配置设备使用 APNs

移动设备管理 (MDM) 解决方案使用 Apple 推送通知服务 (APNs)，通过公共和专用网络维持与 Apple 设备的持续通信。Apple 设备通过 APNs 获取更新、MDM 策略和传入信息。MDM 解决方案需要多个证书，包括与设备通信的 APNs 证书、用于安全通信的 SSL 证书，以及用于给配置描述文件签名的证书。

为了让 Apple 设备与 APNs 搭配使用，允许设备的网络流量直接传输到 Apple 网络 (17.0.0.0/8) 或使用网络代理。Apple 设备必须能够连接到特定主机上的特定端口：

TCP 端口 443：设备激活期间及之后无法在端口 5223 上连接到 APNs 时用作回退端口
TCP 端口 5223：用于与 APNs 通信
TCP 端口 443 或 2197：用于从 MDM 向 APNs 发送通知

你可能还需要配置网络代理或防火墙端口以允许从 Apple 设备传输到 Apple 网络的所有网络流量。对于运行 iOS 13.4、iPadOS 13.4、macOS 10.15.4、Apple tvOS 13.4 或更高版本的设备，APNs 可使用代理自动配置 (PAC) 文件中指定的网络代理。

【注】Apple Vision Pro 设备仅在已佩戴且解锁时才能接收推送通知。

无论是终端还是服务器，APNs 都应用了多层安全保护。尝试对流量进行检查或重新路由将导致客户端、APNs 和推送提供商服务器将网络会话标记为被入侵以及无效。任何机密或专有信息均不会通过 APNs 来传输。

【提示】创建搭配 MDM 使用的 APNs 证书时，请记下你所使用的管理式 Apple 账户（建议）或 Apple 账户，因为你需要在每年必要的证书更新中用到它。另外，证书过期之前，请提早做好更新 MDM 解决方案使用的所有证书的准备。有关更多信息，请参阅 Apple 推送证书门户。

为 MDM 客户设置推送通知的安全性提升

MDM 开发者当前可使用 Apple 推送通知服务 (APNs) 为其客户创建精简的推送证书创建流程。此流程包括为每位客户创建证书签名请求 (CSR) 并签名。然后每位客户即可使用提供的 CSR 从 Apple 推送通知门户获取证书。

今年晚些时候，Apple 推送通知门户将要求通过 SHA2 算法为 CSR 签名，以提高安全性。对于通过 SHA1 签名的 CSR，证书将不会颁发。有关最佳实践的更多信息，请参阅 Apple 开发者网站上的设置推送通知。

另请参阅Apple 开发者网站：设置远程通知服务器 Apple 开发者网站：用户通知 Apple 支持文章：如果你的 Apple 设备无法收到 Apple 推送通知 Apple 支持文章：在企业网络上使用 Apple 产品

有帮助?

Apple 平台部署

配置设备使用 APNs

为 MDM 客户设置推送通知的安全性提升