Як використовувати продукти Apple у корпоративних мережах

Дізнайтеся, які хости й порти потрібні для використання продуктів Apple у корпоративних мережах.

Ця стаття призначена для адміністраторів мереж підприємств і навчальних закладів.

Продуктам Apple потрібен доступ до інтернет-хостів, указаних у цій статті, для роботи ряду служб. Ось як пристрої підключаються до хостів і працюють із проксі-серверами.

  • Мережеве підключення до хостів ініціює пристрій, а не хости, які обслуговує компанія Apple.
  • Служби Apple не підтримують жодне підключення, що використовує перехоплення HTTPS (перевірка SSL). Якщо трафік HTTPS проходить через мережевий проксі-сервер, вимкніть перехоплення HTTPS для хостів, указаних у статті.

Переконайтеся, що пристрої Apple мають доступ до хостів, указаних нижче.

Push-сповіщення Apple

Дізнайтеся, як усунути несправності підключення до служби Push-сповіщеннь Apple (APNs). Для пристроїв, які надсилають увесь трафік через проксі-сервер HTTP, можна налаштувати проксі-сервер вручну на пристрої або за допомогою профілю конфігурації. Пристрої з macOS версії 10.15.5 і новішої можуть підключатися до служби APNs, коли на них налаштовано використання проксі-сервера HTTP за допомогою файлу автоматичної конфігурації проксі-сервера (PAC-файл).

Як налаштувати пристрій

Під час налаштування пристрою або інсталяції, оновлення чи відновлення операційної системи може знадобитися доступ до наведених нижче хостів.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
albert.apple.com 443 TCP iOS, tvOS і macOS Активація пристрою Так
captive.apple.com 443, 80 TCP iOS, tvOS і macOS Перевірка інтернет-зв’язку для мереж, що використовують сторінки входу Так
gs.apple.com 443 TCP iOS, tvOS і macOS   Так
humb.apple.com 443 TCP iOS, tvOS і macOS   Так
static.ips.apple.com 443, 80 TCP iOS, tvOS і macOS   Так
sq-device.apple.com 443 TCP Лише iOS Активація eSIM
tbsc.apple.com 443 TCP iOS, tvOS і macOS   Так
time-ios.apple.com 123 UDP Лише iOS і tvOS Використовується пристроями для налаштування дати й часу
time.apple.com 123 UDP iOS, tvOS і macOS Використовується пристроями для налаштування дати й часу
time-macos.apple.com 123 UDP Лише macOS Використовується пристроями для налаштування дати й часу

Керування пристроями

Пристрої, зареєстровані на сервері керування мобільними пристроями (MDM), можуть потребувати мережевого доступу до наведених нижче хостів

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
*.push.apple.com 443, 80, 5223, 2197 TCP iOS, tvOS і macOS Push-сповіщення Докладніше про службу APNs і проксі-сервери.
gdmf.apple.com 443 TCP iOS, tvOS і macOS Використовується сервером MDM, щоб визначати, які оновлення ПЗ доступні для пристроїв, що використовують керовані оновлення ПЗ Так
deviceenrollment.apple.com 443 TCP iOS, tvOS і macOS Тимчасова реєстрація DEP
deviceservices-external.apple.com 443 TCP iOS, tvOS і macOS  
identity.apple.com 443 TCP iOS, tvOS і macOS Портал запиту сертифіката служби APNs Так
iprofiles.apple.com 443 TCP iOS, tvOS і macOS Профілі реєстрації хостів, що використовувалися під час реєстрації пристроїв у диспетчері Apple School Manager або Apple Business Manager через службу реєстрації пристроїв Так
mdmenrollment.apple.com 443 TCP iOS, tvOS і macOS Сервери MDM для вивантаження профілів реєстрації, що використовувалися клієнтами для реєстрації в диспетчері Apple School Manager або Apple Business Manager за допомогою служби реєстрації пристроїв, і для пошуку пристроїв та облікових записів Так
setup.icloud.com 443 TCP Лише iOS Потрібен для входу з керованим ідентифікатором Apple ID на спільному пристрої iPad
vpp.itunes.apple.com 443 TCP iOS, tvOS і macOS Сервери MDM для виконання операцій, пов’язаних із програмами й книгами, як-от призначення або відкликання ліцензії на пристрої Так

Apple School Manager і Apple Business Manager

Для повної функціональності диспетчерів Apple School Manager і Apple Business Manager потрібен мережевий доступ до наведених нижче хостів, а також хостів у розділі App Store.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
*.school.apple.com 443, 80 TCP - Служба Schoolwork Roster -
ws-ee-maidsvc.icloud.com 443, 80 TCP - Служба Schoolwork Roster -
*.business.apple.com. 443, 80 TCP - Apple Business Manager -
isu.apple.com 443, 80 TCP -   -

Оновлення ПЗ

Переконайтеся, що у вас є доступ до наведених нижче портів для оновлення macOS і програм із Mac App Store, а також для використання кешування контенту.

macOS, iOS і tvOS

Мережевий доступ до наведених нижче хостів потрібен для інсталяції, відновлення й оновлення macOS, iOS і tvOS.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
appldnld.apple.com 80 TCP Лише iOS Оновлення iOS
configuration.apple.com 443 TCP macOS Оновлення Rosetta 2 -
gg.apple.com 443, 80 TCP iOS, tvOS і macOS Оновлення iOS, tvOS і macOS Так
gnf-mdn.apple.com 443 TCP Лише macOS Оновлення macOS Так
gnf-mr.apple.com 443 TCP Лише macOS Оновлення macOS Так
gs.apple.com 443, 80 TCP Лише macOS Оновлення macOS Так
ig.apple.com 443 TCP Лише macOS Оновлення macOS Так
mesu.apple.com 443, 80 TCP iOS, tvOS і macOS Каталоги оновлень ПЗ хостів
ns.itunes.apple.com 443 TCP Лише iOS   Так
oscdn.apple.com 443, 80 TCP Лише macOS Відновлення macOS
osrecovery.apple.com 443, 80 TCP Лише macOS Відновлення macOS
skl.apple.com 443 TCP Лише macOS Оновлення macOS
swcdn.apple.com 80 TCP Лише macOS Оновлення macOS
swdist.apple.com 443 TCP Лише macOS Оновлення macOS
swdownload.apple.com 443, 80 TCP Лише macOS Оновлення macOS Так
swpost.apple.com 80 TCP Лише macOS Оновлення macOS Так
swscan.apple.com 443 TCP Лише macOS Оновлення macOS
updates-http.cdn-apple.com 80 TCP iOS, tvOS і macOS  
updates.cdn-apple.com 443 TCP iOS, tvOS і macOS  
xp.apple.com 443 TCP iOS, tvOS і macOS   Так

Магазин App Store

Доступ до наведених нижче хостів може бути потрібен для оновлення програм.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
*.itunes.apple.com 443, 80 TCP iOS, tvOS і macOS Збереження контенту, як-от програм, книг, музики Так
*.apps.apple.com 443 TCP iOS, tvOS і macOS Збереження контенту, як-от програм, книг, музики Так
*.mzstatic.com 443 TCP iOS, tvOS і macOS Збереження контенту, як-от програм, книг, музики
itunes.apple.com 443, 80 TCP iOS, tvOS і macOS   Так
ppq.apple.com 443 TCP iOS, tvOS і macOS Перевірка корпоративних програм

Кешування контенту

Комп’ютер Mac, що використовує кешування контенту macOS, потребує доступу до наведеного нижче хосту.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
lcdn-registration.apple.com 443 TCP Лише macOS Реєстрація сервера кешування контенту Так
serverstatus.apple.com 443 TCP iOS, tvOS і macOS Визначення загальнодоступної IP-адреси клієнта кешування контенту Так

Apple Developer

Для перевірки й підтвердження автентичності програм потрібен доступ до наведених нижче хостів.

Підтвердження автентичності програм

На пристроях із macOS 10.14.5 або новішої версії перед запуском ПЗ перевіряється для підтвердження автентичності. Щоб перевірка пройшла успішно, комп’ютеру Mac потрібен доступ до тих самих хостів, які вказано в розділі «Переконайтеся, що ваш вбудований сервер має мережевий доступ» у статті Налаштування сценарію підтвердження автентичності.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
17.248.128.0/18 443 TCP Лише macOS Доставка квитків
17.250.64.0/18 443 TCP Лише macOS Доставка квитків
17.248.192.0/19 443 TCP Лише macOS Доставка квитків

Перевірка програм

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
*.appattest.apple.com 443 TCP iOS і macOS Перевірка програм, автентифікація за допомогою Touch ID і Face ID для сайтів -

Feedback Assistant

Feedback Assistant — це програма, що використовується розробниками й учасниками програм тестування бета-версій ПЗ, щоб надавати відгуки компанії Apple. Вона використовує наведені нижче хости.

Хости Порт Протокол ОС Опис Підтримка проксі-серверів
fba.apple.com 443 TCP iOS, tvOS і macOS Використовується програмою Feedback Assistant для збереження й перегляду відгуків Так
cssubmissions.apple.com 443 TCP iOS, tvOS і macOS Використовується програмою Feedback Assistant для вивантаження файлів Так
bpapi.apple.com 443 TCP Лише tvOS Надає оновлення бета-версій ПЗ Так

Діагностика Apple

Пристрої Apple можуть отримувати доступ до наведеного нижче хосту, щоб виконувати діагностику для виявлення можливих проблем з обладнанням.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
diagassets.apple.com 443 TCP iOS, tvOS і macOS Використовується пристроями Apple для виявлення можливих проблем з обладнанням Так

Розпізнавання доменної системи іменування

Щоб застосовувати шифроване розпізнавання доменної системи іменування (DNS) в iOS 14, tvOS 14 і macOS Big Sur, використовується наведений нижче хост.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
doh.dns.apple.com 443 TCP iOS, tvOS і macOS Використовується для DNS на HTTPS (DoH) Так

Перевірка сертифікатів

Пристрої Apple повинні мати можливість підключення до наведених нижче хостів, щоб перевіряти цифрові сертифікати, що використовуються вказаними вище хостами.

Хости Порти Протокол ОС Опис Підтримка проксі-серверів
crl.apple.com 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
crl.entrust.net 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
crl3.digicert.com 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
crl4.digicert.com 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
ocsp.apple.com 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
ocsp.digicert.com 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
ocsp.entrust.net 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
ocsp.verisign.net 80 TCP iOS, tvOS і macOS Перевірка сертифікатів
valid.apple.com 443 TCP iOS, tvOS і macOS Перевірка сертифікатів Так

Брандмауери

Якщо ваш брандмауер підтримує використання імен хостів, ви зможете використовувати більшість указаних вище служб Apple, надавши дозвіл на вихідні підключення до *.apple.com. Якщо брандмауер можна налаштувати лише з IP-адресами, надайте дозвіл на вихідні підключення до 17.0.0.0/8. Увесь блок адресів 17.0.0.0/8 призначено компанії Apple.

Проксі-сервер HTTP

Щоб використовувати служби Apple через проксі-сервер, вимкніть перевірку й автентифікацію пакетів для трафіку з та до наведених нижче хостів. Вище наведено винятки до цього. Спроби перевірити контент на шифрованих підключеннях між пристроями й службами Apple призведуть до переривання підключення, щоб захистити безпеку платформи та приватність користувача.

Дата опублікування: