Device Management MDM

.

Inscripción de usuarios

A partir de iOS 13 y macOS 10.15 Catalina, Apple introdujo un nuevo método de inscripción llamado “Inscripción de usuarios”. Este es un modo de inscripción notablemente diferente al disponible anteriormente a través de Apple DEP, enlace de inscripción o modo supervisado. Si bien estos modos aún existen, la inscripción de usuarios (a veces denominada “UEMDM”) tiene como objetivo abordar específicamente los escenarios de implementación de Bring Your Own Device (BYOD).

Función beta privada

Tenga en cuenta que la inscripción de usuarios todavía está en versión beta privada para un número limitado de clientes. Si desea obtener más información, póngase en contacto con nosotros en [email protected].

¿Por qué otro modo de inscripción? #

Los métodos de inscripción y supervisión existentes son muy poderosos. Los administradores pueden borrar, bloquear y restringir fuertemente el acceso en un dispositivo inscritos y supervisados por DEP. En macOS, los administradores pueden ejecutar cualquier tipo de comandos o scripts de nivel raíz y aplicar configuraciones altamente intrusivas a nivel de dispositivo y aplicación. Además, los administradores pueden enumerar y obtener información detallada sobre los dispositivos, incluso sobre las aplicaciones que no se han implementado a través de una solución MDM. En otras palabras, los administradores tienen un control casi total sobre los dispositivos administrados.

La inscripción de usuarios tiene como objetivo resolver este caso de uso restringiendo lo que pueden hacer los MDM. En lugar de tener acceso completo a los dispositivos, los espacios comerciales y personales están aislados. Los comandos y las operaciones realizadas por el MDM están limitados y restringidos para ajustar bajo el lado comercial del dispositivo, proporcionando un escenario más cómodo para los usuarios finales que aún pueden obtener acceso a los servicios comerciales sin requerir que los usuarios sacrifiquen su propia privacidad. Esto, al final, proporciona un escenario más equilibrado entre seguridad y privacidad, lo que permite a los usuarios cambiar fácilmente del trabajo a la vida personal.

¿Qué es diferente de otros métodos de inscripción? #

Información del dispositivo:
El MDM ya no puede recuperar información de identificación del dispositivo, como un número de serie, identificador universal de dispositivo (UDID), IMEI o direcciones mac. En su lugar, el dispositivo proporciona un identificador anónimo creado específicamente para la inscripción de MDM. Si un dispositivo se cancela de la MDM y luego se vuelve a inscribir en un momento posterior, se genera un nuevo identificador, mantenga el anonimato del usuario final y del hardware.

Administración de aplicaciones:
Los MDM aún pueden instalar y eliminar aplicaciones, pero ahora solo pueden ver la información sobre las aplicaciones administradas. El resto de las Apps instaladas por el usuario permanecen privadas y no serán visibles por el MDM y no podrán ser configuradas como apps gestionadas.

Además, algunas aplicaciones nativas están preparadas para escenarios de inscripción de usuarios, proporcionando también la posibilidad de aislar información a nivel de aplicación.

Perfiles y configuraciones:
Solo hay algunos perfiles y configuraciones disponibles y se pueden aplicar en el dispositivo:

  • Wi-Fi
  • VPN por aplicación
  • Perfiles relacionados con la cuenta, como correo electrónico, calendario, contacto y Exchange/ActiveSync.

Comandos:
La inscripción de usuarios también impide que los administradores establezcan o borren contraseñas, borren el dispositivo y realicen otras configuraciones a nivel de dispositivo.

¿Qué es diferente de otros métodos de inscripción? #

El método de inscripción de usuarios se basa en los ID de Apple administrados para la identificación de los usuarios. Esto también permite dos características importantes:

  • Licencias de aplicaciones y medios: las aplicaciones deben administrarse a través de Apple Business Manager y VPP para que se aprovisionen las licencias necesarias.
  • Acceso a iCloud: Apple proporciona servicios de iCloud de nivel empresarial, como el almacenamiento compartido para una organización. El ID de Apple administrado actúa como una credencial para proporcionar acceso a estos recursos.

Recomendamos encarecidamente leer la documentación relacionada con los ID de Apple administrados para comprender completamente los beneficios y las características.

¿Cómo se gestiona la separación de datos? #

Como parte del proceso de inscripción de usuarios, se crea un volumen APFS nuevo e independiente en el dispositivo. Este nuevo volumen actúa como un disco duro virtual con su propio cifrado y está totalmente aislado de otros volúmenes de datos en el dispositivo. Este volumen almacenará todos los datos relacionados con la inscripción de usuarios.

Cuando se anula la inscripción del dispositivo, se borra el volumen, eliminando también todas las aplicaciones administradas y los datos administrados almacenados en él, devolviendo el dispositivo al estado original antes de la inscripción.