エンタープライズネットワークで Apple 製品を使う

エンタープライズネットワークで Apple 製品を使うために必要なホストとポートについて説明します。

この記事は、企業または教育機関のネットワーク管理者を対象としています。

Apple 製品では、各種のサービスを利用するために、この記事で紹介しているインターネットホストにアクセスできることが必要です。デバイスがホストに接続し、プロキシを利用する仕組みは、以下の通りです。

  • 下記のホストへのネットワーク接続は、Apple が運用するホスト側からではなく、デバイス側から確立されます。
  • HTTPS 通信監視 (SSL インスペクション) を行う接続では、Apple サービスは利用できません。HTTPS トラフィックが Web プロキシを経由する場合は、この記事で紹介しているホストに対して HTTPS 通信監視を無効にしてください。

Apple 製のデバイスが下記のホストにアクセスできるように徹底してください。

Apple プッシュ通知

Apple プッシュ通知サービス (APNs) への接続のトラブルシューティング方法については、こちらの記事を参照してください。すべてのトラフィックを HTTP プロキシ経由で送信するデバイスの場合は、デバイスでプロキシを手動で設定するか、構成プロファイルを使って設定できます。macOS 10.15.5 以降では、プロキシ自動設定 (PAC) ファイルで HTTP プロキシを利用するように設定されていれば、デバイスは APNs に接続できます。

デバイスの設定

デバイスの設定時や、オペレーティングシステムのインストール、アップデート、または復元時は、以下のホストへのアクセスが適宜必要になります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
albert.apple.com 443 TCP iOS、tvOS、macOS デバイスのアクティベーション あり
captive.apple.com 443、80 TCP iOS、tvOS、macOS キャプティブポータルを利用するネットワークに対するインターネット接続の検証 あり
gs.apple.com 443 TCP iOS、tvOS、macOS   あり
humb.apple.com 443 TCP iOS、tvOS、macOS   あり
static.ips.apple.com 443、80 TCP iOS、tvOS、macOS   あり
sq-device.apple.com 443 TCP iOS のみ eSIM のアクティベーション
tbsc.apple.com 443 TCP iOS、tvOS、macOS   あり
time-ios.apple.com 123 UDP iOS および tvOS のみ デバイスが日時の設定に使用
time.apple.com 123 UDP iOS、tvOS、macOS デバイスが日時の設定に使用
time-macos.apple.com 123 UDP macOS のみ デバイスが日時の設定に使用

デバイス管理

モバイルデバイス管理 (MDM) に登録されているデバイスでは、以下のホストへのネットワークアクセスが適宜必要になります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
*.push.apple.com 443、80、5223、2197 TCP iOS、tvOS、macOS プッシュ通知 APNs およびプロキシについて詳しくは、こちらを参照してください。
gdmf.apple.com 443 TCP iOS、tvOS、macOS 管理対象のソフトウェア・アップデートを利用するデバイスに適用可能なソフトウェア・アップデートを判定するために、MDM サーバが使用 あり
deviceenrollment.apple.com 443 TCP iOS、tvOS、macOS DEP の暫定登録
deviceservices-external.apple.com 443 TCP iOS、tvOS、macOS  
identity.apple.com 443 TCP iOS、tvOS、macOS APNs 証明書リクエストポータル あり
iprofiles.apple.com 443 TCP iOS、tvOS、macOS Apple School Manager や Apple Business Manager に Device Enrollment 経由でデバイスを登録する際に使われるホスト登録プロファイル あり
mdmenrollment.apple.com 443 TCP iOS、tvOS、macOS Apple School Manager や Apple Business Manager に Device Enrollment で登録されるクライアントで使われる登録プロファイルをアップロードし、デバイスとアカウントを検索するために、MDM サーバが使用 あり
setup.icloud.com 443 TCP iOS のみ 共有 iPad で管理対象 Apple ID を使ってログインするために必要
vpp.itunes.apple.com 443 TCP iOS、tvOS、macOS 「App およびブック」に関する操作 (デバイス上のライセンスの割り当てや失効など) を実行するために、MDM サーバが使用 あり

Apple School Manager および Apple Business Manager

Apple School Manager および Apple Business Manager が完全に機能するためには、以下のホストと、「App Store」セクションに記載されているホストへのネットワークアクセスが必要です。

ホスト ポート プロトコル OS 説明 プロキシのサポート
*.school.apple.com 443、80 TCP - スクールワークの名簿サービス -
ws-ee-maidsvc.icloud.com 443、80 TCP - スクールワークの名簿サービス -
*.business.apple.com 443、80 TCP - Apple Business Manager -
isu.apple.com 443、80 TCP -   -

ソフトウェア・アップデート

macOS や Mac App Store の App をアップデートし、コンテンツキャッシュを使用するには、以下のポートにアクセスできるように徹底してください。

macOS、iOS、tvOS

macOS、iOS、tvOS をインストール、復元、アップデートする際には、以下のホスト名へのネットワークアクセスが必要です。

ホスト ポート プロトコル OS 説明 プロキシのサポート
appldnld.apple.com 80 TCP iOS のみ iOS のアップデート
configuration.apple.com 443 TCP macOS Rosetta 2 のアップデート -
gg.apple.com 443、80 TCP iOS、tvOS、macOS iOS、tvOS、macOS のアップデート あり
gnf-mdn.apple.com 443 TCP macOS のみ macOS のアップデート あり
gnf-mr.apple.com 443 TCP macOS のみ macOS のアップデート あり
gs.apple.com 443、80 TCP macOS のみ macOS のアップデート あり
ig.apple.com 443 TCP macOS のみ macOS のアップデート あり
mesu.apple.com 443、80 TCP iOS、tvOS、macOS ホストのソフトウェア・アップデートカタログ
ns.itunes.apple.com 443 TCP iOS のみ   あり
oscdn.apple.com 443、80 TCP macOS のみ macOS 復旧
osrecovery.apple.com 443、80 TCP macOS のみ macOS 復旧
skl.apple.com 443 TCP macOS のみ macOS のアップデート
swcdn.apple.com 80 TCP macOS のみ macOS のアップデート
swdist.apple.com 443 TCP macOS のみ macOS のアップデート
swdownload.apple.com 443、80 TCP macOS のみ macOS のアップデート あり
swpost.apple.com 80 TCP macOS のみ macOS のアップデート あり
swscan.apple.com 443 TCP macOS のみ macOS のアップデート
updates-http.cdn-apple.com 80 TCP iOS、tvOS、macOS  
updates.cdn-apple.com 443 TCP iOS、tvOS、macOS  
xp.apple.com 443 TCP iOS、tvOS、macOS   あり

App Store

App をアップデートする際には、以下のホストへのアクセスが適宜必要になります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
*.itunes.apple.com 443、80 TCP iOS、tvOS、macOS App、ブック、音楽などのコンテンツの保存 あり
*.apps.apple.com 443 TCP iOS、tvOS、macOS App、ブック、音楽などのコンテンツの保存 あり
*.mzstatic.com 443 TCP iOS、tvOS、macOS App、ブック、音楽などのコンテンツの保存
itunes.apple.com 443、80 TCP iOS、tvOS、macOS   あり
ppq.apple.com 443 TCP iOS、tvOS、macOS エンタープライズ App の検証

コンテンツキャッシュ

macOS のコンテンツキャッシュを利用する Mac では、以下のホストへのアクセスが必須です。

ホスト ポート プロトコル OS 説明 プロキシのサポート
lcdn-registration.apple.com 443 TCP macOS のみ コンテンツキャッシュサーバの登録 あり
serverstatus.apple.com 443 TCP iOS、tvOS、macOS コンテンツキャッシュのクライアントのパブリック IP の判定 あり

Apple Developer

App のノータリゼーションと検証のため、以下のホストへのアクセスが必要です。

App のノータリゼーション

macOS 10.14.5 以降から、ソフトウェアの実行前に、ノータリゼーション を受けているかどうかが調べられます。このチェックに合格するには、「Customizing the Notarization Workflow」(英語) の「Ensure Your Build Server Has Network Access」セクションに記載されているホストに Mac からアクセスできることが必要です。

ホスト ポート プロトコル OS 説明 プロキシのサポート
17.248.128.0/18 443 TCP macOS のみ チケットの配布
17.250.64.0/18 443 TCP macOS のみ チケットの配布
17.248.192.0/19 443 TCP macOS のみ チケットの配布

App の検証

ホスト ポート プロトコル OS 説明 プロキシのサポート
*.appattest.apple.com 443 TCP iOS および macOS App の検証、Web サイトでの Touch ID/Face ID 認証 -

フィードバックアシスタント

フィードバックアシスタントは、デベロッパやベータソフトウェアプログラムのメンバーの方々から Apple にフィードバックを送っていただくための App です。この App は以下のホストを使います。

ホスト ポート プロトコル OS 説明 プロキシのサポート
fba.apple.com 443 TCP iOS、tvOS、macOS フィードバックアシスタントがフィードバックの提出と表示に使用 あり
cssubmissions.apple.com 443 TCP iOS、tvOS、macOS フィードバックアシスタントがファイルのアップロードに使用 あり
bpapi.apple.com 443 TCP tvOS のみ ベータソフトウェアのアップデートを提供 あり

Apple 診断

Apple 製のデバイスは、ハードウェアの問題の兆候を検知する診断を実行するため、以下のポートにアクセスする可能性があります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
diagassets.apple.com 443 TCP iOS、tvOS、macOS ハードウェアの問題の兆候を検知するため、Apple 製のデバイスが使用 あり

DNS (Domain Name System) の名前解決

iOS 14、tvOS 14、macOS Big Sur で DNS (Domain Name System) の名前解決を暗号化するため、以下のホストに接続します。

ホスト ポート プロトコル OS 説明 プロキシのサポート
doh.dns.apple.com 443 TCP iOS、tvOS、macOS DNS over HTTPS (DoH) に使用 あり

証明書の検証

上記のホストで使われるデジタル証明書を検証するために、Apple 製のデバイスから以下のホストに接続できる必要があります。

ホスト ポート プロトコル OS 説明 プロキシのサポート
crl.apple.com 80 TCP iOS、tvOS、macOS 証明書の検証
crl.entrust.net 80 TCP iOS、tvOS、macOS 証明書の検証
crl3.digicert.com 80 TCP iOS、tvOS、macOS 証明書の検証
crl4.digicert.com 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.apple.com 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.digicert.com 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.entrust.net 80 TCP iOS、tvOS、macOS 証明書の検証
ocsp.verisign.net 80 TCP iOS、tvOS、macOS 証明書の検証
valid.apple.com 443 TCP iOS、tvOS、macOS 証明書の検証 あり

ファイアウォール

ファイアウォールがホスト名の使用に対応している場合は、上記の Apple サービスのほとんどを、*.apple.com へのアウトバウンド接続を許可することで利用できます。IP アドレスを使った設定しかできないファイアウォールの場合は、17.0.0.0/8 へのアウトバウンド接続を許可してください。17.0.0.0/8 アドレスブロック全体が Apple に割り当てられています。

HTTP プロキシ

上記のホストを出入りするトラフィックに対してパケットインスペクションや認証を無効にしていれば、Apple のサービスをプロキシ経由で利用できます。例外については、上述しています。Apple のデバイスやサービス間の暗号化された通信でコンテンツインスペクションを実行しようとすると、プラットフォームのセキュリティやユーザのプライバシーを守るため、接続が途切れます。

  • Apple ソフトウェア製品で使われている TCP ポートと UDP ポートの一覧表については、こちらの記事を参照してください。
  • macOS Server のプロファイルマネージャが使うポートについては、こちらの記事を参照してください。
  • macOS、iOS、iTunes のサーバホスト接続と iTunes のバックグラウンドプロセスについては、こちらの記事を参照してください。
  • ノータリゼーションワークフローのカスタマイズについては、こちら (英語) を参照してください。
公開日: