Configurare dispositivi perché funzionino con il servizio APNs
I servizi di gestione di dispositivi usano il servizio di notifiche push di Apple (APNs) per mantenere una comunicazione persistente con i dispositivi Apple sia sulle reti pubbliche sia su quelle private. Tramite APNs, i dispositivi Apple ricevono informazioni sugli aggiornamenti, le politiche del servizio di gestione dei dispositivi e i messaggi in arrivo. I servizi di gestione di dispositivi richiedono vari certificati, tra cui un certificato APNs per comunicare con i dispositivi, un certificato SSL per comunicare in modo sicuro e un certificato per firmare i profili di configurazione.
Per consentire ai dispositivi Apple di utilizzare APNs, devi abilitare il traffico di rete dai dispositivi alla rete Apple (17.0.0.0/8) direttamente o tramite un proxy di rete. I dispositivi Apple devono potersi collegare a porte specifiche su host specifici:
La porta TCP 443 viene utilizzata durante l’attivazione dei dispositivi e in seguito per il fallback se i dispositivi non riescono a raggiungere il servizio APNs sulla porta 5223
La porta TCP 5223 per comunicare con il servizio APNs
La porta TCP 443 o 2197 per inviare notifiche dal servizio di gestione dei dispositivi al servizio APNs
Per consentire tutto il traffico di rete dei dispositivi Apple sulla rete di Apple, potresti dover anche configurare il proxy web o le porte del firewall. Per i dispositivi con iOS 13.4, iPadOS 13.4, macOS 10.15.4 e tvOS 13.4 o versioni successive, il servizio APNs può utilizzare un proxy web se viene specificato in un file di configurazione proxy automatica (PAC).
Nota: Apple Vision Pro può ricevere notifiche push soltanto quando il dispositivo viene indossato ed è sbloccato.
Al servizio di notifiche push di Apple (APNs) sono applicati più livelli di sicurezza in corrispondenza degli endpoint e dei server. Eventuali tentativi di analisi o reindirizzamento del traffico fanno sì che il client, il servizio di notifiche push di Apple (APNs) e i server dei provider del servizio push contrassegnino la conversazione come compromessa e non valida. Tramite le notifiche push di Apple (APNs) non vengono trasmesse informazioni riservate o sensibili.
Suggerimento: Quando crei certificati APNs per l’utilizzo con un servizio di gestione dei dispositivi, prendi nota dell’Account Apple gestito (consigliato) o dell’Account Apple che utilizzi: ti servirà quando sarà il momento di rinnovare i certificati, che devi effettuare ogni anno. Inoltre, assicurati di aggiornare tutti i certificati utilizzati dal servizio di gestione dei dispositivi prima della loro scadenza. Per ulteriori informazioni, consulta l’Apple Push Certificates Portal.
Miglioramenti alla sicurezza per l’impostazione di notifiche push
Attualmente gli sviluppatori dei servizi di gestione di dispositivi possono avvalersi del servizio Apple Push Notification (APN) per creare una procedura efficiente per la creazione di certificati push per i propri clienti. Questo comporta la creazione e la sottoscrizione di una richiesta firma certificato (CSR) per ciascun cliente. Quindi, i clienti potranno utilizzare il CSR disponibile per ottenere un certificato dall’Apple Push Certificates Portal.
Il portale dei certificati push di Apple richiede che le CSR siano firmate con l’algoritmo SHA2 per garantire una maggiore sicurezza. Per le CSR firmate con SHA1 non verranno rilasciati certificati. Per ulteriori informazioni sulle migliori pratiche, consulta Setting Up Push Notifications sul sito web Apple Developer.