Der Apple Push-Benachrichtigungsdienst (APN) ist das von Apple erstellte MDM-Protokoll zur Verwaltung von Apple-Geräten. Es erfordert, dass der MDM-Anbieter ein gültiges APNs-Zertifikat konfiguriert hat, und leitet alle Befehle über die zentralen Cloud-Messaging-Server von Apple weiter.

Das Initiieren eines APNs-Befehls führt zu Folgendem:

• Wenn ein iOS-Gerät registriert wird, wird ein APNs-Token generiert, das mit einem bestimmten Gerät verbunden ist. Das generierte Token ist sowohl für Workspace ONE UEM console als auch für die APNs-Server bekannt.
• Nach der Registrierung weist ein Gerät immer eine aktive Verbindung zu den APNs-Servern von Apple auf.
• Wenn ein Befehl in der UEM-Konsole initiiert wird (z. B. ein Profil-Push oder ein Gerätesperrbefehl), geschieht Folgendes:
  • Ein Eintrag wird in der Geräte-Befehlswarteschlange in der UEM-Datenbank gespeichert. Der Eintrag enthält eine bestimmte ID, die mit dem Typ des initiierten Befehls verknüpft ist.
  • Der UEM-Server (entweder Konsole oder Gerätedienste, je nachdem wo der Befehl initiiert wurde) erreicht die APNs-Server mit dem APNs-Token, das mit diesem bestimmten Gerät verknüpft ist.
• Der APNs-Server validiert das Token und informiert das Gerät über die Verbindung zum MDM-Server, um einen Befehl zu erhalten.
• Das Gerät stellt eine Verbindung mit dem Gerätedienstserver her. Beim Herstellen dieser Verbindung empfängt das Gerät alle ausstehenden Befehle aus der Geräte-Befehlswarteschlange.

Zertifikat für Apple Push-Benachrichtigungsdienst (Apple Push Notification- oder APNs-Zertifikat)

Um iOS-Geräte zu verwalten, müssen Sie zuerst ein APNs-Zertifikat (Apple Push Notification Service, Apple-Push-Benachrichtigungsdienst) einholen. Ein APNs-Zertifikat ermöglicht der UEM Console, sicher mit Apple-Geräten zu kommunizieren und Informationen an die UEM Console zu übermitteln.

Laut Apple-Enterprise-Entwicklerprogramm ist ein APNs-Zertifikat ein Jahr lang gültig und muss dann erneuert werden. Die UEM-Konsole sendet Erinnerungen über die Benachrichtigungsfunktion, wenn das Ablaufdatum bevorsteht. Ihr aktuelles Zertifikat wird nach der Erneuerung im Apple Development Portal gesperrt, d.h., dass Geräte erst verwaltet werden, wenn Sie das neue Zertifikat hochgeladen haben. Planen Sie, Ihr Zertifikat sofort nach seiner Erneuerung hochzuladen. Verwenden Sie am besten für jede Umgebung ein anderes Zertifikat, falls Sie separate Produktions- und Testumgebungen einsetzen.

Workflow des Apple Push-Benachrichtigungsdiensts

Machen Sie sich mit dem Backend-Workflow des Apple Push-Benachrichtigungsdienstes vertraut, bevor Sie das MDM-Management auf Apple-Geräten initiieren.

1. Der Systemadministrator führt Remote-MDM-Aktionen wie z. B. Gerät sperren, Gerätekennung löschen, Gerätezurücksetzung und Unterbrechungs-MDM von der UEM Console aus.

   Eine Benachrichtigung wird in der Warteschlange FastLaneAPNsOutBound gespeichert, die vom Workspace ONE Messaging Service abgeholt und an den APN-Server gesendet wird. Später wird ein Befehl in die Warteschlange AWEventLog gereiht und dann vom Dienst EntityChangeQueueMonitor abgerufen. Dieser Dienst stellt den Befehl im Workspace ONE-Datenbankserver in die Warteschlange.

2. Das Gerät hat immer eine aktive Verbindung zu APNs. Die gesamte Kommunikation mit APNs ist eingehend und wird ständig mit APNs überprüft. Die Server lassen das Gerät wissen, wann ein Befehl auf das Gerät von MDM wartet.

3. Sobald das Gerät die Push-Benachrichtigung erhält, checkt es auf dem Gerätedienstserver des Workspace ONE-Geräts ein.

4. Der Gerätedienstserver überprüft, ob ein beliebiger Befehl in die Warteschlange für dieses bestimmte Gerät (basierend auf der Geräte-Nr.) im Workspace ONE-Datenbankserver gestellt wird.

5. Der Gerätedienstserver ruft den Befehl ab, der für dieses Gerät bereits vom Workspace ONE-Datenbankserver in die Warteschlange gestellt wurde.

6. Der Gerätedienst generiert eine XML-Datei und sendet sie an das Gerät. Der native MDM-Agent (auf dem Gerät installiertes MDM-Profil) führt dann die erforderliche Aktion auf dem Gerät aus.