Apple-Produkte in Unternehmensnetzwerken verwenden

Hier erfährst du, welche Hosts und Ports für die Verwendung deiner Apple-Produkte in Unternehmensnetzwerken erforderlich sind.

Dieser Artikel richtet sich an Netzwerkadministratoren aus dem Unternehmens- und Bildungssektor.

Apple-Produkte benötigen für eine Reihe von Diensten den Zugriff auf die Internet-Hosts in diesem Artikel. So stellen deine Geräte eine Verbindung zu Hosts her und funktionieren mit Proxys:

  • Netzwerkverbindungen zu den unten aufgeführten Hosts werden vom Gerät hergestellt, nicht von Hosts, die von Apple betrieben werden.
  • Apple-Dienste können keine Verbindung herstellen, die HTTPS Interception (SSL Inspection) verwendet. Wenn der HTTPS-Datenverkehr einen Web-Proxy durchläuft, deaktiviere HTTPS Interception für die in diesem Artikel aufgeführten Hosts.

Vergewissere dich, dass deine Apple-Geräte auf die unten aufgeführten Hosts zugreifen können.

Apple Push-Mitteilungen

Hier erfährst du, wie du Probleme bei der Verbindung mit dem Push-Mitteilungsdienst von Apple (APNs) beheben kannst. Für Geräte, die den gesamten Datenverkehr über einen HTTP-Proxy senden, kannst du den Proxy entweder manuell auf dem Gerät oder mit einem Konfigurationsprofil konfigurieren. Ab macOS 10.15.5 können Geräte eine Verbindung mit APNs herstellen, wenn sie über eine PAC (Proxy Auto-Config)-Datei für die Verwendung des HTTP-Proxys konfiguriert wurden.

Geräteeinrichtung

Der Zugriff auf die folgenden Hosts kann erforderlich sein, wenn du dein Gerät einrichtest oder das Betriebssystem installierst, aktualisierst oder wiederherstellst.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
albert.apple.com 443 TCP iOS, tvOS und macOS Aktivierung des Geräts Ja
captive.apple.com 443, 80 TCP iOS, tvOS und macOS Überprüfung der Internetverbindung für Netzwerke, die Captive-Portale verwenden Ja
gs.apple.com 443 TCP iOS, tvOS und macOS   Ja
humb.apple.com 443 TCP iOS, tvOS und macOS   Ja
static.ips.apple.com 443, 80 TCP iOS, tvOS und macOS   Ja
sq-device.apple.com 443 TCP Nur iOS Aktivierung der eSIM
tbsc.apple.com 443 TCP iOS, tvOS und macOS   Ja
time-ios.apple.com 123 UDP Nur iOS und tvOS Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet
time.apple.com 123 UDP iOS, tvOS und macOS Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet
time-macos.apple.com 123 UDP Nur macOS Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet

Geräteverwaltung

Für Geräte, die bei der Mobilgeräteverwaltung (Mobile Device Management, MDM) registriert sind, ist möglicherweise ein Netzwerkzugriff auf die folgenden Hosts erforderlich:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS und macOS Push-Mitteilungen Weitere Informationen über APNs und Proxys
gdmf.apple.com 443 TCP iOS, tvOS und macOS Wird von einem MDM-Server verwendet, um zu ermitteln, welche Softwareaktualisierungen für Geräte verfügbar sind, die verwaltete Softwareaktualisierungen verwenden Ja
deviceenrollment.apple.com 443 TCP iOS, tvOS und macOS Vorläufige DEP-Registrierung
deviceservices-external.apple.com 443 TCP iOS, tvOS und macOS  
identity.apple.com 443 TCP iOS, tvOS und macOS Portal zum Anfordern von Zertifikaten für APNs Ja
iprofiles.apple.com 443 TCP iOS, tvOS und macOS Hostet Registrierungsprofile, die bei der Registrierung von Geräten über die Geräteregistrierung in Apple School Manager oder Apple Business Manager verwendet werden Ja
mdmenrollment.apple.com 443 TCP iOS, tvOS und macOS MDM-Server zum Hochladen von Registrierungsprofilen, die von Clients verwendet werden, die sich über die Geräteregistrierung in Apple School Manager oder Apple Business Manager registrieren, sowie zum Nachschlagen von Geräten und Accounts Ja
setup.icloud.com 443 TCP Nur iOS Erforderlich, um sich mit einer verwalteten Apple-ID bei einem geteilten iPad anzumelden
vpp.itunes.apple.com 443 TCP iOS, tvOS und macOS MDM-Server zum Ausführen von Aktionen für Apps und Bücher, z. B. Zuweisen oder Widerrufen von Lizenzen auf einem Gerät Ja

Apple School Manager und Apple Business Manager

Für die volle Funktionalität von Apple School Manager und Apple Business Manager ist der Netzwerkzugriff auf die folgenden Hosts sowie auf die Hosts im Abschnitt App Store erforderlich.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.school.apple.com 443, 80 TCP - Teilnehmerliste in Schoolwork -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Teilnehmerliste in Schoolwork -
*.business.apple.com. 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

Softwareupdates

Vergewissere dich, dass du auf die folgenden Ports zugreifen kannst, um macOS und Apps aus dem Mac App Store zu aktualisieren und das Inhaltscaching nutzen zu können.

macOS, iOS und tvOS

Netzwerkzugriff auf die folgenden Hostnamen ist erforderlich, um macOS, iOS und tvOS zu installieren, wiederherzustellen und zu aktualisieren:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
appldnld.apple.com 80 TCP Nur iOS iOS-Aktualisierungen
configuration.apple.com 443 TCP macOS Rosetta 2-Aktualisierungen -
gg.apple.com 443, 80 TCP iOS, tvOS und macOS iOS, tvOS und macOS-Updates Ja
gnf-mdn.apple.com 443 TCP Nur macOS macOS-Updates Ja
gnf-mr.apple.com 443 TCP Nur macOS macOS-Updates Ja
gs.apple.com 443, 80 TCP Nur macOS macOS-Updates Ja
ig.apple.com 443 TCP Nur macOS macOS-Updates Ja
mesu.apple.com 443, 80 TCP iOS, tvOS und macOS Hostet Kataloge mit Softwareupdates
ns.itunes.apple.com 443 TCP Nur iOS   Ja
oscdn.apple.com 443, 80 TCP Nur macOS macOS-Wiederherstellung
osrecovery.apple.com 443, 80 TCP Nur macOS macOS-Wiederherstellung
skl.apple.com 443 TCP Nur macOS macOS-Updates
swcdn.apple.com 80 TCP Nur macOS macOS-Updates
swdist.apple.com 443 TCP Nur macOS macOS-Updates
swdownload.apple.com 443, 80 TCP Nur macOS macOS-Updates Ja
swpost.apple.com 80 TCP Nur macOS macOS-Updates Ja
swscan.apple.com 443 TCP Nur macOS macOS-Updates
updates-http.cdn-apple.com 80 TCP iOS, tvOS und macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS und macOS  
xp.apple.com 443 TCP iOS, tvOS und macOS   Ja

App Store

Zum Aktualisieren von Apps ist möglicherweise Zugriff auf die folgenden Hosts erforderlich:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.itunes.apple.com 443, 80 TCP iOS, tvOS und macOS App Store-Inhalte wie Apps, Bücher und Musik Ja
*.apps.apple.com 443 TCP iOS, tvOS und macOS App Store-Inhalte wie Apps, Bücher und Musik Ja
*.mzstatic.com 443 TCP iOS, tvOS und macOS App Store-Inhalte wie Apps, Bücher und Musik
itunes.apple.com 443, 80 TCP iOS, tvOS und macOS   Ja
ppq.apple.com 443 TCP iOS, tvOS und macOS Validierung von Unternehmens-Apps

Inhaltscaching

Für einen Mac, der das Inhaltscaching in macOS verwendet, ist der Zugriff auf den folgenden Host erforderlich:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
lcdn-registration.apple.com 443 TCP Nur macOS Registrierung des Inhaltscaching-Servers Ja
serverstatus.apple.com 443 TCP iOS, tvOS und macOS Überprüfung der öffentlichen IP durch Inhaltscaching-Client Ja

Apple Developer

Für die App-Zulassungsprüfung und App-Validierung ist Zugriff auf die folgenden Hosts erforderlich.

App-Zulassungsprüfung

Ab macOS 10.14.5 wird für die Software vor dem Ausführen eine Zulassungsprüfung durchgeführt. Damit diese Überprüfung erfolgreich ist, muss ein Mac auf dieselben Hosts zugreifen können, die im Abschnitt "Ensure Your Build Server Has Network Access" (Sicherstellen, dass dein Build-Server über Netzwerkzugriff verfügt) unter Customizing the Notarization Workflow (Anpassen des Workflows für die Zulassungsprüfung) aufgeführt sind:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
17.248.128.0/18 443 TCP Nur macOS Ticket-Bereitstellung
17.250.64.0/18 443 TCP Nur macOS Ticket-Bereitstellung
17.248.192.0/19 443 TCP Nur macOS Ticket-Bereitstellung

App-Validierung

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.appattest.apple.com 443 TCP iOS und macOS App-Validierung, Touch ID- und Face ID-Authentifizierung für Websites -

Feedback-Assistent

Feedback-Assistant ist eine App, die von Entwicklern und Teilnehmern der Beta-Softwareprogramme verwendet wird, um Apple Feedback zu geben. Dazu werden die folgenden Hosts verwendet:

Hosts Port Protokoll Betriebssystem Beschreibung Unterstützt Proxys
fba.apple.com 443 TCP iOS, tvOS und macOS Wird vom Feedback-Assistent zum Melden und Anzeigen von Feedback verwendet Ja
cssubmissions.apple.com 443 TCP iOS, tvOS und macOS Wird vom Feedback-Assistent zum Hochladen von Dateien verwendet Ja
bpapi.apple.com 443 TCP Nur tvOS Bietet Beta-Softwareupdates Ja

Apple Diagnose

Apple-Geräte können auf den folgenden Host zugreifen, um eine Diagnose für mögliche Hardwareprobleme durchzuführen:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
diagassets.apple.com 443 TCP iOS, tvOS und macOS Wird von Apple-Geräten verwendet, um mögliche Hardwareprobleme zu erkennen Ja

Auflösung des Domain Name System (DNS)

Um die verschlüsselte DNS-Auflösung in iOS 14, tvOS 14 und macOS Big Sur zu verwenden, wird der folgende Host kontaktiert:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
doh.dns.apple.com 443 TCP iOS, tvOS und macOS Wird für DNS über HTTPS (DoH) verwendet Ja

Validierung von Zertifikaten

Apple-Geräte müssen eine Verbindung zu den folgenden Hosts herstellen können, um die von den oben aufgeführten Hosts verwendeten digitalen Zertifikate zu validieren:

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
crl.apple.com 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
crl.entrust.net 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
crl3.digicert.com 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
crl4.digicert.com 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
ocsp.apple.com 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
ocsp.digicert.com 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
ocsp.entrust.net 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
ocsp.verisign.net 80 TCP iOS, tvOS und macOS Validierung von Zertifikaten
valid.apple.com 443 TCP iOS, tvOS und macOS Validierung von Zertifikaten Ja

Firewalls

Wenn deine Firewall die Verwendung von Hostnamen unterstützt, kannst du möglicherweise die meisten der oben genannten Apple-Dienste nutzen, indem du ausgehende Verbindungen zu *.apple.com zulässt. Wenn deine Firewall nur mit IP-Adressen konfiguriert werden kann, lasse ausgehende Verbindungen zu 17.0.0.0/8 zu. Der gesamte Adressblock 17.0.0.0/8 ist Apple zugewiesen.

HTTP-Proxy

Du kannst Apple-Dienste über einen Proxy verwenden, wenn du die Paketprüfung und -authentifizierung für den Datenverkehr zu und von den aufgelisteten Hosts deaktivierst. Ausnahmen hierzu sind oben angegeben. Versuche, eine Inhaltsprüfung für verschlüsselte Kommunikationen zwischen Apple-Geräten und -Diensten durchzuführen, führen zu einem Verbindungsabbruch, um die Plattformsicherheit und die Privatsphäre der Benutzer zu gewährleisten.

Veröffentlichungsdatum: