在企業網絡使用 Apple 產品

了解在企業網絡使用 Apple 產品時需要配合的主機和傳輸埠。

本文旨在供企業和教育機構網絡管理員參考。

Apple 產品需要連結到本文所列的互聯網主機,才能提供各種服務。以下說明裝置如何連接主機和配合代理伺服器運作:

  • 以下主機的網絡連線由裝置而非 Apple 操作的主機發起。
  • Apple 服務會拒絕任何採用 HTTPS 攔截 (SSL 檢查) 的連線。如果 HTTPS 流量橫越網頁代理伺服器,請為本文所列的主機停用 HTTPS 截擊功能。

請確保你的 Apple 裝置可取用下列主機。

Apple 推送通知

了解如何解決 Apple 推送通知服務 (APNs) 的連線問題。對於透過 HTTP 代理伺服器傳送所有流量的裝置,你可在裝置上以手動方式或使用設定描述檔設置代理伺服器。由 macOS 10.15.5 開始,以代理伺服器自動設定 (PAC) 檔案設定裝置來使用 HTTP 代理伺服器時,裝置便可連接到 APN。

裝置設定

設定裝置或者安裝、更新或還原操作系統時,你可能需要連結到以下主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
albert.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 裝置啟用
captive.apple.com 443, 80 TCP iOS、iPadOS、tvOS 和 macOS 為採用強制網絡門戶的網絡驗證互聯網連線。
gs.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
humb.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
static.ips.apple.com 443, 80 TCP iOS、iPadOS、tvOS 和 macOS  
sq-device.apple.com 443 TCP iOS 和 iPadOS eSIM 啟用
tbsc.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
time-ios.apple.com 123 UDP iOS、iPadOS 和 tvOS 讓裝置用於設定日期和時間
time.apple.com 123 UDP iOS、iPadOS、tvOS 和 macOS 讓裝置用於設定日期和時間
time-macos.apple.com 123 UDP 只限 macOS 讓裝置用於設定日期和時間

裝置管理

已登記「流動裝置管理」(MDM) 的裝置可能需要通過網絡連結到以下主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
*.push.apple.com 443, 80, 5223, 2197 TCP iOS、iPadOS、tvOS 和 macOS 推送通知 進一步了解 APNs 和代理伺服器。
deviceenrollment.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS DEP 臨時登記
deviceservices-external.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
gdmf.apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS 讓 MDM 伺服器用以找出採用管理式軟件更新的裝置有哪些可用的軟件更新。
identity.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS APNs 證書申請門戶網站。
iprofiles.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 裝置透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 時所用的主機登記描述檔
mdmenrollment.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS MDM 伺服器會上載透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 的用戶端所用的登記描述檔,以及尋找裝置和帳戶。
setup.icloud.com 443 TCP iOS 和 iPadOS 需要在共用的 iPad 上使用管理式 Apple ID 登入。
vpp.itunes.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS MDM 伺服器會執行「App 和書籍」相關操作,例如為裝置分配或撤銷授權。

Apple School Manager 及 Apple Business Manager

如要使用 Apple School Manager 和 Apple Business Manager 的完整功能,則需要通過網絡連結到以下主機及 App Store 部分中的各個主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
*.business.apple.com
443, 80 TCP - Apple Business Manager
*.school.apple.com 443, 80 TCP - Schoolwork Roster 服務
upload.appleschoolcontent.com 22 SSH - SFTP 上載
ws-ee-maidsvc.icloud.com 443, 80 TCP - Schoolwork Roster 服務

Apple Business Essentials 裝置管理

如要使用 Apple Business Essentials 裝置管理的完整功能,必須通過網絡連結到以下主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
axm-adm-enroll.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS DEP 註冊伺服器
axm-adm-mdm.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS MDM 伺服器
axm-adm-scep.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS SCEP 伺服器
axm-app.apple.com 443 TCP iOS、iPadOS 和 macOS Apple Business Essentials 用於檢視和管理 app 和裝置

軟件更新

確保你能取用以下傳輸埠,以更新 macOS、來自 Mac App Store 的 app 及使用內容快取

macOS、iOS、iPadOS、watchOS 和 tvOS

安裝、還原和更新 macOS、iOS、iPadOS、watchOS 及 tvOS 時,必須通過網絡連結到以下名稱的主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
appldnld.apple.com 80 TCP iOS、iPadOS 和 watchOS iOS、iPadOS 和 watchOS 更新
configuration.apple.com 443 TCP 只限 macOS Rosetta 2 更新
gdmf.apple.com 443 TCP iOS、iPadOS、tvOS、watchOS 和 macOS 軟件更新目錄
gg.apple.com 443, 80 TCP iOS、iPadOS、tvOS、watchOS 和 macOS iOS、iPadOS、tvOS、watchOS 和 macOS 更新
gnf-mdn.apple.com 443 TCP 只限 macOS macOS 更新
gnf-mr.apple.com 443 TCP 只限 macOS macOS 更新
gs.apple.com 443, 80 TCP iOS、iPadOS、tvOS、watchOS 和 macOS iOS、iPadOS、tvOS、watchOS 和 macOS 更新
ig.apple.com 443 TCP 只限 macOS macOS 更新
mesu.apple.com 443, 80 TCP iOS、iPadOS、tvOS、watchOS 和 macOS 主機軟件更新目錄
ns.itunes.apple.com 443 TCP iOS、iPadOS 和 watchOS  
oscdn.apple.com 443, 80 TCP 只限 macOS macOS 還原
osrecovery.apple.com 443, 80 TCP 只限 macOS macOS 還原
skl.apple.com 443 TCP 只限 macOS macOS 更新
swcdn.apple.com 80 TCP 只限 macOS macOS 更新
swdist.apple.com 443 TCP 只限 macOS macOS 更新
swdownload.apple.com 443, 80 TCP 只限 macOS macOS 更新
swscan.apple.com 443 TCP 只限 macOS macOS 更新
updates-http.cdn-apple.com 80 TCP iOS、iPadOS、tvOS 和 macOS 軟件更新下載項目
updates.cdn-apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 軟件更新下載項目
xp.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  

App Store

更新 app 時,可能需要連結到以下主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
*.itunes.apple.com 443, 80 TCP iOS、iPadOS、tvOS 和 macOS 商店內容,例如 app、書籍和音樂
*.apps.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 商店內容,例如 app、書籍和音樂
*.mzstatic.com 443 TCP iOS、iPadOS、tvOS 和 macOS 商店內容,例如 app、書籍和音樂
itunes.apple.com 443, 80 TCP iOS、iPadOS、tvOS 和 macOS  
ppq.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 驗證企業 App

網絡供應商更新項目

使用流動網絡的裝置必須能夠連結到以下主機,才能安裝網絡供應商套裝的更新項目。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
appldnld.apple.com 80 TCP iOS 和 iPadOS 流動網絡供應商套裝的更新項目
appldnld.apple.com.edgesuite.net 80 TCP iOS 和 iPadOS 流動網絡供應商套裝的更新項目
itunes.com 80 TCP iOS 和 iPadOS 搜尋網絡供應商套裝的更新項目
itunes.apple.com 443 TCP iOS 和 iPadOS 搜尋網絡供應商套裝的更新項目
updates-http.cdn-apple.com 80 TCP iOS 和 iPadOS 流動網絡供應商套裝的更新項目
updates.cdn-apple.com 443 TCP iOS 和 iPadOS 流動網絡供應商套裝的更新項目

 

內容快取

提供內容快取功能的 Mac 必須能夠連結到以下主機,以及本文所載提供 Apple 內容 (例如軟件更新項目、app 和其他內容) 的主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
lcdn-registration.apple.com 443 TCP 只限 macOS 伺服器註冊
suconfig.apple.com 80 TCP 只限 macOS

配置
xp-cdn.apple.com 443 TCP 只限 macOS 回報

macOS 內容快取的客戶端必須能夠連結到以下主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
lcdn-locator.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 內容快取定位服務
serverstatus.apple.com
443 TCP 只限 macOS 確定內容快取客戶端公共 IP

Apple Developer

App 公證及 app 驗證須連結到下列主機。

App 公證

由 macOS 10.14.5 開始,軟件運行前會先接受公證檢查。如果想順利完成檢查,Mac 必須能夠連結到「自訂公證工作流程」中「確保構建伺服器有網絡連線」一節所列的主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
17.248.128.0/18 443 TCP 只限 macOS 傳送工作單
17.250.64.0/18 443 TCP 只限 macOS 傳送工作單
17.248.192.0/19 443 TCP 只限 macOS 傳送工作單

App 驗證

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
*.appattest.apple.com 443 TCP iOS、iPadOS 和 macOS App 驗證、網站的 Touch ID 和 Face ID 身份驗證

意見輔助程式

「意見輔助程式」是開發人員和 Beta 軟件程式成員向 Apple 回報意見的 app。此 app 會使用以下主機:

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
bpapi.apple.com 443 TCP 只限 tvOS 提供 Beta 軟件更新
cssubmissions.apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS 以「意見輔助程式」上載檔案

fba.apple.com

443 TCP iOS、iPadOS、tvOS 和 macOS

以「意見輔助程式」提交及檢視意見

Apple Diagnostics

Apple 裝置或會連結到以下主機,以執行診斷並偵測潛在的硬件問題。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
diagassets.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 讓 Apple 裝置用以協助偵測可能的硬件問題

域名系統解析

為了在 iOS 14、tvOS 14 和 macOS Big Sur 中使用加密的網域名稱系統 (DNS) 解析,裝置將連結到以下主機。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
doh.dns.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 用於 HTTPS 的 DNS (DoH)

證書驗證

Apple 裝置必須能夠連結到以下主機,才能驗證本文所載的主機所用的數碼證書。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
certs.apple.com 80, 443 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
crl.apple.com 80 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
crl.entrust.net 80 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
crl3.digicert.com 80 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
crl4.digicert.com 80 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
ocsp.apple.com 80 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
ocsp.digicert.cn 80 TCP iOS、iPadOS、tvOS 和 macOS 中國大陸的證書驗證
ocsp.digicert.com 80 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
ocsp.entrust.net 80 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
ocsp2.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證
valid.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 證書驗證

 

Apple ID

Apple 裝置必須能夠連結到以下主機,才能認證 Apple ID。這項要求適用於所有使用 Apple ID 的服務,例如 iCloud、app 安裝程序和 Xcode。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
appleid.apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS
「設定」和「系統偏好設定」中的 Apple ID 認證
appleid.cdn-apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS
「設定」和「系統偏好設定」中的 Apple ID 認證
idmsa.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS Apple ID 認證
gsa.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS Apple ID 認證

iCloud

除了上文列出的 Apple ID 主機外,Apple 裝置亦必須能夠連結到以下網域中的主機,才能使用 iCloud 服務。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
*.apple-cloudkit.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.apple-livephotoskit.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.apzones.com 443 TCP iOS、iPadOS、tvOS 和 macOS 中國大陸的 iCloud 服務
*.cdn-apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.gc.apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS
iCloud 服務
*.icloud.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.icloud.com.cn
443 TCP iOS、iPadOS、tvOS 和 macOS
中國大陸的 iCloud 服務
*.icloud.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.icloud-content.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.iwork.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS iWork 文件
mask.icloud.com 443 UDP iOS、iPadOS、macOS iCloud 私密轉送
mask-h2.icloud.com 443 TCP iOS、iPadOS、macOS iCloud 私密轉送
mask-api.icloud.com 443 TCP iOS、iPadOS、macOS iCloud 私密轉送

 

其他內容

Apple 裝置必須能夠連結到以下主機,才能下載其他內容。某些內容亦可能寄存在第三方內容分發網絡上。

主機 傳輸埠 通訊協定 操作系統 說明 支援代理伺服器
audiocontentdownload.apple.com 80, 443 TCP iOS、iPadOS 和 macOS GarageBand 可供下載的內容
devimages-cdn.apple.com
80, 443 TCP 只限 macOS Xcode 可供下載的元件
download.developer.apple.com 80, 443 TCP 只限 macOS Xcode 可供下載的元件
playgrounds-assets-cdn.apple.com 443 TCP iPadOS 和 macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS 和 macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP 只限 tvOS
Apple TV 螢幕保護程式

防火牆

如果你的防火牆支援使用主機名稱,你或可透過允許輸出連線至 *.apple.com,使用上述大部分 Apple 服務。如果你的防火牆只能設定 IP 位址,則請允許輸出連線至 17.0.0.0/8。整個 17.0.0.0/8 位址區塊均已分配給 Apple。

HTTP 代理伺服器

如果你為所列主機的輸入和輸出流量停用封包檢查及認證,便可透過代理伺服器使用 Apple 服務。例外情況請見上文。為保障平台安全和使用者私隱,如有人嘗試檢查 Apple 裝置和服務之間的加密通訊內容,連線將會中斷。

內容分發網絡和 DNS 解析

本文所列的部分主機在 DNS 中可能存有 CNAME 記錄,而非 A 或 AAAA 記錄。在最終解析為 IP 地址之前,這些 CNAME 記錄可能會參照鏈中的其他 CNAME 記錄。DNS 解析可讓 Apple 向所有地區的使用者提供快速可靠的內容,而且對裝置和代理伺服器具有透明度。CNAME 記錄會隨時改變,因此 Apple 不會發佈這些 CNAME 記錄的列表。只要沒有封鎖 DNS 查詢並允許存取上述主機和網域,你應該無需將防火牆或代理伺服器設定為允許這些記錄。

發佈日期: