本文旨在供企業和教育機構網絡管理員參考。
Apple 產品需要連接到本文所列的互聯網主機,方能提供各種服務。以下說明裝置如何連接到主機和配合代理伺服器運作:
- 以下連接到主機的網絡連線由裝置而非 Apple 操作的主機發起。
- Apple 服務會拒絕任何採用 HTTPS 攔截 (SSL 檢查) 的連線。如果 HTTPS 流量穿越網頁代理伺服器,請為本文所列的主機停用 HTTPS 攔截功能。
請確保你的 Apple 裝置可連結到下列主機。
Apple 推送通知
了解如何解決 Apple 推送通知服務 (APNs) 的連線問題。對於透過 HTTP 代理伺服器傳送所有流量的裝置,你可在裝置上以手動方式或使用設定描述檔設置代理伺服器。由 macOS 10.15.5 開始,以代理伺服器自動設定 (PAC) 檔案設定裝置來使用 HTTP 代理伺服器時,裝置便可連接到 APN。
裝置設定
設定裝置或者安裝、更新或還原操作系統時,你可能需要連結到以下主機。
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 裝置啟用 | 是 |
| captive.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 為採用強制網絡門戶的網絡驗證互聯網連線。 | 是 |
| gs.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 | |
| humb.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 | |
| static.ips.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 是 | |
| sq-device.apple.com | 443 | TCP | 只限 iOS | eSIM 啟用 | — |
| tbsc.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 | |
| time-ios.apple.com | 123 | UDP | 僅限 iOS 和 tvOS | 讓裝置用於設定日期和時間 | — |
| time.apple.com | 123 | UDP | iOS、tvOS 和 macOS | 讓裝置用於設定日期和時間 | — |
| time-macos.apple.com | 123 | UDP | 只限 macOS | 讓裝置用於設定日期和時間 | — |
裝置管理
已登記「流動裝置管理」(MDM) 的裝置可能需要通過網絡連結到以下主機:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS、tvOS 和 macOS | 推送通知 | 進一步了解 APNs 和代理伺服器。 |
| gdmf.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 讓 MDM 伺服器用以找出採用管理式軟件更新的裝置有哪些可用的軟件更新。 | 是 |
| deviceenrollment.apple.com | 443 | TCP | iOS、tvOS 和 macOS | DEP 臨時登記 | — |
| deviceservices-external.apple.com | 443 | TCP | iOS、tvOS 和 macOS | — | |
| identity.apple.com | 443 | TCP | iOS、tvOS 和 macOS | APNs 證書申請門戶網站。 | 是 |
| iprofiles.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 裝置透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 時所用的主機登記描述檔 | 是 |
| mdmenrollment.apple.com | 443 | TCP | iOS、tvOS 和 macOS | MDM 伺服器會上載透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 的用戶端所用的登記描述檔,以及尋找裝置和帳戶。 | 是 |
| setup.icloud.com | 443 | TCP | 只限 iOS | 需要在共用的 iPad 上使用管理式 Apple ID 登入。 | — |
| vpp.itunes.apple.com | 443 | TCP | iOS、tvOS 和 macOS | MDM 伺服器會執行「App 和書籍」相關操作,例如為裝置分配或撤銷授權。 | 是 |
Apple School Manager 及 Apple Business Manager
如要使用 Apple School Manager 和 Apple Business Manager 的完整功能,則需要通過網絡連結到以下主機及 App Store 部分中的各個主機。
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
| *.school.apple.com | 443, 80 | TCP | - | Schoolwork Roster 服務 | - |
| ws-ee-maidsvc.icloud.com | 443, 80 | TCP | - | Schoolwork Roster 服務 | - |
| *.business.apple.com | 443, 80 | TCP | - | Apple Business Manager | - |
| isu.apple.com | 443, 80 | TCP | - | - |
軟件更新
確保你能連結到以下傳輸埠,以更新 macOS、來自 Mac App Store 的 app 及使用內容快取。
macOS、iOS 和 tvOS
安裝、還原和更新 macOS、iOS 及 tvOS 時,必須通過網絡連結到以下主機名稱:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | 只限 iOS | iOS 更新 | — |
| configuration.apple.com | 443 | TCP | macOS | Rosetta 2 更新 | - |
| gg.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | iOS、tvOS 和 macOS 更新 | 是 |
| gnf-mdn.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | 是 |
| gnf-mr.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | 是 |
| gs.apple.com | 443, 80 | TCP | 只限 macOS | macOS 更新 | 是 |
| ig.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | 是 |
| mesu.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 主機軟件更新目錄 | — |
| ns.itunes.apple.com | 443 | TCP | 只限 iOS | 是 | |
| oscdn.apple.com | 443, 80 | TCP | 只限 macOS | macOS 還原 | — |
| osrecovery.apple.com | 443, 80 | TCP | 只限 macOS | macOS 還原 | — |
| skl.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | — |
| swcdn.apple.com | 80 | TCP | 只限 macOS | macOS 更新 | — |
| swdist.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | — |
| swdownload.apple.com | 443, 80 | TCP | 只限 macOS | macOS 更新 | 是 |
| swpost.apple.com | 80 | TCP | 只限 macOS | macOS 更新 | 是 |
| swscan.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS、tvOS 和 macOS | — | |
| updates.cdn-apple.com | 443 | TCP | iOS、tvOS 和 macOS | — | |
| xp.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 |
App Store
更新 app 時可能需要連結到以下主機:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 商店內容,例如 app、書籍和音樂 | 是 |
| *.apps.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 商店內容,例如 app、書籍和音樂 | 是 |
| *.mzstatic.com | 443 | TCP | iOS、tvOS 和 macOS | 商店內容,例如 app、書籍和音樂 | — |
| itunes.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 是 | |
| ppq.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 驗證企業 App | — |
內容快取
採用 macOS 內容快取的 Mac 必須連結到以下主機:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | 只限 macOS | 註冊內容快取伺服器 | 是 |
| serverstatus.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 確定內容快取客戶端公共 IP | 是 |
Apple Developer
App 公證及 app 驗證須連結到下列主機。
App 公證
由 macOS 10.14.5 開始,軟件運行前會先接受公證檢查。要成功完成檢查,Mac 必須能連結到「自訂公證工作流程」中「確保構建伺服器有網絡連線」部分所列的相同主機。
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | 只限 macOS | 傳送工作單 | — |
| 17.250.64.0/18 | 443 | TCP | 只限 macOS | 傳送工作單 | — |
| 17.248.192.0/19 | 443 | TCP | 只限 macOS | 傳送工作單 | — |
App 驗證
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
| *.appattest.apple.com | 443 | TCP | iOS 及 macOS | App 驗證、網站的 Touch ID 和 Face ID 身份驗證 | - |
意見輔助程式
「意見輔助程式」是開發人員和 Beta 軟件程式成員向 Apple 回報意見的 app。此 app 會使用以下主機:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
| fba.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 以「意見輔助程式」提交及檢視意見 | 是 |
| cssubmissions.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 以「意見輔助程式」上載檔案 | 是 |
| bpapi.apple.com | 443 | TCP | 只限 tvOS | 提供 Beta 軟件更新 | 是 |
Apple 診斷
Apple 裝置或會連結到以下主機,以執行診斷偵測可能的硬件問題:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
| diagassets.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 讓 Apple 裝置用以協助偵測可能的硬件問題 | 是 |
域名系統解析
為了在 iOS 14、tvOS 14 和 macOS Big Sur 中使用加密的域名系統 (DNS) 解析,將連接到以下主機:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
| doh.dns.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 用於 HTTPS 的 DNS (DoH) | 是 |
證書驗證
Apple 裝置必須能連接到以下主機,才能驗證上述主機所用的數碼證書:
| 主機 | 傳輸埠 | 通訊協定 | 操作系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| crl.entrust.net | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| crl3.digicert.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| crl4.digicert.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.apple.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.digicert.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.entrust.net | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.verisign.net | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| valid.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 證書驗證 | 是 |
防火牆
如果你的防火牆支援使用主機名稱,你或可透過允許輸出連線至 *.apple.com,使用上述大部分 Apple 服務。如果你的防火牆只能設定 IP 位址,則請允許輸出連線至 17.0.0.0/8。整個 17.0.0.0/8 位址區塊均已分配給 Apple。
HTTP 代理伺服器
如果你為所列主機的輸入和輸出流量停用封包檢查及認證,便可透過代理伺服器使用 Apple 服務。例外情況請見上文。為保障平台安全和使用者私隱,如有人嘗試檢查 Apple 裝置和服務之間的加密通訊內容,連線將會中斷。