de TI implementar y administrar eficazmente dispositivos Apple iOS. Resulta especialmente útil para organizaciones como tiendas, aulas u hospitales que desean contar con dispositivos preinscritos que compartirán varios usuarios finales.

Es posible utilizar Configurator para inscribir dispositivos registrados previamente que estén destinados al uso por parte de un solo usuario mediante la adición de la información del número de serie/IMEI al dispositivo registrado de un usuario en Console. Una de las principales ventajas de Apple Configurator es poder usar un hub USB o un carrito de dispositivos iOS para aprovisionar varios dispositivos en cuestión de minutos.

Sexta consideración: ¿inscripción preparada para un solo usuario o registro?

Si está pensando usar la inscripción preparada de dispositivos para un solo usuario, podría ser mejor realizar un registro. La diferencia entre la inscripción preparada para un solo usuario y registrar un dispositivo es sutil pero importante.

Registro: cuando se registra un dispositivo, se hace para un usuario con nombre. Este procedimiento significa que el dispositivo espera que el primer usuario que inicie sesión sea el mismo para el que se registró. Si otro usuario intenta iniciar sesión en un dispositivo registrado, por razones de seguridad, el dispositivo quedará bloqueado y no podrá inscribirse.

Inscripción preparada para un solo usuario: cuando se prepara la inscripción de un dispositivo, se hace para inscribir a cualquier usuario cualificado en Workspace ONE UEM. En teoría, podría preparar la inscripción de un dispositivo para cualquier usuario cualificado, y el usuario podría iniciar sesión en el dispositivo e inscribirse en Workspace ONE UEM.

El flujo de trabajo de inscripción provisional le permite preparar el dispositivo y, a continuación, iniciar Workspace ONE Intelligent Hub, de modo que cualquier usuario cualificado pueda iniciar sesión en el dispositivo. A continuación, Workspace ONE UEM realiza una nueva asignación de un solo uso para asociar el dispositivo a ese usuario.

Séptima consideración: uso de la inscripción preparada

A menos que utilice Apple Configurator, los administradores deberán realizar la inscripción preparada de dispositivos de uno en uno. En el caso de las implementaciones de gran tamaño, tenga en cuenta el tiempo y el personal que requiere este trabajo.

Mientras que los administradores pueden realizar la inscripción preparada de dispositivos nuevos con facilidad, los empleados que ya utilizan dispositivos corporativos deberán enviarlos o recogerlos en la sede para la realización de la inscripción preparada.

Si tiene miles de dispositivos para la preinscripción, la inscripción preparada podría llevar algún tiempo. Por lo tanto, este proceso funciona mejor cuando se tiene un lote nuevo de dispositivos que aprovisionar, al tener acceso a los dispositivos antes de que los empleados los reciban.

El almacenamiento provisional del dispositivo se puede llevar a cabo en dispositivos Android e iOS de las siguientes maneras.

• Usuario único (estándar): se utiliza cuando se realiza la inscripción preparada de un dispositivo que cualquier usuario podrá inscribir.

  Aviso: Tal como se ha indicado, este flujo de inscripción está destinado a los dispositivos desatendidos. Si utiliza este flujo para la inscripción de usuarios sin interacción, será el responsable de garantizar que los dispositivos configurados se entreguen al usuario previsto.

• Usuario único (avanzado) (no disponible en iOS): se utiliza cuando prepara un dispositivo para un usuario específico.

  Aviso: El usuario o administrador provisional debe garantizar que el dispositivo se retire al usuario registrado.

• Multiusuario: se utiliza cuando prepara un dispositivo para que sea compartido por varios usuarios.

  Para obtener instrucciones detalladas, consulte Crear una cuenta para la inscripción provisional de varios usuarios.

Cómo preparar un dispositivo para un solo usuario

La inscripción provisional del dispositivo para un solo usuario de Workspace ONE UEM Console permite a un único administrador preparar dispositivos a nombre de los usuarios, lo cual resulta útil para administradores de TI que aprovisionan una flota de dispositivos.

La inscripción preparada de dispositivos no es compatible con la inscripción directa de Workspace ONE. Si debe preparar una inscripción de dispositivo, ya sea para uno o varios usuarios, tendrá que inscribir el dispositivo mediante Workspace ONE Intelligent Hub en lugar de con la inscripción directa de Workspace ONE.

Importante:

La capacidad de crear usuarios provisionales es un privilegio de administrador elevado. El permiso para crear un usuario provisional se limita solo a administradores específicos de confianza. Por otro lado, deberá tratar las credenciales de usuarios provisionales al igual que hace con cualquier otro privilegio de administrador y no divulgar las credenciales de usuario.

En estos momentos, cualquier administrador con permiso para crear un usuario también puede crear un usuario provisional. Para limitar esta capacidad, edite las funciones asignadas a sus administradores. Acceda a Cuentas > Administradores > Roles. Identifique solo aquellas funciones que desea limitar y, a continuación, edite () cada una de estas funciones en la ruta de categoría Todo > Cuentas > Usuarios > Cuentas desmarcando la casilla de verificación Editar del permiso "Agregar/Editar".

Aviso: Para la inscripción preparada de dispositivos es necesario un enlace LDAP. Para crear esta carga útil, consulte Cómo vincular un dispositivo con el servicio de directorio en esta guía.

1. Acceda a Cuentas > Usuarios > Vista de lista y seleccione la opción Editar para modificar la cuenta de usuario en la que desee habilitar la inscripción preparada.

   

2. En la página Agregar/Editar usuario, seleccione la pestaña Avanzado.

   1. Baje hasta la sección de Inscripción preparada.
   2. Para Habilitar la inscripción provisional de dispositivos, seleccione el control deslizante Habilitado. Se muestran las opciones de inscripción provisional.
   3. Para Dispositivos de usuario único, seleccione el control deslizante Habilitado.

   4. Cambie el tipo de modo de inscripción preparada de usuario único a Estándar o Avanzada.

      La inscripción preparada estándar requiere que el usuario final inicie sesión después de la preparación, mientras que la opción avanzada significa que el dispositivo se inscribe en nombre de otro usuario.

   5. Asegúrese de que la opción Dispositivos de múltiples usuarios esté configurada en Desactivada.

   6. Para Modo de dispositivo Android compartido, seleccione Nativo o Launcher para el modo de protección y desprotección. Android nativo es compatible con casos prácticos más sencillos que no requieren personalización. Launcher admite la personalización de la IU para casos prácticos complejos.
   7. Para las Aplicaciones de sistema, puede habilitar el acceso de los usuarios finales a las aplicaciones del sistema.

   8. Para el Código de acceso del modo de administrador, especifique un código de acceso alfanumérico para solucionar los problemas de un dispositivo en el modo de administrador. Toque el icono de Hub en la pantalla de inicio de sesión 5 veces para acceder al modo de administrador.

      Resultado: La opción Dispositivos de usuario único inscribe los dispositivos para que los utilice un usuario único.

3. Inscriba el dispositivo.

   • Inscríbase mediante Workspace ONE Intelligent Hub introduciendo la URL del servidor y el ID de grupo.
   • Abra el navegador de Internet en el dispositivo, navegue a la dirección URL de inscripción y escriba el ID de grupo apropiado.

4. Introduzca las credenciales del usuario de inscripción preparada durante la inscripción.

   1. Si es necesario, especifique que está preparando la inscripción de Dispositivos de usuario único.

      Solo tiene que hacerlo si la inscripción provisional de múltiples usuarios también está habilitada para el usuario de inscripción provisional.

5. Complete la inscripción para la inscripción avanzada o estándar.

   1. Si está realizando una inscripción preparada avanzada, tendrá que introducir el nombre del usuario final que utilizará el dispositivo. Continúe con la inscripción mediante la instalación del perfil de administración de dispositivos móviles (MDM) y aceptando todas las indicaciones y mensajes.
   2. Si está realizando la inscripción preparada estándar, cuando el usuario final complete la inscripción se le pedirá que inicie sesión.

Resultados: El dispositivo ya está listo para que lo utilice el nuevo usuario. Si hay un acuerdo de términos de uso de inscripción en vigor, el usuario único provisional no ve este aviso de acuerdo de términos de uso hasta que inicie sesión en su cuenta de SSP.

Cómo preparar un dispositivo para varios usuarios

La inscripción provisional para dispositivos de varios usuarios o dispositivos compartidos permite a los administradores de TI aprovisionar los dispositivos que utilizarán varios usuarios. La inscripción preparada para usuarios múltiples permite al dispositivo cambiar su usuario dinámicamente asignado a medida que los diferentes usuarios de la red inician sesión en ese dispositivo.

La inscripción preparada de dispositivos no es compatible con la inscripción directa de Workspace ONE. Si debe preparar una inscripción de dispositivo, ya sea para uno o varios usuarios, tendrá que inscribir el dispositivo mediante Workspace ONE Intelligent Hub en lugar de con la inscripción directa de Workspace ONE.

1. Acceda a Cuentas > Usuarios > Vista de lista y seleccione la opción Editar para modificar la cuenta de usuario en la que desee habilitar la inscripción preparada.

   

2. En la página Agregar/Editar usuario, seleccione la pestaña Avanzado.

   1. Baje hasta la sección de Inscripción preparada.
   2. Para Habilitar la inscripción provisional de dispositivos, seleccione el control deslizante Habilitado. Se muestran las opciones de inscripción provisional.
   3. Asegúrese de que la opción Dispositivos de múltiples usuarios esté configurada en Habilitado.
   4. Para Modo de dispositivo Android compartido, seleccione Nativo o Launcher para el modo de protección y desprotección. Android nativo es compatible con casos prácticos más sencillos que no requieren personalización. Launcher admite la personalización de la IU para casos prácticos complejos.
   5. Para las Aplicaciones de sistema, puede habilitar el acceso de los usuarios finales a las aplicaciones del sistema.
   6. Para el Código de acceso del modo de administrador, especifique un código de acceso alfanumérico para solucionar los problemas de un dispositivo en el modo de administrador. Toque el icono de Hub en la pantalla de inicio de sesión 5 veces para acceder al modo de administrador.
3. Inscriba el dispositivo mediante uno de los dos métodos siguientes.
   • Inscríbase mediante Workspace ONE Intelligent Hub introduciendo la URL del servidor y el ID de grupo.
   • Abra el navegador de Internet en el dispositivo, navegue a la dirección URL de inscripción y escriba el ID de grupo correspondiente.

4. Introduzca las credenciales del usuario de inscripción preparada durante la inscripción. Si es necesario, especifique que está preparando la inscripción de Dispositivos de usuario único.

   Solo tiene que hacerlo si la inscripción provisional de múltiples usuarios también está habilitada para el usuario de inscripción provisional.

Resultado: El dispositivo está ahora listo para ser utilizado por los nuevos usuarios.

Proceso de inscripción automática

La inscripción automática puede requerir que los usuarios finales conozcan sus ID de grupo y sus credenciales de inicio de sesión correspondientes. Si realizó la integración con servicios de directorio, estas credenciales serán las mismas que las del servicio de directorio del usuario.

También puede asociar el dominio de correo electrónico al entorno de Workspace ONE UEM en un proceso conocido como detección automática. Con la detección automática habilitada, los dispositivos de las plataformas compatibles solicitarán a los usuarios finales que introduzcan su dirección de correo electrónico. Estos dispositivos realizarán la inscripción automáticamente si su dominio de correo electrónico (el texto que aparece después de @) coincide sin introducir un ID de grupo o una URL de inscripción. Para obtener más información, consulte Inscripción por detección automática.

1. Los usuarios finales deben navegar a getwsone.com, que detecta automáticamente si Workspace ONE Intelligent Hub está instalado.

   Si Workspace ONE Intelligent Hub no está instalado, el sitio web le redirigirá a la tienda de aplicaciones para dispositivos móviles correspondiente.

2. Tras iniciar Workspace ONE Intelligent Hub, los usuarios introducen sus credenciales, además de una dirección de correo electrónico o una URL/un ID de grupo, y proceden a realizar la inscripción.

Modo supervisado

Los administradores tienen la opción de habilitar el modo supervisado para los dispositivos que se inscriban a través de Apple Configurator, que permite utilizar funciones de seguridad mejorada adicionales. Sin embargo, este modo impone varias limitaciones sobre el dispositivo.

Habilitación del modo supervisado

Para obtener más información sobre cómo habilitar dispositivos para que funcionen en el modo supervisado, consulte la Guía de integración con Apple Configurator 2.

Beneficios

Una vez que se supervisa e inscribe un dispositivo en Workspace ONE UEM, el administrador puede configurar las siguientes funciones mejoradas a diferencia de los dispositivos normales.

• Restricciones mejoradas a través de MDM
  • Impedir que los usuarios eliminen aplicaciones. La eliminación de aplicaciones también se puede restringir localmente en el dispositivo mediante restricciones de la Configuración del sistema.
  • No permitir AirDrop.
  • Impedir que los usuarios modifiquen los ajustes de cuenta de iCloud y Correo para evitar así la modificación de las cuentas.
  • Desactivar iMessage.
  • Establecer restricciones de calificación de contenido de iBookstore.
  • Desactivar Game Center y iBookstore.
• Seguridad mejorada
  • Impedir que los usuarios finales visiten sitios web con contenido para adultos en Safari.
  • Restringir qué dispositivos pueden conectarse a destinos de AirPlay especificados, como Apple TV.
  • Impedir la instalación de certificados o perfiles de configuración sin administrar.
  • Forzar que todo el tráfico de red de los dispositivos pase por un proxy HTTP global.
• Modo quiosco
  • Bloquear los dispositivos para una aplicación con el modo de aplicación única y desactivar el botón de inicio.
• Personalizar el fondo de pantalla y el texto en el dispositivo
• Habilitar o borrar el bloqueo de activación

Limitaciones

• El acceso de USB a los dispositivos supervisados se restringe al Mac supervisor.
• No se pueden copiar datos en el dispositivo ni desde él mediante iTunes, a no ser que el certificado de identidad de Apple Configurator se encuentre instalado en el dispositivo.
  • Los medios, como las fotos y los vídeos, no se pueden copiar desde el dispositivo a un PC o Mac. Para transferir este tipo de datos, utilice VMware Content Locker para sincronizar el contenido con la sección de documentos personales del usuario. También es posible utilizar una aplicación de uso compartido de archivos para transferir los datos a través de una WLAN/WWAN a un servidor.
• El modo supervisado impide el acceso a los registros del dispositivo mediante la herramienta Utilidad de configuración iPhone (IPCU).
  • Este modo dificulta la resolución de problemas relacionados con aplicaciones o dispositivos. El motivo de esta dificultad es que los registros del dispositivo solo pueden obtenerse si el dispositivo está conectado al Mac supervisor. Para solucionar algunos de estos retos, utilice Workspace ONE SDK para enviar registros y logística de las aplicaciones a UEM Console.
• No se pueden restablecer los dispositivos con los ajustes de fábrica fácilmente.
  • Una vez realizado el restablecimiento de fábrica, deberá devolverse al Mac supervisor para restaurarlo al modo supervisado. Este procedimiento puede resultar problemático si el Mac no se encuentra cerca del dispositivo.

A la hora de decidir si se habilitará o no el modo supervisado, considere lo siguiente. Si bien este modo habilita funciones adicionales que mejoran la seguridad del dispositivo, es necesario tener en cuenta las limitaciones del USB.

La proximidad del dispositivo al Mac supervisor es un factor de peso con vistas a la toma de decisiones. Dado que la limitación del USB impide el acceso a los registros del dispositivo, cuando existan problemas con un dispositivo, este se deberá llevar a un depósito y pasar de nuevo por el proceso de inscripción preparada para restablecer su funcionalidad.

Es importante tomar decisiones relacionadas con la supervisión de dispositivos de antemano, ya que el proceso para supervisar o dejar de supervisar requerirá el envío del dispositivo a un centro o depósito de TI.

Tema principal: Inscripción de dispositivos