Usare i prodotti Apple su reti aziendali

Scopri gli host e le porte necessari per utilizzare i tuoi prodotti Apple su reti aziendali.

Questo articolo è destinato agli amministratori di rete dei settori aziendale e dell'istruzione.

I prodotti Apple richiedono l'accesso agli host internet indicati in questo articolo per un'ampia gamma di servizi. Di seguito viene spiegato come i dispositivi si connettono agli host e come funzionano con i proxy:

  • Le connessioni di rete agli host indicati vengono avviate dal dispositivo, non dagli host gestiti da Apple.
  • I servizi Apple non consentono la connessione tramite HTTPS Interception (SSL Inspection). Se il traffico HTTPS attraversa un proxy web, disabilita HTTPS Interception per gli host elencati in questo articolo.

Verifica che i dispositivi Apple possano accedere agli host indicati di seguito.

Notifiche push di Apple

Scopri come risolvere i problemi di connessione al servizio notifiche push di Apple (APN). Nel caso di dispositivi che inviano tutto il traffico tramite un proxy HTTP, puoi configurare il proxy manualmente sul dispositivo o con un profilo di configurazione. A partire da macOS 10.15.5, i dispositivi possono connettersi al servizio APN se sono configurati per utilizzare il proxy HTTP con un file PAC (proxy auto-config).

Configurazione del dispositivo

Quando configuri il dispositivo oppure quando installi, aggiorni o ripristini il sistema operativo, potrebbe essere necessario accedere ai seguenti host.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
albert.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Attivazione del dispositivo
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS Convalida della connettività internet per reti che utilizzano captive portal
gs.apple.com 443 TCP iOS, iPadOS, tvOS e macOS  
humb.apple.com 443 TCP iOS, iPadOS, tvOS e macOS  
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS  
sq-device.apple.com 443 TCP iOS e iPadOS Attivazione della eSIM
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS e macOS  
time-ios.apple.com 123 UDP iOS, iPadOS e tvOS Utilizzato dai dispositivi per impostare la data e l'ora
time.apple.com 123 UDP iOS, iPadOS, tvOS e macOS Utilizzato dai dispositivi per impostare la data e l'ora
time-macos.apple.com 123 UDP Solo macOS Utilizzato dai dispositivi per impostare la data e l'ora

Gestione del dispositivo

Per i dispositivi registrati in una soluzione di gestione dei dispositivi mobili (MDM) potrebbe essere necessario l'accesso di rete ai seguenti host.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS e macOS Notifiche push Ulteriori informazioni su APN e proxy
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Iscrizione provvisoria DEP
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS e macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS e macOS Utilizzato da un server MDM per individuare gli aggiornamenti software disponibili per i dispositivi che utilizzano aggiornamenti software gestiti
identity.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Portale per la richiesta del certificato APN
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Profili di iscrizione agli host utilizzati quando i dispositivi si registrano in Apple School Manager o Apple Business Manager tramite il programma di registrazione dei dispositivi
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Server MDM per caricare i profili di iscrizione utilizzati dai client che si registrano tramite il programma di registrazione dei dispositivi in Apple School Manager o Apple Business Manager e per eseguire ricerche di dispositivi e account
setup.icloud.com 443 TCP iOS e iPadOS Necessario per effettuare il login con un ID Apple gestito su un iPad condiviso
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Server MDM per eseguire operazioni relative ad app e libri, come l'assegnazione o la revoca di licenze a un dispositivo

Apple School Manager e Apple Business Manager

Per il corretto funzionamento di Apple School Manager e Apple Business Manager è necessario l'accesso di rete ai seguenti host e agli host nella sezione App Store.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.business.apple.com
443, 80 TCP - Apple Business Manager
*.school.apple.com 443, 80 TCP - Servizio Schoolwork Roster
upload.appleschoolcontent.com 22 SSH - Upload SFTP
ws-ee-maidsvc.icloud.com 443, 80 TCP - Servizio Schoolwork Roster

Gestione dei dispositivi con Apple Business Essentials

Per il corretto funzionamento della gestione dei dispositivi con Apple Business Essentials è necessario l'accesso di rete ai seguenti host.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
axm-adm-enroll.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Server di registrazione DEP
axm-adm-mdm.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Server MDM
axm-adm-scep.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Server SCEP
axm-app.apple.com 443 TCP iOS, iPadOS e macOS Utilizzato da Apple Business Essentials per visualizzare e gestire app e dispositivi

Aggiornamenti software

Assicurati di poter accedere alle seguenti porte per aggiornare macOS, le app scaricate dal Mac App Store e per utilizzare la cache dei contenuti.

macOS, iOS, iPadOS, watchOS e tvOS

Per installare, ripristinare e aggiornare macOS, iOS, iPadOS, watchOS e tvOS è necessario l'accesso di rete ai seguenti nomi host.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
appldnld.apple.com 80 TCP iOS, iPadOS e watchOS Aggiornamenti di iOS, iPadOS e watchOS
configuration.apple.com 443 TCP Solo macOS Aggiornamenti di Rosetta 2
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS, watchOS e macOS Catalogo degli aggiornamenti software
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS e macOS Aggiornamenti di iOS, iPadOS, tvOS, watchOS e macOS
gnf-mdn.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
gnf-mr.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS e macOS Aggiornamenti di iOS, iPadOS, tvOS, watchOS e macOS
ig.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS, watchOS e macOS Cataloghi di aggiornamento del software host
ns.itunes.apple.com 443 TCP iOS, iPadOS e watchOS  
oscdn.apple.com 443, 80 TCP Solo macOS macOS Recovery
osrecovery.apple.com 443, 80 TCP Solo macOS macOS Recovery
skl.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
swcdn.apple.com 80 TCP Solo macOS Aggiornamenti di macOS
swdist.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
swdownload.apple.com 443, 80 TCP Solo macOS Aggiornamenti di macOS
swscan.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS e macOS Download degli aggiornamenti software
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS e macOS Download degli aggiornamenti software
xp.apple.com 443 TCP iOS, iPadOS, tvOS e macOS  

App Store

Per aggiornare le app può essere necessario accedere ai seguenti host.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS Archivia contenuti come app, libri e musica
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Archivia contenuti come app, libri e musica
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS e macOS Archivia contenuti come app, libri e musica
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS  
ppq.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Convalida dell'app Enterprise

Aggiornamenti dell'operatore telefonico

I dispositivi cellulari devono essere in grado di connettersi ai seguenti host per installare gli aggiornamenti del pacchetto dell'operatore telefonico.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
appldnld.apple.com 80 TCP iOS e iPadOS Aggiornamenti del pacchetto dell'operatore telefonico
appldnld.apple.com.edgesuite.net 80 TCP iOS e iPadOS Aggiornamenti del pacchetto dell'operatore telefonico
itunes.com 80 TCP iOS e iPadOS Rilevamento degli aggiornamenti del pacchetto dell'operatore telefonico
itunes.apple.com 443 TCP iOS e iPadOS Rilevamento degli aggiornamenti del pacchetto dell'operatore telefonico
updates-http.cdn-apple.com 80 TCP iOS e iPadOS Aggiornamenti del pacchetto dell'operatore telefonico
updates.cdn-apple.com 443 TCP iOS e iPadOS Aggiornamenti del pacchetto dell'operatore telefonico

 

Cache dei contenuti

Un Mac che supporta la cache dei contenuti deve essere in grado di connettersi ai seguenti host, nonché agli host elencati in questo documento che forniscono contenuti Apple come aggiornamenti software, app e contenuti aggiuntivi.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
lcdn-registration.apple.com 443 TCP Solo macOS Registrazione del server
suconfig.apple.com 80 TCP Solo macOS

Configurazione
xp-cdn.apple.com 443 TCP Solo macOS Segnalazioni

I client che usano la cache dei contenuti di macOS devono essere in grado di connettersi ai seguenti host.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Servizio di localizzazione della cache dei contenuti
serverstatus.apple.com
443 TCP Solo macOS Determinazione dell'IP pubblico del client per la cache dei contenuti

Apple Developer

Per l'autenticazione e la convalida dell'app è necessario l'accesso ai seguenti host.

Autenticazione app

A partire da macOS 10.14.5, il software viene verificato a scopo di autenticazione prima della relativa esecuzione. Affinché la verifica riesca, un Mac deve essere in grado di accedere agli stessi host elencati nella sezione Ensure Your Build Server Has Network Access (Verificare che il server di build abbia accesso alla rete) della pagina Customizing the Notarization Workflow (Personalizzare la procedura di autenticazione):

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
17.248.128.0/18 443 TCP Solo macOS Consegna ticket
17.250.64.0/18 443 TCP Solo macOS Consegna ticket
17.248.192.0/19 443 TCP Solo macOS Consegna ticket

Convalida app

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.appattest.apple.com 443 TCP iOS, iPadOS e macOS Convalida dell'app, autenticazione con Touch ID e Face ID nei siti web

Assistente Feedback

Assistente Feedback è un'app utilizzata dagli sviluppatori e dai membri dei programmi Beta Software per inviare segnalazioni a Apple. Utilizza i seguenti host:

Host Porta Protocollo Sistema operativo Descrizione Supporta i proxy
bpapi.apple.com 443 TCP Solo tvOS Fornisce gli aggiornamenti della versione beta del software
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS e macOS Utilizzato da Assistente Feedback per caricare i file

fba.apple.com

443 TCP iOS, iPadOS, tvOS e macOS

Utilizzato da Assistente Feedback per archiviare e visualizzare i feedback

Diagnosi Apple

I dispositivi Apple potrebbero accedere al seguente host per eseguire le diagnostiche utilizzate per rilevare un possibile problema hardware.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Utilizzato dai dispositivi Apple per aiutare a rilevare potenziali problemi hardware

Risoluzione Domain Name System

Per utilizzare la risoluzione DNS (Domain Name System) crittografata in iOS 14, tvOS 14 e macOS Big Sur, verrà contattato il seguente host.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Utilizzato per DNS su HTTPS (DoH)

Convalida del certificato

I dispositivi Apple devono essere in grado di connettersi ai seguenti host per convalidare i certificati digitali utilizzati dagli host indicati in questo articolo.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
crl.apple.com 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
crl.entrust.net 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato in Cina
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato
valid.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Convalida del certificato

 

ID Apple

I dispositivi Apple devono essere in grado di connettersi ai seguenti host per autenticare un ID Apple. Questa operazione è necessaria per tutti i servizi che usano un ID Apple, come iCloud, l'installazione di app e Xcode.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
appleid.apple.com
443 TCP iOS, iPadOS, tvOS e macOS
Autenticazione dell'ID Apple in Impostazioni e Preferenze di Sistema
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS e macOS
Autenticazione dell'ID Apple in Impostazioni e Preferenze di Sistema
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Autenticazione dell'ID Apple
gsa.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Autenticazione dell'ID Apple

iCloud

Oltre agli host ID Apple elencati sopra, i dispositivi Apple devono essere in grado di connettersi agli host nei seguenti domini per utilizzare i servizi iCloud.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS e macOS Servizi iCloud
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS e macOS Servizi iCloud
*.apzones.com 443 TCP iOS, iPadOS, tvOS e macOS Servizi iCloud in Cina
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS e macOS Servizi iCloud
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS e macOS
Servizi iCloud
*.icloud.com 443 TCP iOS, iPadOS, tvOS e macOS Servizi iCloud
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS e macOS
Servizi iCloud in Cina
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Servizi iCloud
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS e macOS Servizi iCloud
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Documenti iWork
mask.icloud.com 443 UDP iOS, iPadOS, macOS Relay privato iCloud
mask-h2.icloud.com 443 TCP iOS, iPadOS, macOS Relay privato iCloud
mask-api.icloud.com 443 TCP iOS, iPadOS, macOS Relay privato iCloud

 

Contenuti aggiuntivi

I dispositivi Apple devono essere in grado di connettersi ai seguenti host per scaricare contenuti aggiuntivi. Alcuni contenuti aggiuntivi potrebbero essere ospitati anche su reti di distribuzione di contenuti di terze parti.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS e macOS Contenuti di GarageBand disponibili per il download
devimages-cdn.apple.com
80, 443 TCP Solo macOS Componenti di Xcode disponibili per il download
download.developer.apple.com 80, 443 TCP Solo macOS Componenti di Xcode disponibili per il download
playgrounds-assets-cdn.apple.com 443 TCP iPadOS e macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS e macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP Solo tvOS
Salvaschermo di Apple TV

Firewall

Se il tuo firewall supporta l'utilizzo di nomi host, potresti riuscire a usare la maggior parte dei servizi Apple sopra indicati consentendo connessioni in uscita a *.apple.com. Se puoi configurare il tuo firewall solo con indirizzi IP, consenti le connessioni in uscita su 17.0.0.0/8. L'intero blocco di indirizzi 17.0.0.0/8 è assegnato ad Apple.

Proxy HTTP

Puoi utilizzare i servizi Apple tramite un proxy se disabiliti l'ispezione e l'autenticazione dei pacchetti per il traffico da e verso gli host elencati. Le eccezioni sono indicate sopra. I tentativi di eseguire l'ispezione dei contenuti delle comunicazioni codificate tra i dispositivi e i servizi Apple comporteranno l'interruzione della connessione per mantenere la sicurezza della piattaforma e la privacy degli utenti.

Reti di distribuzione di contenuti e risoluzione DNS

Alcuni degli host elencati in questo articolo potrebbero avere dei record CNAME in DNS anziché dei record A o AAAA. È possibile che questi record CNAME facciano riferimento ad altri record CNAME in una catena prima della definitiva risoluzione in un indirizzo IP. La risoluzione DNS, che consente a Apple di assicurare una distribuzione rapida e affidabile dei contenuti agli utenti in tutte le aree geografiche, avviene in modo trasparente per dispositivi e server proxy. Apple non pubblica un elenco di questi record CNAME poiché sono soggetti a modifiche. Non dovrebbe essere necessario configurare il firewall o il server proxy per consentirli, a condizione che l'utente non blocchi le ricerche DNS e consenta l'accesso agli host e ai domini indicati in precedenza.

Data di pubblicazione: