Cet article s'adresse aux administrateurs informatiques afin de les aider à configurer au mieux leurs réseaux pour les appareils Android Enterprise.
Règles de pare-feu
En général, les appareils Android n'ont pas besoin de ports entrants ouverts sur le réseau pour fonctionner correctement. Les administrateurs informatiques doivent, toutefois, tenir compte de plusieurs connexions sortantes lorsqu'ils configurent leurs environnements réseau pour Android Enterprise.
La liste suivante est susceptible d'évoluer. Elle couvre les points de terminaison connus pour les versions actuelles et antérieures des API de gestion d'entreprise.
Remarque : La plupart de ces points de terminaison ne sont pas consultables. Vous pouvez donc bloquer le port 80 pour ces URL, car elles sont toutes protégées par le protocole SSL.
Des applications et services différents nécessitent des points de terminaison obligatoires spécifiques. Une connexion directe est nécessaire pour atteindre tous les points de terminaison. Si les appareils sont connectés derrière un proxy, la communication directe n'est pas possible et certaines fonctions échouent.
Les règles qu'il contient s'appliquent, que votre solution EMM soit implémentée à l'aide de l'API EMM Play ou de l'API Android Management.
Le trafic vers ces points de terminaison doit également contourner l'inspection SSL. Le trafic SSL intercepté vers les services Google est souvent considéré comme une attaque humaine et bloqué.
Appareils
| Hôte de destination | Ports | Objectif |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *.gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play et les mises à jour gstatic.com, googleusercontent.com - contient du contenu généré par l'utilisateur (par exemple, des icônes d'applications sur le Play Store) *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com – Télécharger les applications et les mises à jour, API Play Store gvt2.com et gvt3.com sont utilisés pour le contrôle et le diagnostic de la connectivité Play. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/API Google/API PlayStore/API Android Management |
|
accounts.google.com accounts.google.[pays] |
TCP/443 |
Authentification Pour l'adresse accounts.google.[pays], remplacez [pays] par votre domaine local de premier niveau. Par exemple, utilisez l'adresse accounts.google.com.au si vous êtes situé en Australie, ou accounts.google.co.uk si vous êtes situé au Royaume-Uni. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Cloud Messaging (par exemple, console EMM <-> communication DPC, comme transférer des configurations) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (par exemple, Localiser mon appareil, console EMM <-> communication DPC, par exemple pour transférer des configurations. Pour obtenir les informations les plus récentes sur FCM, cliquez ici. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Si vous utilisez une connexion XMPP bidirectionnelle persistante aux serveurs FCM et GCM |
|
pki.google.com clients1.google.com |
TCP/443 | Vérification des listes de révocation de certificats pour les certificats émis par Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domaines partagés par divers services de backend Google, tels que les rapports d'erreur, la synchronisation des favoris Chrome, la synchronisation de l'heure (tlsdate) et bien d'autres |
| chromiumdash.appspot.com | TCP/443 | Mises à jour de Chrome |
| android.clients.google.com | TCP/443 | URL de téléchargement Android Device Policy utilisée pour le provisionnement NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Utilisé par l'OS Android pour vérifier la connectivité chaque fois que l'appareil se connecte à n'importe quel réseau Wi-Fi et/ou mobile. La vérification de la connectivité Android, à partir de N MR1, nécessite que l'adresse https://www.google.com/generate_204 soit accessible ou que le réseau Wi-Fi donné pointe vers un fichier PAC accessible. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Utilisé par les OEM qui utilisent les mises à jour Google Over The Air (GOTA) pour distribuer des mises à jour OTA. Veuillez vérifier auprès de votre OEM si ces éléments sont nécessaires. |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Permet aux appareils mobiles de se connecter à FCM lorsqu'un pare-feu d'entreprise est présent sur le réseau. Renseignez-vous ici. |
| time.google.com | UDP/123 | Lors du provisionnement, les appareils Android nécessitent un accès à un serveur NTP, généralement via le port UDP/123. Ce paramètre peut être modifié par un OEM. |
|
android-safebrowsing.google.com safebrowsing.google.com |
TCP/443 | Les points de terminaison de navigation sécurisée sont utilisés pour Google Play Protect. |
Consoles
Si une console EMM est située sur site, les destinations ci-dessous doivent être accessibles depuis le réseau pour créer un Google Play d'entreprise et pour accéder à l'iFrame Google Play d'entreprise. Google a mis l'iFrame Google Play d'entreprise à la disposition des développeurs EMM pour simplifier la recherche et l'approbation des applications.
| Hôte de destination | Ports | Objectif |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
API Play EMM (le cas échéant) API Android Management (le cas échéant) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Se réinscrire à Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Polices Google Contenu généré par l'utilisateur (par exemple, icônes d'applications sur le Play Store) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Authentification du compte Domaines d'authentification de compte spécifiques à un pays |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (par exemple, Localiser mon appareil, console EMM <-> communication DPC, comme transférer des configurations) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Validation du certificat |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, d'autres services Web Google et iFrame JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Approbation des applications |
|
ogs.google.com |
TCP/443 |
Éléments de l'interface utilisateur iFrame |
|
notifications.google.com |
TCP/443 |
Notifications sur ordinateur/mobile |
|
enterprise.google.com/android/* |
TCP/443 |
Console sans contact |
Adresse IP statique
Google ne fournit pas d'adresses IP ni de plages d'adresses IP spécifiques pour ses points de terminaison de service. Si vous devez autoriser le trafic basé sur l'adresse IP, vous devez autoriser votre pare-feu à accepter les connexions sortantes vers toutes les adresses figurant dans les blocs IP recensés dans le numéro de système autonome 15169 de Google listé ici.