שימוש במוצרי Apple ברשתות ארגוניות

למדו אילו יציאות ומארחים דרושים כדי להשתמש במוצרי Apple ברשתות ארגוניות.

מאמר זה מיועד למנהלי רשתות בארגונים ובמוסדות חינוך.

מוצרי Apple מחייבים גישה למארחי האינטרנט המוזכרים במאמר זה עבור מגוון שירותים. כך המכשירים שלכם מתחברים למארחים ועובדים עם שרתי Proxy:

  • חיבורי רשת למארחים שבהמשך מופעלים על-ידי המכשיר ולא על-ידי מארחים ש-Apple מפעילה.
  • שירותי Apple לא יאפשרו כל חיבור שמשתמש ביירוט HTTPS (בדיקת SSL). אם תעבורת HTTPS חוצה Proxy של אינטרנט, השביתו את יירוט HTTPS עבור המארחים המפורטים במאמר זה.

ודאו שמכשירי Apple שברשותכם יכולים לגשת למארחים המפורטים בהמשך.

התראות Push של Apple

למדו כיצד לפתור בעיות בהתחברות לשירות התראות Push של Apple ‏(APNs). עבור מכשירים ששולחים את כל התעבורה דרך Proxy של HTTP, ניתן להגדיר את תצורת ה-Proxy באופן ידני במכשיר או בעזרת פרופיל תצורה. החל מ-macOS 10.15.5, מכשירים יכולים להתחבר ל-APNs כאשר תצורתם מוגדרת לשימוש ב-Proxy של HTTP עם קובץ תצורה אוטומטית של Proxy‏ (Proxy Auto-Config‏ - PAC).

הגדרת מכשיר

ייתכן שתידרש גישה למארחים הבאים כשאתם מגדירים את המכשיר, או כשאתם מתקינים, מעדכנים או משחזרים את מערכת ההפעלה.

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
albert.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן
captive.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS אימות קישוריות אינטרנט עבור רשתות המשתמשות בפורטלי חובה. כן
gs.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן
humb.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן
static.ips.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS   כן
tbsc.apple.com 443 TCP macOS בלבד   כן
time-ios.apple.com 123 UDP iOS ו-tvOS בלבד משמש מכשירים להגדרת התאריך והשעה
time.apple.com 123 UDP iOS,‏ tvOS ו-macOS משמש מכשירים להגדרת התאריך והשעה
time-macos.apple.com 123 UDP macOS בלבד משמש מכשירים להגדרת התאריך והשעה

ניהול מכשירים

עבור מכשירים הרשומים ב'ניהול מכשירים ניידים' (MDM), ייתכן שתידרש גישה לרשת למארחים הבאים:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
‎*.push.apple.com 443, 80, 5223, 2197 TCP iOS,‏ tvOS ו-macOS התראות Push קבלו מידע נוסף על APNs ושרתי Proxy‏.
gdmf.apple.com 443 TCP iOS,‏ tvOS ו-macOS שרת MDM לזיהוי עדכוני התוכנה הזמינים למכשירים שמשתמשים בעדכוני תוכנה מנוהלים. כן
deviceenrollment.apple.com 443 TCP iOS,‏ tvOS ו-macOS רישום זמני ל-DEP.
deviceservices-external.apple.com 443 TCP iOS,‏ tvOS ו-macOS  
identity.apple.com 443 TCP iOS,‏ tvOS ו-macOS פורטל בקשות לאישורי APNs. כן
iprofiles.apple.com 443 TCP iOS,‏ tvOS ו-macOS פרופילי רישום למארחים שבהם נעשה שימוש בעת רישום מכשירים ב-Apple School Manager או ב-Apple Business Manager דרך 'רישום מכשירים' כן
mdmenrollment.apple.com 443 TCP iOS,‏ tvOS ו-macOS שרתי MDM להעלאת פרופילי רישום המשמשים לקוחות שנרשמים דרך 'רישום מכשירים' ב-Apple School Manager או ב-Apple Business Manager, ולחיפוש מכשירים וחשבונות. כן
setup.icloud.com 443 TCP iOS בלבד דרוש לצורך התחברות באמצעות 'Apple ID מנוהל' ב-'iPad משותף'.
vpp.itunes.apple.com 443 TCP iOS,‏ tvOS ו-macOS שרתי MDM המבצעים פעולות שקשורות ל'יישומים וספרים', כגון הקצאה או ביטול של רישיונות במכשיר. כן

עדכוני תוכנה

ודאו שאתם יכולים לגשת ליציאות הבאות לצורך עדכון macOS, אפליקציות מה-Mac App Store, וכן לצורך שימוש בשמירת תוכן במטמון.

macOS,‏ iOS ו-tvOS

נדרשת גישת רשת לשמות המארחים הבאים לצורך התקנה, שחזור ועדכון של macOS,‏ iOS ו-tvOS:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
appldnld.apple.com 80 TCP iOS בלבד עדכוני iOS
gg.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS עדכוני iOS,‏ tvOS ו-macOS כן
gnf-mdn.apple.com 443 TCP macOS בלבד עדכוני macOS כן
gnf-mr.apple.com 443 TCP macOS בלבד עדכוני macOS כן
gs.apple.com 443, 80 TCP macOS בלבד עדכוני macOS כן
ig.apple.com 443 TCP macOS בלבד עדכוני macOS כן
mesu.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS קטלוגים לעדכוני תוכנות מארחים
ns.itunes.apple.com 443 TCP iOS בלבד   כן
oscdn.apple.com 443, 80 TCP macOS בלבד macOS Recovery
osrecovery.apple.com 443, 80 TCP macOS בלבד macOS Recovery
skl.apple.com 443 TCP macOS בלבד עדכוני macOS
swcdn.apple.com 80 TCP macOS בלבד עדכוני macOS
swdist.apple.com 443 TCP macOS בלבד עדכוני macOS
swdownload.apple.com 443, 80 TCP macOS בלבד עדכוני macOS כן
swpost.apple.com 80 TCP macOS בלבד עדכוני macOS כן
swscan.apple.com 443 TCP macOS בלבד עדכוני macOS
updates-http.cdn-apple.com 80 TCP iOS,‏ tvOS ו-macOS  
updates.cdn-apple.com 443 TCP iOS,‏ tvOS ו-macOS  
xp.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן

App Store

ייתכן שתידרש גישה למארחים הבאים לצורך עדכון אפליקציות:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
‎*.itunes.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS אחסון תוכן כגון אפליקציות, ספרים ומוסיקה כן
‎*.apps.apple.com 443 TCP iOS,‏ tvOS ו-macOS אחסון תוכן כגון אפליקציות, ספרים ומוסיקה כן
‎*.mzstatic.com 443 TCP iOS,‏ tvOS ו-macOS אחסון תוכן כגון אפליקציות, ספרים ומוסיקה
itunes.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS   כן
ppq.apple.com 443 TCP iOS,‏ tvOS ו-macOS אימות אפליקציות ארגוניות

שמירת תוכן במטמון

נדרשת גישה למארח הבא עבור Mac שמשתמש בשמירת תוכן במטמון של macOS:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
lcdn-registration.apple.com 443 TCP macOS בלבד רישום שרת של שמירת תוכן במטמון כן

נוטריזציה של אפליקציות

החל מ-macOS 10.14.5, נערכת בדיקת נוטריזציה בתוכנה לפני הפעלתה. להצלחת בדיקה זו, ל-Mac חייבת להיות גישה אל אותם מארחים המפורטים בסעיף העוסק בווידוא כי לשרת הבנייה יש גישה לרשת במאמר בנושא התאמה אישית של זרימת העבודה של הנוטריזציה:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
17.248.128.0/18 443 TCP macOS בלבד העברת כרטיסים
17.250.64.0/18 443 TCP macOS בלבד העברת כרטיסים
17.248.192.0/19 443 TCP macOS בלבד העברת כרטיסים

אימות אישורים

למכשירי Apple חייבת להיות יכולת להתחבר למארחים הבאים כדי לאמת אישורים דיגיטליים המשמשים את המארחים שמפורטים למעלה:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
crl.apple.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
crl.entrust.net 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
crl3.digicert.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
crl4.digicert.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.apple.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.digicert.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.entrust.net 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.verisign.net 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים

חומות אש

אם חומת האש שלכם תומכת בשימוש בשמות מארחים, ייתכן שתוכלו להשתמש במרבית השירותים של Apple שמופיעים למעלה בעזרת מתן אפשרות לחיבורים יוצאים אל ‎*.apple.com. אם חומת האש שלכם ניתנת להגדרה אך ורק עם כתובות IP, אפשרו חיבורים יוצאים אל 17.0.0.0/8. בלוק הכתובת 17.0.0.0/8 מוקצה כולו ל-Apple.

Proxy של HTTP

תוכלו להשתמש בשירותי Apple דרך Proxy אם תשביתו בדיקה ואימות של מנות עבור תעבורה אל המארחים המפורטים ומהם. היוצאים מהכלל צוינו למעלה. ניסיונות לבצע בדיקת תוכן בתקשורת מוצפנת בין מכשירים ושירותים של Apple יביאו לניתוק החיבור כדי לשמור על אבטחת הפלטפורמה ופרטיות המשתמשים.

תאריך פרסום: