Розгортання платформи Apple
- Вітаємо
- Вступ до розгортання платформи Apple
- Що нового
-
- Вступ до розповсюдження вмісту
- Методи розповсюдження вмісту
- Керування елементами входу і фоновими завданнями на Mac
-
- Вступ до безпеки керування пристроями
- Функції швидкого реагування на загрози безпеці
- Замикання та виявлення пристроїв
- Стирання пристроїв
- Замок активації
- Керування доступом приладдя
- Запровадження політик паролів
- Використання постійних токенів
- Використання вбудованих функцій захисту мережі
- Рішення Managed Device Attestation (Кероване засвідчення пристроїв)
-
-
- Параметри набору даних Accessibility
- Параметри набору даних Active Directory Certificate
- Параметри набору даних AirPlay
- Параметри набору даних AirPlay Security
- Параметри набору даних AirPrint
- Параметри набору даних App Lock (Замикання програми)
- Параметри набору даних Associated Domains
- Параметри набору даних Automated Certificate Management Environment (ACME)
- Параметри набору даних Autonomous Single App Mode
- Параметри набору даних Calendar
- Параметри набору даних Cellular
- Параметри набору даних Cellular Private Network (Приватна стільникова мережа)
- Параметри набору даних Certificate Preference
- Параметри набору даних Certificate Revocation
- Параметри набору даних Certificate Transparency
- Параметри набору даних Certificates
- Параметри набору даних Conference Room Display
- Параметри набору даних Contacts
- Параметри набору даних Content Caching
- Параметри набору даних Directory Service (Служба каталогів)
- Параметри набору даних DNS Proxy
- Параметри набору даних DNS Settings
- Параметри набору даних Dock
- Параметри набору даних Domains
- Параметри набору даних Energy Saver
- Параметри набору даних Exchange ActiveSync (EAS)
- Параметри набору даних Exchange Web Services (EWS)
- Параметри набору даних Extensible Single Sign-On (Розширюваний єдиний вхід)
- Параметри набору даних Extensible Single Sign-on Kerberos (Розширюваний єдиний вхід Kerberos)
- Параметри набору даних Extensions (Розширення)
- Параметри набору даних FileVault
- Параметри набору даних Finder
- Параметри набору даних Firewall (Брандмауер)
- Параметри набору даних Fonts
- Параметри набору даних Global HTTP Proxy (Глобальний HTTP-проксі)
- Параметри набору даних Google Accounts
- Параметри набору даних Home Screen Layout (Макет початкового екрана)
- Параметри набору даних Identification
- Параметри набору даних Identity Preference (Параметр посвідчення)
- Параметри набору даних Kernel Extension Policy
- Параметри набору даних LDAP
- Параметри набору даних Lights Out Management
- Параметри набору даних Lock Screen Message (Текст на замкненому екрані)
- Параметри набору даних Login Window
- Параметри набору даних Managed Login Items (Керований автозапуск)
- Параметри набору даних Mail
-
- Параметри Wi-Fi
- Параметри Ethernet
- Параметри WEP, WPA, WPA2, WPA2/WPA3
- Параметри Dynamic WEP, WPA Enterprise і WPA2 Enterprise
- Параметри EAP
- Параметри HotSpot 2.0
- Параметри Legacy Hotspot (Застарілі точки доступу)
- Параметри Cisco Fastlane
- Параметри Network Proxy Configuration (Конфігурація проксі-серверів)
- Параметри набору даних Network Usage Rules (Правила використання мережі)
- Параметри набору даних Notifications (Сповіщення)
- Параметри набору даних Parental Controls
- Параметри набору даних Passcode (Код допуску)
- Параметри набору даних Printing
- Параметри набору даних Privacy Preferences Policy Control
- Параметри набору даних Relay (Реле)
- Параметри набору даних SCEP
- Параметри набору даних Security (Безпека)
- Параметри набору даних Setup Assistant
- Параметри набору даних Single Sign-on (Єдиний вхід)
- Параметри набору даних Smart Card (Смарткартка)
- Параметри набору даних Subscribed Calendars
- Параметри набору даних System Extensions
- Параметри набору даних System Migration
- Параметри набору даних Time Machine
- Параметри набору даних TV Remote (Пульт ДК)
- Параметри набору даних Web Clips
- Параметри набору даних Web Content Filter (Фільтр вебвмісту)
- Параметри набору даних Xsan
-
- Декларативне конфігурування програм
- Дані автентифікації та декларація ідентифікаційних ресурсів
- Декларативне керування фоновими завданнями
- Декларативна конфігурація Календаря
- Декларативна конфігурація Certificates (Сертифікати)
- Декларативна конфігурація Contacts (Контакти)
- Декларативна конфігурація Exchange
- Декларативна конфігурація Google Accounts (Облікові записи Google)
- Декларативна конфігурація LDAP
- Декларативна конфігурація застарілого інтерактивного профілю
- Декларативна конфігурація застарілого профілю
- Декларативна конфігурація Mail (Пошта)
- Декларативна конфігурація програм «Математика» та «Калькулятор»
- Декларативна конфігурація Passcode (Код допуску)
- Декларативна конфігурація Passkey Attestation (Засвідчення ключа допуску)
- Декларативна конфігурація керування розширеннями Safari
- Декларативна конфігурація Screen Sharing (Спільний екран)
- Декларативна конфігурація Service configuration files (Файли конфігурації сервісу)
- Декларативна конфігурація Software Update (Оновлення ПЗ)
- Декларативна конфігурація параметрів оновлення ПЗ
- Декларативна конфігурація керування сховищем
- Декларативна конфігурація Subscribed Calendars (Підписні календарі)
- Глосарій
- Історія редакцій документа
- Авторське право
Конфігурування пристроїв на роботу з APN
Рішення MDM використовують служби push-сповіщень Apple (APN) для підтримання постійної комунікації з пристроями Apple як у загальнодоступних, так і в приватних мережах. Використання APN дасть змогу пристроям Apple отримувати інформацію про оновлення, політики MDM і вхідні повідомлення. Рішення MDM потребують кількох сертифікатів, включно із сертифікатом APN для спілкування з пристроєм, сертифікатом SSL для захищеної комунікації та сертифікатом для підписування профілів конфігурації.
Щоб забезпечити роботу служби APN на своїх пристроях Apple, дозвольте мережевий трафік із пристроїв безпосередньо в мережу Apple (17.0.0.0/8) або за допомогою мережевого проксі. Пристрої Apple мають за потреби з’єднуватися з певними портами на певних вузлах:
Порт 443 у TCP використовується під час активації пристрою, а також пізніше як резервний, якщо пристроям не вдається зв’язатися зі службою APN через порт 5223.
Порт 5223 у TCP для зв’язку зі службою APN.
Порт 443 або 2197 у TCP для надсилання сповіщень від MDM до служби APN.
Можливо, також доведеться конфігурувати порти вашого вебпроксі або брандмауера, щоб дозволити весь мережевий трафік із пристроїв Apple у мережу Apple. В iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 і новіших APN можуть використовувати вебпроксі, якщо його вказано у файлі автоматичної конфігурації проксі (PAC-файлі).
Примітка. Apple Vision Pro може отримувати push-сповіщення, лише коли пристрій одягнуто та відімкнуто.
У кінцевих точках і серверах сервісу APNs застосовується багаторівневий захист. Спроби перевірки чи перенаправлення трафіку спричиняють позначення мережевого обміну на клієнті, серверах APNs і провайдера push-повідомлень як скомпрометованого та недійсного. Конфіденційна та таємна інформація через APNs не передається.
Порада. Коли ви створюєте сертифікати служби APN для MDM, занотуйте використаний керований обліковий запис Apple (рекомендовано) або звичайний обліковий запис Apple. Вам знадобиться ця інформація для поновлення сертифікатів, яке необхідно робити щороку. Також пам’ятайте, що сертифікати, які використовує ваше рішення MDM, необхідно завчасно оновлювати до завершення їх терміну дії. Більше інформації наведено на порталі сертифікатів Apple Push.
Безпекові вдосконалення для налаштування push-сповіщень для клієнтів MDM
Розробники MDM зараз можуть використовувати службу Apple Push Notification (APNs) для налагодження процедури створення push-сертифікатів для своїх клієнтів. Для цього, зокрема, потрібно створювати та підписувати замовлення на підписування сертифіката (CSR) для кожного клієнта. Відтак кожен клієнт зможе використати надане CSR, щоб отримати сертифікат від порталу Apple Push Certificates.
Пізніше цього року з метою підвищення надійності портал Apple Push Certificates вимагатиме підпису з алгоритмом SHA2 для CSR. Для CSR, підписаних за допомогою SHA1, сертифікати не видаватимуться. Більше інформації про поширені практики наведено в статті про налаштування push-сповіщень на вебсайті для розробників Apple.