ข้อกำหนดของเครือข่าย Android Enterprise

บทความต่อไปนี้ออกแบบมาสำหรับผู้ดูแลระบบไอทีเพื่อช่วยหาวิธีที่ดีที่สุดในการตั้งค่าเครือข่ายให้กับอุปกรณ์ Android Enterprise

กฎไฟร์วอลล์

 

โดยทั่วไปอุปกรณ์ Android ไม่จำเป็นต้องเปิดพอร์ตขาเข้าในเครือข่ายเพื่อให้ทำงานได้อย่างถูกต้อง อย่างไรก็ตาม มีการเชื่อมต่อขาออกจำนวนมากที่ผู้ดูแลระบบไอทีควรระมัดระวังเมื่อตั้งค่าสภาพแวดล้อมของเครือข่ายสำหรับ Android Enterprise

รายการต่อไปนี้อาจมีการเปลี่ยนแปลง โดยจะครอบคลุมปลายทางที่รู้จักสำหรับ Management API ขององค์กรทั้งเวอร์ชันปัจจุบันและเวอร์ชันเก่า

โปรดทราบว่าปลายทางส่วนใหญ่เหล่านี้ไม่สามารถเลือกดูได้ คุณจึงบล็อกพอร์ต 80 สำหรับ URL เหล่านี้ได้อย่างปลอดภัย (URL ทั้งหมดจะอยู่หลัง SSL)

ระบบจะใช้กฎที่มีอยู่นี้ไม่ว่าจะใช้โซลูชัน EMM ด้วย Play EMM API หรือ Android Management API ก็ตาม 

การรับส่งข้อมูลกับปลายทางเหล่านี้ควรข้ามการตรวจสอบ SSL ด้วย การรับส่งข้อมูลกับบริการของ Google ที่ขัดขวางโดย SSL มักจะได้รับการตีความว่าเป็นการโจมตีแบบ Person-in-the-middle และจะถูกบล็อก

โปรดทราบว่า OEM มักจะมีโฮสต์ของตัวเองซึ่งจําเป็นต้องมีการเข้าถึงเพื่อให้อุปกรณ์ทำงานได้อย่างถูกต้อง โปรดติดต่อผู้ผลิตอุปกรณ์สำหรับพอร์ตเพิ่มเติมที่อาจจำเป็น

อุปกรณ์

 

โฮสต์ปลายทาง พอร์ต วัตถุประสงค์

play.google.com

android.com

google-analytics.com

googleusercontent.com

*gstatic.com 

*.gvt1.com

*.ggpht.com

dl.google.com

dl-ssl.google.com

android.clients.google.com

*.gvt2.com

*.gvt3.com

TCP/443

TCP, UDP/5228-5230

Google Play และการอัปเดต 

 

gstatic.com, googleusercontent.com - มีเนื้อหาที่ผู้ใช้สร้างขึ้น (เช่น ไอคอนแอปใน Store)

 

*gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com - ดาวน์โหลดแอปและการอัปเดต, Play Store APIs

 

gvt2.com และ gvt3.com ใช้เพื่อตรวจสอบและวินิจฉัยการเชื่อมต่อของ Play 

*.googleapis.com
m.google.com
TCP/443 EMM/Google APIs/PlayStore APIs/Android Management APIs

accounts.google.com

accounts.google.[country]

TCP/443

การตรวจสอบสิทธิ์

สำหรับ accounts.google.[country] ให้ใช้โดเมนระดับบนสุดของพื้นที่กับ [country] เช่น ใช้ accounts.google.com.au สำหรับออสเตรเลีย และใช้ accounts.google.co.uk สำหรับสหราชอาณาจักร

gcm-http.googleapis.com

gcm-xmpp.googleapis.com

android.googleapis.com

TCP/443,5228-5230 การรับส่งข้อความในระบบคลาวด์ของ Google (เช่น คอนโซล EMM <-> การสื่อสารของ DPC เช่น การกำหนดค่าการพุช)

fcm.googleapis.com

fcm-xmpp.googleapis.com

firebaseinstallations.googleapis.com

TCP/443,5228–5230 Firebase Cloud Messaging (เช่น หาอุปกรณ์ของฉัน, คอนโซล EMM <-> การสื่อสารของ DPC เช่น การกำหนดค่าการพุช) คลิกที่นี่เพื่อดูข้อมูลล่าสุดเกี่ยวกับ FCM

fcm-xmpp.googleapis.com

gcm-xmpp.googleapis.com

TCP/5235,5236 เมื่อใช้การเชื่อมต่อ XMPP แบบ 2 ทิศทางกับเซิร์ฟเวอร์ FCM และ GCM อย่างถาวร

pki.google.com

clients1.google.com

TCP/443 การตรวจสอบรายการยกเลิกใบรับรองสำหรับใบรับรองที่ออกโดย Google

clients2.google.com

clients3.google.com

clients4.google.com

clients5.google.com

clients6.google.com

TCP/443 โดเมนที่แชร์โดยบริการแบ็กเอนด์ต่างๆ ของ Google เช่น รายงานข้อขัดข้อง, การซิงค์บุ๊กมาร์กของ Chrome, การซิงค์เวลา (tlsdate) และอื่นๆ อีกมากมาย 
omahaproxy.appspot.com TCP/443 การอัปเดต Chrome
android.clients.google.com TCP/443 URL การดาวน์โหลด Android Device Policy ที่ใช้ในการจัดสรร NFC

connectivitycheck.android.com
connectivitycheck.gstatic.com

www.google.com

TCP/443 ใช้โดยระบบปฏิบัติการ Android เพื่อตรวจสอบการเชื่อมต่อเมื่ออุปกรณ์เชื่อมต่อ Wi-Fi หรือเครือข่ายมือถือ
การตรวจสอบการเชื่อมต่อของ Android โดยเริ่มตั้งแต่ N MR1 กำหนดให้ https://www.google.com/generate_204 ต้องเข้าถึงได้ หรือสำหรับเครือข่าย Wi-Fi ที่ระบุให้ชี้ไปยังไฟล์ PAC ที่เข้าถึงได้

ota.googlezip.net

ota-cache1.googlezip.net

ota-cache2.googlezip.net

TCP/443 ใช้โดยอุปกรณ์ Pixel เพื่อการอัปเดต OTA

mtalk.google.com

mtalk4.google.com

mtalk-staging.google.com

mtalk-dev.google.com

alt1-mtalk.google.com

alt2-mtalk.google.com

alt3-mtalk.google.com

alt4-mtalk.google.com

alt5-mtalk.google.com

alt6-mtalk.google.com

alt7-mtalk.google.com

alt8-mtalk.google.com

android.clients.google.com

device-provisioning.googleapis.com
 

TCP/443,5228–5230 อนุญาตให้อุปกรณ์เคลื่อนที่เชื่อมต่อกับ FCM เมื่อมีไฟร์วอลล์ขององค์กรอยู่ในเครือข่าย (ดูรายละเอียดที่นี่)

 

คอนโซล

 

หากคอนโซล EMM อยู่ภายในองค์กร ปลายทางด้านล่างจะต้องเข้าถึงได้จากเครือข่ายเพื่อสร้าง Managed Google Play Enterprise และเข้าถึง iframe ของ Managed Google Play Google ทำให้ iframe ของ Managed Play พร้อมใช้งานสำหรับนักพัฒนาซอฟต์แวร์ EMM เพื่อให้ค้นหาและอนุมัติแอปได้ง่ายขึ้น

 
โฮสต์ปลายทาง พอร์ต วัตถุประสงค์

www.googleapis.com

androidmanagement.googleapis.com

TCP/443

Play EMM API (หากมี - ขอ EMM ของคุณ)

Android Management API (หากมี - ขอ EMM ของคุณ)

play.google.com

www.google.com

TCP/443

Google Play Store

ลงทะเบียน Play Enterprise อีกครั้ง

fonts.googleapis.com

*.gstatic.com

TCP/443

iframe JS

Google Fonts

เนื้อหาที่ผู้ใช้สร้างขึ้น (เช่น ไอคอนแอปใน Store)

accounts.youtube.com

accounts.google.com

accounts.google.com*

TCP/443

การตรวจสอบสิทธิ์บัญชี

โดเมนการตรวจสอบสิทธิ์ของบัญชีเฉพาะประเทศ

fcm.googleapis.com

TCP/443,5228-5230

Firebase Cloud Messaging (เช่น หาอุปกรณ์ของฉัน, คอนโซล EMM <-> การสื่อสารของ DPC เช่น การกำหนดค่าการพุช)

crl.pki.goog

ocsp.pki.goog

TCP/443

การตรวจสอบใบรับรอง

apis.google.com

ajax.googleapis.com

TCP/443

GCM, บริการเว็บอื่นๆ ของ Google และ iframe JS

clients1.google.com

payments.google.com

google.com

TCP/443

การอนุมัติแอป

ogs.google.com

TCP/443

องค์ประกอบ UI ของ iframe

notifications.google.com

TCP/443

การแจ้งเตือนในเดสก์ท็อป/อุปกรณ์เคลื่อนที่

enterprise.google.com/android/*

TCP/443

Android Enterprise Essentials + คอนโซล Zero Touch

 

IP แบบคงที่

Google ไม่ได้ระบุที่อยู่ IP อย่างเจาะจงสำหรับปลายทางของบริการ หากจำเป็นต้องอนุญาตการรับส่งข้อมูลตาม IP คุณควรอนุญาตให้ไฟร์วอลล์ยอมรับการเชื่อมต่อขาออกกับที่อยู่ทั้งหมดในบล็อก IP ซึ่งแสดงใน ASN 15169 ของ Google ที่นี่ 

โปรดทราบว่า IP แอปเทียบเท่าของ Google และโหนด EDGE ไม่ได้แสดงอยู่ในบล็อก AS15169 ดูข้อมูลเพิ่มเติมเกี่ยวกับเครือข่าย EDGE ของ Google ได้ที่ peering.google.com 

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร
ค้นหา
ล้างการค้นหา
ปิดการค้นหา
เมนูหลัก
4170549175871900302
true
ค้นหาศูนย์ช่วยเหลือ
true
true
true
true
true
108584
false
false