تستهدِف المقالة التالية مشرفي تكنولوجيا المعلومات وتقدِّم لهم المعلومات المفيدة لمساعدتهم في تحديد أفضل طريقة لإعداد الشبكات لأجهزة Android Enterprise.
قواعد جدار الحماية
لكي تعمل بشكل صحيح، لا تتطلب أجهزة Android بصفة عامة منافذ وارِد مفتوحة على الشبكة. ومع ذلك، هناك العديد من الاتصالات الصادرة التي يجب أن يكون مشرفو تكنولوجيا المعلومات على دراية بها عند إعداد بيئات الشبكات لبرنامج Android Enterprise.
تخضع القائمة التالية للتغيير. وتغطي نقاط النهاية المعروفة للإصدارات الحالية والسابقة من واجهات برمجة التطبيقات لإدارة المؤسسات.
تُطبّق القواعد المضمّنة هنا بصرف النظر عن تطبيق حلّ إدارة الخدمات الجوّالة للمؤسسات (EMM) باستخدام واجهة برمجة التطبيقات لإدارة الخدمات الجوّالة للمؤسسات لـ Play أو واجهة برمجة التطبيقات لإدارة Android.
يجب أن تتجاوز الزيارات إلى نقاط النهاية هذه فحص طبقة المقابس الآمنة (SSL). وغالبًا ما يتم تفسير الزيارات إلى خدمات Google التي تم اعتراضها في فحص طبقة المقابس الآمنة على أنها هجمات على بروتوكول التوثيق باعتراض البيانات، ويتم حظرها.
الأجهزة
| مضيف الوجهة | المنافذ | الغرض |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP وUDP/5228-5230 |
Google Play والتحديثات gstatic.com وgoogleusercontent.com: يتضمّنان محتوى من إنشاء المستخدمين (على سبيل المثال، رموز التطبيقات في المتجر). *gvt1.com، و*.ggpht، وdl.google.com، وdl-ssl.google.com، وandroid.clients.google.com: يمكنك تنزيل التطبيقات والتحديثات وواجهات برمجة التطبيقات لـ "متجر Play". يتم استخدام gvt2.com وgvt3.com لرصد إمكانية اتصال Google Play والحصول على بيانات التشخيص. |
| *.googleapis.com m.google.com |
TCP/443 | إدارة الخدمات الجوّالة للمؤسسات (EMM)/Google APIs/واجهات برمجة التطبيقات PlayStore API/واجهات برمجة التطبيقات لإدارة Android |
|
accounts.google.com accounts.google.[country] |
TCP/443 |
المصادقة بالنسبة إلى accounts.google.[البلد]، استخدِم نطاق المستوى الأعلى المحلي لـ [البلد]. على سبيل المثال، استخدِم accounts.google.com.au لأستراليا، واستخدِم accounts.google.co.uk للمملكة المتحدة. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | خدمة المراسلة عبر السحابة الإلكترونية من Google (على سبيل المثال، وحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات (EMM) <-> التواصل مع وحدة التحكّم بسياسة الجهاز (DPC)، مثل إرسال الإعدادات) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | المراسلة عبر السحابة الإلكترونية من Firebase (على سبيل المثال، . العثور على جهازي، وحدة التحكّم في إدارة الخدمات الجوّالة للمؤسسات (EMM) <-> اتصالات وحدة التحكُّم بسياسة الجهاز (DPC)، مثل إرسال الإعدادات). للاطّلاع على أحدث المعلومات حول "المراسلة عبر السحابة الإلكترونية من Firebase"، انقر هنا. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | عند استخدام اتصال XMPP ثنائي الاتجاه الدائم بخوادم المراسلة عبر السحابة الإلكترونية من Firebase وGCM |
|
pki.google.com clients1.google.com |
TCP/443 | عمليات التحقّق من قائمة الشهادات الباطلة للشهادات الصادرة عن Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | النطاقات التي تشاركها خدمات خلفية متنوعة من Google، مثل إعداد تقارير الأعطال ومزامنة الإشارات المرجعية في Chrome ومزامنة الوقت (tlsdate) وغير ذلك |
| omahaproxy.appspot.com | TCP/443 | تحديثات متصفّح Chrome |
| android.clients.google.com | TCP/443 | عنوان URL لتنزيل تطبيق Android Device Policy المُستخدَم في توفير تقنية NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | يستخدم نظام التشغيل Android البروتوكول للتأكّد من إمكانية الاتصال عندما يتصل الجهاز بأي شبكة WiFi أو شبكة جوّال. للتأكّد من إمكانية الاتصال على Android، بدايةً من N MR1، يجب أن يكون الوصول إلى https://www.google.com/generate_204 ممكنًا أو أن تشير شبكة Wi-Fi المحدّدة إلى ملف PAC يمكن الوصول إليه. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | تستخدم أجهزة Pixel البروتوكول للحصول على تحديثات "عبر الهواء" |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | يسمح هذا البروتوكول للأجهزة الجوّالة بالاتصال بميزة "المراسلة عبر السحابة الإلكترونية من Firebase" عند وجود جدار ناري للمؤسسة على الشبكة. (اطّلِع على التفاصيل هنا.) |
وحدات التحكُّم
في حال توفُّر وحدة تحكُّم لإدارة الخدمات الجوّالة للمؤسسات (EMM) داخل المؤسسة، يجب أن تتوفّر إمكانية الوصول إلى الوجهات الواردة أدناه من الشبكة لإنشاء مؤسسة "Google Play للأعمال" والوصول إلى إطار iFrame في "Google Play للأعمال". أتاحت Google إطار iFrame في "Google Play للأعمال" لمطوّري برامج "إدارة الخدمات الجوّالة للمؤسسات" لتبسيط البحث عن التطبيقات والموافقة عليها.
| مضيف الوجهة | المنافذ | الغرض |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
يشغّل هذا البرتوكول واجهة EMM API (إذا أمكن، يمكنك طلب المساعدة من إدارة الخدمات الجوّالة للمؤسسات) واجهة برمجة التطبيقات لإدارة Android (إذا أمكن - يمكنك طلب المساعدة من إدارة الخدمات الجوّالة للمؤسسات) |
|
play.google.com www.google.com |
TCP/443 |
متجر Google Play إعادة التسجيل في Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
إطار iFrame JS خطوط من Google محتوى من إنشاء المستخدمين (مثل رموز التطبيقات في المتجر) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
مصادقة الحساب نطاقات مصادقة الحساب الخاصة بالبلد |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
المراسلة عبر السحابة الإلكترونية من Firebase (على سبيل المثال، "العثور على جهازي" و"وحدة تحكُّم إدارة الخدمات الجوّالة للمؤسسات (EMM)" <-> التواصل عبر وحدة التحكُّم بسياسة الجهاز (DPC)، مثل عمليات إرسال الإعدادات) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
التحقُّق من الشهادة |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM وخدمات الويب الأخرى من Google وإطار iFrame JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
الموافقة على التطبيق |
|
ogs.google.com |
TCP/443 |
عناصر في واجهة مستخدم iFrame |
|
notifications.google.com |
TCP/443 |
إشعارات إلى الكمبيوتر المكتبي/الجهاز الجوّال |
|
enterprise.google.com/android/* |
TCP/443 |
Android Enterprise Essentials + وحدات التحكّم في إعداد الأجهزة الجوّالة للمؤسّسات دفعةً واحدة |
عنوان IP ثابت
لا توفّر Google عناوين IP محدّدة لنقاط النهاية الخاصة بالخدمة. وإذا كنت تريد السماح بالزيارات استنادًا إلى عنوان IP، عليك السماح للجدار الناري بقبول الاتصالات الصادرة لجميع العناوين المضمّنة في مجموعات عناوين IP الواردة في ASN 15169 الخاص بـ Google والمُدرجة هنا.