Configurar los dispositivos para que funcionen con APNs
Las soluciones de gestión de dispositivos móviles usan el servicio de notificaciones push de Apple (APNs) para mantener una comunicación ininterrumpida con los dispositivos Apple tanto en redes públicas como privadas. Mediante APNs, los dispositivos Apple reciben información sobre actualizaciones, políticas de MDM y mensajes entrantes. Las soluciones MDM necesitan varios certificados, incluido un certificado APNs para hablar con los dispositivos, un certificado SSL para comunicarse de forma segura y un certificado para firmar perfiles de configuración.
Para que tus dispositivos Apple funcionen con APNs, es necesario que permitas el tráfico de red desde los dispositivos a la red de Apple (17.0.0.0/8) directamente o utilizando un proxy de red. Los dispositivos Apple deben poder conectarse a puertos específicos en servidores específicos:
El puerto TCP 443 se utiliza durante la activación del dispositivo y, posteriormente, a modo de reserva en caso de que los dispositivos no puedan acceder a las APNs por el puerto 5223.
El puerto TCP 5223 se utiliza para comunicarse con APNs.
El puerto TCP 443 o 2197 se utiliza para enviar notificaciones de MDM al APNs.
Es posible que también tengas que configurar el proxy web o los puertos del firewall para permitir todo el tráfico de red desde los dispositivos Apple hasta la red de Apple. En iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4, o posterior, el servicio de notificaciones push de Apple (APN) puede usar un proxy web si está especificado en un archivo de configuración automática de proxy (PAC).
Nota: Apple Vision Pro puede recibir notificaciones push solo si el dispositivo está puesto y desbloqueado.
Hay un gran número de capas de seguridad aplicadas a los APNs en los puntos finales y los servidores. Los intentos de inspeccionar el tráfico o volver a direccionarlo provocan que los servidores del cliente, de los APNs y del proveedor de notificaciones push marquen la conversación de red como comprometida y no válida. No se transmite información sensible ni sujeta a propiedad mediante los APNs.
Consejo: Cuando crees certificados APNs para usarlos con MDM, anota la cuenta de Apple gestionada (recomendado) o la cuenta de Apple que utilices; lo necesitarás cuando te toque renovar los certificados, algo que debes hacer anualmente. Asimismo, asegúrate de actualizar todos los certificados utilizados por tu solución MDM con tiempo suficiente antes de que caduquen. Para obtener más información, consulta el portal de Apple Push Certificates.
Mejoras de seguridad para configurar las notificaciones push de los clientes de MDM
Actualmente, los desarrolladores de MDM pueden usar el servicio de notificaciones push de Apple (APNs) para optimizar el proceso de creación de certificados push de sus clientes. Esto implica crear y firmar una solicitud de firma de certificados (CSR) por cliente. A continuación, cada usuario puede usar la CSR proporcionada para obtener un certificado del portal Apple Push Certificates.
A finales de este año, el portal Apple Push Certificates exigirá que las CSR estén firmadas con el algoritmo SHA2 para mejorar la seguridad. No se emitirán certificados para CSR firmadas con SHA1. Para obtener más información sobre las prácticas recomendadas, consulta Configurar las notificaciones push en el sitio web para desarrolladores de Apple.