在企業網路上使用 Apple 產品

了解在企業網路上使用 Apple 產品需要連接哪些主機和連接埠。

本文旨在提供企業與教育機構網路管理者參考。

Apple 產品必須連接到本文中的 Internet 主機,才能使用多種服務。以下說明裝置如何連接主機並使用代理伺服器:

  • 與下列主機的網路連線是由裝置發起,而不是 Apple 營運的主機。
  • 任何使用 HTTPS 攔截(SSL 檢查)的連線,都會造成 Apple 服務無法連線。如果 HTTPS 流量會穿越網頁代理伺服器,請為本文列出的主機停用 HTTPS 攔截。

請確定您的 Apple 裝置可以連接下方列出的主機。

Apple 推播通知

了解如何對 Apple 推播通知服務(APNs)的連線問題進行故障診斷。對於透過 HTTP 代理伺服器傳送所有流量的裝置,您可以在裝置上手動設定代理伺服器,或使用設定描述檔進行設定。若裝置是透過代理伺服器自動設定(PAC)檔來設定使用 HTTP 代理伺服器,將無法連線到 APNs。

裝置設定

設定裝置,或者安裝、更新或回復作業系統時,可能需要連接下列主機。

主機 連接埠 通訊協定 作業系統 描述 支援代理伺服器
albert.apple.com 443 TCP iOS、tvOS 和 macOS  
captive.apple.com 443、80 TCP iOS、tvOS 和 macOS 對使用限制入口網站的網路進行 Internet 連線驗證。
gs.apple.com 443 TCP iOS、tvOS 和 macOS  
time-ios.apple.com 123 UDP 僅限 iOS 供裝置用於設定日期與時間
time.apple.com 123 UDP iOS、tvOS 和 macOS 供裝置用於設定日期與時間
time-macos.apple.com 123 UDP 僅限 macOS 供裝置用於設定日期與時間

裝置管理

已註冊行動裝置管理(MDM)的裝置可能需要連接下列主機:

主機 連接埠 通訊協定 作業系統 描述 支援代理伺服器
*.push.apple.com 443、80、5223、2197 TCP iOS、tvOS 和 macOS 推播通知 進一步了解 APNs 和代理伺服器。
gdmf.apple.com 443 TCP iOS、tvOS 和 macOS MDM 伺服器,可識別有哪些軟體更新可供使用受管理軟體更新的裝置使用。
deviceenrollment.apple.com 443 TCP iOS、tvOS 和 macOS DEP 佈建註冊。
deviceservices-external.apple.com 443 TCP iOS、tvOS 和 macOS  
identity.apple.com 443 TCP iOS、tvOS 和 macOS APNs 憑證要求入口網站。
iprofiles.apple.com 443 TCP iOS、tvOS 和 macOS 當裝置在 Apple School Manager 或 Apple Business Manager 中透過「裝置註冊」註冊時所用的主機註冊描述檔
mdmenrollment.apple.com 443 TCP iOS、tvOS 和 macOS MDM 伺服器,用來上傳用戶端在 Apple School Manager 或 Apple Business Manager 中透過「裝置註冊」註冊時所用的註冊描述檔,以及用來查詢裝置和帳號。
vpp.itunes.apple.com 443 TCP iOS、tvOS 和 macOS 執行「App 和書籍」相關操作的 MDM 伺服器,例如為裝置指派或撤銷授權等操作。

軟體更新

請確認您可以連接下列連接埠,以便更新 macOS、來自 Mac App Store 的 app,以及使用內容快取服務。

macOS、iOS 和 tvOS

安裝、回復與更新 macOS、iOS 和 tvOS 時,必須連接下列名稱的主機:

主機 連接埠 通訊協定 作業系統 描述 支援代理伺服器
appldnld.apple.com 80 TCP 僅限 iOS iOS 更新
gg.apple.com 443、80 TCP 僅限 macOS macOS 更新項目
gnf-mdn.apple.com 443 TCP 僅限 macOS macOS 更新項目
gnf-mr.apple.com 443 TCP 僅限 macOS macOS 更新項目
gs.apple.com 443、80 TCP 僅限 macOS macOS 更新項目
ig.apple.com 443 TCP 僅限 macOS macOS 更新項目
mesu.apple.com 443、80 TCP iOS、tvOS 和 macOS 提供軟體更新目錄
ns.itunes.apple.com 443 TCP 僅限 iOS  
oscdn.apple.com 443、80 TCP 僅限 macOS macOS 復原
osrecovery.apple.com 443、80 TCP 僅限 macOS macOS 復原
skl.apple.com 443 TCP 僅限 macOS macOS 更新項目
swcdn.apple.com 80 TCP 僅限 macOS macOS 更新項目
swdist.apple.com 443 TCP 僅限 macOS macOS 更新項目
swdownload.apple.com 443、80 TCP 僅限 macOS macOS 更新項目
swpost.apple.com 80 TCP 僅限 macOS macOS 更新項目
swscan.apple.com 443 TCP 僅限 macOS macOS 更新項目
updates-http.cdn-apple.com 80 TCP iOS、tvOS 和 macOS  
updates.cdn-apple.com 443 TCP iOS、tvOS 和 macOS  
xp.apple.com 443 TCP iOS、tvOS 和 macOS  

App Store

更新 app 時,可能需要連接下列主機:

主機 連接埠 通訊協定 作業系統 描述 支援代理伺服器
*.itunes.apple.com 443、80 TCP iOS、tvOS 和 macOS 儲存 app、書籍和音樂等內容
*.apps.apple.com 443 TCP iOS、tvOS 和 macOS 儲存 app、書籍和音樂等內容
*.mzstatic.com 443 TCP iOS、tvOS 和 macOS 儲存 app、書籍和音樂等內容
itunes.apple.com 443、80 TCP iOS、tvOS 和 macOS  
ppq.apple.com 443 TCP iOS、tvOS 和 macOS 企業 App 驗證

內容快取

使用 macOS 內容快取的 Mac 需要連接下列主機:

主機 連接埠 通訊協定 作業系統 描述 支援代理伺服器
lcdn-registration.apple.com 443 TCP 僅限 macOS 內容快取伺服器註冊

App 公證

從 macOS 10.14.5 開始,軟體會先由系統檢查是否經過公證,才能開始執行。為了順利進行檢查,Mac 必須可以連接「Customizing the Notarization Workflow」(自訂公證工作流程)中「Ensure Your Build Server Has Network Access」(確定您的建置伺服器具有網路連線)一節所列出的相同主機。

主機 連接埠 通訊協定 作業系統 描述 支援代理伺服器
17.248.128.0/18 443 TCP 僅限 macOS 票券傳送
17.250.64.0/18 443 TCP 僅限 macOS 票券傳送
17.248.192.0/19 443 TCP 僅限 macOS 票券傳送

憑證驗證

Apple 裝置必須能連接下列主機,方能驗證上方所列主機所用的數位憑證:

主機 連接埠 通訊協定 作業系統 描述 支援代理伺服器
crl.apple.com 80 TCP iOS、tvOS 和 macOS 憑證驗證
crl.entrust.net 80 TCP iOS、tvOS 和 macOS 憑證驗證
crl3.digicert.com 80 TCP iOS、tvOS 和 macOS 憑證驗證
crl4.digicert.com 80 TCP iOS、tvOS 和 macOS 憑證驗證
ocsp.apple.com 80 TCP iOS、tvOS 和 macOS 憑證驗證
ocsp.digicert.com 80 TCP iOS、tvOS 和 macOS 憑證驗證
ocsp.entrust.net 80 TCP iOS、tvOS 和 macOS 憑證驗證
ocsp.verisign.net 80 TCP iOS、tvOS 和 macOS 憑證驗證

防火牆

如果防火牆支援使用主機名稱,您只要允許對外連線至 *.apple.com,即可使用大多數 Apple 服務。如果防火牆只能設定使用 IP 位址,請允許對外連線至 17.0.0.0/8。整個 17.0.0.0/8 位址區塊都已指定給 Apple。

HTTP 代理伺服器

如果您對於往返下列主機的流量停用封包檢查和認證,即可透過代理伺服器使用 Apple 服務。例外情況如前所述。若嘗試對 Apple 裝置與服務之間的加密通訊進行內容檢查,將會導致連線中斷,以維護平台安全與使用者隱私。

發佈日期: