Utilizzare i prodotti Apple sulle reti aziendali

Scopri gli host e le porte necessari per utilizzare i prodotti Apple sulle reti aziendali.

Questo articolo è destinato agli amministratori di rete dei settori aziendale e dell'istruzione.

I prodotti Apple richiedono l'accesso agli host internet indicati in questo articolo per un'ampia gamma di servizi. Di seguito viene spiegato come i dispositivi si connettono agli host e come funzionano con i proxy:

  • Le connessioni di rete agli host indicati vengono avviate dal dispositivo, non dagli host gestiti da Apple.
  • I servizi Apple non consentono la connessione tramite HTTPS Interception (SSL Inspection). Se il traffico HTTPS attraversa un proxy web, disabilita HTTPS Interception per gli host elencati in questo articolo.

Verifica che i dispositivi Apple possano accedere agli host indicati di seguito.

Notifiche push di Apple

Scopri come risolvere i problemi di connessione al servizio notifiche push di Apple (APN). Nel caso di dispositivi che inviano tutto il traffico tramite un proxy HTTP, puoi configurare il proxy manualmente sul dispositivo o con un profilo di configurazione. A partire da macOS 10.15.5, i dispositivi possono connettersi al servizio APN se sono configurati per utilizzare il proxy HTTP con un file PAC (proxy auto-config).

Configurazione del dispositivo

Quando configuri il dispositivo o quando installi, aggiorni o ripristini il sistema operativo, potrebbe essere necessario accedere agli host indicati di seguito.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
albert.apple.com 443 TCP iOS, tvOS e macOS Attivazione del dispositivo
captive.apple.com 443, 80 TCP iOS, tvOS e macOS Convalida della connettività internet per reti che utilizzano captive portal
gs.apple.com 443 TCP iOS, tvOS e macOS  
humb.apple.com 443 TCP iOS, tvOS e macOS  
static.ips.apple.com 443, 80 TCP iOS, tvOS e macOS  
sq-device.apple.com 443 TCP Solo iOS Attivazione della eSIM
tbsc.apple.com 443 TCP iOS, tvOS e macOS  
time-ios.apple.com 123 UDP Solo iOS e tvOS Utilizzato dai dispositivi per impostare la data e l'ora
time.apple.com 123 UDP iOS, tvOS e macOS Utilizzato dai dispositivi per impostare la data e l'ora
time-macos.apple.com 123 UDP Solo macOS Utilizzato dai dispositivi per impostare la data e l'ora

Gestione del dispositivo

Per i dispositivi registrati in una soluzione di gestione dei dispositivi mobili (MDM) potrebbe essere necessario l'accesso di rete ai seguenti host:

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS e macOS Notifiche push Ulteriori informazioni su APN e proxy.
gdmf.apple.com 443 TCP iOS, tvOS e macOS Utilizzato da un server MDM per individuare gli aggiornamenti software disponibili per i dispositivi che utilizzano aggiornamenti software gestiti
deviceenrollment.apple.com 443 TCP iOS, tvOS e macOS Iscrizione provvisoria DEP
deviceservices-external.apple.com 443 TCP iOS, tvOS e macOS  
identity.apple.com 443 TCP iOS, tvOS e macOS Portale per la richiesta del certificato APN
iprofiles.apple.com 443 TCP iOS, tvOS e macOS Profili di iscrizione agli host utilizzati quando i dispositivi si registrano in Apple School Manager o Apple Business Manager tramite il programma di registrazione dei dispositivi
mdmenrollment.apple.com 443 TCP iOS, tvOS e macOS Server MDM per caricare i profili di iscrizione utilizzati dai client che si registrano tramite il programma di registrazione dei dispositivi in Apple School Manager o Apple Business Manager e per eseguire ricerche di dispositivi e account
setup.icloud.com 443 TCP Solo iOS Necessario per effettuare il login con un ID Apple gestito su un iPad condiviso
vpp.itunes.apple.com 443 TCP iOS, tvOS e macOS Server MDM per eseguire operazioni relative ad app e libri, come l'assegnazione o la revoca di licenze a un dispositivo

Apple School Manager e Apple Business Manager

Per il corretto funzionamento di Apple School Manager e Apple Business Manager è necessario l'accesso di rete ai seguenti host e agli host nella sezione App Store.

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.school.apple.com 443, 80 TCP - Servizio Schoolwork Roster -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Servizio Schoolwork Roster -
*.business.apple.com. 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

Aggiornamenti software

Assicurati di poter accedere alle seguenti porte per aggiornare macOS, le app scaricate dal Mac App Store e per utilizzare la cache dei contenuti.

macOS, iOS e tvOS

Per installare, ripristinare e aggiornare macOS, iOS e tvOS è necessario l'accesso di rete ai seguenti nomi host:

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
appldnld.apple.com 80 TCP Solo iOS Aggiornamenti iOS
configuration.apple.com 443 TCP macOS Aggiornamenti di Rosetta 2 -
gg.apple.com 443, 80 TCP iOS, tvOS e macOS Aggiornamenti iOS, tvOS e macOS
gnf-mdn.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
gnf-mr.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
gs.apple.com 443, 80 TCP Solo macOS Aggiornamenti di macOS
ig.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
mesu.apple.com 443, 80 TCP iOS, tvOS e macOS Cataloghi di aggiornamento del software host
ns.itunes.apple.com 443 TCP Solo iOS  
oscdn.apple.com 443, 80 TCP Solo macOS macOS Recovery
osrecovery.apple.com 443, 80 TCP Solo macOS macOS Recovery
skl.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
swcdn.apple.com 80 TCP Solo macOS Aggiornamenti di macOS
swdist.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
swdownload.apple.com 443, 80 TCP Solo macOS Aggiornamenti di macOS
swpost.apple.com 80 TCP Solo macOS Aggiornamenti di macOS
swscan.apple.com 443 TCP Solo macOS Aggiornamenti di macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS e macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS e macOS  
xp.apple.com 443 TCP iOS, tvOS e macOS  

App Store

Per aggiornare le app può essere necessario accedere ai seguenti host:

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.itunes.apple.com 443, 80 TCP iOS, tvOS e macOS Archivia contenuti come app, libri e musica
*.apps.apple.com 443 TCP iOS, tvOS e macOS Archivia contenuti come app, libri e musica
*.mzstatic.com 443 TCP iOS, tvOS e macOS Archivia contenuti come app, libri e musica
itunes.apple.com 443, 80 TCP iOS, tvOS e macOS  
ppq.apple.com 443 TCP iOS, tvOS e macOS Convalida dell'app Enterprise

Cache dei contenuti

L'accesso al seguente host è necessario per un Mac che utilizza la cache dei contenuti di macOS:

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
lcdn-registration.apple.com 443 TCP Solo macOS Registrazione del server per la cache dei contenuti
serverstatus.apple.com 443 TCP iOS, tvOS e macOS Determinazione dell'IP pubblico del client per la cache dei contenuti

Apple Developer

Per l'autenticazione e la convalida dell'app è necessario l'accesso ai seguenti host.

Autenticazione app

A partire da macOS 10.14.5, il software viene verificato a scopo di autenticazione prima della relativa esecuzione. Affinché il controllo riesca, un Mac deve essere in grado di accedere agli stessi host elencati nella sezione Ensure Your Build Server Has Network Access (Verificare che il server di build abbia accesso alla rete) della pagina Customizing the Notarization Workflow (Personalizzare la procedura di autenticazione):

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
17.248.128.0/18 443 TCP Solo macOS Consegna ticket
17.250.64.0/18 443 TCP Solo macOS Consegna ticket
17.248.192.0/19 443 TCP Solo macOS Consegna ticket

Convalida app

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
*.appattest.apple.com 443 TCP iOS e macOS Convalida dell'app, autenticazione con Touch ID e Face ID nei siti web -

Assistente Feedback

Assistente Feedback è un'app utilizzata dagli sviluppatori e dai membri dei programmi Beta Software per inviare segnalazioni a Apple. Utilizza i seguenti host:

Host Porta Protocollo Sistema operativo Descrizione Supporta i proxy
fba.apple.com 443 TCP iOS, tvOS e macOS Utilizzato da Assistente Feedback per archiviare e visualizzare i feedback
cssubmissions.apple.com 443 TCP iOS, tvOS e macOS Utilizzato da Assistente Feedback per caricare i file
bpapi.apple.com 443 TCP Solo tvOS Fornisce gli aggiornamenti della versione beta del software

Diagnosi Apple

I dispositivi Apple possono accedere al seguente host per eseguire le diagnostiche usate per rilevare un probabile problema hardware:

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
diagassets.apple.com 443 TCP iOS, tvOS e macOS Utilizzato dai dispositivi Apple per aiutare a rilevare potenziali problemi hardware

Risoluzione Domain Name System

Per utilizzare la risoluzione DNS (Domain Name System) crittografata in iOS 14, tvOS 14 e macOS Big Sur, verrà contattato il seguente host:

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
doh.dns.apple.com 443 TCP iOS, tvOS e macOS Utilizzato per DNS su HTTPS (DoH)

Convalida del certificato

I dispositivi Apple devono essere in grado di connettersi ai seguenti host per convalidare i certificati digitali utilizzati dagli host sopra indicati:

Host Porte Protocollo Sistema operativo Descrizione Supporta i proxy
crl.apple.com 80 TCP iOS, tvOS e macOS Convalida del certificato
crl.entrust.net 80 TCP iOS, tvOS e macOS Convalida del certificato
crl3.digicert.com 80 TCP iOS, tvOS e macOS Convalida del certificato
crl4.digicert.com 80 TCP iOS, tvOS e macOS Convalida del certificato
ocsp.apple.com 80 TCP iOS, tvOS e macOS Convalida del certificato
ocsp.digicert.com 80 TCP iOS, tvOS e macOS Convalida del certificato
ocsp.entrust.net 80 TCP iOS, tvOS e macOS Convalida del certificato
ocsp.verisign.net 80 TCP iOS, tvOS e macOS Convalida del certificato
valid.apple.com 443 TCP iOS, tvOS e macOS Convalida del certificato

Firewall

Se il tuo firewall supporta l'utilizzo di nomi host, potresti riuscire a utilizzare la maggior parte dei servizi Apple sopra indicati consentendo connessioni in uscita a *.apple.com. Se puoi configurare il tuo firewall solo con indirizzi IP, consenti le connessioni in uscita su 17.0.0.0/8. L'intero blocco di indirizzi 17.0.0.0/8 è assegnato ad Apple.

Proxy HTTP

Puoi utilizzare i servizi Apple tramite un proxy se disabiliti l'ispezione e l'autenticazione dei pacchetti per il traffico da e verso gli host elencati. Le eccezioni sono indicate sopra. I tentativi di eseguire l'ispezione dei contenuti delle comunicazioni codificate tra i dispositivi e i servizi Apple comporteranno l'interruzione della connessione per mantenere la sicurezza della piattaforma e la privacy degli utenti.

Data di pubblicazione: