Používání produktů Apple ve firemních sítích

Přečtěte si, které adresy a porty musí být přístupné při použití produktů Apple v podnikových sítích.

Tento článek je určen správcům firemních a školních sítí.

Tento článek popisuje adresy a porty, ke kterým potřebují mít produkty Apple přístup, aby mohly využívat různé služby. Takto se zařízení připojují k hostitelům a pracují s proxy servery:

  • Síťová připojení k níže uvedeným hostitelům jsou iniciována zařízením, nikoli hostiteli provozovanými společností Apple.
  • Služby Apple odmítnou každé spojení, které používá HTTPS Interception (SSL Inspection). Pokud přenos HTTPS prochází webovým serverem proxy, vypněte HTTPS Interception pro všechny hostitele uvedené v tomto článku.

Ujistěte se, že zařízení Apple mají přístup k hostitelům uvedeným níže.

Apple Push Notification

Přečtěte si, jak řešit potíže s připojením ke službě Apple Push Notification (APN). U zařízení, která odesílají veškerý provoz přes HTTP proxy, můžete proxy nakonfigurovat buď ručně na zařízení, nebo pomocí konfiguračního profilu. Připojení k APN se nezdaří, pokud jsou zařízení nakonfigurována pro použití HTTP proxy s autokonfiguračním souborem (PAC).

Nastavení zařízení

Při nastavování zařízení nebo při instalaci, aktualizaci nebo obnovení operačního systému může být vyžadován přístup k následujícím hostitelům.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
albert.apple.com 443 TCP iOS, tvOS a macOS   Ano
captive.apple.com 443, 80 TCP iOS, tvOS a macOS Ověření připojení k internetu pro sítě, které používají kaptivní portály. Ano
gs.apple.com 443 TCP iOS, tvOS a macOS   Ano
humb.apple.com 443 TCP iOS, tvOS a macOS   Ano
static.ips.apple.com 443, 80 TCP iOS, tvOS a macOS   Ano
tbsc.apple.com 443 TCP Pouze macOS   Ano
time-ios.apple.com 123 UDP Pouze pro iOS a tvOS Používáno zařízeními k nastavení data a času
time.apple.com 123 UDP iOS, tvOS a macOS Používáno zařízeními k nastavení data a času
time-macos.apple.com 123 UDP Pouze macOS Používáno zařízeními k nastavení data a času

Správa zařízení

Pro zařízení registrovaná v řešení MDM (Mobile Device Management) může být vyžadován přístup k následujícím hostitelům v síti:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS a macOS Oznámení Push Notification Další informace o službě APN a proxy serverech.
gdmf.apple.com 443 TCP iOS, tvOS a macOS Server MDM k určení, které aktualizace softwaru jsou k dispozici pro zařízení využívající spravované aktualizace softwaru. Ano
deviceenrollment.apple.com 443 TCP iOS, tvOS a macOS Dočasná registrace DEP.
deviceservices-external.apple.com 443 TCP iOS, tvOS a macOS  
identity.apple.com 443 TCP iOS, tvOS a macOS Portál pro žádosti o certifikát služby APN. Ano
iprofiles.apple.com 443 TCP iOS, tvOS a macOS Hostuje registrační profily používané při registraci zařízení do Apple School Manageru nebo Apple Business Manageru. Ano
mdmenrollment.apple.com 443 TCP iOS, tvOS a macOS Servery MDM k nahrávání registračních profilů používaných klienty, kteří se zaregistrovali prostřednictvím funkce registrace zařízení v Apple School Manageru nebo Apple Business Manageru, a pro vyhledávání zařízení a účtů. Ano
vpp.itunes.apple.com 443 TCP iOS, tvOS a macOS Servery MDM pro provádění operací souvisejících Aplikacemi a Knihami, jako je přidělování nebo odvolávání licencí pro jednotlivá zařízení. Ano

Aktualizace softwaru

Zkontrolujte, že funkce pro aktualizaci macOS, aplikací z Mac App Storu a pro ukládání obsahu do mezipaměti mají přístup k následujícím portům.

macOS, iOS a tvOS

Pro instalaci, obnovu a aktualizaci macOS, iOS a tvOS je vyžadován přístup k následujícím hostitelům v síti:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
appldnld.apple.com 80 TCP Pouze pro iOS Aktualizace pro iOS
gg.apple.com 443, 80 TCP Pouze macOS Aktualizace pro macOS Ano
gnf-mdn.apple.com 443 TCP Pouze macOS Aktualizace pro macOS Ano
gnf-mr.apple.com 443 TCP Pouze macOS Aktualizace pro macOS Ano
gs.apple.com 443, 80 TCP Pouze macOS Aktualizace pro macOS Ano
ig.apple.com 443 TCP Pouze macOS Aktualizace pro macOS Ano
mesu.apple.com 443, 80 TCP iOS, tvOS a macOS Hostuje katalogy aktualizací softwaru
ns.itunes.apple.com 443 TCP Pouze pro iOS   Ano
oscdn.apple.com 443, 80 TCP Pouze macOS Zotavení macOS
osrecovery.apple.com 443, 80 TCP Pouze macOS Zotavení macOS
skl.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
swcdn.apple.com 80 TCP Pouze macOS Aktualizace pro macOS
swdist.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
swdownload.apple.com 443, 80 TCP Pouze macOS Aktualizace pro macOS Ano
swpost.apple.com 80 TCP Pouze macOS Aktualizace pro macOS Ano
swscan.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS a macOS  
updates.apple.com 443 TCP iOS, tvOS a macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS a macOS  
xp.apple.com 443 TCP iOS, tvOS a macOS   Ano

App Store

Pro aktualizaci aplikací může být vyžadován přístup k následujícím hostitelům:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.itunes.apple.com 443, 80 TCP iOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba Ano
*.apps.apple.com 443 TCP iOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba Ano
*.mzstatic.com 443 TCP iOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba
itunes.apple.com 443, 80 TCP iOS, tvOS a macOS   Ano
ppq.apple.com 443 TCP iOS, tvOS a macOS Ověření podnikové aplikace

Ukládání obsahu do mezipaměti

Mac, který používá funkci ukládání obsahu do mezipaměti vestavěnou v systému macOS, vyžaduje přístup k následujícímu hostiteli:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
lcdn-registration.apple.com 443 TCP Pouze macOS Registrace serveru pro ukládání obsahu do mezipaměti Ano

Ověřování aplikací

Počínaje macOS 10.14.5 je software před spuštěním ověřován, neboli notarizován. Aby mohla tato kontrola úspěšně proběhnout, musí mít Mac přístup k hostitelům uvedeným v části „Ensure Your Build Server Has Network Access“ v dokumentu Customizing the Notarization Workflow:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
17.248.128.0/18 443 TCP Pouze macOS Doručování lístků
17.250.64.0/18 443 TCP Pouze macOS Doručování lístků
17.248.192.0/19 443 TCP Pouze macOS Doručování lístků

Ověřování certifikátů

Zařízení Apple musí být schopna připojit se k následujícím hostitelům, aby mohla ověřovat digitální certifikáty používané výše uvedenými hostiteli:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
crl.apple.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
crl.entrust.net 80 TCP iOS, tvOS a macOS Ověřování certifikátů
crl3.digicert.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
crl4.digicert.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.apple.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.digicert.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.entrust.net 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.verisign.net 80 TCP iOS, tvOS a macOS Ověřování certifikátů

Firewally

Pokud váš firewall podporuje používání názvů hostitelů, možná budete moci povolit používání většiny výše uvedených služeb Apple jednoduše povolením odchozích spojení na adresy *.apple.com. Pokud můžete konfigurovat firewall jen na základě IP adres, povolte odchozí spojení na adresy 17.0.0.0/8. Celý blok 17.0.0.0/8 je přiřazen společnosti Apple.

HTTP proxy

Proxy server můžete pro služby Apple používat, jen pokud zakážete inspekci paketů a ověřování pro spojení s uvedenými hostiteli. Výjimky z tohoto pravidla jsou uvedeny výše. Pokusy o provedení inspekce obsahu u šifrované komunikace mezi zařízeními a službami Apple povedou k ukončení spojení, aby byla zachována bezpečnost platformy a soukromí uživatelů.

Datum zveřejnění: