Der folgende Artikel soll IT-Administratoren dabei helfen, ihre Netzwerke bestmöglich für Android Enterprise-Geräte einzurichten.
Firewallregeln
In der Regel müssen Eingangsports im Netzwerk nicht geöffnet sein, damit Android-Geräte richtig funktionieren. Es gibt aber einige ausgehende Verbindungen, die IT-Administratoren berücksichtigen sollten, wenn sie ihre Netzwerkumgebung für Android Enterprise einrichten.
Die folgende Liste kann sich ändern. Sie enthält bekannte Endpunkte für aktuelle und frühere Versionen der Unternehmensverwaltungs-APIs.
Hinweis: Die meisten dieser Endpunkte lassen sich nicht durchsuchen. Daher können Sie Port 80 für diese URLs ohne Bedenken blockieren (für alle wird SSL verwendet).
Für verschiedene Apps und Dienste sind bestimmte obligatorische Endpunkte erforderlich. Eine direkte Verbindung ist erforderlich, um alle Endpunkte zu erreichen. Wenn die Geräte über einen Proxy verbunden sind, ist keine direkte Kommunikation möglich und bestimmte Funktionen können nicht genutzt werden.
Die hier aufgeführten Regeln gelten unabhängig davon, ob Ihre EMM-Lösung mit der Play EMM API oder der Android Management API implementiert wurde.
Außerdem sollte Traffic an diese Endpunkte die SSL-Prüfung umgehen. Über SSL abgefangener Traffic an Google-Dienste wird häufig als Man‑in‑the‑Middle-Angriff eingestuft und blockiert.
Geräte
| Zielhost | Ports | Zweck |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *.gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play und Updates gstatic.com und googleusercontent.com – enthalten von Nutzern erstellte Inhalte (z. B. App-Symbole im Play Store) *.gvt1.com, *.ggpht.com, dl.google.com, dl-ssl.google.com und android.clients.google.com – Download von Apps und Updates, Play Store APIs gvt2.com und gvt3.com – Monitoring und Diagnose der Play-Konnektivität |
| *.googleapis.com m.google.com |
TCP/443 | EMM, Google APIs, PlayStore APIs, Android Management APIs |
|
accounts.google.com accounts.google.[Land] |
TCP/443 |
Authentifizierung Ersetzen Sie bei accounts.google.[Land] den Platzhalter [Land] durch Ihre lokale Top-Level-Domain. Beispiel: Für Australien ist das accounts.google.com.au und für das Vereinigte Königreich accounts.google.co.uk. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (GCM, z. B. Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (z. B. „Mein Gerät finden“, Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen). Aktuelle Informationen zu Firebase Cloud Messaging (FCM) finden Sie unter FCM-Ports und Ihre Firewall. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Bei Verwendung einer dauerhaften bidirektionalen XMPP-Verbindung zu FCM- und GCM-Servern |
|
pki.google.com clients1.google.com |
TCP/443 | Prüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) nach von Google ausgestellten Zertifikaten |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domains, die von verschiedenen Backend-Diensten von Google verwendet werden, darunter Absturzberichte, Synchronisierung von Lesezeichen in Chrome und Synchronisierung der Uhrzeit (tlsdate) |
| chromiumdash.appspot.com | TCP/443 | Chrome-Updates |
| android.clients.google.com | TCP/443 | Android Device Policy-Download-URL für die NFC-Bereitstellung |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Wird unter Android OS zur Konnektivitätsprüfung verwendet, wenn sich das Gerät mit einem WLAN oder Mobilfunknetz verbindet. Um die Konnektivität unter Android zu prüfen, muss ab N MR1 der Zugriff auf https://www.google.com/generate_204 möglich sein oder das WLAN muss auf eine zugängliche PAC-Datei verweisen. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Wird von OEMs verwendet, die GOTA-Updates (Google Over-the-Air) nutzen, um Over-the-air-Updates bereitzustellen. Erkundigen Sie sich bei Ihrem OEM, ob diese erforderlich sind. |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Lässt zu, dass Mobilgeräte eine Verbindung zu FCM herstellen, wenn eine Firewall im Netzwerk vorhanden ist (weitere Informationen). |
| time.google.com | UDP/123 | Während der Bereitstellung benötigen Android-Geräte Zugriff auf einen NTP-Server, auf den in der Regel über den Port UDP/123 zugegriffen wird. Dies kann von einem OEM geändert werden. |
|
android-safebrowsing.google.com safebrowsing.google.com |
TCP/443 | Safe Browsing-Endpunkte werden für Google Play Protect verwendet. |
Konsolen
Bei einer lokalen EMM-Konsole müssen die unten aufgeführten Ziele über das Netzwerk erreichbar sein, um einen Managed Play Store zu erstellen und auf den iFrame für den Managed Play Store zuzugreifen. Google hat diesen iFrame für EMM-Entwickler verfügbar gemacht, um die Suche nach und Genehmigung von Apps zu vereinfachen.
| Zielhost | Ports | Zweck |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
Play EMM API (falls zutreffend – EMM-Anbieter fragen) Android Management API (falls zutreffend – EMM-Anbieter fragen) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Play Enterprise-Neuregistrierung |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Google Fonts Von Nutzern erstellte Inhalte (z. B. App-Symbole im Play Store) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Kontoauthentifizierung Länderspezifische Domains für die Kontoauthentifizierung |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (z. B. „Mein Gerät finden“, Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Zertifikatsvalidierung |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, andere Google-Webdienste und iFrame JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
App-Genehmigung |
|
ogs.google.com |
TCP/443 |
iFrame-UI-Elemente |
|
notifications.google.com |
TCP/443 |
Desktop- und mobile Benachrichtigungen |
|
enterprise.google.com/android/* |
TCP/443 |
Zero-Touch-Konsole |
Statische IP‑Adresse
Google stellt keine spezifischen IP-Adressen oder ‑Bereiche für seine Dienstendpunkte bereit. Wenn Sie Traffic anhand von IP-Adressen zulassen möchten, müssen Sie Ihre Firewall so konfigurieren, dass ausgehende Verbindungen zu allen Adressen akzeptiert werden, die in den IP-Blöcken unter AS15169 Google LLC aufgeführt sind.