Usar productos Apple en redes empresariales

Conoce qué hosts y puertos se necesitan para usar los productos Apple en redes empresariales.

Este artículo está dirigido a los administradores de redes empresariales y educativas.

Los productos Apple requieren acceso a los hosts de Internet que se indican en este artículo para una variedad de servicios. Aquí se explica cómo los dispositivos se conectan a los hosts y funcionan con proxies:

  • Los dispositivos, no los hosts operados por Apple, inician las conexiones de red a los hosts que se indican a continuación.
  • Los servicios de Apple fallarán en cualquier conexión que use la intercepción HTTPS (inspección SSL). Si el tráfico HTTPS circula a través de un proxy web, desactiva la intercepción HTTPS para los hosts que se mencionan en este artículo.

Asegúrate de que los dispositivos Apple puedan acceder a los hosts que se indican a continuación.

Notificaciones push de Apple

Obtén información sobre cómo solucionar problemas de conexión a Apple Push Notification Service (APNS). En el caso de los dispositivos que envían todo el tráfico a través de un proxy HTTP, puedes configurar el proxy de forma manual en el dispositivo o con un perfil de configuración. A partir de macOS 10.15.5, los dispositivos se pueden conectar a servidores APN cuando están configurados para usar el proxy HTTP con un archivo de configuración automática de proxy (PAC).

Configuración del dispositivo

Es posible que se requiera acceso a los siguientes hosts cuando configures el dispositivo o instales, actualices o restaures el sistema operativo.

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
albert.apple.com 443 TCP iOS, tvOS y macOS Activación del dispositivo
captive.apple.com 443, 80 TCP iOS, tvOS y macOS Validación de la conectividad a Internet para redes que usan portales cautivos
gs.apple.com 443 TCP iOS, tvOS y macOS  
humb.apple.com 443 TCP iOS, tvOS y macOS  
static.ips.apple.com 443, 80 TCP iOS, tvOS y macOS  
sq-device.apple.com 443 TCP Solo iOS Activación de la eSIM
tbsc.apple.com 443 TCP iOS, tvOS y macOS  
time-ios.apple.com 123 UDP Solo iOS y tvOS Usado por los dispositivos para configurar la fecha y la hora
time.apple.com 123 UDP iOS, tvOS y macOS Usado por los dispositivos para configurar la fecha y la hora
time-macos.apple.com 123 UDP Solo macOS Usado por los dispositivos para configurar la fecha y la hora

Administración de dispositivos

Es posible que se requiera acceso de red a los siguientes hosts para los dispositivos inscritos en la administración de dispositivos móviles (MDM):

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS y macOS Notificaciones Push Obtén más información sobre APNS y los proxies.
gdmf.apple.com 443 TCP iOS, tvOS y macOS Usado por un servidor de MDM para identificar qué actualizaciones de software están disponibles para los dispositivos que usan actualizaciones de software administradas
deviceenrollment.apple.com 443 TCP iOS, tvOS y macOS Inscripción provisional en el Programa de inscripción de dispositivos (DEP)
deviceservices-external.apple.com 443 TCP iOS, tvOS y macOS  
identity.apple.com 443 TCP iOS, tvOS y macOS Portal de solicitud de certificados de APNS
iprofiles.apple.com 443 TCP iOS, tvOS y macOS Alojamiento de los perfiles de inscripción que se usan cuando se inscriben dispositivos en Apple School Manager o Apple Business Manager mediante la inscripción de dispositivos
mdmenrollment.apple.com 443 TCP iOS, tvOS y macOS Servidores de MDM para cargar los perfiles de inscripción que usan los clientes que se inscriben mediante la inscripción de dispositivos en Apple School Manager o Apple Business Manager y para buscar dispositivos y cuentas
setup.icloud.com 443 TCP Solo iOS Se requiere iniciar sesión en un iPad compartido con un Apple ID administrado
vpp.itunes.apple.com 443 TCP iOS, tvOS y macOS Servidores de MDM para realizar operaciones relacionadas con Apps y libros, como asignar o revocar licencias en un dispositivo

Apple School Manager y Apple Business Manager

Para poder disfrutar de todas las funciones de Apple School Manager y Apple Business Manager es necesario contar con acceso de red a los siguientes hosts, así como a los hosts en la sección App Store.

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
*.school.apple.com 443, 80 TCP - Servicio de lista de tareas escolares -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Servicio de lista de tareas escolares -
*.business.apple.com. 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

Actualizaciones de software

Asegúrate de poder acceder a los siguientes puertos para actualizar macOS y apps de Mac App Store y usar el almacenamiento de contenido en caché.

macOS, iOS y tvOS

Se requiere acceso de red a los siguientes nombres de host para instalar, restaurar y actualizar macOS, iOS y tvOS:

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
appldnld.apple.com 80 TCP Solo iOS Actualizaciones de iOS
configuration.apple.com 443 TCP macOS Actualizaciones de Rosetta 2 -
gg.apple.com 443, 80 TCP iOS, tvOS y macOS Actualizaciones de iOS, tvOS y macOS
gnf-mdn.apple.com 443 TCP Solo macOS Actualizaciones de macOS
gnf-mr.apple.com 443 TCP Solo macOS Actualizaciones de macOS
gs.apple.com 443, 80 TCP Solo macOS Actualizaciones de macOS
ig.apple.com 443 TCP Solo macOS Actualizaciones de macOS
mesu.apple.com 443, 80 TCP iOS, tvOS y macOS Alojamiento de catálogos de actualización de software
ns.itunes.apple.com 443 TCP Solo iOS  
oscdn.apple.com 443, 80 TCP Solo macOS Recuperación de macOS
osrecovery.apple.com 443, 80 TCP Solo macOS Recuperación de macOS
skl.apple.com 443 TCP Solo macOS Actualizaciones de macOS
swcdn.apple.com 80 TCP Solo macOS Actualizaciones de macOS
swdist.apple.com 443 TCP Solo macOS Actualizaciones de macOS
swdownload.apple.com 443, 80 TCP Solo macOS Actualizaciones de macOS
swpost.apple.com 80 TCP Solo macOS Actualizaciones de macOS
swscan.apple.com 443 TCP Solo macOS Actualizaciones de macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS y macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS y macOS  
xp.apple.com 443 TCP iOS, tvOS y macOS  

App Store

Es posible que se requiera acceso a los siguientes hosts para actualizar las apps:

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
*.itunes.apple.com 443, 80 TCP iOS, tvOS y macOS Almacenamiento de contenido, como apps, libros y música
*.apps.apple.com 443 TCP iOS, tvOS y macOS Almacenamiento de contenido, como apps, libros y música
*.mzstatic.com 443 TCP iOS, tvOS y macOS Almacenamiento de contenido, como apps, libros y música
itunes.apple.com 443, 80 TCP iOS, tvOS y macOS  
ppq.apple.com 443 TCP iOS, tvOS y macOS Validación de apps empresariales

Almacenamiento de contenido en caché

Se requiere acceso al siguiente host para una Mac que usa el almacenamiento de contenido en caché de macOS:

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
lcdn-registration.apple.com 443 TCP Solo macOS Registro del servidor de almacenamiento de contenido en caché
serverstatus.apple.com 443 TCP iOS, tvOS y macOS Determinación de la IP pública del cliente de almacenamiento de contenido en caché

Apple Developer

Se requiere acceso a los siguientes hosts para la notarización y validación de la app.

Notarización de apps

A partir de macOS 10.14.5, el software se verifica mediante notarización antes de su ejecución. Para que el resultado de la verificación sea satisfactorio, la Mac debe tener acceso a los hosts que figuran en la sección Ensure Your Build Server Has Network Access (Comprobar que el servidor de compilación tiene acceso a red) del artículo Customizing the Notarization Workflow (Personalización del flujo de trabajo de la notarización):

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
17.248.128.0/18 443 TCP Solo macOS Entrega de tickets
17.250.64.0/18 443 TCP Solo macOS Entrega de tickets
17.248.192.0/19 443 TCP Solo macOS Entrega de tickets

Validación de apps

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
*.appattest.apple.com 443 TCP iOS y macOS Validación de apps, Touch ID y autenticación mediante Face ID para sitios web -

Asistente de comentarios

Asistente de comentarios es una app que utilizan los desarrolladores y miembros de los programas de software beta para proporcionar a Apple sus comentarios. Utiliza los siguientes hosts:

Hosts Puerto Protocolo SO Descripción Compatibilidad con proxies
fba.apple.com 443 TCP iOS, tvOS y macOS Usado por el asistente de comentarios para archivar y ver los comentarios
cssubmissions.apple.com 443 TCP iOS, tvOS y macOS Usado por el asistente de comentarios para cargar archivos
bpapi.apple.com 443 TCP Solo tvOS Proporciona actualizaciones de software beta

Diagnóstico Apple

Los dispositivos Apple pueden acceder al siguiente host para realizar diagnósticos que se utilizan para detectar un posible problema de hardware:

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
diagassets.apple.com 443 TCP iOS, tvOS y macOS Usado por los dispositivos Apple para ayudar a detectar posibles problemas de hardware

Resolución del Sistema de nombres de dominio (DNS)

Para utilizar la resolución del Sistema de nombres de dominio (DNS) encriptado en iOS 14, tvOS 14 y macOS Big Sur, se contactará con el siguiente host:

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
doh.dns.apple.com 443 TCP iOS, tvOS y macOS Usado para el DNS mediante HTTPS (DoH)

Validación de certificados

Los dispositivos Apple deben poder conectarse a los siguientes hosts para validar los certificados digitales que usan los hosts que se mencionaron anteriormente:

Hosts Puertos Protocolo SO Descripción Compatibilidad con proxies
crl.apple.com 80 TCP iOS, tvOS y macOS Validación de certificados
crl.entrust.net 80 TCP iOS, tvOS y macOS Validación de certificados
crl3.digicert.com 80 TCP iOS, tvOS y macOS Validación de certificados
crl4.digicert.com 80 TCP iOS, tvOS y macOS Validación de certificados
ocsp.apple.com 80 TCP iOS, tvOS y macOS Validación de certificados
ocsp.digicert.com 80 TCP iOS, tvOS y macOS Validación de certificados
ocsp.entrust.net 80 TCP iOS, tvOS y macOS Validación de certificados
ocsp.verisign.net 80 TCP iOS, tvOS y macOS Validación de certificados
valid.apple.com 443 TCP iOS, tvOS y macOS Validación de certificados

Firewalls

Si el firewall admite el uso de nombres de host, quizás puedas usar la mayoría de los servicios de Apple anteriores si permites conexiones salientes a *.apple.com. Si el firewall solo se puede configurar con direcciones IP, permite conexiones salientes a 17.0.0.0/8. Todo el bloque de direcciones 17.0.0.0/8 está asignado a Apple.

Proxy HTTP

Puedes usar los servicios de Apple a través de un proxy si desactivas la inspección y la autenticación de paquetes para el tráfico hacia y desde los hosts que se mencionaron. Las excepciones se mencionan más arriba. Los intentos de realizar una inspección de contenido en las comunicaciones cifradas entre los dispositivos y los servicios de Apple harán que se pierda la conexión para preservar la seguridad de la plataforma y la privacidad de los usuarios.

Fecha de publicación: