Apple-tuotteiden käyttäminen yritysverkoissa

Tässä artikkelissa kerrotaan, mitä isäntiä ja portteja tarvitaan Apple-tuotteiden käyttöön yritysverkoissa.

Tämä artikkeli on tarkoitettu yritys- ja oppilaitosverkkojen ylläpitäjille.

Apple-tuotteet tarvitsevat oikeudet tässä artikkelissa mainittuihin internet-isäntiin eri palveluita varten. Laitteesi muodostavat yhteyden isäntiin ja käyttävät välipalvelimia seuraavalla tavalla:

  • Alla mainitut verkkoyhteydet isäntiin muodostaa laite, eivät Applen ylläpitämät isännät.
  • Apple-palvelut estävät kaikki HTTPS Interception (SSL Inspection) -tekniikkaa käyttävät yhteydet. Jos HTTPS-liikenne kulkee WWW-välipalvelimen kautta, poista HTTPS Interception -tekniikka tässä artikkelissa mainittujen isäntien osalta käytöstä.

Varmista, että Apple-laitteet pystyvät käyttämään alla mainittuja isäntiä.

Applen push-ilmoitukset

Lue, miten voit suorittaa Applen push-ilmoituspalveluun (APNs) muodostettavan yhteyden vianmäärityksen. Kaiken liikenteen HTTP-välipalvelimen kautta lähettävien laitteiden tapauksessa voit määrittää kyseisen välipalvelimen manuaalisesti laitteella tai käyttämällä määritysprofiilia. macOS 10.15.5:stä alkaen laitteet pystyvät muodostamaan APNs-yhteyksiä, jos laitteet on määritetty käyttämään HTTP-välipalvelinta välipalvelimen automaattisen määritystiedoston (PAC-tiedoston) kanssa.

Laitteen käyttöönotto

Laitetta käyttöön otettaessa tai käyttöjärjestelmää asennettaessa, päivitettäessä tai palautettaessa voidaan tarvita yhteys seuraaviin isäntiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
albert.apple.com 443 TCP iOS, tvOS ja macOS Laitteen aktivointi Kyllä
captive.apple.com 443, 80 TCP iOS, tvOS ja macOS Vahtisivuja eli erillisiä kirjautumissivuja käyttävien verkkojen internet-yhteyden tarkistus Kyllä
gs.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä
humb.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä
static.ips.apple.com 443, 80 TCP iOS, tvOS ja macOS   Kyllä
sq-device.apple.com 443 TCP Vain iOS eSIM-aktivointi
tbsc.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä
time-ios.apple.com 123 UDP Vain iOS ja tvOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.
time.apple.com 123 UDP iOS, tvOS ja macOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.
time-macos.apple.com 123 UDP Vain macOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.

Laitehallinta

Mobiililaitteiden hallintaan (MDM) rekisteröidyt laitteet voivat tarvita verkkoyhteyden seuraaviin isäntiin:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS ja macOS Push-ilmoitukset Lue lisätietoja APNs:stä ja välipalvelimista.
gdmf.apple.com 443 TCP iOS, tvOS ja macOS MDM-palvelimen käytössä hallittuja ohjelmistopäivityksiä käyttäviin laitteisiin saatavilla olevien ohjelmistopäivitysten tunnistamiseen. Kyllä
deviceenrollment.apple.com 443 TCP iOS, tvOS ja macOS DEP:n tilapäinen rekisteröityminen
deviceservices-external.apple.com 443 TCP iOS, tvOS ja macOS  
identity.apple.com 443 TCP iOS, tvOS ja macOS APNs-varmennepyyntöportaali Kyllä
iprofiles.apple.com 443 TCP iOS, tvOS ja macOS Isännöi käytettäviä rekisteröintiprofiilja, kun laitteita rekisteröidään Apple School Manageriin tai Apple Business Manageriin laiterekisteröintiohjelman kautta. Kyllä
mdmenrollment.apple.com 443 TCP iOS, tvOS ja macOS MDM-palvelimet lähettävät laiterekisteröintiohjelman kautta Apple School Manageriin tai Apple Business Manageriin rekisteröitäessä käytettyjä rekisteröintiprofiileja sekä hakevat laitteita ja tilejä. Kyllä
setup.icloud.com 443 TCP Vain iOS Edellyttää kirjautumista hallitulla Apple ID:llä jaetussa iPadissa.
vpp.itunes.apple.com 443 TCP iOS, tvOS ja macOS MDM-palvelimet suorittavat appeihin ja kirjoihin liittyviä toimintoja, esimerkiksi määrittävät tai kumoavat lisenssejä laitteella. Kyllä

Apple School Manager ja Apple Business Manager

Apple School Managerin ja Apple Business Managerin kaikkien toimintojen hyödyntäminen edellyttää verkkoyhteyttä seuraaviin isäntiin ja App Store -osion isäntiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.school.apple.com 443, 80 TCP Koulutöiden opiskelijaluettelopalvelu
ws-ee-maidsvc.icloud.com 443, 80 TCP Koulutöiden opiskelijaluettelopalvelu
*.business.apple.com. 443, 80 TCP Apple Business Manager
isu.apple.com 443, 80 TCP  

Ohjelmistopäivitykset

Varmista, että pystyt käyttämään seuraavia portteja, kun päivität macOS:n, hankit appeja Mac App Storesta ja käytät sisältövälimuistia.

macOS, iOS ja tvOS

macOS:n, iOS:n ja tvOS:n asentamista, palauttamista ja päivittämistä varten tarvitaan verkkoyhteys seuraaviin isäntänimiin:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
appldnld.apple.com 80 TCP Vain iOS iOS-päivitykset
configuration.apple.com 443 TCP macOS Rosetta 2:n päivitykset
gg.apple.com 443, 80 TCP iOS, tvOS ja macOS iOS:n, tvOS:n ja macOS:n päivitykset Kyllä
gnf-mdn.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
gnf-mr.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
gs.apple.com 443, 80 TCP Vain macOS macOS:n päivitykset Kyllä
ig.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
mesu.apple.com 443, 80 TCP iOS, tvOS ja macOS Isännöi ohjelmistopäivitysluetteloita.
ns.itunes.apple.com 443 TCP Vain iOS   Kyllä
oscdn.apple.com 443, 80 TCP Vain macOS macOS:n palautus
osrecovery.apple.com 443, 80 TCP Vain macOS macOS:n palautus
skl.apple.com 443 TCP Vain macOS macOS:n päivitykset
swcdn.apple.com 80 TCP Vain macOS macOS:n päivitykset
swdist.apple.com 443 TCP Vain macOS macOS:n päivitykset
swdownload.apple.com 443, 80 TCP Vain macOS macOS:n päivitykset Kyllä
swpost.apple.com 80 TCP Vain macOS macOS:n päivitykset Kyllä
swscan.apple.com 443 TCP Vain macOS macOS:n päivitykset
updates-http.cdn-apple.com 80 TCP iOS, tvOS ja macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS ja macOS  
xp.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä

App Store

Appien päivittämistä varten voidaan tarvita yhteys seuraaviin isäntiin:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.itunes.apple.com 443, 80 TCP iOS, tvOS ja macOS Sisältö, esimerkiksi apit, kirjat ja musiikki Kyllä
*.apps.apple.com 443 TCP iOS, tvOS ja macOS Sisältö, esimerkiksi apit, kirjat ja musiikki Kyllä
*.mzstatic.com 443 TCP iOS, tvOS ja macOS Sisältö, esimerkiksi apit, kirjat ja musiikki
itunes.apple.com 443, 80 TCP iOS, tvOS ja macOS   Kyllä
ppq.apple.com 443 TCP iOS, tvOS ja macOS Yritysappien tarkistus

Sisältövälimuisti

macOS:n sisältövälimuistia käyttävää Macia varten tarvitaan yhteys seuraavaan isäntään:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
lcdn-registration.apple.com 443 TCP Vain macOS Sisältövälimuistipalvelimen rekisteröinti Kyllä
serverstatus.apple.com 443 TCP iOS, tvOS ja macOS Sisältövälimuistiasiakkaan julkisen IP-osoitteen määritys Kyllä

Apple Developer

Apin notarisointiin ja apin tarkistukseen tarvitaan yhteys seuraaviin isäntiin.

Apin notarisointi

macOS 10.14.5:stä alkaen ohjelmistosta tarkistetaan notarisointi ennen ohjelmiston suorittamista. Tämän tarkistuksen onnistuminen edellyttää, että Mac pystyy käyttämään artikkelin Customizing the Notarization Workflow Ensure Your Build Server Has Network Access -osassa lueteltuja isäntiä:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
17.248.128.0/18 443 TCP Vain macOS Lippujen toimitus
17.250.64.0/18 443 TCP Vain macOS Lippujen toimitus
17.248.192.0/19 443 TCP Vain macOS Lippujen toimitus

Apin tarkistus

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.appattest.apple.com 443 TCP iOS ja macOS Apin tarkistus, Touch ID- ja Face ID -todennus verkkosivustoille

Palauteapuri

Palauteapuri on appi, jolla beetaohjelmistojen kehittäjät ja jäsenet antavat palautetta Applelle. Se käyttää seuraavia isäntiä:

Isännät Portti Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
fba.apple.com 443 TCP iOS, tvOS ja macOS Palauteapuri käyttää tätä palautteen tallentamiseen ja tarkastelemiseen. Kyllä
cssubmissions.apple.com 443 TCP iOS, tvOS ja macOS Palauteapuri käyttää tätä tiedostojen lähettämiseen. Kyllä
bpapi.apple.com 443 TCP Vain tvOS Tarjoaa beetaohjelmistopäivityksiä. Kyllä

Apple-vianmääritys

Apple-laitteet voivat käyttää seuraavaa isäntää mahdollisen laitteisto-ongelman havaitsemiseen käytettävän vianmäärityksen suorittamiseen:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
diagassets.apple.com 443 TCP iOS, tvOS ja macOS Applen laitteet käyttävät tätä mahdollisten laitteisto-ongelmien havaitsemiseen. Kyllä

Toimialueen nimijärjestelmän selvitys

iOS 14:ssä, tvOS 14:ssä ja macOS Big Surissa otetaan yhteyttä seuraavaan isäntään salatun toimialueen nimijärjestelmän (DNS, Domain Name System) selvitystä varten:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
doh.dns.apple.com 443 TCP iOS, tvOS ja macOS Käytetään DNS over HTTPS (DoH) -protokollaan Kyllä

Varmenteen tarkistus

Apple-laitteiden on pystyttävä muodostamaan yhteys seuraaviin isäntiin, jotta ne pystyvät tarkistamaan yllä mainittujen isäntien käyttämät digitaaliset varmenteet:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
crl.apple.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
crl.entrust.net 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
crl3.digicert.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
crl4.digicert.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.apple.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.digicert.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.entrust.net 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.verisign.net 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
valid.apple.com 443 TCP iOS, tvOS ja macOS Varmenteen tarkistus Kyllä

Palomuurit

Jos palomuurisi tukee isäntänimien käyttöä, pystyt ehkä käyttämään useimpia edellä mainittuja Applen palveluita sallimalla lähtevät yhteydet osoitteeseen *.apple.com. Jos palomuurisi voidaan määrittää käyttämään vain IP-osoitteita, salli lähtevät yhteyden osoitteeseen 17.0.0.0/8. Koko 17.0.0.0/8-osoitelohko on määritetty Applelle.

HTTP-välipalvelin

Voit käyttää Applen tuotteita välipalvelimen kautta, jos poistat pakettien tarkistuksen sekä lähtevän ja saapuvan liikenteen todennuksen luettelossa olevien isäntien osalta käytöstä. Poikkeukset tähän on mainittu edellä. Jos Apple-laitteiden ja palveluiden välisen salatun tietoliikenteen sisältöä yritetään tarkistaa, yhteys katkaistaan alustan turvallisuuden ja käyttäjän tietosuojan varmistamiseksi.

Julkaisupäivämäärä: