Apple producten op bedrijfsnetwerken gebruiken

Lees hier welke hosts en poorten vereist zijn om Apple producten te kunnen gebruiken op bedrijfsnetwerken.

Dit artikel is bedoeld voor netwerkbeheerders bij bedrijven en onderwijsinstellingen.

Apple producten hebben voor diverse services toegang nodig tot de internethosts die in dit artikel worden vermeld. Hoe uw apparaten verbinding maken met hosts en werken met proxy's:

  • De netwerkverbindingen met de onderstaande hosts worden geïnitieerd op het apparaat, niet via de hosts die door Apple worden beheerd.
  • Apple services staan geen verbinding toe als deze gebruikmaakt van HTTPS-interceptie (SSL-inspectie). Als het HTTPS-verkeer via een webproxy gaat, moet u HTTPS-interceptie uitschakelen voor de hosts die in dit artikel worden vermeld.

Controleer of uw Apple apparaten toegang hebben tot de hieronder vermelde hosts.

Apple Push Notifications

Lees hier hoe u problemen oplost wanneer u verbinding wilt maken met de Apple Push Notification Service (APNs). Voor apparaten die al het verkeer via een HTTP-proxy sturen, kunt u de proxy handmatig op het apparaat of met behulp van een configuratieprofiel configureren. Vanaf macOS 10.15.5 kunnen apparaten verbinding maken met APNs wanneer ze met een PAC-bestand (proxy auto-config) zijn geconfigureerd voor gebruik van de HTTP-proxy.

Configuratie van het apparaat

Bij de configuratie van uw apparaat is mogelijk toegang vereist tot de volgende hosts. Toegang tot deze hosts is ook nodig wanneer u het besturingssysteem installeert, bijwerkt of herstelt.

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
albert.apple.com 443 TCP iOS, tvOS en macOS Activering apparaat Ja
captive.apple.com 443, 80 TCP iOS, tvOS en macOS Validatie van de internetverbinding voor netwerken die gebruikmaken van afvangportals Ja
gs.apple.com 443 TCP iOS, tvOS en macOS   Ja
humb.apple.com 443 TCP iOS, tvOS en macOS   Ja
static.ips.apple.com 443, 80 TCP iOS, tvOS en macOS   Ja
sq-device.apple.com 443 TCP Alleen iOS Activering eSIM
tbsc.apple.com 443 TCP iOS, tvOS en macOS   Ja
time-ios.apple.com 123 UDP Alleen iOS en tvOS Wordt gebruikt op apparaten om de datum en tijd in te stellen
time.apple.com 123 UDP iOS, tvOS en macOS Wordt gebruikt op apparaten om de datum en tijd in te stellen
time-macos.apple.com 123 UDP Alleen macOS Wordt gebruikt op apparaten om de datum en tijd in te stellen

Apparaatbeheer

Netwerktoegang tot de volgende hosts is mogelijk vereist voor apparaten die zijn ingeschreven voor Mobile Device Management (MDM):

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS en macOS Pushberichten Meer informatie over APNs en proxy's.
gdmf.apple.com 443 TCP iOS, tvOS en macOS Wordt op een MDM-server gebruikt om vast te stellen welke software-updates beschikbaar zijn voor apparaten die gebruikmaken van beheerde software-updates Ja
deviceenrollment.apple.com 443 TCP iOS, tvOS en macOS Voorlopige inschrijving voor DEP
deviceservices-external.apple.com 443 TCP iOS, tvOS en macOS  
identity.apple.com 443 TCP iOS, tvOS en macOS APNs-certificaataanvraagportal Ja
iprofiles.apple.com 443 TCP iOS, tvOS en macOS Gebruikt voor het hosten van inschrijvingsprofielen die worden gebruikt wanneer apparaten via Device Enrollment worden ingeschreven voor Apple School Manager of Apple Business Manager Ja
mdmenrollment.apple.com 443 TCP iOS, tvOS en macOS MDM-servers voor het uploaden van inschrijvingsprofielen die worden gebruikt voor clients die worden ingeschreven voor Apple School Manager of Apple Business Manager via Device Enrollment. Worden ook gebruikt voor het opzoeken van apparaten en accounts Ja
setup.icloud.com 443 TCP Alleen iOS Vereist voor het inloggen met een beheerde Apple ID op een gedeelde iPad
vpp.itunes.apple.com 443 TCP iOS, tvOS en macOS MDM-servers voor het uitvoeren van bewerkingen met betrekking tot apps en boeken, zoals het toewijzen of intrekken van licenties op een apparaat Ja

Apple School Manager en Apple Business Manager

Netwerktoegang tot de volgende hosts en de hosts in het App Store-gedeelte is vereist voor volledige functionaliteit van Apple School Manager en Apple Business Manager.

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
*.school.apple.com 443, 80 TCP Lesroosterservice in Schoolwerk
ws-ee-maidsvc.icloud.com 443, 80 TCP Lesroosterservice in Schoolwerk
*.business.apple.com. 443, 80 TCP Apple Business Manager
isu.apple.com 443, 80 TCP  

Software-updates

Zorg dat toegang tot de volgende poorten beschikbaar is voor het bijwerken van macOS en apps uit de Mac App Store, en voor het gebruik van materiaalcaching.

macOS, iOS en tvOS

Netwerktoegang tot de volgende hostnamen is vereist voor het installeren, herstellen en bijwerken van macOS, iOS en tvOS:

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
appldnld.apple.com 80 TCP Alleen iOS iOS-updates
configuration.apple.com 443 TCP macOS Rosetta 2-updates
gg.apple.com 443, 80 TCP iOS, tvOS en macOS iOS-, tvOS- en macOS-updates Ja
gnf-mdn.apple.com 443 TCP Alleen macOS macOS-updates Ja
gnf-mr.apple.com 443 TCP Alleen macOS macOS-updates Ja
gs.apple.com 443, 80 TCP Alleen macOS macOS-updates Ja
ig.apple.com 443 TCP Alleen macOS macOS-updates Ja
mesu.apple.com 443, 80 TCP iOS, tvOS en macOS Gebruikt voor het hosten van catalogi van software-updates
ns.itunes.apple.com 443 TCP Alleen iOS   Ja
oscdn.apple.com 443, 80 TCP Alleen macOS macOS-herstel
osrecovery.apple.com 443, 80 TCP Alleen macOS macOS-herstel
skl.apple.com 443 TCP Alleen macOS macOS-updates
swcdn.apple.com 80 TCP Alleen macOS macOS-updates
swdist.apple.com 443 TCP Alleen macOS macOS-updates
swdownload.apple.com 443, 80 TCP Alleen macOS macOS-updates Ja
swpost.apple.com 80 TCP Alleen macOS macOS-updates Ja
swscan.apple.com 443 TCP Alleen macOS macOS-updates
updates-http.cdn-apple.com 80 TCP iOS, tvOS en macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS en macOS  
xp.apple.com 443 TCP iOS, tvOS en macOS   Ja

App Store

Toegang tot de volgende hosts is mogelijk vereist voor het bijwerken van apps:

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
*.itunes.apple.com 443, 80 TCP iOS, tvOS en macOS Store-materiaal, zoals apps, boeken en muziek Ja
*.apps.apple.com 443 TCP iOS, tvOS en macOS Store-materiaal, zoals apps, boeken en muziek Ja
*.mzstatic.com 443 TCP iOS, tvOS en macOS Store-materiaal, zoals apps, boeken en muziek
itunes.apple.com 443, 80 TCP iOS, tvOS en macOS   Ja
ppq.apple.com 443 TCP iOS, tvOS en macOS Validatie van bedrijfsapps

Materiaalcaching

Toegang tot de volgende hosts is vereist voor een Mac met macOS die gebruikmaakt van materiaalcaching:

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
lcdn-registration.apple.com 443 TCP Alleen macOS Registratie van server voor materiaalcaching Ja
serverstatus.apple.com 443 TCP iOS, tvOS en macOS Bepaling van openbare IP-adressen van client voor materiaalcaching Ja

Apple Developer

Toegang tot de volgende hosts is vereist voor app-notarisatie en app-validatie.

App-notarisatie

Vanaf macOS 10.14.5 wordt software gecontroleerd op notarisatie voordat de software wordt uitgevoerd. Om deze controle succesvol te doorstaan, moet een Mac toegang hebben tot de servers die worden vermeld in het gedeelte 'Ensure Your Build Server Has Network Access' van Customizing the Notarization Workflow:

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
17.248.128.0/18 443 TCP Alleen macOS Ticketafgifte
17.250.64.0/18 443 TCP Alleen macOS Ticketafgifte
17.248.192.0/19 443 TCP Alleen macOS Ticketafgifte

App-validatie

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
*.appattest.apple.com 443 TCP iOS en macOS App-validatie, Touch ID en Face ID-authenticatie voor websites

Feedbackassistent

Feedbackassistent is een app die door ontwikkelaars en leden van de bètasoftwareprogramma's wordt gebruikt om feedback aan Apple door te geven. Deze app maakt gebruik van de volgende hosts:

Hosts Poort Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
fba.apple.com 443 TCP iOS, tvOS en macOS Wordt in Feedbackassistent gebruikt om feedback door te geven en te bekijken Ja
cssubmissions.apple.com 443 TCP iOS, tvOS en macOS Wordt in Feedbackassistent gebruikt om bestanden te uploaden Ja
bpapi.apple.com 443 TCP Alleen tvOS Biedt bètasoftware-updates Ja

Diagnostische informatie Apple

Apple apparaten kunnen via de volgende host diagnostische tests uitvoeren om zo eventuele hardwareproblemen te achterhalen:

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
diagassets.apple.com 443 TCP iOS, tvOS en macOS Wordt op Apple apparaten gebruikt om eventuele hardwareproblemen te achterhalen Ja

Domain Name System-omzetting

Voor het gebruik van versleutelde DNS-omzetting (Domain Name System) in iOS 14, tvOS 14 en macOS Big Sur wordt contact opgenomen met de volgende host:

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
doh.dns.apple.com 443 TCP iOS, tvOS en macOS Wordt gebruikt voor DNS over HTTPS (DoH) Ja

Validatie van certificaten

Apple apparaten moeten verbinding kunnen maken met de volgende hosts om de digitale certificaten te kunnen valideren die voor de bovengenoemde hosts worden gebruikt:

Hosts Poorten Protocol Besturingssysteem Beschrijving Ondersteunt proxy's
crl.apple.com 80 TCP iOS, tvOS en macOS Validatie van certificaten
crl.entrust.net 80 TCP iOS, tvOS en macOS Validatie van certificaten
crl3.digicert.com 80 TCP iOS, tvOS en macOS Validatie van certificaten
crl4.digicert.com 80 TCP iOS, tvOS en macOS Validatie van certificaten
ocsp.apple.com 80 TCP iOS, tvOS en macOS Validatie van certificaten
ocsp.digicert.com 80 TCP iOS, tvOS en macOS Validatie van certificaten
ocsp.entrust.net 80 TCP iOS, tvOS en macOS Validatie van certificaten
ocsp.verisign.net 80 TCP iOS, tvOS en macOS Validatie van certificaten
valid.apple.com 443 TCP iOS, tvOS en macOS Validatie van certificaten Ja

Firewalls

Als uw firewall het gebruik van hostnamen ondersteunt, kunt u waarschijnlijk de meeste van de hierboven vermelde Apple services gebruiken als u uitgaande verbindingen naar *.apple.com toestaat. Als uw firewall alleen met IP-adressen kan worden geconfigureerd, kunt u uitgaande verbindingen naar 17.0.0.0/8 toestaan. Het gehele 17.0.0.0/8-adresblok wordt aan Apple toegewezen.

HTTP-proxy

U kunt Apple services via een proxy gebruiken als u pakketcontrole en authenticatie voor verkeer naar en van de vermelde hosts uitschakelt. Zie hierboven voor uitzonderingen hierop. Pogingen om de inhoud te controleren van versleutelde communicatie tussen Apple apparaten en services leiden tot het verbreken van de verbinding, om de platformbeveiliging en privacy van de gebruiker te waarborgen.

Publicatiedatum: