As portas 2195, 2196 e 5223 não precisam ser mapeadas, porque são usadas para conexões de saída para os servidores de notificação por push da Apple. A menos que você esteja fazendo filtragem de saída, você não precisa fazer nada sobre isso. Se você estiver fazendo a filtragem de saída, verifique se as conexões com o bloco de rede 17.0.0.0/8 da Apple são permitidas nessas portas.
A porta 1640 é usada para o Secure Configuration Enrollment Protocol (SCEP). Eu não testei, mas acho que isso só precisa ser mapeado se você quiser inscrever novos dispositivos quando eles não estiverem na LAN. Se você fizer todas as inscrições de dentro do firewall, acho que você pode remover o mapeamento deste.
As portas 80 e 443 são usadas para as interfaces da Web ("Profile Manager" para administradores e "User Portal" para usuários), e para dispositivos para download de perfis. Notificações push são usadas para informar os dispositivos sobre perfis novos / atualizados, mas não para enviar os perfis reais; para isso, os dispositivos entram em contato com o servidor na porta 443 (supondo que você tenha configurado SSL) para baixar o próprio perfil. Se você deixar esses não mapeados, seus dispositivos não receberão perfis novos / atualizados até que eles estejam na rede privada.
Resultado líquido: você não precisa para mapear as portas, mas se você não fizer isso, os dispositivos do cliente terão recursos limitados quando estiverem fora da rede privada.
BTW, essencialmente as mesmas limitações se aplicam se você usar um nome de host local ou privado para seu servidor (por exemplo, server.local ou server.private) - nesses casos, os clientes não poderão resolver o endereço do servidor de fora a rede privada e, portanto, não poderá inscrever ou baixar novos perfis.