在企業網絡使用 Apple 產品

了解在企業網絡使用 Apple 產品時需要配合的主機和傳輸埠。

本文旨在供企業和教育機構網絡管理員參考。

Apple 產品需要連接本文所列的互聯網主機，方能提供各種服務。以下說明裝置如何連接主機和配合代理伺服器運作：

以下主機的網絡連線由裝置而非 Apple 操作的主機發起。
Apple 服務會拒絕任何採用 HTTPS 截擊 (SSL 檢查) 的連線。如果 HTTPS 流量橫越網頁代理伺服器，請為本文所列的主機停用 HTTPS 截擊功能。

請確保你的 Apple 裝置可取用下列主機。

Apple 推送通知

了解如何解決 Apple 推送通知服務 (APNs) 的連線問題。對於透過 HTTP 代理伺服器傳送所有流量的裝置，你可以手動在裝置上或使用設定描述檔設置代理伺服器。如果裝置以代理伺服器自動設定檔 (PAC) 設置使用 HTTP 代理伺服器，將無法連接 APNs。

設定裝置或者安裝、更新或回復作業系統時，你可能需要取用以下主機。

主機	傳輸埠	通訊協定	作業系統	說明	支援代理伺服器
albert.apple.com	443	TCP	iOS、tvOS 和 macOS		是
captive.apple.com	443, 80	TCP	iOS、tvOS 和 macOS	為採用限制網絡門戶網頁的網絡驗證互聯網連線。	是
gs.apple.com	443	TCP	iOS、tvOS 和 macOS		是
time-ios.apple.com	123	UDP	只限 iOS	讓裝置用於設定日期和時間	否
time.apple.com	123	UDP	iOS、tvOS 和 macOS	讓裝置用於設定日期和時間	否
time-macos.apple.com	123	UDP	只限 macOS	讓裝置用於設定日期和時間	否

已登記「流動裝置管理」(MDM) 的裝置可能需要以下主機網絡連線：

主機	傳輸埠	通訊協定	作業系統	說明	支援代理伺服器
*.push.apple.com	443, 80, 5223, 2197	TCP	iOS、tvOS 和 macOS	推送通知	進一步了解 APNs 和代理伺服器。
gdmf.apple.com	443	TCP	iOS、tvOS 和 macOS	MDM 伺服器會找出採用受管理軟件更新的裝置有哪些可用軟件更新。	是
deviceenrollment.apple.com	443	TCP	iOS、tvOS 和 macOS	DEP 臨時登記。	—
deviceservices-external.apple.com	443	TCP	iOS、tvOS 和 macOS		—
identity.apple.com	443	TCP	iOS、tvOS 和 macOS	APNs 證書申請入門網頁。	是
iprofiles.apple.com	443	TCP	iOS、tvOS 和 macOS	裝置透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 時所用的主機登記描述檔	是
mdmenrollment.apple.com	443	TCP	iOS、tvOS 和 macOS	MDM 伺服器會上載透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 的用戶端所用的登記描述檔，以及尋找裝置和帳戶。	是
vpp.itunes.apple.com	443	TCP	iOS、tvOS 和 macOS	MDM 伺服器會執行「App 及書籍」相關操作，例如為裝置分配或撤銷授權。	是

確保你能取用以下傳輸埠，以更新 macOS、來自 Mac App Store 的 app 及使用內容快取。

安裝、回復和更新 macOS、iOS 及 tvOS 時，必須配合以下主機名稱的網絡連線：

主機	傳輸埠	通訊協定	作業系統	說明	支援代理伺服器
appldnld.apple.com	80	TCP	只限 iOS	iOS 更新	否
gg.apple.com	443, 80	TCP	只限 macOS	macOS 更新	是
gnf-mdn.apple.com	443	TCP	只限 macOS	macOS 更新	是
gnf-mr.apple.com	443	TCP	只限 macOS	macOS 更新	是
gs.apple.com	443, 80	TCP	只限 macOS	macOS 更新	是
ig.apple.com	443	TCP	只限 macOS	macOS 更新	是
mesu.apple.com	443, 80	TCP	iOS、tvOS 和 macOS	管理軟件更新目錄	否
ns.itunes.apple.com	443	TCP	只限 iOS		是
oscdn.apple.com	443, 80	TCP	只限 macOS	macOS 還原	否
osrecovery.apple.com	443, 80	TCP	只限 macOS	macOS 還原	否
skl.apple.com	443	TCP	只限 macOS	macOS 更新	—
swcdn.apple.com	80	TCP	只限 macOS	macOS 更新	否
swdist.apple.com	443	TCP	只限 macOS	macOS 更新	否
swdownload.apple.com	443, 80	TCP	只限 macOS	macOS 更新	是
swpost.apple.com	80	TCP	只限 macOS	macOS 更新	是
swscan.apple.com	443	TCP	只限 macOS	macOS 更新	否
updates-http.cdn-apple.com	80	TCP	iOS、tvOS 和 macOS		否
updates.cdn-apple.com	443	TCP	iOS、tvOS 和 macOS		否
xp.apple.com	443	TCP	iOS、tvOS 和 macOS		是

更新 app 時可能需要取用以下主機：

主機	傳輸埠	通訊協定	作業系統	說明	支援代理伺服器
*.itunes.apple.com	443, 80	TCP	iOS、tvOS 和 macOS	商店內容，例如 app、書籍和音樂	是
*.apps.apple.com	443	TCP	iOS、tvOS 和 macOS	商店內容，例如 app、書籍和音樂	是
*.mzstatic.com	443	TCP	iOS、tvOS 和 macOS	商店內容，例如 app、書籍和音樂	—
itunes.apple.com	443, 80	TCP	iOS、tvOS 和 macOS		是
ppq.apple.com	443	TCP	iOS、tvOS 和 macOS	驗證企業 App	—

採用 macOS 內容快取的 Mac 必須取用以下主機：

主機	傳輸埠	通訊協定	作業系統	說明	支援代理伺服器
lcdn-registration.apple.com	443	TCP	只限 macOS	註冊內容快取伺服器	是

由 macOS 10.14.5 開始，軟件運行前會先檢查公證。要成功完成檢查，Mac 必須能取用「自訂公證工作流程」中「確保建置伺服器有網絡連線」部分所列的相同主機。

主機	傳輸埠	通訊協定	作業系統	說明	支援代理伺服器
17.248.128.0/18	443	TCP	只限 macOS	傳送工作單	—
17.250.64.0/18	443	TCP	只限 macOS	傳送工作單	—
17.248.192.0/19	443	TCP	只限 macOS	傳送工作單	—

Apple 裝置必須能連接以下主機，才能驗證上述主機所用的數碼證書：

主機	傳輸埠	通訊協定	作業系統	說明	支援代理伺服器
crl.apple.com	80	TCP	iOS、tvOS 和 macOS	證書驗證	—
crl.entrust.net	80	TCP	iOS、tvOS 和 macOS	證書驗證	—
crl3.digicert.com	80	TCP	iOS、tvOS 和 macOS	證書驗證	—
crl4.digicert.com	80	TCP	iOS、tvOS 和 macOS	證書驗證	—
ocsp.apple.com	80	TCP	iOS、tvOS 和 macOS	證書驗證	—
ocsp.digicert.com	80	TCP	iOS、tvOS 和 macOS	證書驗證	—
ocsp.entrust.net	80	TCP	iOS、tvOS 和 macOS	證書驗證	—
ocsp.verisign.net	80	TCP	iOS、tvOS 和 macOS	證書驗證	—

如果你的防火牆支援使用主機名稱，你或可透過允許輸出連線至 *.apple.com，使用上述大部分 Apple 服務。如果你的防火牆只能設定 IP 位址，則請允許輸出連線至 17.0.0.0/8。整個 17.0.0.0/8 位址區塊均已分配給 Apple。

如果你為所列主機的輸入和輸出流量停用封包檢查及認證，便可透過代理伺服器使用 Apple 服務。例外情況請見上文。為保障平台安全和使用者私隱，如嘗試檢查 Apple 裝置和服務之間的加密通訊內容，連線將會中斷。

發佈日期： 8月 15, 2019