Korzystanie z produktów Apple w sieciach korporacyjnych

Dowiedz się, które hosty i porty są wymagane, aby móc korzystać z produktów Apple w sieciach korporacyjnych.

Ten artykuł jest przeznaczony dla administratorów sieci w przedsiębiorstwach i placówkach edukacyjnych.

Produkty Apple wymagają dostępu do hostów internetowych wspomnianych w tym artykule, aby móc korzystać z różnych usług. Oto jak Twoje urządzenia łączą się z hostami i współpracują z serwerami proxy:

  • Połączenia sieciowe z hostami wymienionymi poniżej są inicjowane przez urządzenie, a nie przez hosty obsługiwane przez Apple.
  • Z usługami Apple nie można połączyć się, korzystając z przechwytywania HTTPS (kontrola SSL). Jeśli ruch HTTPS jest kierowany przez internetowy serwer proxy, wyłącz przechwytywanie HTTPS dla hostów wymienionych w tym artykule.

Upewnij się, że urządzenia Apple mają dostęp do hostów wymienionych poniżej.

Powiadomienia w trybie push Apple

Dowiedz się, jak rozwiązywać problemy z połączeniem z usługą Powiadomienia w trybie push Apple (APNS). W przypadku urządzeń, które przesyłają cały ruch przez serwer proxy HTTP, można skonfigurować serwer proxy ręcznie na urządzeniu lub za pomocą profilu konfiguracji. Począwszy od systemu macOS 10.15.5, urządzenia mogą się łączyć z serwerami APN, gdy są skonfigurowane do używania serwera proxy HTTP za pomocą pliku automatycznej konfiguracji serwera proxy (PAC).

Konfiguracja urządzenia

Dostęp do następujących hostów może być wymagany podczas konfigurowania urządzenia lub instalowania, uaktualniania lub odtwarzania systemu operacyjnego.

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
albert.apple.com 443 TCP iOS, tvOS i macOS Aktywacja urządzenia Tak
captive.apple.com 443, 80 TCP iOS, tvOS i macOS Sprawdzanie poprawności połączenia internetowego w przypadku sieci korzystających z portali dostępowych Tak
gs.apple.com 443 TCP iOS, tvOS i macOS   Tak
humb.apple.com 443 TCP iOS, tvOS i macOS   Tak
static.ips.apple.com 443, 80 TCP iOS, tvOS i macOS   Tak
sq-device.apple.com 443 TCP Tylko iOS Aktywacja eSIM
tbsc.apple.com 443 TCP iOS, tvOS i macOS   Tak
time-ios.apple.com 123 UDP Tylko iOS i tvOS Używany przez urządzenia do ustawiania daty i godziny
time.apple.com 123 UDP iOS, tvOS i macOS Używany przez urządzenia do ustawiania daty i godziny
time-macos.apple.com 123 UDP Tylko macOS Używany przez urządzenia do ustawiania daty i godziny

Zarządzanie urządzeniami

Dostęp sieciowy do następujących hostów może być wymagany dla urządzeń zarejestrowanych w usłudze Mobile Device Management (MDM):

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS i macOS Powiadomienia w trybie push Więcej informacji o serwerach APN i proxy
gdmf.apple.com 443 TCP iOS, tvOS i macOS Używany przez serwer MDM do ustalenia, które uaktualnienia oprogramowania są dostępne dla urządzeń korzystających z zarządzanych uaktualnień oprogramowania Tak
deviceenrollment.apple.com 443 TCP iOS, tvOS i macOS Wstępna rejestracja w ramach DEP
deviceservices-external.apple.com 443 TCP iOS, tvOS i macOS  
identity.apple.com 443 TCP iOS, tvOS i macOS Portal do obsługi żądań certyfikatów APN Tak
iprofiles.apple.com 443 TCP iOS, tvOS i macOS Obsługuje profile rejestracji używane do rejestrowania urządzeń w usługach Apple School Manager lub Apple Business Manager z wykorzystaniem funkcji Device Enrollment Tak
mdmenrollment.apple.com 443 TCP iOS, tvOS i macOS Serwery MDM do przesyłania profili rejestracji używanych przez klientów rejestrujących się za pomocą funkcji Device Enrollment w usługach Apple School Manager lub Apple Business Manager oraz do wyszukiwania urządzeń i kont Tak
setup.icloud.com 443 TCP Tylko iOS Wymagany do logowania się za pomocą zarządzanego konta Apple ID w trybie Wspólny iPad
vpp.itunes.apple.com 443 TCP iOS, tvOS i macOS Serwery MDM do wykonywania operacji związanych z aplikacjami i książkami, takich jak przypisywanie lub cofanie licencji na urządzeniu Tak

Apple School Manager i Apple Business Manager

Dostęp sieciowy do następujących hostów oraz hostów wymienionych w sekcji App Store jest wymagany do uzyskania pełnej funkcjonalności usług Apple School Manager i Apple Business Manager.

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
*.school.apple.com 443, 80 TCP - Usługa Schoolwork Roster -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Usługa Schoolwork Roster -
*.business.apple.com. 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

Uaktualnienie oprogramowania

Upewnij się, że masz dostęp do następujących portów do uaktualniania systemu macOS i aplikacji ze sklepu Mac App Store oraz korzystania z magazynu zawartości.

macOS, iOS i tvOS

Dostęp sieciowy do następujących nazw hostów jest wymagany do instalacji, odtwarzania i uaktualniania systemów macOS, iOS i tvOS:

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
appldnld.apple.com 80 TCP Tylko iOS Uaktualnienia systemu iOS
configuration.apple.com 443 TCP macOS Uaktualnienia Rosetty 2 -
gg.apple.com 443, 80 TCP iOS, tvOS i macOS iOS, tvOS oraz uaktualnienia systemu macOS Tak
gnf-mdn.apple.com 443 TCP Tylko macOS Uaktualnienia systemu macOS Tak
gnf-mr.apple.com 443 TCP Tylko macOS Uaktualnienia systemu macOS Tak
gs.apple.com 443, 80 TCP Tylko macOS Uaktualnienia systemu macOS Tak
ig.apple.com 443 TCP Tylko macOS Uaktualnienia systemu macOS Tak
mesu.apple.com 443, 80 TCP iOS, tvOS i macOS Hostowane katalogi uaktualnień oprogramowania
ns.itunes.apple.com 443 TCP Tylko iOS   Tak
oscdn.apple.com 443, 80 TCP Tylko macOS Odzyskiwanie systemu macOS
osrecovery.apple.com 443, 80 TCP Tylko macOS Odzyskiwanie systemu macOS
skl.apple.com 443 TCP Tylko macOS Uaktualnienia systemu macOS
swcdn.apple.com 80 TCP Tylko macOS Uaktualnienia systemu macOS
swdist.apple.com 443 TCP Tylko macOS Uaktualnienia systemu macOS
swdownload.apple.com 443, 80 TCP Tylko macOS Uaktualnienia systemu macOS Tak
swpost.apple.com 80 TCP Tylko macOS Uaktualnienia systemu macOS Tak
swscan.apple.com 443 TCP Tylko macOS Uaktualnienia systemu macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS i macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS i macOS  
xp.apple.com 443 TCP iOS, tvOS i macOS   Tak

App Store

Dostęp do następujących hostów może być wymagany do uaktualniania aplikacji:

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
*.itunes.apple.com 443, 80 TCP iOS, tvOS i macOS Przechowywanie zasobów takich jak aplikacje, książki i muzyka Tak
*.apps.apple.com 443 TCP iOS, tvOS i macOS Przechowywanie zasobów takich jak aplikacje, książki i muzyka Tak
*.mzstatic.com 443 TCP iOS, tvOS i macOS Przechowywanie zasobów takich jak aplikacje, książki i muzyka
itunes.apple.com 443, 80 TCP iOS, tvOS i macOS   Tak
ppq.apple.com 443 TCP iOS, tvOS i macOS Sprawdzanie poprawności aplikacji dla przedsiębiorstw

Magazynowanie zawartości

Dostęp do następującego hosta jest wymagany w przypadku komputera Mac korzystającego z magazynu zawartości w systemie macOS:

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
lcdn-registration.apple.com 443 TCP Tylko macOS Rejestracja na serwerze buforowania zawartości Tak
serverstatus.apple.com 443 TCP iOS, tvOS i macOS Określanie publicznego adresu IP klienta magazynu zawartości Tak

Apple Developer

Dostęp do następujących hostów jest wymagany do uwierzytelniania notarialnego i sprawdzania poprawności aplikacji.

Uwierzytelnienie notarialne aplikacji

Od systemu macOS 10.14.5 oprogramowanie jest sprawdzane pod kątem uwierzytelnienia notarialnego, zanim zostanie uruchomione. Aby ta kontrola zakończyła się powodzeniem, komputer Mac musi mieć dostęp do hostów wymienionych w sekcji Ensure Your Build Server Has Network Access (Zapewnianie serwerowi kompilacji dostępu do sieci) w artykule Customizing the Notarization Workflow (Dostosowywanie przepływu pracy uwierzytelniania notarialnego):

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
17.248.128.0/18 443 TCP Tylko macOS Dostarczanie biletów
17.250.64.0/18 443 TCP Tylko macOS Dostarczanie biletów
17.248.192.0/19 443 TCP Tylko macOS Dostarczanie biletów

Sprawdzanie poprawności aplikacji

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
*.appattest.apple.com 443 TCP iOS i macOS Sprawdzanie poprawności aplikacji, uwierzytelnianie Touch ID i Face ID dla stron internetowych -

Asystent opinii

Asystent opinii to aplikacja używana przez programistów i członków programów testowania oprogramowania w wersji beta w celu przekazywania opinii firmie Apple. Używa ona następujących hostów:

Hosty Port Protokół System operacyjny Opis Obsługiwane serwery proxy
fba.apple.com 443 TCP iOS, tvOS i macOS Używany przez Asystenta opinii do zapisywania i przeglądania opinii Tak
cssubmissions.apple.com 443 TCP iOS, tvOS i macOS Używany przez Asystenta opinii do przesyłania plików Tak
bpapi.apple.com 443 TCP Tylko tvOS Zapewnia uaktualnienia oprogramowania w wersji beta Tak

Diagnostyka Apple

Urządzenia Apple mogą uzyskiwać dostęp do następującego hosta w celu wykonania diagnostyki używanej do wykrywania możliwego problemu ze sprzętem:

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
diagassets.apple.com 443 TCP iOS, tvOS i macOS Używany przez urządzenia Apple do wykrywania potencjalnych problemów ze sprzętem Tak

Rozpoznawanie nazw DNS (Domain Name System)

Aby korzystać z funkcji rozpoznawania zaszyfrowanych nazw DNS (Domain Name System) w systemach iOS 14, tvOS 14 i macOS Big Sur, zostanie nawiązany kontakt z następującym hostem:

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
doh.dns.apple.com 443 TCP iOS, tvOS i macOS Używany w ramach funkcji DNS poprzez HTTPS (DoH) Tak

Weryfikacja certyfikatu

Urządzenia Apple muszą mieć możliwość połączenia się z następującymi hostami, aby sprawdzić poprawność certyfikatów cyfrowych używanych przez hosty wymienione powyżej:

Hosty Porty Protokół System operacyjny Opis Obsługiwane serwery proxy
crl.apple.com 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
crl.entrust.net 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
crl3.digicert.com 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
crl4.digicert.com 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
ocsp.apple.com 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
ocsp.digicert.com 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
ocsp.entrust.net 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
ocsp.verisign.net 80 TCP iOS, tvOS i macOS Weryfikacja certyfikatu
valid.apple.com 443 TCP iOS, tvOS i macOS Weryfikacja certyfikatu Tak

Zapory sieciowe

Jeśli zapora sieciowa obsługuje używanie nazw hostów, możesz korzystać z większości powyższych usług Apple, zezwalając na połączenia wychodzące do *.apple.com. Jeśli zaporę można skonfigurować tylko z adresami IP, zezwalaj na połączenia wychodzące do 17.0.0.0/8. Cały blok adresu 17.0.0.0/8 jest przypisany do Apple.

HTTP proxy

Z usług Apple można korzystać za pośrednictwem serwera proxy, jeśli wyłączysz kontrolę pakietów i uwierzytelnianie dla ruchu do i z wymienionych hostów. Wyjątki od tej reguły odnotowano powyżej. Próby przeprowadzenia kontroli zawartości szyfrowanej komunikacji między urządzeniami i usługami Apple spowodują przerwanie połączenia, co ma służyć zachowaniu bezpieczeństwa platformy i prywatności użytkownika.

Data publikacji: