O artigo a seguir foi criado para administradores de TI com o objetivo de ajudar na determinação da melhor maneira de configurar redes para dispositivos Android Enterprise.
Regras de firewall
Os dispositivos Android geralmente não precisam de portas de entrada abertas na rede para funcionar corretamente. No entanto, existem várias conexões de saída que administradores de TI precisam conhecer ao configurar os ambientes de rede do Android Enterprise.
A lista a seguir está sujeita a alterações. Ela abrange endpoints conhecidos das versões atuais e antigas das APIs de gerenciamento empresarial.
As regras contidas aqui se aplicam à solução de EMM implementada com a API Play EMM ou com a API Android Management.
O tráfego para esses endpoints também precisa ignorar a inspeção SSL. O tráfego SSL interceptado para os serviços do Google geralmente é interpretado como um ataque person-in-the-middle e bloqueado.
Dispositivos
| Host de destino | Portas | Propósito |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play e atualizações gstatic.com, googleusercontent.com: apresenta conteúdo gerado pelo usuário (por exemplo, ícones de apps na loja). *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com: faça o download de apps e atualizações, APIs da Play Store. gvt2.com e gvt3.com são usados para monitoramento e diagnóstico de conectividade do Google Play. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/APIs do Google/APIs da Play Store/APIs Android Management |
|
accounts.google.com accounts.google.[país] |
TCP/443 |
Autenticação Em accounts.google.[país], use seu domínio local de nível superior para [país]. Por exemplo, na Austrália, use accounts.google.com.au e, no Reino Unido, use accounts.google.co.uk. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (por exemplo, console de EMM <-> comunicação DPC, como envio de configurações) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (por exemplo, Encontre Meu Dispositivo, console de EMM <-> comunicação DPC, como envio de configurações). Para ver as informações mais atualizadas sobre o FCM, clique aqui. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Ao usar a conexão XMPP bidirecional permanente com servidores FCM e GCM |
|
pki.google.com clients1.google.com |
TCP/443 | Verificações da lista de revogação de certificados emitidos pelo Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domínios compartilhados por vários serviços de back-end do Google, como Crash reporting, Sincronização de favoritos do Chrome, sincronização de tempo (tlsdate) e muitos outros |
| omahaproxy.appspot.com | TCP/443 | Atualizações do Chrome |
| android.clients.google.com | TCP/443 | URL de download do Android Device Policy usado no provisionamento de NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Usado pelo SO Android para verificação de conectividade sempre que o dispositivo se conecta a qualquer rede Wi-Fi / móvel. A verificação de conectividade do Android, começando com N MR1, exige que o site https://www.google.com/generate_204 esteja acessível, ou que a dada rede Wi-Fi aponte para um arquivo PAC acessível. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Usado por dispositivos Pixel para atualizações OTA |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Permite que dispositivos móveis se conectem ao FCM quando há um firewall da organização na rede. Veja os detalhes aqui. |
Consoles
Se um console de EMM estiver no local, os destinos abaixo precisarão ser acessados pela rede para criar um Google Play Enterprise gerenciado e acessar o iframe do Google Play gerenciado. O Google disponibilizou o iframe do Google Play gerenciado para desenvolvedores de EMM para simplificar a pesquisa e a aprovação de apps.
| Host de destino | Portas | Propósito |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
API Play EMM (se aplicável: pergunte ao seu EMM) API Android Management (se aplicável: pergunte ao seu EMM) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Nova inscrição no Google Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iframe JS Google Fonts Conteúdo gerado pelo usuário (por exemplo, ícones de apps na loja) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Autenticação da conta Domínios de autenticação de conta específicos ao país |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (por exemplo, Encontre Meu Dispositivo, Console de EMM <-> Comunicação DPC, como envio de configurações) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Validação de certificado |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, outros serviços da Web do Google e iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Aprovação de apps |
|
ogs.google.com |
TCP/443 |
Elementos da IU do iframe |
|
notifications.google.com |
TCP/443 |
Notificações para computadores/dispositivos móveis |
|
enterprise.google.com/android/* |
TCP/443 |
Console Android Enterprise Essentials + Console sem toque |
IP estático
O Google não oferece endereços IP específicos para os endpoints de serviço. Se for necessário permitir o tráfego com base no IP, o firewall deverá aceitar conexões de saída com todos os endereços contidos nos blocos de IP listados no ASN do Google 15169 listado aqui.