Konfigurace zařízení pro práci se službou APNs
Služby správy mobilních zařízení (MDM) nepřetržitě komunikují se zařízeními Apple ve veřejných i soukromých sítích prostřednictvím služby APNs (Apple Push Notification service). Jejím prostřednictvím mohou zařízení Apple získávat informace o aktualizacích, pravidlech MDM a příchozích zprávách. Vyžadují přitom použití několika certifikátů, mezi něž patří certifikát APNs pro komunikaci se zařízeními, certifikát SSL pro zabezpečení komunikace a certifikát pro podepisování konfiguračních profilů.
Aby mohla zařízení Apple službu APNs využívat, je nutné přímo nebo prostřednictvím síťového proxy serveru povolit síťový provoz mezi zařízením a sítí Apple (17.0.0.0/8). Zařízení Apple musí mít možnost připojení ke specifickým portům konkrétních hostitelů:
TCP port 443 při aktivaci zařízení a jako záložní port v případě, že zařízení nemá přístup ke službě APNs na portu 5223.
TCP port 5223 pro komunikaci se službou APNs.
Přes TCP port 443 nebo 2197 se z MDM posílají oznámení službě APNs
Dále je možné, že budete muset v konfiguraci webové proxy služby nebo portů firewallu povolit veškerý síťový provoz mezi zařízeními Apple a sítí Apple. V systémech iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 a novějších může služba APNs využívat webový proxy server, pokud je uvedený v souboru pro automatickou konfiguraci proxy (PAC).
Poznámka: Zařízení Apple Vision Pro může přijímat push oznámení, jen když je nasazené a odemknuté.
V koncových bodech a na serverech je u služby APNs uplatňováno několik vrstev zabezpečení. Dojde‑li k pokusu o kontrolu nebo přesměrování datového provozu, klient, služba APNs a servery poskytovatele služby push označí síťovou konverzaci jako narušenou a neplatnou. Služba APNs nepřenáší žádné důvěrné ani interní informace.
Tip: Při vytváření APNs certifikátů určených pro službu MDM si poznamenejte spravovaný účet Apple (doporučeno) nebo účet Apple, které jste použili. Budete ho potřebovat při prodlužování platnosti certifikátů, které je nutné provést jednou za rok. Buďte také připraveni aktualizovat všechny certifikáty, které vaše služba MDM využívá, s dostatečným předstihem před vypršením platnosti. Další podrobnosti najdete na webu Apple Push Certificates Portal.
Vylepšené zabezpečení nastavení push oznámení pro klienty služby MDM
Vývojáři služeb MDM můžou v současné době k zajištění jednoduchého postupu vytváření certifikátů push pro své zákazníky využívat službu APNs (Apple Push Notification service). Jeho součástí je vytvoření žádosti o podepsání certifikátu (CSR) pro každého zákazníka a její podepsání. Za účelem obdržení certifikátu z portálu Apple Push Certificates může pak každý zákazník použít poskytnutou žádost o podepsání certifikátu (CSR).
Portál Apple Push Certificates bude letos vyžadovat, aby žádosti o podepsání certifikátu (CSR) byly pro vyšší zabezpečení podepsány prostřednictvím algoritmu SHA2. Pro žádosti o podepsání certifikátu (CSR) podepsané prostřednictvím algoritmu SHA1 nebudou certifikáty poskytovány. Další informace o doporučených postupech najdete v části Setting Up Push Notifications (Nastavení push oznámení) na webových stránkách Apple developer.