Използване на продуктите на Apple в корпоративни мрежи

Научете кои хостове и портове се изискват, за да използвате вашите продукти на Apple в корпоративни мрежи.

Тази статия е предназначена за администратори на корпоративни и образователни мрежи.

Продуктите на Apple изискват достъп до интернет хостовете от тази статия за най-различни услуги. Ето как вашите устройства се свързват с хостове и работят с прокси сървъри:

  • Мрежовите връзки към хостовете по-долу се инициират от устройството, а не от хостовете, управлявани от Apple.
  • Услугите на Apple ще откажат всяка връзка, която използва HTTPS прихващане (SSL прихващане). Ако HTTPS обменът преминава през уеб прокси сървър, изключете HTTPS прихващането за хостовете, изброени в тази статия.

Уверете се, че вашите устройства на Apple имат достъп до изброените по-долу хостове.

Apple Push Notifications (Подадени от сървъра известия на Apple)

Научете как да отстранявате неизправности при свързването към услугата Apple Push Notification (Подадени от сървъра известия на Apple) (APN). За устройства, които изпращат целия трафик през HTTP прокси, можете да конфигурирате проксито или ръчно на устройството, или с  конфигурационен профил. Започвайки с macOS 10.15.5, устройствата могат да се свързват към APN, когато са конфигурирани да използват HTTP прокси с прокси файл с автоматично конфигуриране (PAC).

Настройване на устройството

Може да се изисква достъп до следните хостове при настройване на вашето устройство или при инсталиране, обновяване или възстановяване на операционната система.

Хостове Портове Протокол ОС Описание Поддържа проксита
albert.apple.com 443 TCP iOS, tvOS и macOS Активиране на устройството Да
captive.apple.com 443, 80 TCP iOS, tvOS и macOS Проверка на интернет връзката за мрежи, които използват портали за задържане Да
gs.apple.com 443 TCP iOS, tvOS и macOS   Да
humb.apple.com 443 TCP iOS, tvOS и macOS   Да
static.ips.apple.com 443, 80 TCP iOS, tvOS и macOS   Да
sq-device.apple.com 443 TCP Само iOS Активиране на eSIM
tbsc.apple.com 443 TCP iOS, tvOS и macOS   Да
time-ios.apple.com 123 UDP Само iOS и tvOS Използва се от устройства за задаване на дата и час
time.apple.com 123 UDP iOS, tvOS и macOS Използва се от устройства за задаване на дата и час
time-macos.apple.com 123 UDP Само macOS Използва се от устройства за задаване на дата и час

Device Management (Управление на устройства)

За устройства, записани в Mobile Device Management (Управление на мобилни устройства, MDM), може да се изисква мрежов достъп до следните хостове:

Хостове Портове Протокол ОС Описание Поддържа проксита
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS и macOS Push notifications (Подадени от сървъра известия) Научете повече за APN и прокси сървърите.
gdmf.apple.com 443 TCP iOS, tvOS и macOS Използва се от MDM сървър, за да идентифицира кои софтуерни актуализации са достъпни за устройства, които използват управлявани софтуерни актуализации Да
deviceenrollment.apple.com 443 TCP iOS, tvOS и macOS Временно записване в DEP
deviceservices-external.apple.com 443 TCP iOS, tvOS и macOS  
identity.apple.com 443 TCP iOS, tvOS и macOS Портал за заявки за сертификати на APN Да
iprofiles.apple.com 443 TCP iOS, tvOS и macOS Профили за записване в хостове, които се използват, когато устройства се запишат в Apple School Manager или Apple Business Manager чрез Device Enrollment (Записване на устройства) Да
mdmenrollment.apple.com 443 TCP iOS, tvOS и macOS MDM сървъри за качване на профили за записване, използвани от клиенти, които се записват чрез Device Enrollment (Записване на устройства) в Apple School Manager или Apple Business Manager, и за търсене на устройства и акаунти Да
setup.icloud.com 443 TCP Само iOS Изисква се да влезете с управляван Apple ID на споделен iPad
vpp.itunes.apple.com 443 TCP iOS, tvOS и macOS MDM сървъри за извършване на операции, свързани с Apps and Books (Приложения и книги), като назначаване или отнемане на лицензи на устройство Да

Apple School Manager и Apple Business Manager

За пълната функционалност на Apple School Manager и Apple Business Manager е необходим мрежов достъп до следните хостове, както и до хостовете в раздела App Store.

Хостове Портове Протокол ОС Описание Поддържа проксита
*.school.apple.com 443, 80 TCP - Услуга Schoolwork Roster (Списък в Schoolwork) -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Услуга Schoolwork Roster (Списък в Schoolwork) -
*.business.apple.com. 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

Обновявания на софтуер

Уверете се, че имате достъп до следните портове за обновяване на macOS, на приложения от Mac App Store и за използване на кеширане на съдържание.

macOS, iOS и tvOS

За инсталиране, възстановяване и обновяване на macOS, iOS и tvOS се изисква мрежов достъп до следните имена на хостове:

Хостове Портове Протокол ОС Описание Поддържа проксита
appldnld.apple.com 80 TCP Само iOS Обновявания за iOS
configuration.apple.com 443 TCP macOS Актуализации на Rosetta 2 -
gg.apple.com 443, 80 TCP iOS, tvOS и macOS Обновявания за iOS, tvOS и macOS Да
gnf-mdn.apple.com 443 TCP Само macOS Обновявания за macOS Да
gnf-mr.apple.com 443 TCP Само macOS Обновявания за macOS Да
gs.apple.com 443, 80 TCP Само macOS Обновявания за macOS Да
ig.apple.com 443 TCP Само macOS Обновявания за macOS Да
mesu.apple.com 443, 80 TCP iOS, tvOS и macOS Хоства каталози за обновяване на софтуер
ns.itunes.apple.com 443 TCP Само iOS   Да
oscdn.apple.com 443, 80 TCP Само macOS Възстановяване на macOS
osrecovery.apple.com 443, 80 TCP Само macOS Възстановяване на macOS
skl.apple.com 443 TCP Само macOS Обновявания за macOS
swcdn.apple.com 80 TCP Само macOS Обновявания за macOS
swdist.apple.com 443 TCP Само macOS Обновявания за macOS
swdownload.apple.com 443, 80 TCP Само macOS Обновявания за macOS Да
swpost.apple.com 80 TCP Само macOS Обновявания за macOS Да
swscan.apple.com 443 TCP Само macOS Обновявания за macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS и macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS и macOS  
xp.apple.com 443 TCP iOS, tvOS и macOS   Да

App Store

За обновяване на приложенията може да се изисква достъп до следните хостове:

Хостове Портове Протокол ОС Описание Поддържа проксита
*.itunes.apple.com 443, 80 TCP iOS, tvOS и macOS Съхраняване на съдържание като приложения, книги и музика Да
*.apps.apple.com 443 TCP iOS, tvOS и macOS Съхраняване на съдържание като приложения, книги и музика Да
*.mzstatic.com 443 TCP iOS, tvOS и macOS Съхраняване на съдържание като приложения, книги и музика
itunes.apple.com 443, 80 TCP iOS, tvOS и macOS   Да
ppq.apple.com 443 TCP iOS, tvOS и macOS Проверка на Enterprise App (Корпоративно приложение)

Кеширане на съдържание

За Mac, който използва кеширане на съдържание в macOS, се изисква достъп до следния хост:

Хостове Портове Протокол ОС Описание Поддържа проксита
lcdn-registration.apple.com 443 TCP Само macOS Регистрация на сървъра за кеширане на съдържание Да
serverstatus.apple.com 443 TCP iOS, tvOS и macOS Определяне на публичния IP на клиента за кеширане на съдържание Да

Разработчик на Apple

За нотаризация и проверка на приложения се изисква достъп до следните хостове.

Нотаризация на приложения

Започвайки от macOS 10.14.5, софтуерът се проверява за нотаризация, преди да се пусне. За да бъде тази проверка успешна, Mac трябва да има възможност да получи достъп до същите хостове, изброени в раздел „Уверете се, че вашият сървър за изграждане на приложения има мрежов достъп“ в „Приспособяване на работния поток на нотаризация“:

Хостове Портове Протокол ОС Описание Поддържа проксита
17.248.128.0/18 443 TCP Само macOS Доставка на билети
17.250.64.0/18 443 TCP Само macOS Доставка на билети
17.248.192.0/19 443 TCP Само macOS Доставка на билети

Проверка на приложението

Хостове Портове Протокол ОС Описание Поддържа проксита
*.appattest.apple.com 443 TCP iOS и macOS Проверка на приложението, удостоверяване с Touch ID и Face ID за уебсайтове -

Feedback Assistant (Помощник за обратна връзка)

Feedback Assistant (Помощник за обратна връзка) е приложение, използвано от разработчици и членове на бета софтуерните програми, за да докладва обратна връзка на Apple. То използва следните хостове:

Хостове Порт Протокол ОС Описание Поддържа проксита
fba.apple.com 443 TCP iOS, tvOS и macOS Използва се от Feedback Assistant (Помощник за обратна връзка) за подаване и преглед на отзиви Да
cssubmissions.apple.com 443 TCP iOS, tvOS и macOS Използва се от Feedback Assistant (Помощник за обратна връзка) за качване на файлове Да
bpapi.apple.com 443 TCP само tvOS Осигурява бета актуализации на софтуера Да

Диагностика на Apple

Устройствата на Apple могат да имат достъп до следния хост, за да извършват диагностика, използвана за откриване на възможен хардуерен проблем:

Хостове Портове Протокол ОС Описание Поддържа проксита
diagassets.apple.com 443 TCP iOS, tvOS и macOS Използва се от устройства на Apple, за да помогне за откриване на възможни хардуерни проблеми Да

Преобразуване на системата за имена на домейни

За да се използва преобразуване на криптирана система за имена на домейни (DNS) в iOS 14, tvOS 14 и macOS Big Sur, ще се осъществи връзка със следния хост:

Хостове Портове Протокол ОС Описание Поддържа проксита
doh.dns.apple.com 443 TCP iOS, tvOS и macOS Използва се за DNS през HTTPS (DoH) Да

Проверка на сертификати

Устройствата на Apple трябва да могат да се свързват със следните хостове, за да проверяват цифрови сертификати, използвани от изброените по-горе хостове:

Хостове Портове Протокол ОС Описание Поддържа проксита
crl.apple.com 80 TCP iOS, tvOS и macOS Проверка на сертификати
crl.entrust.net 80 TCP iOS, tvOS и macOS Проверка на сертификати
crl3.digicert.com 80 TCP iOS, tvOS и macOS Проверка на сертификати
crl4.digicert.com 80 TCP iOS, tvOS и macOS Проверка на сертификати
ocsp.apple.com 80 TCP iOS, tvOS и macOS Проверка на сертификати
ocsp.digicert.com 80 TCP iOS, tvOS и macOS Проверка на сертификати
ocsp.entrust.net 80 TCP iOS, tvOS и macOS Проверка на сертификати
ocsp.verisign.net 80 TCP iOS, tvOS и macOS Проверка на сертификати
valid.apple.com 443 TCP iOS, tvOS и macOS Проверка на сертификати Да

Защитни стени

Ако вашата защитна стена поддържа имена на хостове, може да имате възможност да използвате повечето от услугите на Apple по-горе, като разрешите изходящи връзки към *.apple.com. Ако вашата защитна стена може да бъде конфигурирана само с IP адреси, разрешете изходящи връзки към 17.0.0.0/8. Целият адресен блок 17.0.0.0/8 е присвоен на Apple.

HTTP прокси

Можете да използвате услугите на Apple през прокси, ако забраните проверката на пакети и удостоверяването на обмена към и от изброените хостове. Изключенията от това са отбелязани по-горе. Опитите за извършване на проверка на съдържанието на криптирани съобщения между устройства и услуги на Apple ще доведат до прекъсване на връзката, за да се запази сигурността на платформата и поверителността на потребителите.

Дата на публикуване: