在企业网络上使用 Apple 产品

了解在企业网络上使用 Apple 产品时需要访问哪些主机和端口。

本文适用于企业和教育机构的网络管理员。

Apple 产品需要访问本文列出的互联网主机,才能使用各种服务。下面描述了您的设备如何连接到主机并使用代理:

  • 设备(而不是由 Apple 运营的主机)向下面列出的主机发起网络连接。
  • Apple 服务将中断任何使用 HTTPS 拦截(SSL 检查)的连接。如果 HTTPS 流量遍历某个网页代理,请对本文列出的主机停用 HTTPS 拦截。

确保您的 Apple 设备可以访问下面列出的主机。

Apple 推送通知

了解如何对 Apple 推送通知服务 (APNS) 的连接问题进行故障诊断。对于通过 HTTP 代理发送所有流量的设备,您可以在设备上手动配置这个代理,也可以使用配置描述文件进行配置。如果设备配置为通过代理自动配置 (PAC) 文件来使用 HTTP 代理,则 APNS 连接将失败。

设备设置

在设置您的设备或者安装、更新或恢复操作系统时,可能需要访问以下主机。

主机 端口 协议 OS 描述 支持代理
albert.apple.com 443 TCP iOS、Apple TVOS 和 macOS  
captive.apple.com 443、80 TCP iOS、Apple TVOS 和 macOS 针对使用强制门户网站的网络进行互联网连接验证。
gs.apple.com 443 TCP iOS、Apple TVOS 和 macOS  
time-ios.apple.com 123 UDP 仅限 iOS 供设备用来设置日期和时间
time.apple.com 123 UDP iOS、Apple TVOS 和 macOS 供设备用来设置日期和时间
time-macos.apple.com 123 UDP 仅限 macOS 供设备用来设置日期和时间

设备管理

对于已注册移动设备管理 (MDM) 的设备,可能需要通过网络来访问以下主机:

主机 端口 协议 OS 描述 支持代理
*.push.apple.com 443、80、5223、2197 TCP iOS、Apple TVOS 和 macOS 推送通知 进一步了解 APNS 和代理。
gdmf.apple.com 443 TCP iOS、Apple TVOS 和 macOS MDM 服务器,用于识别使用被管理软件更新的设备有哪些可用的软件更新。
deviceenrollment.apple.com 443 TCP iOS、Apple TVOS 和 macOS DEP 暂时注册。
deviceservices-external.apple.com 443 TCP iOS、Apple TVOS 和 macOS  
identity.apple.com 443 TCP iOS、Apple TVOS 和 macOS APNS 证书请求门户。
iprofiles.apple.com 443 TCP iOS、Apple TVOS 和 macOS 当设备注册 Apple 校园教务管理或 Apple 商务管理时使用的主机注册描述文件
mdmenrollment.apple.com 443 TCP iOS、Apple TVOS 和 macOS MDM 服务器,用于上传通过 Apple 校园教务管理或 Apple 商务管理中的设备注册计划进行注册的客户端所使用的注册描述文件,以及查找设备和帐户。
vpp.itunes.apple.com 443 TCP iOS、Apple TVOS 和 macOS MDM 服务器,用于执行与“App 和图书”有关的操作,例如在设备上分配或撤消许可证。

软件更新

确保您可以访问以下用于更新 macOS、Mac App Store 中的应用以及使用内容缓存的端口。

macOS、iOS 和 Apple TVOS

安装、恢复以及更新 macOS、iOS 和 Apple TVOS 时需要通过网络访问以下主机名:

主机 端口 协议 OS 描述 支持代理
appldnld.apple.com 80 TCP 仅限 iOS iOS 更新
gg.apple.com 443、80 TCP 仅限 macOS macOS 更新
gnf-mdn.apple.com 443 TCP 仅限 macOS macOS 更新
gnf-mr.apple.com 443 TCP 仅限 macOS macOS 更新
gs.apple.com 443、80 TCP 仅限 macOS macOS 更新
ig.apple.com 443 TCP 仅限 macOS macOS 更新
mesu.apple.com 443、80 TCP iOS、Apple TVOS 和 macOS 主机软件更新目录
ns.itunes.apple.com 443 TCP 仅限 iOS  
oscdn.apple.com 443、80 TCP 仅限 macOS macOS 恢复
osrecovery.apple.com 443、80 TCP 仅限 macOS macOS 恢复
skl.apple.com 443 TCP 仅限 macOS macOS 更新
swcdn.apple.com 80 TCP 仅限 macOS macOS 更新
swdist.apple.com 443 TCP 仅限 macOS macOS 更新
swdownload.apple.com 443、80 TCP 仅限 macOS macOS 更新
swpost.apple.com 80 TCP 仅限 macOS macOS 更新
swscan.apple.com 443 TCP 仅限 macOS macOS 更新
updates-http.cdn-apple.com 80 TCP iOS、Apple TVOS 和 macOS  
updates.cdn-apple.com 443 TCP iOS、Apple TVOS 和 macOS  
xp.apple.com 443 TCP iOS、Apple TVOS 和 macOS  

App Store

更新应用时可能需要访问以下主机:

主机 端口 协议 OS 描述 支持代理
*.itunes.apple.com 443、80 TCP iOS、Apple TVOS 和 macOS 储存应用、图书和音乐等内容
*.apps.apple.com 443 TCP iOS、Apple TVOS 和 macOS 储存应用、图书和音乐等内容
*.mzstatic.com 443 TCP iOS、Apple TVOS 和 macOS 储存应用、图书和音乐等内容
itunes.apple.com 443、80 TCP iOS、Apple TVOS 和 macOS  
ppq.apple.com 443 TCP iOS、Apple TVOS 和 macOS 企业级应用验证

内容缓存

使用 macOS 内容缓存的 Mac 需要访问以下主机:

主机 端口 协议 OS 描述 支持代理
lcdn-registration.apple.com 443 TCP 仅限 macOS 内容缓存服务器注册

App 公证

从 macOS 10.14.5 开始,软件需完成公证检查,然后才能运行。要成功完成这项检查,Mac 必须能够访问“Customizing the Notarization Workflow”(自定公证工作流程)的“Ensure Your Build Server Has Network Access”(确保您的构建服务器可以访问网络)部分中列出的那些主机。

主机 端口 协议 OS 描述 支持代理
17.248.128.0/18 443 TCP 仅限 macOS 票据交付
17.250.64.0/18 443 TCP 仅限 macOS 票据交付
17.248.192.0/19 443 TCP 仅限 macOS 票据交付

证书验证

Apple 设备必须能够连接到以下主机,以便验证上面列出的主机所使用的数字证书:

主机 端口 协议 OS 描述 支持代理
crl.apple.com 80 TCP iOS、Apple TVOS 和 macOS 证书验证
crl.entrust.net 80 TCP iOS、Apple TVOS 和 macOS 证书验证
crl3.digicert.com 80 TCP iOS、Apple TVOS 和 macOS 证书验证
crl4.digicert.com 80 TCP iOS、Apple TVOS 和 macOS 证书验证
ocsp.apple.com 80 TCP iOS、Apple TVOS 和 macOS 证书验证
ocsp.digicert.com 80 TCP iOS、Apple TVOS 和 macOS 证书验证
ocsp.entrust.net 80 TCP iOS、Apple TVOS 和 macOS 证书验证
ocsp.verisign.net 80 TCP iOS、Apple TVOS 和 macOS 证书验证

防火墙

如果您的防火墙支持使用主机名,那么通过允许出站连接到 *.apple.com,您或许能够使用上面的大多数 Apple 服务。如果您的防火墙只能配置为使用 IP 地址,请允许出站连接到 17.0.0.0/8。整个 17.0.0.0/8 地址块已分配给 Apple。

HTTP 代理

如果您针对列出的主机收到和发出的流量停用数据包检查和鉴定,则可以通过代理使用 Apple 服务。这方面的例外情况已在上文中注明。尝试对 Apple 设备与服务之间的加密通信执行内容检查会导致连接中断,以保护平台安全性和用户隐私。

发布日期: