在企業網路上使用 Apple 產品

本文說明在企業網路上使用 Apple 產品時,需要哪些主機和連接埠。

本文旨在提供企業與教育機構網路管理者參考。

Apple 產品必須能夠存取本文中的網路主機,才能使用各項服務。以下說明裝置如何連接主機並使用代理伺服器:

  • 與下列主機的網路連線是由裝置啟始,而不是由 Apple 營運的主機啟始。
  • 任何使用 HTTPS 攔截(SSL 檢查)的連線,都會造成 Apple 服務無法連線。如果 HTTPS 流量會穿越網頁代理伺服器,請為本文列出的主機停用 HTTPS 攔截。

請確定您的 Apple 裝置可以存取下列主機。

Apple 推播通知

請閱讀此連結文章進一步了解如何針對連接至「Apple 推播通知服務」(APNs)的問題進行故障診斷。對於透過 HTTP 代理伺服器傳送所有流量的裝置,您可以在裝置上手動設定代理伺服器,或使用設定描述檔進行設定。自 macOS 10.15.5 開始,以代理伺服器自動設定(PAC)檔設定裝置來使用 HTTP 代理伺服器時,裝置可連接到 APNs。

裝置設定

設定裝置時,或是安裝、更新或回復作業系統時,可能需要存取下列主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
albert.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 裝置啟用
captive.apple.com 443、80 TCP iOS、iPadOS、tvOS 和 macOS 對使用限制入口網站的網路進行 Internet 連線驗證
gs.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
humb.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
static.ips.apple.com 443、80 TCP iOS、iPadOS、tvOS 和 macOS  
sq-device.apple.com 443 TCP iOS 和 iPadOS eSIM 啟用
tbsc.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
time-ios.apple.com 123 UDP iOS、iPadOS 和 tvOS 供裝置用於設定日期與時間
time.apple.com 123 UDP iOS、iPadOS、tvOS 和 macOS 供裝置用於設定日期與時間
time-macos.apple.com 123 UDP 僅限 macOS 供裝置用於設定日期與時間

裝置管理

已註冊「行動裝置管理」(MDM)的裝置可能需要以網路存取下列主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
*.push.apple.com 443、80、5223、2197 TCP iOS、iPadOS、tvOS 和 macOS 推播通知 進一步了解 APN 和代理伺服器。
deviceenrollment.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS DEP 佈建註冊
deviceservices-external.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  
gdmf.apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS 供 MDM 伺服器用於識別有哪些軟體更新可提供給使用受管理軟體更新的裝置
identity.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS APNs 憑證要求入口網站
iprofiles.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 託管當裝置在 Apple 校務管理或 Apple 商務管理中透過「裝置註冊」註冊時所用的註冊描述檔
mdmenrollment.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS MDM 伺服器,用來上傳用戶端在 Apple 校務管理或 Apple 商務管理中透過「裝置註冊」註冊時所用的註冊描述檔,以及用來查詢裝置和帳號
setup.icloud.com 443 TCP iOS 和 iPadOS 需要在「共享的 iPad」上,以管理式 Apple ID 登入
vpp.itunes.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS MDM 伺服器,用來執行「App 和書籍」相關操作,例如為裝置指派或撤銷授權

Apple 校務管理和 Apple 商務管理

要使用 Apple 校務管理和 Apple 商務管理的全部功能,需要以網路存取以下主機以及 App Store 區段中的主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
*.business.apple.com
443、80 TCP - Apple 商務管理
*.school.apple.com 443、80 TCP - Schoolwork Roster 服務
upload.appleschoolcontent.com 22 SSH - SFTP 上傳
ws-ee-maidsvc.icloud.com 443、80 TCP - Schoolwork Roster 服務

Apple Business Essentials 裝置管理

若要充分使用 Apple Business Essentials 裝置管理功能,需要透過網路存取下列主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
axm-adm-enroll.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS DEP 註冊伺服器
axm-adm-mdm.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS MDM 伺服器
axm-adm-scep.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS SCEP 伺服器
axm-app.apple.com 443 TCP iOS、iPadOS 和 macOS 由 Apple Business Essentials 用於檢視及管理 app 和裝置

軟體更新

請確認您可以連接下列連接埠,以便更新 macOS、來自 Mac App Store 的 App,以及使用內容快取服務。

macOS、iOS、iPadOS、watchOS 和 tvOS

安裝、回復及更新 macOS、iOS、iPadOS、watchOS 和 tvOS 時,需要透過網路存取下列主機名稱。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
appldnld.apple.com 80 TCP iOS、iPadOS 和 watchOS iOS、iPadOS 和 watchOS 更新
configuration.apple.com 443 TCP 僅限 macOS Rosetta 2 更新
gdmf.apple.com 443 TCP iOS、iPadOS、tvOS、watchOS 和 macOS 軟體更新目錄
gg.apple.com 443、80 TCP iOS、iPadOS、tvOS、watchOS 和 macOS iOS、iPadOS、tvOS、watchOS 和 macOS 更新
gnf-mdn.apple.com 443 TCP 僅限 macOS macOS 更新
gnf-mr.apple.com 443 TCP 僅限 macOS macOS 更新
gs.apple.com 443、80 TCP iOS、iPadOS、tvOS、watchOS 和 macOS iOS、iPadOS、tvOS、watchOS 和 macOS 更新
ig.apple.com 443 TCP 僅限 macOS macOS 更新
mesu.apple.com 443、80 TCP iOS、iPadOS、tvOS、watchOS 和 macOS 託管軟體更新目錄
ns.itunes.apple.com 443 TCP iOS、iPadOS 和 watchOS  
oscdn.apple.com 443、80 TCP 僅限 macOS macOS 復原
osrecovery.apple.com 443、80 TCP 僅限 macOS macOS 復原
skl.apple.com 443 TCP 僅限 macOS macOS 更新
swcdn.apple.com 80 TCP 僅限 macOS macOS 更新
swdist.apple.com 443 TCP 僅限 macOS macOS 更新
swdownload.apple.com 443、80 TCP 僅限 macOS macOS 更新
swscan.apple.com 443 TCP 僅限 macOS macOS 更新
updates-http.cdn-apple.com 80 TCP iOS、iPadOS、tvOS 和 macOS 軟體更新下載
updates.cdn-apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 軟體更新下載
xp.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS  

App Store

更新 App 時,可能需要存取下列主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
*.itunes.apple.com 443、80 TCP iOS、iPadOS、tvOS 和 macOS 商店內容,例如 App、書籍和音樂
*.apps.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 商店內容,例如 App、書籍和音樂
*.mzstatic.com 443 TCP iOS、iPadOS、tvOS 和 macOS 商店內容,例如 App、書籍和音樂
itunes.apple.com 443、80 TCP iOS、iPadOS、tvOS 和 macOS  
ppq.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 企業 App 驗證

電信業者更新

行動裝置必須能連接至下列主機,才能安裝電信業者套裝更新。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
appldnld.apple.com 80 TCP iOS 和 iPadOS 行動電信業者套裝更新
appldnld.apple.com.edgesuite.net 80 TCP iOS 和 iPadOS 行動電信業者套裝更新
itunes.com 80 TCP iOS 和 iPadOS 電信業者套裝更新探索
itunes.apple.com 443 TCP iOS 和 iPadOS 電信業者套裝更新探索
updates-http.cdn-apple.com 80 TCP iOS 和 iPadOS 行動電信業者套裝更新
updates.cdn-apple.com 443 TCP iOS 和 iPadOS 行動電信業者套裝更新

 

內容快取

提供內容快取的 Mac 必須能夠連接至下列主機,以及本文件列出的提供 Apple 內容的主機,包括軟體更新、App 和其他內容。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
lcdn-registration.apple.com 443 TCP 僅限 macOS 伺服器註冊
suconfig.apple.com 80 TCP 僅限 macOS

配置
xp-cdn.apple.com 443 TCP 僅限 macOS 通報

macOS 內容快取的用戶端必須能夠連接至下列主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
lcdn-locator.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 內容快取定位器服務
serverstatus.apple.com
443 TCP 僅限 macOS 內容快取用戶端公用 IP 判定

Apple Developer

使用 App 公證和 App 驗證需要存取下列主機。

App 公證

從 macOS 10.14.5 開始,軟體會先由系統檢查是否經過公證,才能開始執行。為了順利進行檢查,Mac 必須可以連接至「Customizing the Notarization Workflow」(自訂公證工作流程)中「Ensure Your Build Server Has Network Access」(確定您的建置伺服器具有網路連線)一節所列出的相同主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
17.248.128.0/18 443 TCP 僅限 macOS 票券傳送
17.250.64.0/18 443 TCP 僅限 macOS 票券傳送
17.248.192.0/19 443 TCP 僅限 macOS 票券傳送

App 驗證

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
*.appattest.apple.com 443 TCP iOS、iPadOS 和 macOS 網站的 App 驗證、Touch ID 和 Face ID 認證

使用者意見程式

「使用者意見程式」是 Beta 版軟體程式開發者和成員用來向 Apple 回報意見反映的 App。它使用以下主機:

主機 傳輸埠 通訊協定 OS 說明 支援代理伺服器
bpapi.apple.com 443 TCP 僅限 tvOS 提供 Beta 版軟體更新
cssubmissions.apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS 供「使用者意見程式」用於上傳檔案

fba.apple.com

443 TCP iOS、iPadOS、tvOS 和 macOS

供「使用者意見程式」用於歸檔和檢視意見反映

Apple 診斷

Apple 裝置可能會存取以下主機,以供執行用來偵測可能硬體問題的診斷。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
diagassets.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 供 Apple 裝置用於協助偵測可能的硬體問題

網域名稱系統解析

為了在 iOS 14、tvOS 14 和 macOS Big Sur 中使用加密的「網域名稱系統」(DNS)解析,將聯絡以下主機。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
doh.dns.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 用於 DNS over HTTPS(DoH)

憑證驗證

Apple 裝置必須能連接至下列主機,才能驗證本文所列主機使用的數位憑證。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
certs.apple.com 80, 443 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
crl.apple.com 80 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
crl.entrust.net 80 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
crl3.digicert.com 80 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
crl4.digicert.com 80 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
ocsp.apple.com 80 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
ocsp.digicert.cn 80 TCP iOS、iPadOS、tvOS 和 macOS 中國憑證驗證
ocsp.digicert.com 80 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
ocsp.entrust.net 80 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
ocsp2.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證
valid.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS 憑證驗證

 

Apple ID

Apple 裝置必須能夠連接至下列主機,以便驗證 Apple ID。此要求適用於所有使用 Apple ID 的服務,例如 iCloud、App 安裝和 Xcode。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
appleid.apple.com/tw
443 TCP iOS、iPadOS、tvOS 和 macOS
「設定」和「系統偏好設定」中的 Apple ID 驗證
appleid.cdn-apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS
「設定」和「系統偏好設定」中的 Apple ID 驗證
idmsa.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS Apple ID 驗證
gsa.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS Apple ID 驗證

iCloud

除了上列的 Apple ID 主機之外,Apple 裝置必須能夠連接至下列網域的主機,才能使用 iCloud 服務。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
*.apple-cloudkit.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.apple-livephotoskit.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.apzones.com 443 TCP iOS、iPadOS、tvOS 和 macOS 中國的 iCloud 服務
*.cdn-apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.gc.apple.com
443 TCP iOS、iPadOS、tvOS 和 macOS
iCloud 服務
*.icloud.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.icloud.com.cn
443 TCP iOS、iPadOS、tvOS 和 macOS
中國的 iCloud 服務
*.icloud.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.icloud-content.com 443 TCP iOS、iPadOS、tvOS 和 macOS iCloud 服務
*.iwork.apple.com 443 TCP iOS、iPadOS、tvOS 和 macOS iWork 文件
mask.icloud.com 443 UDP iOS、iPadOS、macOS iCloud 私密轉送
mask-h2.icloud.com 443 TCP iOS、iPadOS、macOS iCloud 私密轉送
mask-api.icloud.com 443 TCP iOS、iPadOS、macOS iCloud 私密轉送

 

其他內容

Apple 裝置必須能夠連接至下列主機,才能下載其他內容。部分其他內容可能會託管在第三方的內容分發網路上。

主機 連接埠 通訊協定 OS 說明 支援代理伺服器
audiocontentdownload.apple.com 80, 443 TCP iOS、iPadOS 和 macOS GarageBand 可供下載的內容
devimages-cdn.apple.com
80, 443 TCP 僅限 macOS Xcode 可下載元件
download.developer.apple.com 80, 443 TCP 僅限 macOS Xcode 可下載元件
playgrounds-assets-cdn.apple.com 443 TCP iPadOS 和 macOS Swift Playgrounds
playgrounds-cdn.apple.com 443 TCP iPadOS 和 macOS Swift Playgrounds
sylvan.apple.com
80, 443 TCP 僅限 tvOS
Apple TV 螢幕保護程式

防火牆

如果防火牆支援使用主機名稱,您只要允許對外連線至 *.apple.com,即可使用大多數 Apple 服務。如果防火牆只能設定使用 IP 位址,請允許對外連線至 17.0.0.0/8。整個 17.0.0.0/8 位址區塊都已指定給 Apple。

HTTP 代理伺服器

如果您針對往返下列主機的流量停用封包檢查和認證,即可透過代理伺服器使用 Apple 服務。例外情況如前所述。如果嘗試對 Apple 裝置與服務之間的加密通訊進行內容檢查,將會導致連線中斷,以維護平台安全與使用者隱私權。

內容傳遞網路和 DNS 解析

本文所列的部分主機可能在 DNS 中具有 CNAME 記錄,而非 A 或 AAAA 記錄。這些 CNAME 記錄可能會連續參照其他 CNAME 記錄,最終解析為 IP 位址。此 DNS 解析可讓 Apple 快速可靠地傳遞內容給所有地區的使用者,且對裝置和代理伺服器都是透明可見的。Apple 不會發佈這些 CNAME 記錄清單,因為這些記錄隨時可能變更。只要不封鎖 DNS 查詢並允許存取上述主機和網域,應不需要設定防火牆或代理伺服器來允許它們。

發佈日期: