Apple-tuotteiden käyttäminen yritysverkoissa

Tässä artikkelissa kerrotaan, mitä isäntiä ja portteja tarvitaan Apple-tuotteiden käyttöön yritysverkoissa.

Tämä artikkeli on tarkoitettu yritys- ja oppilaitosverkkojen ylläpitäjille.

Apple-laitteet tarvitsevat internet-yhteyden tässä artikkelissa mainittuihin isäntäkoneisiin eri palveluita varten. Laitteesi muodostavat yhteyden isäntiin ja käyttävät välipalvelimia seuraavalla tavalla:

  • Alla mainitut verkkoyhteydet isäntiin muodostaa laite, eivät Applen ylläpitämät isännät.
  • Apple-palvelut estävät kaikki HTTPS Interception (SSL Inspection) -tekniikkaa käyttävät yhteydet. Jos HTTPS-liikenne kulkee WWW-välipalvelimen kautta, poista HTTPS Interception -tekniikka tässä artikkelissa mainittujen isäntien osalta käytöstä.

Varmista, että Apple-laitteet pystyvät käyttämään alla mainittuja isäntiä.

Applen push-ilmoitukset

Lue, miten voit suorittaa Applen push-ilmoituspalveluun (APNs) muodostettavan yhteyden vianmäärityksen. Kaiken liikenteen HTTP-välipalvelimen kautta lähettävien laitteiden tapauksessa voit määrittää kyseisen välipalvelimen manuaalisesti laitteella tai käyttämällä määritysprofiilia. macOS 10.15.5:stä alkaen laitteet pystyvät muodostamaan APNs-yhteyksiä, jos laitteet on määritetty käyttämään HTTP-välipalvelinta välipalvelimen automaattisen määritystiedoston (PAC-tiedoston) kanssa.

Laitteen käyttöönotto

Kun laite otetaan käyttöön tai kun käyttöjärjestelmää asennetaan, päivitetään tai palautetaan, voidaan tarvita yhteys seuraaviin isäntäkoneisiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
albert.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Laitteen aktivointi Kyllä
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS ja macOS Vahtisivuja eli erillisiä kirjautumissivuja käyttävien verkkojen internet-yhteyden tarkistus Kyllä
gs.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS   Kyllä
humb.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS   Kyllä
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS ja macOS   Kyllä
sq-device.apple.com 443 TCP iOS ja iPadOS eSIM-aktivointi
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS   Kyllä
time-ios.apple.com 123 UDP iOS, iPadOS ja tvOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.
time.apple.com 123 UDP iOS, iPadOS, tvOS ja macOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.
time-macos.apple.com 123 UDP Vain macOS Laitteet käyttävät tätä päivämäärän ja ajan asettamiseen.

Laitehallinta

Mobiililaitteiden hallintaan (MDM) rekisteröidyt laitteet voivat tarvita verkkoyhteyden seuraaviin isäntiin:

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS ja macOS Push-ilmoitukset Lue lisätietoja APNs:stä ja välipalvelimista.
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS DEP:n tilapäinen rekisteröityminen
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS ja macOS MDM-palvelimen käytössä hallittuja ohjelmistopäivityksiä käyttäviin laitteisiin saatavilla olevien ohjelmistopäivitysten tunnistamiseen. Kyllä
identity.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS APNs-varmennepyyntöportaali Kyllä
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Isännöi käytettäviä rekisteröintiprofiilja, kun laitteita rekisteröidään Apple School Manageriin tai Apple Business Manageriin laiterekisteröintiohjelman kautta. Kyllä
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS MDM-palvelimet lähettävät laiterekisteröintiohjelman kautta Apple School Manageriin tai Apple Business Manageriin rekisteröitäessä käytettyjä rekisteröintiprofiileja sekä hakevat laitteita ja tilejä. Kyllä
setup.icloud.com 443 TCP iOS ja iPadOS Edellyttää kirjautumista hallitulla Apple ID:llä jaetussa iPadissa.
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS MDM-palvelimet suorittavat appeihin ja kirjoihin liittyviä toimintoja, esimerkiksi määrittävät tai kumoavat lisenssejä laitteella. Kyllä

Apple School Manager ja Apple Business Manager

Apple School Managerin ja Apple Business Managerin kaikkien toimintojen hyödyntäminen edellyttää verkkoyhteyttä seuraaviin isäntiin ja App Store -osion isäntiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.business.apple.com
443, 80 TCP Apple Business Manager
*.school.apple.com 443, 80 TCP Koulutöiden opiskelijaluettelopalvelu
upload.appleschoolcontent.com 22 SSH SFTP-lähetys Kyllä
ws-ee-maidsvc.icloud.com 443, 80 TCP Koulutöiden opiskelijaluettelopalvelu

Apple Business Essentials -laitehallinta

Apple Business Essentials -laitehallinnan täyteen toiminnallisuuteen tarvitaan verkkoyhteys seuraaviin isäntäkoneisiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
axm-adm-enroll.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS DEP-rekisteröintipalvelin
axm-adm-mdm.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS MDM-palvelin
axm-adm-scep.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS SCEP-palvelin
axm-app.apple.com 443 TCP iOS, iPadOS ja macOS Apple Business Essentials käyttää tätä appien ja laitteiden tarkasteluun ja hallintaan.

Ohjelmistopäivitykset

Varmista, että pystyt käyttämään seuraavia portteja, kun päivität macOS:n, hankit appeja Mac App Storesta ja käytät sisältövälimuistia.

macOS, iOS, iPadOS, watchOS ja tvOS

macOS:n, iOS:n, iPadOS:n, watchOS:n ja tvOS:n asentamista, palauttamista ja päivittämistä varten tarvitaan verkkoyhteys seuraaviin isäntäkoneisiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
appldnld.apple.com 80 TCP iOS, iPadOS ja watchOS iOS-, iPadOS- ja watchOS-päivitykset
configuration.apple.com 443 TCP Vain macOS Rosetta 2:n päivitykset
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS, watchOS ja macOS Ohjelmistopäivitysluettelo
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS ja macOS iOS-, iPadOS-, tvOS-, watchOS- ja macOS-päivitykset Kyllä
gnf-mdn.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
gnf-mr.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS ja macOS iOS-, iPadOS-, tvOS-, watchOS- ja macOS-päivitykset Kyllä
ig.apple.com 443 TCP Vain macOS macOS:n päivitykset Kyllä
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS ja macOS Isännöi ohjelmistopäivitysluetteloita.
ns.itunes.apple.com 443 TCP iOS, iPadOS ja watchOS   Kyllä
oscdn.apple.com 443, 80 TCP Vain macOS macOS:n palautus
osrecovery.apple.com 443, 80 TCP Vain macOS macOS:n palautus
skl.apple.com 443 TCP Vain macOS macOS:n päivitykset
swcdn.apple.com 80 TCP Vain macOS macOS:n päivitykset
swdist.apple.com 443 TCP Vain macOS macOS:n päivitykset
swdownload.apple.com 443, 80 TCP Vain macOS macOS:n päivitykset Kyllä
swscan.apple.com 443 TCP Vain macOS macOS:n päivitykset
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS ja macOS Ohjelmistopäivitysten lataukset
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Ohjelmistopäivitysten lataukset
xp.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS   Kyllä

App Store

Appien päivittämistä varten voidaan tarvita yhteys seuraaviin isäntiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS ja macOS Sisältö, esimerkiksi apit, kirjat ja musiikki Kyllä
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Sisältö, esimerkiksi apit, kirjat ja musiikki Kyllä
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS ja macOS Sisältö, esimerkiksi apit, kirjat ja musiikki
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS ja macOS   Kyllä
ppq.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Yritysappien tarkistus

Operaattorin päivitykset

Mobiililaitteiden on pystyttävä muodostamaan yhteys seuraaviin isäntiin operaattorinippujen päivitysten asentamista varten.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
appldnld.apple.com 80 TCP iOS ja iPadOS Mobiilioperaattorinippujen päivitykset
appldnld.apple.com.edgesuite.net 80 TCP iOS ja iPadOS Mobiilioperaattorinippujen päivitykset
itunes.com 80 TCP iOS ja iPadOS Operaattorinipun päivityksen löytäminen
itunes.apple.com 443 TCP iOS ja iPadOS Operaattorinipun päivityksen löytäminen
updates-http.cdn-apple.com 80 TCP iOS ja iPadOS Mobiilioperaattorinippujen päivitykset
updates.cdn-apple.com 443 TCP iOS ja iPadOS Mobiilioperaattorinippujen päivitykset

 

Sisältövälimuisti

Macin, jossa on sisältövälimuisti, on pystyttävä muodostamaan yhteys seuraaviin isäntiin sekä tässä asiakirjassa mainittuihin isäntiin, jotka tarjoavat Apple-sisältöä, kuten ohjelmistopäivityksiä, appeja ja lisäsisältöä.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
lcdn-registration.apple.com 443 TCP Vain macOS Palvelimen rekisteröinti Kyllä
suconfig.apple.com 80 TCP Vain macOS

Määritys
xp-cdn.apple.com 443 TCP Vain macOS Raportointi Kyllä

macOS-sisältövälimuistin asiakkaiden on pystyttävä muodostamaan yhteys seuraaviin isäntiin.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Sisältövälimuistin paikannuspalvelu
serverstatus.apple.com
443 TCP Vain macOS Sisältövälimuistiasiakkaan julkisen IP-osoitteen määritys

Apple Developer

Apin notarisointiin ja apin tarkistukseen tarvitaan yhteys seuraaviin isäntiin.

Apin notarisointi

macOS 10.14.5:stä alkaen ohjelmistosta tarkistetaan notarisointi ennen ohjelmiston suorittamista. Tämän tarkistuksen onnistuminen edellyttää, että Mac pystyy käyttämään Customizing the Notarization Workflow -artikkelin Ensure Your Build Server Has Network Access -osassa lueteltuja isäntiä.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
17.248.128.0/18 443 TCP Vain macOS Lippujen toimitus
17.250.64.0/18 443 TCP Vain macOS Lippujen toimitus
17.248.192.0/19 443 TCP Vain macOS Lippujen toimitus

Apin tarkistus

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.appattest.apple.com 443 TCP iOS, iPadOS ja macOS Apin tarkistus, Touch ID- ja Face ID -todennus verkkosivustoille

Palauteapuri

Palauteapuri on appi, jolla beetaohjelmistojen kehittäjät ja jäsenet antavat palautetta Applelle. Se käyttää seuraavia isäntiä:

Isännät Portti Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
bpapi.apple.com 443 TCP Vain tvOS Tarjoaa beetaohjelmistopäivityksiä. Kyllä
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS ja macOS Palauteapuri käyttää tätä tiedostojen lähettämiseen.

Kyllä
fba.apple.com

443 TCP iOS, iPadOS, tvOS ja macOS

Palauteapuri käyttää tätä palautteen tallentamiseen ja tarkastelemiseen.

Kyllä

Apple-vianmääritys

Apple-laitteet saattavat käyttää seuraavaa isäntää mahdollisen laitteisto-ongelman havaitsemiseen käytettävän vianmäärityksen suorittamiseen.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Applen laitteet käyttävät tätä mahdollisten laitteisto-ongelmien havaitsemiseen. Kyllä

Toimialueen nimijärjestelmän selvitys

iOS 14:ssä, tvOS 14:ssä ja macOS Big Surissa otetaan yhteyttä seuraavaan isäntään salatun toimialueen nimijärjestelmän (DNS, Domain Name System) selvitystä varten.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Käytetään DNS over HTTPS (DoH) -protokollaan Kyllä

Varmenteen tarkistus

Apple-laitteiden on pystyttävä muodostamaan yhteys seuraaviin isäntiin, jotta ne pystyvät tarkistamaan tässä artikkelissa mainittujen isäntien käyttämät digitaaliset varmenteet.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
crl.apple.com 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
crl.entrust.net 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus Manner-Kiinassa
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus
valid.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Varmenteen tarkistus Kyllä

 

Apple ID

Apple-laitteiden on pystyttävä muodostamaan yhteys seuraaviin isäntiin Apple ID:n todentamista varten. Tätä vaaditaan kaikissa Apple ID:tä käyttävissä palveluissa, kuten iCloudissa, appien asennuksessa ja Xcodessa.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
appleid.apple.com/fi
443 TCP iOS, iPadOS, tvOS ja macOS
Apple ID:n todentaminen kohdassa Asetukset ja Järjestelmäasetukset
Kyllä
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS ja macOS
Apple ID:n todentaminen kohdassa Asetukset ja Järjestelmäasetukset
Kyllä
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Apple ID:n todentaminen Kyllä
gsa.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS Apple ID:n todentaminen Kyllä

iCloud

Edellä mainittujen Apple ID:n isäntien lisäksi Apple-laitteiden on pystyttävä muodostamaan yhteys seuraavien domainien isäntiin iCloud-palveluiden käyttöä varten.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS ja macOS iCloud-palvelut
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS ja macOS iCloud-palvelut
*.apzones.com 443 TCP iOS, iPadOS, tvOS ja macOS iCloud-palvelut Manner-Kiinassa
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS ja macOS iCloud-palvelut
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS ja macOS
iCloud-palvelut
*.icloud.com 443 TCP iOS, iPadOS, tvOS ja macOS iCloud-palvelut
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS ja macOS
iCloud-palvelut Manner-Kiinassa
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS iCloud-palvelut
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS ja macOS iCloud-palvelut
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS ja macOS iWork-dokumentit
mask.icloud.com 443 UDP iOS, iPadOS ja macOS Suojattu iCloud-lähetys
mask-h2.icloud.com 443 TCP iOS, iPadOS ja macOS Suojattu iCloud-lähetys
mask-api.icloud.com 443 TCP iOS, iPadOS ja macOS Suojattu iCloud-lähetys Kyllä

 

Lisäsisältö

Apple-laitteiden on pystyttävä muodostamaan yhteys seuraaviin isäntiin lisäsisällön lataamista varten. Osaa sisällöstä voidaan isännöidä myös muiden valmistajien sisällönjakeluverkoissa.

Isännät Portit Protokolla Käyttöjärjestelmä Kuvaus Tukee välipalvelimia
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS ja macOS Ladattava GarageBand-sisältö
devimages-cdn.apple.com
80, 443 TCP Vain macOS Ladattavat Xcode-komponentit
download.developer.apple.com 80, 443 TCP Vain macOS Ladattavat Xcode-komponentit
playgrounds-assets-cdn.apple.com 443 TCP iPadOS ja macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS ja macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP Vain tvOS
Apple TV:n näytönsäästäjät

Palomuurit

Jos palomuurisi tukee isäntänimien käyttöä, voit ehkä käyttää useimpia edellä mainittuja Applen palveluita sallimalla lähtevät yhteydet osoitteeseen *.apple.com. Jos palomuurisi voidaan määrittää käyttämään vain IP-osoitteita, salli lähtevät yhteyden osoitteeseen 17.0.0.0/8. Koko 17.0.0.0/8-osoitelohko on määritetty Applelle.

HTTP-välipalvelin

Voit käyttää Applen tuotteita välipalvelimen kautta, jos poistat pakettien tarkistuksen sekä lähtevän ja saapuvan liikenteen todennuksen luettelossa olevien isäntien osalta käytöstä. Poikkeukset tähän on mainittu edellä. Jos Apple-laitteiden ja palveluiden välisen salatun tietoliikenteen sisältöä yritetään tarkistaa, yhteys katkaistaan alustan turvallisuuden ja käyttäjän tietosuojan varmistamiseksi.

Sisällönjakeluverkot ja DNS-nimenselvitys

Joillakin tässä artikkelissa mainituista isäntäkoneista saattaa olla DNS-palvelussa CNAME-tietueita A- tai AAAA-tietueiden sijaan. Nämä CNAME-tietueet saattavat viitata ketjun muihin CNAME-tietueisiin ennen kuin ne lopulta ratkeavat IP-osoitteiksi. Tämän DNS-järjestelyn avulla Apple pystyy toimittamaan sisältöä nopeasti ja luotettavasti käyttäjille kaikilla alueilla. DNS-nimenselvitys toimii läpinäkyvästi kaikille laiteille ja välipalvelimille. Apple ei julkaise luetteloa CNAME-tietueista, koska niitä voidaan muuttaa. Sinun ei tarvitse määrittää palomuuria tai välipalvelinta sallimaan niitä, mikäli et estä DNS-hakuja ja sallit yllä mainittujen isäntäkoneiden ja toimialueiden käytön.

Julkaisupäivämäärä: