Utiliser les produits Apple sur des réseaux d’entreprise

Découvrez quels hôtes et quels ports sont nécessaires pour utiliser vos produits Apple sur des réseaux d’entreprise.

Cet article est destiné aux administrateurs réseau des entreprises et des établissements d’enseignement.

Les produits Apple doivent avoir accès aux hôtes Internet décrits dans cet article pour divers services. Voici comment vos appareils se connectent aux hôtes et fonctionnent avec des proxys :

  • Les connexions réseau aux hôtes ci-dessous sont initiées par l’appareil et non par les hôtes gérés par Apple.
  • Les services Apple ne peuvent pas utiliser les connexions reposant sur l’interception HTTPS (inspection SSL). Si le trafic HTTPS passe par un proxy web, désactivez l’interception HTTPS pour les hôtes répertoriés dans cet article.

Assurez-vous que vos appareils Apple peuvent accéder aux hôtes répertoriés ci-dessous.

Notifications Push Apple

Apprenez à résoudre les problèmes de connexion au service de notifications Push Apple (APNS). Pour les appareils qui dirigent tout le trafic via un proxy HTTP, vous pouvez configurer le proxy manuellement sur l’appareil ou à l’aide d’un profil de configuration. Sous macOS 10.15.5 et version ultérieure, les appareils peuvent se connecter à des APNS lorsqu’ils sont configurés pour utiliser le proxy HTTP avec un fichier de configuration automatique de proxy (PAC).

Configuration de l’appareil

L’accès aux hôtes suivants peut être requis lors de la configuration de votre appareil ou de l’installation, de la mise à jour ou de la restauration du système d’exploitation.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
albert.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Activation de l’appareil Oui
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS Validation de la connectivité Internet pour les réseaux utilisant des portails captifs Oui
gs.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui
humb.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS   Oui
sq-device.apple.com 443 TCP iOS et iPadOS Activation eSIM
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui
time-ios.apple.com 123 UDP iOS, iPadOS et tvOS Utilisé par les appareils pour définir leur date et heure
time.apple.com 123 UDP iOS, iPadOS, tvOS et macOS Utilisé par les appareils pour définir leur date et heure
time-macos.apple.com 123 UDP macOS uniquement Utilisé par les appareils pour définir leur date et heure

Gestion des appareils

Un accès réseau aux hôtes suivants peut être requis pour les appareils inscrits dans la solution de gestion des appareils mobiles (MDM).

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS et macOS Notifications Push En savoir plus sur l'APNS et les proxys
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Inscription provisoire au programme DEP
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS et macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS et macOS Utilisé par un serveur MDM pour identifier les mises à jour logicielles disponibles pour les appareils utilisant des mises à jour logicielles gérées Oui
identity.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Portail de demande de certificat APNS Oui
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Profils d’inscription des hôtes utilisés lorsque les appareils sont inscrits à Apple School Manager ou à Apple Business Manager via le programme d’inscription des appareils Oui
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Serveurs MDM permettant de charger les profils d’inscription utilisés par les clients qui s’inscrivent à Apple School Manager ou à Apple Business Manager via le programme d’inscription des appareils, ainsi que de rechercher des appareils et des comptes Oui
setup.icloud.com 443 TCP iOS et iPadOS Connexion requise avec un identifiant Apple géré sur un iPad partagé
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Serveurs MDM effectuant des opérations associées à Apps et livres, telles que l’attribution ou la révocation de licences sur un appareil Oui

Apple School Manager et Apple Business Manager

Un accès réseau aux hôtes suivants ainsi qu’aux hôtes de la section App Store est requis pour bénéficier de toutes les fonctionnalités d’Apple School Manager et d’Apple Business Manager.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
*.business.apple.com
443, 80 TCP - Apple Business Manager -
*.school.apple.com 443, 80 TCP - Service de listes de Pour l’école -
isu.apple.com
443, 80 TCP -   -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Service de listes de Pour l’école -

Mises à jour logicielles

Assurez-vous de pouvoir accéder aux ports suivants pour mettre à jour macOS, les apps du Mac App Store et utiliser la mise en cache de contenu.

macOS, iOS et tvOS

Un accès réseau aux noms d’hôte suivants est requis pour l’installation, la restauration et la mise à jour de macOS, d’iOS et de tvOS.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
appldnld.apple.com 80 TCP iOS et iPadOS Mises à jour d’iOS
configuration.apple.com 443 TCP macOS uniquement Mises à jour de Rosetta 2
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Catalogue de mises à jour logicielles
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS Mises à jour d’iOS, de tvOS et de macOS Oui
gnf-mdn.apple.com 443 TCP macOS uniquement Mises à jour de macOS Oui
gnf-mr.apple.com 443 TCP macOS uniquement Mises à jour de macOS Oui
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS Mises à jour d’iOS, d’iPadOS, de tvOS et de macOS Oui
ig.apple.com 443 TCP macOS uniquement Mises à jour de macOS Oui
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS Héberge les catalogues de mises à jour logicielles
ns.itunes.apple.com 443 TCP iOS et iPadOS   Oui
oscdn.apple.com 443, 80 TCP macOS uniquement Récupération de macOS
osrecovery.apple.com 443, 80 TCP macOS uniquement Récupération de macOS
skl.apple.com 443 TCP macOS uniquement Mises à jour de macOS
swcdn.apple.com 80 TCP macOS uniquement Mises à jour de macOS
swdist.apple.com 443 TCP macOS uniquement Mises à jour de macOS
swdownload.apple.com 443, 80 TCP macOS uniquement Mises à jour de macOS Oui
swpost.apple.com 80 TCP macOS uniquement Mises à jour de macOS Oui
swscan.apple.com 443 TCP macOS uniquement Mises à jour de macOS
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS et macOS Téléchargements de mises à jour logicielles
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS et macOS Téléchargements de mises à jour logicielles
xp.apple.com 443 TCP iOS, iPadOS, tvOS et macOS   Oui

App Store

L’accès aux hôtes suivants peut être requis pour la mise à jour des apps.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS Contenu de l’App Store tel que des apps, des livres et de la musique Oui
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Contenu de l’App Store tel que des apps, des livres et de la musique Oui
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS et macOS Contenu de l’App Store tel que des apps, des livres et de la musique
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS et macOS   Oui
ppq.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Validation des apps d’entreprise

Mises à jour des opérateurs

Les appareils avec connexion mobile doivent pouvoir se connecter aux hôtes suivants pour l’installation des mises à jour de paquets d’opérateurs.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
appldnld.apple.com 80 TCP iOS et iPadOS Mises à jour des paquets d’opérateurs mobiles
appldnld.apple.com.edgesuite.net 80 TCP iOS et iPadOS Mises à jour des paquets d’opérateurs mobiles
itunes.com 80 TCP iOS et iPadOS Découverte des mises à jour de paquets d’opérateurs
itunes.apple.com 443 TCP iOS et iPadOS Découverte des mises à jour de paquets d’opérateurs
updates-http.cdn-apple.com 80 TCP iOS et iPadOS Mises à jour des paquets d’opérateurs mobiles
updates.cdn-apple.com 443 TCP iOS et iPadOS Mises à jour des paquets d’opérateurs mobiles

 

Mise en cache de contenu

Un Mac qui permet la mise en cache de contenu doit pouvoir se connecter aux hôtes suivants, ainsi qu’aux hôtes indiqués dans ce document qui fournissent du contenu Apple tel que des mises à jour logicielles, des apps et d’autres contenus.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
lcdn-registration.apple.com 443 TCP macOS uniquement Inscription du serveur Oui
suconfig.apple.com 80 TCP macOS uniquement

Configuration
xp-cdn.apple.com 443 TCP macOS uniquement Rapports Oui

Les clients de mise en cache de contenu macOS doivent pouvoir se connecter aux hôtes suivants.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Service de localisation de mise en cache de contenu
serverstatus.apple.com
443 TCP macOS uniquement Détermination de l’adresse IP publique du client pour la mise en cache de contenu

Apple Developer

Un accès aux hôtes suivants est requis pour la notarisation et la validation des apps.

Notarisation des apps

Sous macOS 10.14.5 et versions ultérieures, le système vérifie la notarisation du logiciel avant son exécution. Pour que cette vérification réussisse, un Mac doit pouvoir accéder aux mêmes hôtes que ceux énumérés dans la section « Ensure Your Build Server Has Network Access » (Assurez-vous que votre serveur de build dispose d’un accès réseau) de l’article Customizing the Notarization Workflow (Personnalisation de la procédure de notarisation).

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
17.248.128.0/18 443 TCP macOS uniquement Délivrance de tickets
17.250.64.0/18 443 TCP macOS uniquement Délivrance de tickets
17.248.192.0/19 443 TCP macOS uniquement Délivrance de tickets

Validation des apps

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
*.appattest.apple.com 443 TCP iOS, iPadOS et macOS Validation des apps, authentification Touch ID et Face ID pour les sites web -

Assistant d’évaluation

Assistant d’évaluation est une app utilisée par les développeurs et les participants aux versions bêta de logiciels pour envoyer leur feedback à Apple. Elle utilise les hôtes suivants :

Hôtes Port Protocole Système d’exploitation Description Prend en charge les proxys
bpapi.apple.com 443 TCP tvOS uniquement Fournit des mises à jour logicielles bêta Oui
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS et macOS Utilisé par Assistant d’évaluation pour charger des fichiers

Oui
fba.apple.com

443 TCP iOS, iPadOS, tvOS et macOS

Utilisé par Assistant d’évaluation pour classer et afficher le feedback

Oui

Diagnostics Apple

Les appareils Apple peuvent accéder à l’hôte suivant pour effectuer les diagnostics visant à détecter un éventuel problème matériel.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Utilisé par les appareils Apple pour aider à détecter d’éventuels problèmes matériels Oui

Résolution DNS (Domain Name System)

Pour utiliser la résolution DNS (Domain Name System) chiffrée sous iOS 14, tvOS 14 et macOS Big Sur, l’hôte suivant sera contacté.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Utilisé pour DNS sur HTTPS (DoH) Oui

Validation des certificats

Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour valider les certificats numériques utilisés par les hôtes mentionnés dans cet article.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
crl.apple.com 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
crl.entrust.net 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats en Chine
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Validation des certificats
valid.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Validation des certificats Oui

 

Identifiant Apple

Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour pouvoir authentifier un identifiant Apple. Ceci est obligatoire pour tous les services qui utilisent un identifiant Apple, comme iCloud, l’installation d’apps et Xcode.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
appleid.apple.com
443 TCP iOS, iPadOS, tvOS et macOS
Authentification de l’identifiant Apple dans Réglages et Préférences Système
Oui
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS et macOS
Authentification de l’identifiant Apple dans Réglages et Préférences Système
Oui
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Authentification de l’identifiant Apple Oui
gsa.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Authentification de l’identifiant Apple Oui

iCloud

En plus des hôtes avec identifiant Apple indiqués ci-dessus, les appareils Apple doivent pouvoir se connecter aux hôtes des domaines suivants pour utiliser les services iCloud.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.apzones.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud en Chine
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS et macOS
Services iCloud
*.icloud.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS et macOS
Services iCloud en Chine
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS et macOS Services iCloud
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS et macOS Documents iWork

 

Contenu supplémentaire

Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour télécharger du contenu supplémentaire. Certains contenus supplémentaires peuvent également être hébergés sur des réseaux de diffusion de contenu tiers.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS et macOS Contenu GarageBand téléchargeable
devimages-cdn.apple.com
80, 443 TCP macOS uniquement Composants Xcode téléchargeables
download.developer.apple.com 80, 443 TCP macOS uniquement Composants Xcode téléchargeables
playgrounds-assets-cdn.apple.com 443 TCP iPadOS et macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS et macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP tvOS uniquement
Économiseurs d’écran de l’Apple TV

Coupe-feu

Si votre coupe-feu prend en charge l’utilisation de noms d’hôte, vous pourrez peut-être utiliser la plupart des services Apple susmentionnés en autorisant les connexions sortantes vers *.apple.com. Si votre coupe-feu peut uniquement être configuré avec des adresses IP, autorisez les connexions sortantes vers 17.0.0.0/8. L’ensemble du bloc d’adresses 17.0.0.0/8 est attribué à Apple.

Proxy HTTP

Vous pouvez utiliser les services Apple via un proxy si vous désactivez l’inspection et l’authentification de paquet pour le trafic à destination et en provenance des hôtes répertoriés. Les exceptions à ce principe sont indiquées ci-dessus. Les tentatives d’inspection du contenu sur les communications chiffrées entre les appareils et les services Apple entraîneront une perte de connexion afin de préserver la sécurité de la plateforme et la confidentialité des utilisateurs.

Date de publication: