Utiliser les produits Apple sur les réseaux d’entreprise

Découvrez quels hôtes et quels ports sont nécessaires pour utiliser vos produits Apple sur des réseaux d’entreprise.

Cet article est destiné aux administrateurs réseau des entreprises et des établissements d’enseignement.

Les produits Apple doivent avoir accès aux hôtes Internet décrits dans cet article pour divers services. Voici comment vos appareils se connectent aux hôtes et fonctionnent avec des serveurs mandataires :

  • Les connexions réseau aux hôtes ci-dessous sont lancées par l’appareil et non par les hôtes gérés par Apple.
  • Les services Apple échoueront pour toute connexion utilisant l’interception HTTPS (inspection SSL). Si le trafic HTTPS passe par un serveur Web mandataire, désactivez l’interception HTTPS pour les hôtes répertoriés dans cet article.

Assurez-vous que vos appareils Apple peuvent accéder aux hôtes répertoriés ci-dessous.

Notifications Push Apple

Découvrez comment résoudre les problèmes de connexion au service de notifications Push Apple (APN). Pour les appareils qui envoient tout le trafic par un serveur mandataire HTTP, vous pouvez configurer le serveur mandataire manuellement sur l’appareil ou avec un profil de configuration. À partir de macOS 10.15.5, les appareils peuvent se connecter aux APN lorsqu’ils ont été configurés de manière à utiliser le serveur mandataire HTTP avec un fichier de configuration automatique du serveur mandataire (PAC).

Configuration de l’appareil

L’accès aux hôtes suivants peut être requis lors de la configuration de votre appareil ou lors de l’installation, de la mise à jour ou de la restauration du système d’exploitation.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
albert.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Activation de l’appareil Oui
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS Validation de la connectivité Internet pour les réseaux utilisant des portails captifs Oui
gs.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui
humb.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS   Oui
sq-device.apple.com 443 TCP iOS et iPadOS Activation de la carte eSIM
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui
time-ios.apple.com 123 UDP iOS, iPadOS et tvOS Utilisé par les appareils pour définir leur date et heure
time.apple.com 123 UDP iOS, iPadOS, tvOS et macOS Utilisé par les appareils pour définir leur date et heure
time-macos.apple.com 123 UDP Sous macOS uniquement Utilisé par les appareils pour définir leur date et heure

Gestion des appareils

Un accès réseau aux hôtes suivants peut être requis pour les appareils inscrits à la solution de gestion des appareils mobiles (GAM).

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS et macOS Notifications Push En savoir plus sur les APN et les serveurs mandataires.
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Inscription provisoire au programme DEP
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS et macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS et macOS Le serveur de GAM détecte les mises à jour logicielles disponibles pour les appareils utilisant des mises à jour logicielles gérées Oui
identity.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Portail de demande de certificat des services APN Oui
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Profils d’inscription des hôtes utilisés lorsque les appareils sont inscrits dans Apple School Manager ou Apple Business Manager par le programme d’inscription des appareils Oui
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Les serveurs de GAM permettent de téléverser les profils d’inscription utilisés par les clients qui s’inscrivent à Apple School Manager ou à Apple Business Manager par le programme d’inscription des appareils, ainsi que de rechercher des appareils et des comptes Oui
setup.icloud.com 443 TCP iOS et iPadOS Obligatoire pour se connecter avec un identifiant Apple géré sur un iPad partagé
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Les serveurs de GAM effectuent des opérations liées à Apps et livres, telles que l’attribution ou la révocation de licences sur un appareil Oui

Apple School Manager et Apple Business Manager

Un accès réseau aux hôtes suivants et aux hôtes de la section App Store est requis pour accéder à l’ensemble des fonctionnalités d’Apple School Manager et d’Apple Business Manager.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
*.business.apple.com
443, 80 TCP - Apple Business Manager
*.school.apple.com 443, 80 TCP - Service de liste des travaux scolaires
upload.appleschoolcontent.com 22 SSH - Téléversements SFTP Oui
ws-ee-maidsvc.icloud.com 443, 80 TCP - Service de liste des travaux scolaires

Gestion des appareils Apple Business Essentials

Un accès réseau aux hôtes suivants est requis pour bénéficier de toutes les fonctionnalités de la gestion des appareils Apple Business Essentials.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
axm-adm-enroll.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Serveur d’inscription automatisée des appareils
axm-adm-mdm.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Serveur GAM
axm-adm-scep.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Serveur SCEP
axm-app.apple.com 443 TCP iOS, iPadOS et macOS Utilisé par Apple Business Essentials pour consulter et gérer les apps et les appareils

Mises à jour logicielles

Assurez-vous de pouvoir accéder aux ports suivants pour mettre à jour macOS, les apps du Mac App Store et utiliser la mise en cache de contenu.

macOS, iOS, iPadOS, watchOS et tvOS

Un accès réseau aux noms d’hôtes suivants est requis pour installer, restaurer et mettre à jour macOS, iOS, iPadOS, watchOS et tvOS.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
appldnld.apple.com 80 TCP iOS, iPadOS et watchOS Mises à jour iOS, iPadOS et watchOS
configuration.apple.com 443 TCP Sous macOS uniquement Mises à jour de Rosetta 2
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS, watchOS et macOS Catalogue de mises à jour logicielles
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS et macOS Mises à jour iOS, iPadOS, tvOS, watchOS et macOS Oui
gnf-mdn.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Oui
gnf-mr.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Oui
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS et macOS Mises à jour iOS, iPadOS, tvOS, watchOS et macOS Oui
ig.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Oui
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS et macOS Héberge les catalogues de mises à jour logicielles
ns.itunes.apple.com 443 TCP iOS, iPadOS et watchOS   Oui
oscdn.apple.com 443, 80 TCP Sous macOS uniquement Récupération de macOS
osrecovery.apple.com 443, 80 TCP Sous macOS uniquement Récupération de macOS
skl.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS
swcdn.apple.com 80 TCP Sous macOS uniquement Mises à jour de macOS
swdist.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS
swdownload.apple.com 443, 80 TCP Sous macOS uniquement Mises à jour de macOS Oui
swscan.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS et macOS Téléchargements de mises à jour logicielles
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS et macOS Téléchargements de mises à jour logicielles
xp.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui

App Store

L’accès aux hôtes suivants peut être requis pour la mise à jour des apps.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS Stocker du contenu tel que des apps, des livres et de la musique Oui
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Stocker du contenu tel que des apps, des livres et de la musique Oui
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS et macOS Stocker du contenu tel que des apps, des livres et de la musique
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS   Oui
ppq.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Validation de l’app d’entreprise

Mises à jour des opérateurs

Les appareils cellulaires doivent pouvoir se connecter aux hôtes suivants pour l’installation des mises à jour groupées de l’opérateur.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
appldnld.apple.com 80 TCP iOS et iPadOS Mises à jour groupées de l’opérateur cellulaire
appldnld.apple.com.edgesuite.net 80 TCP iOS et iPadOS Mises à jour groupées de l’opérateur cellulaire
itunes.com 80 TCP iOS et iPadOS Découverte de mises à jour groupées de l’opérateur
itunes.apple.com 443 TCP iOS et iPadOS Découverte de mises à jour groupées de l’opérateur
updates-http.cdn-apple.com 80 TCP iOS et iPadOS Mises à jour groupées de l’opérateur cellulaire
updates.cdn-apple.com 443 TCP iOS et iPadOS Mises à jour groupées de l’opérateur cellulaire

 

Mise en cache de contenu

Un Mac qui fournit la mise en cache de contenu doit pouvoir se connecter aux hôtes suivants, ainsi qu’aux hôtes indiqués dans ce document, qui fournissent du contenu Apple, comme des mises à jour logicielles, des apps et du contenu supplémentaire.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
lcdn-registration.apple.com 443 TCP Sous macOS uniquement Inscription du serveur Oui
suconfig.apple.com 80 TCP Sous macOS uniquement

Configuration
xp-cdn.apple.com 443 TCP Sous macOS uniquement Signalement Oui

Les clients de la mise en cache de contenu macOS doivent pouvoir se connecter aux hôtes suivants.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Service de localisation de la mise en cache du contenu
serverstatus.apple.com
443 TCP Sous macOS uniquement Détermination de l’adresse IP publique du client pour la mise en cache du contenu

Développeur Apple

Un accès aux hôtes suivants et requis pour la notarisation de l’app et la validation de l’app.

Notarisation de l’app

À partir de macOS 10.14.5, le système vérifie la notarisation du logiciel avant son exécution. Pour que cette vérification réussisse, un Mac doit pouvoir accéder aux mêmes hôtes que ceux énumérés dans la section Ensure Your Build Server Has Network Access (Assurez-vous que votre serveur de versions dispose d’un accès réseau) de l’article Customizing the Notarization Workflow (Personnalisation du processus de notarisation).

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
17.248.128.0/18 443 TCP Sous macOS uniquement Livraison de billets
17.250.64.0/18 443 TCP Sous macOS uniquement Livraison de billets
17.248.192.0/19 443 TCP Sous macOS uniquement Livraison de billets

Validation de l’app

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
*.appattest.apple.com 443 TCP iOS, iPadOS et macOS Validation des apps, authentification Touch ID et Face ID pour les sites Web

Assistant d’évaluation

Assistant d’évaluation est une app utilisée par les développeurs et les membres des programmes logiciels bêta pour signaler leurs commentaires à Apple. Elle utilise les hôtes suivants :

Hôtes Port Protocole SE Description Prend en charge les serveurs mandataires
bpapi.apple.com 443 TCP tvOS uniquement Fournit des mises à jour logicielles bêta Oui
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS et macOS Utilisé par Assistant d’évaluation pour téléverser des fichiers

Oui
fba.apple.com

443 TCP iOS, iPadOS, tvOS et macOS

Utilisé par Assistant d’évaluation pour classer et afficher les commentaires

Oui

Diagnostics Apple

Les appareils Apple peuvent accéder à l’hôte suivant afin d’effectuer les diagnostics utilisés pour détecter un éventuel problème matériel.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Utilisé par les appareils Apple pour détecter d’éventuels problèmes matériels Oui

Résolution du système de noms de domaine

Afin d’utiliser la résolution du système de noms de domaine (DNS) chiffrée dans iOS 14, tvOS 14 et macOS Big Sur, l’hôte suivant sera contacté.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Utilisé pour DNS sur HTTPS (DoH) Oui

Validation du certificat

Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour valider les certificats numériques utilisés par les hôtes indiqués dans cet article.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
crl.apple.com 80 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
crl.entrust.net 80 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS et macOS Validation de certificats en Chine
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Validation du certificat
valid.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Validation du certificat Oui

 

Identifiant Apple

Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour authentifier un identifiant Apple. Cela est requis pour tous les services qui utilisent un identifiant Apple, comme iCloud, l’installation d’apps et Xcode.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
appleid.apple.com
443 TCP iOS, iPadOS, tvOS et macOS
Authentification par identifiant Apple dans Réglages et Préférences Système
Oui
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS et macOS
Authentification par identifiant Apple dans Réglages et Préférences Système
Oui
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Authentification par identifiant Apple Oui
gsa.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Authentification par identifiant Apple Oui

iCloud

En plus des hôtes d’identifiant Apple répertoriés ci-dessus, les appareils Apple doivent pouvoir se connecter aux hôtes des domaines suivants pour utiliser les services iCloud.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.apzones.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud en Chine
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS et macOS
Services iCloud
*.icloud.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS et macOS
Services iCloud en Chine
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Documents iWork
mask.icloud.com 443 UDP iOS, iPadOS, macOS Relais privé iCloud
mask-h2.icloud.com 443 TCP iOS, iPadOS, macOS Relais privé iCloud
mask-api.icloud.com 443 TCP iOS, iPadOS, macOS Relais privé iCloud Oui

 

Contenu supplémentaire

Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour télécharger du contenu supplémentaire. Certains contenus supplémentaires peuvent également être hébergés sur des réseaux de distribution de contenu tiers.

Hôtes Ports Protocole SE Description Prend en charge les serveurs mandataires
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS et macOS Contenu GarageBand téléchargeable
devimages-cdn.apple.com
80, 443 TCP Sous macOS uniquement Composants téléchargeables Xcode
download.developer.apple.com 80, 443 TCP Sous macOS uniquement Composants téléchargeables Xcode
playgrounds-assets-cdn.apple.com 443 TCP iPadOS et macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS et macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP tvOS uniquement
Économiseurs d’écran d’Apple TV

Pare-feux

Si votre pare-feu prend en charge l’utilisation de noms d’hôte, vous pourrez peut-être utiliser la plupart des services Apple susmentionnés en autorisant les connexions sortantes vers *.apple.com. Si votre pare-feu ne peut être configuré qu’avec des adresses IP, autorisez les connexions sortantes vers 17.0.0.0/8. L’ensemble du bloc d’adresses 17.0.0.0/8 est attribué à Apple.

Serveur mandataire HTTP

Vous pouvez utiliser les services Apple par un serveur mandataire si vous désactivez l’inspection et l’authentification de paquet pour le trafic à destination et en provenance des hôtes répertoriés. Les exceptions sont indiquées ci-dessus. Les tentatives d’inspection du contenu sur les communications chiffrées entre les appareils et les services Apple entraîneront une perte de connexion afin de préserver la sécurité de la plateforme et la confidentialité des utilisateurs.

Réseaux de distribution de contenu et résolution DNS

Certains des hôtes répertoriés dans cet article peuvent avoir des enregistrements CNAME dans DNS plutôt que des enregistrements A ou AAAA. Ces enregistrements CNAME peuvent faire référence à d’autres enregistrements CNAME dans une chaîne avant de finir par résoudre une adresse IP. Cette résolution DNS permet à Apple de fournir du contenu de manière rapide et fiable aux utilisateurs de toutes les régions, et ce, en toute transparence par rapport aux appareils et aux serveurs mandataires. Apple ne publie pas de liste de ces enregistrements CNAME, car ils sont susceptibles d’être modifiés. Vous ne devriez pas devoir configurer votre pare-feu ou votre serveur mandataire pour les autoriser, tant que vous ne bloquez pas les recherches DNS et que vous autorisez l’accès aux hôtes et aux domaines mentionnés ci-dessus.

Date de publication: