Il seguente articolo è pensato per aiutare gli amministratori IT a stabilire il modo migliore per configurare le reti per i dispositivi Android Enterprise.
Regole firewall
In genere i dispositivi Android non richiedono porte in entrata aperte sulla rete per funzionare correttamente. Tuttavia, esistono diverse connessioni in uscita di cui gli amministratori IT devono essere a conoscenza quando configurano i loro ambienti di rete per Android Enterprise.
Il seguente elenco è soggetto a modifiche e tratta gli endpoint noti per le versioni attuali e passate delle API di gestione aziendale.
Le regole indicate in questo articolo si applicano indipendentemente dal fatto che la tua soluzione EMM venga implementata tramite l'API EMM di Google Play o l'API Android Management.
Anche il traffico verso questi endpoint dovrebbe bypassare l'ispezione SSL. Il traffico intercettato da SSL verso i servizi Google è spesso interpretato come attacchi man in the middle e viene bloccato.
Dispositivi
| Host di destinazione | Porte | Finalità |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play e aggiornamenti gstatic.com, googleusercontent.com: include contenuti generati dagli utenti (ad esempio le icone delle app nello Store) *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com: scarica app e aggiornamenti, API del Play Store gvt2.com e gvt3.com vengono usati per il monitoraggio e la diagnostica della connettività di Google Play. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/API di Google/API del Play Store/API Android Management |
|
accounts.google.com accounts.google.[paese] |
TCP/443 |
Autenticazione Per accounts.google.[paese], sostituisci [paese] con il tuo dominio di primo livello locale. Ad esempio, per l'Australia, utilizza accounts.google.com.au; per il Regno Unito, utilizza accounts.google.co.uk. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (ad es. console EMM <-> comunicazione DPC, come il push di configurazioni) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (ad esempio, Trova il mio dispositivo, console EMM <-> comunicazione DPC, come il push di configurazioni). Per informazioni più aggiornate su FCM, fai clic qui. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Quando utilizzi una connessione XMPP bidirezionale permanente con i server FCM e GCM |
|
pki.google.com clients1.google.com |
TCP/443 | Controlli dell'elenco revoche certificati per i certificati emessi da Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domini condivisi da diversi servizi di backend Google, come i report sugli arresti anomali, la sincronizzazione dei preferiti di Chrome, la sincronizzazione dell'ora (tlsdate) e molti altri |
| omahaproxy.appspot.com | TCP/443 | Aggiornamenti di Chrome |
| android.clients.google.com | TCP/443 | URL di download di Android Device Policy utilizzato nel provisioning NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Utilizzato dal sistema operativo Android per il controllo della connettività ogni volta che il dispositivo si connette a una rete Wi-Fi/mobile. Per eseguire il controllo della connettività di Android, a partire da N MR1, è necessario che https://www.google.com/generate_204 sia raggiungibile o che la rete Wi-Fi rimandi a un file PAC raggiungibile. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Utilizzato dai dispositivi Pixel per gli aggiornamenti OTA |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Consente ai dispositivi mobili di connettersi a FCM quando è presente un firewall dell'organizzazione sulla rete (vedi i dettagli qui). |
Console
Se una console EMM si trova on-premise, le destinazioni indicate di seguito devono essere raggiungibili dalla rete per creare una versione gestita di Google Play Enterprise e per accedere all'iframe della versione gestita di Google Play. Per semplificare la ricerca e l'approvazione delle app, Google ha reso disponibile l'iframe della versione gestita di Google Play agli sviluppatori EMM.
| Host di destinazione | Porte | Finalità |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
API EMM di Google Play (se applicabile, chiedi al tuo provider EMM) API Android Management (se applicabile, chiedi al tuo provider EMM) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Nuova registrazione a Google Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iframe JS Font Google Contenuti generati dagli utenti (ad es. icone delle app nello Store) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Autenticazione account Domini di autenticazione dell'account specifici per paese |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (ad es. Trova il mio dispositivo, console EMM <-> comunicazione DPC, come il push di configurazioni) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Convalida del certificato |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, altri servizi web di Google e iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Approvazione dell'app |
|
ogs.google.com |
TCP/443 |
Elementi UI di iframe |
|
notifications.google.com |
TCP/443 |
Notifiche desktop/mobili |
|
enterprise.google.com/android/* |
TCP/443 |
Android Enterprise Essentials + console zero-touch |
IP statico
Google non fornisce indirizzi IP specifici per i propri endpoint di servizio. Se vuoi consentire il traffico in base all'IP, devi consentire al firewall di accettare connessioni in uscita a tutti gli indirizzi contenuti nei blocchi IP indicati nell'ASN 15169 di Google elencati qui.