Cet article s'adresse aux administrateurs informatiques afin de les aider à configurer au mieux leurs réseaux pour les appareils Android Enterprise.
Règles de pare-feu
En général, les appareils Android n'ont pas besoin de ports entrants ouverts sur le réseau pour fonctionner correctement. Les administrateurs informatiques doivent, toutefois, tenir compte de plusieurs connexions sortantes lorsqu'ils configurent leurs environnements réseau pour Android Enterprise.
La liste suivante est susceptible d'évoluer. Elle couvre les points de terminaison connus pour les versions actuelles et antérieures des API de gestion d'entreprise.
Les règles qu'il contient s'appliquent, que votre solution EMM soit implémentée à l'aide de l'API EMM Play ou de l'API Android Management.
Le trafic vers ces points de terminaison doit également contourner l'inspection SSL. Le trafic SSL intercepté vers les services Google est souvent considéré comme une attaque humaine et bloqué.
Appareils
| Hôte de destination | Ports | Objectif |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *.gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play et les mises à jour gstatic.com, googleusercontent.com - contient du contenu généré par l'utilisateur (par exemple, des icônes d'applications sur le Play Store) *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com – Télécharger les applications et les mises à jour, API Play Store gvt2.com et gvt3.com sont utilisés pour le contrôle et le diagnostic de la connectivité Play. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/API Google/API PlayStore/API Android Management |
|
accounts.google.com accounts.google.[pays] |
TCP/443 |
Authentification Pour l'adresse accounts.google.[pays], remplacez [pays] par votre domaine local de premier niveau. Par exemple, utilisez l'adresse accounts.google.com.au si vous êtes situé en Australie, ou accounts.google.co.uk si vous êtes situé au Royaume-Uni. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Cloud Messaging (par exemple, console EMM <-> communication DPC, comme transférer des configurations) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (par exemple, Localiser mon appareil, console EMM <-> communication DPC, par exemple pour transférer des configurations. Pour obtenir les informations les plus récentes sur FCM, cliquez ici. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Si vous utilisez une connexion XMPP bidirectionnelle persistante aux serveurs FCM et GCM |
|
pki.google.com clients1.google.com |
TCP/443 | Vérification des listes de révocation de certificats pour les certificats émis par Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domaines partagés par divers services de backend Google, tels que les rapports d'erreur, la synchronisation des favoris Chrome, la synchronisation de l'heure (tlsdate) et bien d'autres |
| omahaproxy.appspot.com | TCP/443 | Mises à jour de Chrome |
| android.clients.google.com | TCP/443 | URL de téléchargement Android Device Policy utilisée pour le provisionnement NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Utilisé par l'OS Android pour vérifier la connectivité chaque fois que l'appareil se connecte à n'importe quel réseau Wi-Fi et/ou mobile. La vérification de la connectivité Android, à partir de N MR1, nécessite que l'adresse https://www.google.com/generate_204 soit accessible ou que le réseau Wi-Fi donné pointe vers un fichier PAC accessible. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Utilisé par les appareils Pixel pour les mises à jour OTA |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Permet aux appareils mobiles de se connecter à FCM lorsqu'un pare-feu d'entreprise est présent sur le réseau. Renseignez-vous ici. |
Consoles
Si une console EMM est située sur site, les destinations ci-dessous doivent être accessibles depuis le réseau pour créer un Google Play d'entreprise et pour accéder à l'iFrame Google Play d'entreprise. Google a mis l'iFrame Google Play d'entreprise à la disposition des développeurs EMM pour simplifier la recherche et l'approbation des applications.
| Hôte de destination | Ports | Objectif |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
API Play EMM (le cas échéant) API Android Management (le cas échéant) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Se réinscrire à Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Polices Google Contenu généré par l'utilisateur (par exemple, icônes d'applications sur le Play Store) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Authentification du compte Domaines d'authentification de compte spécifiques à un pays |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (par exemple, Localiser mon appareil, console EMM <-> communication DPC, comme transférer des configurations) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Validation du certificat |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, d'autres services Web Google et iFrame JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Approbation des applications |
|
ogs.google.com |
TCP/443 |
Éléments de l'interface utilisateur iFrame |
|
notifications.google.com |
TCP/443 |
Notifications sur ordinateur/mobile |
|
enterprise.google.com/android/* |
TCP/443 |
Android Enterprise Essentials + console sans contact |
Adresse IP statique
Google ne fournit pas d'adresses IP spécifiques pour ses points de terminaison de service. Si vous devez autoriser le trafic basé sur l'adresse IP, vous devez autoriser votre pare-feu à accepter les connexions sortantes vers toutes les adresses figurant dans les blocs IP recensés dans l'ASN 15169 de Google listé ici.