Usar productos Apple en redes empresariales

Descubre qué hosts y puertos se necesitan para usar los productos Apple en redes empresariales.

Este artículo va dirigido a administradores de redes del sector empresarial y educativo.

Los productos Apple requieren acceso a los hosts de internet mencionados en este artículo para utilizar diferentes servicios. Así es como se conectan los dispositivos a los hosts y cómo funcionan con los servidores proxy:

  • Las conexiones de red a los hosts que figuran a continuación las inicia el dispositivo, no un host operado por Apple.
  • Los servicios de Apple rechazarán las conexiones que usen intercepción HTTPS (inspección SSL). Si el tráfico HTTPS circula a través de un proxy web, inhabilita la intercepción HTTPS para los hosts que se mencionan en este artículo.

Comprueba que los dispositivos Apple tengan acceso a los hosts que figuran a continuación.

Notificaciones push de Apple

Descubre cómo solucionar problemas de conexión a Apple Push Notification Service (APNS). Si los dispositivos envían todo el tráfico a través de un proxy HTTP, configura el proxy de forma manual en el dispositivo o con un perfil de configuración. A partir de macOS 10.15.5, los dispositivos se pueden conectar a APNS cuando se configuran para usar el proxy HTTP con un archivo de configuración automática de proxy (PAC).

Configuración del dispositivo

Es posible que necesites acceso a los siguientes hosts al configurar tu dispositivo o al instalar, actualizar o restaurar el sistema operativo.

Hosts Puertos Protocolo SO Descripción Admite proxies
albert.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Activación del dispositivo
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS y macOS Validación de la conexión a internet para redes que usan portales cautivos
gs.apple.com 443 TCP iOS, iPadOS, tvOS y macOS  
humb.apple.com 443 TCP iOS, iPadOS, tvOS y macOS  
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS y macOS  
sq-device.apple.com 443 TCP iOS y iPadOS Activación de la eSIM
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS y macOS  
time-ios.apple.com 123 UDP iOS, iPadOS y tvOS Lo usan los dispositivos para configurar la fecha y la hora
time.apple.com 123 UDP iOS, iPadOS, tvOS y macOS Lo usan los dispositivos para configurar la fecha y la hora
time-macos.apple.com 123 UDP Solo macOS Lo usan los dispositivos para configurar la fecha y la hora

Gestión de dispositivos

Es posible que los dispositivos inscritos en la gestión de dispositivos móviles (MDM) requieran acceso de red para los siguientes hosts.

Hosts Puertos Protocolo SO Descripción Admite proxies
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS y macOS Notificaciones push Obtén más información sobre el APNS y los servidores proxy.
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Inscripción provisional en el DEP
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS y macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS y macOS Lo usa un servidor MDM para identificar qué actualizaciones de software están disponibles para los dispositivos que utilizan actualizaciones de software gestionadas
identity.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Portal de solicitud de certificados de APNS
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Aloja los perfiles de inscripción que se utilizan al inscribir dispositivos en Apple School Manager o Apple Business Manager mediante el programa de inscripción de dispositivos.
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servidores de MDM para cargar los perfiles de inscripción que usan los clientes inscritos mediante el programa de inscripción de dispositivos en Apple School Manager o Apple Business Manager, y para buscar dispositivos y cuentas
setup.icloud.com 443 TCP iOS y iPadOS Se requiere para iniciar sesión con un ID de Apple gestionado en iPad compartidos
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servidores MDM para realizar operaciones relacionadas con Apps y libros, como asignar o revocar licencias en un dispositivo

Apple School Manager y Apple Business Manager

Para disfrutar de la funcionalidad completa de Apple School Manager y Apple Business Manager se precisa acceso de red a los siguientes hosts, así como a los hosts en la sección App Store.

Hosts Puertos Protocolo SO Descripción Admite proxies
*.business.apple.com
443, 80 TCP - Apple Business Manager
*.school.apple.com 443, 80 TCP - Servicio de lista de tareas de clase
upload.appleschoolcontent.com 22 SSH - Cargas SFTP
ws-ee-maidsvc.icloud.com 443, 80 TCP - Servicio de lista de tareas de clase

Gestión de dispositivos Apple Business Essentials

Se requiere acceso a la red a los siguientes hosts para una funcionalidad completa de la gestión de dispositivos Apple Business Essentials.

Hosts Puertos Protocolo SO Descripción Admite proxies
axm-adm-enroll.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servidor de inscripción DEP
axm-adm-mdm.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servidor de MDM
axm-adm-scep.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servidor SCEP
axm-app.apple.com 443 TCP iOS, iPadOS y macOS Utilizado por Apple Business Essentials para ver y administrar apps y dispositivos

Actualizaciones de software

Comprueba que puedes acceder a los siguientes puertos para actualizar macOS, las apps del Mac App Store y usar el almacenamiento de contenido en caché.

macOS, iOS, iPadOS, watchOS y tvOS

Se requiere acceso de red a los siguientes nombres de host para instalar, restaurar y actualizar macOS, iOS, iPadOS, watchOS y tvOS.

Hosts Puertos Protocolo SO Descripción Admite proxies
appldnld.apple.com 80 TCP iOS, iPadOS y watchOS Actualizaciones de iOS, iPadOS y watchOS
configuration.apple.com 443 TCP Solo macOS Actualizaciones de Rosetta 2
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS, watchOS y macOS Catálogo de actualizaciones de software
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS y macOS Actualizaciones de iOS, iPadOS, tvOS, watchOS y macOS
gnf-mdn.apple.com 443 TCP Solo macOS Actualizaciones de macOS
gnf-mr.apple.com 443 TCP Solo macOS Actualizaciones de macOS
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS y macOS Actualizaciones de iOS, iPadOS, tvOS, watchOS y macOS
ig.apple.com 443 TCP Solo macOS Actualizaciones de macOS
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS y macOS Aloja catálogos de actualización de software
ns.itunes.apple.com 443 TCP iOS, iPadOS y watchOS  
oscdn.apple.com 443, 80 TCP Solo macOS Recuperación de macOS
osrecovery.apple.com 443, 80 TCP Solo macOS Recuperación de macOS
skl.apple.com 443 TCP Solo macOS Actualizaciones de macOS
swcdn.apple.com 80 TCP Solo macOS Actualizaciones de macOS
swdist.apple.com 443 TCP Solo macOS Actualizaciones de macOS
swdownload.apple.com 443, 80 TCP Solo macOS Actualizaciones de macOS
swscan.apple.com 443 TCP Solo macOS Actualizaciones de macOS
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS y macOS Descargas de actualizaciones de software
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS y macOS Descargas de actualizaciones de software
xp.apple.com 443 TCP iOS, iPadOS, tvOS y macOS  

App Store

Es posible que se requiera acceso a los siguientes hosts para actualizar las apps.

Hosts Puertos Protocolo SO Descripción Admite proxies
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS y macOS Almacena contenido, como apps, libros y música
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Almacena contenido, como apps, libros y música
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS y macOS Almacena contenido, como apps, libros y música
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS y macOS  
ppq.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Validación de apps de empresa

Actualizaciones del operador

Los dispositivos móviles deben poder conectarse a los siguientes hosts para instalar actualizaciones del paquete del operador.

Hosts Puertos Protocolo SO Descripción Admite proxies
appldnld.apple.com 80 TCP iOS y iPadOS Actualizaciones del paquete del operador de telefonía móvil
appldnld.apple.com.edgesuite.net 80 TCP iOS y iPadOS Actualizaciones del paquete del operador de telefonía móvil
itunes.com 80 TCP iOS y iPadOS Descubrimiento de actualizaciones del paquete del operador
itunes.apple.com 443 TCP iOS y iPadOS Descubrimiento de actualizaciones del paquete del operador
updates-http.cdn-apple.com 80 TCP iOS y iPadOS Actualizaciones del paquete del operador de telefonía móvil
updates.cdn-apple.com 443 TCP iOS y iPadOS Actualizaciones del paquete del operador de telefonía móvil

 

Almacenamiento en caché de contenido

Un Mac que proporciona almacenamiento de contenido en caché debe poder conectarse a los siguientes hosts, así como a los que se indican en este documento que proporcionan contenido de Apple, como actualizaciones de software, apps y contenido adicional.

Hosts Puertos Protocolo SO Descripción Admite proxies
lcdn-registration.apple.com 443 TCP Solo macOS Registro del servidor
suconfig.apple.com 80 TCP Solo macOS

Configuración
xp-cdn.apple.com 443 TCP Solo macOS Informes

Los clientes del almacenamiento de contenido en caché de macOS deben poder conectarse a los siguientes hosts.

Hosts Puertos Protocolo SO Descripción Admite proxies
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servicio de localización de almacenamiento de contenido en caché
serverstatus.apple.com
443 TCP Solo macOS Determinación de la IP pública del cliente de almacenamiento en caché de contenido

Apple Developer

Se requiere acceso a los siguientes hosts para notarización y validación de las apps.

Notarización de las apps

A partir de macOS 10.14.5, se verifica la notarización del software antes de ejecutarse. Para que el resultado de la verificación sea satisfactorio, un Mac debe tener acceso a los mismos hosts que figuran en la sección Comprobar que el servidor de compilación tiene acceso de red del artículo Personalizar el flujo de trabajo de la notarización (en inglés).

Hosts Puertos Protocolo SO Descripción Admite proxies
17.248.128.0/18 443 TCP Solo macOS Entrega de tickets
17.250.64.0/18 443 TCP Solo macOS Entrega de tickets
17.248.192.0/19 443 TCP Solo macOS Entrega de tickets

Validación de las apps

Hosts Puertos Protocolo SO Descripción Admite proxies
*.appattest.apple.com 443 TCP iOS, iPadOS y macOS Validación de aplicaciones, Touch ID y autenticación mediante Face ID para sitios web

Asistente de opinión

Asistente de opinión es una app que utilizan los desarrolladores y miembros de los programas de software beta para proporcionar a Apple sus comentarios. Usa los siguientes hosts:

Hosts Puerto Protocolo SO Descripción Admite proxies
bpapi.apple.com 443 TCP Solo tvOS Proporciona actualizaciones de software beta
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS y macOS Lo usa el asistente de opinión para cargar archivos

fba.apple.com

443 TCP iOS, iPadOS, tvOS y macOS

Lo usa el asistente de opinión para archivar y ver comentarios

Diagnóstico Apple

Los dispositivos Apple pueden acceder al siguiente host para realizar diagnósticos que se utilizan para detectar un posible problema de hardware.

Hosts Puertos Protocolo SO Descripción Admite proxies
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Lo usan los dispositivos Apple para ayudar a detectar posibles problemas de hardware

Resolución del sistema de nombres de dominio

Para utilizar la resolución del sistema de nombres de dominio (DNS) cifrado en iOS 14, tvOS 14 y macOS Big Sur, se contactará con el siguiente host.

Hosts Puertos Protocolo SO Descripción Admite proxies
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Se usa para el DNS mediante HTTPS (DoH)

Validación de certificados

Para validar los certificados digitales utilizados por los hosts enumerados en este artículo, los dispositivos Apple deben poder conectarse a los siguientes hosts.

Hosts Puertos Protocolo SO Descripción Admite proxies
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
crl.apple.com 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
crl.entrust.net 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados en China
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Validación de certificados
valid.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Validación de certificados

 

ID de Apple

Los dispositivos Apple deben poder conectarse a los siguientes hosts para autenticar un ID de Apple. Esto es necesario para todos los servicios que utilizan ID de Apple, como iCloud, la instalación de apps y Xcode.

Hosts Puertos Protocolo SO Descripción Admite proxies
appleid.apple.com/es
443 TCP iOS, iPadOS, tvOS y macOS
Autenticación del ID de Apple en Ajustes y Preferencias del Sistema
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS y macOS
Autenticación del ID de Apple en Ajustes y Preferencias del Sistema
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Autenticación del ID de Apple
gsa.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Autenticación del ID de Apple

iCloud

Además de los hosts de ID de Apple indicados más arriba, los dispositivos Apple deben poder conectarse a hosts en los siguientes dominios para utilizar los servicios de iCloud.

Hosts Puertos Protocolo SO Descripción Admite proxies
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS y macOS Servicios de iCloud
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS y macOS Servicios de iCloud
*.apzones.com 443 TCP iOS, iPadOS, tvOS y macOS Servicios de iCloud en China
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servicios de iCloud
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS y macOS
Servicios de iCloud
*.icloud.com 443 TCP iOS, iPadOS, tvOS y macOS Servicios de iCloud
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS y macOS
Servicios de iCloud en China
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Servicios de iCloud
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS y macOS Servicios de iCloud
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS y macOS Documentos de iWork
mask.icloud.com 443 UDP iOS, iPadOS y macOS Relay privado de iCloud
mask-h2.icloud.com 443 TCP iOS, iPadOS y macOS Relay privado de iCloud
mask-api.icloud.com 443 TCP iOS, iPadOS y macOS Relay privado de iCloud

 

Contenido adicional

Los dispositivos Apple deben poder conectarse a los siguientes hosts para descargar contenido adicional. Algunos contenidos adicionales también podrían estar alojados en redes de distribución de contenido de terceros.

Hosts Puertos Protocolo SO Descripción Admite proxies
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS y macOS Contenido descargable de GarageBand
devimages-cdn.apple.com
80, 443 TCP Solo macOS Componentes descargables de Xcode
download.developer.apple.com 80, 443 TCP Solo macOS Componentes descargables de Xcode
playgrounds-assets-cdn.apple.com 443 TCP iPadOS y macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS y macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP Solo tvOS
Protectores de pantalla del Apple TV

Firewalls

Si el firewall permite usar nombres de host, podrás utilizar la mayoría de los servicios de Apple mencionados más arriba mediante la habilitación de las conexiones de salida a *.apple.com. Si el firewall solo se puede configurar con direcciones IP, permite las conexiones de salida a 17.0.0.0/8. Todo el bloque de direcciones 17.0.0.0/8 está asignado a Apple.

Proxy HTTP

Para usar los servicios de Apple a través de un proxy, inhabilita la inspección y autenticación de paquetes para el tráfico hacia y desde los hosts indicados. Las excepciones se mencionan más arriba. Los intentos de realizar una inspección de contenido en las comunicaciones cifradas entre los dispositivos y servicios de Apple harán que se pierda la conexión para preservar la seguridad de la plataforma y la privacidad de los usuarios.

Redes de distribución de contenido y resolución DNS

Algunos de los hosts indicados en este artículo pueden tener registros CNAME en DNS en lugar de registros A o AAAA. Estos registros CNAME pueden hacer referencia a otros registros CNAME en una cadena antes de resolverlos finalmente a una dirección IP. Esta resolución DNS permite que Apple proporcione una entrega de contenido rápida y de confianza a los usuarios de todas las regiones y es transparente para los dispositivos y servidores proxy. Apple no publica una lista de estos registros CNAME porque están sujetos a cambios. No deberías necesitar configurar el firewall o servidor proxy para permitirlos siempre y cuando no bloquees las búsquedas DNS y permitas el acceso a los hosts y dominios mencionados anteriormente.

Fecha de publicación: