Používání produktů Apple ve firemních sítích

Přečtěte si, kteří hostitelé a porty jsou potřeba k používání produktů Apple ve firemních sítích.

Tento článek je určen správcům firemních a školních sítí.

Tento článek popisuje hostitele a porty, ke kterým potřebují mít produkty Apple přístup, aby mohly využívat různé služby. Takto se zařízení připojují k hostitelům a pracují s proxy servery:

  • Síťová připojení k níže uvedeným hostitelům jsou iniciována zařízením, nikoli hostiteli provozovanými společností Apple.
  • Služby Apple odmítnou každé spojení, které používá HTTPS Interception (SSL Inspection). Pokud přenos HTTPS prochází webovým serverem proxy, vypněte HTTPS Interception pro všechny hostitele uvedené v tomto článku.

Ujistěte se, že zařízení Apple mají přístup k hostitelům uvedeným níže.

Apple Push Notification

Přečtěte si, jak řešit potíže s připojením ke službě Apple Push Notification (APNS). U zařízení, která odesílají veškerý provoz přes HTTP proxy, můžete proxy nakonfigurovat buď ručně v zařízení, nebo pomocí Správy mobilních zařízení (MDM). Počínaje systémem macOS 10.15.5 se můžou zařízení připojit k APNS, pokud jsou nakonfigurována pro použití HTTP proxy s autokonfiguračním souborem (PAC).

Nastavení zařízení

Zařízení Apple potřebují během nastavování nebo při instalaci, aktualizaci nebo obnově operačního systému přístup k následujícím hostitelům.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
albert.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Aktivace zařízení Ano
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS a macOS Ověření připojení k internetu pro sítě, které používají kaptivní portály Ano
gs.apple.com 443 TCP iOS, iPadOS, tvOS a macOS   Ano
humb.apple.com 443 TCP iOS, iPadOS, tvOS a macOS   Ano
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS a macOS   Ano
sq-device.apple.com 443 TCP iOS a iPadOS Aktivace eSIM
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS a macOS   Ano
time-ios.apple.com 123 UDP iOS, iPadOS a tvOS Používáno zařízeními k nastavení data a času
time.apple.com 123 UDP iOS, iPadOS, tvOS a macOS Používáno zařízeními k nastavení data a času
time-macos.apple.com 123 UDP Pouze macOS Používáno zařízeními k nastavení data a času

Správa zařízení

Zařízení Apple zaregistrovaná ve službě MDM potřebují přístup k následujícím hostitelům a doménám.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS a macOS Oznámení Push Notification Další informace o službě APNS a proxy serverech.
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Dočasná registrace DEP
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS a macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS a macOS Používáno serverem MDM k určení, které aktualizace softwaru jsou k dispozici pro zařízení využívající spravované aktualizace softwaru Ano
identity.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Portál pro žádosti o certifikát služby APNS Ano
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Hostuje registrační profily používané při registraci zařízení do Apple School Manageru nebo Apple Business Manageru. Ano
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Servery MDM k nahrávání registračních profilů používaných klienty, kteří se zaregistrovali prostřednictvím funkce registrace zařízení v Apple School Manageru nebo Apple Business Manageru, a pro vyhledávání zařízení a účtů Ano
setup.icloud.com 443 TCP iOS a iPadOS Je nutné přihlášení s použitím spravovaného Apple ID na sdíleném iPadu
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Servery MDM pro provádění operací souvisejících s Aplikacemi a Knihami, jako je přidělování nebo odvolávání licencí pro jednotlivá zařízení Ano

Apple Business Manager a Apple School Manager

Správci a manažeři potřebují ke správě a řízení Apple Business Manageru a Apple School Manageru přístup k následujícím hostitelům a doménám.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.business.apple.com
443, 80 TCP - Apple Business Manager
*.school.apple.com 443, 80 TCP - Apple School Manager
appleid.cdn-apple.com 443 TCP - Ověření přihlášení Ano
idmsa.apple.com 443 TCP - Ověření přihlášení Ano
*.itunes.apple.com 443, 80 TCP - Aplikace a knihy Ano
*.mzstatic.com 443 TCP - Aplikace a knihy
api.ent.apple.com 443 TCP - Aplikace a knihy (ABM)
api.edu.apple.com 443 TCP - Aplikace a knihy (ASM)
statici.icloud.com 443 TCP - Ikony zařízení
*.vertexsmb.com 443 TCP - Ověřování statusu osvobození od daně
www.apple.com/cz 443 TCP - Písma pro určité jazyky
upload.appleschoolcontent.com 22 SSH - Nahrávání přes SFTP Ano

Zaměstnanci a studenti používající spravovaná Apple ID potřebují přístup k následujícímu hostiteli, aby mohli při psaní zpráv nebo sdílení dokumentů vyhledat ostatní ve své firmě nebo škole.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
ws-ee-maidsvc.icloud.com 443, 80 TCP iOS, iPadOS a macOS
Služba vyhledávání uživatelů

Správa zařízení Apple Business Essentials

Administrátoři a zařízení spravovaná prostřednictvím Apple Business Essentials potřebují přístup k následujícím hostitelům a doménám, spolu s těmi, které jsou uvedeny výše pro Apple Business Manager.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
axm-adm-enroll.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Server pro registraci DEP
axm-adm-mdm.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Server MDM
axm-adm-scep.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Server SCEP
axm-app.apple.com 443 TCP iOS, iPadOS a macOS Zobrazení a správa aplikací a zařízení
*.apple-mapkit.com 443 TCP iOS a iPadOS Zobrazení polohy zařízení ve spravovaném režimu ztraceného zařízení
icons.axm-usercontent-apple.com 443 TCP macOS Vlastní ikony balíčku

Třída a Škola

Zařízení pro studenty a učitele používající aplikace Třída nebo Škola potřebují přístup k následujícím hostitelům a také k těm, kteří jsou uvedeni v sekcích Apple ID a iCloud níže.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
s.mzstatic.com 443 TCP iPadOS a macOS Ověření zařízení pro aplikace Třída a Škola
play.itunes.apple.com 443 TCP iPadOS a macOS Ověření zařízení pro aplikace Třída a Škola
ws-ee-maidsvc.icloud.com 443 TCP iPadOS a macOS Služba rozpisu třídy pro aplikace Třída a Škola
ws.school.apple.com 443 TCP iPadOS a macOS Služba rozpisu třídy pro aplikace Třída a Škola
pg-bootstrap.itunes.apple.com 443 TCP iPadOS Služba rozdávání zadání v aplikaci Škola
cls-iosclient.itunes.apple.com 443 TCP iPadOS Služba rozdávání zadání v aplikaci Škola
cls-ingest.itunes.apple.com 443 TCP iPadOS Služba rozdávání zadání v aplikaci Škola

Aktualizace softwaru

Zkontrolujte, že funkce pro aktualizaci macOS, aplikací z Mac App Storu a pro ukládání obsahu do mezipaměti mají přístup k následujícím portům.

macOS, iOS, iPadOS, watchOS a tvOS

Zařízení Apple potřebují při instalaci, obnově a aktualizaci iOS, iPadOS, macOS, watchOS a tvOS přístup k následujícím hostitelům.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
appldnld.apple.com 80 TCP iOS, iPadOS a watchOS Aktualizace iOS, iPadOS a watchOS
configuration.apple.com 443 TCP Pouze macOS Aktualizace Rosetta 2
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS, watchOS a macOS Katalog aktualizace softwaru
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS a macOS Aktualizace iOS, iPadOS, tvOS, watchOS a macOS Ano
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS a macOS Aktualizace iOS, iPadOS, tvOS, watchOS a macOS Ano
ig.apple.com 443 TCP Pouze macOS Aktualizace pro macOS Ano
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS a macOS Hostuje katalogy aktualizací softwaru
ns.itunes.apple.com 443 TCP iOS, iPadOS a watchOS   Ano
oscdn.apple.com 443, 80 TCP Pouze macOS Zotavení macOS
osrecovery.apple.com 443, 80 TCP Pouze macOS Zotavení macOS
skl.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
swcdn.apple.com 443, 80 TCP Pouze macOS Aktualizace pro macOS
swdist.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
swdownload.apple.com 443, 80 TCP Pouze macOS Aktualizace pro macOS Ano
swscan.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS a macOS Stahování aktualizací softwaru
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS a macOS Stahování aktualizací softwaru
xp.apple.com 443 TCP iOS, iPadOS, tvOS a macOS   Ano

App Store

Zařízení Apple potřebují pro instalaci a aktualizaci aplikací přístup k následujícím hostitelům a doménám.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba Ano
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba Ano
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS a macOS   Ano
ppq.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Ověření podnikové aplikace

Aktualizace operátora

Mobilní zařízení potřebují k instalaci aktualizací balíčků operátorů přístup k následujícím hostitelům.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
appldnld.apple.com 80 TCP iOS a iPadOS Aktualizace balíčků operátorů
appldnld.apple.com.edgesuite.net 80 TCP iOS a iPadOS Aktualizace balíčků operátorů
https://www.apple.com/cz/itunes/ 80 TCP iOS a iPadOS Zjištění aktualizace balíčku operátora
itunes.apple.com 443 TCP iOS a iPadOS Zjištění aktualizace balíčku operátora
updates-http.cdn-apple.com 80 TCP iOS a iPadOS Aktualizace balíčků operátorů
updates.cdn-apple.com 443 TCP iOS a iPadOS Aktualizace balíčků operátorů

Ukládání obsahu na server

Mac, který umožňuje ukládání obsahu do mezipaměti, potřebuje přístup k následujícím hostitelům i hostitelům uvedeným v tomto dokumentu, kteří poskytují obsah společnosti Apple, jako jsou aktualizace softwaru, aplikace a doplňující obsah.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
lcdn-registration.apple.com 443 TCP Pouze macOS Registrace serveru Ano
suconfig.apple.com 80 TCP Pouze macOS

Konfigurace
xp-cdn.apple.com 443 TCP Pouze macOS Hlášení Ano

Klienti macOS pro ukládání obsahu do mezipaměti potřebují přístup k následujícím hostitelům.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Služba vyhledávání ukládání obsahu do mezipaměti
serverstatus.apple.com
443 TCP Pouze macOS Určení veřejné IP adresy klienta pro ukládání obsahu do mezipaměti

Funkce aplikace

Zařízení Apple mohou k používání některých funkcí aplikace potřebovat přístup k následujícím hostitelům. 

Ke spuštění aplikací v macOS 10.14 a novějším je nutné ověřování aplikací. Pokud vývojář aplikace nepřipojil k aplikaci lístek notarizace, Gatekeeper vyžaduje k potvrzení ověření přístup k serverům Apple. Vývojáři aplikací mohou získat další informace o přizpůsobení pracovního postupu ověřování.

Kontrola aplikací se používá k potvrzení, že je spuštěna platná instance aplikace. Vývojáři aplikací mohou získat další informace o zajištění integrity aplikace.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
api.apple-cloudkit.com 443 TCP macOS Ověřování aplikací
*.appattest.apple.com 443 TCP iOS, iPadOS a macOS Kontrola aplikací a ověřování na webech pomocí Touch ID a Face ID

Feedback Assistant

Feedback Assistant je aplikace používaná vývojáři a členy týmů pro testování betaverzí softwaru k odesílání zpětné vazby do společnosti Apple. Používá následující hostitele:

Hostitelé Port Protokol OS Popis Podporuje servery proxy
bpapi.apple.com 443 TCP Pouze tvOS Distribuce aktualizací betaverzí softwaru Ano
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS a macOS Používáno Feedback Assistantem k odesílání souborů

Ano
fba.apple.com

443 TCP iOS, iPadOS, tvOS a macOS

Používáno Feedback Assistantem k odesílání a prohlížení zpětné vazby

Ano

Apple diagnostika

Zařízení Apple se můžou připojovat k následujícím hostitelům při provádění diagnostiky možných potíží s hardwarem.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Používáno zařízeními Apple při rozpoznávání poruch hardwaru Ano

Požívání systému překladu doménových názvů (DNS)

Šifrovaný systém doménových názvů (DNS) v iOS 14, iPadOS 14, tvOS 14 a macOS Big Sur a novějších používá následujícího hostitele.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Používá se pro DNS přes HTTPS (DoH) Ano

Ověřování certifikátů

Zařízení Apple musí být schopna připojit se k následujícím hostitelům, aby mohla ověřovat digitální certifikáty používané hostiteli uvedenými v tomto článku.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
crl.apple.com 80 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
crl.entrust.net 80 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS a macOS Ověření certifikátu v Číně
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů
valid.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Ověřování certifikátů Ano

Apple ID

Zařízení Apple musí být schopna připojit se k následujícím hostitelům, aby mohla ověřovat Apple ID. Je to vyžadováno pro všechny služby, které používají Apple ID, jako je iCloud, instalace aplikací a Xcode.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
appleid.apple.com
443 TCP iOS, iPadOS, tvOS a macOS
Ověření Apple ID v nabídkách Nastavení a Předvolby systému
Ano
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS a macOS
Ověření Apple ID v nabídkách Nastavení a Předvolby systému
Ano
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Ověření Apple ID Ano
gsa.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Ověření Apple ID Ano

iCloud

Kromě výše uvedených hostitelů Apple ID musí být zařízení Apple schopna připojit se k hostitelům v následujících doménách, aby mohla používat služby iCloudu.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS a macOS Služby iCloudu
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS a macOS Služby iCloudu
*.apzones.com 443 TCP iOS, iPadOS, tvOS a macOS Služby iCloudu v Číně
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS a macOS Služby iCloudu
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS a macOS
Služby iCloudu
*.icloud.com 443 TCP iOS, iPadOS, tvOS a macOS Služby iCloudu
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS a macOS
Služby iCloudu v Číně
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Služby iCloudu
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS a macOS Služby iCloudu
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS a macOS Dokumenty iWork
mask.icloud.com 443 UDP iOS, iPadOS, macOS Soukromý přenos přes iCloud
mask-h2.icloud.com 443 TCP iOS, iPadOS, macOS Soukromý přenos přes iCloud
mask-api.icloud.com 443 TCP iOS, iPadOS, macOS Soukromý přenos přes iCloud Ano

Siri a vyhledávání

Zařízení Apple musí být schopna připojit se k následujícím hostitelům, aby mohla zpracovávat požadavky Siri, včetně diktování a vyhledávání v aplikacích Apple.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
guzzoni.apple.com 443 TCP iOS, iPadOS a macOS Siri a požadavky na diktování
*.smoot.apple.com 443 TCP iOS, iPadOS a macOS Vyhledávací služby, včetně Siri, Spotlight, Lookup, Safari, News, Zprávy a Hudba

Přidružené domény

Zařízení Apple musí být schopna připojit se k následujícím hostitelům, aby mohla používat přidružené domény v iOS 14, iPadOS 14 a macOS Big Sur a novějších. Přidružené domény podporují univerzální odkazy, což je funkce, která aplikaci umožňuje prezentovat obsah na celém webu nebo jeho části. Přidružené domény používají Handoff, klipy aplikací a rozšíření pro jednotné přihlášení.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
app-site-association.cdn-apple.com 443 TCP, UDP iOS, iPadOS a macOS Přidružené domény pro univerzální odkazy
app-site-association.networking.apple 443 TCP, UDP iOS, iPadOS a macOS Přidružené domény pro univerzální odkazy

Tap to Pay na iPhonu

Chcete-li používat platební aplikaci k přijímání bezkontaktních plateb, iPhone musí mít přístup k následujícím hostitelům.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
pos-device.apple.com 443 TCP, UDP iOS Tap to Pay na iPhonu Ano
humb.apple.com 443 TCP iOS Nastavení Tap to Pay na iPhonu Ano
phonesubmissions.apple.com 443 TCP iOS Volitelné sdílení analýzy Ano

Doplňující obsah

Zařízení Apple musí být schopna připojit se k následujícím hostitelům, aby mohla stáhnout doplňující obsah. Některý doplňující obsah může být také hostován v distribučních obsahových sítích třetích stran.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS a macOS Obsah ke stažení pro GarageBand
devimages-cdn.apple.com
80, 443 TCP Pouze macOS Stahovatelné komponenty Xcode
download.developer.apple.com 80, 443 TCP Pouze macOS Stahovatelné komponenty Xcode
playgrounds-assets-cdn.apple.com 443 TCP iPadOS a macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS a macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP Pouze tvOS
Spořiče obrazovky Apple TV

Firewally

Pokud váš firewall podporuje používání názvů hostitelů, možná budete moci povolit používání většiny výše uvedených služeb Apple jednoduše povolením odchozích spojení na adresy *.apple.com. Pokud můžete konfigurovat firewall jen na základě IP adres, povolte odchozí spojení na adresy 17.0.0.0/8. Celý blok 17.0.0.0/8 je přiřazen společnosti Apple.

HTTP proxy

Proxy server můžete pro služby Apple používat, jen pokud zakážete inspekci paketů a ověřování pro spojení s uvedenými hostiteli. Výjimky z tohoto pravidla jsou uvedeny výše. Pokusy o provedení inspekce obsahu u šifrované komunikace mezi zařízeními a službami Apple povedou k ukončení spojení, aby byla zachována bezpečnost platformy a soukromí uživatelů.

Sítě pro doručování obsahu a překlad názvů DNS

Někteří hostitelé uvedení v tomto článku mohou mít záznamy CNAME v DNS namísto záznamů A nebo AAAA. Tyto záznamy CNAME mohou odkazovat na jiné záznamy CNAME v řetězci, než se nakonec převedou na adresu IP. Tento překlad názvů DNS umožňuje společnosti Apple zajistit rychlé a spolehlivé doručování obsahu uživatelům ve všech regionech a je transparentní pro zařízení a proxy servery. Společnost Apple nezveřejňuje seznam těchto záznamů CNAME, protože se mohou změnit. Pokud nebudete blokovat vyhledávání DNS a nepovolíte přístup k výše uvedeným hostitelům a doménám, nemělo by být nutné nakonfigurovat bránu firewall nebo proxy server tak, aby je povolovaly.

Poslední změny

Prosinec 2022:

  • Přidány sekce Třída a Škola, Siri a vyhledávání, Přidružené domény a Tap to Pay na iPhonu
  • Přidáni hostitelé do sekce Apple Business Manager a Apple School Manager a do sekce správy zařízení Apple Business Essentials
  • Upravena sekce Apple Developer a přejmenována na „Funkce aplikace“
  • Odebráni zastaralí hostitelé pro aktualizace softwaru macOS

Datum zveřejnění: