Het volgende artikel is bedoeld voor IT-beheerders om te bepalen hoe ze hun netwerken het best kunnen instellen voor Android Enterprise-apparaten.
Firewallregels
Android-apparaten vereisen doorgaans niet dat inkomende poorten die zijn geopend in het netwerk, goed werken. Er zijn wel verschillende uitgaande verbindingen waarvan IT-beheerders zich bewust moeten zijn wanneer ze hun netwerkomgeving instellen voor Android Enterprise.
De volgende lijst kan worden gewijzigd. Deze bevat bekende eindpunten voor huidige en eerdere versies van API's voor zakelijk beheer.
Opmerking: De meeste eindpunten zijn niet doorzoekbaar. Je kunt poort 80 dus veilig blokkeren voor deze URL's, omdat ze allemaal achter SSL zitten.
Voor verschillende apps en services zijn specifieke verplichte eindpunten vereist. Je hebt een rechtstreekse verbinding nodig om alle eindpunten te bereiken. Als de apparaten achter een proxy zijn verbonden, is rechtstreekse communicatie niet mogelijk en werken bepaalde functies niet.
De regels in dit artikel zijn van toepassing, ongeacht of je EMM-oplossing is geïmplementeerd met de Play EMM API of de Android Management API.
Verkeer naar deze eindpunten moet ook SSL-inspectie negeren. Door SSL onderschept verkeer naar Google-services wordt vaak geïnterpreteerd als person-in-the-middle-aanvallen en wordt geblokkeerd.
Apparaten
| Bestemmingshost | Poorten | Doel |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play en updates gstatic.com, googleusercontent.com: bevat content van websitegebruikers (zoals app-iconen in de winkel) *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com: apps en updates downloaden, Play Store API's gvt2.com en gvt3.com worden gebruikt voor controle en diagnose van Play-connectiviteit. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/Google API's/Play Store API's/Android Management API's |
|
accounts.google.com accounts.google.[land] |
TCP/443 |
Verificatie Gebruik voor accounts.google.[land] je lokale top-level domein voor [land]. Gebruik voor Australië bijvoorbeeld accounts.google.com.au en voor het Verenigd Koninkrijk accounts.google.co.uk. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (bijv. EMM-console <-> DPC-communicatie, zoals pushing-configuraties) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (bijv. Vind mijn apparaat, EMM-console <-> DPC-communicatie, zoals pushing-configuraties). Klik hier voor de meest actuele informatie over FCM. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Bij gebruik van een permanente bidirectionele XMPP-verbinding met de FCM- en GCM-servers |
|
pki.google.com clients1.google.com |
TCP/443 | Certificate Revocation List-checks voor door Google uitgegeven certificaten |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domeinen die worden gedeeld door verschillende Google-backend-services, zoals crashrapportage, Chrome-bookmarksynchronisatie, tijdsynchronisatie (tlsdate) en nog veel meer |
| chromiumdash.appspot.com | TCP/443 | Chrome-updates |
| android.clients.google.com | TCP/443 | Download-URL voor Android Device Policy gebruikt in NFC-registratie |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Wordt gebruikt door Android OS voor een connectiviteitscheck wanneer het apparaat verbinding maakt met een wifi-/mobiel netwerk. De Android-connectiviteitscheck, vanaf N MR1, vereist https://www.google.com/generate_204 om bereikbaar te zijn, of het bepaalde wifi-netwerk moet verwijzen naar een bereikbaar PAC-bestand. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Wordt gebruikt door OEM's die GOTA-updates (Google Over-The-Air) gebruiken om OTA-updates te distribueren. Neem contact op met je OEM om na te gaan of deze vereist zijn. |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Hiermee kunnen mobiele apparaten verbinding maken met FCM als er een firewall van de organisatie aanwezig is in het netwerk. (bekijk hier meer informatie) |
| time.google.com | UDP/123 | Tijdens de registratie hebben Android-apparaten toegang nodig tot een NTP-server, waartoe meestal toegang wordt verkregen via poort UDP/123. Dit kan worden gewijzigd door een OEM. |
|
android-safebrowsing.google.com safebrowsing.google.com |
TCP/443 | Safebrowsing-eindpunten worden gebruikt voor Google Play Protect. |
Consoles
Als een EMM-console zich op locatie bevindt, moeten de onderstaande bestemmingen bereikbaar zijn via het netwerk om een Managed Google Play Enterprise te maken en toegang te krijgen tot het iframe voor Managed Google Play. Google heeft het iframe voor Managed Play beschikbaar gemaakt voor EMM-ontwikkelaars zodat apps makkelijker kunnen worden gezocht en goedgekeurd.
| Bestemmingshost | Poorten | Doel |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
Play EMM API (indien van toepassing, vraag dit aan je EMM) Android Management API (indien van toepassing, vraag dit aan je EMM) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Opnieuw inschrijven voor Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Google-lettertypen Content van websitegebruikers (bijv. app-iconen in de Chrome Web Store) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Accountverificatie Landspecifieke accountverificatiedomeinen |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (bijv. Vind mijn apparaat, EMM-console <-> DPC-communicatie, zoals pushing-configuraties) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Certificaatvalidatie |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, andere Google-webservices en iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
App-goedkeuring |
|
ogs.google.com |
TCP/443 |
Iframe UI-elementen |
|
notifications.google.com |
TCP/443 |
Desktopmeldingen/mobiele meldingen |
|
enterprise.google.com/android/* |
TCP/443 |
Zero-touch-console |
Statische IP
Google verstrekt geen specifieke IP-adressen of -bereiken voor zijn service-eindpunten. Als je verkeer op basis van IP moet toestaan, moet je toestaan dat je firewall uitgaande verbindingen accepteert naar alle adressen die zijn opgenomen in de IP-blokken die hier worden vermeld in de ASN van 15169 van Google.