Configuration d’appareils pour qu’ils fonctionnent avec le service APN
Les solutions de gestion des appareils mobiles (GAM) utilisent le service APN pour maintenir une connexion permanente avec les appareils Apple, tant sur les réseaux publics que sur les réseaux privés. En utilisant le service APN, les appareils Apple sont informés des mises à jour, des politiques de GAM et des messages entrants. Les solutions de gestion des appareils mobiles nécessitent plusieurs certificats, dont un certificat du service APN pour communiquer avec les appareils, un certificat SSL pour sécuriser les échanges, et un certificat pour signer les profils de configuration.
Afin que vos appareils Apple fonctionnent avec le service APN, autorisez le trafic réseau de ces appareils au réseau Apple (17.0.0.0/8) directement ou à l’aide d’un serveur mandataire réseau. Les appareils Apple doivent être capables de se connecter à des ports précis sur des hôtes spécifiques :
le port TCP 443 pendant l’activation de l’appareil et ensuite pour l’option de secours si les appareils ne peuvent pas atteindre le service APN sur le port 5223;
le port TCP 5223 pour communiquer avec le service APN;
le port TCP 443 ou 2197 pour envoyer des notifications GAM au service APN.
Il se peut que vous ayez également besoin de configurer votre serveur mandataire Web ou vos ports coupe-feu pour permettre tout trafic réseau des appareils Apple sur le réseau Apple. Sous iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4, ou toutes versions ultérieures, le service APN peut utiliser un serveur mandataire Web lorsqu’il est indiqué dans un fichier de configuration automatique de serveur mandataire (PAC).
Remarque : Apple Vision Pro peut recevoir des notifications push seulement lorsque l’appareil est porté et déverrouillé.
De nombreuses couches de sécurité sont appliquées au service APN aux points finaux et aux serveurs. En cas de tentative d’inspection ou de déroutement du trafic, le client, le service APN et les serveurs « push » définiront la conversation du réseau comme compromise et non valide. Aucune information confidentielle ou propriétaire n’est transmise par le biais du service APN.
Astuce : Lorsque vous créez des certificats du service APN à utiliser avec GAM, notez le compte Apple géré (recommandé) ou le compte Apple que vous utilisez, car vous en aurez besoin lorsqu’il faudra les renouveler, ce que vous devez faire chaque année. De plus, prévoyez de mettre à jour tous les certificats utilisés par votre solution de GAM bien avant leur expiration. Pour en savoir plus, consultez le portail Apple Push Certificates (en anglais).
Amélioration de la sécurité lors de la mise en place de notifications push pour les clients GAM
Les développeurs GAM peuvent désormais utiliser le service APN (Apple Push Notification) pour créer un processus simplifié de création de certificats push pour leurs clients. Cela nécessite la création d’une demande de signature de certificat (CSR) et sa signature pour chaque client. Ensuite, chaque client peut utiliser la CSR fournie pour obtenir un certificat à partir du portail Apple Push Certificates (en anglais).
Dans le courant de l’année, le portail Apple Push Certificates exigera que les CSR soient signés avec l’algorithme SHA2 pour plus de sécurité. Les certificats ne seront pas émis pour les CSR signées avec SHA1. Pour en savoir plus sur les meilleures pratiques, consultez la page mise en place de notifications push sur le site Web Apple Developer (en anglais).