Apple Push Notification Service (APNs)

Apple Push Notification Service (APNs) est le protocole MDM créé par Apple pour gérer ses terminaux. Le fournisseur MDM doit disposer d'un certificat APNs valide configuré et il achemine toutes les commandes via les serveurs de messagerie Cloud centraux d'Apple.

Le lancement d'une commande APNs entraîne les étapes suivantes :

• Lorsqu'un terminal iOS est inscrit, un jeton APNs est généré et connecté à un terminal spécifique. Le jeton généré est connu à la fois de Workspace ONE UEM console et des serveurs APNs.
• Une fois inscrit, un terminal présente toujours une connexion active aux serveurs APNs d'Apple (à condition que la connectivité le permette).
• Lorsqu'une commande est lancée dans UEM console (telle qu'une commande Push de profil ou une commande de verrouillage du terminal), les étapes suivantes se produisent :
  • Une entrée est stockée dans la file d'attente de commandes du terminal dans la base de données UEM. L'entrée contient un ID spécifique associé au type de commande lancée.
  • Le serveur UEM (les services de console ou de terminal, selon l'emplacement de la commande) atteint les serveurs APNs avec le jeton APNs lié à ce terminal spécifique.
• Le serveur APNs valide le jeton et informe le terminal pour qu'il se connecte au serveur MDM afin de recevoir une commande.
• Le terminal se connecte au serveur des services des terminaux. Lors de l'établissement de cette connexion, le terminal reçoit toutes les commandes en attente de la file d'attente de commandes du terminal.

Certificat Apple Push Notification Service (APNs)

Pour gérer des terminaux iOS, vous devez d'abord obtenir un certificat de service de notifications Push d'Apple (APNs). Un certificat APNs permet à la console UEM de communiquer en toute sécurité avec les terminaux Apple. Il permet également le renvoi d'informations à cette console.

D'après l'Enterprise Developer Program d'Apple, la validité d'un certificat APNs est d'un an, après quoi il doit être renouvelé. UEM console envoie des rappels par l'intermédiaire de notifications au fur et à mesure que la date d'expiration approche. Votre certificat actuel est révoqué lorsque vous effectuez un renouvellement depuis le portail de développement d'Apple, ce qui empêche la gestion des terminaux jusqu'à l'importation du nouveau certificat. Prévoyez d'importer votre certificat aussitôt après l'avoir renouvelé. Envisagez l'utilisation d'un certificat différent pour chaque environnement si vous utilisez des environnements de production et de test distincts.

Workflow Apple Push Notification Service

Familiarisez-vous avec le workflow backend d'Apple Push Notification Service avant de lancer la gestion MDM sur les terminaux Apple.

1. L'administrateur système exécute à distance des actions MDM comme le verrouillage du terminal, l'effacement du code secret du terminal, la réinitialisation du terminal et l'interruption de MDM à partir d'UEM Console.

   Une notification sera mise en file d'attente dans FastLaneAPNsOutBound, qui est récupérée par Workspace ONE Messaging Service et envoyée au serveur APNs. Ensuite, une commande est mise en file d'attente dans AWEventLog, puis est récupérée par le service EntityChangeQueueMonitor. Ce service met en file d'attente la commande sur le serveur de base de données Workspace ONE.

2. Le terminal dispose toujours d'une connexion active à APNs. Toutes les communications vers APNs sont entrantes et sont constamment vérifiées avec APNs. Les serveurs informent le terminal lorsqu'une commande est en attente pour le terminal par MDM.

3. Une fois que le terminal reçoit la notification Push, il se connecte au serveur de services des terminaux Workspace ONE.

4. Le serveur de services des terminaux vérifie si une commande est mise en file d'attente pour ce terminal donné (basé sur DeviceID) sur le serveur de base de données Workspace ONE.

5. Le serveur de services des terminaux extrait la commande, déjà mise en file d'attente pour ce terminal, à partir du serveur de base de données Workspace ONE.

6. Les services des terminaux génèrent un fichier XML et l'envoient au terminal. MDM Agent native (profil MDM installé sur le terminal) exécute ensuite l'action requise sur le terminal.