移动设备管理 (MDM) 解决方案使用 Apple 推送通知服务 (APNs)，通过公共和专用网络维持与 Apple 设备的持续通信。Apple 设备通过 APNs 获取更新、MDM 策略和传入信息。MDM 解决方案需要多个证书，包括与设备通信的 APNs 证书、用于安全通信的 SSL 证书，以及用于给配置描述文件签名的证书。

为了让 Apple 设备与 APNs 搭配使用，允许设备的网络流量直接传输到 Apple 网络 (17.0.0.0/8) 或使用网络代理。Apple 设备必须能够连接到特定主机上的特定端口：

TCP 端口 443：设备激活期间及之后无法在端口 5223 上连接到 APNs 时用作回退端口

TCP 端口 5223：用于与 APNs 通信

TCP 端口 443 或 2197：用于从 MDM 向 APNs 发送通知

你可能还需要配置网络代理或防火墙端口以允许从 Apple 设备传输到 Apple 网络的所有网络流量。在 iOS 13.4、iPadOS 13.4、macOS 10.15.4 和 Apple tvOS 13.4 或更高版本中，APNs 可使用代理自动配置 (PAC) 文件中指定的网络代理。

无论是终端还是服务器，APNs 都应用了多层安全保护。尝试对流量进行检查或重新路由将导致客户端、APNs 和推送提供商服务器将网络会话标记为被入侵以及无效。任何机密或专有信息均不会通过 APNs 来传输。

【提示】创建搭配 MDM 使用的 APNs 证书时，请记下你所使用的“管理式 Apple ID”（建议）或 Apple ID，因为当你必须每年更新一次证书时需要用到它。另外，证书过期之前，请提早做好更新 MDM 解决方案使用的所有证书的准备。有关更多信息，请参阅 Apple 推送证书门户。