Este artículo está dirigido a los administradores de redes empresariales y educativas.
Los productos Apple requieren acceso a los hosts de Internet que se indican en este artículo para una variedad de servicios. Aquí se explica cómo los dispositivos se conectan a los hosts y funcionan con proxies:
- Los dispositivos, no los hosts operados por Apple, inician las conexiones de red a los hosts que se indican a continuación.
- Los servicios de Apple fallarán en cualquier conexión que use la intercepción HTTPS (inspección SSL). Si el tráfico HTTPS circula a través de un proxy web, desactiva la intercepción HTTPS para los hosts que se mencionan en este artículo.
Asegúrate de que los dispositivos Apple puedan acceder a los hosts que se indican a continuación.
Notificaciones push de Apple
Obtén información sobre cómo solucionar problemas de conexión a Apple Push Notification Service (APNS). En el caso de los dispositivos que envían todo el tráfico a través de un proxy HTTP, puedes configurar el proxy de forma manual en el dispositivo o con un perfil de configuración. A partir de macOS 10.15.5, los dispositivos se pueden conectar a servidores APN cuando están configurados para usar el proxy HTTP con un archivo de configuración automática de proxy (PAC).
Configuración del dispositivo
Es posible que se requiera acceso a los siguientes hosts cuando configures el dispositivo o instales, actualices o restaures el sistema operativo.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Activación del dispositivo | Sí |
| captive.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de la conectividad a Internet para redes que usan portales cautivos | Sí |
| gs.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Sí | |
| humb.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Sí | |
| static.ips.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS y macOS | Sí | |
| sq-device.apple.com | 443 | TCP | iOS y iPadOS | Activación de la eSIM | — |
| tbsc.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Sí | |
| time-ios.apple.com | 123 | UDP | iOS, iPadOS y tvOS | Usado por los dispositivos para configurar la fecha y la hora | — |
| time.apple.com | 123 | UDP | iOS, iPadOS, tvOS y macOS | Usado por los dispositivos para configurar la fecha y la hora | — |
| time-macos.apple.com | 123 | UDP | Solo macOS | Usado por los dispositivos para configurar la fecha y la hora | — |
Administración de dispositivos
Es posible que se requiera acceso de red a los siguientes hosts para los dispositivos inscritos en la administración de dispositivos móviles (MDM).
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, iPadOS, tvOS y macOS | Notificaciones Push | Obtén más información sobre APNS y los proxies. |
| deviceenrollment.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Inscripción provisional en el Programa de inscripción de dispositivos (DEP) | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | — | |
| gdmf.apple.com |
443 | TCP | iOS, iPadOS, tvOS y macOS | Usado por un servidor de MDM para identificar qué actualizaciones de software están disponibles para los dispositivos que usan actualizaciones de software administradas | Sí |
| identity.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Portal de solicitud de certificados de APNS | Sí |
| iprofiles.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Alojamiento de los perfiles de inscripción que se usan cuando se inscriben dispositivos en Apple School Manager o Apple Business Manager mediante la inscripción de dispositivos | Sí |
| mdmenrollment.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servidores de MDM para cargar los perfiles de inscripción que usan los clientes que se inscriben mediante la inscripción de dispositivos en Apple School Manager o Apple Business Manager y para buscar dispositivos y cuentas | Sí |
| setup.icloud.com | 443 | TCP | iOS y iPadOS | Se requiere iniciar sesión en un iPad compartido con un Apple ID administrado | — |
| vpp.itunes.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servidores de MDM para realizar operaciones relacionadas con Apps y libros, como asignar o revocar licencias en un dispositivo | Sí |
Apple School Manager y Apple Business Manager
Para poder disfrutar de todas las funciones de Apple School Manager y Apple Business Manager es necesario contar con acceso de red a los siguientes hosts, así como a los hosts en la sección App Store.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
| *.business.apple.com |
443, 80 | TCP | - | Apple Business Manager | — |
| *.school.apple.com | 443, 80 | TCP | - | Servicio de lista de tareas escolares | — |
| upload.appleschoolcontent.com | 22 | SSH | - | Cargas SFTP | Sí |
| ws-ee-maidsvc.icloud.com | 443, 80 | TCP | - | Servicio de lista de tareas escolares | — |
Administración de dispositivos Apple Business Essentials
Se requiere acceso de red a los siguientes hosts para lograr una completa funcionalidad de la administración de dispositivos de Apple Business Essentials.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| axm-adm-enroll.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servidor de inscripción del DEP | — |
| axm-adm-mdm.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servidor MDM | — |
| axm-adm-scep.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servidor SCEP | — |
| axm-app.apple.com | 443 | TCP | iOS, iPadOS y macOS | Utilizado por Apple Business Essentials para ver y administrar apps y dispositivos | — |
Actualizaciones de software
Asegúrate de poder acceder a los siguientes puertos para actualizar macOS y apps de Mac App Store y usar el almacenamiento de contenido en caché.
macOS, iOS, iPadOS, watchOS y tvOS
Se requiere acceso de red a los siguientes nombres de host para instalar, restaurar y actualizar macOS, iOS, iPadOS, watchOS y tvOS.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | iOS, iPadOS y watchOS | Actualizaciones de iOS, iPadOS y watchOS | — |
| configuration.apple.com | 443 | TCP | Solo macOS | Actualizaciones de Rosetta 2 | — |
| gdmf.apple.com | 443 | TCP | iOS, iPadOS, tvOS, watchOS y macOS | Catálogo de actualizaciones de software | — |
| gg.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS, watchOS y macOS | Actualizaciones de iOS, iPadOS, tvOS, watchOS y macOS | Sí |
| gnf-mdn.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| gnf-mr.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| gs.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS, watchOS y macOS | Actualizaciones de iOS, iPadOS, tvOS, watchOS y macOS | Sí |
| ig.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| mesu.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS, watchOS y macOS | Alojamiento de catálogos de actualización de software | — |
| ns.itunes.apple.com | 443 | TCP | iOS, iPadOS y watchOS | Sí | |
| oscdn.apple.com | 443, 80 | TCP | Solo macOS | Recuperación de macOS | — |
| osrecovery.apple.com | 443, 80 | TCP | Solo macOS | Recuperación de macOS | — |
| skl.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | — |
| swcdn.apple.com | 80 | TCP | Solo macOS | Actualizaciones de macOS | — |
| swdist.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | — |
| swdownload.apple.com | 443, 80 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| swscan.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS, iPadOS, tvOS y macOS | Descargas de actualizaciones de software | — |
| updates.cdn-apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Descargas de actualizaciones de software | — |
| xp.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Sí |
App Store
Es posible que se requiera acceso a los siguientes hosts para actualizar las apps.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS y macOS | Almacenamiento de contenido, como apps, libros y música | Sí |
| *.apps.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Almacenamiento de contenido, como apps, libros y música | Sí |
| *.mzstatic.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Almacenamiento de contenido, como apps, libros y música | — |
| itunes.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS y macOS | Sí | |
| ppq.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Validación de apps empresariales | — |
Actualizaciones del operador
Los dispositivos celulares deben poder conectarse a los siguientes hosts para instalar las actualizaciones de paquetes del operador.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | iOS y iPadOS | Actualizaciones de paquetes del operador de telefonía celular | — |
| appldnld.apple.com.edgesuite.net | 80 | TCP | iOS y iPadOS | Actualizaciones de paquetes del operador de telefonía celular | — |
| itunes.com | 80 | TCP | iOS y iPadOS | Detección de actualizaciones de paquetes del operador | — |
| itunes.apple.com | 443 | TCP | iOS y iPadOS | Detección de actualizaciones de paquetes del operador | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS y iPadOS | Actualizaciones de paquetes del operador de telefonía celular | — |
| updates.cdn-apple.com | 443 | TCP | iOS y iPadOS | Actualizaciones de paquetes del operador de telefonía celular | — |
Almacenamiento de contenido en caché
Una Mac con almacenamiento de contenido en caché debe poder conectarse a los siguientes hosts, así como a los hosts mencionados en este documento con contenido de Apple, como actualizaciones de software, apps y contenido adicional.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Solo macOS | Registro del servidor | Sí |
| suconfig.apple.com | 80 | TCP | Solo macOS |
Configuración | — |
| xp-cdn.apple.com | 443 | TCP | Solo macOS | Informes | Sí |
Los clientes del almacenamiento de contenido en caché de macOS deben poder conectarse a los siguientes hosts.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| lcdn-locator.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicio de localizador del almacenamiento de contenido en caché | — |
| serverstatus.apple.com |
443 | TCP | Solo macOS | Determinación de la IP pública del cliente de almacenamiento de contenido en caché | — |
Apple Developer
Se requiere acceso a los siguientes hosts para la notarización y validación de la app.
Notarización de apps
A partir de macOS 10.14.5, el software se verifica mediante notarización antes de su ejecución. Para que el resultado de la verificación sea satisfactorio, la Mac debe tener acceso a los hosts que figuran en la sección Ensure Your Build Server Has Network Access (Comprobar que el servidor de compilación tiene acceso a red) del artículo Customizing the Notarization Workflow (Personalización del flujo de trabajo de la notarización).
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Solo macOS | Entrega de tickets | — |
| 17.250.64.0/18 | 443 | TCP | Solo macOS | Entrega de tickets | — |
| 17.248.192.0/19 | 443 | TCP | Solo macOS | Entrega de tickets | — |
Validación de apps
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
| *.appattest.apple.com | 443 | TCP | iOS, iPadOS y macOS | Validación de apps, Touch ID y autenticación mediante Face ID para sitios web | — |
Asistente de comentarios
Asistente de comentarios es una app que utilizan los desarrolladores y miembros de los programas de software beta para proporcionar a Apple sus comentarios. Utiliza los siguientes hosts:
| Hosts | Puerto | Protocolo | SO | Descripción | Compatibilidad con proxies |
| bpapi.apple.com | 443 | TCP | Solo tvOS | Proporciona actualizaciones de software beta | Sí |
| cssubmissions.apple.com |
443 | TCP | iOS, iPadOS, tvOS y macOS | Usado por el asistente de comentarios para cargar archivos |
Sí |
| fba.apple.com |
443 | TCP | iOS, iPadOS, tvOS y macOS |
Usado por el asistente de comentarios para archivar y ver los comentarios |
Sí |
Diagnóstico Apple
Es posible que los dispositivos Apple accedan al siguiente host a fin de realizar diagnósticos que se usan para detectar un posible problema de hardware.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
| diagassets.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Usado por los dispositivos Apple para ayudar a detectar posibles problemas de hardware | Sí |
Resolución del Sistema de nombres de dominio (DNS)
Para utilizar la resolución del Sistema de nombres de dominio (DNS) encriptado en iOS 14, tvOS 14 y macOS Big Sur, se contactará con el siguiente host.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
| doh.dns.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Usado para el DNS mediante HTTPS (DoH) | Sí |
Validación de certificados
Los dispositivos Apple deben poder conectarse a los siguientes hosts para validar los certificados digitales que usan los hosts mencionados en este artículo.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| certs.apple.com | 80, 443 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| crl.apple.com | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| crl.entrust.net | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| crl3.digicert.com | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| crl4.digicert.com | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| ocsp.apple.com | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| ocsp.digicert.cn | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados en China | — |
| ocsp.digicert.com | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| ocsp.entrust.net | 80 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| ocsp2.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | — |
| valid.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Validación de certificados | Sí |
Apple ID
Los dispositivos Apple deben poder conectarse a los siguientes hosts para poder autenticar un Apple ID. Esta acción es necesaria para todos los servicios que usan un Apple ID, como iCloud, instalación de apps y Xcode.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| appleid.apple.com |
443 | TCP | iOS, iPadOS, tvOS y macOS |
Autenticación de Apple ID en Configuración y Preferencias del Sistema |
Sí |
| appleid.cdn-apple.com |
443 | TCP | iOS, iPadOS, tvOS y macOS |
Autenticación de Apple ID en Configuración y Preferencias del Sistema |
Sí |
| idmsa.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Autenticación de Apple ID | Sí |
| gsa.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Autenticación de Apple ID | Sí |
iCloud
Además de los hosts de Apple ID mencionados arriba, los dispositivos Apple deben poder conectarse a hosts en los siguientes dominios para usar los servicios de iCloud.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| *.apple-cloudkit.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicios de iCloud | — |
| *.apple-livephotoskit.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicios de iCloud | — |
| *.apzones.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicios de iCloud en China | — |
| *.cdn-apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicios de iCloud | — |
| *.gc.apple.com |
443 | TCP | iOS, iPadOS, tvOS y macOS |
Servicios de iCloud |
— |
| *.icloud.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicios de iCloud | — |
| *.icloud.com.cn |
443 | TCP | iOS, iPadOS, tvOS y macOS |
Servicios de iCloud en China |
— |
| *.icloud.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicios de iCloud | — |
| *.icloud-content.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Servicios de iCloud | — |
| *.iwork.apple.com | 443 | TCP | iOS, iPadOS, tvOS y macOS | Documentos de iWork | — |
| mask.icloud.com | 443 | UDP | iOS, iPadOS y macOS | Retransmisión privada de iCloud | — |
| mask-h2.icloud.com | 443 | TCP | iOS, iPadOS y macOS | Retransmisión privada de iCloud | — |
| mask-api.icloud.com | 443 | TCP | iOS, iPadOS y macOS | Retransmisión privada de iCloud | Sí |
Contenido adicional
Los dispositivos Apple deben poder conectarse a los siguientes hosts para descargar contenido adicional. Es posible que también se aloje contenido adicional en las redes de distribución de contenido de terceros.
| Hosts | Puertos | Protocolo | SO | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| audiocontentdownload.apple.com | 80, 443 | TCP | iOS, iPadOS y macOS | Contenido descargable de GarageBand | — |
| devimages-cdn.apple.com |
80, 443 | TCP | Solo macOS | Componentes descargables de Xcode | — |
| download.developer.apple.com | 80, 443 | TCP | Solo macOS | Componentes descargables de Xcode | — |
| playgrounds-assets-cdn.apple.com | 443 | TCP | iPadOS y macOS | Swift Playgrounds | — |
| playgrounds-cdn.apple.com | 443 | TCP | iPadOS y macOS | Swift Playgrounds | — |
| sylvan.apple.com |
80, 443 | TCP | Solo tvOS |
Protectores de pantalla de Apple TV |
— |
Firewalls
Si el firewall es compatible con nombres de host, es posible que puedas usar la mayoría de los servicios de Apple anteriores si permites conexiones salientes a *.apple.com. Si el firewall solo se puede configurar con direcciones IP, permite conexiones salientes a 17.0.0.0/8. Todo el bloque de direcciones 17.0.0.0/8 está asignado a Apple.
Proxy HTTP
Puedes usar los servicios de Apple a través de un proxy si desactivas la inspección y la autenticación de paquetes para el tráfico hacia y desde los hosts que se mencionaron. Las excepciones se mencionan más arriba. Los intentos de realizar una inspección de contenido en las comunicaciones cifradas entre los dispositivos y los servicios de Apple harán que se pierda la conexión para preservar la seguridad de la plataforma y la privacidad de los usuarios.
Redes de distribución de contenido y resolución del DNS
Algunos de los hosts mencionados en este artículo pueden tener registros CNAME en el DNS en lugar de registros A o AAAA. Estos registros CNAME pueden hacer referencia a otros registros CNAME en una cadena antes de resolverse finalmente en una dirección IP. Esta resolución del DNS le permite a Apple proporcionar contenido rápido y fiable a los usuarios de todas las regiones, y es transparente para los dispositivos y servidores proxy. Apple no publica una lista de estos registros CNAME porque están sujetos a cambios. No deberías necesitar configurar tu firewall o servidor proxy para darles permiso, siempre y cuando no bloquees las búsquedas del DNS y otorgues acceso a los hosts y dominios mencionados anteriormente.
Más información
- Consulta una lista de puertos TCP y UDP que usan los productos de software de Apple.
- Averigua qué puertos usa el Administrador de perfiles de macOS Server.
- Obtén información sobre las conexiones de host de servidor de macOS, iOS y iTunes y los procesos en segundo plano de iTunes.
- Personaliza el flujo de trabajo de la notarización.