Följande artikel har utformats för att hjälpa IT-administratörer att avgöra hur de ska konfigurera sina nätverk för Android Enterprise-enheter.
Brandväggsregler
Det krävs vanligtvis inte att inkommande portar är öppna i nätverket för att Android-enheter ska fungera som de ska. Det finns dock flera utgående anslutningar som IT-administratörer bör vara medvetna om när de konfigurerar sina nätverksmiljöer för Android Enterprise.
Följande lista kan komma att ändras. Den omfattar kända slutpunkter för aktuella och tidigare versioner av API:er för företagshantering.
Reglerna här gäller oavsett om din EMM-lösning implementeras med Play EMM API eller Android Management API.
Trafik till dessa slutpunkter ska hoppa över SSL-inspektion. SSL-uppfångad trafik till Googles tjänster tolkas ofta som en person-in-the-middle-attack och blockeras.
Enheter
| Målvärd | Portar | Syfte |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play och uppdateringar gstatic.com, googleusercontent.com – innehåller användargenererat innehåll (t.ex. appikoner i butiken) *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com – ladda ned appar och uppdateringar, API:er för Play Butik gvt2.com och gvt3.com används för övervakning och diagnostik av Play-anslutningar. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/Google-API:er/Play Butik-API:er/Android Management-API:er |
|
accounts.google.com accounts.google.[land] |
TCP/443 |
Autentisering För accounts.google.[land] ska du använda din lokala toppdomän för [land]. För Förenade kungariket ska du till exempel använda accounts.google.co.uk och för Sverige ska du använda accounts.google.se. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (t.ex. EMM-konsol <-> DPC-kommunikation som att överföra konfigurationer) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (t.ex . Hitta min enhet, EMM-konsol <-> DPC-kommunikation som att överföra konfigurationer. Klicka här för att få den senaste informationen om FCM. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Vid användning av beständig dubbelriktad XMPP-anslutning till FCM- och GCM-servrar |
|
pki.google.com clients1.google.com |
TCP/443 | Kontroller för Google-utfärdade certifikat i listan över återkallade certifikat |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domäner som delas av flera olika backend-tjänster från Google, bland annat felrapporter, bokmärkessynkronisering för Chrome och tidssynkronisering (tlsdate) |
| omahaproxy.appspot.com | TCP/443 | Chrome-uppdateringar |
| android.clients.google.com | TCP/443 | Nedladdningsadress för Android Device Policy som används i NFC-administration |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Används av operativsystemet Android för anslutningskontroll när enheten ansluter till ett wifi-/mobilnätverk. Anslutningskontroll för Android, från och med N MR1, kräver att https://www.google.com/generate_204 är tillgänglig eller att det angivna wifi-nätverket hänvisar till en nåbar PAC-fil. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Används av Pixel-enheter för OTA-uppdateringar |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Tillåter mobila enheter att ansluta till FCM när en organisations brandvägg finns i nätverket. (se mer information här) |
Konsoler
Om en EMM-konsol är lokal måste målen nedan vara nåbara från nätverket för att skapa en hanterad Google Play Enterprise och för att få åtkomst till iFrame för hanterad Google Play. Google har gjort iFrame för hanterad Play tillgänglig för EMM-utvecklare för att förenkla sökningar och godkännanden av appar.
| Målvärd | Portar | Syfte |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
Play EMM API (om tillämpligt – fråga EMM-leverantören) Android Management API (om tillämpligt – fråga EMM-leverantören) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Butik Återregistrering för Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Google Fonts Användargenererat innehåll (t.ex. appikoner i butiken) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Kontoautentisering Landsspecifika domäner för kontoautentisering |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (t.ex. Hitta min enhet, EMM-konsol <-> DPC-kommunikation som att överföra konfigurationer) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Validering av certifikat |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, andra webbtjänster från Google samt iFrame JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Appgodkännande |
|
ogs.google.com |
TCP/443 |
UI-element för iFrame |
|
notifications.google.com |
TCP/443 |
Skrivbords-/telefonaviseringar |
|
enterprise.google.com/android/* |
TCP/443 |
Android Enterprise Essentials- och zero touch-konsoler |
Statisk IP
Google tillhandahåller inte specifika IP-adresser för sina tjänstslutpunkter. Om du måste tillåta trafik utifrån IP bör du tillåta att brandväggen godkänner utgående anslutningar till alla adresser i IP-blocken som anges i Googles ASN 15169 som anges här.