Android Enterprise 網路需求

下文專供 IT 管理員參考，以便他們為 Android Enterprise 裝置決定最佳的網路設定方式。

防火牆規則

Android 裝置通常不必在網路上開啟輸入通訊埠就能正常運作。不過，在為 Android Enterprise 設定網路環境時，IT 管理員應留意幾個輸出連線。

下列清單可能有所變動，Enterprise Management API 目前與過往版本的已知端點都會列在清單上。

注意：這些端點大多無法瀏覽，所在網址皆採用安全資料傳輸層，因此您可以放心封鎖通訊埠 80。

應用程式和服務不同，需要使用的強制端點也不同。要順利抵達所有端點，就必須直接連線。如果裝置是透過 Proxy 連線，就無法直接通訊，特定功能也會無法運作。

無論您是使用 Play EMM API 還是 Android Management API 實作 EMM 解決方案，都適用本文包含的規則。

傳送至這些端點的流量也應略過安全資料傳輸層 (SSL) 檢查。指向 Google 服務但遭 SSL 攔截的流量，我們通常會視為中間人攻擊而加以封鎖。

注意：原始設備製造商 (OEM) 的裝置通常需要連上自家主機，才能正常運作。如需額外的通訊埠，請與您的裝置製造商聯絡。

裝置

目標主機	通訊埠	目的
play.google.com android.com google-analytics.com googleusercontent.com gstatic.com .gvt1.com .ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com .gvt2.com *.gvt3.com	TCP/443 TCP、UDP/5228-5230	Google Play 和更新 gstatic.com、googleusercontent.com：包含使用者原創內容，例如商店中的應用程式圖示 gvt1.com、.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com：下載應用程式和更新、Play Store API gvt2.com 和 gvt3.com 會用於監控及診斷 Play 連線情形。
*.googleapis.com m.google.com	TCP/443	EMM/Google API/PlayStore API/Android Management API
accounts.google.com accounts.google.<國家/地區>	TCP/443	驗證為 accounts.google.<國家/地區> 的 <國家/地區> 套用當地頂層網域。舉例來說，澳洲請使用 accounts.google.com.au，英國請使用 accounts.google.co.uk。
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com	TCP/443、5228 - 5230	Google 雲端通訊，例如推送設定這類 EMM 控制台與裝置政策控制器 (DPC) 之間的通訊
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com	TCP/443、5228 - 5230	Firebase 雲端通訊，例如「尋找我的裝置」功能、推送設定這類 EMM 控制台與裝置政策控制器 (DPC) 之間的通訊。如需 FCM 的最新資訊，請前往這裡。
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com	TCP/5235、5236	在採用連線至 FCM 和 GCM 伺服器的永久雙向 XMPP 連線時使用
pki.google.com clients1.google.com	TCP/443	檢查 Google 發行憑證的憑證撤銷清單檢查作業
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com	TCP/443	多個 Google 後端服務共用的網域，例如當機回報、Chrome 書籤同步和時間同步 (tlsdate) 等多種服務
chromiumdash.appspot.com	TCP/443	Chrome 更新
android.clients.google.com	TCP/443	用於 NFC 佈建程序的 Android Device Policy 下載網址
connectivitycheck.android.com connectivitycheck.gstatic.com www.google.com	TCP/443	只要裝置連上任何 Wi-Fi 或行動網路，Android 作業系統就會使用這些主機檢查連線。 Android 連線檢查功能 (開頭為「N MR1」) 必須可連上 https://www.google.com/generate_204，或指向可存取 PAC 檔案的特定 Wi-Fi 網路。
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net	TCP/443	適用於透過 Google Over-the-Air (GOTA) 功能發布 OTA 更新的原始設備製造商 (OEM)。請向 OEM 確認這些是否為必要項目。
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com	TCP/443、5228 - 5230	在機構設有網路防火牆時，允許行動裝置連線至 FCM。詳情請參閱這篇文章
time.google.com	UDP/123	佈建期間，Android 裝置會需要存取 NTP 伺服器 (通常是透過通訊埠 UDP/123)，但原始設備製造商 (OEM) 可以變更這項設定。
android-safebrowsing.google.com safebrowsing.google.com	TCP/443	Google Play 安全防護會使用安全瀏覽端點。

控制台

如果 EMM 控制台位於地端部署環境中，您必須能透過網路連線至下列目的地，才能建立企業適用的 Google Play 管理版，並存取 Google Play 管理版 iframe。Google 已向 EMM 開發人員提供 Google Play 管理版 iframe，以簡化應用程式的搜尋和核准作業。

目標主機	通訊埠	目的
www.googleapis.com androidmanagement.googleapis.com	TCP/443	Play EMM API (如果適用的話)。詳情請洽詢您的 EMM Android Management API (如果適用的話)。詳情請洽詢您的 EMM
play.google.com www.google.com	TCP/443	Google Play 商店重新註冊 Play Enterprise
fonts.googleapis.com *.gstatic.com	TCP/443	iframe JS Google Fonts 使用者自製內容，例如商店中的應用程式圖示
accounts.youtube.com accounts.google.com accounts.google.com.*	TCP/443	帳戶驗證特定國家/地區的帳戶驗證網域
fcm.googleapis.com	TCP/443、5228 - 5230	Firebase 雲端通訊，例如「尋找我的裝置」功能、推送設定這類 EMM 控制台與裝置政策控制器 (DPC) 之間的通訊
crl.pki.goog ocsp.pki.goog	TCP/443	憑證驗證
apis.google.com ajax.googleapis.com	TCP/443	GCM、其他 Google 網路服務和 iframe JS
clients1.google.com payments.google.com google.com	TCP/443	核准應用程式
ogs.google.com	TCP/443	iframe UI 元素
notifications.google.com	TCP/443	電腦/行動裝置通知
enterprise.google.com/android/*	TCP/443	零接觸控制台

靜態 IP

Google 不會提供特定 IP 位址或範圍給自家服務端點使用。如要根據 IP 決定是否允許相關流量，請查看此處 Google ASN 15169 所列的 IP 區塊，並允許防火牆接受對外連線至區塊中的所有位址。

注意：Google 對等節點和邊緣節點的 IP 未列在 AS15169 區塊中。如要進一步瞭解 Google Edge Network，請參閱 peering.google.com。

這對您有幫助嗎？

我們應如何改進呢？