Aprovisionamiento de cuentas locales durante la Inscripción Automatizada de Dispositivos

Documentación de Jamf Pro 11.22.0

Solution

Application

Content Type

Documentación técnica

Utilities & Services

version

11.22.0

ft:locale

es-ES

vrm_version

11.22.0

Puede crear una cuenta de administrador local gestionada, también conocida como «administrador gestionado», y configurar la información de la cuenta local para el usuario principal durante Inscripción Automatizada de Dispositivos.

En ordenadores con macOS 10.15 o posterior, también puede configurar lo siguiente:

Prerrellenar el nombre completo y el nombre de cuenta de la cuenta local del usuario principal. Si su entorno incluye un servidor LDAP o de IdP de nube, puede introducir variables de usuario. También puede impedir que el usuario que se inscriba edite esta información durante la inscripción.
Los administradores gestionados pueden recibir un token de seguridad durante el inicio de sesión si un token de inicialización (identificador de arranque) está custodiado en Jamf Pro.
- Si quiere más información, consulte Usar identificadores seguros, de arranque y de propiedad de volúmenes en las implementaciones en Implementación de las plataformas de Apple.
- Si quiere más información sobre cómo crear y custodiar manualmente el token de inicialización en el ordenador y permitir que Jamf Pro almacene el token, consulte el artículo Uso manual de la funcionalidad de token de inicialización de Apple.

Requirements

Para que las variables de usuario se rellenen con el valor del atributo LDAP o de proveedor de identidades de nube (IdP), necesita un servidor LDAP o de IdP de nube configurado en Jamf Pro. Si quiere más información, consulte Integración con un servicio de directorio LDAP y Proveedores de identidades de nube.

En la página Inscripciones con PreStage, haga una de las siguientes acciones:
- Haga clic en Nuevo para crear una inscripción con PreStage nueva.
- Seleccione una inscripción con PreStage existente y haga clic en Editar .
(Optional) En el panel Ajustes de cuenta, haga lo siguiente para crear una cuenta de administrador local (administrador gestionado):
Note:
Jamf recomienda no usar la LAPS de MDM para la rotación de contraseñas si la cuenta necesita usar FileVault o autorizar actualizaciones de software en ordenadores con chip de Apple. Si se rota la contraseña de una cuenta de administrador local gestionada desde una inscripción con PreStage cuya criptografía se ha activado con un token de seguridad, se modificará la contraseña de inicio de sesión. No obstante, la nueva contraseña no funcionará a efectos de la autenticación de usuarios criptográfica.
1. Seleccione la casilla Crear una cuenta de administrador local gestionada antes del Asistente de configuración.
2. Complete los campos Nombre de usuario y Contraseña. A continuación, verifique la contraseña.
  Warning:
  No use el mismo nombre de usuario para la cuenta de administrador local gestionada creada en los ajustes de «inscripción iniciada por usuario y una cuenta de administrador local gestionada creada en una inscripción con PreStage. Si se utiliza el mismo nombre de usuario para ambas, es posible que esas cuentas no se creen correctamente durante la Inscripción Automatizada de Dispositivos y que ocurran errores imprevistos. Además, la contraseña para la solución de contraseña de administrador local (LAPS) no se podrá recuperar en la API de Jamf Pro.
3. Seleccione el Ocultar administrador gestionado en «Usuarios y grupos».
  Esto impide que los usuarios vean la cuenta de administrador gestionada o interactúen con ella en Ajustes del Sistema (macOS 13 o posterior) o en Preferencias del Sistema (macOS 12 o anterior).
4. Seleccione la casilla Activar la cuenta de administrador local para MDM.
  Esto activa la cuenta de administrador gestionado para MDM.
  Warning:
  Activar al administrador gestionado para MDM impide que la cuenta de usuario local subsiguiente se active para MDM. Si la cuenta local principal no está activada para MDM, no se pueden instalar perfiles de configuración de nivel de usuario para el usuario. Si quiere más información, consulte Cuentas de usuarios locales activadas para MDM.
Seleccione una de las siguientes opciones para configurar el tipo de cuenta local del usuario principal:
- Cuenta de administrador —
  Cree el usuario principal como un administrador local.
- Cuenta estándar —
  Cree una cuenta de usuario estándar.
- Omitir creación de cuenta —
  Omita la creación de la cuenta durante la inscripción. Seleccione esta opción cuando:
  Otra solución, como Jamf Connect, se haya configurado para crear cuentas locales de usuario principal durante Inscripción Automatizada de Dispositivos.
  Solo quiera crear el administrador gestionado durante la inscripción.
Seleccione la casilla Prerrellenar información de cuenta primaria y elija una de las siguientes opciones:
- Detalles personalizados —
  Esta opción le permite introducir el nombre completo de cuenta y el nombre de la cuenta para el ordenador. Esta información se aplica a todos los ordenadores inscritos mediante inscripción con PreStage. Si ha integrado LDAP o un IdP de nube con su entorno de Jamf Pro, puede usar variables para rellenar dinámicamente la información del usuario desde LDAP o un IdP. Se admiten las siguientes variables:
  $USERNAME
  $FULLNAME
  $REALNAME
  $EMAIL
  $PHONE
  $POSITION
  $ROOM
  $EXTENSIONATTRIBUTE_#
  Note:
  Si se devuelve un valor en blanco para una variable, el ajuste Bloquear información de cuenta primaria se ignora para permitir que los usuarios introduzcan la información de cuenta de usuario que falte.
  Como variables, solo están disponibles atributos de extensión del usuario. No se admiten atributos de extensión de dispositivos móviles y ordenadores.
- Detalles de propietario de dispositivo —
  Esta opción define el nombre completo de cuenta y el nombre de cuenta en función de los valores de «Nombre de usuario» y «Nombre completo» de la información de inventario del ordenador en el momento de la inscripción. Si se requiere autenticación durante la inscripción, la información del usuario se asocia al dispositivo realizando una consulta desde Jamf Pro a LDAP o su IdP de nube.
  Note:
  Si la inscripción con PreStage incluye una configuración de «Personalización de inscripción» con el panel de PreStage «Autenticación de inicio de sesión único» y no hay disponible una consulta de directorio LDAP o IdP de nube, Jamf Pro solo recibe el nombre de cuenta y no puede obtener el nombre completo durante la creación de la cuenta. La información de nombre de usuario de su IdP se rellena con el atributo NameID definido en la aplicación SAML de su IdP. Consulte a su IdP las opciones para personalizar este valor.
Seleccione la casilla Bloquear información de cuenta primaria para impedir que los usuarios cambien el nombre de cuenta y el nombre completo de cuenta prerrellenados durante el Asistente de Configuración.
Haga clic en Guardar .