Separa los datos laborales de los personales en dispositivos iOS

Ediciones admitidas para esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus; G Suite Basic y G Suite Business; Cloud Identity Premium. Compara tu edición

Como administrador, puedes administrar todos los datos del dispositivo iOS personal de un usuario o solo los datos laborales. La inscripción de usuarios de Apple separa los datos personales de los laborales en los dispositivos iOS para que tengas el control total de los datos laborales en el dispositivo mientras los usuarios mantienen la privacidad de sus datos personales.

Compara las opciones de inscripción de dispositivos iOS

Puedes elegir entre la inscripción de dispositivos y la inscripción de usuarios para los dispositivos iOS de BYOD (trae tu propio dispositivo). Cada tipo de inscripción te brinda un conjunto diferente de funciones.

• Usa la inscripción de usuarios si quieres proteger los datos laborales en el dispositivo y brindar privacidad al usuario sobre sus datos personales.
• Usa la inscripción del dispositivo para tener más control sobre él, incluida la capacidad de borrarlo.

Función de administración de dispositivos móviles	Inscripción del dispositivo	Inscripción de usuarios
Configura cuentas para acceder a datos laborales en apps integradas de iOS	✔	✔
Instala y configura apps	✔	✔
Cómo solicitar contraseñas para los dispositivos	✔	✔
Consulta el inventario de apps de trabajo	✔	✔
Quitar solo los datos del trabajo	✔	✔
Solicita una contraseña segura	✔
Acceder al inventario de apps personales	✔
Borra de forma remota todo el dispositivo (incluidos los datos personales)	✔

Antes de comenzar

• La inscripción de usuarios es compatible con dispositivos personales que ejecutan iOS 15.5 y versiones posteriores. No está disponible para dispositivos empresariales.

Nota: El método original de inscripción del usuario basado en perfiles (compatible con iOS 15.5 y versiones posteriores) ya no es compatible con dispositivos que ejecutan iOS 18 y versiones posteriores.

• Prepara los detalles de acceso para la Consola del administrador de Google y el Administrador de empresas de Apple o el Administrador de escuelas de Apple de tu organización.
• Activa la Administración avanzada de dispositivos móviles para la unidad organizativa que usará los dispositivos.
• Configura el Programa de compras por volumen (PCV) de Apple para distribuir apps de trabajo a los usuarios.

Paso 1: Vincula Apple Business Manager a Google Workspace

Vincula Apple Business Manager o Apple School Manager a Google Workspace para que los usuarios puedan usar sus nombres de usuario de Google Workspace como IDs de Apple administrados. Pueden usar esos detalles para acceder a su dispositivo iOS. Necesitas licencias para la app de Google Device Policy y cualquier otra app que quieras distribuir en los dispositivos inscritos por el usuario. Sigue estos pasos para vincular Apple Business Manager a Google Workspace:

1. Abre Apple Business Manager o Apple School Manager y accede con tu ID de Apple empresarial.
2. En la parte inferior izquierda, selecciona tu nombre Preferencias Cuentas de Apple administradas.
3. Junto a Federated Authentication, haz clic en Edit.
4. Selecciona Google Workspace Conectar y accede con tu cuenta de administrador de Google Workspace.
5. Marca la casilla junto a cada uno de los permisos solicitados y haz clic en Continuar. Listo.
6. Junto a Dominios, haz clic en Editar.
7. Junto a tu dominio verificado, haz clic en Federate.
8. A la izquierda, haz clic en Sincronización de directorios y habilita Sincronización de Google Workspace.

Paso 2: Obtén licencias de apps para la Política de dispositivos de Google

Necesitas licencias para la app de Device Policy y cualquier otra app que desees distribuir en dispositivos inscritos por el usuario. Para obtener más información, consulta Distribuye apps para iOS con el PCV de Apple.

Paso 3: Selecciona el tipo de inscripción

Antes de comenzar: Si tienes dispositivos con diferentes requisitos de inscripción, configura una unidad organizativa para cada tipo de inscripción. Por ejemplo, los dispositivos propiedad de la empresa están inscritos en el dispositivo, por lo que debes asegurarte de que se encuentren en una unidad organizativa con la opción Inscripción de dispositivos o Elección del usuario seleccionada. Para obtener más información, consulta Cómo agregar una unidad organizativa.

1. En la Consola del administrador de Google, ve a Menú Dispositivos Dispositivos móviles y extremos Configuración iOS. 

   Ir a iOS

   Es necesario tener el privilegio de administrador de Servicios y dispositivos.

2. Haz clic en Inscripción.
3. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
4. Elige una opción (una por unidad organizativa):
   • (Opción predeterminada) Para administrar los datos laborales y personales en dispositivos iOS personales, selecciona Inscripción de dispositivos.
   • Para administrar solo los datos laborales en dispositivos personales, selecciona Inscripción del usuario.
     Para aplicar el parámetro de configuración solo a los dispositivos nuevos, marca la casilla Permitir la inscripción de dispositivos para los usuarios existentes.
   • Para permitir que el usuario decida el tipo de inscripción, selecciona Elección del usuario.
     • Si el usuario elige la inscripción del dispositivo, deberá instalar la app de Google Device Policy y el perfil de configuración. Para obtener más información, consulta Cómo instalar la app de Política de dispositivos de Google.
     • Si elige Inscripción de usuario, vaya al paso 5 (más adelante en esta página) para conocer los pasos para inscribir el dispositivo.
5. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

   Para restablecer después el valor heredado, haz clic en Heredar.

Paso 4: Configura la inscripción de usuarios basada en la cuenta

Obligatorio para dispositivos con iOS 18 y versiones posteriores. Es opcional para dispositivos con iOS 17 y versiones anteriores.

Configura la inscripción de usuarios basada en cuentas para que los usuarios puedan inscribir sus dispositivos personales en la app de configuración de iOS. Para configurar la inscripción basada en cuentas, debes configurar la detección de servicios alojando la información de inscripción en tu servidor web. Esto permite que Apple recupere la información de la administración de extremos de Google.

Configura el descubrimiento de servicios

1. Define el documento JSON de detección de servicios:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Configura tu alojamiento web para que entregue el documento JSON desde la siguiente ubicación:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Importante:

   • Asegúrate de que el encabezado Content-Type de la respuesta HTTP esté configurado como application/json.
   • La autoridad certificadora de confianza debe emitir el certificado SSL para el servidor web, y este debe tener el mismo nombre de dominio completamente calificado (FQDN) que el dominio verificado configurado en el paso 1 (anteriormente en esta página).
   • La configuración del descubrimiento de servicios debe alojarse en un servidor que admita solicitudes HTTPS GET.

3. Para verificar la configuración del descubrimiento de servicios, ejecuta el siguiente comando:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Asegúrate de que el servidor web que entrega el archivo JSON pueda controlar parámetros de URL adicionales. Es posible que algunas versiones de iOS adjunten los siguientes parámetros a la solicitud HTTP GET:

   • user-identifier: Es el identificador de la cuenta de usuario (por ejemplo, correo electrónico@tudominio.com).
   • model-family: Es la familia del modelo del dispositivo (por ejemplo, iPhone o iPad).

   El comando debería imprimir una respuesta similar a la siguiente:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Esta configuración permite que el dispositivo iOS encuentre los servidores de inscripción de MDM de Google durante el proceso de inscripción basado en la cuenta. Después de que un usuario ingresa la dirección de correo electrónico de su cuenta de Apple administrada, sucede lo siguiente:

1. El dispositivo extrae el nombre de dominio de la cuenta de Apple administrada.
2. El dispositivo envía una solicitud HTTP al servidor web que aloja la información de inscripción.

Ejemplo
Si el usuario Andy Jones accede a un dispositivo con el ID de Apple administrado andy.jones@tudominio.com, sucede lo siguiente:

• El dispositivo extrae yourdomain.com y usa el proceso de detección de servicios para realizar una solicitud HTTPS de la información de inscripción alojada en https://your_domain/.well-known/com.apple.remotemanagement.
• El dispositivo identifica la MDM de Google a partir de la configuración de detección de servicios y, luego, inicia la inscripción.

Para obtener más información sobre el proceso de descubrimiento de servicios, consulta la documentación sobre el descubrimiento de servidores de autenticación en el sitio web para desarrolladores de Apple.

Paso 5: Solicita a los usuarios que inscriban sus dispositivos

Para inscribir dispositivos iOS en la administración, los usuarios deben hacer lo siguiente:

1. Si el dispositivo del usuario ya estaba inscrito para la administración, pídele que anule el registro de su cuenta de Google Workspace en la app de Device Policy y, luego, que la desinstale. Para obtener más información, consulta Cómo administrar la app de Device Policy.
2. Elige una opción:
   • Si configuraste la inscripción del usuario basada en la cuenta (como se explicó anteriormente en este artículo), pídeles a los usuarios que presionen Configuración General Administración de dispositivos y VPN Inicia sesión con tu cuenta escolar o de trabajo y que accedan con su cuenta de Workspace.
   • De lo contrario, haz que los usuarios accedan con su cuenta de trabajo en la app de Gmail instalada desde Apple App Store.
3. Sigue las indicaciones para instalar el perfil de configuración. Es posible que el usuario deba ir a la app de Configuración de iOS para instalar el perfil descargado. La app de Google Device Policy se instala automáticamente.
4. El usuario debe acceder con la app de Device Policy después de descargarla. Para obtener más información, consulta Cómo configurar un dispositivo personal.
5. Instala apps administradas desde la app de Device Policy. Si una app está marcada como Obligatoria en la app de Device Policy, el usuario debe desinstalarla y, luego, volver a instalarla desde la app de Device Policy. Para obtener más información, consulta Cómo obtener apps de trabajo aprobadas en dispositivos iOS.

Nota: Por motivos de privacidad, la administración de extremos de Google no puede leer la lista de apps instaladas en los dispositivos inscritos por el usuario. Si un usuario aún no instaló una app administrada desde la app de Device Policy, no podemos saber si la app ya está instalada como no administrada desde App Store. Si la app ya está en el dispositivo, el usuario debe desinstalarla antes de instalarla desde la app de Device Policy. Para obtener más detalles sobre la protección de la privacidad del usuario, consulta la documentación de Apple.

Tema relacionado

Administra las apps para dispositivos móviles de tu organización