Utiliser les produits Apple sur les réseaux d’entreprise

Découvrez quels hôtes et quels ports sont nécessaires pour utiliser vos produits Apple sur des réseaux d’entreprise.

Cet article est destiné aux administrateurs réseau des entreprises et des établissements d’enseignement.

Les produits Apple doivent avoir accès aux hôtes Internet décrits dans cet article pour divers services. Voici comment vos appareils se connectent aux hôtes et fonctionnent avec des proxys :

  • Les connexions réseau aux hôtes ci-dessous sont initiées par l’appareil et non par les hôtes gérés par Apple.
  • Les services Apple échoueront toute connexion utilisant l’interception HTTPS (inspection SSL). Si le trafic HTTPS passe par un proxy Web, désactivez l’interception HTTPS pour les hôtes répertoriés dans cet article.

Assurez-vous que vos appareils Apple peuvent accéder aux hôtes répertoriés ci-dessous.

Notifications Push Apple

Apprenez à résoudre les problèmes de connexion au service de notifications Push Apple (APN). Pour les appareils qui envoient tout le trafic via un proxy HTTP, vous pouvez configurer le proxy manuellement sur l’appareil ou avec un profil de configuration. Les connexions aux APN échouent si les appareils sont configurés pour utiliser le proxy HTTP avec un fichier de configuration automatique de proxy (PAC).

Configuration de l’appareil

L’accès aux hôtes suivants peut être requis lors de la configuration de votre appareil ou lors de l’installation, de la mise à jour ou de la restauration du système d’exploitation.

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
albert.apple.com 443 TCP iOS, tvOS et macOS   Oui
captive.apple.com 443, 80 TCP iOS, tvOS et macOS Validation de la connectivité Internet pour les réseaux utilisant des portails captifs. Oui
gs.apple.com 443 TCP iOS, tvOS et macOS   Oui
time-ios.apple.com 123 UDP Sous iOS uniquement Utilisé par les appareils pour définir leur date et heure Non
time.apple.com 123 UDP iOS, tvOS et macOS Utilisé par les appareils pour définir leur date et heure Non
time-macos.apple.com 123 UDP Sous macOS uniquement Utilisé par les appareils pour définir leur date et heure Non

Gestion des appareils

Un accès réseau aux hôtes suivants peut être requis pour les appareils inscrits dans la solution de gestion des appareils mobiles (MDM) :

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS et macOS Notifications Push En savoir plus sur les APN et les proxys.
gdmf.apple.com 443 TCP iOS, tvOS et macOS Le serveur MDM identifie les mises à jour logicielles disponibles pour les appareils utilisant des mises à jour logicielles gérées. Oui
deviceenrollment.apple.com 443 TCP iOS, tvOS et macOS Inscription provisoire au programme DEP.
deviceservices-external.apple.com 443 TCP iOS, tvOS et macOS  
identity.apple.com 443 TCP iOS, tvOS et macOS Portail de demande de certificat des services APN. Oui
iprofiles.apple.com 443 TCP iOS, tvOS et macOS Profils d’inscription des hôtes utilisés lorsque les appareils sont inscrits dans Apple School Manager ou Apple Business Manager via le programme d’inscription des appareils Oui
mdmenrollment.apple.com 443 TCP iOS, tvOS et macOS Les serveurs MDM permettent de charger les profils d’inscription utilisés par les clients qui s’inscrivent à Apple School Manager ou à Apple Business Manager via le programme d’inscription des appareils, ainsi que de rechercher des appareils et des comptes. Oui
vpp.itunes.apple.com 443 TCP iOS, tvOS et macOS Les serveurs MDM effectuent des opérations liées à Apps et livres, telles que l’attribution ou la révocation de licences sur un appareil. Oui

Mises à jour logicielles

Assurez-vous de pouvoir accéder aux ports suivants pour mettre à jour macOS, les apps du Mac App Store et utiliser la mise en cache de contenu.

macOS, iOS et tvOS

Un accès réseau aux noms d’hôte suivants est requis pour l’installation, la restauration et la mise à jour de macOS, iOS et tvOS :

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
appldnld.apple.com 80 TCP Sous iOS uniquement Mises à jour d’iOS Non
gg.apple.com 443, 80 TCP Sous macOS uniquement Mises à jour de macOS Oui
gnf-mdn.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Oui
gnf-mr.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Oui
gs.apple.com 443, 80 TCP Sous macOS uniquement Mises à jour de macOS Oui
ig.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Oui
mesu.apple.com 443, 80 TCP iOS, tvOS et macOS Héberge les catalogues de mises à jour logicielles Non
ns.itunes.apple.com 443 TCP Sous iOS uniquement   Oui
oscdn.apple.com 443, 80 TCP Sous macOS uniquement Récupération de macOS Non
osrecovery.apple.com 443, 80 TCP Sous macOS uniquement Récupération de macOS Non
skl.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS
swcdn.apple.com 80 TCP Sous macOS uniquement Mises à jour de macOS Non
swdist.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Non
swdownload.apple.com 443, 80 TCP Sous macOS uniquement Mises à jour de macOS Oui
swpost.apple.com 80 TCP Sous macOS uniquement Mises à jour de macOS Oui
swscan.apple.com 443 TCP Sous macOS uniquement Mises à jour de macOS Non
updates-http.cdn-apple.com 80 TCP iOS, tvOS et macOS   Non
updates.cdn-apple.com 443 TCP iOS, tvOS et macOS   Non
xp.apple.com 443 TCP iOS, tvOS et macOS   Oui

App Store

L’accès aux hôtes suivants peut être requis pour la mise à jour des apps :

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
*.itunes.apple.com 443, 80 TCP iOS, tvOS et macOS Stocker du contenu tel que des apps, des livres et de la musique Oui
*.apps.apple.com 443 TCP iOS, tvOS et macOS Stocker du contenu tel que des apps, des livres et de la musique Oui
*.mzstatic.com 443 TCP iOS, tvOS et macOS Stocker du contenu tel que des apps, des livres et de la musique
itunes.apple.com 443, 80 TCP iOS, tvOS et macOS   Oui
ppq.apple.com 443 TCP iOS, tvOS et macOS Validation de l’app d’entreprise

Mise en cache de contenu

L’accès à l’hôte suivant est requis pour un Mac utilisant la mise en cache de contenu sur macOS :

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
lcdn-registration.apple.com 443 TCP Sous macOS uniquement Inscription du serveur de mise en cache de contenu Oui

Notarisation de l’app

À partir de macOS 10.14.5, le système vérifie la notarisation du logiciel avant son exécution. Pour que cette vérification réussisse, un Mac doit pouvoir accéder aux mêmes hôtes que ceux énumérés dans la section Assurez-vous que votre serveur de build dispose d’un accès réseau de l’article Personnalisation du processus de notarisation :

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
17.248.128.0/18 443 TCP Sous macOS uniquement Délivrance de ticket
17.250.64.0/18 443 TCP Sous macOS uniquement Délivrance de ticket
17.248.192.0/19 443 TCP Sous macOS uniquement Délivrance de ticket

Validation du certificat

Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour valider les certificats numériques utilisés par les hôtes susmentionnés :

Hôtes Ports Protocole Système d’exploitation Description Prend en charge les proxys
crl.apple.com 80 TCP iOS, tvOS et macOS Validation du certificat
crl.entrust.net 80 TCP iOS, tvOS et macOS Validation du certificat
crl3.digicert.com 80 TCP iOS, tvOS et macOS Validation du certificat
crl4.digicert.com 80 TCP iOS, tvOS et macOS Validation du certificat
ocsp.apple.com 80 TCP iOS, tvOS et macOS Validation du certificat
ocsp.digicert.com 80 TCP iOS, tvOS et macOS Validation du certificat
ocsp.entrust.net 80 TCP iOS, tvOS et macOS Validation du certificat
ocsp.verisign.net 80 TCP iOS, tvOS et macOS Validation du certificat

Pare-feux

Si votre pare-feu prend en charge l’utilisation de noms d’hôte, vous pourrez peut-être utiliser la plupart des services Apple susmentionnés en autorisant les connexions sortantes vers *.apple.com. Si votre pare-feu ne peut être configuré qu’avec des adresses IP, autorisez les connexions sortantes vers 17.0.0.0/8. L’ensemble du bloc d’adresses 17.0.0.0/8 est attribué à Apple.

Proxy HTTP

Vous pouvez utiliser les services Apple via un proxy si vous désactivez l’inspection et l’authentification de paquet pour le trafic à destination et en provenance des hôtes répertoriés. Les exceptions à cela sont indiquées ci-dessus. Les tentatives d’inspection du contenu sur les communications chiffrées entre les appareils et les services Apple entraîneront une perte de connexion afin de préserver la sécurité de la plateforme et la confidentialité des utilisateurs.

Date de publication: