Embed Size (px)
Citation preview
1
À propos Ce document donne une liste des adresses à autoriser dans le proxy et des ports à ouvrir dans le pare-feu de l’établissement afin d’assurer le bon fonctionnement des appareils Apple.
Pare-feu
Sur le pare-feu, autoriser la plage 17.0.0.0/8 pour les iPad :
- sur le port TCP 5223 : communication avec l’APNs1
- sur le port TCP 443 : accès à l’APNs en WiFi quand ce n’est pas possible par le port 5223
Si le MDM est hébergé dans les mêmes infrastructures, ajouter :
- sur le port TCP 2195 : envoi de messages à l’APNs
- sur le port TCP 2196 : connexion à l’APNs pour feedbacks
- sur le port UDP 123 : serveur de temps
1 APNs : Apple Push Notification server
2
Si l’établissement fait du développement d’applications qui utilisent l’APNs :
- sur le port TCP 2197 : communication avec l’APNs2
Proxy
Liste des serveurs utilisés :
1. Activation :- albert.apple.com : activation
2. Validations :- ppq.apple.com : validation des apps entreprises- ocsp.apple.com : validation des certificats- ocsp.verisign.net : validation des certificats- evintl-ocsp.verisign.com : certificats et authentifications durant la restauration d’un appareil et son activation- evsecure-ocsp.verisign.com : certificats et authentifications durant la restauration d’un appareil et son activation
3. Téléchargement de contenu :- *.phobos.apple.com : contenus iTunes- deimos*.apple.com : contenus iTunes U- *.aaplimg.com : réseau de diffusion de contenu Apple
2 Communicating with APNs
3
- *.akamaiedge.net: réseau de diffusion de contenu (cache)- *.akamaitechnologies.com: réseau de diffusion de contenu (cache) - *.edgesuite.net: réseau de diffusion de contenu (cache)- *.llnwd.net: réseau de diffusion de contenu (cache)- *.mzstatic.com : illustrations des stores (couvertures, extraits, icônes…)
4. Mises à jour :- appldnld.apple.com : firmwares iOS- ax.itunes.apple.com : recherches- ax.init.itunes.apple.com : limites des téléchargements cellulaires- ax.su.itunes.apple.com : demandes de mises à jour des apps - gs.apple.com : validation de la signature d’iOS- mesu.apple.com : mises à jour iOS- su.itunes.apple.com : mises à jour des apps
5. iCloud :- *.icloud.com : services iCloud
6. iTunes : - itunes.apple.com : services iTunes- buy.itunes.com : validation des cartes de crédit et des comptes- metrics.apple.com : statistiques
7. Push : - gateway.push.apple.com : envoi de notification vers l’APNs (si le MDM est hébergé sur les mêmes infrastructures)- feedback.push.apple.com : envoi de feedbacks à l’APNs (si le MDM est hébergé sur les mêmes infrastructures)- *-courier.push.apple.com : canal de communication avec l’APNs pour l’ensemble des notifications push d’iOS
8. Développement d’applications (optionnel) :- api.development.push.apple.com : serveur de développement- api.push.apple.com : serveur de production
Exceptions d’inspection SSL à configurer sur le proxy :
*.apple.com *.aaplimg.com *.icloud.com *.itunes.com *.mzstatic.com *.verisign.net *.verisign.com *.entrust.net *.akamaiedge.net *.akamaitechnologies.com *.edgesuite.net *.llnwd.net
4
Le MDM
Pour contacter le MDM, des ports spécifiques doivent être autorisés et des excep-tions dans le pare-feu doivent être déclarées. Quelques exemples :
- AirWatch (authentification requise) : https://resources.air-watch.com/view/m3tyl7mttbxv4qw7mkrh
- JAMF Pro : https://www.jamf.com/jamf-nation/articles/34/network-ports-used-by-the-casper-suite
- Meraki (authentification requise) : https://dashboard.meraki.com/manage/support/firewall_configuration
- Zuludesk : https://zuludesk.com/knowledgebase/required-firewall-ports/
- Intune : https://docs.microsoft.com/fr-fr/intune/get-started/network-band-width-use
- Profile Manager : https://support.apple.com/fr-fr/HT202487
Répartition de charge
Apple répartit la charge des téléchargements entre ses propres infrastructures, celles d’Akamai et celles de Limelight.
