以下の記事は、Android Enterprise デバイス向けのネットワークを設定する最適な方法を判断するにあたって参考になるよう、IT 管理者向けに作成されました。
ファイアウォール ルール
Android デバイスは通常、ネットワーク上で受信ポートを開放しなくても、正常に動作します。一方、Android Enterprise のネットワーク環境を設定する際、IT 管理者は次の送信接続を認識しておいてください。
以下のリストは変更される可能性があります。このリストには、エンタープライズ管理 API の現行バージョンと過去のバージョンの既知のエンドポイントが含まれています。
この記事に含まれるルールは、Play EMM API または Android Management API のどちらを使用して EMM ソリューションが実装されているかにかかわらず、適用されます。
これらのエンドポイントへのトラフィックも SSL インスペクションをバイパスする必要があります。SSL によってインターセプトされた Google サービスへのトラフィックは、多くの場合、中間者攻撃と解釈されてブロックされます。
デバイス
| 宛先ホスト | ポート | 目的 |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP / 443 TCP、UDP / 5228~5230 |
Google Play とアップデート gstatic.com、googleusercontent.com - ユーザー作成コンテンツ(ストア内のアプリアイコンなど)が含まれます *gvt1.com、*.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com - アプリとアップデートのダウンロード、Play ストア API gvt2.com と gvt3.com は、Play の接続状態のモニタリングと診断に使用されます。 |
| *.googleapis.com m.google.com |
TCP / 443 | EMM / Google API / PlayStore API / Android Management API |
|
accounts.google.com accounts.google.[国別ドメイン] |
TCP / 443 |
認証 accounts.google.[国別ドメイン] の [国別ドメイン] の部分には、拠点とする国や地域のトップレベル ドメインを使用します。たとえば、オーストラリアでは accounts.google.com.au、英国では accounts.google.co.uk を使用します。 |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP / 443、5228~5230 | Google Cloud Messaging(例: 構成の push などの EMM コンソール <-> DPC 間通信) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP / 443、5228~5230 | Firebase Cloud Messaging(例: 「デバイスを探す」、構成の push などの EMM コンソール <-> DPC 間通信)。FCM の最新情報については、こちらをクリックしてください。 |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP / 5235、5236 | FCM および GCM サーバーへの永続的な双方向 XMPP 接続を使用する場合 |
|
pki.google.com clients1.google.com |
TCP / 443 | 証明書失効リストでの Google が発行した証明書の確認 |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP / 443 | 障害レポートの作成、Chrome ブックマークの同期、時刻同期(tlsdate)など、さまざまな Google バックエンド サービスによって共有されるドメイン |
| omahaproxy.appspot.com | TCP / 443 | Chrome の更新 |
| android.clients.google.com | TCP / 443 | NFC プロビジョニングで使用する Android Device Policy のダウンロード URL |
|
connectivitycheck.android.com www.google.com |
TCP / 443 | デバイスが Wi-Fi またはモバイル ネットワークに接続するたびに、Android OS で接続チェックに使用されます。 N MR1 以降の Android の接続チェックには、https://www.google.com/generate_204 が到達可能であるか、指定された Wi-Fi ネットワークが到達可能な PAC ファイルを指している必要があります。 |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP / 443 | Google Pixel デバイスで OTA アップデートに使用 |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP / 443、5228~5230 | 組織のファイアウォールがネットワーク上にある場合に、モバイル デバイスから FCM に接続できるようにします(詳しくはこちらでご覧ください)。 |
コンソール
EMM コンソールがオンプレミスにある場合、managed Google Play Enterprise の作成、および managed Google Play iframe へのアクセスを可能にするには、ネットワークから下記の宛先に到達できる必要があります。Google では、アプリの検索と承認を簡単にするため、EMM デベロッパーが managed Play iframe を利用できるようにしました。
| 宛先ホスト | ポート | 目的 |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP / 443 |
Play EMM API(該当する場合 - EMM にお問い合わせください) Android Management API(該当する場合 - EMM にお問い合わせください) |
|
play.google.com www.google.com |
TCP / 443 |
Google Play ストア Play Enterprise の再登録 |
|
fonts.googleapis.com *.gstatic.com |
TCP / 443 |
iframe JS Google Fonts ユーザー作成コンテンツ(例: ストア内のアプリアイコン) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP / 443 |
アカウント認証 国別のアカウント認証ドメイン |
|
fcm.googleapis.com |
TCP / 443、5228~5230 |
Firebase Cloud Messaging(例: 「デバイスを探す」、構成の push などの EMM コンソール <-> DPC 間通信) |
|
crl.pki.goog ocsp.pki.goog |
TCP / 443 |
証明書の検証 |
|
apis.google.com ajax.googleapis.com |
TCP / 443 |
GCM、その他の Google ウェブサービス、iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP / 443 |
アプリの承認 |
|
ogs.google.com |
TCP / 443 |
iframe UI 要素 |
|
notifications.google.com |
TCP / 443 |
デスクトップ / モバイル通知 |
|
enterprise.google.com/android/* |
TCP / 443 |
Android Enterprise Essentials + ゼロタッチ コンソール |
静的 IP
Google では、サービス エンドポイントに特定の IP アドレスを提供していません。IP に基づいてトラフィックを許可する必要がある場合は、こちらの Google の ASN 15169 に記載されている IP ブロックに含まれるすべてのアドレスへの発信接続の受信を、ファイアウォールに許可する必要があります。