Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a macOS
En este artículo se describe cómo crear una directiva de inscripción para la inscripción de dispositivos automatizados (ADE) de macOS en Microsoft Intune. Para obtener información general sobre ADE y la configuración de requisitos previos, consulte Información general sobre la inscripción automatizada de dispositivos de Apple para macOS.
Nota:
Los pasos de este artículo son los mismos tanto si usa Apple Business como Apple School Manager. Para mayor brevedad, nos referimos a Apple Business solo a lo largo de los pasos de este artículo, excepto cuando sea necesario aclarar.
Requisitos previos
Antes de crear la directiva de inscripción, debe tener:
- Acceso al portal de Apple Business o al portal de Apple School Manager.
- Un token de Apple activo (archivo .p7m). Para ver los pasos, consulte Configuración de un token de ADE de macOS.
- Un certificado de inserción MDM de Apple en Intune.
- Dispositivos nuevos o borrados comprados a través de Apple Business o Apple School Manager.
Sugerencia
La inscripción automatizada de dispositivos aplica configuraciones de dispositivo que un usuario de dispositivo no puede quitar. Borre todos los dispositivos antes de la inscripción para devolverlos a un estado integrado.
Implementación de la aplicación Portal de empresa
Al inscribir dispositivos macOS con ADE con afinidad de usuario y asistente de instalación con autenticación moderna, los usuarios deben iniciar sesión en la aplicación Portal de empresa con sus credenciales de Microsoft Entra para completar el registro de dispositivos en Microsoft Entra ID. Para agregar la aplicación Portal de empresa a dispositivos macOS, consulte Adición de la Portal de empresa para la aplicación macOS.
Creación de una directiva de inscripción
Cree una directiva de inscripción de dispositivos automatizada en el centro de administración. La directiva define la experiencia de inscripción para los dispositivos Mac de su organización y aplica directivas de inscripción y configuración en los dispositivos de inscripción. La directiva se implementa en dispositivos asignados por vía inalámbrica.
Al final de este procedimiento, puede asignar esta directiva a Microsoft Entra grupos de dispositivos.
En el centro de administración, vaya a Inscripción de dispositivos>.
Seleccione la pestaña Apple .
En Métodos de inscripción masiva, seleccione Tokens del programa de inscripción.
Seleccione un token de programa de inscripción.
Seleccione Directivas> de inscripciónCrear directiva>macOS.
Importante
Debe asignar una directiva de inscripción a los dispositivos antes de que los dispositivos se activen. Se recomienda establecer una directiva de inscripción predeterminada lo antes posible para que, a medida que los dispositivos se sincronicen desde Apple Business o Apple School Manager y, a continuación, se activen, se puedan inscribir correctamente a través de la inscripción automatizada de dispositivos. Si un dispositivo sincronizado desde Apple no tiene asignada una directiva de inscripción y alguien la activa para configurarla, se produce un error en la inscripción.
En Aspectos básicos, escriba un nombre y una descripción para la directiva para poder distinguirla de otras directivas de inscripción. Estos detalles no son visibles para los usuarios del dispositivo.
Sugerencia
Puede usar el campo de nombre para crear un grupo dinámico en Microsoft Entra ID y asignar dispositivos a la directiva de inscripción automáticamente. Use el nombre de la directiva para definir el parámetro enrollmentProfileName . Para obtener más información, consulte Microsoft Entra grupos dinámicos.
Seleccione Siguiente.
En la página Configuración de administración , configure Afinidad de usuario. La afinidad de usuario determina si los dispositivos se inscriben con o sin un usuario asignado. Las opciones son:
Inscribir sin afinidad de usuario: inscriba dispositivos que no estén asociados a un solo usuario. Elija esta opción para dispositivos compartidos y dispositivos que no necesiten acceder a los datos de usuario local. La aplicación Portal de empresa no funciona en estos tipos de dispositivos. La inscripción sin afinidad de usuario también se conoce como inscripción sin usuario.
Inscribir con afinidad de usuario: inscriba dispositivos asociados a un usuario asignado. Elija esta opción para los dispositivos de trabajo que pertenecen a los usuarios y si desea requerir que los usuarios tengan la aplicación Portal de empresa para instalar aplicaciones. La autenticación multifactor (MFA) está disponible con esta opción. La inscripción con afinidad de usuario también se conoce como inscripción con un usuario.
La opción 2 requiere más configuraciones. Los usuarios deben autenticarse antes de la inscripción para confirmar su identidad. Seleccione uno de los métodos de autenticación siguientes:
Asistente para la instalación con autenticación moderna (recomendado): este método requiere que los usuarios completen todas las pantallas del Asistente para la instalación e inicien sesión en la aplicación Portal de empresa con sus credenciales de Microsoft Entra para poder acceder a los recursos. Después de iniciar sesión en Portal de empresa, el dispositivo:
- Se registra con Microsoft Entra ID.
- Se agrega al registro de dispositivo del usuario en Microsoft Entra ID.
- Se puede evaluar el cumplimiento del dispositivo.
- Obtiene acceso a los recursos protegidos por el acceso condicional.
Si el usuario no inicia sesión en el Portal de empresa para completar el registro, se le redirigirá a la aplicación Portal de empresa cada vez que intente abrir una aplicación administrada con protección de acceso condicional.
Los dispositivos que ejecutan macOS 10.15 y versiones posteriores pueden usar este método. Los dispositivos macOS anteriores vuelven a usar el método heredado del Asistente para la instalación. Para obtener más información sobre cómo obtener la aplicación de Portal de empresa a los usuarios de Mac, consulte Agregar la Portal de empresa para la aplicación macOS.
Importante
Se recomienda usar el Asistente para la instalación con autenticación moderna para los dispositivos Apple para escenarios de ADE (inscripción automatizada de dispositivos) con afinidad de dispositivo de usuario. Aunque el uso de la autenticación heredada sigue estando disponible, no se recomienda su uso.
- Asistente de configuración (heredado) (ya no se recomienda): use el Asistente de configuración heredado si desea que los usuarios experimenten la experiencia rápida típica de los productos de Apple. Este método instala la configuración preconfigurada estándar cuando el dispositivo se inscribe con Intune administración. Si usa Servicios de federación de Active Directory (AD FS) y el Asistente de configuración para realizar la autenticación, se requiere un punto de conexión mixto de tipo WS-Trust 1.3. Para obtener más información sobre cómo recuperar el punto de conexión de ADFS, vea Get-ADfsEndpoint.
Await final configuration habilita una experiencia bloqueada al final del Asistente para la instalación para asegurarse de que las directivas de configuración de dispositivos más críticas están instaladas en el dispositivo. Esta configuración se aplica una vez durante la experiencia de inscripción de dispositivos automatizada de Apple integrada en el Asistente para la instalación. El usuario del dispositivo no vuelve a experimentarlo a menos que vuelva a inscribir su Equipo Mac.
Las opciones son:
Sí: Justo antes de que se cargue la pantalla principal, el Asistente para la instalación se pausa y permite Intune proteger con el dispositivo. La experiencia del usuario final se bloquea mientras los usuarios esperan configuraciones finales. Esta opción es la configuración predeterminada para las nuevas directivas de inscripción.
No: el dispositivo se libera en la pantalla principal cuando finaliza el Asistente para la instalación, independientemente del estado de instalación de la directiva. Es posible que los usuarios del dispositivo puedan acceder a la pantalla principal o cambiar la configuración del dispositivo antes de instalar todas las directivas. Esta opción es la configuración predeterminada para las directivas de inscripción existentes.
La cantidad de tiempo que los usuarios se mantienen en la pantalla awaiting final configuration varía y depende del número total de directivas y aplicaciones que asigne al dispositivo. Los usuarios pueden ver las directivas de configuración de dispositivos que se descargan en el Asistente para la instalación mientras esperan. Cuantos más directivas y aplicaciones se asignen, mayor será el tiempo de espera. El Asistente de configuración y Intune no aplican un límite de tiempo mínimo o máximo durante esta parte de la instalación. Durante la validación del producto, la mayoría de los dispositivos que probamos se lanzaron y pudieron acceder a la pantalla principal en 15 minutos. Si habilita esta característica y trabaja con un asociado de Microsoft o un servicio que no sea de Microsoft para ayudarle a aprovisionar dispositivos, háblales sobre la posibilidad de aumentar el tiempo de aprovisionamiento.
La experiencia bloqueada se admite en macs que ejecutan macOS 10.11 o posterior. Funciona en equipos Mac destinados a directivas de inscripción nuevas o existentes configuradas para estos escenarios:
- Inscripción a través del Asistente para la instalación con autenticación moderna
- Inscripción con el Asistente para la instalación (heredado)
- Inscripción sin afinidad de dispositivo de usuario
Puede aplicar la inscripción bloqueada para evitar que los usuarios desenrollen sus dispositivos Intune. Seleccione Sí para deshabilitar la configuración de Mac en Preferencias del sistema y Terminal que permiten a los usuarios quitar la directiva de administración. Una vez que el dispositivo se inscribe, no puede cambiar esta configuración sin borrar el dispositivo.
Seleccione Siguiente.
Opcionalmente, en la página Configuración de la cuenta , puede configurar las cuentas de administrador local y de usuario en equipos Mac de destino.
Cuando un dispositivo macOS compatible se inscribe con Intune a través de una directiva de inscripción de dispositivos automatizada (ADE) que configura el administrador local, el dispositivo está habilitado para la configuración de la cuenta local de macOS con la solución de contraseña de administrador local (LAPS) de Microsoft. Con esta funcionalidad, los dispositivos recién inscritos reciben una cuenta de administrador local única que tiene una contraseña de administrador segura, cifrada y aleatoria (15 caracteres alfanuméricos), que también se almacena y cifra mediante Intune. Después de la inscripción, Intune rota automáticamente una contraseña de administrador administrada por LAPS cada seis meses de forma predeterminada y admite la rotación manual de la contraseña de administrador por Intune administradores con permisos suficientes.
Para obtener información sobre cómo configurar y administrar esta funcionalidad, configure la cuenta de macOS con LAPS.
La siguiente configuración de la cuenta de usuario local se admite en dispositivos que ejecutan macOS 12 o posterior. Tenga en cuenta al configurar la cuenta principal que esta cuenta va a ser una cuenta de administrador . Tener al menos una cuenta de administrador es un requisito de configuración de Mac. Si también va a configurar la contraseña de administrador local mediante esta directiva, consulte la cuenta de administrador local en el artículo Configuración de la cuenta macOS con LAPS y, a continuación, vuelva aquí.
Las opciones son:
Crear una cuenta de usuario local: seleccione Sí para configurar la configuración de la cuenta de usuario local para macs de destino. Seleccione No configurado para omitir todas las configuraciones de configuración de cuenta.
Información de la cuenta de prerellenar: la configuración predeterminada, No configurada, requiere que el usuario del dispositivo escriba el nombre de usuario y el nombre completo de su cuenta en el Asistente para la instalación. Para rellenar previamente la información de la cuenta para ellos en su lugar, seleccione Sí. A continuación, escriba el nombre de la cuenta principal y el nombre completo:
Nombre de usuario de la cuenta de usuario local:
- {{serialNumber}} : por ejemplo, F4KN99ZUG5V2
- {{partialupn}} : por ejemplo, John
- {{managedDeviceName}} : por ejemplo, F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{OnPremisesSamAccountName}} : por ejemplo, contoso\John
Nombre completo de la cuenta de usuario local::
- {{username}} : por ejemplo, John@contoso.com
- {{serialNumber}} : por ejemplo, F4KN99ZUG5V2
- {{OnPremisesSamAccountName}} : por ejemplo, contoso\John
Restringir la edición: la configuración predeterminada se establece en Sí para que los usuarios del dispositivo no puedan editar el nombre de cuenta y el nombre completo configurados para ellos. Para permitir que los usuarios del dispositivo editen el nombre de la cuenta y el nombre completo, seleccione No configurado. Si solo usa el Asistente para la instalación (heredado) para inscribir dispositivos que ejecutan macOS 10.15 y versiones posteriores, puede esperar la siguiente experiencia de usuario final:
- Sí: La pantalla de creación de cuentas en el Asistente para la instalación nunca aparece. En su lugar, la cuenta de usuario local se crea automáticamente en función de las demás configuraciones de configuración y la contraseña se rellena automáticamente desde la pantalla de autenticación de Microsoft Entra. El usuario del dispositivo no puede editar estos campos.
- No configurado: la pantalla de la cuenta de usuario local se muestra al usuario final en el Asistente para la instalación y se rellena con los valores de cuenta configurados y la contraseña de la pantalla de autenticación de Microsoft Entra. El usuario del dispositivo puede editar estos campos durante el Asistente para la instalación.
Para que la configuración de la cuenta funcione según lo previsto, la directiva de inscripción debe tener las siguientes configuraciones:
- Afinidad de usuario: seleccione Inscribir con afinidad de usuario.
- Método de autenticación: seleccione Asistente para la instalación con autenticación moderna o Asistente para la instalación (heredado).
- Await final configuration (Esperar configuración final): seleccione Sí.
Las cuentas locales dependen de la característica de configuración final await cuando se crean. Como resultado, si configura cualquier configuración de administrador local o cuenta de usuario, esta configuración siempre está habilitada. Incluso si no toca la configuración final await, siempre se habilita en segundo plano y se aplica a la directiva de inscripción.
Seleccione Siguiente.
En la página Asistente para la instalación , configure la experiencia del Asistente para la instalación.
- Escriba la información del departamento para que los usuarios sepan con quién ponerse en contacto para obtener soporte técnico:
- Nombre del departamento: este nombre aparece cuando los usuarios del dispositivo seleccionan Acerca de la configuración durante la activación.
- Teléfono del departamento: este número de teléfono aparece cuando los usuarios del dispositivo seleccionan Necesita ayuda durante la activación.
- Seleccione las pantallas del Asistente para la instalación que desea mostrar u ocultar durante la instalación del dispositivo. Para obtener una descripción de todas las pantallas, consulte La referencia de pantalla del Asistente para la instalación (en este artículo). Las opciones son:
- Ocultar: la pantalla no aparece a los usuarios durante la configuración del dispositivo. Después de la configuración del dispositivo, el usuario puede ir a su configuración de dispositivo para configurar la característica.
- Mostrar: la pantalla aparece a los usuarios durante la instalación del dispositivo. El usuario puede omitir las pantallas que no requieren una acción inmediata. Después de la configuración del dispositivo, el usuario puede ir a su configuración de dispositivo para configurar la característica.
- Escriba la información del departamento para que los usuarios sepan con quién ponerse en contacto para obtener soporte técnico:
Seleccione Siguiente.
Revise el resumen de los cambios y, a continuación, seleccione Crear para finalizar la creación de la directiva.
Referencia de pantalla del Asistente para la instalación
En la tabla siguiente se describen las pantallas del Asistente para la instalación que se muestran durante la inscripción automatizada de dispositivos para Mac. Puede mostrar u ocultar estas pantallas en los dispositivos compatibles durante la inscripción. Para obtener más información sobre cómo afecta cada pantalla del Asistente de configuración a la experiencia del usuario, consulte estos recursos de Apple:
- Guía de implementación de la plataforma Apple: Administración del Asistente para la instalación de dispositivos Apple
- Documentación para desarrolladores de Apple: ShipKeys
| Pantalla del Asistente de configuración | Qué ocurre cuando está visible |
|---|---|
| Servicios de ubicación | Muestra el panel de configuración de los servicios de ubicación, donde los usuarios pueden habilitar los servicios de ubicación en su dispositivo. Para macOS 10.11 y versiones posteriores. |
| Restaurar | Muestra el panel de configuración de datos y aplicaciones. En esta pantalla, los usuarios que configuran dispositivos pueden restaurar o transferir datos desde iCloud Backup. Para macOS 10.9-15.3. Para macOS 15.4 y versiones posteriores, esta pantalla no se puede ocultar y el usuario recibe una alerta después de la inscripción de que no puede transferir datos desde otro dispositivo porque MDM controla la configuración. |
| ID de Apple | Muestra el panel de configuración de Id. de Apple, que ofrece a los usuarios la opción de iniciar sesión con su id. de Apple y usar iCloud. Para macOS 10.9 y posterior. |
| Términos y condiciones | Muestra el panel Términos y condiciones de Apple y requiere que los usuarios los acepten. Para macOS 10.9 y posterior. |
| Touch ID y Face ID | Muestra el panel de configuración biométrica, que ofrece a los usuarios la opción de configurar la huella digital o la identificación facial en sus dispositivos. Para macOS 10.12.4 y posterior. |
| Apple Pay | Muestra el panel de configuración de Apple Pay, que ofrece a los usuarios la opción de configurar Apple Pay en sus dispositivos. Para macOS 10.12.4 y posterior. |
| Siri | Muestra el panel de configuración de Siri a los usuarios. Para macOS 10.12 y versiones posteriores. |
| Datos de diagnóstico | Muestra el panel de diagnóstico donde los usuarios pueden participar para enviar datos de diagnóstico a Apple. Para macOS 10.9 y posterior. |
| Display Tone | Muestra el panel de configuración del tono de visualización. Esta pantalla ofrece a los usuarios la opción de activar la pantalla de tono verdadero. Para macOS 10.13.6 y versiones posteriores. |
| FileVault | Muestra la pantalla de cifrado de FileVault 2 a los usuarios. Para macOS 10.10 y posterior. |
| Diagnósticos de iCloud | Muestra la pantalla análisis de iCloud a los usuarios. Para macOS 10.12.4 y posterior. |
| Registro | Muestra la pantalla de registro a los usuarios. Para macOS 10.9 y posterior. |
| Almacenamiento en iCloud | Muestra la pantalla Documentos y escritorio de iCloud al usuario. Para macOS 10.13.4 y posterior. |
| Apariencia | Muestra el panel de apariencia donde los usuarios pueden seleccionar un modo de apariencia. Para macOS 10.14 y versiones posteriores. |
| Tiempo de pantalla | Muestra el panel de configuración de tiempo de pantalla de macOS, una característica que los usuarios pueden habilitar para obtener información sobre el tiempo de pantalla y la actividad de aplicaciones y sitios web. Para macOS 10.15 y versiones posteriores. |
| Privacidad | Muestra el panel de configuración de privacidad al usuario. Para macOS 10.13.4 y posterior. |
| Accesibilidad | Muestra la pantalla de configuración de accesibilidad al usuario. Si esta pantalla está oculta, el usuario no puede usar la característica macOS Voice Over. Voice Over solo se admite en dispositivos que hacen lo siguiente: - Ejecutan macOS 11. - Están conectados a Internet mediante Ethernet. - Tener un número de serie en Apple School Manager o Apple Business. |
| Desbloqueo automático con Apple Watch | Muestra el panel Desbloquear macOS con Apple Watch, donde los usuarios pueden configurar su Apple Watch para desbloquear su Mac. Para macOS 12.0 y posterior. |
| Términos de dirección | Muestra los términos del panel de direcciones, que ofrece a los usuarios la opción de elegir cómo quieren abordarse en todo el sistema: femenino, masculino o neutro. Esta característica de Apple está disponible para algunos idiomas. Para obtener más información, consulte Cambiar la configuración del idioma & región en Mac (abre el sitio web de Apple). Para macOS 13.0 y versiones posteriores. |
| Fondo de pantalla | Muestra el panel de configuración del fondo de pantalla de macOS Sonoma después de que los dispositivos completen una actualización de software. Si oculta esta pantalla, los dispositivos obtienen el fondo de pantalla predeterminado de macOS Sonoma. Para macOS 14.1 y versiones posteriores. |
| Modo de bloqueo | Muestra el panel de configuración del modo de bloqueo a los usuarios que configuraron un id. de Apple. Para macOS 14.0 y versiones posteriores. |
| Intelligence | Muestra el panel de configuración de Apple Intelligence, donde los usuarios pueden configurar las características de Apple Intelligence. Para macOS 15.0 y versiones posteriores. |
| App Store | Muestra el panel apple App Store. Para macOS 11.1 y versiones posteriores. |
| Actualización de software | Muestra la pantalla de actualización de software obligatoria. Para macOS 15.4 y versiones posteriores. |
| Configuración de privacidad adicional | Muestra el panel de configuración de privacidad adicional. Para macOS 26.0 y versiones posteriores. |
| Presentación del sistema operativo | Muestra el panel de presentación del sistema operativo. Para macOS 26.1 y versiones posteriores. |
| Actualización completada | Muestra el panel de actualización de software completo. Para macOS 26.1 y versiones posteriores. |
| Introducción | Muestra el panel de introducción. Para macOS 15.0 y versiones posteriores. |
Asignación de una directiva de inscripción a dispositivos
Asigne una directiva de inscripción a dispositivos Apple.
- Vuelva a tokens del programa de inscripción y seleccione un token.
- Seleccione Dispositivos.
- Elija los dispositivos de la lista y, a continuación, seleccione Asignar directiva.
- Elija una directiva que se va a asignar y, a continuación, seleccione Asignar.
Opcionalmente, puede seleccionar una directiva de inscripción predeterminada. La directiva predeterminada se implementa en todos los dispositivos de inscripción asociados al token.
- Vuelva a tokens del programa de inscripción y seleccione un token.
- Seleccione Establecer directiva predeterminada.
- Elija una directiva y, a continuación, seleccione Guardar.
Pasos siguientes
- Para sincronizar dispositivos, distribuir dispositivos a los usuarios y administrar tokens, consulte Administración de tokens y dispositivos ADE de macOS.
- Para renovar o eliminar el token del programa de inscripción, consulte Configuración de un token de ADE de macOS.
- Use Acciones de dispositivo remoto en Microsoft Intune para administrar de forma remota equipos Mac inscritos.