Usar produtos Apple em redes corporativas

Saiba quais hosts e portas são necessários para usar produtos Apple em redes corporativas.

Este artigo é destinado a administradores de redes corporativas e educacionais.

Os produtos Apple exigem acesso aos hosts de Internet especificados neste artigo para uma variedade de serviços. Veja como os dispositivos estabelecem conexão com hosts e trabalham com proxies:

  • As conexões de rede com os hosts indicados abaixo são iniciadas pelo dispositivo, não pelos hosts operados pela Apple.
  • Os serviços da Apple falharão em conexões que usam a interceptação HTTPS (inspeção SSL). Se o tráfego HTTPS atravessar um proxy da web, desative a Intercepção HTTPS dos hosts informados neste artigo.

Verifique se os seus dispositivos Apple podem acessar os hosts indicados abaixo.

Notificações por push da Apple

Saiba como solucionar problemas de conexão ao serviço de notificações por push da Apple (APNs). No caso de dispositivos que enviam todo o tráfego por meio de um proxy HTTP, você pode configurar o proxy manualmente no dispositivo ou com um perfil de configuração. As conexões com APNs falharão se os dispositivos estiverem configurados para usar o proxy HTTP com um arquivo PAC (proxy auto-config).

Configuração do dispositivo

O acesso aos seguintes hosts pode ser necessário ao configurar o dispositivo ou ao instalar, atualizar ou restaurar o sistema operacional.

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
albert.apple.com 443 TCP iOS, tvOS e macOS   Sim
captive.apple.com 443, 80 TCP iOS, tvOS e macOS Validação de conectividade com a Internet para redes que usam portais cativos Sim
gs.apple.com 443 TCP iOS, tvOS e macOS   Sim
humb.apple.com 443 TCP iOS, tvOS e macOS   Sim
static.ips.apple.com 443, 80 TCP iOS, tvOS e macOS   Sim
tbsc.apple.com 443 TCP Apenas macOS   Sim
time-ios.apple.com 123 UDP Apenas iOS e tvOS Usado pelos dispositivos para definir a data e a hora
time.apple.com 123 UDP iOS, tvOS e macOS Usado pelos dispositivos para definir a data e a hora
time-macos.apple.com 123 UDP Apenas macOS Usado pelos dispositivos para definir a data e a hora

Gerenciamento de dispositivo

O acesso de rede aos seguintes hosts pode ser necessário para dispositivos registrados no Gerenciamento de dispositivos móveis (MDM):

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS e macOS Notificações por push Saiba mais sobre APNs e proxies.
gdmf.apple.com 443 TCP iOS, tvOS e macOS Servidor MDM para identificar quais atualizações de software estão disponíveis para dispositivos que usam atualizações de software gerenciadas. Sim
deviceenrollment.apple.com 443 TCP iOS, tvOS e macOS Registro provisório no DEP.
deviceservices-external.apple.com 443 TCP iOS, tvOS e macOS  
identity.apple.com 443 TCP iOS, tvOS e macOS Portal de solicitação de certificado de APNs. Sim
iprofiles.apple.com 443 TCP iOS, tvOS e macOS Hospeda os perfis de registro usados ao registrar dispositivos no Apple School Manager ou no Apple Business Manager pelo Registro de dispositivos. Sim
mdmenrollment.apple.com 443 TCP iOS, tvOS e macOS Servidores MDM para fazer upload de perfis de registro usados por clientes ao registrar dispositivos no Apple School Manager ou Apple Business Manager pelo Registro de dispositivos e para buscar dispositivos e contas. Sim
vpp.itunes.apple.com 443 TCP iOS, tvOS e macOS Servidores MDM para executar operações relacionadas a apps e livros, como atribuir ou revogar licenças em um dispositivo. Sim

Atualizações de software

Verifique se você consegue acessar as portas informadas abaixo para atualizar o macOS, apps da Mac App Store e usar cache de conteúdo.

macOS, iOS e tvOS

O acesso de rede aos seguintes nomes de host é necessário para instalar, restaurar e atualizar o macOS, iOS e tvOS:

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
appldnld.apple.com 80 TCP Apenas iOS Atualizações do iOS
gg.apple.com 443, 80 TCP Apenas macOS Atualizações do macOS Sim
gnf-mdn.apple.com 443 TCP Apenas macOS Atualizações do macOS Sim
gnf-mr.apple.com 443 TCP Apenas macOS Atualizações do macOS Sim
gs.apple.com 443, 80 TCP Apenas macOS Atualizações do macOS Sim
ig.apple.com 443 TCP Apenas macOS Atualizações do macOS Sim
mesu.apple.com 443, 80 TCP iOS, tvOS e macOS Hospeda catálogos de atualização de software
ns.itunes.apple.com 443 TCP Apenas iOS   Sim
oscdn.apple.com 443, 80 TCP Apenas macOS Recuperação do macOS
osrecovery.apple.com 443, 80 TCP Apenas macOS Recuperação do macOS
skl.apple.com 443 TCP Apenas macOS Atualizações do macOS
swcdn.apple.com 80 TCP Apenas macOS Atualizações do macOS
swdist.apple.com 443 TCP Apenas macOS Atualizações do macOS
swdownload.apple.com 443, 80 TCP Apenas macOS Atualizações do macOS Sim
swpost.apple.com 80 TCP Apenas macOS Atualizações do macOS Sim
swscan.apple.com 443 TCP Apenas macOS Atualizações do macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS e macOS  
updates.apple.com 443 TCP iOS, tvOS e macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS e macOS  
xp.apple.com 443 TCP iOS, tvOS e macOS   Sim

App Store

Pode ser necessário acesso aos seguintes hosts para atualizar apps:

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
*.itunes.apple.com 443, 80 TCP iOS, tvOS e macOS Armazenar conteúdo como apps, livros e músicas Sim
*.apps.apple.com 443 TCP iOS, tvOS e macOS Armazenar conteúdo como apps, livros e músicas Sim
*.mzstatic.com 443 TCP iOS, tvOS e macOS Armazenar conteúdo como apps, livros e músicas
itunes.apple.com 443, 80 TCP iOS, tvOS e macOS   Sim
ppq.apple.com 443 TCP iOS, tvOS e macOS Validação de app corporativo

Cache de conteúdo

O acesso ao host abaixo é necessário para um Mac que usa cache de conteúdo do macOS:

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
Icdn-registration.apple.com 443 TCP Apenas macOS Registro do servidor de cache de conteúdo Sim

Notarização de app

Do macOS 10.14.5 em diante, o software é verificado quanto a notarização antes de ser executado. Para que essa verificação seja bem-sucedida, um Mac deve conseguir acessar os mesmos hosts informados na seção "Verifique se o servidor de compilação tem acesso à rede" do artigo Como personalizar o fluxo de trabalho de notarização:

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
17.248.128.0/18 443 TCP Apenas macOS Entrega de tíquetes
17.250.64.0/18 443 TCP Apenas macOS Entrega de tíquetes
17.248.192.0/19 443 TCP Apenas macOS Entrega de tíquetes

Validação de certificado

Os dispositivos Apple devem conseguir estabelecer conexão com os seguintes hosts para validar os certificados digitais usados pelos hosts informados acima:

Hosts Portas Protocolo Sistema operacional Descrição Compatível com proxies
crl.apple.com 80 TCP iOS, tvOS e macOS Validação de certificado
crl.entrust.net 80 TCP iOS, tvOS e macOS Validação de certificado
crl3.digicert.com 80 TCP iOS, tvOS e macOS Validação de certificado
crl4.digicert.com 80 TCP iOS, tvOS e macOS Validação de certificado
ocsp.apple.com 80 TCP iOS, tvOS e macOS Validação de certificado
ocsp.digicert.com 80 TCP iOS, tvOS e macOS Validação de certificado
ocsp.entrust.net 80 TCP iOS, tvOS e macOS Validação de certificado
ocsp.verisign.net 80 TCP iOS, tvOS e macOS Validação de certificado

Firewalls

Se o firewall for compatível com o uso de nomes de host, você poderá usar a maioria dos serviços da Apple informados acima, permitindo conexões de saída com *.apple.com. Se for possível configurar o firewall somente com endereços IP, permita conexões de saída para 17.0.0.0/8. O bloco inteiro de endereço 17.0.0.0/8 é atribuído à Apple.

Proxy HTTP

Você poderá usar os serviços da Apple por meio de um proxy se desativar a inspeção e a autenticação de pacotes para o tráfego de e para os hosts informados. As exceções estão mencionadas acima. As tentativas de executar a inspeção de conteúdo nas comunicações criptografadas entre os dispositivos e serviços da Apple resultarão em queda de conexão para preservar a segurança da plataforma e a privacidade do usuário.

Data da publicação: