Usar produtos Apple em redes corporativas

Saiba quais hosts e portas são necessários para usar produtos Apple em redes corporativas.

Este artigo é destinado a administradores de redes corporativas e educacionais.

Os produtos Apple exigem acesso aos hosts de Internet especificados neste artigo para uma variedade de serviços. Veja como os dispositivos estabelecem conexão com hosts e trabalham com proxies:

  • As conexões de rede com os hosts indicados abaixo são iniciadas pelo dispositivo, não pelos hosts operados pela Apple.
  • Os serviços da Apple falharão em conexões que usam a Interceptação HTTPS (inspeção SSL). Se o tráfego HTTPS atravessar um proxy da web, desative a Intercepção HTTPS dos hosts informados neste artigo.

Verifique se os dispositivos Apple podem acessar os hosts indicados abaixo.

Notificações por push da Apple

Saiba como solucionar problemas de conexão com o Serviço de Notificação por Push da Apple (APNS). No caso de dispositivos que enviam todo o tráfego por meio de um proxy HTTP, você pode configurar o proxy manualmente no dispositivo ou com um perfil de configuração. Desde o macOS 10.15.5, os dispositivos podem estabelecer conexão com os APNs quando configurados para usar o proxy HTTP com um arquivo PAC (proxy auto-config).

Configuração do dispositivo

O acesso aos seguintes hosts pode ser necessário ao configurar o dispositivo ou ao instalar, atualizar ou restaurar o sistema operacional.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
albert.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Ativação do dispositivo Sim
captive.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS Validação de conexão com a Internet para redes que usam portais cativos Sim
gs.apple.com 443 TCP iOS, iPadOS, tvOS e macOS   Sim
humb.apple.com 443 TCP iOS, iPadOS, tvOS e macOS   Sim
static.ips.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS   Sim
sq-device.apple.com 443 TCP iOS e iPadOS Ativação de eSIM
tbsc.apple.com 443 TCP iOS, iPadOS, tvOS e macOS   Sim
time-ios.apple.com 123 UDP iOS, iPadOS e tvOS Usado pelos dispositivos para definir a data e a hora
time.apple.com 123 UDP iOS, iPadOS, tvOS e macOS Usado pelos dispositivos para definir a data e a hora
time-macos.apple.com 123 UDP Apenas macOS Usado pelos dispositivos para definir a data e a hora

Gerenciamento de dispositivo

O acesso de rede aos seguintes hosts pode ser necessário para dispositivos registrados no Gerenciamento de dispositivos móveis (MDM).

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, iPadOS, tvOS e macOS Notificações por push Saiba mais sobre o APNS e proxies.
deviceenrollment.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Registro provisório no DEP
deviceservices-external.apple.com 443 TCP iOS, iPadOS, tvOS e macOS  
gdmf.apple.com
443 TCP iOS, iPadOS, tvOS e macOS Usado por um servidor MDM para identificar quais atualizações de software estão disponíveis para dispositivos que usam atualizações de software gerenciadas Sim
identity.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Portal de solicitação de certificado do APNS Sim
iprofiles.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Hospeda os perfis de registro usados ao registrar dispositivos no Apple School Manager ou no Apple Business Manager pelo Registro de dispositivos Sim
mdmenrollment.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Servidores MDM para fazer upload de perfis de registro usados por clientes ao registrar dispositivos no Apple School Manager ou Apple Business Manager pelo Registro de dispositivos e para buscar dispositivos e contas Sim
setup.icloud.com 443 TCP iOS e iPadOS Necessário para iniciar sessão com um ID Apple gerenciado em um iPad compartilhado
vpp.itunes.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Servidores MDM para executar operações relacionadas a apps e livros, como atribuir ou revogar licenças em um dispositivo Sim

Apple School Manager e Apple Business Manager

O acesso à rede nos hosts informados abaixo, bem como nos hosts na seção da App Store, é necessário para o pleno funcionamento do Apple School Manager e Apple Business Manager.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
*.business.apple.com
443, 80 TCP Apple Business Manager
*.school.apple.com 443, 80 TCP Serviço de lista de Projeto Escolar
isu.apple.com
443, 80 TCP  
ws-ee-maidsvc.icloud.com 443, 80 TCP Serviço de lista de Projeto Escolar

Atualizações de software

Verifique se você consegue acessar as portas informadas abaixo para atualizar o macOS, apps da Mac App Store e usar cache de conteúdo.

macOS, iOS e tvOS

O acesso de rede aos seguintes nomes de host é necessário para instalar, restaurar e atualizar o macOS, iOS e tvOS.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
appldnld.apple.com 80 TCP iOS e iPadOS Atualizações do iOS
configuration.apple.com 443 TCP Apenas macOS Atualizações do Rosetta 2
gdmf.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Catálogo de atualização de software
gg.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS Atualizações do iOS, tvOS e macOS Sim
gnf-mdn.apple.com 443 TCP Apenas macOS Atualizações do macOS Sim
gnf-mr.apple.com 443 TCP Apenas macOS Atualizações do macOS Sim
gs.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS Atualizações do iOS, iPadOS, tvOS e macOS Sim
ig.apple.com 443 TCP Apenas macOS Atualizações do macOS Sim
mesu.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS Hospeda catálogos de atualização de software
ns.itunes.apple.com 443 TCP iOS e iPadOS   Sim
oscdn.apple.com 443, 80 TCP Apenas macOS Recuperação do macOS
osrecovery.apple.com 443, 80 TCP Apenas macOS Recuperação do macOS
skl.apple.com 443 TCP Apenas macOS Atualizações do macOS
swcdn.apple.com 80 TCP Apenas macOS Atualizações do macOS
swdist.apple.com 443 TCP Apenas macOS Atualizações do macOS
swdownload.apple.com 443, 80 TCP Apenas macOS Atualizações do macOS Sim
swpost.apple.com 80 TCP Apenas macOS Atualizações do macOS Sim
swscan.apple.com 443 TCP Apenas macOS Atualizações do macOS
updates-http.cdn-apple.com 80 TCP iOS, iPadOS, tvOS e macOS Downloads de atualização de software
updates.cdn-apple.com 443 TCP iOS, iPadOS, tvOS e macOS Downloads de atualização de software
xp.apple.com 443 TCP iOS, iPadOS, tvOS e macOS   Sim

App Store

Poderá ser necessário acessar os seguintes hosts para atualizar apps.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
*.itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS Armazenar conteúdo como apps, livros e músicas Sim
*.apps.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Armazenar conteúdo como apps, livros e músicas Sim
*.mzstatic.com 443 TCP iOS, iPadOS, tvOS e macOS Armazenar conteúdo como apps, livros e músicas
itunes.apple.com 443, 80 TCP iOS, iPadOS, tvOS e macOS   Sim
ppq.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Validação de app corporativo

Atualizações da operadora

Os dispositivos celulares devem ser capazes de se conectar aos seguintes hosts para instalar atualizações do pacote da operadora.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
appldnld.apple.com 80 TCP iOS e iPadOS Atualizações do pacote de operadoras celulares
appldnld.apple.com.edgesuite.net 80 TCP iOS e iPadOS Atualizações do pacote de operadoras celulares
itunes.com 80 TCP iOS e iPadOS Descoberta de atualização do pacote da operadora
itunes.apple.com 443 TCP iOS e iPadOS Descoberta de atualização do pacote da operadora
updates-http.cdn-apple.com 80 TCP iOS e iPadOS Atualizações do pacote de operadoras celulares
updates.cdn-apple.com 443 TCP iOS e iPadOS Atualizações do pacote de operadoras celulares

 

Cache de conteúdo

Um Mac que oferece cache de conteúdo deve ser capaz de se conectar aos seguintes hosts, bem como aos hosts relacionados neste documento que fornecem conteúdo da Apple, como atualizações de software, apps e conteúdo adicional.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
lcdn-registration.apple.com 443 TCP Apenas macOS Registro de servidor Sim
suconfig.apple.com 80 TCP Apenas macOS

Configuração
xp-cdn.apple.com 443 TCP Apenas macOS Denúncias Sim

Os clientes do cache de conteúdo do macOS devem ser capazes de se conectar aos seguintes hosts.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
lcdn-locator.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Serviço localizador de cache de conteúdo
serverstatus.apple.com
443 TCP Apenas macOS Determinação do IP público do cliente do cache de conteúdo

Desenvolvedor da Apple

O acesso aos seguintes hosts é necessário para autenticação e validação de app.

Autenticação de app

Desde o macOS 10.14.5, o software é verificado quanto a autenticação antes de ser executado. Para que essa verificação seja bem-sucedida, um Mac deve conseguir acessar os mesmos hosts informados na seção "Verifique se o servidor de compilação tem acesso à rede" do artigo Como personalizar o fluxo de trabalho de autenticação.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
17.248.128.0/18 443 TCP Apenas macOS Entrega de tíquetes
17.250.64.0/18 443 TCP Apenas macOS Entrega de tíquetes
17.248.192.0/19 443 TCP Apenas macOS Entrega de tíquetes

Validação de app

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
*.appattest.apple.com 443 TCP iOS, iPadOS e macOS Validação de app, autenticação do Touch ID e Face ID para sites

Feedback Assistant (Assistente de comentários)

O Feedback Assistant (Assistente de comentários) é um app usado por desenvolvedores e membros dos programas de software beta para enviar comentários à Apple. Ele usa os seguintes hosts:

Hosts Porta Protocolo Sistema operacional Descrição Compatível com proxies
bpapi.apple.com 443 TCP Apenas tvOS Fornece atualizações de software beta Sim
cssubmissions.apple.com
443 TCP iOS, iPadOS, tvOS e macOS Usado pelo Feedback Assistant (Assistente de comentários) para fazer upload de arquivos

Sim
fba.apple.com

443 TCP iOS, iPadOS, tvOS e macOS

Usado pelo Feedback Assistant (Assistente de comentários) para arquivar e visualizar comentários

Sim

Diagnóstico Apple

Os dispositivos Apple podem acessar o seguinte host para realizar diagnósticos usados para detectar um possível problema de hardware.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
diagassets.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Usado por dispositivos Apple para ajudar a detectar possíveis problemas de hardware Sim

Solução do sistema de nomes de domínio

Para usar a solução criptografada do sistema de nomes de domínio (DNS) no iOS 14, tvOS 14 e macOS Big Sur, ocorrerá o contato com o seguinte host.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
doh.dns.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Usado para DNS sobre HTTPS (DoH) Sim

Validação de certificado

Os dispositivos Apple devem conseguir estabelecer conexão com os seguintes hosts para validar os certificados digitais usados pelos hosts informados neste artigo.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
certs.apple.com 80, 443 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
crl.apple.com 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
crl.entrust.net 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
crl3.digicert.com 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
crl4.digicert.com 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
ocsp.apple.com 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
ocsp.digicert.cn 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado na China
ocsp.digicert.com 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
ocsp.entrust.net 80 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
ocsp2.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Validação de certificado
valid.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Validação de certificado Sim

 

ID Apple

Os dispositivos Apple devem ser capazes de se conectar aos seguintes hosts para autenticar um ID Apple. Isso é necessário para todos os serviços que usam um ID Apple, como iCloud, instalação de apps e Xcode.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
appleid.apple.com
443 TCP iOS, iPadOS, tvOS e macOS
Autenticação do ID Apple em Ajustes e Preferências do Sistema
Sim
appleid.cdn-apple.com
443 TCP iOS, iPadOS, tvOS e macOS
Autenticação do ID Apple em Ajustes e Preferências do Sistema
Sim
idmsa.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Autenticação do ID Apple Sim
gsa.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Autenticação do ID Apple Sim

iCloud

Além dos hosts do ID Apple relacionados acima, os dispositivos Apple devem poder se conectar a hosts nos seguintes domínios para usar os serviços do iCloud.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
*.apple-cloudkit.com 443 TCP iOS, iPadOS, tvOS e macOS Serviços do iCloud
*.apple-livephotoskit.com 443 TCP iOS, iPadOS, tvOS e macOS Serviços do iCloud
*.apzones.com 443 TCP iOS, iPadOS, tvOS e macOS Serviços iCloud na China
*.cdn-apple.com 443 TCP iOS, iPadOS, tvOS e macOS Serviços do iCloud
*.gc.apple.com
443 TCP iOS, iPadOS, tvOS e macOS
Serviços do iCloud
*.icloud.com 443 TCP iOS, iPadOS, tvOS e macOS Serviços do iCloud
*.icloud.com.cn
443 TCP iOS, iPadOS, tvOS e macOS
Serviços iCloud na China
*.icloud.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Serviços do iCloud
*.icloud-content.com 443 TCP iOS, iPadOS, tvOS e macOS Serviços do iCloud
*.iwork.apple.com 443 TCP iOS, iPadOS, tvOS e macOS Documentos do iWork

 

Conteúdo adicional

Os dispositivos Apple devem ser capazes de se conectar aos seguintes hosts para baixar conteúdo adicional. Alguns conteúdos adicionais também podem estar hospedados em redes de distribuição de conteúdo de terceiros.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
audiocontentdownload.apple.com 80, 443 TCP iOS, iPadOS e macOS Conteúdo do GarageBand para download
devimages-cdn.apple.com
80, 443 TCP Apenas macOS Componentes para download do Xcode
download.developer.apple.com 80, 443 TCP Apenas macOS Componentes para download do Xcode
playgrounds-assets-cdn.apple.com 443 TCP iPadOS e macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS e macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP Apenas tvOS
Protetores de tela da Apple TV

Firewalls

Se o firewall for compatível com o uso de nomes de host, você poderá usar a maioria dos serviços da Apple informados acima, permitindo conexões de saída com *.apple.com. Se for possível configurar o firewall somente com endereços IP, permita conexões de saída para 17.0.0.0/8. O bloco inteiro de endereço 17.0.0.0/8 é atribuído à Apple.

Proxy HTTP

Você poderá usar os serviços da Apple por meio de um proxy se desativar a inspeção e a autenticação de pacotes para o tráfego de e para os hosts informados. As exceções estão mencionadas acima. As tentativas de executar a inspeção de conteúdo nas comunicações criptografadas entre os dispositivos e serviços da Apple resultarão em queda de conexão para preservar a segurança da plataforma e a privacidade do usuário.

Data da publicação: