Der folgende Artikel soll IT-Administratoren dabei helfen, ihre Netzwerke bestmöglich für Android Enterprise-Geräte einzurichten.
Firewallregeln
In der Regel müssen Eingangsports im Netzwerk nicht geöffnet sein, damit Android-Geräte richtig funktionieren. Es gibt aber einige ausgehende Verbindungen, die IT-Administratoren berücksichtigen sollten, wenn sie ihre Netzwerkumgebung für Android Enterprise einrichten.
Die folgende Liste kann sich ändern. Sie enthält bekannte Endpunkte für aktuelle und frühere Versionen der Enterprise Management APIs.
Die hier aufgeführten Regeln gelten unabhängig davon, ob Ihre EMM-Lösung mit der Play EMM API oder der Android Management API implementiert wurde.
Außerdem sollten Zugriffe auf diese Endpunkte die SSL-Prüfung umgehen. Über SSL abgefangene Zugriffe auf Google-Dienste werden häufig als Man-in-the-Middle-Angriffe eingestuft und blockiert.
Geräte
| Zielhost | Ports | Zweck |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *.gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play und Updates gstatic.com und googleusercontent.com – enthalten von Nutzern erstellte Inhalte (z. B. App-Symbole im Play Store) *.gvt1.com, *.ggpht.com, dl.google.com, dl-ssl.google.com und android.clients.google.com – Download von Apps und Updates, Play Store APIs gvt2.com und gvt3.com – Überwachung und Diagnose der Play-Konnektivität |
| *.googleapis.com m.google.com |
TCP/443 | EMM, Google APIs, PlayStore APIs, Android Management APIs |
|
accounts.google.com accounts.google.[Land] |
TCP/443 |
Authentifizierung Ersetzen Sie bei accounts.google.[Land] den Platzhalter [Land] durch Ihre lokale Top-Level-Domain. Beispiel: Für Australien ist das accounts.google.com.au und für das Vereinigte Königreich accounts.google.co.uk. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (GCM, z. B. Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (z. B. „Mein Gerät finden“, Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen). Aktuelle Informationen zu Firebase Cloud Messaging (FCM) finden Sie unter FCM-Ports und Ihre Firewall. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Bei Verwendung einer dauerhaften bidirektionalen XMPP-Verbindung zu FCM- und GCM-Servern |
|
pki.google.com clients1.google.com |
TCP/443 | Prüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) nach von Google ausgestellten Zertifikaten |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domains, die von verschiedenen Back-End-Diensten von Google verwendet werden, darunter Absturzberichte, Synchronisierung von Lesezeichen in Chrome und Synchronisierung der Uhrzeit (tlsdate) |
| omahaproxy.appspot.com | TCP/443 | Chrome-Updates |
| android.clients.google.com | TCP/443 | Android Device Policy-Download-URL für die NFC-Bereitstellung |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Wird unter Android OS zur Konnektivitätsprüfung verwendet, wenn sich das Gerät mit einem WLAN oder Mobilfunknetz verbindet. Um die Konnektivität unter Android zu prüfen, muss ab N MR1 der Zugriff auf https://www.google.com/generate_204 möglich sein oder das WLAN muss auf eine zugängliche PAC-Datei verweisen. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Wird von Pixel-Geräten für OTA-Updates verwendet |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Lässt zu, dass Mobilgeräte eine Verbindung zu FCM herstellen, wenn eine Firewall im Netzwerk vorhanden ist (weitere Informationen). |
Konsolen
Bei einer lokalen EMM-Konsole müssen die unten aufgeführten Ziele über das Netzwerk erreichbar sein, um einen Managed Play Store zu erstellen und auf den iFrame für den Managed Play Store zuzugreifen. Google hat diesen iFrame für EMM-Entwickler verfügbar gemacht, um die Suche nach und Genehmigung von Apps zu vereinfachen.
| Zielhost | Ports | Zweck |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
Play EMM API (falls zutreffend – EMM-Anbieter fragen) Android Management API (falls zutreffend – EMM-Anbieter fragen) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Play Enterprise-Neuregistrierung |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Google Fonts Von Nutzern erstellte Inhalte (z. B. App-Symbole im Play Store) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Kontoauthentifizierung Länderspezifische Domains für die Kontoauthentifizierung |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (z. B. „Mein Gerät finden“, Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Zertifikatsvalidierung |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, andere Google-Webdienste und iFrame JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
App-Genehmigung |
|
ogs.google.com |
TCP/443 |
iFrame-UI-Elemente |
|
notifications.google.com |
TCP/443 |
Desktop- und mobile Benachrichtigungen |
|
enterprise.google.com/android/* |
TCP/443 |
Android Enterprise Essentials und Zero-Touch-Konsolen |
Statische IP-Adresse
Google stellt keine spezifischen IP-Adressen für seine Dienstendpunkte bereit. Wenn Sie Traffic anhand von IP-Adressen zulassen möchten, müssen Sie Ihre Firewall so konfigurieren, dass ausgehende Verbindungen zu allen Adressen akzeptiert werden, die in den IP-Blöcken unter AS15169 Google LLC aufgeführt sind.