Implementatie van het Apple platform
- Welkom
- Inleiding tot implementatie van het Apple platform
- Nieuwe functies
-
- Inleiding tot beveiliging van apparaatbeheer
- Snelle beveiligingsmaatregelen
- Apparaten vergrendelen en opsporen
- Apparaten wissen
- Activeringsslot
- Toegang tot accessoires beheren
- Wachtwoordbeleidsregels afdwingen
- Permanente tokens gebruiken
- Ingebouwde functies voor netwerkbeveiliging gebruiken
- Attestatie van beheerde apparaten
-
-
- Instellingen voor de payload voor toegankelijkheidsinstellingen
- Instellingen voor de payload 'Active Directory-certificaat'
- Instellingen voor de payload 'AirPlay'
- Instellingen voor de payload 'AirPlay-beveiliging'
- Instellingen voor de payload 'AirPrint'
- Instellingen voor de payload 'Appvergrendeling'
- Instellingen voor de payload 'Bijbehorende domeinen'
- Instellingen voor de payload 'Automated Certificate Management Environment (ACME)'
- Instellingen voor de payload 'Autonome één-app-modus'
- Instellingen voor de payload 'Agenda'
- Instellingen voor de payload 'Mobiel'
- Instellingen voor de payload 'Mobiel privénetwerk'
- Instellingen voor de payload 'Certificaatvoorkeur'
- Instellingen voor de payload 'Certificaatintrekking'
- Instellingen voor de payload 'Certificaattransparantie'
- Instellingen voor de payload 'Certificaten'
- Instellingen voor de payload 'Vergaderruimteweergave'
- Instellingen voor de payload 'Contacten'
- Instellingen voor de payload 'Materiaalcaching'
- Instellingen voor de payload 'Adreslijstvoorziening'
- Instellingen voor de payload 'DNS-proxy'
- Instellingen voor de MDM-payload 'DNS-instellingen'
- Instellingen voor de payload 'Dock'
- Instellingen voor de payload 'Domeinen'
- Instellingen voor de payload 'Energiestand'
- Instellingen voor de payload 'Exchange ActiveSync (EAS)'
- Instellingen voor de payload 'Exchange Web Services (EWS)'
- Instellingen voor de payload 'Uitbreidbare SSO'
- Instellingen voor de payload 'Uitbreidbare SSO met Kerberos'
- Instellingen voor de payload 'Extensies'
- Instellingen voor de payload 'FileVault'
- Instellingen voor de Finder-payload
- Instellingen voor de payload 'Firewall'
- Instellingen voor de payload 'Lettertypen'
- Instellingen voor de payload 'Globale HTTP-proxy'
- Instellingen voor de payload 'Google-accounts'
- Instellingen voor de payload 'Indeling beginscherm'
- Payload voor identificatie-instellingen
- Instellingen voor de payload 'Identiteitsvoorkeur'
- Instellingen voor de payload 'Kernelextensiebeleid'
- Instellingen voor de payload 'LDAP'
- Instellingen voor de payload 'LOM (Lights Out Management)'
- Instellingen voor de payload 'Bericht toegangsscherm'
- Instellingen voor de payload 'Inlogvenster'
- Instellingen voor de payload 'Beheerde inlogonderdelen'
- Instellingen voor de payload 'E‑mail'
- Instellingen voor de payload 'Netwerkgebruiksregels'
- Instellingen voor de payload 'Meldingen'
- Instellingen voor de payload 'Ouderlijk toezicht'
- Instellingen voor de payload 'Toegangscode'
- Instellingen voor de payload 'Afdrukken'
- Instellingen voor de payload 'Regelaar voor voorkeurenpaneel 'Privacy''
- Instellingen voor de payload 'Doorgifte'
- Instellingen voor de payload 'SCEP'
- Instellingen voor de payload 'Beveiliging'
- Instellingen voor de payload 'Configuratie-assistent'
- Instellingen voor de payload 'Eenmalige aanmelding'
- Instellingen voor de payload 'Smartcard'
- Instellingen voor de payload 'Agenda's met abonnement'
- Instellingen voor de payload 'Systeemextensies'
- Instellingen voor de payload 'Systeemmigratie'
- Instellingen voor de payload 'Time Machine'
- Instellingen voor de payload 'TV Remote'
- Instellingen voor de payload 'Webfragmenten'
- Instellingen voor de payload 'Webmateriaalfilter'
- Instellingen voor de payload 'Xsan'
-
- Declaratieve appconfiguratie
- Declaratie voor de onderdelen voor authenticatiegegevens en identiteit
- Declaratieve configuratie voor beheer van achtergrondtaken
- Declaratieve configuratie voor agenda's
- Declaratieve configuratie voor certificaten
- Declaratieve configuratie voor contacten
- Declaratieve configuratie voor Exchange
- Declaratieve configuratie voor Google-accounts
- Declaratieve configuratie voor LDAP
- Declaratieve configuratie voor verouderde interactieve profielen
- Declaratieve configuratie voor verouderde profielen
- Declaratieve configuratie voor e‑mail
- Declaratieve configuratie voor wiskundevoorzieningen en de Rekenmachine-app
- Declaratieve configuratie voor toegangscodes
- Declaratieve configuratie voor passkey-attestatie
- Declaratieve configuratie voor beheer van Safari-extensies
- Declaratieve configuratie voor schermdeling
- Declaratieve configuratie voor configuratiebestanden van voorzieningen
- Declaratieve configuratie voor software-updates
- Declaratieve configuratie voor instellingen van software-updates
- Declaratieve configuratie voor opslagbeheer
- Declaratieve configuratie voor agenda's met abonnement
- Woordenlijst
- Revisiegeschiedenis
- Copyright
Apparaten configureren voor gebruik van APNs
Voor MDM-oplossingen (Mobile Device Management) wordt gebruikgemaakt van de Apple Push Notification-service (APNs) om permanente communicatie met Apple apparaten te waarborgen in zowel openbare als privénetwerken. Via APNs worden Apple apparaten op de hoogte gesteld van updates, MDM-beleidsregels en inkomende berichten. Voor een MDM-oplossing zijn meerdere certificaten vereist, waaronder een APNs-certificaat voor de communicatie met apparaten, een SSL-certificaat voor de beveiliging van de communicatie en nog een certificaat voor het ondertekenen van configuratieprofielen.
Apple apparaten kunnen APNs gebruiken als je netwerkverkeer tussen de apparaten en het netwerk van Apple (17.0.0.0/8) rechtstreeks of via een netwerkproxy toestaat. Apple apparaten moeten verbinding kunnen maken met specifieke poorten op specifieke hosts:
TCP-poort 443 tijdens het activeren van apparaten en daarna als alternatief wanneer apparaten APNs niet kunnen bereiken op poort 5223
TCP-poort 5223 om te communiceren met APNs
TCP-poort 443 of 2197 om meldingen van MDM naar APNs te versturen
Het kan zijn dat je ook de configuratie van je webproxy of firewallpoorten moet aanpassen, zodat al het netwerkverkeer dat van Apple apparaten afkomstig is, toegang heeft tot het netwerk van Apple. In iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 of nieuwer kan voor APNs een webproxy worden gebruikt als deze in een PAC-bestand (Proxy Auto-Config) is opgegeven.
Opmerking: Een Apple Vision Pro kan alleen pushmeldingen ontvangen wanneer het apparaat gedragen wordt en ontgrendeld is.
Op de eindpunten en de servers worden meerdere beveiligingslagen op de APNs toegepast. Elke poging om inzage in het verkeer te krijgen of om het verkeer om te leiden, wordt door de client, de APNs en de pushproviderservers aangemerkt als dubieus en ongeldig. Via APNs worden geen vertrouwelijke of bedrijfseigen gegevens verstuurd.
Tip: Noteer de beheerde Apple Account (aanbevolen) of Apple Account die je gebruikt bij het aanmaken van APNs-certificaten voor gebruik met MDM. Je hebt deze later nodig voor het verlengen van de certificaten, iets wat jaarlijks moet gebeuren. Stel daarnaast een schema op om alle MDM-certificaten ruim voordat ze verlopen bij te werken. Ga naar de Apple Push Certificates Portal voor meer informatie.
Verbeterde beveiliging voor het configureren van pushmeldingen voor MDM-klanten
MDM-ontwikkelaars kunnen de Apple Push Notification-service (APNs) gebruiken om een gestroomlijnd proces op te zetten voor het aanmaken van pushcertificaten voor hun klanten. Hierbij wordt een certificaatondertekeningsaanvraag (CSR) voor elke klant aangemaakt en ondertekend. Vervolgens kan de klant de verstrekte certificaatondertekeningsaanvraag gebruiken om een certificaat aan te vragen via de Apple Push Certificates Portal.
Later dit jaar moeten certificaatondertekeningsaanvragen voor de Apple Push Certificates Portal worden ondertekend met het SHA2-algoritme voor betere beveiliging. Er worden dan geen certificaten meer verstrekt voor aanvragen die zijn ondertekend met SHA1. Zie Setting Up Push Notifications op de Apple Developer-website voor meer informatie over aanbevolen procedures (Engelstalig).