在企业网络上使用 Apple 产品
了解在企业网络上使用 Apple 产品时需要访问哪些主机和端口。
本文适用于企业和教育机构的网络管理员。
Apple 产品需要访问本文列出的互联网主机,才能使用各种服务。下面介绍了你的设备如何连接到主机并使用代理:
与下列主机之间的网络连接是由设备(而不是 Apple 运营的主机)发起的。
Apple 服务将中断任何使用 HTTPS 拦截(SSL 检查)的连接。如果 HTTPS 流量遍历某个网页代理,请对本文列出的主机停用 HTTPS 拦截。
确保你的 Apple 设备可以访问下面列出的主机。
Apple 推送通知
了解如何对 Apple 推送通知服务 (APNS) 的连接问题进行故障诊断。对于通过 HTTP 代理发送所有流量的设备,你可以在设备上手动配置这个代理,也可以使用设备管理服务进行配置。如果将设备配置为通过代理自动配置 (PAC) 文件来使用 HTTP 代理,则设备可以连接到 APNS。
设备设置
在设置期间或者在安装、更新或恢复操作系统时,Apple 设备需要访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
albert.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 设备激活 | 是 |
captive.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 针对使用强制门户的网络进行互联网连接验证 | 是 |
gs.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 是 | |
humb.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 是 | |
static.ips.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 是 | |
sq-device.apple.com | 443 | TCP | iOS、iPadOS、Apple 和 visionOS | eSIM 激活 | — |
tbsc.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 是 | |
time-ios.apple.com | 123 | UDP | iOS、iPadOS、Apple tvOS 和 visionOS | 供设备用来设置日期和时间 | — |
time.apple.com | 123 | UDP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 供设备用来设置日期和时间 | — |
time-macos.apple.com | 123 | UDP | 仅限 macOS | 供设备用来设置日期和时间 | — |
设备管理
已在设备管理服务中注册的 Apple 设备需要访问以下主机和域。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.push.apple.com | 443、80、5223、2197 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 推送通知 | |
deviceenrollment.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | DEP 暂时注册 | — |
deviceservices-external.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供设备管理服务用来在管理式设备上停用激活锁 | — |
gdmf.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供设备管理服务用来识别使用管理式软件更新的设备有哪些可用的软件更新 | 是 |
identity.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | APNs 证书请求门户 | 是 |
iprofiles.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 托管当设备通过设备注册在 Apple 校园教务管理或 Apple 商务中注册时使用的注册描述文件 | 是 |
mdmenrollment.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 当客户端通过设备注册在 Apple 校园教务管理或 Apple 商务中注册时,供设备管理服务用来上传客户端使用的注册描述文件,还可用来查找设备和账户 | 是 |
setup.icloud.com | 443 | TCP | iOS 和 iPadOS | 需要在共享 iPad 上登录管理式 Apple 账户 | — |
vpp.itunes.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 供设备管理服务用来执行与“App 和图书”有关的操作,例如在设备上分配或撤销许可证 | 是 |
*.appattest.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 管理式设备证明 | — |
axm-servicediscovery.apple.com | 443 | TCP | iOS、iPadOS、macOS 和 visionOS | 账户驱动型注册的服务发现 | — |
Apple 校园教务管理和 Apple 商务
管理员和经理
管理员和经理需要访问以下主机和域,才能管理 Apple 校园教务管理和 Apple 商务。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.business.apple.com | 443、80 | TCP | - | Apple 商务 | — |
*.school.apple.com | 443、80 | TCP | - | Apple 校园教务管理 | — |
appleid.cdn-apple.com | 443 | TCP | - | 登录认证 | 是 |
idmsa.apple.com | 443 | TCP | - | 登录认证 | 是 |
*.itunes.apple.com | 443、80 | TCP | - | App 和图书 | 是 |
*.mzstatic.com | 443 | TCP | - | App 和图书 | — |
api.ent.apple.com | 443 | TCP | - | App 和图书 (ABM) | — |
api.edu.apple.com | 443 | TCP | - | App 和图书 (ASM) | — |
statici.icloud.com | 443 | TCP | - | 设备图标 | — |
*.vertexsmb.com | 443 | TCP | - | 验证免税状态 | — |
www.apple.com.cn | 443 | TCP | - | 某些语言的字体 | — |
upload.appleschoolcontent.com | 22 | SSH | - | SFTP 上传 | 是 |
api-business.apple.com | 443 | TCP | - | Apple 商务 API | — |
api-school.apple.com | 443 | TCP | - | Apple 校园教务管理 API | — |
如果学校使用 Claris Connect 将其支持的学生信息系统 (SIS) 同步到 Apple 校园教务管理并上传 OneRoster 文件,则还必须允许访问 Claris Connect 主机。
员工和学生
使用管理式 Apple 账户的员工和学生需要访问以下主机,才能在编写信息或共享文稿时查询所属企业或学校中的其他人。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
ws-ee-maidsvc.icloud.com | 443、80 | TCP | iOS、iPadOS、macOS 和 visionOS | 用户查询服务 | — |
Apple 商务设备管理
由 Apple 商务管理的管理员和设备需要访问以下主机和域,以及上文列出的用于 Apple 商务的主机和域。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
axm-adm-enroll.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | DEP 注册服务器 | — |
axm-adm-mdm.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 设备管理服务 | — |
axm-adm-scep.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | SCEP 服务器 | — |
axm-app.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 查看和管理 App 及设备 | — |
*.apple-mapkit.com | 443 | TCP | iOS 和 iPadOS | 在受管理丢失模式下查看设备的位置 | — |
icons.axm-usercontent-apple.com | 443 | TCP | macOS | 自定义软件包图标 | — |
“课堂”和“课业”
使用“课堂”或“课业”App 的学生和教师设备需要访问以下主机,以及在下文的 Apple 账户和 iCloud 部分中列出的主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
s.mzstatic.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”设备验证 | — |
play.itunes.apple.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”设备验证 | — |
ws-ee-maidsvc.icloud.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”班级花名册服务 | — |
ws.school.apple.com | 443 | TCP | iPadOS 和 macOS | “课堂”和“课业”班级花名册服务 | — |
pg-bootstrap.itunes.apple.com | 443 | TCP | iPadOS | “课业”作业服务 | — |
cls-iosclient.itunes.apple.com | 443 | TCP | iPadOS | “课业”作业服务 | — |
cls-ingest.itunes.apple.com | 443 | TCP | iPadOS | “课业”作业服务 | — |
软件更新
在安装、恢复和更新 iOS、iPadOS、macOS、watchOS、Apple tvOS 和 visionOS 时,Apple 设备需要访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
appldnld.apple.com | 80 | TCP | iOS、iPadOS、watchOS 和 visionOS | iOS、iPadOS 和 watchOS 更新 | — |
configuration.apple.com | 443 | TCP | 仅限 macOS | Rosetta 2 更新 | — |
gdmf.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | 软件更新目录 | — |
gg.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS、macOS 和 visionOS | iOS、iPadOS、Apple tvOS、watchOS 和 macOS 更新 | 是 |
gs.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS、macOS 和 visionOS | iOS、iPadOS、Apple tvOS、watchOS 和 macOS 更新 | 是 |
ig.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
mesu.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS、macOS 和 visionOS | 托管软件更新目录 | — |
oscdn.apple.com | 443、80 | TCP | 仅限 macOS | macOS Recovery | — |
osrecovery.apple.com | 443、80 | TCP | 仅限 macOS | macOS Recovery | — |
skl.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
swcdn.apple.com | 443、80 | TCP | 仅限 macOS | macOS 更新 | — |
swdist.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
swdownload.apple.com | 443、80 | TCP | 仅限 macOS | macOS 更新 | 是 |
swscan.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
updates-http.cdn-apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 软件更新下载 | — |
updates.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 软件更新下载 | — |
xp.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 是 | |
gdmf-ados.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 附加组件的软件更新目录 | 是 |
gsra.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 附加组件的 OS 更新 | 是 |
wkms-public.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 在连接的设备上安装 iOS、iPadOS 或 macOS | 是 |
fcs-keys-pub-prod.cdn-apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 在连接的设备上安装 iOS、iPadOS 或 macOS | 是 |
App 和附加内容
在安装和更新 App、使用某些 App 功能以及下载附加内容时,Apple 设备需要访问以下主机和域。一些附加内容也可能托管在第三方内容分发网络上。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.itunes.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 商店内容,如 App、图书和音乐 | 是 |
*.apps.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 商店内容,如 App、图书和音乐 | 是 |
*.mzstatic.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 商店内容,如 App、图书和音乐,以及来自网站和替代市场的 App | — |
itunes.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 是 | |
ppq.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 企业 App 验证 | — |
api.apple-cloudkit.com | 443 | TCP | macOS | App 公证 | — |
*.appattest.apple.com | 443 | TCP | iOS、iPadOS、macOS 和 visionOS | App 验证,以及网站触控 ID 和面容 ID 认证 | — |
*.apps-marketplace.apple.com | 443 | TCP | iOS | 安装来自网站和替代市场的 App | 是 |
token.safebrowsing.apple | 443 | TCP | iOS、iPadOS、macOS 和 visionOS | Safari 浏览器欺骗性网站警告 | __ |
audiocontentdownload.apple.com | 80、443 | TCP | iOS、iPadOS 和 macOS | “库乐队”可下载的内容 | — |
devimages-cdn.apple.com | 80、443 | TCP | macOS | Xcode 可下载的组件 | — |
download.developer.apple.com | 80、443 | TCP | macOS | Xcode 可下载的组件 | — |
playgrounds-assets-cdn.apple.com | 443 | TCP | iPadOS 和 macOS | Swift Playgrounds | — |
playgrounds-cdn.apple.com | 443 | TCP | iPadOS 和 macOS | Swift Playgrounds | — |
sylvan.apple.com | 80、433 | TCP | Apple tvOS 和 macOS | 航拍屏幕保护程序和墙纸 | — |
gateway.icloud.com | 443 | TCP/UDP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | CloudKit 内容,包括 XProtect 更新和语音控制资源 | — |
运营商更新
蜂窝网络设备需要访问以下主机,才能安装运营商软件包更新。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
appldnld.apple.com | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
appldnld.apple.com.edgesuite.net | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
itunes.com | 80 | TCP | iOS 和 iPadOS | 运营商捆绑包更新发现 | — |
itunes.apple.com | 443 | TCP | iOS 和 iPadOS | 运营商捆绑包更新发现 | — |
updates-http.cdn-apple.com | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
updates.cdn-apple.com | 443 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
内容缓存
提供内容缓存的 Mac 需要访问以下主机,以及这篇文稿中列出的提供 Apple 内容(例如软件更新、App 和其他内容)的主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
lcdn-registration.apple.com | 443 | TCP | macOS | 服务器注册 | 是 |
suconfig.apple.com | 80 | TCP | macOS | 配置 | — |
xp-cdn.apple.com | 443 | TCP | macOS | 举报 | 是 |
macOS 内容缓存的客户端需要访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
lcdn-locator.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 内容缓存查找器服务 | — |
serverstatus.apple.com | 443 | TCP | macOS | 内容缓存客户端公共 IP 确定 | — |
Beta 版更新
Apple 设备需要访问以下主机,才能注册以获取 Beta 版更新,并使用“反馈助理”App 来报告反馈。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
bpapi.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、watchOS、macOS 和 visionOS | Beta 版更新注册 | 是 |
cssubmissions.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 供“反馈助理”用来上传文件 | 是 |
fba.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 供“反馈助理”用来归档和查看反馈 | 是 |
Apple 诊断
为了运行用于检测潜在硬件问题的诊断程序,Apple 设备可能会访问以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
diagassets.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 供 Apple 设备用来协助检测可能的硬件问题 | 是 |
域名系统解析
iOS 14、iPadOS 14、Apple tvOS 14 和 macOS Big Sur 及更高版本中的加密域名系统 (DNS) 解析使用以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
doh.dns.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 用于 DNS over HTTPS (DoH) | 是 |
证书验证
为了验证这篇文章列出的主机所使用的数字证书,Apple 设备必须能够连接到以下主机。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
certs.apple.com | 80、443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | — |
crl.apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | — |
crl3.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | — |
crl4.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | — |
ocsp.apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | — |
ocsp.digicert.cn | 80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 中国大陆的证书验证 | — |
ocsp.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | — |
ocsp2.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | — |
valid.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 证书验证 | 是 |
Apple Account
Apple 设备必须能够连接到以下主机才能验证 Apple 账户。所有使用 Apple 账户的服务(如 iCloud、App 安装和 Xcode)都需要满足这个条件。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
account.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | “设置”和“系统偏好设置”中的 Apple 账户认证 | 是 |
appleid.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | “设置”和“系统偏好设置”中的 Apple 账户认证 | 是 |
idmsa.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | Apple 账户认证 | 是 |
gsa.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | Apple 账户认证 | 是 |
iCloud
除了上面列出的 Apple 账户主机外,Apple 设备必须能够连接到以下域的主机才能使用 iCloud 服务。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
*.apple-cloudkit.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 服务 | — |
*.apple-livephotoskit.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 服务 | — |
*.apzones.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 中国大陆的 iCloud 服务 | — |
*.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 服务 | — |
*.gc.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 服务 | — |
*.icloud.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 服务 | — |
*.icloud.com.cn | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | 中国大陆的 iCloud 服务 | — |
*.icloud.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 服务 | — |
*.icloud-content.com | 443 | TCP/UDP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 服务 | — |
*.iwork.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iWork 文稿 | — |
mask.icloud.com | 443 | UDP | iOS、iPadOS、macOS 和 visionOS | iCloud 专用代理 | — |
mask-h2.icloud.com | 443 | TCP | iOS、iPadOS、macOS 和 visionOS | iCloud 专用代理 | — |
mask-api.icloud.com | 443 | TCP | iOS、iPadOS、macOS 和 visionOS | iCloud 专用代理 | 是 |
probe.icloud.com | 443 | TCP/UDP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 连接测试 | 是 |
pong.icloud.com | 443 | TCP/UDP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 连接测试 | 是 |
metrics.icloud.com | 443 | TCP/UDP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | iCloud 设备诊断 | 是 |
apple-native-relay.apple.com | 443 | TCP/UDP | iOS、iPadOS、Apple tvOS、macOS 和 visionOS | RCS | 是 |
Apple Intelligence、Siri 和搜索
Apple 设备必须能够连接到以下主机,才能处理使用私有云计算的 Apple Intelligence 请求以及处理 Siri 请求,包括听写和在 Apple App 中搜索。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
guzzoni.apple.com | 443 | TCP | iOS、iPadOS、macOS 和 visionOS | Siri 和听写请求 | — |
*.smoot.apple.com | 443 | TCP | iOS、iPadOS、macOS 和 visionOS | 搜索服务,包括 Siri、聚焦、查询、Safari 浏览器、新闻、信息和音乐 | — |
apple-relay.cloudflare.com | 443 | TCP、UDP | iOS、iPadOS 和 macOS | 私有云计算 | — |
apple-relay.fastly-edge.com | 443 | TCP、UDP | iOS、iPadOS 和 macOS | 私有云计算 | — |
cp4.cloudflare.com | 443 | TCP、UDP | iOS、iPadOS 和 macOS | 私有云计算 | — |
apple-relay.apple.com | 443 | TCP、UDP | iOS、iPadOS 和 macOS | Apple 智能扩展 | — |
关联域
Apple 设备必须能够连接到以下主机,才能在 iOS 14、iPadOS 14 和 macOS Big Sur 及更高版本中使用关联域。关联域是通用链接的基础,通用链接功能允许在 App 中呈现内容,而不是在 App 的全部或部分网站中呈现内容。接力、轻 App 和单点登录扩展都使用关联域。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
app-site-association.cdn-apple.com | 443 | TCP、UDP | iOS、iPadOS、macOS 和 visionOS | 通用链接的关联域 | — |
app-site-association.networking.apple | 443 | TCP、UDP | iOS、iPadOS、macOS 和 visionOS | 通用链接的关联域 | — |
Tap to Pay on iPhone
要通过收款 App 接受免接触式支付,iPhone 必须能够与以下主机通信。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
pos-device.apple.com | 443 | TCP、UDP | iOS | Tap to Pay on iPhone | 是 |
humb.apple.com | 443 | TCP | iOS | Tap to Pay on iPhone 设置 | 是 |
iphonesubmissions.apple.com | 443 | TCP | iOS | 可选的分析共享 | 是 |
iPhone 上的证件校验器
要通过启用了证件校验器的 App 接受移动 ID,iPhone 必须能够与以下主机通信。
主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
smp-device-content.apple.com | 443 | TCP | iOS | iPhone 上的证件校验器 | 是 |
idv.cdn-apple.com | 443 | TCP | iOS | iPhone 上的证件校验器 | 是 |
idv-prod1.apple.com | 443 | TCP | iOS | iPhone 上的证件校验器 | 是 |
humb.apple.com | 443 | TCP | iOS | iPhone 上的证件校验器 | 是 |
防火墙
如果你的防火墙支持使用主机名称,那么通过允许出站连接到 *.apple.com,你或许能够使用以上的大多数 Apple 服务。如果你的防火墙只能使用 IP 地址进行配置,请根据 IP 版本,允许出站连接到 Apple 拥有的以下 IP 地址范围。
对于 IPv4,你可以允许出站连接到 17.0.0.0/8。
对于 IPv6,你可以允许出站连接到以下网络范围:
2403:300::/32
2620:149::/32
2a01:b740::/32
HTTP 代理
如果你针对列出的主机收到和发出的流量停用数据包检查和认证,则可以通过代理来使用 Apple 服务。例外情况已在上文中注明。尝试对 Apple 设备与服务之间的加密通信执行内容检查会导致连接中断,这是为了保护平台安全和用户隐私。
内容分发网络和 DNS 解析
本文中列出的一些主机可能在 DNS 中拥有 CNAME 记录,而不是 A 或 AAAA 记录。在最终解析为 IP 地址之前,这些 CNAME 记录可能会引用链中的其他 CNAME 记录。通过这种 DNS 解析,Apple 能够向所有地区的用户提供快速可靠的内容分发,并对设备和代理服务器保持透明。Apple 不会发布这些 CNAME 记录的列表,因为这些记录可能会发生变化。只要你不阻止 DNS 查找并允许访问上述主机和域,你就不需要配置防火墙或代理服务器来允许这些请求。
近期修订记录
2026 年 4 月:移除了 Apple 商务必备和 Apple 商务管理,并添加了 Apple 商务。
2026 年 1 月:在 iCloud 部分中添加了主机(probe.icloud.com、pong.icloud.com、metrics.icloud.com 和 apple-native-relay.apple.com),并更新了 gateway.icloud.com 和 *.icloud-content.com 的协议。
2025 年 7 月:添加了与防火墙相关的 IPv6 信息,添加了适用于 Apple 校园教务管理和 Apple 商务 API 的新主机,并更新了主机 gateway.icloud.com 以包括 XProtect 更新。
2025 年 4 月:移除了一个主机 (ns.itunes.apple.com),更正了一个主机名称 (iphonesubmissions.apple.com),并添加了一个主机的信息 (deviceservices-external.apple.com)。
进一步了解 Apple 软件产品使用的 TCP 和 UDP 端口。