Configurei o gerenciador de perfil e o bloqueio de um laptop funciona muito bem na mesma LAN que o servidor Lion, mas, se estiver fora do escritório, ele nunca receberá a solicitação de bloqueio remoto. O servidor Lion está por trás de um NAT. Preciso encaminhar as portas para o servidor lion?
Sim, você precisará encaminhar essas portas para o seu servidor Lion ou colocar o servidor Lion na DMZ do seu firewall. Você também precisará garantir que o nome DNS do seu servidor Lion seja resolvido para dispositivos fora de sua rede.
O serviço Apple Push Notification usado pelo Profile Manager informará ao seu dispositivo "Fazer check-in com este servidor", mas seu servidor precisa estar solucionável e acessível para que seu dispositivo faça o check-in e receba o comando que você definiu em Perfil Gerente. É por isso que o comando de bloqueio está funcionando enquanto seu laptop está na mesma LAN que o servidor.
2195, 2196 - TCP - Used by Profile Manager to send push notifications5223 - TCP - Used to maintain a persistent connection to APNs and receive push notifications80/443 - TCP - Provides access to the web interface for Profile Manager admin1640 - TCP - Enrollment access to the Certificate Authority