Inscripción de usuarios de Apple

La inscripción de usuarios de Apple es un modo de administración diseñado para dispositivos propiedad del usuario, es decir, para escenarios BYOD.

Restricción La inscripción de usuarios de Apple requiere iOS 13, iPadOS 13 o posterior.

ID de Apple gestionado

La inscripción de usuarios utiliza un ID de Apple gestionado para establecer una identidad de usuario en el dispositivo e iniciar sesión en servicios de Apple como iCloud.

Los ID de Apple gestionados son propiedad de su empresa y esta los gestiona. Para cada usuario, se crea un ID de Apple gestionado y una contraseña únicos en Apple Business Manager. Los usuarios deben introducir las credenciales de ID de Apple gestionado para inscribir su dispositivo en Sophos Mobile.

En lugar de crear manualmente ID de Apple gestionados, puede configurar la autenticación federada con Microsoft Azure Active Directory (Azure AD) en Apple Business Manager. En este caso, Apple Business Manager administra la creación de ID de Apple gestionados y los usuarios inician sesión con su correo electrónico y contraseña de Azure AD. Para obtener más información, consulte la documentación de Apple Business Manager.

En el dispositivo, el ID de Apple gestionado existe junto con el ID de Apple personal del usuario. Cuando el usuario anula la inscripción del dispositivo en Sophos Mobile, iOS elimina el ID de Apple gestionado del dispositivo.

Separación de datos personales y de trabajo

Los dispositivos inscritos en el modo Inscripción de usuarios tienen un volumen APFS (Apple File System) administrado para almacenar los datos de trabajo. Este volumen contiene lo siguiente:

  • Apps administradas y datos de apps
  • Un llavero administrado
  • Documentos de la cuenta de iCloud del ID de Apple gestionado
  • Datos de las apps Mail, Calendario y Notas para el ID de Apple gestionado

Cuando el usuario anula la inscripción del dispositivo en Sophos Mobile, iOS elimina el volumen APFS administrado.

Funciones de gestión

Puesto que el usuario es el propietario del dispositivo, el administrador solo tiene funciones limitadas de gestión de dispositivos móviles (MDM).

No puede acceder a los datos personales del usuario. Solo puede administrar y consultar elementos, como apps, certificados y políticas, en el volumen APFS administrado.

No puede acceder a identificadores de dispositivo como el UDID, el IMEI o la dirección MAC. Sophos Mobile identifica el dispositivo por un ID específico que iOS crea cuando el usuario lo inscribe en Sophos Mobile. Si el usuario anula la inscripción del dispositivo y lo vuelve a inscribir, el dispositivo obtiene un nuevo ID y Sophos Mobile lo trata como un nuevo dispositivo.

Como la dirección MAC no está disponible para Sophos Mobile, no puede utilizar el control de acceso a la red (NAC) para los dispositivos con Inscripción de usuarios.

Aviso Puede establecer reglas para la contraseña del dispositivo, pero no puede restablecerla si el usuario la olvida.

Gestión de apps

En los dispositivos con Inscripción de usuarios de Apple, solo puede instalar las apps que haya comprado en Apple Business Manager (anteriormente conocidas como apps VPP de Apple).

Instale estas apps a través de Sophos Mobile o asígnelas al ID de Apple gestionado para permitir que el usuario las instale desde el App Store.

Cada app solo se puede instalar una vez en un dispositivo, ya sea para el ID de Apple personal (app personal) o para el ID de Apple gestionado (app administrada). Se aplican las siguientes reglas:

  • No puede instalar una app administrada si el usuario ya ha instalado la misma app personal.
  • El usuario puede desinstalar una app administrada, pero permanece gestionada si el usuario la vuelve a instalar.
  • Para permitir que un usuario instale una app personal que el administrador haya instalado anteriormente como app administrada, debe desinstalar la app gestionada a través de Sophos Mobile o eliminar la licencia de la app del ID de Apple gestionado.
  • Mail, Notas y Calendario se basan en cuentas y pueden almacenar datos para el ID de Apple gestionado (en el volumen APFS administrado) y el ID de Apple personal (en el volumen APFS del sistema).