Favicon

You are here: Home > Gestión de Dispositivos > Apple > Inscripción de dispositivos > Inscripción de usuarios controlada por cuentas

Inscripción de usuarios controlada por cuentas para despliegues BYOD

Inscripción de usuarios controlada por cuentas de Apple (UEMDM) — un método de inscripción BYOD que equilibra la seguridad corporativa con la privacidad del usuario, sus funciones y limitaciones.

5 min read

TL;DR

La Inscripción de usuarios de Apple ofrece una forma segura y centrada en la privacidad de gestionar dispositivos BYOD aislando los datos laborales y personales.

A partir de iOS 13 y macOS 10.15 Catalina, Apple introdujo un nuevo método de inscripción llamado Inscripción de usuarios. Con iOS 15 y macOS 14, Apple refinó este enfoque en lo que ahora se llama oficialmente Inscripción de usuarios controlada por cuentas — el método recomendado actualmente para escenarios BYOD.

Este es un modo de inscripción notablemente diferente a los disponibles anteriormente mediante DEP, enlace de inscripción o modo supervisado de Apple. Aunque estos modos siguen existiendo, la Inscripción de usuarios controlada por cuentas está pensada específicamente para escenarios de dispositivo personal (BYOD) y requiere que el usuario se autentique con un Apple ID gestionado para completar el proceso de inscripción.

Warning

La Inscripción de usuarios está aún en versión beta privada para un número limitado de clientes. Si quieres saber más, contacta con nosotros en [email protected].

¿Por qué otro método de inscripción?

Los métodos de inscripción y supervisión existentes son muy potentes. Los administradores pueden borrar, bloquear y restringir ampliamente el acceso en un dispositivo inscrito por DEP y supervisado. En macOS, los administradores pueden ejecutar cualquier tipo de comandos a nivel de root o scripts, y aplicar configuraciones muy intrusivas a nivel de dispositivo y de app. Además, pueden listar y obtener información detallada sobre los dispositivos, incluso sobre apps que no se han desplegado mediante una solución MDM. En otras palabras, los administradores tienen casi un control total sobre los dispositivos gestionados.

La Inscripción de usuarios controlada por cuentas busca resolver este caso de uso restringiendo lo que pueden hacer los MDM. En lugar de tener acceso total a los dispositivos, los espacios laboral y personal están aislados. Los comandos y operaciones realizados por el MDM están limitados y restringidos al lado corporativo del dispositivo, ofreciendo un escenario más cómodo para los usuarios finales, que pueden acceder a los servicios corporativos sin sacrificar su privacidad. Esto proporciona un escenario más equilibrado entre seguridad y privacidad, permitiendo a los usuarios pasar fácilmente de su vida laboral a la personal.

¿Qué diferencia a este método de los demás?

Información del dispositivo:

El MDM ya no puede obtener información de identificación del dispositivo, como el número de serie, el identificador universal del dispositivo (UDID), el IMEI ni las direcciones Mac. En su lugar, el dispositivo proporciona un identificador anonimizado creado específicamente para la inscripción MDM. Si el dispositivo se da de baja del MDM y luego se vuelve a inscribir, se genera un nuevo identificador, manteniendo el anonimato del usuario final y del hardware.

Gestión de apps:

Los MDM pueden seguir instalando y eliminando apps, pero solo pueden ver información sobre las apps gestionadas. El resto de las apps instaladas por el usuario permanecen privadas y no serán visibles para el MDM, y no se pueden configurar como apps gestionadas.

Además, algunas apps nativas son compatibles con los escenarios de Inscripción de usuarios controlada por cuentas, permitiendo aislar la información a nivel de app.

Perfiles y configuraciones:

Solo hay un conjunto limitado de perfiles y configuraciones disponibles que se pueden aplicar al dispositivo:

  • Wi-Fi.

  • VPN por app.

  • Perfiles de cuenta, como correo, calendario, contactos y Exchange/ActiveSync.

Comandos:

La Inscripción de usuarios controlada por cuentas también impide a los administradores establecer o borrar contraseñas, borrar el dispositivo y realizar otras configuraciones a nivel de dispositivo.

Apple IDs gestionados e Inscripción de usuarios controlada por cuentas

El método de Inscripción de usuarios controlada por cuentas se basa en los Apple IDs gestionados para la identificación y autenticación del usuario. Esto es lo que lo diferencia de la variante antigua basada en perfiles — el usuario inicia sesión activamente con su Apple ID gestionado organizativo para iniciar y completar la inscripción, sin necesidad de abrir un enlace ni instalar un perfil manualmente.

Este enfoque también habilita dos funciones importantes:

  • Licencias de apps y medios: Las apps deben gestionarse a través de Apple Business y VPP para que se provean las licencias necesarias.

  • Acceso a iCloud: Apple proporciona servicios iCloud corporativos, como almacenamiento compartido para una organización. El Apple ID gestionado actúa como credencial para acceder a estos recursos.

Recomendamos encarecidamente leer la documentación relacionada con los Apple IDs gestionados para entender completamente las ventajas y funciones.

¿Cómo se gestiona la separación de datos?

Como parte del proceso de Inscripción de usuarios controlada por cuentas, se crea un nuevo volumen APFS separado en el dispositivo. Este nuevo volumen funciona como un disco duro virtual con su propio cifrado y está aislado de los demás volúmenes de datos del dispositivo. Este volumen almacena todos los datos gestionados relacionados con la inscripción. Cuando el dispositivo se da de baja, el volumen se borra, eliminando todas las apps y datos gestionados y devolviendo el dispositivo a su estado original antes de la inscripción.

Key Takeaways

  • La Inscripción de usuarios está diseñada para escenarios BYOD.
  • Aísla los datos laborales y personales para una mayor privacidad.
  • Los Apple IDs gestionados son imprescindibles para la Inscripción de usuarios.
  • Las capacidades MDM son más limitadas que con la inscripción tradicional.
  • La separación de datos se logra mediante un volumen APFS independiente.

La Inscripción de usuarios controlada por cuentas es el método recomendado por Apple para escenarios BYOD. Requiere que los usuarios se autentiquen con un Apple ID gestionado para inscribir su dispositivo.

Equilibra seguridad y privacidad en escenarios BYOD aislando los espacios laboral y personal en el dispositivo, y limitando el acceso MDM al lado corporativo.

Los MDM no pueden obtener el número de serie, UDID, IMEI ni la dirección Mac. En su lugar, se proporciona un identificador anonimizado.

Los MDM solo pueden ver información sobre las apps gestionadas y no pueden configurar las no gestionadas. Las apps instaladas por el usuario permanecen privadas.

Solo hay un conjunto limitado de perfiles disponibles: Wi-Fi, VPN por app y perfiles de cuenta (correo, calendario, contactos).

Los administradores no pueden establecer ni borrar contraseñas, borrar el dispositivo ni realizar otras configuraciones a nivel de dispositivo.

Los Apple IDs gestionados se usan para la autenticación del usuario, las licencias de apps y medios a través de Apple Business, y el acceso a los servicios iCloud corporativos.

Se crea un volumen APFS separado y cifrado para los datos gestionados. Al dar de baja el dispositivo, ese volumen se borra y se eliminan todos los datos gestionados.

Los métodos de inscripción y supervisión existentes son muy potentes. Los administradores pueden borrar, bloquear y restringir ampliamente el acceso en un dispositivo inscrito por DEP y supervisado. En macOS, los administradores pueden ejecutar cualquier tipo de comandos a nivel de root o scripts,…

Read full answer

Información del dispositivo:

Read full answer

Last updated: March 25, 2026