Ця стаття призначена для адміністраторів мереж підприємств і навчальних закладів.
Продуктам Apple потрібен доступ до інтернет-хостів, указаних у цій статті, для роботи ряду служб. Ось як пристрої підключаються до хостів і працюють із проксі-серверами.
- Мережеве підключення до хостів ініціює пристрій, а не хости, які обслуговує компанія Apple.
- Служби Apple не підтримують жодне підключення, що використовує перехоплення HTTPS (перевірка SSL). Якщо трафік HTTPS проходить через мережевий проксі-сервер, вимкніть перехоплення HTTPS для хостів, указаних у статті.
Переконайтеся, що пристрої Apple мають доступ до хостів, указаних нижче.
Push-сповіщення Apple
Дізнайтеся, як усунути несправності підключення до служби Push-сповіщеннь Apple (APNs). Для пристроїв, які надсилають увесь трафік через проксі-сервер HTTP, можна налаштувати проксі-сервер вручну на пристрої або за допомогою профілю конфігурації. Пристрої з macOS версії 10.15.5 і новішої можуть підключатися до служби APNs, коли на них налаштовано використання проксі-сервера HTTP за допомогою файлу автоматичної конфігурації проксі-сервера (PAC-файл).
Як налаштувати пристрій
Під час налаштування пристрою або інсталяції, оновлення чи відновлення операційної системи може знадобитися доступ до наведених нижче хостів.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, tvOS і macOS | Активація пристрою | Так |
| captive.apple.com | 443, 80 | TCP | iOS, tvOS і macOS | Перевірка інтернет-зв’язку для мереж, що використовують сторінки входу | Так |
| gs.apple.com | 443 | TCP | iOS, tvOS і macOS | Так | |
| humb.apple.com | 443 | TCP | iOS, tvOS і macOS | Так | |
| static.ips.apple.com | 443, 80 | TCP | iOS, tvOS і macOS | Так | |
| sq-device.apple.com | 443 | TCP | Лише iOS | Активація eSIM | — |
| tbsc.apple.com | 443 | TCP | iOS, tvOS і macOS | Так | |
| time-ios.apple.com | 123 | UDP | Лише iOS і tvOS | Використовується пристроями для налаштування дати й часу | — |
| time.apple.com | 123 | UDP | iOS, tvOS і macOS | Використовується пристроями для налаштування дати й часу | — |
| time-macos.apple.com | 123 | UDP | Лише macOS | Використовується пристроями для налаштування дати й часу | — |
Керування пристроями
Пристрої, зареєстровані на сервері керування мобільними пристроями (MDM), можуть потребувати мережевого доступу до наведених нижче хостів
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, tvOS і macOS | Push-сповіщення | Докладніше про службу APNs і проксі-сервери. |
| gdmf.apple.com | 443 | TCP | iOS, tvOS і macOS | Використовується сервером MDM, щоб визначати, які оновлення ПЗ доступні для пристроїв, що використовують керовані оновлення ПЗ | Так |
| deviceenrollment.apple.com | 443 | TCP | iOS, tvOS і macOS | Тимчасова реєстрація DEP | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, tvOS і macOS | — | |
| identity.apple.com | 443 | TCP | iOS, tvOS і macOS | Портал запиту сертифіката служби APNs | Так |
| iprofiles.apple.com | 443 | TCP | iOS, tvOS і macOS | Профілі реєстрації хостів, що використовувалися під час реєстрації пристроїв у диспетчері Apple School Manager або Apple Business Manager через службу реєстрації пристроїв | Так |
| mdmenrollment.apple.com | 443 | TCP | iOS, tvOS і macOS | Сервери MDM для вивантаження профілів реєстрації, що використовувалися клієнтами для реєстрації в диспетчері Apple School Manager або Apple Business Manager за допомогою служби реєстрації пристроїв, і для пошуку пристроїв та облікових записів | Так |
| setup.icloud.com | 443 | TCP | Лише iOS | Потрібен для входу з керованим ідентифікатором Apple ID на спільному пристрої iPad | — |
| vpp.itunes.apple.com | 443 | TCP | iOS, tvOS і macOS | Сервери MDM для виконання операцій, пов’язаних із програмами й книгами, як-от призначення або відкликання ліцензії на пристрої | Так |
Apple School Manager і Apple Business Manager
Для повної функціональності диспетчерів Apple School Manager і Apple Business Manager потрібен мережевий доступ до наведених нижче хостів, а також хостів у розділі App Store.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
| *.school.apple.com | 443, 80 | TCP | - | Служба Schoolwork Roster | - |
| ws-ee-maidsvc.icloud.com | 443, 80 | TCP | - | Служба Schoolwork Roster | - |
| *.business.apple.com. | 443, 80 | TCP | - | Apple Business Manager | - |
| isu.apple.com | 443, 80 | TCP | - | - |
Оновлення ПЗ
Переконайтеся, що у вас є доступ до наведених нижче портів для оновлення macOS і програм із Mac App Store, а також для використання кешування контенту.
macOS, iOS і tvOS
Мережевий доступ до наведених нижче хостів потрібен для інсталяції, відновлення й оновлення macOS, iOS і tvOS.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | Лише iOS | Оновлення iOS | — |
| configuration.apple.com | 443 | TCP | macOS | Оновлення Rosetta 2 | - |
| gg.apple.com | 443, 80 | TCP | iOS, tvOS і macOS | Оновлення iOS, tvOS і macOS | Так |
| gnf-mdn.apple.com | 443 | TCP | Лише macOS | Оновлення macOS | Так |
| gnf-mr.apple.com | 443 | TCP | Лише macOS | Оновлення macOS | Так |
| gs.apple.com | 443, 80 | TCP | Лише macOS | Оновлення macOS | Так |
| ig.apple.com | 443 | TCP | Лише macOS | Оновлення macOS | Так |
| mesu.apple.com | 443, 80 | TCP | iOS, tvOS і macOS | Каталоги оновлень ПЗ хостів | — |
| ns.itunes.apple.com | 443 | TCP | Лише iOS | Так | |
| oscdn.apple.com | 443, 80 | TCP | Лише macOS | Відновлення macOS | — |
| osrecovery.apple.com | 443, 80 | TCP | Лише macOS | Відновлення macOS | — |
| skl.apple.com | 443 | TCP | Лише macOS | Оновлення macOS | — |
| swcdn.apple.com | 80 | TCP | Лише macOS | Оновлення macOS | — |
| swdist.apple.com | 443 | TCP | Лише macOS | Оновлення macOS | — |
| swdownload.apple.com | 443, 80 | TCP | Лише macOS | Оновлення macOS | Так |
| swpost.apple.com | 80 | TCP | Лише macOS | Оновлення macOS | Так |
| swscan.apple.com | 443 | TCP | Лише macOS | Оновлення macOS | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS, tvOS і macOS | — | |
| updates.cdn-apple.com | 443 | TCP | iOS, tvOS і macOS | — | |
| xp.apple.com | 443 | TCP | iOS, tvOS і macOS | Так |
Магазин App Store
Доступ до наведених нижче хостів може бути потрібен для оновлення програм.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, tvOS і macOS | Збереження контенту, як-от програм, книг, музики | Так |
| *.apps.apple.com | 443 | TCP | iOS, tvOS і macOS | Збереження контенту, як-от програм, книг, музики | Так |
| *.mzstatic.com | 443 | TCP | iOS, tvOS і macOS | Збереження контенту, як-от програм, книг, музики | — |
| itunes.apple.com | 443, 80 | TCP | iOS, tvOS і macOS | Так | |
| ppq.apple.com | 443 | TCP | iOS, tvOS і macOS | Перевірка корпоративних програм | — |
Кешування контенту
Комп’ютер Mac, що використовує кешування контенту macOS, потребує доступу до наведеного нижче хосту.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Лише macOS | Реєстрація сервера кешування контенту | Так |
| serverstatus.apple.com | 443 | TCP | iOS, tvOS і macOS | Визначення загальнодоступної IP-адреси клієнта кешування контенту | Так |
Apple Developer
Для перевірки й підтвердження автентичності програм потрібен доступ до наведених нижче хостів.
Підтвердження автентичності програм
На пристроях із macOS 10.14.5 або новішої версії перед запуском ПЗ перевіряється для підтвердження автентичності. Щоб перевірка пройшла успішно, комп’ютеру Mac потрібен доступ до тих самих хостів, які вказано в розділі «Переконайтеся, що ваш вбудований сервер має мережевий доступ» у статті Налаштування сценарію підтвердження автентичності.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Лише macOS | Доставка квитків | — |
| 17.250.64.0/18 | 443 | TCP | Лише macOS | Доставка квитків | — |
| 17.248.192.0/19 | 443 | TCP | Лише macOS | Доставка квитків | — |
Перевірка програм
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
| *.appattest.apple.com | 443 | TCP | iOS і macOS | Перевірка програм, автентифікація за допомогою Touch ID і Face ID для сайтів | - |
Feedback Assistant
Feedback Assistant — це програма, що використовується розробниками й учасниками програм тестування бета-версій ПЗ, щоб надавати відгуки компанії Apple. Вона використовує наведені нижче хости.
| Хости | Порт | Протокол | ОС | Опис | Підтримка проксі-серверів |
| fba.apple.com | 443 | TCP | iOS, tvOS і macOS | Використовується програмою Feedback Assistant для збереження й перегляду відгуків | Так |
| cssubmissions.apple.com | 443 | TCP | iOS, tvOS і macOS | Використовується програмою Feedback Assistant для вивантаження файлів | Так |
| bpapi.apple.com | 443 | TCP | Лише tvOS | Надає оновлення бета-версій ПЗ | Так |
Діагностика Apple
Пристрої Apple можуть отримувати доступ до наведеного нижче хосту, щоб виконувати діагностику для виявлення можливих проблем з обладнанням.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
| diagassets.apple.com | 443 | TCP | iOS, tvOS і macOS | Використовується пристроями Apple для виявлення можливих проблем з обладнанням | Так |
Розпізнавання доменної системи іменування
Щоб застосовувати шифроване розпізнавання доменної системи іменування (DNS) в iOS 14, tvOS 14 і macOS Big Sur, використовується наведений нижче хост.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
| doh.dns.apple.com | 443 | TCP | iOS, tvOS і macOS | Використовується для DNS на HTTPS (DoH) | Так |
Перевірка сертифікатів
Пристрої Apple повинні мати можливість підключення до наведених нижче хостів, щоб перевіряти цифрові сертифікати, що використовуються вказаними вище хостами.
| Хости | Порти | Протокол | ОС | Опис | Підтримка проксі-серверів |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| crl.entrust.net | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| crl3.digicert.com | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| crl4.digicert.com | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| ocsp.apple.com | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| ocsp.digicert.com | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| ocsp.entrust.net | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| ocsp.verisign.net | 80 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | — |
| valid.apple.com | 443 | TCP | iOS, tvOS і macOS | Перевірка сертифікатів | Так |
Брандмауери
Якщо ваш брандмауер підтримує використання імен хостів, ви зможете використовувати більшість указаних вище служб Apple, надавши дозвіл на вихідні підключення до *.apple.com. Якщо брандмауер можна налаштувати лише з IP-адресами, надайте дозвіл на вихідні підключення до 17.0.0.0/8. Увесь блок адресів 17.0.0.0/8 призначено компанії Apple.
Проксі-сервер HTTP
Щоб використовувати служби Apple через проксі-сервер, вимкніть перевірку й автентифікацію пакетів для трафіку з та до наведених нижче хостів. Вище наведено винятки до цього. Спроби перевірити контент на шифрованих підключеннях між пристроями й службами Apple призведуть до переривання підключення, щоб захистити безпеку платформи та приватність користувача.
- Перегляньте список портів TCP і UDP, що використовуються програмними продуктами Apple.
- Дізнайтеся, які порти використовує програма Profile Manager на сервері macOS Server.
- Дізнайтеся про підключення до хосту сервера macOS, iOS та iTunes і фонові процеси iTunes.
- Налаштуйте сценарій підтвердження автентичності.