エンタープライズネットワークでApple製品を使う
エンタープライズネットワークでApple製品を使うために必要なホストとポートについて説明します。
この記事は、企業または教育機関のネットワーク管理者を対象としています。
Apple製品では、各種のサービスを利用するために、この記事で紹介しているインターネットホストにアクセスできることが必要です。デバイスがホストに接続し、プロキシを利用する仕組みは、以下の通りです。
下記のホストへのネットワーク接続は、Appleが運用するホスト側からではなく、デバイス側から確立されます。
HTTPS通信監視(SSLインスペクション)を行う接続では、Appleサービスは利用できません。HTTPSトラフィックがWebプロキシを経由する場合は、この記事で紹介しているホストに対してHTTPS通信監視を無効にしてください。
Apple製のデバイスが下記のホストにアクセスできるように徹底してください。
Appleプッシュ通知
Appleプッシュ通知サービス(APNs)への接続のトラブルシューティング方法については、こちらの記事を参照してください。すべてのトラフィックを HTTP プロキシ経由で送信するデバイスの場合は、プロキシをデバイス上で手動設定するか、モバイルデバイス管理 (MDM) で設定できます。プロキシ自動設定 (PAC) ファイルで HTTP プロキシを利用するように設定されていれば、デバイスは APNs に接続できます。
デバイスの設定
Apple製デバイスの設定時や、オペレーティングシステムのインストール時、アップデート時、または復元時は、以下のホストへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
albert.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | デバイスのアクティベーション | あり |
captive.apple.com | 443、80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | キャプティブポータルを利用するネットワークに対するインターネット接続の検証 | あり |
gs.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | あり | |
humb.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | あり | |
static.ips.apple.com | 443、80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | あり | |
sq-device.apple.com | 443 | TCP | iOS、iPadOS、visionOS | eSIMのアクティベーション | — |
tbsc.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | あり | |
time-ios.apple.com | 123 | UDP | iOS、iPadOS、tvOS、visionOS | デバイスが日時の設定に使用 | — |
time.apple.com | 123 | UDP | iOS、iPadOS、tvOS、macOS、visionOS | デバイスが日時の設定に使用 | — |
time-macos.apple.com | 123 | UDP | macOSのみ | デバイスが日時の設定に使用 | — |
デバイス管理
MDMに登録されているApple製デバイスでは、以下のホストとドメインへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
*.push.apple.com | 443、80、5223、2197 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | プッシュ通知 | |
deviceenrollment.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | DEPの暫定登録 | — |
deviceservices-external.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | 管理対象のデバイスでアクティベーションロックを無効にするために、MDMサーバが使用 | — |
gdmf.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | 管理対象のソフトウェアアップデートを利用するデバイスに適用可能なソフトウェアアップデートを判定するために、MDMサーバが使用 | あり |
identity.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | APNs証明書リクエストポータル | あり |
iprofiles.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | Apple School ManagerやApple Business ManagerにDevice Enrollment経由でデバイスを登録する際に使われるホスト登録プロファイル | あり |
mdmenrollment.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | Apple School ManagerやApple Business ManagerにDevice Enrollmentで登録されるクライアントで使われる登録プロファイルをアップロードし、デバイスとアカウントを検索するために、MDMサーバが使用 | あり |
setup.icloud.com | 443 | TCP | iOS およびiPadOS | 共有iPadで管理対象Apple Accountにログインするために必要 | — |
vpp.itunes.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 「アプリおよびブック」に関する操作(デバイス上のライセンスの割り当てや失効など)を実行するために、MDMサーバが使用 | あり |
*.appattest.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 管理対象デバイスアテステーション | — |
axm-servicediscovery.apple.com | 443 | TCP | iOS、iPadOS、macOS、visionOS | アカウント駆動型登録のサービス検出 | — |
Apple Business ManagerおよびApple School Manager
管理者とマネージャ
Apple Business ManagerおよびApple School Managerを管理するため、管理者とマネージャには以下のホストとドメインへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
*.business.apple.com | 443、80 | TCP | - | Apple Business Manager | — |
*.school.apple.com | 443、80 | TCP | - | Apple School Manager | — |
appleid.cdn-apple.com | 443 | TCP | - | ログイン認証 | あり |
idmsa.apple.com | 443 | TCP | - | ログイン認証 | あり |
*.itunes.apple.com | 443、80 | TCP | - | アプリとブック | あり |
*.mzstatic.com | 443 | TCP | - | アプリとブック | — |
api.ent.apple.com | 443 | TCP | - | アプリとブック(ABM) | — |
api.edu.apple.com | 443 | TCP | - | アプリとブック(ASM) | — |
statici.icloud.com | 443 | TCP | - | デバイスのアイコン | — |
*.vertexsmb.com | 443 | TCP | - | 免税状況の検証 | — |
www.apple.com | 443 | TCP | - | 一部の言語用のフォント | — |
upload.appleschoolcontent.com | 22 | SSH | - | SFTPアップロード | あり |
api-business.apple.com | 443 | TCP | - | Apple Business ManagerのAPI | — |
api-school.apple.com | 443 | TCP | - | Apple School ManagerのAPI | — |
対応するStudent Information System(SIS)をApple School Managerに同期するためにClaris Connectを利用していて、OneRosterファイルをアップロードしている学校は、Claris Connectホストへのアクセスを許可もする必要があります。
従業員や生徒
管理対象Apple Accountを使用する従業員や生徒には、メッセージの新規作成時や書類の共有時に企業内または学校内のほかのユーザを検索するため、以下のホストへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
ws-ee-maidsvc.icloud.com | 443、80 | TCP | iOS、iPadOS、macOS、visionOS | ユーザ検索サービス | — |
Apple Business Essentialsデバイス管理
管理者とApple Business Essentialsで管理されているデバイスには、Apple Business Managerについて上記に挙げられているホストとドメインに加え、以下のホストとドメインへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
axm-adm-enroll.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | DEP登録サーバ | — |
axm-adm-mdm.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | MDMサーバ | — |
axm-adm-scep.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS | SCEPサーバ | — |
axm-app.apple.com | 443 | TCP | iOS、iPadOS、macOS | アプリとデバイスの表示と管理 | — |
*.apple-mapkit.com | 443 | TCP | iOS およびiPadOS | 管理対象紛失モードのデバイスの位置情報の表示 | — |
icons.axm-usercontent-apple.com | 443 | TCP | macOS | カスタムパッケージのアイコン | — |
クラスルームとスクールワーク
クラスルームアプリまたはスクールワークアプリを利用する生徒と教師のデバイスでは、下記のApple AccountとiCloudのセクションに挙げられているホストに加えて、以下のホストへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
s.mzstatic.com | 443 | TCP | iPadOSおよびmacOS | クラスルームとスクールワークのデバイスの確認 | — |
play.itunes.apple.com | 443 | TCP | iPadOSおよびmacOS | クラスルームとスクールワークのデバイスの確認 | — |
ws-ee-maidsvc.icloud.com | 443 | TCP | iPadOSおよびmacOS | クラスルームとスクールワークのクラス名簿サービス | — |
ws.school.apple.com | 443 | TCP | iPadOSおよびmacOS | クラスルームとスクールワークのクラス名簿サービス | — |
pg-bootstrap.itunes.apple.com | 443 | TCP | iPadOS | スクールワークの配布物サービス | — |
cls-iosclient.itunes.apple.com | 443 | TCP | iPadOS | スクールワークの配布物サービス | — |
cls-ingest.itunes.apple.com | 443 | TCP | iPadOS | スクールワークの配布物サービス | — |
ソフトウェアアップデート
Apple製デバイスでは、iOS、iPadOS、macOS、watchOS、tvOS、visionOSのインストール時、復元時、アップデート時に、以下のホストへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
appldnld.apple.com | 80 | TCP | iOS、iPadOS、watchOS、visionOS | iOS、iPadOS、watchOSアップデート | — |
configuration.apple.com | 443 | TCP | macOSのみ | Rosetta 2のアップデート | — |
gdmf.apple.com | 443 | TCP | iOS、iPadOS、tvOS、watchOS、macOS | ソフトウェアアップデートのカタログ | — |
gg.apple.com | 443、80 | TCP | iOS、iPadOS、tvOS、watchOS、macOS、visionOS | iOS、iPadOS、tvOS、watchOS、macOSアップデート | あり |
gs.apple.com | 443、80 | TCP | iOS、iPadOS、tvOS、watchOS、macOS、visionOS | iOS、iPadOS、tvOS、watchOS、macOSアップデート | あり |
ig.apple.com | 443 | TCP | macOSのみ | macOSのアップデート | あり |
mesu.apple.com | 443、80 | TCP | iOS、iPadOS、tvOS、watchOS、macOS、visionOS | ホストのソフトウェアアップデートカタログ | — |
oscdn.apple.com | 443、80 | TCP | macOSのみ | macOS Recovery | — |
osrecovery.apple.com | 443、80 | TCP | macOSのみ | macOS Recovery | — |
skl.apple.com | 443 | TCP | macOSのみ | macOSのアップデート | — |
swcdn.apple.com | 443、80 | TCP | macOSのみ | macOSのアップデート | — |
swdist.apple.com | 443 | TCP | macOSのみ | macOSのアップデート | — |
swdownload.apple.com | 443、80 | TCP | macOSのみ | macOSのアップデート | あり |
swscan.apple.com | 443 | TCP | macOSのみ | macOSのアップデート | — |
updates-http.cdn-apple.com | 80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | ソフトウェアアップデートのダウンロード | — |
updates.cdn-apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | ソフトウェアアップデートのダウンロード | — |
xp.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | あり | |
gdmf-ados.apple.com | 443 | TCP | iOS、iPadOS、macOS | 追加コンポーネント用のソフトウェアアップデートカタログ | あり |
gsra.apple.com | 443 | TCP | iOS、iPadOS、macOS | 追加コンポーネント用のOSアップデート | あり |
wkms-public.apple.com | 443 | TCP | iOS、iPadOS、macOS | 接続しているデバイスへのiOS、iPadOS、macOSのインストール | あり |
fcs-keys-pub-prod.cdn-apple.com | 443 | TCP | iOS、iPadOS、macOS | 接続しているデバイスへのiOS、iPadOS、macOSのインストール | あり |
アプリと追加コンテンツ
Apple製デバイスでは、アプリのインストールとアップデート時、特定のアプリ機能の使用時、追加コンテンツのダウンロード時に、以下のホストとドメインへのアクセスが必要です。一部の追加コンテンツは、他社のコンテンツ配布ネットワークでホストされている場合もあります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
*.itunes.apple.com | 443、80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | アプリ、ブック、音楽などのコンテンツの保存 | あり |
*.apps.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | アプリ、ブック、音楽などのコンテンツの保存 | あり |
*.mzstatic.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | アプリ、ブック、音楽などのコンテンツや、Webサイトや代替マーケットプレイスから入手したアプリの保存 | — |
itunes.apple.com | 443、80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | あり | |
ppq.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | エンタープライズアプリの検証 | — |
api.apple-cloudkit.com | 443 | TCP | macOS | アプリの公証 | — |
*.appattest.apple.com | 443 | TCP | iOS、iPadOS、macOS、visionOS | アプリの検証、WebサイトでのTouch ID/Face ID認証 | — |
*.apps-marketplace.apple.com | 443 | TCP | iOS | Webサイトや代替マーケットプレイスから入手したアプリのインストール | あり |
token.safebrowsing.apple | 443 | TCP | iOS、iPadOS、macOS、visionOS | Safariで詐欺サイトにアクセスした場合の警告 | __ |
audiocontentdownload.apple.com | 80、443 | TCP | iOS、iPadOS、macOS | GarageBandのダウンロード可能なコンテンツ | — |
devimages-cdn.apple.com | 80、443 | TCP | macOS | Xcodeのダウンロード可能なコンポーネント | — |
download.developer.apple.com | 80、443 | TCP | macOS | Xcodeのダウンロード可能なコンポーネント | — |
playgrounds-assets-cdn.apple.com | 443 | TCP | iPadOSおよびmacOS | Swift Playgrounds | — |
playgrounds-cdn.apple.com | 443 | TCP | iPadOSおよびmacOS | Swift Playgrounds | — |
sylvan.apple.com | 80, 433 | TCP | tvOSおよびmacOS | 空撮スクリーンセーバと壁紙 | — |
gateway.icloud.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | XProtectのアップデートと音声コントロールのアセットを含むCloudKitのコンテンツ | — |
キャリアアップデート
モバイルデータ通信対応のデバイスでは、キャリアバンドルのアップデートをインストールするために、以下のホストへのアクセスが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
appldnld.apple.com | 80 | TCP | iOS およびiPadOS | モバイルデータ通信のキャリアバンドルのアップデート | — |
appldnld.apple.com.edgesuite.net | 80 | TCP | iOS およびiPadOS | モバイルデータ通信のキャリアバンドルのアップデート | — |
itunes.com | 80 | TCP | iOS およびiPadOS | キャリアバンドルのアップデートの検出 | — |
itunes.apple.com | 443 | TCP | iOS およびiPadOS | キャリアバンドルのアップデートの検出 | — |
updates-http.cdn-apple.com | 80 | TCP | iOS およびiPadOS | モバイルデータ通信のキャリアバンドルのアップデート | — |
updates.cdn-apple.com | 443 | TCP | iOS およびiPadOS | モバイルデータ通信のキャリアバンドルのアップデート | — |
コンテンツキャッシュ
コンテンツキャッシュを提供する Mac では、以下のホストと、この記事で挙げられているホストのうち、ソフトウェアアップデート、アプリ、追加コンテンツなどの Apple のコンテンツを提供するホストにアクセスできることが必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
lcdn-registration.apple.com | 443 | TCP | macOS | サーバの登録 | あり |
suconfig.apple.com | 80 | TCP | macOS | Configuration | — |
xp-cdn.apple.com | 443 | TCP | macOS | 報告 | あり |
macOSのコンテンツキャッシュのクライアントは、以下のホストにアクセスできる必要があります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
lcdn-locator.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | コンテンツキャッシュのロケータサービス | — |
serverstatus.apple.com | 443 | TCP | macOS | コンテンツキャッシュのクライアントのパブリックIPの判定 | — |
ベータアップデート
Apple製のデバイスでは、ベータアップデートにサインインし、フィードバックアシスタントアプリを使ってフィードバックを報告するために、以下のホストへのアクセスが必要です。
ホスト | Port | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
bpapi.apple.com | 443 | TCP | iOS、iPadOS、tvOS、watchOS、macOS、visionOS | ベータアップデートの登録 | あり |
cssubmissions.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | フィードバックアシスタントがファイルのアップロードに使用 | あり |
fba.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | フィードバックアシスタントがフィードバックの提出と表示に使用 | あり |
Apple診断
Apple製のデバイスは、ハードウェアの問題の兆候を検知する診断を実行するため、以下のポートにアクセスする可能性があります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
diagassets.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | ハードウェアの問題の兆候を検知するため、Apple製のデバイスが使用 | あり |
DNS(Domain Name System)の名前解決
iOS 14、iPadOS 14、tvOS 14、macOS Big Sur以降でDNS(Domain Name System)の名前解決を暗号化するため、以下のホストを使います。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
doh.dns.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | DNS over HTTPS(DoH)に使用 | あり |
証明書の検証
この記事のホストで使われるデジタル証明書を検証するために、Apple製のデバイスから以下のホストに接続できる必要があります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
certs.apple.com | 80、443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | — |
crl.apple.com | 80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | — |
crl3.digicert.com | 80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | — |
crl4.digicert.com | 80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | — |
ocsp.apple.com | 80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | — |
ocsp.digicert.cn | 80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証(中国) | — |
ocsp.digicert.com | 80 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | — |
ocsp2.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | — |
valid.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 証明書の検証 | あり |
Apple Account
Apple製のデバイスは、Apple Accountを認証するために、以下のホストに接続できる必要があります。これは、Apple Accountを使うすべてのサービス(iCloud、アプリのインストール、Xcodeなど)にとって必要です。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
account.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 設定アプリやシステム環境設定のApple Account認証 | あり |
appleid.cdn-apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | 設定アプリやシステム環境設定のApple Account認証 | あり |
idmsa.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | Apple Accountの認証 | あり |
gsa.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | Apple Accountの認証 | あり |
iCloud
iCloudのサービスを利用するため、Apple製のデバイスから上記のApple Accountホストに加えて、以下のドメインのホストに接続できる必要があります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
*.apple-cloudkit.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス | — |
*.apple-livephotoskit.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス | — |
*.apzones.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス(中国) | — |
*.cdn-apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス | — |
*.gc.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス | — |
*.icloud.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス | — |
*.icloud.com.cn | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス(中国) | — |
*.icloud.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス | — |
*.icloud-content.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iCloudサービス | — |
*.iwork.apple.com | 443 | TCP | iOS、iPadOS、tvOS、macOS、visionOS | iWork書類 | — |
mask.icloud.com | 443 | UDP | iOS、iPadOS、macOS、visionOS | iCloudプライベートリレー | — |
mask-h2.icloud.com | 443 | TCP | iOS、iPadOS、macOS、visionOS | iCloudプライベートリレー | — |
mask-api.icloud.com | 443 | TCP | iOS、iPadOS、macOS、visionOS | iCloudプライベートリレー | あり |
Apple Intelligence、Siri、検索
Apple製デバイスは、Private Cloud Computeを使用するApple Intelligenceリクエストを処理するため、およびApple製アプリでのディクテーションや検索などのSiriリクエストを処理するために、以下のホストに接続できる必要があります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
guzzoni.apple.com | 443 | TCP | iOS、iPadOS、macOS、visionOS | Siriと音声入力のリクエスト | — |
*.smoot.apple.com | 443 | TCP | iOS、iPadOS、macOS、visionOS | 検索サービス(Siri、Spotlight、調べる、Safari、News、メッセージ、ミュージックなど) | — |
apple-relay.cloudflare.com | 443 | TCP、UDP | iOS、iPadOS、macOS | Private Cloud Compute | — |
apple-relay.fastly-edge.com | 443 | TCP、UDP | iOS、iPadOS、macOS | Private Cloud Compute | — |
cp4.cloudflare.com | 443 | TCP、UDP | iOS、iPadOS、macOS | Private Cloud Compute | — |
apple-relay.apple.com | 443 | TCP、UDP | iOS、iPadOS、macOS | Apple Intelligence Extensions | — |
関連ドメイン
Apple製デバイスでは、iOS 14、iPadOS 14、macOS Big Sur以降で関連ドメインを使うため、以下のホストに接続できる必要があります。関連ドメインは、ユニバーサルリンクの基盤です。ユニバーサルリンクは、Webサイトの全部または一部の代わりにアプリのコンテンツを提示できる機能です。Handoff、App Clip、シングルサインオン機能拡張はすべて関連ドメインを使用します。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
app-site-association.cdn-apple.com | 443 | TCP、UDP | iOS、iPadOS、macOS、visionOS | ユニバーサルリンク用の関連ドメイン | — |
app-site-association.networking.apple | 443 | TCP、UDP | iOS、iPadOS、macOS、visionOS | ユニバーサルリンク用の関連ドメイン | — |
Tap to Pay on iPhone
決済アプリを使って非接触決済を行うには、iPhoneから以下のホストに接続できる必要があります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
pos-device.apple.com | 443 | TCP、UDP | iOS | Tap to Pay on iPhone | あり |
humb.apple.com | 443 | TCP | iOS | Tap to Pay on iPhoneの設定 | あり |
iphonesubmissions.apple.com | 443 | TCP | iOS | オプションの解析情報の共有 | あり |
iPhoneでのID認証機能
ID認証機能に対応するアプリを使ってモバイルIDを承認するには、iPhoneから以下のホストに接続できる必要があります。
ホスト | ポート | プロトコル | OS | 説明 | プロキシのサポート |
|---|---|---|---|---|---|
smp-device-content.apple.com | 443 | TCP | iOS | iPhoneでのID認証機能 | あり |
idv.cdn-apple.com | 443 | TCP | iOS | iPhoneでのID認証機能 | あり |
idv-prod1.apple.com | 443 | TCP | iOS | iPhoneでのID認証機能 | あり |
humb.apple.com | 443 | TCP | iOS | iPhoneでのID認証機能 | あり |
ファイアウォール
ファイアウォールがホスト名の使用に対応している場合は、*.apple.com へのアウトバウンド接続を許可することで、上記のAppleサービスのほとんどを適宜利用できます。IPアドレスを使った設定しかできないファイアウォールの場合は、IPのバージョンに応じて、Appleが所有する以下のIPアドレス範囲へのアウトバウンド接続を許可してください。
IPv4の場合は、17.0.0.0/8へのアウトバウンド接続を許可できます。
IPv6の場合は、次のネットワーク範囲へのアウトバウンド接続を許可できます。
2403:300::/32
2620:149::/32
2a01:b740::/32
HTTPプロキシ
上記のホストを出入りするトラフィックに対してパケットインスペクションや認証を無効にしていれば、Appleのサービスをプロキシ経由で利用できます。例外については、上述しています。Appleのデバイスやサービス間の暗号化された通信でコンテンツインスペクションを実行しようとすると、プラットフォームのセキュリティやユーザのプライバシーを守るため、接続が途切れます。
コンテンツ配布ネットワークおよびDNS名前解決
この記事に掲載しているホストの一部は、DNSでAレコードやAAAAレコードの代わりにCNAMEレコードを使う場合があります。これらのCNAMEレコードがチェーン内のほかのCNAMEレコードを参照していて、最終的にIPアドレスに解決される場合があります。こうしたDNS名前解決のおかげで、Appleはあらゆる地域のユーザにコンテンツを速く確実に配信でき、また、名前解決はデバイスやプロキシサーバに対しては透過的に行われます。これらのCNAMEレコードは変化するため、Appleでは、CNAMEレコードのリストは公開していません。DNS検索をブロックしておらず、上記のホストやドメインへのアクセスを許可している限りは、ファイアウォールやプロキシサーバを別途構成する必要はありません。
改訂履歴
2025年7月:ファイアウォールに関して、IPv6の情報を追加。Apple School ManagerとApple Business ManagerのAPIの新しいホストを追加。ホストgateway.icloud.comにXProtectのアップデートを追加して更新。
2025年4月:ホストを削除(ns.itunes.apple.com)。ホスト名を訂正(iphonesubmissions.apple.com)。ホストに関する情報を追加(deviceservices-external.apple.com)。
2024年11月:ソフトウェアアップデート用のホストを追加し、ホスト名を訂正。
2024年10月:Apple Intelligence Extensionsに関する情報を追加。
2024年9月:Apple Accountの情報を更新。Claris Connectに関する情報を追加。証明書の検証セクションを更新。
2024年6月:Private Cloud Computeに関する情報を追加。
2024年4月:visionOS、iPhoneでのID認証機能、代替マーケットプレイスの情報を追加。ソフトウェアアップデートの表を再編成、App Storeとアプリの機能の表を新しいアプリの表と追加コンテンツの表に統合。
2023年7月:APN接続のmacOSバージョンの要件を削除。
関連情報
Appleソフトウェア製品で使われているTCPおよびUDPポートの一覧表を参照してください。