Cet article est destiné aux administrateurs réseau des entreprises et des établissements d’enseignement.
Les produits Apple doivent avoir accès aux hôtes Internet décrits dans cet article pour divers services. Voici comment vos appareils se connectent aux hôtes et fonctionnent avec des proxys :
- Les connexions réseau aux hôtes ci-dessous sont initiées par l’appareil et non par les hôtes gérés par Apple.
- Les services Apple ne peuvent pas utiliser les connexions reposant sur l’interception HTTPS (inspection SSL). Si le trafic HTTPS passe par un proxy web, désactivez l’interception HTTPS pour les hôtes répertoriés dans cet article.
Assurez-vous que vos appareils Apple peuvent accéder aux hôtes répertoriés ci-dessous.
Notifications Push Apple
Apprenez à résoudre les problèmes de connexion au service de notifications Push Apple (APNS). Pour les appareils qui dirigent tout le trafic via un proxy HTTP, vous pouvez configurer le proxy manuellement sur l’appareil ou à l’aide d’un profil de configuration. Sous macOS 10.15.5 et version ultérieure, les appareils peuvent se connecter à des APNS lorsqu’ils sont configurés pour utiliser le proxy HTTP avec un fichier de configuration automatique de proxy (PAC).
Configuration de l’appareil
L’accès aux hôtes suivants peut être requis lors de la configuration de votre appareil, ou lors de l’installation, de la mise à jour ou de la restauration du système d’exploitation.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Activation de l’appareil | Oui |
| captive.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation de la connectivité Internet pour les réseaux utilisant des portails captifs | Oui |
| gs.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Oui | |
| humb.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Oui | |
| static.ips.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS et macOS | Oui | |
| sq-device.apple.com | 443 | TCP | iOS et iPadOS | Activation eSIM | — |
| tbsc.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Oui | |
| time-ios.apple.com | 123 | UDP | iOS, iPadOS et tvOS | Utilisé par les appareils pour définir leur date et heure | — |
| time.apple.com | 123 | UDP | iOS, iPadOS, tvOS et macOS | Utilisé par les appareils pour définir leur date et heure | — |
| time-macos.apple.com | 123 | UDP | macOS uniquement | Utilisé par les appareils pour définir leur date et heure | — |
Gestion des appareils
Un accès réseau aux hôtes suivants peut être requis pour les appareils inscrits dans la solution de gestion des appareils mobiles (MDM).
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, iPadOS, tvOS et macOS | Notifications Push | En savoir plus sur l'APNS et les proxys |
| deviceenrollment.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Inscription provisoire au programme DEP | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | — | |
| gdmf.apple.com |
443 | TCP | iOS, iPadOS, tvOS et macOS | Utilisé par un serveur MDM pour identifier les mises à jour logicielles disponibles pour les appareils utilisant des mises à jour logicielles gérées | Oui |
| identity.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Portail de demande de certificat APNS | Oui |
| iprofiles.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Profils d’inscription des hôtes utilisés lorsque les appareils sont inscrits à Apple School Manager ou à Apple Business Manager via le programme d’inscription des appareils | Oui |
| mdmenrollment.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Serveurs MDM permettant de charger les profils d’inscription utilisés par les clients qui s’inscrivent à Apple School Manager ou à Apple Business Manager via le programme d’inscription des appareils, ainsi que de rechercher des appareils et des comptes | Oui |
| setup.icloud.com | 443 | TCP | iOS et iPadOS | Connexion requise avec un identifiant Apple géré sur un iPad partagé | — |
| vpp.itunes.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Serveurs MDM effectuant des opérations associées à Apps et livres, telles que l’attribution ou la révocation de licences sur un appareil | Oui |
Apple School Manager et Apple Business Manager
Un accès réseau aux hôtes suivants ainsi qu’aux hôtes de la section App Store est requis pour bénéficier de toutes les fonctionnalités d’Apple School Manager et d’Apple Business Manager.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
| *.business.apple.com |
443, 80 | TCP | - | Apple Business Manager | — |
| *.school.apple.com | 443, 80 | TCP | - | Service de listes de Pour l’école | — |
| upload.appleschoolcontent.com | 22 | SSH | - | Chargements SFTP | Oui |
| ws-ee-maidsvc.icloud.com | 443, 80 | TCP | - | Service de listes de Pour l’école | — |
Gestion des appareils Apple Business Essentials
Un accès réseau aux hôtes suivants est nécessaire pour bénéficier de toutes les fonctionnalités de la gestion des appareils Apple Business Essentials.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| axm-adm-enroll.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Serveur d’inscription au programme DEP | — |
| axm-adm-mdm.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Serveur MDM | — |
| axm-adm-scep.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Serveur SCEP | — |
| axm-app.apple.com | 443 | TCP | iOS, iPadOS et macOS | Utilisé par Apple Business Essentials pour afficher et gérer des apps et des appareils | — |
Mises à jour logicielles
Assurez-vous de pouvoir accéder aux ports suivants pour mettre à jour macOS, les apps du Mac App Store et utiliser la mise en cache de contenu.
macOS, iOS, iPadOS, watchOS et tvOS
Un accès réseau aux noms d’hôte suivants est requis pour l’installation, la restauration et la mise à jour de macOS, d’iOS, d’iPadOS, de watchOS et de tvOS.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | iOS, iPadOS et watchOS | Mises à jour d’iOS, d’iPadOS et de watchOS | — |
| configuration.apple.com | 443 | TCP | macOS uniquement | Mises à jour de Rosetta 2 | — |
| gdmf.apple.com | 443 | TCP | iOS, iPadOS, tvOS, watchOS et macOS | Catalogue de mises à jour logicielles | — |
| gg.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS, watchOS et macOS | Mises à jour d’iOS, d’iPadOS, de tvOS, de watchOS et de macOS | Oui |
| gnf-mdn.apple.com | 443 | TCP | macOS uniquement | Mises à jour de macOS | Oui |
| gnf-mr.apple.com | 443 | TCP | macOS uniquement | Mises à jour de macOS | Oui |
| gs.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS, watchOS et macOS | Mises à jour d’iOS, d’iPadOS, de tvOS, de watchOS et de macOS | Oui |
| ig.apple.com | 443 | TCP | macOS uniquement | Mises à jour de macOS | Oui |
| mesu.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS, watchOS et macOS | Héberge les catalogues de mises à jour logicielles | — |
| ns.itunes.apple.com | 443 | TCP | iOS, iPadOS et watchOS | Oui | |
| oscdn.apple.com | 443, 80 | TCP | macOS uniquement | Récupération de macOS | — |
| osrecovery.apple.com | 443, 80 | TCP | macOS uniquement | Récupération de macOS | — |
| skl.apple.com | 443 | TCP | macOS uniquement | Mises à jour de macOS | — |
| swcdn.apple.com | 80 | TCP | macOS uniquement | Mises à jour de macOS | — |
| swdist.apple.com | 443 | TCP | macOS uniquement | Mises à jour de macOS | — |
| swdownload.apple.com | 443, 80 | TCP | macOS uniquement | Mises à jour de macOS | Oui |
| swscan.apple.com | 443 | TCP | macOS uniquement | Mises à jour de macOS | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS, iPadOS, tvOS et macOS | Téléchargements de mises à jour logicielles | — |
| updates.cdn-apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Téléchargements de mises à jour logicielles | — |
| xp.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Oui |
App Store
L’accès aux hôtes suivants peut être requis pour la mise à jour des apps.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS et macOS | Contenus des boutiques en ligne, tels que des apps, des livres et de la musique | Oui |
| *.apps.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Contenus des boutiques en ligne, tels que des apps, des livres et de la musique | Oui |
| *.mzstatic.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Contenus des boutiques en ligne, tels que des apps, des livres et de la musique | — |
| itunes.apple.com | 443, 80 | TCP | iOS, iPadOS, tvOS et macOS | Oui | |
| ppq.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Validation des apps d’entreprise | — |
Mises à jour des opérateurs
Les appareils prenant en charge les données mobiles doivent pouvoir se connecter aux hôtes suivants pour l’installation des mises à jour de paquets d’opérateurs.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | iOS et iPadOS | Mises à jour des paquets d’opérateurs mobiles | — |
| appldnld.apple.com.edgesuite.net | 80 | TCP | iOS et iPadOS | Mises à jour des paquets d’opérateurs mobiles | — |
| itunes.com | 80 | TCP | iOS et iPadOS | Découverte des mises à jour de paquets d’opérateurs | — |
| itunes.apple.com | 443 | TCP | iOS et iPadOS | Découverte des mises à jour de paquets d’opérateurs | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS et iPadOS | Mises à jour des paquets d’opérateurs mobiles | — |
| updates.cdn-apple.com | 443 | TCP | iOS et iPadOS | Mises à jour des paquets d’opérateurs mobiles | — |
Mise en cache de contenu
Un Mac qui permet la mise en cache de contenu doit pouvoir se connecter aux hôtes suivants, ainsi qu’aux hôtes indiqués dans ce document qui fournissent du contenu Apple tel que des mises à jour logicielles, des apps et d’autres contenus.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | macOS uniquement | Inscription du serveur | Oui |
| suconfig.apple.com | 80 | TCP | macOS uniquement |
Configuration | — |
| xp-cdn.apple.com | 443 | TCP | macOS uniquement | Signalement | Oui |
Les clients de mise en cache de contenu macOS doivent pouvoir se connecter aux hôtes suivants.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| lcdn-locator.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Service de localisation de mise en cache de contenu | — |
| serverstatus.apple.com |
443 | TCP | macOS uniquement | Détermination de l’adresse IP publique du client pour la mise en cache de contenu | — |
Apple Developer
Un accès aux hôtes suivants est requis pour la notarisation et la validation des apps.
Notarisation des apps
Sous macOS 10.14.5 et versions ultérieures, le système vérifie la notarisation du logiciel avant son exécution. Pour que cette vérification réussisse, un Mac doit pouvoir accéder aux mêmes hôtes que ceux énumérés dans la section « Ensure Your Build Server Has Network Access » (Assurez-vous que votre serveur de build dispose d’un accès réseau) de l’article Customizing the Notarization Workflow (Personnalisation de la procédure de notarisation).
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | macOS uniquement | Délivrance de tickets | — |
| 17.250.64.0/18 | 443 | TCP | macOS uniquement | Délivrance de tickets | — |
| 17.248.192.0/19 | 443 | TCP | macOS uniquement | Délivrance de tickets | — |
Validation des apps
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
| *.appattest.apple.com | 443 | TCP | iOS, iPadOS et macOS | Validation des apps, authentification Touch ID et Face ID pour les sites web | — |
Assistant d’évaluation
Assistant d’évaluation est une app utilisée par les développeurs et les participants aux versions bêta de logiciels pour envoyer leur feedback à Apple. Elle utilise les hôtes suivants :
| Hôtes | Port | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
| bpapi.apple.com | 443 | TCP | tvOS uniquement | Fournit des mises à jour logicielles bêta | Oui |
| cssubmissions.apple.com |
443 | TCP | iOS, iPadOS, tvOS et macOS | Utilisé par Assistant d’évaluation pour charger des fichiers |
Oui |
| fba.apple.com |
443 | TCP | iOS, iPadOS, tvOS et macOS |
Utilisé par Assistant d’évaluation pour classer et afficher le feedback |
Oui |
Diagnostics Apple
Les appareils Apple peuvent accéder à l’hôte suivant pour effectuer les diagnostics visant à détecter un éventuel problème matériel.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
| diagassets.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Utilisé par les appareils Apple pour aider à détecter d’éventuels problèmes matériels | Oui |
Résolution DNS (Domain Name System)
Pour utiliser la résolution DNS (Domain Name System) chiffrée sous iOS 14, tvOS 14 et macOS Big Sur, l’hôte suivant sera contacté.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
| doh.dns.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Utilisé pour DNS sur HTTPS (DoH) | Oui |
Validation des certificats
Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour valider les certificats numériques utilisés par les hôtes mentionnés dans cet article.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| certs.apple.com | 80, 443 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| crl.apple.com | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| crl.entrust.net | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| crl3.digicert.com | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| crl4.digicert.com | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| ocsp.apple.com | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| ocsp.digicert.cn | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats en Chine | — |
| ocsp.digicert.com | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| ocsp.entrust.net | 80 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| ocsp2.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | — |
| valid.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Validation des certificats | Oui |
Identifiant Apple
Les appareils Apple doivent pouvoir se connecter aux hôtes suivants afin d’authentifier un identifiant Apple. Ceci est obligatoire pour tous les services qui utilisent un identifiant Apple, comme iCloud, l’installation d’apps et Xcode.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| appleid.apple.com |
443 | TCP | iOS, iPadOS, tvOS et macOS |
Authentification de l’identifiant Apple dans Réglages et Préférences Système |
Oui |
| appleid.cdn-apple.com |
443 | TCP | iOS, iPadOS, tvOS et macOS |
Authentification de l’identifiant Apple dans Réglages et Préférences Système |
Oui |
| idmsa.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Authentification de l’identifiant Apple | Oui |
| gsa.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Authentification de l’identifiant Apple | Oui |
iCloud
En plus des hôtes avec identifiant Apple indiqués ci-dessus, les appareils Apple doivent pouvoir se connecter aux hôtes des domaines suivants pour utiliser les services iCloud.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| *.apple-cloudkit.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Services iCloud | — |
| *.apple-livephotoskit.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Services iCloud | — |
| *.apzones.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Services iCloud en Chine | — |
| *.cdn-apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Services iCloud | — |
| *.gc.apple.com |
443 | TCP | iOS, iPadOS, tvOS et macOS |
Services iCloud |
— |
| *.icloud.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Services iCloud | — |
| *.icloud.com.cn |
443 | TCP | iOS, iPadOS, tvOS et macOS |
Services iCloud en Chine |
— |
| *.icloud.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Services iCloud | — |
| *.icloud-content.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Services iCloud | — |
| *.iwork.apple.com | 443 | TCP | iOS, iPadOS, tvOS et macOS | Documents iWork | — |
| mask.icloud.com | 443 | UDP | iOS, iPadOS, macOS | Relais privé iCloud | — |
| mask-h2.icloud.com | 443 | TCP | iOS, iPadOS, macOS | Relais privé iCloud | — |
| mask-api.icloud.com | 443 | TCP | iOS, iPadOS, macOS | Relais privé iCloud | Oui |
Contenu supplémentaire
Les appareils Apple doivent pouvoir se connecter aux hôtes suivants pour télécharger du contenu supplémentaire. Certains contenus supplémentaires peuvent également être hébergés sur des réseaux de diffusion de contenu tiers.
| Hôtes | Ports | Protocole | Système d’exploitation | Description | Prend en charge les proxys |
|---|---|---|---|---|---|
| audiocontentdownload.apple.com | 80, 443 | TCP | iOS, iPadOS et macOS | Contenu GarageBand téléchargeable | — |
| devimages-cdn.apple.com |
80, 443 | TCP | macOS uniquement | Composants Xcode téléchargeables | — |
| download.developer.apple.com | 80, 443 | TCP | macOS uniquement | Composants Xcode téléchargeables | — |
| playgrounds-assets-cdn.apple.com | 443 | TCP | iPadOS et macOS | Swift Playgrounds | — |
| playgrounds-cdn.apple.com | 443 | TCP | iPadOS et macOS | Swift Playgrounds | — |
| sylvan.apple.com |
80, 443 | TCP | tvOS uniquement |
Économiseurs d’écran de l’Apple TV |
— |
Coupe-feu
Si votre coupe-feu prend en charge l’utilisation de noms d’hôte, vous pourrez peut-être utiliser la plupart des services Apple ci-dessus en autorisant les connexions sortantes vers *.apple.com. Si votre coupe-feu peut uniquement être configuré avec des adresses IP, autorisez les connexions sortantes vers 17.0.0.0/8. L’ensemble du bloc d’adresses 17.0.0.0/8 est attribué à Apple.
Proxy HTTP
Vous pouvez utiliser les services Apple via un proxy si vous désactivez l’inspection et l’authentification de paquet pour le trafic à destination et en provenance des hôtes répertoriés. Les exceptions à ce principe sont indiquées ci-dessus. Les tentatives d’inspection du contenu sur les communications chiffrées entre les appareils et les services Apple entraîneront une perte de connexion afin de préserver la sécurité de la plateforme et la confidentialité des utilisateurs.
Réseaux de distribution de contenu et résolution DNS
Certains des hôtes répertoriés dans cet article peuvent avoir des enregistrements CNAME dans DNS au lieu d’enregistrements A ou AAAA. Ces enregistrements CNAME peuvent faire référence à d’autres enregistrements CNAME d’une chaîne avant d’être résolus sous forme d’adresse IP. Cette résolution DNS permet à Apple de fournir du contenu rapidement et de manière fiable aux utilisateurs de toutes les régions. Elle est transparente pour les appareils et les serveurs proxy. Apple ne publie pas de liste de ces enregistrements CNAME, car ils sont sujets à modification. Vous ne devriez pas avoir besoin de les autoriser dans votre coupe-feu ni dans votre serveur proxy tant que vous ne bloquez pas les recherches DNS et que vous autorisez l’accès aux hôtes et domaines indiqués ci-dessus.
Informations supplémentaires
- Consultez la liste des ports TCP et UDP utilisés par les produits logiciels Apple.
- Identifiez les ports utilisés par le gestionnaire de profils sous macOS Server.
- Obtenez plus d’informations sur les connexions de macOS, iOS et iTunes aux serveurs hôtes et sur les processus exécutés en arrière-plan par iTunes.
- Personnalisez la procédure de notarisation.