在企业网络上使用 Apple 产品
了解在企业网络上使用 Apple 产品时需要访问哪些主机和端口。
本文适用于企业和教育机构的网络管理员。
Apple 产品需要访问本文列出的互联网主机,才能使用各种服务。下面介绍了你的设备如何连接到主机并使用代理:
与下列主机之间的网络连接是由设备(而不是 Apple 运营的主机)发起的。
Apple 服务将中断任何使用 HTTPS 拦截(SSL 检查)的连接。如果 HTTPS 流量遍历某个网页代理,请对本文列出的主机停用 HTTPS 拦截。
确保你的 Apple 设备可以访问下面列出的主机。
Apple 推送通知
了解如何对 Apple 推送通知服务 (APNs) 的连接问题进行故障诊断。对于通过 HTTP 代理发送所有流量的设备,你可以在设备上手动配置这个代理,也可以使用移动设备管理 (MDM) 进行配置。如果将设备配置为通过代理自动配置 (PAC) 文件来使用 HTTP 代理,则设备可以连接到 APNs。
设备设置
在设置期间或者在安装、更新或恢复操作系统时,Apple 设备需要访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
albert.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 设备激活 | 是 |
captive.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 针对使用强制门户的网络进行互联网连接验证 | 是 |
gs.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
| 是 |
humb.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
| 是 |
static.ips.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
| 是 |
sq-device.apple.com | 443 | TCP | iOS 和 iPadOS | eSIM 激活 | — |
tbsc.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
| 是 |
time-ios.apple.com | 123 | UDP | iOS、iPadOS 和 Apple tvOS | 供设备用来设置日期和时间 | — |
time.apple.com | 123 | UDP | iOS、iPadOS、Apple tvOS 和 macOS | 供设备用来设置日期和时间 | — |
time-macos.apple.com | 123 | UDP | 仅限 macOS | 供设备用来设置日期和时间 | — |
设备管理
已在 MDM 中注册的 Apple 设备需要访问以下主机和域。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.push.apple.com | 443、80、5223、2197 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 推送通知 | |
deviceenrollment.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | DEP 暂时注册 | — |
deviceservices-external.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
| — |
gdmf.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供 MDM 服务器用来识别使用“被管理的软件更新”的设备有哪些可用的软件更新 | 是 |
identity.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | APNs 证书请求门户 | 是 |
iprofiles.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 托管当设备通过设备注册过程在 Apple 校园教务管理或 Apple 商务管理中注册时使用的注册描述文件 | 是 |
mdmenrollment.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 当客户端通过设备注册过程在 Apple 校园教务管理或 Apple 商务管理中注册时,供 MDM 服务器用来上传客户端使用的注册描述文件,还可用来查找设备和帐户 | 是 |
setup.icloud.com | 443 | TCP | iOS 和 iPadOS | 需要在共享 iPad 上使用管理式 Apple ID 登录 | — |
vpp.itunes.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供 MDM 服务器用来执行与“App 和图书”有关的操作,例如在设备上分配或撤销许可证 | 是 |
Apple 商务管理和 Apple 校园教务管理
管理员和管理人员需要访问以下主机和域,才能管理 Apple 商务管理和 Apple 校园教务管理。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.business.apple.com | 443、80 | TCP | - | Apple 商务管理 | — |
*.school.apple.com | 443、80 | TCP | - | Apple 校园教务管理 | — |
appleid.cdn-apple.com | 443 | TCP | - | 登录认证 | 是 |
idmsa.apple.com | 443 | TCP | - | 登录认证 | 是 |
*.itunes.apple.com | 443、80 | TCP | - | App 和图书 | 是 |
*.mzstatic.com | 443 | TCP | - | App 和图书 | — |
api.ent.apple.com | 443 | TCP | - | App 和图书 (ABM) | — |
api.edu.apple.com | 443 | TCP | - | App 和图书 (ASM) | — |
statici.icloud.com | 443 | TCP | - | 设备图标 | — |
*.vertexsmb.com | 443 | TCP | - | 验证免税状态 | — |
www.apple.com.cn | 443 | TCP | - | 某些语言的字体 | — |
upload.appleschoolcontent.com | 22 | SSH | - | SFTP 上传 | 是 |
使用管理式 Apple ID 的员工和学生需要访问以下主机,才能在编写信息或共享文稿时查询所属企业或学校中的其他人。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
ws-ee-maidsvc.icloud.com | 443、80 | TCP | iOS、iPadOS 和 macOS | 用户查询服务 | — |
Apple 商务必备设备管理
由 Apple 商务必备管理的管理员和设备需要访问以下主机和域,以及上文列出的用于 Apple 商务管理的主机和域。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
axm-adm-enroll.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | DEP 注册服务器 | — |
axm-adm-mdm.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | MDM 服务器 | — |
axm-adm-scep.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | SCEP 服务器 | — |
axm-app.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 查看和管理 App 及设备 | — |
*.apple-mapkit.com | 443 | TCP | iOS 和 iPadOS | 在受管理丢失模式下查看设备的位置 | — |
icons.axm-usercontent-apple.com | 443 | TCP | macOS | 自定软件包图标 | — |
“课堂”和“课业”
使用“课堂”或“课业”App 的学生和教师设备需要访问以下主机,以及在下文的 Apple ID 和 iCloud 部分中列出的主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
s.mzstatic.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”设备验证 | — |
play.itunes.apple.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”设备验证 | — |
ws-ee-maidsvc.icloud.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”班级花名册服务 | — |
ws.school.apple.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”班级花名册服务 | — |
pg-bootstrap.itunes.apple.com | 443 | TCP | iPadOS | “课业”作业服务 | — |
cls-iosclient.itunes.apple.com | 443 | TCP | iPadOS | “课业”作业服务 | — |
cls-ingest.itunes.apple.com | 443 | TCP | iPadOS | “课业”作业服务 | — |
软件更新
为了更新 macOS、Mac App Store 中的 App 的端口以及使用内容缓存,确保你可以访问以下端口。
macOS、iOS、iPadOS、watchOS 和 Apple tvOS
在安装、恢复和更新 iOS、iPadOS、macOS、watchOS 及 Apple tvOS 时,Apple 设备需要访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
appldnld.apple.com | 80 | TCP | iOS、iPadOS 和 watchOS | iOS、iPadOS 和 watchOS 更新 | — |
configuration.apple.com | 443 | TCP | 仅限 macOS | Rosetta 2 更新 | — |
gdmf.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | 软件更新目录 | — |
gg.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | iOS、iPadOS、Apple tvOS、watchOS 和 macOS 更新 | 是 |
gs.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | iOS、iPadOS、Apple tvOS、watchOS 和 macOS 更新 | 是 |
ig.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
mesu.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | 托管软件更新目录 | — |
ns.itunes.apple.com | 443 | TCP | iOS、iPadOS 和 watchOS |
| 是 |
oscdn.apple.com | 443、80 | TCP | 仅限 macOS | macOS 恢复 | — |
osrecovery.apple.com | 443、80 | TCP | 仅限 macOS | macOS 恢复 | — |
skl.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
swcdn.apple.com | 443, 80 | TCP | 仅限 macOS | macOS 更新 | — |
swdist.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
swdownload.apple.com | 443、80 | TCP | 仅限 macOS | macOS 更新 | 是 |
swscan.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
updates-http.cdn-apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 软件更新下载 | — |
updates.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 软件更新下载 | — |
xp.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
| 是 |
App Store
Apple 设备需要访问以下主机和域,才能安装和更新 App。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.itunes.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 商店内容,如 App、图书和音乐 | 是 |
*.apps.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 商店内容,如 App、图书和音乐 | 是 |
*.mzstatic.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 商店内容,如 App、图书和音乐 | — |
itunes.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
| 是 |
ppq.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 企业 App 验证 | — |
运营商更新
蜂窝网络设备需要访问以下主机,才能安装运营商软件包更新。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
appldnld.apple.com | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
appldnld.apple.com.edgesuite.net | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
itunes.com | 80 | TCP | iOS 和 iPadOS | 运营商捆绑包更新发现 | — |
itunes.apple.com | 443 | TCP | iOS 和 iPadOS | 运营商捆绑包更新发现 | — |
updates-http.cdn-apple.com | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
updates.cdn-apple.com | 443 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
内容缓存
提供内容缓存的 Mac 需要访问以下主机,以及这篇文稿中列出的提供 Apple 内容(例如软件更新、App 和其他内容)的主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
lcdn-registration.apple.com | 443 | TCP | 仅限 macOS | 服务器注册 | 是 |
suconfig.apple.com | 80 | TCP | 仅限 macOS | 配置 | — |
xp-cdn.apple.com | 443 | TCP | 仅限 macOS | 举报 | 是 |
macOS 内容缓存的客户端需要访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
lcdn-locator.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 内容缓存查找器服务 | — |
serverstatus.apple.com | 443 | TCP | 仅限 macOS | 内容缓存客户端公共 IP 确定 | — |
App 功能
Apple 设备可能需要访问以下主机,才能使用某些 App 功能。
App 需要经过 App 公证,才能在 macOS 10.14 及更高版本上运行。门禁需要访问 Apple 服务器,才能验证公证,除非 App 开发者已经将公证票据附加到 App。App 开发者可以进一步了解如何自定公证工作流程。
App 验证用于证明 App 的有效实例正在运行。App 开发者可以进一步了解如何建立 App 的完整性。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
api.apple-cloudkit.com | 443 | TCP | macOS | App 公证 | — |
*.appattest.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | App 验证,以及网站触控 ID 和面容 ID 认证 | — |
Beta 版更新
Apple 设备需要访问以下主机,才能注册以获取 Beta 版更新,并使用“反馈助理”App 来报告反馈。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
bpapi.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | Beta 版更新注册 | 是 |
cssubmissions.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供“反馈助理”用来上传文件 | 是 |
fba.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供“反馈助理”用来归档和查看反馈 | 是 |
Apple 诊断
为了运行用于检测潜在硬件问题的诊断程序,Apple 设备可能会访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
diagassets.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供 Apple 设备用来协助检测可能的硬件问题 | 是 |
域名系统解析
iOS 14、iPadOS 14、Apple tvOS 14 和 macOS Big Sur 及更高版本中的加密域名系统 (DNS) 解析使用以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
doh.dns.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 用于 DNS over HTTPS (DoH) | 是 |
证书验证
为了验证这篇文章列出的主机所使用的数字证书,Apple 设备必须能够连接到以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
certs.apple.com | 80、443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
crl.apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
crl.entrust.net | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
crl3.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
crl4.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
ocsp.apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
ocsp.digicert.cn | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 中国大陆的证书验证 | — |
ocsp.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
ocsp.entrust.net | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
ocsp2.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
valid.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | 是 |
Apple ID
Apple 设备必须能够连接到以下主机才能验证 Apple ID。所有使用 Apple ID 的服务(如 iCloud、App 安装和 Xcode)都需要满足这个条件。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
appleid.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | “设置”和“系统偏好设置”中的 Apple ID 认证 | 是 |
appleid.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | “设置”和“系统偏好设置”中的 Apple ID 认证 | 是 |
idmsa.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | Apple ID 认证 | 是 |
gsa.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | Apple ID 认证 | 是 |
iCloud
除了上面列出的 Apple ID 主机外,Apple 设备必须能够连接到以下域的主机才能使用 iCloud 服务。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.apple-cloudkit.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
*.apple-livephotoskit.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
*.apzones.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 中国大陆的 iCloud 服务 | — |
*.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
*.gc.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
*.icloud.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
*.icloud.com.cn | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 中国大陆的 iCloud 服务 | — |
*.icloud.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
*.icloud-content.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
*.iwork.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iWork 文稿 | — |
mask.icloud.com | 443 | UDP | iOS、iPadOS、macOS | iCloud 专用代理 | — |
mask-h2.icloud.com | 443 | TCP | iOS、iPadOS、macOS | iCloud 专用代理 | — |
mask-api.icloud.com | 443 | TCP | iOS、iPadOS、macOS | iCloud 专用代理 | 是 |
Siri 和搜索
Apple 设备必须能够连接到以下主机,才能处理 Siri 请求,包括听写和在 Apple App 中搜索。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
guzzoni.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | Siri 和听写请求 | — |
*.smoot.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 搜索服务,包括 Siri、聚焦、查询、Safari 浏览器、新闻、信息和音乐 | — |
Associated Domains
Apple 设备必须能够连接到以下主机,才能在 iOS 14、iPadOS 14 和 macOS Big Sur 及更高版本中使用关联域。关联域是通用链接的基础,通用链接功能可让 App 呈现网站的全部或部分内容。接力、轻 App 和单点登录扩展都使用关联域。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
app-site-association.cdn-apple.com | 443 | TCP、UDP | iOS、iPadOS 和 macOS | 通用链接的关联域 | — |
app-site-association.networking.apple | 443 | TCP、UDP | iOS、iPadOS 和 macOS | 通用链接的关联域 | — |
Tap to Pay on iPhone
要通过收款 App 接受免接触式支付,iPhone 必须能够与以下主机通信。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
pos-device.apple.com | 443 | TCP、UDP | iOS | Tap to Pay on iPhone | 是 |
humb.apple.com | 443 | TCP | iOS | Tap to Pay on iPhone 设置 | 是 |
phonesubmissions.apple.com | 443 | TCP | iOS | 可选的分析共享 | 是 |
附加内容
Apple 设备必须能够连接到以下主机才能下载附加内容。一些附加内容也可能托管在第三方内容分发网络上。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
audiocontentdownload.apple.com | 80、443 | TCP | iOS、iPadOS 和 macOS | “库乐队”可下载的内容 | — |
devimages-cdn.apple.com | 80、443 | TCP | 仅限 macOS | Xcode 可下载的组件 | — |
download.developer.apple.com | 80、443 | TCP | 仅限 macOS | Xcode 可下载的组件 | — |
playgrounds-assets-cdn.apple.com | 443 | TCP | iPadOS 和 macOS | Swift Playgrounds | — |
playgrounds-cdn.apple.com | 443 | TCP | iPadOS 和 macOS | Swift Playgrounds | — |
sylvan.apple.com | 80、443 | TCP | 仅限 Apple tvOS | Apple TV 屏幕保护程序 | — |
防火墙
如果你的防火墙支持使用主机名称,那么通过允许出站连接到 *.apple.com,你或许能够使用以上的大多数 Apple 服务。如果你的防火墙只能使用 IP 地址进行配置,请允许出站连接到 17.0.0.0/8。整个 17.0.0.0/8 地址块都已分配给 Apple。
HTTP 代理
如果你针对列出的主机收到和发出的流量停用数据包检查和认证,则可以通过代理来使用 Apple 服务。例外情况已在上文中注明。尝试对 Apple 设备与服务之间的加密通信执行内容检查会导致连接中断,这是为了保护平台安全和用户隐私。
内容分发网络和 DNS 解析
本文中列出的一些主机可能在 DNS 中拥有 CNAME 记录,而不是 A 或 AAAA 记录。在最终解析为 IP 地址之前,这些 CNAME 记录可能会引用链中的其他 CNAME 记录。通过这种 DNS 解析,Apple 能够向所有地区的用户提供快速可靠的内容分发,并对设备和代理服务器保持透明。Apple 不会发布这些 CNAME 记录的列表,因为这些记录可能会发生变化。只要你不阻止 DNS 查找并允许访问上述主机和域,你就不需要配置防火墙或代理服务器来允许这些请求。
近期修订记录
2023 年 7 月:
移除了 APN 连接对于 macOS 版本的要求
进一步了解
查看 Apple 软件产品使用的 TCP 和 UDP 端口列表。
