为 MDM 配置网络

在安装和配置 MDM 解决方案时，需要考虑如何配置网络、传输层安全协议 (TLS)、基础架构服务、Apple 服务以及备份。

在安装本地托管的 MDM 解决方案时，你需要配置所有下列项目。在这一过程的前期配置并测试每一个步骤，确保部署顺利进行。如果你的 MDM 解决方案是由外部管理或托管在云端，MDM 供应商可能会为你处理其中的许多问题。

使用完全限定域名

MDM 解决方案必须使用组织内部和外部网络都可解析的完全限定域名 (FQDN)。这样无论设备是在本地还是远程连接，服务器都可以进行管理。为了维持与客户端的可连通性，此域名不可更改。

使用静态 IP 地址

大多数 MDM 解决方案要求使用静态 IP 地址。如果服务器的 IP 地址进行了更改，那么现有的 DNS 名称必须保持不变。

通过传输层安全协议配置 MDM

Apple 设备与 MDM 解决方案间的所有通信都使用 HTTPS 加密。这些通信要求使用 TLS（以前为 SSL）证书进行保护。如果证书不是来自知名的证书颁发机构 (CA)，请勿部署设备。请备注有效期，并确保在证书过期前进行续订。有关更多信息，请参阅以下 Apple 支持文章：

保持特定防火墙端口打开

若要同时允许 MDM 解决方案的内部和外部访问，则必须开启相应的防火墙端口。大多数 MDM 解决方案接受在端口 443 使用 HTTPS 的入站连接。MDM 解决方案和设备都必须与 Apple 推送通知服务通信。2020 年 11 月之前，MDM 解决方案将端口 2195 和 2196 用于 APNs；客户端使用端口 5223。2020 年 11 月之后，MDM 解决方案将使用端口 2197。

迁移助理

为了保证 Mac 正确迁移和在 MDM 解决方案中重新注册，使用 macOS 13 或更高版本且在 MDM 解决方案中注册的 Mac 电脑不再允许使用“迁移助理”传输以下设置：

系统
网络
打印机

若要在迁移过程中跳过这些设置，目标 Mac 必须在 MDM 解决方案中注册。

【提示】MDM 解决方案可能托管着对于持续访问设备而言十分重要的激活锁托管密钥和绕过代码、macOS Bootstrap 令牌和其他唯一的数据信息。正因为如此，对于本地 MDM 安装，要确保拥有强大的灾难恢复策略。建议定期测试备份和恢复。

另请参阅Apple 支持文章：在企业网络上使用 Apple 产品 Apple 支持文章：如果你的 Apple 设备无法收到 Apple 推送通知 Apple 开发者网站：设置远程通知服务器 Apple 推送证书门户

有帮助?

Apple 平台部署