¶ Aprovisionamiento de Dispositivos vía Zero-touch
| Aplicación o capa: | Versión | Última fecha de actualización |
|---|---|---|
| Documento | V1.0.0 | 15/04/2025 |
| Idioma | es_ES | - |
Este documento describe el proceso de aprovisionamiento de dispositivos Android usando el Zero-touch Enrollment (ZT) de Google. Detalla el papel de cada actor involucrado, los pasos necesarios y cómo la integración con un EMM (solución de gestión de dispositivos) garantiza una configuración automática y segura. El objetivo es que los dispositivos se entreguen al usuario final ya configurados, sin necesidad de intervención manual.
¶ Actores Involucrados
- 1.1 Distribuidor: Empresa autorizada por Google para vender dispositivos con soporte Zero-touch. Es quien registra los dispositivos en el portal ZT en nombre de la empresa compradora.
- 1.2 Empresa: Organización que adquiere los dispositivos y define las configuraciones que deben aplicarse automáticamente.
- 1.3 EMM (Enterprise Mobility Management): Plataforma de gestión de dispositivos utilizada por la empresa para aplicar configuraciones, políticas y controlar los dispositivos.
- 1.4 Zero-touch (ZT): Plataforma de Google que permite configurar automáticamente dispositivos Android incluso antes de que se enciendan por primera vez.
¶ Etapas del Aprovisionamiento
¶ 1.5 Adquisición de un Dispositivo
La empresa compra un dispositivo Android compatible con Zero-touch a través de un distribuidor autorizado.
¶ 1.6 Registro de la Empresa en ZT
Si la empresa aún no está registrada en el portal Zero-touch, el distribuidor será responsable de crear esta cuenta, asociándola al dominio de la organización.
¶ 1.7 Registro de los Dispositivos en ZT
Después de la compra, el distribuidor registra los dispositivos en el portal ZT de la empresa. La identificación se realiza mediante IMEI o número de serie.
¶ Configuración y Asociación del Perfil
¶ 1.8 EMM Proporciona el Perfil de Configuración
El EMM proporciona una URL de inscripción (extras DPC) y parámetros necesarios para la creación de un perfil de aprovisionamiento en el portal ZT. Esta URL apunta al agente de gestión (DPC) que se utilizará.
¶ 1.9 Asociación del Perfil al Dispositivo
La empresa accede al portal ZT y asocia el perfil proporcionado por el EMM a los dispositivos registrados.
¶ Aplicación Inicial y Verificación
¶ 1.10 Aplicación Automática del Perfil
Cuando el dispositivo se enciende y se conecta a internet por primera vez, Zero-touch verifica su IMEI/SN y aplica el perfil configurado, que redirige automáticamente al flujo de inscripción en el EMM.
¶ 1.11 ¿El Dispositivo Está en el Camino Común?
El sistema verifica si el dispositivo puede seguir directamente al flujo de inscripción del EMM. Si es así, sigue el flujo normal. Si no (por ejemplo, si el dispositivo ya ha sido usado), será necesario reiniciarlo.
¶ 1.12 ZT Fuerza el Reinicio del Dispositivo
Si el dispositivo no está en estado de fábrica (out-of-box), ZT fuerza el reinicio para garantizar que la inscripción se realice correctamente.
¶ Inscripción en el EMM y Aplicación de Políticas
¶ 1.13 Inicio del Flujo de Aprovisionamiento del EMM
Después del reinicio o la confirmación de que está limpio, ZT dirige automáticamente el dispositivo a la aplicación del EMM, iniciando la inscripción.
¶ 1.14 Aplicación de las Políticas por el EMM
Durante la inscripción, el EMM aplica todas las políticas definidas, como:
- Restricciones de uso
- Aplicaciones obligatorias
- Wi-Fi, VPN, correo electrónico, etc.
¶ 1.15 Gestión Disponibilizada
El dispositivo aparece en el panel del EMM y pasa a ser monitoreado, con informes de estado, ubicación, uso e integridad.
¶ Integración y Consolidación de la Gestión
¶ 1.16 Integración ZT + EMM
Si el EMM admite integración con Zero-touch, podrá consultar y modificar directamente los perfiles ZT a través de la API, eliminando la necesidad de acceso manual al portal.
¶ 1.17 EMM Asume el Control de la Configuración ZT
Con la integración activa, el EMM mostrará las configuraciones ZT y permitirá modificaciones (como la reasignación de perfiles a nuevos dispositivos).
¶ 1.18 Gestión Unificada vía EMM
La empresa puede gestionar completamente el aprovisionamiento de los dispositivos a través del EMM, sin necesidad de acceder al portal ZT de nuevo.
¶ ✅ Resultado Final
Este flujo garantiza que los dispositivos Android corporativos se entreguen al usuario final:
- Totalmente configurados
- Seguros y controlados
- Sin necesidad de configuración manual
¶ 🔎 Fuente Complementaria
Basado en la documentación oficial de Google:
¶ Topología Zero-touch - Explicación de los Componentes
Este documento presenta una explicación detallada de todos los elementos numerados de la topología del ecosistema Zero-touch Enrollment (ZT) según se representa en el diagrama de flujo. El objetivo es aclarar el papel de cada actor y cómo se relacionan en el proceso de aprovisionamiento automatizado de dispositivos Android.
¶ 🟨 2.1 - Zero-touch (Plataforma)
La plataforma Zero-touch de Google es el centro de operaciones del ecosistema de aprovisionamiento automático de dispositivos Android. Conecta fabricantes, distribuidores y clientes finales en un flujo continuo de registro, configuración y entrega de dispositivos ya preparados para su uso.
Funcionalidades centrales de la plataforma:
- Registro de dispositivos (vía IMEI/SN)
- Creación de perfiles de configuración
- Asignación automática de perfiles a los dispositivos
- Integración con soluciones EMM/MDM (como Nomid)
¶ ⚙️ 2.2 - Marca / Modelos
Los fabricantes (OEM) registran sus modelos homologados en la plataforma Zero-touch, indicando:
- La marca y el modelo del dispositivo
- El tipo de conectividad (celular, Wi-Fi)
- Identificadores únicos como IMEI y SN (Número de Serie)
Solo los dispositivos registrados aquí pueden participar en el ecosistema de aprovisionamiento vía ZT.
¶ 🛒 2.3 - Resellers (Distribuidores)
Los distribuidores son socios autorizados que:
- Compran dispositivos a los fabricantes
- Se registran en la plataforma ZT
- Añaden clientes (empresas) al portal
- Añaden los dispositivos adquiridos (asociando IMEI/SN a un cliente)
Sin el registro por un distribuidor, la empresa cliente no puede usar ZT.
¶ 🧑💼 2.4 - Customers (Empresas Clientes)
Las empresas clientes son organizaciones que han recibido dispositivos del distribuidor. Dentro del portal ZT, pueden:
- Crear, editar y eliminar perfiles de configuración
- Asignar y eliminar dispositivos de perfiles
- Delegar permisos a sistemas integrados (EMM)
Son ellas las que definen cómo deben configurarse los dispositivos al encenderse por primera vez.
¶ 🏭 2.5 - Fabricante del dispositivo
El fabricante es quien produce los dispositivos Android y registra sus modelos compatibles con Zero-touch. Para ello, registra:
- Modelos específicos (ej: Galaxy A23, Moto G53)
- Tipos de red compatibles
- Identificadores como IMEI/SN
Solo los modelos aprobados aquí pueden venderse como "habilitados para ZT".
¶ 🧾 2.6 - Revendedor
Los revendedores actúan como intermediarios entre los fabricantes y las empresas clientes:
- Compran modelos habilitados de los fabricantes
- Se registran como revendedores en el portal ZT
- Registran dispositivos para los clientes
- Asignan cada IMEI/SN a una cuenta empresarial
Son responsables de asociar los dispositivos a las cuentas de las empresas que los compraron.
¶ 🏢 2.7 - Empresa Cliente
La empresa cliente es la propietaria final de los dispositivos. Después de recibir los aparatos:
- Accede al portal ZT para crear y aplicar perfiles de configuración
- Visualiza y gestiona los dispositivos registrados
- Garantiza que, al encender el dispositivo, se configure automáticamente
A partir de aquí, la empresa puede optar por gestionar los dispositivos directamente o integrarlos con un MDM.
¶ 🔗 2.8 - Nomid/MDM (Integración)
La empresa cliente puede habilitar la integración con una solución MDM, como Nomid MDM. Esto permite:
- Gestionar perfiles ZT directamente desde la plataforma de gestión
- Automatizar las asignaciones de perfil
- Iniciar el aprovisionamiento sin acceder al portal ZT
La integración sigue el estándar de autenticación OAuth2 de Google y garantiza la sincronización de perfiles/dispositivos.
¶ 🔒 2.9 - Permisos de la Integración
Cuando el MDM (como Nomid) está integrado:
- Asume los mismos permisos administrativos de la empresa cliente en el portal ZT
- Puede realizar acciones como asignar perfiles y consultar dispositivos
- Todas las acciones son auditorias por Google, manteniendo la trazabilidad y el cumplimiento
¶ ✅ Conclusión
El flujo Zero-touch depende de la colaboración entre fabricantes, revendedores y empresas clientes, con la plataforma Google ZT en el centro de todo. Con la integración con MDMs como Nomid, todo el proceso puede ser automatizado, seguro y escalable, reduciendo errores y trabajo manual.