Configurare dispositivi perché funzionino con il servizio APNs
Le soluzioni MDM usano il servizio di notifiche push di Apple (APNs) per mantenere una comunicazione persistente con i dispositivi Apple sia sulle reti pubbliche sia su quelle private. Tramite APNs, i dispositivi Apple ricevono informazioni sugli aggiornamenti, le politiche MDM e i messaggi in arrivo. Le soluzioni MDM richiedono vari certificati, tra cui un certificato APNs per comunicare con i dispositivi, un certificato SSL per comunicare in modo sicuro e un certificato per firmare i profili di configurazione.
Per consentire ai dispositivi Apple di utilizzare APNs, devi abilitare il traffico di rete dai dispositivi alla rete Apple (17.0.0.0/8) direttamente o tramite un proxy di rete. I dispositivi Apple devono potersi collegare a porte specifiche su host specifici:
La porta TCP 443 viene utilizzata durante l’attivazione dei dispositivi e in seguito per il fallback se i dispositivi non riescono a raggiungere il servizio APNs sulla porta 5223
La porta TCP 5223 per comunicare con il servizio APNs
La porta TCP 443 o 2197 per inviare notifiche dalla soluzione MDM al servizio APNs
Per consentire tutto il traffico di rete dei dispositivi Apple sulla rete di Apple, potresti dover anche configurare il proxy web o le porte del firewall. In iOS 13.4, iPadOS 13.4, macOS 10.15.4 e tvOS 13.4 o versioni successive, il servizio APNs può utilizzare un proxy web se viene specificato in un file di configurazione proxy automatica (PAC).
Nota: Apple Vision Pro può ricevere notifiche push soltanto quando il dispositivo viene indossato ed è sbloccato.
Al servizio di notifiche push di Apple (APNs) sono applicati più livelli di sicurezza in corrispondenza degli endpoint e dei server. Eventuali tentativi di analisi o reindirizzamento del traffico fanno sì che il client, il servizio di notifiche push di Apple (APNs) e i server dei provider del servizio push contrassegnino la conversazione come compromessa e non valida. Tramite le notifiche push di Apple (APNs) non vengono trasmesse informazioni riservate o sensibili.
Suggerimento: quando crei i certificati APNs da utilizzare con MSM, prendi nota dell’Apple Account gestito (consigliato) o dell’Apple Account che utilizzi. Ne avrai bisogno al rinnovo dei certificati, operazione che devi effettuare ogni anno. Ricordati anche di aggiornare tutti i certificati utilizzati dalla soluzione MDM prima della loro scadenza. Per ulteriori informazioni, consulta l’Apple Push Certificates Portal.
Miglioramenti alla sicurezza per l’impostazione di notifiche push per i clienti MDM
Attualmente gli sviluppatori MDM possono avvalersi del servizio Apple Push Notification (APN) per creare una procedura efficiente per la creazione di certificati push per i propri clienti. Questo comporta la creazione e la sottoscrizione di una richiesta firma certificato (CSR) per ciascun cliente. Quindi, i clienti potranno utilizzare il CSR disponibile per ottenere un certificato dall’Apple Push Certificates Portal.
Nei prossimi mesi di quest’anno, l’Apple Push Certificates Portal richiederà che le CSR vengano firmate con l’algoritmo SHA2 per garantire una sicurezza maggiore. Per le CSR firmate con SHA1 non verranno rilasciati certificati. Per ulteriori informazioni sulle migliori pratiche, consulta Setting Up Push Notifications sul sito web Apple Developer.