Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツキャッシュペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログインウインドウペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタルコントロールペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツフィルタペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
APNを利用できるようにデバイスを構成する
モバイルデバイス管理(MDM)ソリューションは、Appleプッシュ通知サービス(APNs)により、公共ネットワークとプライベートネットワークの両方でAppleデバイスとの継続的な通信を維持します。Appleデバイスでは、APNsを使用してアップデート、MDMポリシー、受信メッセージを確認します。MDMソリューションには、デバイスと通信するためのAPNS証明書、安全に通信するためのSSL証明書、および構成プロファイルに署名するための証明書などの複数の証明書が必要です。
AppleデバイスがAPNsを利用できるようにするには、そのデバイスのネットワークトラフィックがAppleネットワーク(17.0.0.0/8)に直接、またはネットワークプロキシを使用して到達できるようにします。Appleデバイスは、特定ホストの特定ポートに接続する必要があります:
デバイスのアクティベーション中、およびそのあとにポート5223でデバイスがAPNsに到達できない場合のフォールバックのためのTCPポート443
APNsと通信するためのTCPポート5223
APNsにMDMからの通知を送信するためのTCPポート443または2197
Webプロキシまたはファイアウォールポートを構成して、AppleデバイスからAppleネットワークへのネットワークトラフィックをすべて許可することが必要になる場合もあります。iOS 13.4、iPadOS 13.4、macOS 10.15.4、tvOS 13.4以降では、APNsがプロキシ自動設定(PAC)ファイルで指定されている場合、Webプロキシを使用できます。
注記: Apple Vision Proがプッシュ通知を受信できるのは、デバイスが装着およびロック解除されている場合のみです。
エンドポイントとサーバで、何層ものセキュリティがAPNSに適用されています。トラフィックの検査または経路の変更が試行されると、クライアント、APNS、およびプッシュプロバイダのサーバが、そのネットワーク通信を不正で無効なものとしてマーキングします。機密情報がAPNsで転送されることはありません。
ヒント: MDMで使用するためのAPNs証明書を作成するときは、管理対象Apple Account(推奨)またはApple Accountを書き留めてください。証明書の更新(年1回が必須)の際にそのApple IDが必要になります。また、期限切れになる前に、MDMソリューションで使用するすべての証明書を余裕を持って更新するようにしてください。詳しくは、Appleプッシュ通知証明書ポータルを参照してください。
MDM顧客用プッシュ通知設定のセキュリティの向上
MDMデベロッパは現在、Appleプッシュ通知サービス(APN)を使用して、顧客向けに簡素化されたpush-certificate-creationプロセスを作成できます。これには顧客ごとに証明書署名要求(CSR)を作成して署名する必要があります。そのあと、それぞれの顧客が提供されたCSRを使用して、Appleプッシュ通知証明書ポータルから証明書を取得できます。
Appleプッシュ通知証明書ポータルでは、年内にはCSRがセキュリティ向上のためにSHA2アルゴリズムで署名することが要求されるようになります。SHA1で署名されたCSRには証明書は発行されなくなります。ベストプラクティスについて詳しくは、Apple Developer Webサイトの「プッシュ通知を設定する」(英語)を参照してください。