エンタープライズネットワークで Apple 製品を使う

エンタープライズネットワークで Apple 製品を使うために必要なホストとポートについて説明します。

この記事は、企業または教育機関のネットワーク管理者を対象としています。

Apple 製品では、各種のサービスを利用するために、この記事で紹介しているインターネットホストにアクセスできることが必要です。デバイスがホストに接続し、プロキシを利用する仕組みは、以下の通りです。

  • 下記のホストへのネットワーク接続は、Apple が運用するホスト側からではなく、デバイス側から確立されます。
  • HTTPS 通信監視 (SSL インスペクション) を行う接続では、Apple サービスは利用できません。HTTPS トラフィックが Web プロキシを経由する場合は、この記事で紹介しているホストに対して HTTPS 通信監視を無効にしてください。

Apple 製のデバイスが下記のホストにアクセスできるように徹底してください。

Apple プッシュ通知

Apple プッシュ通知サービス (APNs) への接続のトラブルシューティング方法については、こちらの記事を参照してください。すべてのトラフィックを HTTP プロキシ経由で送信するデバイスの場合は、デバイスでプロキシを手動で設定するか、構成プロファイルを使って設定できます。プロキシ自動設定 (PAC) ファイルを使って、HTTP プロキシを利用するようにデバイスが設定されている場合、APNs への接続は確立されません。

デバイスの設定

デバイスの設定時や、オペレーティングシステムのインストール、アップデート、または復元時は、以下のホストへのアクセスが適宜必要になります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
albert.apple.com 443 TCP iOS、tvOS、macOS   あり
captive.apple.com 443、80 TCP iOS、tvOS、macOS キャプティブポータルを利用するネットワークに対するインターネット接続の検証 あり
gs.apple.com 443 TCP iOS、tvOS、macOS   あり
time-ios.apple.com 123 UDP iOS のみ デバイスが日時の設定に使用 なし
time.apple.com 123 UDP iOS、tvOS、macOS デバイスが日時の設定に使用 なし
time-macos.apple.com 123 UDP macOS のみ デバイスが日時の設定に使用 なし

デバイス管理

モバイルデバイス管理 (MDM) に登録されているデバイスでは、以下のホストへのネットワークアクセスが適宜必要になります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
*.push.apple.com 443、80、5223、2197 TCP iOS、tvOS、macOS プッシュ通知 APNs およびプロキシについて詳しくは、こちらを参照してください。
gdmf.apple.com 443 TCP iOS、tvOS、macOS MDM サーバが、管理対象のソフトウェアアップデートを利用するデバイスに適用可能なソフトウェアアップデートを判定 あり
deviceenrollment.apple.com 443 TCP iOS、tvOS、macOS DEP の暫定登録
deviceservices-external.apple.com 443 TCP iOS、tvOS、macOS  
identity.apple.com 443 TCP iOS、tvOS、macOS APNs 証明書リクエストポータル あり
iprofiles.apple.com 443 TCP iOS、tvOS、macOS Apple School Manager や Apple Business Manager に Device Enrollment 経由でデバイスを登録する際に使われるホスト登録プロファイル あり
mdmenrollment.apple.com 443 TCP iOS、tvOS、macOS MDM サーバが、Apple School Manager や Apple Business Manager に Device Enrollment で登録されるクライアントで使われる登録プロファイルをアップロードし、デバイスとアカウントを検索 あり
vpp.itunes.apple.com 443 TCP iOS、tvOS、macOS MDM サーバが、「App およびブック」に関する操作 (デバイス上のライセンスの割り当てや失効など) を実行 あり

ソフトウェアアップデート

macOS や Mac App Store の App をアップデートし、コンテンツキャッシュを使用するには、以下のポートにアクセスできるように徹底してください。

macOS、iOS、tvOS

macOS、iOS、tvOS をインストール、復元、アップデートする際には、以下のホスト名へのネットワークアクセスが必要です。

ホスト ポート プロトコル OS 説明 プロキシのサポート
appldnld.apple.com 80 TCP iOS のみ iOS のアップデート なし
gg.apple.com 443、80 TCP macOS のみ macOS のアップデート あり
gnf-mdn.apple.com 443 TCP macOS のみ macOS のアップデート あり
gnf-mr.apple.com 443 TCP macOS のみ macOS のアップデート あり
gs.apple.com 443、80 TCP macOS のみ macOS のアップデート あり
ig.apple.com 443 TCP macOS のみ macOS のアップデート あり
mesu.apple.com 443、80 TCP iOS、tvOS、macOS ホストのソフトウェアアップデートカタログ なし
ns.itunes.apple.com 443 TCP iOS のみ   あり
oscdn.apple.com 443、80 TCP macOS のみ macOS 復元 なし
osrecovery.apple.com 443、80 TCP macOS のみ macOS 復元 なし
skl.apple.com 443 TCP macOS のみ macOS のアップデート
swcdn.apple.com 80 TCP macOS のみ macOS のアップデート なし
swdist.apple.com 443 TCP macOS のみ macOS のアップデート なし
swdownload.apple.com 443、80 TCP macOS のみ macOS のアップデート あり
swpost.apple.com 80 TCP macOS のみ macOS のアップデート あり
swscan.apple.com 443 TCP macOS のみ macOS のアップデート なし
updates-http.cdn-apple.com 80 TCP iOS、tvOS、macOS   なし
updates.cdn-apple.com 443 TCP iOS、tvOS、macOS   なし
xp.apple.com 443 TCP iOS、tvOS、macOS   あり

App Store

App をアップデートする際には、以下のホストへのアクセスが適宜必要になります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
*.itunes.apple.com 443、80 TCP iOS、tvOS、macOS App、ブック、音楽などのコンテンツの保存 あり
*.apps.apple.com 443 TCP iOS、tvOS、macOS App、ブック、音楽などのコンテンツの保存 あり
*.mzstatic.com 443 TCP iOS、tvOS、macOS App、ブック、音楽などのコンテンツの保存
itunes.apple.com 443、80 TCP iOS、tvOS、macOS   あり
ppq.apple.com 443 TCP iOS、tvOS、macOS エンタープライズ App の検証

コンテンツキャッシュ

macOS のコンテンツキャッシュを利用する Mac では、以下のホストへのアクセスが必須です。

ホスト ポート プロトコル OS 説明 プロキシのサポート
lcdn-registration.apple.com 443 TCP macOS のみ コンテンツキャッシュサーバの登録 あり

App の公証

macOS 10.14.5 以降から、ソフトウェアの実行前に、公証 (ノータリゼーション) を受けているかどうかが調べられます。このチェックに合格するには、「Customizing the Notarization Workflow」(英語) の「Ensure Your Build Server Has Network Access」セクションに記載されているホストに Mac からアクセスできることが必要です。

ホスト ポート プロトコル OS 説明 プロキシのサポート
17.248.128.0/18 443 TCP macOS のみ チケットの配布
17.250.64.0/18 443 TCP macOS のみ チケットの配布
17.248.192.0/19 443 TCP macOS のみ チケットの配布

証明書の検証

上記のホストで使われるデジタル証明書を検証するために、Apple 製のデバイスから以下のホストに接続できる必要があります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
crl.apple.com 80 TCP iOS、tvOS、macOS 証明書の検証
crl.entrust.net 80 TCP iOS、tvOS、macOS 証明書の検証
crl3.digicert.com 80 TCP iOS、tvOS、macOS 証明書の検証
crl4.digicert.com 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.apple.com 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.digicert.com 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.entrust.net 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.verisign.net 80 TCP iOS、tvOS、macOS 証明書の検証

ファイアウォール

ファイアウォールがホスト名の使用に対応している場合は、上記の Apple サービスのほとんどを、*.apple.com へのアウトバウンド接続を許可することで利用できます。IP アドレスを使った設定しかできないファイアウォールの場合は、17.0.0.0/8 へのアウトバウンド接続を許可してください。17.0.0.0/8 アドレスブロック全体が Apple に割り当てられています。

HTTP プロキシ

上記のホストを出入りするトラフィックに対してパケットインスペクションや認証を無効にしていれば、Apple のサービスをプロキシ経由で利用できます。例外については、上述しています。Apple のデバイスやサービス間の暗号化された通信でコンテンツインスペクションを実行しようとすると、プラットフォームのセキュリティやユーザのプライバシーを守るため、接続が途切れます。

  • Apple ソフトウェア製品で使われている TCP ポートと UDP ポートの一覧表については、こちらの記事を参照してください。
  • macOS Server のプロファイルマネージャが使うポートについては、こちらの記事を参照してください。
  • macOS、iOS、iTunes のサーバホスト接続と iTunes のバックグラウンドプロセスについては、こちらの記事を参照してください。
  • ノータリゼーション (公証) ワークフローのカスタマイズについては、こちら (英語) を参照してください。
公開日: