שימוש במוצרי Apple ברשתות ארגוניות

למדו אילו יציאות ומארחים דרושים כדי להשתמש במוצרי Apple ברשתות ארגוניות.

מאמר זה מיועד למנהלי רשתות בארגונים ובמוסדות חינוך.

מוצרי Apple מחייבים גישה למארחי האינטרנט המוזכרים במאמר זה עבור מגוון שירותים. כך המכשירים שלכם מתחברים למארחים ועובדים עם שרתי Proxy:

  • חיבורי רשת למארחים שבהמשך מופעלים על-ידי המכשיר ולא על-ידי מארחים ש-Apple מפעילה.
  • שירותי Apple לא יאפשרו כל חיבור שמשתמש ביירוט HTTPS (בדיקת SSL). אם תעבורת HTTPS חוצה Proxy של אינטרנט, השביתו את יירוט HTTPS עבור המארחים המפורטים במאמר זה.

ודאו שמכשירי Apple שברשותכם יכולים לגשת למארחים המפורטים בהמשך.

התראות Push של Apple

למדו כיצד לפתור בעיות בהתחברות לשירות התראות Push של Apple ‏(APNS). עבור מכשירים ששולחים את כל התעבורה דרך Proxy של HTTP, ניתן להגדיר את תצורת ה-Proxy באופן ידני במכשיר או בעזרת פרופיל תצורה. החל מ-macOS 10.15.5, מכשירים יכולים להתחבר ל-APNS כאשר תצורתם מוגדרת לשימוש ב-Proxy של HTTP עם קובץ תצורה אוטומטית של Proxy‏ (Proxy Auto-Config‏ - PAC).

הגדרת מכשיר

ייתכן שתידרש גישה למארחים הבאים כשאתם מגדירים את המכשיר, או כשאתם מתקינים, מעדכנים או משחזרים את מערכת ההפעלה.

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
albert.apple.com 443 TCP iOS,‏ tvOS ו-macOS הפעלת מכשיר כן
captive.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS אימות קישוריות אינטרנט עבור רשתות המשתמשות בפורטלי חובה כן
gs.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן
humb.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן
static.ips.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS   כן
sq-device.apple.com 443 TCP iOS בלבד הפעלת eSIM
tbsc.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן
time-ios.apple.com 123 UDP iOS ו-tvOS בלבד משמש מכשירים להגדרת התאריך והשעה
time.apple.com 123 UDP iOS,‏ tvOS ו-macOS משמש מכשירים להגדרת התאריך והשעה
time-macos.apple.com 123 UDP macOS בלבד משמש מכשירים להגדרת התאריך והשעה

ניהול מכשירים

עבור מכשירים הרשומים ב'ניהול מכשירים ניידים' (MDM), ייתכן שתידרש גישה לרשת למארחים הבאים:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
‎*.push.apple.com 443, 80, 5223, 2197 TCP iOS,‏ tvOS ו-macOS התראות Push קבלו מידע נוסף על APNS ושרתי Proxy‏.
gdmf.apple.com 443 TCP iOS,‏ tvOS ו-macOS משמש שרת MDM לזיהוי עדכוני התוכנה הזמינים למכשירים שמשתמשים בעדכוני תוכנה מנוהלים כן
deviceenrollment.apple.com 443 TCP iOS,‏ tvOS ו-macOS רישום זמני ל-DEP
deviceservices-external.apple.com 443 TCP iOS,‏ tvOS ו-macOS  
identity.apple.com 443 TCP iOS,‏ tvOS ו-macOS פורטל בקשות לאישורי APNS כן
iprofiles.apple.com 443 TCP iOS,‏ tvOS ו-macOS פרופילי רישום למארחים שבהם נעשה שימוש בעת רישום מכשירים ב-Apple School Manager או ב-Apple Business Manager דרך 'רישום מכשירים' כן
mdmenrollment.apple.com 443 TCP iOS,‏ tvOS ו-macOS שרתי MDM להעלאת פרופילי רישום המשמשים לקוחות שנרשמים דרך 'רישום מכשירים' ב-Apple School Manager או ב-Apple Business Manager, ולחיפוש מכשירים וחשבונות כן
setup.icloud.com 443 TCP iOS בלבד דרוש לצורך התחברות באמצעות 'Apple ID מנוהל' ב-'iPad משותף'
vpp.itunes.apple.com 443 TCP iOS,‏ tvOS ו-macOS שרתי MDM המבצעים פעולות שקשורות ליישומים וספרים, כגון הקצאה או ביטול של רישיונות במכשיר כן

Apple School Manager וכן Apple Business Manager

לפונקציונליות מלאה של Apple School Manager ושל Apple Business Manager דרושה גישה לרשת למארחים הבאים, כמו גם למארחים בסעיף App Store.

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
‎*.school.apple.com 443, 80 TCP - שירות Schoolwork Roster -
ws-ee-maidsvc.icloud.com 443, 80 TCP - שירות Schoolwork Roster -
‎*.business.apple.com.‎ 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

עדכוני תוכנה

ודאו שאתם יכולים לגשת ליציאות הבאות לצורך עדכון macOS, אפליקציות מה-Mac App Store, וכן לצורך שימוש בשמירת תוכן במטמון.

macOS,‏ iOS ו-tvOS

נדרשת גישת רשת לשמות המארחים הבאים לצורך התקנה, שחזור ועדכון של macOS,‏ iOS ו-tvOS:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
appldnld.apple.com 80 TCP iOS בלבד עדכוני iOS
configuration.apple.com 443 TCP macOS עדכוני Rosetta 2 -
gg.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS עדכוני iOS,‏ tvOS ו-macOS כן
gnf-mdn.apple.com 443 TCP macOS בלבד עדכוני macOS כן
gnf-mr.apple.com 443 TCP macOS בלבד עדכוני macOS כן
gs.apple.com 443, 80 TCP macOS בלבד עדכוני macOS כן
ig.apple.com 443 TCP macOS בלבד עדכוני macOS כן
mesu.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS קטלוגים לעדכוני תוכנות מארחים
ns.itunes.apple.com 443 TCP iOS בלבד   כן
oscdn.apple.com 443, 80 TCP macOS בלבד macOS Recovery
osrecovery.apple.com 443, 80 TCP macOS בלבד macOS Recovery
skl.apple.com 443 TCP macOS בלבד עדכוני macOS
swcdn.apple.com 80 TCP macOS בלבד עדכוני macOS
swdist.apple.com 443 TCP macOS בלבד עדכוני macOS
swdownload.apple.com 443, 80 TCP macOS בלבד עדכוני macOS כן
swpost.apple.com 80 TCP macOS בלבד עדכוני macOS כן
swscan.apple.com 443 TCP macOS בלבד עדכוני macOS
updates-http.cdn-apple.com 80 TCP iOS,‏ tvOS ו-macOS  
updates.cdn-apple.com 443 TCP iOS,‏ tvOS ו-macOS  
xp.apple.com 443 TCP iOS,‏ tvOS ו-macOS   כן

App Store

ייתכן שתידרש גישה למארחים הבאים לצורך עדכון אפליקציות:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
‎*.itunes.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS תוכן מהחנות כגון אפליקציות, ספרים ומוסיקה כן
‎*.apps.apple.com 443 TCP iOS,‏ tvOS ו-macOS תוכן מהחנות כגון אפליקציות, ספרים ומוסיקה כן
‎*.mzstatic.com 443 TCP iOS,‏ tvOS ו-macOS תוכן מהחנות כגון אפליקציות, ספרים ומוסיקה
itunes.apple.com 443, 80 TCP iOS,‏ tvOS ו-macOS   כן
ppq.apple.com 443 TCP iOS,‏ tvOS ו-macOS אימות אפליקציות ארגוניות

שמירת תוכן במטמון

נדרשת גישה למארח הבא עבור Mac שמשתמש בשמירת תוכן במטמון של macOS:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
lcdn-registration.apple.com 443 TCP macOS בלבד רישום שרת של שמירת תוכן במטמון כן
serverstatus.apple.com 443 TCP iOS,‏ tvOS ו-macOS קביעת IP ציבורי של הלקוח עבור שמירת תוכן במטמון כן

Apple Developer

דרושה גישה למארחים הבאים לצורך נוטריזציה ואימות יישומים.

נוטריזציה של יישומים

החל מ-macOS 10.14.5, נערכת בדיקת נוטריזציה בתוכנה לפני הפעלתה. להצלחת בדיקה זו, ל-Mac חייבת להיות גישה אל אותם מארחים המפורטים בסעיף העוסק בווידוא כי לשרת הבנייה יש גישה לרשת במאמר בנושא התאמה אישית של זרימת העבודה של הנוטריזציה:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
17.248.128.0/18 443 TCP macOS בלבד העברת כרטיסים
17.250.64.0/18 443 TCP macOS בלבד העברת כרטיסים
17.248.192.0/19 443 TCP macOS בלבד העברת כרטיסים

אימות יישום

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
*.appattest.apple.com 443 TCP iOS ו-macOS אימות יישום, אימות Touch ID ו-Face ID לאתרים -

מדריך המשוב

'מדריך המשוב' היא אפליקציה המשמשת מפתחים וחברים בתוכניות תוכנת הבטא לדיווח משוב ל-Apple. היא משתמשת במארחים הבאים:

מארחים יציאה פרוטוקול OS תיאור תומך בשרתי Proxy
fba.apple.com 443 TCP iOS,‏ tvOS ו-macOS משמש את 'מדריך המשוב' לצורך הגשת משוב והצגתו כן
cssubmissions.apple.com 443 TCP iOS,‏ tvOS ו-macOS משמש את 'מדריך המשוב' להעלאת קבצים כן
bpapi.apple.com 443 TCP tvOS בלבד מספק עדכוני תוכנת בטא כן

Apple diagnostics

מכשירי Apple עשויים לגשת למארח הבא על מנת לבצע אבחון המשמש לאיתור בעיה אפשרית בחומרה:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
diagassets.apple.com 443 TCP iOS,‏ tvOS ו-macOS משמש מכשירי Apple כדי לסייע באיתור בעיות חומרה אפשריות כן

פענוח מערכת שמות מתחם

על מנת להשתמש בפענוח מערכת שמות מתחם (DNS) מוצפנת ב-iOS 14, ב-tvOS 14 וב-macOS Big Sur, ייווצר קשר עם המארח הבא:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
doh.dns.apple.com 443 TCP iOS,‏ tvOS ו-macOS משמש עבור DNS ב-HTTPS ‏(DoH) כן

אימות אישורים

למכשירי Apple חייבת להיות יכולת להתחבר למארחים הבאים כדי לאמת אישורים דיגיטליים המשמשים את המארחים שמפורטים למעלה:

מארחים יציאות פרוטוקול OS תיאור תומך בשרתי Proxy
crl.apple.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
crl.entrust.net 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
crl3.digicert.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
crl4.digicert.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.apple.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.digicert.com 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.entrust.net 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
ocsp.verisign.net 80 TCP iOS,‏ tvOS ו-macOS אימות אישורים
valid.apple.com 443 TCP iOS,‏ tvOS ו-macOS אימות אישורים כן

חומות אש

אם חומת האש שלכם תומכת בשימוש בשמות מארחים, ייתכן שתוכלו להשתמש במרבית השירותים של Apple שמופיעים למעלה בעזרת מתן אפשרות לחיבורים יוצאים אל ‎*.apple.com. אם חומת האש שלכם ניתנת להגדרה אך ורק עם כתובות IP, אפשרו חיבורים יוצאים אל 17.0.0.0/8. בלוק הכתובות 17.0.0.0/8 מוקצה כולו ל-Apple.

Proxy של HTTP

תוכלו להשתמש בשירותי Apple דרך Proxy אם תשביתו בדיקה ואימות של מנות עבור תעבורה אל המארחים המפורטים ומהם. היוצאים מהכלל צוינו למעלה. ניסיונות לבצע בדיקת תוכן בתקשורת מוצפנת בין מכשירים ושירותים של Apple יביאו לניתוק החיבור כדי לשמור על אבטחת הפלטפורמה ופרטיות המשתמשים.

תאריך פרסום: