La Inscripción de dispositivos basada en cuentas es un método de inscripción introducido con iOS 17, iPadOS 17, macOS 14 y visionOS 1.1, diseñado para dispositivos corporativos que no están registrados en Apple Business. Permite a las organizaciones gestionar dispositivos con un amplio conjunto de capacidades MDM usando una cuenta Apple gestionada para autenticarse — sin necesidad de una configuración DEP ni de compartir un enlace de inscripción.
Se sitúa entre la Inscripción de usuarios por cuenta (BYOD, capacidades MDM limitadas) y la Inscripción de dispositivos automatizada (zero-touch, totalmente supervisada) en términos de alcance de gestión y complejidad de despliegue.
Una cuenta Apple gestionada y una cuenta Apple personal pueden estar activas en el mismo dispositivo de forma simultánea, con separación total de los datos laborales y personales.
Dispositivos compatibles y requisitos mínimos del SO
| Dispositivo | SO mínimo |
|---|---|
| iPhone | iOS 17 |
| iPad | iPadOS 17 |
| Mac | macOS 14 Sonoma |
| Apple Vision Pro | visionOS 1.1 |
¿Cómo funciona la inscripción?
Para inscribir un dispositivo, el usuario va a Ajustes > General > VPN y gestión de dispositivos (en iPhone/iPad) o Configuración del sistema > General > Gestión de dispositivos (en Mac) y selecciona el botón Iniciar sesión en cuenta de trabajo o escuela.
Esto inicia un proceso de cuatro etapas:
El dispositivo usa el identificador organizativo del usuario (p. ej., [email protected]) para localizar automáticamente la URL de inscripción MDM de la organización consultando un recurso conocido en el dominio:
https://<dominio>/.well-known/com.apple.remotemanagement
El servidor MDM responde con un documento JSON que indica el tipo de inscripción (mdm-adde para la Inscripción de dispositivos basada en cuentas) y la URL de inscripción.
El usuario se autentica en el servicio MDM con sus credenciales organizativas. Tras la autenticación correcta, el servicio MDM emite un token de acceso seguro que se almacena en el dispositivo y se usa en todas las solicitudes posteriores. Este token también permite verificar de forma continua la autorización del usuario durante todo el ciclo de vida de la inscripción.
En iPhone, iPad y Apple Vision Pro, este proceso se puede agilizar con el SSO de inscripción (inicio de sesión único), que reduce las solicitudes de autenticación repetidas y permite que la renovación del token se produzca automáticamente a través del proveedor de identidad de la organización.
Con el token de acceso, el dispositivo recupera el perfil de inscripción del servicio MDM. Para completar la inscripción, el usuario debe iniciar sesión con su cuenta Apple gestionada. Una vez inscrito, la cuenta Apple gestionada aparece de forma destacada en Ajustes y en Configuración del sistema.
El token de acceso permanece activo después de la inscripción y se incluye en todas las solicitudes al servicio MDM. Esto permite al servicio verificar continuamente que el usuario inscrito sigue estando autorizado. Cuando el token caduca, es posible que se solicite al usuario que vuelva a autenticarse — o, si el SSO de inscripción está configurado, esto ocurre de forma transparente en segundo plano.
¿Qué pueden gestionar los administradores de TI?
La Inscripción de dispositivos basada en cuentas ofrece un conjunto más amplio de capacidades de gestión que la Inscripción de usuarios por cuenta, lo que la hace adecuada para dispositivos corporativos.
Las capacidades principales incluyen:
| Capacidad | Disponible |
|---|---|
| Consultar número de serie e identificadores del dispositivo (UDID, IMEI) | ✅ |
| Consultar lista de apps instaladas | ✅ |
| Consultar zona horaria, número de teléfono y estado de itinerancia del dispositivo | ✅ |
| Configurar VPN (todo el dispositivo) | ✅ |
| Configurar VPN por app | ✅ |
| Exigir y aplicar contraseña compleja | ✅ |
| Borrar de forma remota todo el contenido y los ajustes | ✅ |
| Aplicar actualizaciones de software | ✅ |
| Gestionar FileVault (macOS) | ✅ |
| Establecer nombre del dispositivo (macOS) | ✅ |
| Gestionar Bloqueo de activación (macOS) | ✅ |
| Instalación silenciosa de apps | ✅ |
| Instalar y gestionar certificados | ✅ |
| Configurar perfiles de Wi-Fi y correo electrónico | ✅ |
| Gestionar Bloqueo de activación (iOS/iPadOS) | ❌ (requiere Inscripción de dispositivos automatizada) |
| Configurar VPN siempre activa | ❌ (requiere Inscripción de dispositivos automatizada) |
| Configurar proxy HTTP global | ❌ (requiere Inscripción de dispositivos automatizada) |
| Establecer nombre del dispositivo (iOS/iPadOS) | ❌ (requiere Inscripción de dispositivos automatizada) |
| Activar Modo Perdido | ❌ (requiere Inscripción de dispositivos automatizada) |
Supervisión
La Inscripción de dispositivos basada en cuentas no activa la supervisión en iPhone, iPad ni Apple Vision Pro. Sin embargo, en ordenadores Mac con macOS 11 o posterior, la inscripción de dispositivos — incluida la variante por cuenta — sí aplica la supervisión automáticamente.
Esto significa que los dispositivos Mac inscritos de esta forma tienen acceso a capacidades de gestión exclusivas de supervisión que no están disponibles en dispositivos iOS/iPadOS inscritos por el mismo método.
¿Cómo se separan los datos laborales y personales?
Cuando se completa la inscripción, el sistema operativo crea automáticamente claves de cifrado separadas en el dispositivo. Si el usuario da de baja el dispositivo, o si el servicio MDM lo da de baja de forma remota, el sistema operativo destruye esas claves y elimina criptográficamente todos los datos gestionados. El siguiente contenido se mantiene separado entre el contexto laboral y el personal:
| Contenido | SO mínimo |
|---|---|
| Contenedores de datos de apps gestionadas | iOS 15, iPadOS 15, macOS 14, visionOS 1.1 |
| Elementos del llavero | iOS 15, iPadOS 15, macOS 14, visionOS 1.1 |
| App Correo (archivos adjuntos y cuerpo) | iOS 15, iPadOS 15, macOS 14, visionOS 1.1 |
| App Notas | iOS 15, iPadOS 15, macOS 14, visionOS 1.1 |
| App Calendario | iOS 16, iPadOS 16.1, macOS 13, visionOS 1.1 |
| App Recordatorios | iOS 17, iPadOS 17, macOS 14, visionOS 1.1 |
Además, si el usuario ha iniciado sesión con una cuenta Apple personal y una cuenta Apple gestionada, Iniciar sesión con Apple usa automáticamente la cuenta Apple gestionada para las apps gestionadas y la cuenta Apple personal para las no gestionadas — sin necesidad de selección manual.
¿Cuándo debo usar la Inscripción de dispositivos basada en cuentas?
Este método es una buena opción cuando:
Los dispositivos son propiedad de la empresa pero no se adquirieron a través de Apple ni de un revendedor autorizado (y por tanto no son elegibles para la asignación automática DEP de Apple Business).
Necesitas más control de gestión que con BYOD (Inscripción de usuarios por cuenta), pero no tienes una configuración completa de Apple Business (DEP).
Quieres una experiencia de inscripción moderna y sin fricciones que no requiere compartir un enlace ni un código QR — solo iniciar sesión con una cuenta Apple gestionada.
Gestionas ordenadores Mac y quieres que la supervisión se aplique automáticamente sin un proceso de configuración física.
No se recomienda cuando:
Necesitas que el dispositivo esté supervisado en iPhone o iPad (usa la Inscripción de dispositivos automatizada en su lugar).
Necesitas funciones como Modo Perdido, VPN siempre activa o proxy HTTP global en iOS/iPadOS.
El escenario de despliegue es BYOD (usa la Inscripción de usuarios por cuenta en su lugar).