Configurar dispositivos para que funcionen con APN
Los servicios de administración de dispositivos usan el servicio de notificaciones push de Apple (APNs) para mantener una comunicación ininterrumpida con los dispositivos Apple tanto en redes públicas como privadas. Mediante APNs, los dispositivos Apple pueden obtener información sobre actualizaciones, políticas del servicio de administración de dispositivos y mensajes entrantes. Los servicios de administración de dispositivos necesitan varios certificados, incluido un certificado APNs para comunicarse con los dispositivos, un certificado SSL para transmitir datos de forma segura y un certificado para firmar perfiles de configuración.
Para que tus dispositivos Apple funcionen con APNs, debes permitir el tráfico de red desde los dispositivos a la red de Apple (17.0.0.0/8) directamente o mediante un proxy de red. Los dispositivos Apple deben estar conectados a puertos específicos en hosts determinados:
Al puerto TCP 443 durante la activación del dispositivo y después con fines de respaldo si los dispositivos no pueden acceder al APNs en el puerto 5223;
Al puerto TCP 5223 para comunicarse con el APNs;
Al puerto TCP 443 o 2197 para enviar notificaciones del servicio de administración de dispositivos al APNs.
También es posible que tengas que configurar el proxy web o los puertos del firewall para permitir todo el tráfico de red desde los dispositivos Apple hasta la red de Apple. En dispositivos con iOS 13.4, iPadOS 13.4, macOS 10.15.4 y tvOS 13.4 o posterior, el servicio de notificaciones push de Apple puede usar un proxy web cuando se especifica en el archivo de configuración automática de proxy (PAC).
Nota: Apple Vision Pro puede recibir notificaciones push solo cuando el dispositivo está puesto y desbloqueado.
Hay un gran número de capas de seguridad aplicadas a los APNs en los puntos finales y los servidores. Los intentos de inspeccionar el tráfico o volver a direccionarlo provocan que los servidores del cliente, de los APNs y del proveedor de notificaciones push marquen la conversación de red como comprometida y no válida. No se transmite información confidencial ni sujeta a propiedad mediante el servicio de notificaciones push de Apple.
Consejo: Al crear certificados de APNs para usarlos con un servicio de administración de dispositivos, mantén un registro de la cuenta de Apple administrada (recomendado) o cuenta de Apple que usas, ya que la necesitarás a la hora de renovar los certificados, cosa que se debe hacer de forma anual. Además, asegúrate de actualizar todos los certificados que utiliza tu servicio de administración de dispositivos mucho antes de que venzan. Para obtener más información, consulta el portal de certificados push de Apple.
Mejoras de seguridad para configurar notificaciones push
Actualmente, los desarrolladores de servicios de administración de dispositivos pueden usar el servicio de notificaciones push de Apple (APNs) para optimizar el proceso de creación de certificados push para sus clientes. Esto implica crear y firmar una solicitud de firma de certificado (CSR) para cada cliente. Posteriormente, cada cliente puede usar la CSR proporcionada para obtener un certificado del portal de certificados push de Apple.
El portal de certificados push de Apple exige que las CSR se firmen con el algoritmo SHA2 para mejorar la seguridad. No se emitirán certificados para las CSR firmadas con SHA1. Para obtener más información sobre las prácticas recomendadas, consulta Configurar notificaciones push en el sitio web de Apple Developer.