Apple 推送通知服务 (APNs)

Apple 推送通知服务 (APNs) 是 Apple 为管理其设备而创建的一种 MDM 协议。它要求 MDM 提供商配置有效的 APNs 证书，并通过 Apple 的中央云消息服务器路由所有命令。

启动 APNs 命令会导致以下情况：

• 在注册 iOS 设备时，会生成连接到特定设备的 APNs 令牌。Workspace ONE UEM console 和 APNs 服务器均会得悉生成的令牌。
• 注册后，设备始终（允许连接）具有与 Apple 的 APNs 服务器的活动连接。
• 在 UEM console 中启动命令（如配置文件推送或设备锁定命令）时，将执行以下步骤：
  • 会有一个条目存储到 UEM 数据库的设备命令队列中。该条目包含附加到已启动命令类型的特定 ID。
  • UEM 服务器（控制台或设备服务，具体取决于命令启动的位置）将通过与该特定设备关联的 APNs 令牌连接到 APNs 服务器。
• APNs 服务器会验证令牌，并通知设备连接到 MDM 服务器以接收命令。
• 设备将连接到设备服务服务器。建立此连接后，设备将从设备命令队列接收所有待执行的命令。

Apple 推送通知服务 (APNs) 证书

要管理 iOS 设备，则必须先获取一份 Apple 推送通知服务 (APNs) 证书。APNs 证书能让 UEM console 与 Apple 设备安全通信，并将信息回报给 UEM console。

根据 Apple 的企业开发者计划，APNs 证书的有效期为一年，之后必须续订。当失效期临近时，UEM console 会通过通知发送提醒。在 Apple 开发门户网站续订证书后，当前的证书随即会被吊销。在您上传新证书之前，您将无法对设备进行管理。计划在续订后立即上传证书。如果您使用的生产环境和测试环境是分开的，请考虑针对每个环境使用不同的证书。

Apple 推送通知服务工作流

在 Apple 设备上启动 MDM 管理之前，请先了解 Apple 推送通知服务的后端工作流。

1. 系统管理员可远程执行 MDM 操作，如锁定设备、清除设备密码、擦除设备以及从 UEM console 断开 MDM。

   通知将排入 FastLaneAPNsOutBound 队列，该队列由 Workspace ONE 消息服务选取并发送到 APNs 服务器。稍后，命令会排入 AWEventLog 队列，然后由 EntityChangeQueueMonitor 服务选取。此服务会在 Workspace ONE 数据库服务器中对命令进行排队。

2. 设备始终具有与 APNs 的活动连接。与 APNs 的所有通信均为入站通信，并不断与 APNs 进行检查确认。当有命令等待 MDM 发送给设备时，服务器会通知设备。

3. 一旦设备收到推送通知，便会签入 Workspace ONE 设备服务服务器。

4. 设备服务服务器会检查是否在 Workspace ONE 数据库服务器中为该特定设备（基于设备 ID）对任何命令进行排队。

5. 设备服务服务器会从 Workspace ONE 数据库服务器中提取已为该设备排队的命令。

6. 设备服务会生成一个 XML 并将其发送到设备。然后，本机 MDM Agent（设备上安装的 MDM 配置文件）会在设备上执行所需操作。