Cet article est destiné aux administrateurs réseau des entreprises et des établissements d’enseignement.
Les produits Apple doivent avoir accès aux hôtes Internet décrits dans cet article pour divers services. Voici comment vos appareils se connectent aux hôtes et fonctionnent avec des proxys :
- Les connexions réseau aux hôtes ci-dessous sont initiées par l’appareil et non par les hôtes gérés par Apple.
- Les services Apple échoueront toute connexion utilisant l’interception HTTPS (inspection SSL). Si le trafic HTTPS passe par un proxy Web, désactivez l’interception HTTPS pour les hôtes répertoriés dans cet article.
Assurez-vous que vos appareils Apple peuvent accéder aux hôtes répertoriés ci-dessous.
Notifications Push Apple
Apprenez à résoudre les problèmes de connexion au service de notifications Push Apple (APN). Pour les appareils qui envoient tout le trafic via un proxy HTTP, vous pouvez configurer le proxy manuellement sur l’appareil ou avec un profil de configuration. Les connexions aux APN échouent si les appareils sont configurés pour utiliser le proxy HTTP avec un fichier de configuration automatique de proxy (PAC).
Configuration de l’appareil
L’accès aux hôtes suivants peut être requis lors de la configuration de votre appareil ou lors de l’installation, de la mise à jour ou de la restauration du système d’exploitation.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, tvOS et macOS | Oui | |
| captive.apple.com | 443, 80 | TCP | iOS, tvOS et macOS | Validation de la connectivité Internet pour les réseaux utilisant des portails captifs. | Oui |
| gs.apple.com | 443 | TCP | iOS, tvOS et macOS | Oui | |
| time-ios.apple.com | 123 | UDP | Sous iOS uniquement | Utilisé par les appareils pour définir leur date et heure | Non |
| time.apple.com | 123 | UDP | iOS, tvOS et macOS | Utilisé par les appareils pour définir leur date et heure | Non |
| time-macos.apple.com | 123 | UDP | Sous macOS uniquement | Utilisé par les appareils pour définir leur date et heure | Non |
Gestion des appareils
Un accès réseau aux hôtes suivants peut être requis pour les appareils inscrits dans la solution de gestion des appareils mobiles (MDM) :
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, tvOS et macOS | Notifications Push | En savoir plus sur les APN et les proxys. |
| gdmf.apple.com | 443 | TCP | iOS, tvOS et macOS | Le serveur MDM identifie les mises à jour logicielles disponibles pour les appareils utilisant des mises à jour logicielles gérées. | Oui |
| deviceenrollment.apple.com | 443 | TCP | iOS, tvOS et macOS | Inscription provisoire au programme DEP. | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, tvOS et macOS | — | |
| identity.apple.com | 443 | TCP | iOS, tvOS et macOS | Portail de demande de certificat des services APN. | Oui |
| iprofiles.apple.com | 443 | TCP | iOS, tvOS et macOS | Profils d’inscription des hôtes utilisés lorsque les appareils sont inscrits dans Apple School Manager ou Apple Business Manager via le programme d’inscription des appareils | Oui |
| mdmenrollment.apple.com | 443 | TCP | iOS, tvOS et macOS | Les serveurs MDM permettent de charger les profils d’inscription utilisés par les clients qui s’inscrivent à Apple School Manager ou à Apple Business Manager via le programme d’inscription des appareils, ainsi que de rechercher des appareils et des comptes. | Oui |
| vpp.itunes.apple.com | 443 | TCP | iOS, tvOS et macOS | Les serveurs MDM effectuent des opérations liées à Apps et livres, telles que l’attribution ou la révocation de licences sur un appareil. | Oui |
Mises à jour logicielles
Assurez-vous de pouvoir accéder aux ports suivants pour mettre à jour macOS, les apps du Mac App Store et utiliser la mise en cache de contenu.
macOS, iOS et tvOS
Un accès réseau aux noms d’hôte suivants est requis pour l’installation, la restauration et la mise à jour de macOS, iOS et tvOS :
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | Sous iOS uniquement | Mises à jour d’iOS | Non |
| gg.apple.com | 443, 80 | TCP | Sous macOS uniquement | Mises à jour de macOS | Oui |
| gnf-mdn.apple.com | 443 | TCP | Sous macOS uniquement | Mises à jour de macOS | Oui |
| gnf-mr.apple.com | 443 | TCP | Sous macOS uniquement | Mises à jour de macOS | Oui |
| gs.apple.com | 443, 80 | TCP | Sous macOS uniquement | Mises à jour de macOS | Oui |
| ig.apple.com | 443 | TCP | Sous macOS uniquement | Mises à jour de macOS | Oui |
| mesu.apple.com | 443, 80 | TCP | iOS, tvOS et macOS | Héberge les catalogues de mises à jour logicielles | Non |
| ns.itunes.apple.com | 443 | TCP | Sous iOS uniquement | Oui | |
| oscdn.apple.com | 443, 80 | TCP | Sous macOS uniquement | Récupération de macOS | Non |
| osrecovery.apple.com | 443, 80 | TCP | Sous macOS uniquement | Récupération de macOS | Non |
| skl.apple.com | 443 | TCP | Sous macOS uniquement | Mises à jour de macOS | — |
| swcdn.apple.com | 80 | TCP | Sous macOS uniquement | Mises à jour de macOS | Non |
| swdist.apple.com | 443 | TCP | Sous macOS uniquement | Mises à jour de macOS | Non |
| swdownload.apple.com | 443, 80 | TCP | Sous macOS uniquement | Mises à jour de macOS | Oui |
| swpost.apple.com | 80 | TCP | Sous macOS uniquement | Mises à jour de macOS | Oui |
| swscan.apple.com | 443 | TCP | Sous macOS uniquement | Mises à jour de macOS | Non |
| updates-http.cdn-apple.com | 80 | TCP | iOS, tvOS et macOS | Non | |
| updates.cdn-apple.com | 443 | TCP | iOS, tvOS et macOS | Non | |
| xp.apple.com | 443 | TCP | iOS, tvOS et macOS | Oui |
App Store
L’accès aux hôtes suivants peut être requis pour la mise à jour des apps :
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, tvOS et macOS | Stocker du contenu tel que des apps, des livres et de la musique | Oui |
| *.apps.apple.com | 443 | TCP | iOS, tvOS et macOS | Stocker du contenu tel que des apps, des livres et de la musique | Oui |
| *.mzstatic.com | 443 | TCP | iOS, tvOS et macOS | Stocker du contenu tel que des apps, des livres et de la musique | — |
| itunes.apple.com | 443, 80 | TCP | iOS, tvOS et macOS | Oui | |
| ppq.apple.com | 443 | TCP | iOS, tvOS et macOS | Validation de l’app d’entreprise | — |
Mise en cache de contenu
L’accès à l’hôte suivant est requis pour un Mac utilisant la mise en cache de contenu sur macOS :
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Sous macOS uniquement | Inscription du serveur de mise en cache de contenu | Oui |
Notarisation de l’app
À partir de macOS 10.14.5, le système vérifie la notarisation du logiciel avant son exécution. Pour que cette vérification réussisse, un Mac doit pouvoir accéder aux mêmes hôtes que ceux énumérés dans la section Assurez-vous que votre serveur de build dispose d’un accès réseau de l’article Personnalisation du processus de notarisation :
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Sous macOS uniquement | Délivrance de ticket | — |
| 17.250.64.0/18 | 443 | TCP | Sous macOS uniquement | Délivrance de ticket | — |
| 17.248.192.0/19 | 443 | TCP | Sous macOS uniquement | Délivrance de ticket | — |
Validation du certificat
Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour valider les certificats numériques utilisés par les hôtes susmentionnés :
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
| crl.entrust.net | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
| crl3.digicert.com | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
| crl4.digicert.com | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
| ocsp.apple.com | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
| ocsp.digicert.com | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
| ocsp.entrust.net | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
| ocsp.verisign.net | 80 | TCP | iOS, tvOS et macOS | Validation du certificat | — |
Pare-feux
Si votre pare-feu prend en charge l’utilisation de noms d’hôte, vous pourrez peut-être utiliser la plupart des services Apple susmentionnés en autorisant les connexions sortantes vers *.apple.com. Si votre pare-feu ne peut être configuré qu’avec des adresses IP, autorisez les connexions sortantes vers 17.0.0.0/8. L’ensemble du bloc d’adresses 17.0.0.0/8 est attribué à Apple.
Proxy HTTP
Vous pouvez utiliser les services Apple via un proxy si vous désactivez l’inspection et l’authentification de paquet pour le trafic à destination et en provenance des hôtes répertoriés. Les exceptions à cela sont indiquées ci-dessus. Les tentatives d’inspection du contenu sur les communications chiffrées entre les appareils et les services Apple entraîneront une perte de connexion afin de préserver la sécurité de la plateforme et la confidentialité des utilisateurs.
- Consultez la liste des ports TCP et UDP utilisés par les produits logiciels Apple..
- Identifiez les ports utilisés par Gestionnaire de profils dans macOS Server.
- En savoir plus sur les connexions hôtes macOS, iOS et iTunes et sur les processus en arrière-plan iTunes.
- Personnaliser le processus de notarisation.