Používání produktů Apple ve firemních sítích

Přečtěte si, které adresy a porty jsou potřeba k používání produktů Apple ve firemních sítích.

Tento článek je určen správcům firemních a školních sítí.

Tento článek popisuje adresy a porty, ke kterým potřebují mít produkty Apple přístup, aby mohly využívat různé služby. Takto se zařízení připojují k hostitelům a pracují s proxy servery:

  • Síťová připojení k níže uvedeným hostitelům jsou iniciována zařízením, nikoli hostiteli provozovanými společností Apple.
  • Služby Apple odmítnou každé spojení, které používá HTTPS Interception (SSL Inspection). Pokud přenos HTTPS prochází webovým serverem proxy, vypněte HTTPS Interception pro všechny hostitele uvedené v tomto článku.

Ujistěte se, že zařízení Apple mají přístup k hostitelům uvedeným níže.

Apple Push Notification

Přečtěte si, jak řešit potíže s připojením ke službě Apple Push Notification (APNS). U zařízení, která odesílají veškerý provoz přes HTTP proxy, můžete proxy nakonfigurovat buď ručně na zařízení, nebo pomocí konfiguračního profilu. Počínaje systémem macOS 10.15.5 se můžou zařízení připojit k APNS, pokud jsou nakonfigurována pro použití HTTP proxy s autokonfiguračním souborem (PAC).

Nastavení zařízení

Při nastavování zařízení nebo při instalaci, aktualizaci nebo obnovení operačního systému může být vyžadován přístup k následujícím hostitelům.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
albert.apple.com 443 TCP iOS, tvOS a macOS Aktivace zařízení Ano
captive.apple.com 443, 80 TCP iOS, tvOS a macOS Ověření připojení k internetu pro sítě, které používají kaptivní portály Ano
gs.apple.com 443 TCP iOS, tvOS a macOS   Ano
humb.apple.com 443 TCP iOS, tvOS a macOS   Ano
static.ips.apple.com 443, 80 TCP iOS, tvOS a macOS   Ano
sq-device.apple.com 443 TCP Pouze pro iOS Aktivace eSIM
tbsc.apple.com 443 TCP iOS, tvOS a macOS   Ano
time-ios.apple.com 123 UDP Pouze pro iOS a tvOS Používáno zařízeními k nastavení data a času
time.apple.com 123 UDP iOS, tvOS a macOS Používáno zařízeními k nastavení data a času
time-macos.apple.com 123 UDP Pouze macOS Používáno zařízeními k nastavení data a času

Správa zařízení

Pro zařízení registrovaná v řešení MDM (Mobile Device Management) může být vyžadován přístup k následujícím hostitelům v síti:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS a macOS Oznámení Push Notification Další informace o službě APNS a proxy serverech.
gdmf.apple.com 443 TCP iOS, tvOS a macOS Používáno serverem MDM k určení, které aktualizace softwaru jsou k dispozici pro zařízení využívající spravované aktualizace softwaru Ano
deviceenrollment.apple.com 443 TCP iOS, tvOS a macOS Dočasná registrace DEP
deviceservices-external.apple.com 443 TCP iOS, tvOS a macOS  
identity.apple.com 443 TCP iOS, tvOS a macOS Portál pro žádosti o certifikát služby APNS Ano
iprofiles.apple.com 443 TCP iOS, tvOS a macOS Hostuje registrační profily používané při registraci zařízení do Apple School Manageru nebo Apple Business Manageru. Ano
mdmenrollment.apple.com 443 TCP iOS, tvOS a macOS Servery MDM k nahrávání registračních profilů používaných klienty, kteří se zaregistrovali prostřednictvím funkce registrace zařízení v Apple School Manageru nebo Apple Business Manageru, a pro vyhledávání zařízení a účtů Ano
setup.icloud.com 443 TCP Pouze pro iOS Je nutné přihlášení s použitím spravovaného Apple ID na sdíleném iPadu
vpp.itunes.apple.com 443 TCP iOS, tvOS a macOS Servery MDM pro provádění operací souvisejících s Aplikacemi a Knihami, jako je přidělování nebo odvolávání licencí pro jednotlivá zařízení Ano

Apple School Manager a Apple Business Manager

Pro plnou funkčnost Apple School Manageru a Apple Business Manageru je vyžadován síťový přístup k následujícím hostitelům a k hostitelům v sekci App Store.

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.school.apple.com 443, 80 TCP - Služba Schoolwork Roster -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Služba Schoolwork Roster -
*.business.apple.com. 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

Aktualizace softwaru

Zkontrolujte, že funkce pro aktualizaci macOS, aplikací z Mac App Storu a pro ukládání obsahu do mezipaměti mají přístup k následujícím portům.

macOS, iOS a tvOS

Pro instalaci, obnovu a aktualizaci macOS, iOS a tvOS je vyžadován přístup k následujícím hostitelům v síti:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
appldnld.apple.com 80 TCP Pouze pro iOS Aktualizace pro iOS
configuration.apple.com 443 TCP macOS Aktualizace Rosetta 2 -
gg.apple.com 443, 80 TCP iOS, tvOS a macOS Aktualizace pro iOS, tvOS a macOS Ano
gnf-mdn.apple.com 443 TCP Pouze macOS Aktualizace pro macOS Ano
gnf-mr.apple.com 443 TCP Pouze macOS Aktualizace pro macOS Ano
gs.apple.com 443, 80 TCP Pouze macOS Aktualizace pro macOS Ano
ig.apple.com 443 TCP Pouze macOS Aktualizace pro macOS Ano
mesu.apple.com 443, 80 TCP iOS, tvOS a macOS Hostuje katalogy aktualizací softwaru
ns.itunes.apple.com 443 TCP Pouze pro iOS   Ano
oscdn.apple.com 443, 80 TCP Pouze macOS Zotavení macOS
osrecovery.apple.com 443, 80 TCP Pouze macOS Zotavení macOS
skl.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
swcdn.apple.com 80 TCP Pouze macOS Aktualizace pro macOS
swdist.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
swdownload.apple.com 443, 80 TCP Pouze macOS Aktualizace pro macOS Ano
swpost.apple.com 80 TCP Pouze macOS Aktualizace pro macOS Ano
swscan.apple.com 443 TCP Pouze macOS Aktualizace pro macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS a macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS a macOS  
xp.apple.com 443 TCP iOS, tvOS a macOS   Ano

App Store

Pro aktualizaci aplikací může být vyžadován přístup k následujícím hostitelům:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.itunes.apple.com 443, 80 TCP iOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba Ano
*.apps.apple.com 443 TCP iOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba Ano
*.mzstatic.com 443 TCP iOS, tvOS a macOS Ukládání obsahu, jako jsou aplikace, knihy a hudba
itunes.apple.com 443, 80 TCP iOS, tvOS a macOS   Ano
ppq.apple.com 443 TCP iOS, tvOS a macOS Ověření podnikové aplikace

Ukládání obsahu na server

Mac, který používá funkci ukládání obsahu do mezipaměti vestavěnou v systému macOS, vyžaduje přístup k následujícímu hostiteli:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
lcdn-registration.apple.com 443 TCP Pouze macOS Registrace serveru pro ukládání obsahu do mezipaměti Ano
serverstatus.apple.com 443 TCP iOS, tvOS a macOS Určení veřejné IP adresy klienta pro ukládání obsahu do mezipaměti Ano

Apple Developer

Při kontrole a ověřování aplikací je nutný přístup k následujícím hostitelům.

Ověřování aplikací

Počínaje macOS 10.14.5 je software před spuštěním ověřován, neboli notarizován. Aby mohla tato kontrola úspěšně proběhnout, musí mít Mac přístup k hostitelům uvedeným v části „Ensure Your Build Server Has Network Access“ v dokumentu Customizing the Notarization Workflow:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
17.248.128.0/18 443 TCP Pouze macOS Doručování lístků
17.250.64.0/18 443 TCP Pouze macOS Doručování lístků
17.248.192.0/19 443 TCP Pouze macOS Doručování lístků

Kontrola aplikací

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
*.appattest.apple.com 443 TCP iOS a macOS Kontrola aplikací a ověřování na webech pomocí Touch ID a Face ID -

Feedback Assistant

Feedback Assistant je aplikace používaná vývojáři a členy týmů pro testování betaverzí softwaru k odesílání zpětné vazby do společnosti Apple. Používá následující hostitele:

Hostitelé Port Protokol OS Popis Podporuje servery proxy
fba.apple.com 443 TCP iOS, tvOS a macOS Používáno Feedback Assistantem k odesílání a prohlížení zpětné vazby Ano
cssubmissions.apple.com 443 TCP iOS, tvOS a macOS Používáno Feedback Assistantem k odesílání souborů Ano
bpapi.apple.com 443 TCP Pouze tvOS Distribuce aktualizací betaverzí softwaru Ano

Apple diagnostika

Zařízení Apple se můžou připojovat k následujícím hostitelům při provádění diagnostiky možných potíží s hardwarem:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
diagassets.apple.com 443 TCP iOS, tvOS a macOS Používáno zařízeními Apple při rozpoznávání poruch hardwaru Ano

Požívání systému překladu doménových názvů (DNS)

Při používání šifrovaného systému doménových názvů (DNS) v iOS 14, tvOS 14 a macOS Big Sur bude kontaktován následující hostitel:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
doh.dns.apple.com 443 TCP iOS, tvOS a macOS Používá se pro DNS přes HTTPS (DoH) Ano

Ověřování certifikátů

Zařízení Apple musí být schopna připojit se k následujícím hostitelům, aby mohla ověřovat digitální certifikáty používané výše uvedenými hostiteli:

Hostitelé Porty Protokol OS Popis Podporuje servery proxy
crl.apple.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
crl.entrust.net 80 TCP iOS, tvOS a macOS Ověřování certifikátů
crl3.digicert.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
crl4.digicert.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.apple.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.digicert.com 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.entrust.net 80 TCP iOS, tvOS a macOS Ověřování certifikátů
ocsp.verisign.net 80 TCP iOS, tvOS a macOS Ověřování certifikátů
valid.apple.com 443 TCP iOS, tvOS a macOS Ověřování certifikátů Ano

Firewally

Pokud váš firewall podporuje používání názvů hostitelů, možná budete moci povolit používání většiny výše uvedených služeb Apple jednoduše povolením odchozích spojení na adresy *.apple.com. Pokud můžete konfigurovat firewall jen na základě IP adres, povolte odchozí spojení na adresy 17.0.0.0/8. Celý blok 17.0.0.0/8 je přiřazen společnosti Apple.

HTTP proxy

Proxy server můžete pro služby Apple používat, jen pokud zakážete inspekci paketů a ověřování pro spojení s uvedenými hostiteli. Výjimky z tohoto pravidla jsou uvedeny výše. Pokusy o provedení inspekce obsahu u šifrované komunikace mezi zařízeními a službami Apple povedou k ukončení spojení, aby byla zachována bezpečnost platformy a soukromí uživatelů.

Datum zveřejnění: