Apple-Produkte in Unternehmensnetzwerken verwenden

Hier erfährst du, welche Hosts und Ports für die Verwendung deiner Apple-Produkte in Unternehmensnetzwerken erforderlich sind.

Dieser Artikel richtet sich an Netzwerkadministratoren aus dem Unternehmens- und Bildungssektor.

Apple-Produkte benötigen für eine Reihe von Diensten den Zugriff auf die Internet-Hosts in diesem Artikel. So stellen deine Geräte eine Verbindung zu Hosts her und funktionieren mit Proxys:

  • Netzwerkverbindungen zu den unten aufgeführten Hosts werden vom Gerät hergestellt, nicht von Hosts, die von Apple betrieben werden.
  • Apple-Dienste können keine Verbindung herstellen, die HTTPS Interception (SSL Inspection) verwendet. Wenn der HTTPS-Datenverkehr einen Web-Proxy durchläuft, deaktiviere HTTPS Interception für die in diesem Artikel aufgeführten Hosts.

Vergewissere dich, dass deine Apple-Geräte auf die unten aufgeführten Hosts zugreifen können.

Apple Push-Mitteilungen

Hier erfährst du, wie du Probleme bei der Verbindung mit dem Push-Mitteilungsdienst von Apple (APNs) beheben kannst. Für Geräte, die den gesamten Datenverkehr über einen HTTP-Proxy senden, kannst du den Proxy entweder manuell auf dem Gerät oder mit einem Konfigurationsprofil konfigurieren. Ab macOS 10.15.5 können Geräte eine Verbindung mit APNs herstellen, wenn sie über eine PAC (Proxy Auto-Config)-Datei für die Verwendung des HTTP-Proxys konfiguriert wurden.

Geräteeinrichtung

Der Zugriff auf die folgenden Hosts kann erforderlich sein, wenn du dein Gerät einrichtest oder das Betriebssystem installierst, aktualisierst oder wiederherstellst.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
albert.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Aktivierung des Geräts Ja
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS und macOS Überprüfung der Internetverbindung für Netzwerke, die Captive-Portale verwenden Ja
gs.apple.com 443 TCP iOS, iPadOS, tvOS und macOS   Ja
humb.apple.com 443 TCP iOS, iPadOS, tvOS und macOS   Ja
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS und macOS   Ja
sq-device.apple.com 443 TCP iOS und iPadOS Aktivierung der eSIM
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS und macOS   Ja
time-ios.apple.com 123 UDP iOS, iPadOS und tvOS Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet
time.apple.com 123 UDP iOS, iPadOS, tvOS und macOS Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet
time-macos.apple.com 123 UDP Nur macOS Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet

Geräteverwaltung

Für Geräte, die bei der Mobilgeräteverwaltung (Mobile Device Management, MDM) registriert sind, ist möglicherweise ein Netzwerkzugriff auf die folgenden Hosts erforderlich.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS und macOS Push-Mitteilungen Weitere Informationen über APNs und Proxys.
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Vorläufige DEP-Registrierung
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS und macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS und macOS Wird von einem MDM-Server verwendet, um zu ermitteln, welche Softwareaktualisierungen für Geräte verfügbar sind, die verwaltete Softwareaktualisierungen verwenden Ja
identity.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Portal zum Anfordern von Zertifikaten für APNs Ja
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Hostet Registrierungsprofile, die bei der Registrierung von Geräten über die Geräteregistrierung in Apple School Manager oder Apple Business Manager verwendet werden Ja
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS und macOS MDM-Server zum Hochladen von Registrierungsprofilen, die von Clients verwendet werden, die sich über die Geräteregistrierung in Apple School Manager oder Apple Business Manager registrieren, sowie zum Nachschlagen von Geräten und Accounts Ja
setup.icloud.com 443 TCP iOS und iPadOS Erforderlich, um sich mit einer verwalteten Apple-ID bei einem geteilten iPad anzumelden
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS und macOS MDM-Server zum Ausführen von Aktionen für Apps und Bücher, z. B. Zuweisen oder Widerrufen von Lizenzen auf einem Gerät Ja

Apple School Manager und Apple Business Manager

Für die volle Funktionalität von Apple School Manager und Apple Business Manager ist der Netzwerkzugriff auf die folgenden Hosts sowie auf die Hosts im Abschnitt App Store erforderlich.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.business.apple.com
443, 80 TCP - Apple Business Manager
*.school.apple.com 443, 80 TCP - Teilnehmerliste in Schoolwork
upload.appleschoolcontent.com 22 SSH - SFTP-Uploads Ja
ws-ee-maidsvc.icloud.com 443, 80 TCP - Teilnehmerliste in Schoolwork

Apple Business Essentials-Geräteverwaltung

Für die volle Funktionalität der Apple Business Essentials-Geräteverwaltung ist Netzwerkzugriff auf die folgenden Hosts erforderlich.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
axm-adm-enroll.apple.com 443 TCP iOS, iPadOS, tvOS und macOS DEP-Registrierungsserver
axm-adm-mdm.apple.com 443 TCP iOS, iPadOS, tvOS und macOS MDM-Server
axm-adm-scep.apple.com 443 TCP iOS, iPadOS, tvOS und macOS SCEP-Server
axm-app.apple.com 443 TCP iOS, iPadOS und macOS Wird von Apple Business Essentials verwendet, um Apps und Geräte anzuzeigen und zu verwalten

Softwareupdates

Vergewissere dich, dass du auf die folgenden Ports zugreifen kannst, um macOS und Apps aus dem Mac App Store zu aktualisieren und das Inhaltscaching nutzen zu können.

macOS, iOS, iPadOS, watchOS und tvOS

Netzwerkzugriff auf die folgenden Hostnamen ist erforderlich, um macOS, iOS, iPadOS, watchOS und tvOS zu installieren, wiederherzustellen und zu aktualisieren.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
appldnld.apple.com 80 TCP iOS, iPadOS und watchOS Updates für iOS, iPadOS und watchOS
configuration.apple.com 443 TCP Nur macOS Rosetta 2-Aktualisierungen
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS, watchOS und macOS Katalog mit Softwareupdates
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS und macOS Updates für iOS, iPadOS, tvOS, watchOS und macOS Ja
gnf-mdn.apple.com 443 TCP Nur macOS macOS-Updates Ja
gnf-mr.apple.com 443 TCP Nur macOS macOS-Updates Ja
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS und macOS Updates für iOS, iPadOS, tvOS, watchOS und macOS Ja
ig.apple.com 443 TCP Nur macOS macOS-Updates Ja
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS und macOS Hostet Kataloge mit Softwareupdates
ns.itunes.apple.com 443 TCP iOS, iPadOS und watchOS   Ja
oscdn.apple.com 443, 80 TCP Nur macOS macOS-Wiederherstellung
osrecovery.apple.com 443, 80 TCP Nur macOS macOS-Wiederherstellung
skl.apple.com 443 TCP Nur macOS macOS-Updates
swcdn.apple.com 80 TCP Nur macOS macOS-Updates
swdist.apple.com 443 TCP Nur macOS macOS-Updates
swdownload.apple.com 443, 80 TCP Nur macOS macOS-Updates Ja
swscan.apple.com 443 TCP Nur macOS macOS-Updates
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS und macOS Downloads für Softwareupdates
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS und macOS Downloads für Softwareupdates
xp.apple.com 443 TCP iOS, iPadOS, tvOS und macOS   Ja

App Store

Zum Aktualisieren von Apps ist möglicherweise Zugriff auf die folgenden Hosts erforderlich.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS und macOS App Store-Inhalte wie Apps, Bücher und Musik Ja
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS und macOS App Store-Inhalte wie Apps, Bücher und Musik Ja
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS und macOS App Store-Inhalte wie Apps, Bücher und Musik
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS und macOS   Ja
ppq.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Validierung von Unternehmens-Apps

Mobilfunkanbieter-Updates

Mobilgeräte müssen eine Verbindung zu den folgenden Hosts herstellen können, um Mobilfunkanbieter-Updates zu installieren.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
appldnld.apple.com 80 TCP iOS und iPadOS Mobilfunkanbieter-Bundle-Updates
appldnld.apple.com.edgesuite.net 80 TCP iOS und iPadOS Mobilfunkanbieter-Bundle-Updates
itunes.com 80 TCP iOS und iPadOS Ermittlung von Mobilfunkanbieter-Bundle-Updates
itunes.apple.com 443 TCP iOS und iPadOS Ermittlung von Mobilfunkanbieter-Bundle-Updates
updates-http.cdn-apple.com 80 TCP iOS und iPadOS Mobilfunkanbieter-Bundle-Updates
updates.cdn-apple.com 443 TCP iOS und iPadOS Mobilfunkanbieter-Bundle-Updates

 

Inhaltscaching

Ein Mac, auf dem Inhaltscaching aktiviert ist, muss eine Verbindung zu den folgenden Hosts sowie zu den Hosts herstellen können, die in diesem Dokument aufgeführt sind und Apple-Inhalte bieten, wie z. B. Softwareupdates, Apps und zusätzliche Inhalte.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
lcdn-registration.apple.com 443 TCP Nur macOS Serverregistrierung Ja
suconfig.apple.com 80 TCP Nur macOS

Konfiguration
xp-cdn.apple.com 443 TCP Nur macOS Berichten Ja

Kunden mit macOS-Inhaltscaching müssen eine Verbindung zu den folgenden Hosts herstellen können.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Suchdienst für das Inhaltscaching
serverstatus.apple.com
443 TCP Nur macOS Überprüfung der öffentlichen IP durch Inhaltscaching-Client

Apple Developer

Für die App-Zulassungsprüfung und App-Validierung ist Zugriff auf die folgenden Hosts erforderlich.

App-Zulassungsprüfung

Ab macOS 10.14.5 wird für die Software vor dem Ausführen eine Zulassungsprüfung durchgeführt. Damit diese Überprüfung erfolgreich ist, muss ein Mac auf dieselben Hosts zugreifen können, die im Abschnitt "Ensure Your Build Server Has Network Access" (Sicherstellen, dass dein Build-Server über Netzwerkzugriff verfügt) unter Customizing the Notarization Workflow (Anpassen des Workflows für die Zulassungsprüfung) aufgeführt sind.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
17.248.128.0/18 443 TCP Nur macOS Ticket-Bereitstellung
17.250.64.0/18 443 TCP Nur macOS Ticket-Bereitstellung
17.248.192.0/19 443 TCP Nur macOS Ticket-Bereitstellung

App-Validierung

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.appattest.apple.com 443 TCP iOS, iPadOS und macOS App-Validierung, Touch ID- und Face ID-Authentifizierung für Websites

Feedback-Assistent

Feedback-Assistant ist eine App, die von Entwicklern und Teilnehmern der Beta-Softwareprogramme verwendet wird, um Apple Feedback zu geben. Dazu werden die folgenden Hosts verwendet:

Hosts Port Protokoll Betriebssystem Beschreibung Unterstützt Proxys
bpapi.apple.com 443 TCP Nur tvOS Bietet Beta-Softwareupdates Ja
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS und macOS Wird vom Feedback-Assistent zum Hochladen von Dateien verwendet

Ja
fba.apple.com

443 TCP iOS, iPadOS, tvOS und macOS

Wird vom Feedback-Assistent zum Melden und Anzeigen von Feedback verwendet

Ja

Apple Diagnose

Apple-Geräte können auf den folgenden Host zugreifen, um eine Diagnose für mögliche Hardwareprobleme durchzuführen.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Wird von Apple-Geräten verwendet, um mögliche Hardwareprobleme zu erkennen Ja

Auflösung des Domain Name System (DNS)

Um die verschlüsselte DNS-Auflösung in iOS 14, tvOS 14 und macOS Big Sur zu verwenden, wird der folgende Host kontaktiert.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Wird für DNS über HTTPS (DoH) verwendet Ja

Validierung von Zertifikaten

Apple-Geräte müssen eine Verbindung zu den folgenden Hosts herstellen können, um die von in diesem Artikel aufgeführten Hosts verwendeten digitalen Zertifikate zu validieren.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
crl.apple.com 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
crl.entrust.net 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten in China
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten
valid.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Validierung von Zertifikaten Ja

 

Apple-ID

Apple-Geräte müssen eine Verbindung zu den folgenden Hosts herstellen können, um eine Apple-ID zu authentifizieren. Dies ist für alle Dienste erforderlich, die eine Apple-ID verwenden, wie z. B. iCloud, App-Installation und Xcode.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
appleid.apple.com/de
443 TCP iOS, iPadOS, tvOS und macOS
Apple-ID-Authentifizierung in Einstellungen und Systemeinstellungen
Ja
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS und macOS
Apple-ID-Authentifizierung in Einstellungen und Systemeinstellungen
Ja
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Apple-ID-Authentifizierung Ja
gsa.apple.com 443 TCP iOS, iPadOS, tvOS und macOS Apple-ID-Authentifizierung Ja

iCloud

Zusätzlich zu den oben aufgeführten Apple-ID-Hosts müssen Apple-Geräte eine Verbindung zu Hosts in den folgenden Domains herstellen können, um iCloud-Dienste zu verwenden.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS und macOS iCloud-Dienste
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS und macOS iCloud-Dienste
*.apzones.com 443 TCP iOS, iPadOS, tvOS und macOS iCloud-Dienste in China
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS und macOS iCloud-Dienste
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS und macOS
iCloud-Dienste
*.icloud.com 443 TCP iOS, iPadOS, tvOS und macOS iCloud-Dienste
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS und macOS
iCloud-Dienste in China
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS und macOS iCloud-Dienste
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS und macOS iCloud-Dienste
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS und macOS iWork-Dokumente
mask.icloud.com 443 UDP iOS, iPadOS, macOS iCloud Privat-Relay
mask-h2.icloud.com 443 TCP iOS, iPadOS, macOS iCloud Privat-Relay
mask-api.icloud.com 443 TCP iOS, iPadOS, macOS iCloud Privat-Relay Ja

 

Zusätzliche Inhalte

Apple-Geräte müssen eine Verbindung zu den folgenden Hosts herstellen können, um zusätzliche Inhalte zu laden. Einige zusätzliche Inhalte können in Netzwerken zur Verteilung von Drittanbieterinhalten gehostet werden.

Hosts Ports Protokoll Betriebssystem Beschreibung Unterstützt Proxys
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS und macOS GarageBand-Inhalte zum Laden
devimages-cdn.apple.com
80, 443 TCP Nur macOS Herunterladbare Xcode-Komponenten
download.developer.apple.com 80, 443 TCP Nur macOS Herunterladbare Xcode-Komponenten
playgrounds-assets-cdn.apple.com 443 TCP iPadOS und macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS und macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP Nur tvOS
Apple TV-Bildschirmschoner

Firewalls

Wenn deine Firewall die Verwendung von Hostnamen unterstützt, kannst du möglicherweise die meisten der oben genannten Apple-Dienste nutzen, indem du ausgehende Verbindungen zu *.apple.com zulässt. Wenn deine Firewall nur mit IP-Adressen konfiguriert werden kann, lasse ausgehende Verbindungen zu 17.0.0.0/8 zu. Der gesamte Adressblock 17.0.0.0/8 ist Apple zugewiesen.

HTTP-Proxy

Du kannst Apple-Dienste über einen Proxy verwenden, wenn du die Paketprüfung und -authentifizierung für den Datenverkehr zu und von den aufgelisteten Hosts deaktivierst. Ausnahmen hierzu sind oben angegeben. Versuche, eine Inhaltsprüfung für verschlüsselte Kommunikationen zwischen Apple-Geräten und -Diensten durchzuführen, führen zu einem Verbindungsabbruch, um die Plattformsicherheit und die Privatsphäre der Benutzer zu gewährleisten.

Inhaltsverteilungsnetzwerke und DNS-Auflösung

Einige der in diesem Artikel aufgeführten Hosts verfügen möglicherweise über CNAME-Einträge im DNS anstelle von A- oder AAAA-Einträgen. Diese CNAME-Einträge können auf andere CNAME-Einträge in einer Kette verweisen, bevor sie schließlich in eine IP-Adresse aufgelöst werden. Diese DNS-Auflösung ermöglicht Apple eine schnelle und zuverlässige Bereitstellung von Inhalten für Benutzer in allen Regionen und ist für Geräte und Proxy-Server transparent. Apple veröffentlicht keine Liste dieser CNAME-Einträge, da diese Änderungen unterliegen. Du musst deine Firewall oder deinen Proxy-Server nicht so konfigurieren, dass sie diese zulassen, solange du DNS-Lookups nicht blockierst und Zugriff auf die oben genannten Hosts und Domains erlaubst.

Veröffentlichungsdatum: