MDM-системы используют службу push-уведомлений Apple (APN = APNS - Apple Push Notifications), чтобы постоянно поддерживать связь с устройствами Apple через общедоступные и частные сети.

Для работы MDM-сервера требуется множество сертификатов, в том числе APNS-сертификат для связи с устройствами. Например, когда администратор MDM-сервера дистанционно устанавливает какую-либо политику, активирует опцию или запускает команду команду MDM, устройство получает уведомление об этом действии через APNS. При подключении к общественным сетям, устройства могут получать такие уведомления о действиях в любой точке мира.



Большинство сертификатов, в том числе сертификат APN, должны обновляться ежегодно. По истечении срока действия сертификата сервер MDM не сможет связаться с устройствами Apple, пока сертификат не будет обновлен. Поэтому стоит подготовиться к обновлению сертификатов MDM до того, как истечет срок их действия.

Процедура обновления APN-сертификата MDM-сервера 

На комьютере Mac запустить программу «Server»:

 В боковом меню слева в разделе «Server» выбрать первый пункт, содержащий имя сервера. Перейти на вкладку «Settings», найти блок «Notifications» и нажать кнопку «Edit Apple ID»:

Отобразится информация об используемой учетной записи и сроке действия APNS-сертификата:



Можно сменить Apple ID, нажав на кнопку «Change…»:

Можно обновить APNS-сертификат, нажав на кнопку «Renew…»:

 После обновления срок действия сертификата будет составлять 1 год с даты обновления:

Процесс первоначального создания APNS-сертификата еще проще, чем его обновление: поставить галочку «Apple Push Notifications (APN)», указать Apple ID и ввести пароль.



Не важно, какую учетную запись Apple ID использовать для создания APNS-сертификата. Главное, чтобы она была использована только один раз для одного сервера (Apple не даст использовать несколько раз).

Служба push-уведомлений Apple

Служба push-уведомлений Apple (APNS) является важной службой, поскольку через нее многие устройства Apple узнают об обновлениях, политиках MDM и входящих сообщениях. Чтобы ваши  устройства Apple работали с этими службами, вам необходимо разрешить сетевой трафик с устройства в сеть Apple (17.0.0.0/8) через порт 5223 с запасным портом 443.

Конфиденциальная и личная информация не передаются через APNS. Данный трафик – это защищенный двоичный протокол, специфичный для APNS, и он не может проходить через прокси.

Попытки просмотреть трафик или перенаправить его приведут к тому, что клиент, APNS и серверы пометят сетевой диалог как скомпрометированный и неверный.

В конечных точках и на серверах к APNS применяется многоуровневая безопасность.