Ρύθμιση παραμέτρων συσκευών για να λειτουργούν με την υπηρεσία APN
Οι λύσεις MDM (Διαχείριση φορητών συσκευών) χρησιμοποιούν την υπηρεσία Γνωστοποιήσεων ώθησης της Apple (APN) για διατήρηση της μόνιμης επικοινωνίας με συσκευές Apple τόσο σε δημόσια όσο και ιδιωτικά δίκτυα. Με τη χρήση APN, οι συσκευές Apple ενημερώνονται για ενημερώσεις, πολιτικές MDM και εισερχόμενα μηνύματα. Οι λύσεις MDM απαιτούν πολλά πιστοποιητικά, συμπεριλαμβανομένου ενός πιστοποιητικού APN για επικοινωνία με συσκευές, ενός πιστοποιητικού SSL για ασφαλή επικοινωνία και ενός πιστοποιητικού για υπογραφή προφίλ διαμόρφωσης.
Για να λειτουργούν οι συσκευές Apple σας με την υπηρεσία Γνωστοποιήσεων ώθησης της Apple (APN), πρέπει να επιτρέψετε την κίνηση δικτύου από τις συσκευές στο δίκτυο της Apple (17.0.0.0/8) απευθείας ή μέσω ενός μεσολαβητή δικτύου. Οι συσκευές Apple πρέπει να μπορούν να συνδέονται σε συγκεκριμένες θύρες σε συγκεκριμένους υπολογιστές υπηρεσίας:
Θύρα TCP 443 κατά την ενεργοποίηση συσκευών, και έπειτα για εφεδρεία αν οι συσκευές δεν μπορούν να επικοινωνήσουν με την υπηρεσία APN στη θύρα 5223
Θύρα TCP 5223 για επικοινωνία με την υπηρεσία APN
Θύρα TCP 443 ή 2197 για αποστολή γνωστοποιήσεων από MDM στην υπηρεσία APN
Ενδέχεται επίσης να χρειαστεί να ρυθμίσετε παραμέτρους στον μεσολαβητή Ιστού ή στις θύρες τείχους προστασίας για να επιτρέπεται όλη η κίνηση δικτύου από τις συσκευές Apple στο δίκτυο της Apple. Στα iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 ή μεταγενέστερες εκδόσεις, η υπηρεσία Γνωστοποιήσεων ώθησης της Apple (APN) μπορεί να χρησιμοποιήσει έναν μεσολαβητή Ιστού όταν καθορίζεται σε ένα αρχείο PAC.
Σημείωση: Το Apple Vision Pro μπορεί να λαμβάνει γνωστοποιήσεις ώθησης μόνο όταν η συσκευή έχει φορεθεί και είναι ξεκλείδωτη.
Εφαρμόζονται πολλά επίπεδα ασφάλειας στην υπηρεσία APN στα τελικά σημεία και στους διακομιστές. Αν σημειωθεί απόπειρα επιθεώρησης ή αναδρομολόγησης της κίνησης, οι διακομιστές του πελάτη, της υπηρεσίας APN και του παρόχου ώθησης θα σημάνουν την κυκλοφορία στο δίκτυο ως διακυβευμένη και μη έγκυρη. Δεν μεταδίδονται εμπιστευτικές ή ιδιόκτητες πληροφορίες μέσω της υπηρεσίας Γνωστοποιήσεων ώθησης της Apple (APN).
Συμβουλή: Όταν δημιουργείτε πιστοποιητικά APN για χρήση με MDM, σημειώστε τον Διαχειριζόμενο λογαριασμό Apple (συνιστάται) ή τον λογαριασμό Apple που χρησιμοποιείτε. Θα το χρειαστείτε όταν είναι ώρα να ανανεώσετε τα πιστοποιητικά, κάτι που πρέπει να κάνετε κάθε έτος. Επίσης, να είστε προετοιμασμένοι για την ενημέρωση όλων των πιστοποιητικών που χρησιμοποιούνται από τη λύση MDM σας, πολύ πριν λήξουν. Για περισσότερες πληροφορίες, ανατρέξτε στην Πύλη πιστοποιητικών ώθησης της Apple.
Βελτιώσεις ασφάλειας για διαμόρφωση γνωστοποιήσεων ώθησης για πελάτες MDM
Οι προγραμματιστές MDM μπορούν να χρησιμοποιούν την υπηρεσία Γνωστοποιήσεων ώθησης της Apple (APN) για να δημιουργούν μια διεργασία δημιουργίας πιστοποιητικών ώθησης για τους πελάτες τους. Αυτό περιλαμβάνει τη δημιουργία και την υπογραφή ενός αιτήματος υπογραφής πιστοποιητικού (CSR) για κάθε πελάτη. Στη συνέχεια, κάθε πελάτης μπορεί να χρησιμοποιήσει το παρεχόμενο CSR για να αποκτήσει ένα πιστοποιητικό από την Πύλη πιστοποιητικών ώθησης της Apple.
Αργότερα φέτος, η πύλη πιστοποιητικών ώθησης της Apple θα απαιτεί την υπογραφή των αιτημάτων για υπογραφή πιστοποιητικού (CSR) με τον αλγόριθμο SHA2 για καλύτερη ασφάλεια. Δεν θα εκδίδονται πιστοποιητικά για αιτήματα υπογραφής πιστοποιητικού (CSR) που έχουν υπογραφεί με SHA1. Για περισσότερες πληροφορίες σχετικά με τις βέλτιστες πρακτικές, δείτε την ενότητα Διαμόρφωση γνωστοποιήσεων ώθησης στον ιστότοπο Apple developer.