Apple-tuotteiden käyttäminen yritysverkoissa

Tässä artikkelissa kerrotaan, mitä isäntiä ja portteja tarvitaan Apple-tuotteiden käyttöön yritysverkoissa.

Tämä artikkeli on tarkoitettu yritys- ja oppilaitosverkkojen ylläpitäjille.

Apple-tuotteet tarvitsevat oikeudet tässä artikkelissa mainittuihin internet-isäntiin eri palveluita varten. Laitteesi muodostavat yhteyden isäntiin ja käyttävät välipalvelimia seuraavalla tavalla:

  • Alla mainitut verkkoyhteydet isäntiin muodostaa laite, eivät Applen ylläpitämät isännät.
  • Apple-palvelut estävät kaikki HTTPS Interception (SSL Inspection) -tekniikkaa käyttävät yhteydet. Jos HTTPS-liikenne kulkee WWW-välipalvelimen kautta, poista HTTPS Interception -tekniikka tässä artikkelissa mainittujen isäntien osalta käytöstä.

Varmista, että Apple-laitteet pystyvät käyttämään alla mainittuja isäntiä.

Applen push-ilmoitukset

Lue, miten voit suorittaa Applen push-ilmoituspalveluun (APNs) muodostettavan yhteyden vianmäärityksen. Kaiken liikenteen HTTP-välipalvelimen kautta lähettävien laitteiden tapauksessa voit määrittää kyseisen välipalvelimen manuaalisesti laitteella tai käyttämällä määritysprofiilia. APNs-yhteydet epäonnistuvat, jos laitteet on määritetty käyttämään HTTP-välipalvelinta välipalvelimen automaattisen määritystiedoston (PAC-tiedoston) kanssa.

Laitteen käyttöönotto

Laitetta käyttöön otettaessa tai käyttöjärjestelmää asennettaessa, päivitettäessä tai palautettaessa voidaan tarvita yhteys seuraaviin isäntiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia.
albert.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä
captive.apple.com 443, 80 TCP iOS, tvOS ja macOS Vahtisivuja käyttävien verkkojen Internet-yhteyden tarkistus. Kyllä
gs.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä
humb.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä
static.ips.apple.com 443, 80 TCP iOS, tvOS ja macOS   Kyllä
tbsc.apple.com 443 TCP Vain macOS   Kyllä
time-ios.apple.com 123 UDP Vain iOS ja tvOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.
time.apple.com 123 UDP iOS, tvOS ja macOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.
time-macos.apple.com 123 UDP Vain macOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.

Laitehallinta

Mobiililaitteiden hallintaan (MDM) rekisteröidyt laitteet voivat tarvita verkkoyhteyden seuraaviin isäntiin:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia.
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS ja macOS Push-ilmoitukset Lue lisätietoja APNs:stä ja välipalvelimista.
gdmf.apple.com 443 TCP iOS, tvOS ja macOS MDM-palvelin, joka tunnistaa, mitkä ohjelmistopäivitykset ovat saatavilla hallittuja ohjelmistopäivityksiä käyttäviin laitteisiin. Kyllä
deviceenrollment.apple.com 443 TCP iOS, tvOS ja macOS DEP:n tilapäinen rekisteröityminen.
deviceservices-external.apple.com 443 TCP iOS, tvOS ja macOS  
identity.apple.com 443 TCP iOS, tvOS ja macOS APNs-varmennepyyntöportaali. Kyllä
iprofiles.apple.com 443 TCP iOS, tvOS ja macOS Laitteita laiterekisteröintiohjelman kautta Apple School Manageriin tai Apple Business Manageriin rekisteröitäessä käytettävät isäntien rekisteröintiprofiilit. Kyllä
mdmenrollment.apple.com 443 TCP iOS, tvOS ja macOS MDM-palvelimet lähettävät laiterekisteröintiohjelman kautta Apple School Manageriin tai Apple Business Manageriin rekisteröitäessä käytettyjä rekisteröintiprofiileja sekä hakevat laitteita ja tilejä. Kyllä
vpp.itunes.apple.com 443 TCP iOS, tvOS ja macOS MDM-palvelimet suorittavat appeihin ja kirjoihin liittyviä toimintoja, esimerkiksi määrittävät tai kumoavat lisenssejä laitteella. Kyllä

Ohjelmistopäivitykset

Varmista, että pystyt käyttämään seuraavia portteja, kun päivität macOS:n, hankit appeja Mac App Storesta ja käytät sisältövälimuistia.

macOS, iOS ja tvOS

macOS:n, iOS:n ja tvOS:n asentamista, palauttamista ja päivittämistä varten tarvitaan verkkoyhteys seuraaviin isäntänimiin:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia.
appldnld.apple.com 80 TCP Vain iOS iOS-päivitykset
gg.apple.com 443, 80 TCP Vain macOS macOS:n päivitykset Kyllä
gnf-mdn.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
gnf-mr.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
gs.apple.com 443, 80 TCP Vain macOS macOS:n päivitykset Kyllä
ig.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
mesu.apple.com 443, 80 TCP iOS, tvOS ja macOS Isännöi ohjelmistopäivitysluetteloita.
ns.itunes.apple.com 443 TCP Vain iOS   Kyllä
oscdn.apple.com 443, 80 TCP Vain macOS macOS:n palautus
osrecovery.apple.com 443, 80 TCP Vain macOS macOS:n palautus
skl.apple.com 443 TCP Vain macOS macOS:n päivitykset
swcdn.apple.com 80 TCP Vain macOS macOS:n päivitykset
swdist.apple.com 443 TCP Vain macOS macOS:n päivitykset
swdownload.apple.com 443, 80 TCP Vain macOS macOS:n päivitykset Kyllä
swpost.apple.com 80 TCP Vain macOS macOS:n päivitykset Kyllä
swscan.apple.com 443 TCP Vain macOS macOS:n päivitykset
updates-http.cdn-apple.com 80 TCP iOS, tvOS ja macOS  
updates.apple.com 443 TCP iOS, tvOS ja macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS ja macOS  
xp.apple.com 443 TCP iOS, tvOS ja macOS   Kyllä

App Store

Seuraavien appien päivittämistä varten voidaan tarvita yhteys seuraaviin isäntiin:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia.
*.itunes.apple.com 443, 80 TCP iOS, tvOS ja macOS Tallenna sisältöä, kuten appeja, kirjoja ja musiikkia. Kyllä
*.apps.apple.com 443 TCP iOS, tvOS ja macOS Tallenna sisältöä, kuten appeja, kirjoja ja musiikkia. Kyllä
*.mzstatic.com 443 TCP iOS, tvOS ja macOS Tallenna sisältöä, kuten appeja, kirjoja ja musiikkia.
itunes.apple.com 443, 80 TCP iOS, tvOS ja macOS   Kyllä
ppq.apple.com 443 TCP iOS, tvOS ja macOS Yritysappien tarkistus

Sisältövälimuisti

macOS:n sisältövälimuistia käyttävää Macia varten tarvitaan yhteys seuraavaan isäntään:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia.
lcdn-registration.apple.com 443 TCP Vain macOS Sisältövälimuistipalvelimen rekisteröinti Kyllä

Apin notarisointi

macOS 10.14.5:stä alkaen ohjelmistosta tarkistetaan notarisointi ennen ohjelmiston suorittamista. Tämän tarkistuksen onnistuminen edellyttää, että Mac pystyy käyttämään artikkelin Customizing the Notarization Workflow Ensure Your Build Server Has Network Access -osassa lueteltuja isäntiä:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia.
17.248.128.0/18 443 TCP Vain macOS Lippujen toimitus
17.250.64.0/18 443 TCP Vain macOS Lippujen toimitus
17.248.192.0/19 443 TCP Vain macOS Lippujen toimitus

Varmenteen tarkistus

Apple-laitteiden on pystyttävä muodostamaan yhteys seuraaviin isäntiin, jotta ne pystyvät tarkistamaan yllä mainittujen isäntien käyttämät digitaaliset varmenteet:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia.
crl.apple.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
crl.entrust.net 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
crl3.digicert.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
crl4.digicert.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.apple.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.digicert.com 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.entrust.net 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus
ocsp.verisign.net 80 TCP iOS, tvOS ja macOS Varmenteen tarkistus

Palomuurit

Jos palomuurisi tukee isäntänimien käyttöä, pystyt ehkä käyttämään useimpia edellä mainittuja Applen palveluita sallimalla lähtevät yhteydet osoitteeseen *.apple.com. Jos palomuurisi voidaan määrittää käyttämään vain IP-osoitteita, salli lähtevät yhteyden osoitteeseen 17.0.0.0/8. Koko 17.0.0.0/8-osoitelohko on määritetty Applelle.

HTTP-välipalvelin

Voit käyttää Applen tuotteita välipalvelimen kautta, jos poistat pakettien tarkistuksen sekä lähtevän ja saapuvan liikenteen todennuksen luettelossa olevien isäntien osalta käytöstä. Poikkeukset tähän on mainittu edellä. Jos Apple-laitteiden ja palveluiden välisen salatun tietoliikenteen sisältö yritetään tarkistaa, yhteys katkaistaan alustan turvallisuuden ja käyttäjän tietosuojan varmistamiseksi.

Julkaisupäivämäärä: