Эта статья предназначена для системных администраторов. Из нее можно узнать о том, как лучше всего настроить сети для работы устройств Android Enterprise.
Правила брандмауэра
Обычно для корректной работы устройств Android не требуется открывать в сети порты для входящего трафика. Однако, настраивая сетевые среды для Android Enterprise, администраторы должны учитывать несколько исходящих соединений.
Приведенный ниже список может меняться. В него включены известные конечные точки для актуальных и предыдущих версий API управления корпоративными устройствами.
Правила из этой статьи применяются к решениям для управления мобильной инфраструктурой предприятия (EMM), реализованным как с помощью Play EMM API, так и с помощью Android Management API.
Трафик к этим конечным точкам должен также обходить проверку SSL. Когда SSL перехватывает данные, поступающие в сервисы Google, это событие воспринимается как атака посредника и блокируется.
Устройства
| Целевой хост | Порты | Назначение |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228–5230 |
Google Play и обновления. gstatic.com, googleusercontent.com предназначены для хранения контента, созданного пользователями (например, значков приложений в магазине). *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com предназначены для API Google Play и скачивания приложений и обновлений. gvt2.com и gvt3.com используются для мониторинга и диагностики Google Play. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/API Google/API Google Play/Android Management API. |
|
accounts.google.com accounts.google.[страна] |
TCP/443 |
Аутентификация. В имени хоста accounts.google.[страна] используйте национальный домен верхнего уровня соответствующей страны. Например, для Австралии необходимо указать accounts.google.com.au, а для Великобритании – accounts.google.co.uk. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443, 5228–5230 | Google Cloud Messaging (например, обмен данными между консолью EMM и контроллером политик на устройствах, в частности для передачи конфигурации). |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443, 5228–5230 | Firebase Cloud Messaging (например, обмен данными между сервисом "Найти устройство", консолью EMM и контроллером политик на устройствах, в частности для передачи конфигурации). Ознакомьтесь с актуальной информацией об FCM. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235, 5236 | Используются при постоянном двунаправленном подключении по протоколу XMPP к FCM и серверам GCM. |
|
pki.google.com clients1.google.com |
TCP/443 | Проверки списка отзыва сертификатов для сертификатов, выданных Google. |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Домены, которые используются в работе различных серверных служб Google, например при создании отчетов о сбоях, синхронизации закладок в Chrome, синхронизации времени (tlsdate) и т. д. |
| omahaproxy.appspot.com | TCP/443 | Обновления Chrome. |
| android.clients.google.com | TCP/443 | URL для скачивания Android Device Policy при инициализации по NFC. |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Используются в ОС Android, чтобы проверять возможность обмена данными при каждом подключении устройства к какой-либо сети Wi-Fi или мобильной сети. Для выполнения такой проверки на устройствах Android (начиная с версии N MR1) требуется, чтобы был доступен сайт https://www.google.com/generate_204 или чтобы в заданной сети Wi-Fi был указан доступный PAC-файл. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Используются в устройствах Pixel для беспроводного обновления. |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443, 5228–5230 | Позволяют мобильным устройствам подключаться к FCM при наличии брандмауэра организации в сети. Подробнее… |
Консоли
Если консоль EMM расположена локально, то для создания корпоративного Google Play и получения доступа к окну iframe корпоративного Google Play необходимо, чтобы в сети были доступны приведенные ниже целевые хосты. Чтобы упростить поиск и одобрение приложений, в Google предоставили разработчикам EMM доступ к окну iframe корпоративного Google Play.
| Целевой хост | Порты | Назначение |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
Play EMM API (о доступности узнавайте у своего поставщика услуг EMM). Android Management API (о доступности узнавайте у своего поставщика услуг EMM). |
|
play.google.com www.google.com |
TCP/443 |
Google Play. Повторная регистрация в Play Enterprise. |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
JS-файл окна iframe. Шрифты Google Fonts. Контент, созданный пользователями (например, значки приложений в магазине). |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Аутентификация аккаунта. Домены отдельных стран для аутентификации аккаунтов. |
|
fcm.googleapis.com |
TCP/443, 5228–5230 |
Firebase Cloud Messaging (например, обмен данными между сервисом "Найти устройство", консолью EMM и контроллером политик на устройствах, в частности для передачи конфигурации). |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Проверка сертификатов. |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, другие веб-сервисы Google и JS-файл окна iframe. |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Одобрение приложений. |
|
ogs.google.com |
TCP/443 |
Элементы интерфейса окна iframe. |
|
notifications.google.com |
TCP/443 |
Уведомления на ПК и мобильных устройствах. |
|
enterprise.google.com/android/* |
TCP/443 |
Android Enterprise Essentials и консоли автоматической настройки. |
Статический IP-адрес
Конечным точкам сервисов Google не присваиваются определенные IP-адреса. Если необходимо разрешить трафик для определенных IP-адресов, в настройках брандмауэра откройте исходящие подключения ко всем адресам в блоках, относящихся к номеру AS15169 (владелец – Google). Со списком адресов можно ознакомиться здесь.