Netzwerkanforderungen für Android Enterprise

Der folgende Artikel soll IT-Administratoren dabei helfen, ihre Netzwerke bestmöglich für Android Enterprise-Geräte einzurichten.

Firewallregeln

 

In der Regel müssen Eingangsports im Netzwerk nicht geöffnet sein, damit Android-Geräte richtig funktionieren. Es gibt aber einige ausgehende Verbindungen, die IT-Administratoren berücksichtigen sollten, wenn sie ihre Netzwerkumgebung für Android Enterprise einrichten.

Die folgende Liste kann sich ändern. Sie enthält bekannte Endpunkte für aktuelle und frühere Versionen der Enterprise Management APIs.

Hinweis: Die meisten dieser Endpunkte lassen sich nicht aufrufen. Daher können Sie Port 80 für diese URLs ohne Bedenken blockieren (für alle wird SSL verwendet).

Die hier aufgeführten Regeln gelten unabhängig davon, ob Ihre EMM-Lösung mit der Play EMM API oder der Android Management API implementiert wurde. 

Außerdem sollten Zugriffe auf diese Endpunkte die SSL-Prüfung umgehen. Über SSL abgefangene Zugriffe auf Google-Dienste werden häufig als Man-in-the-Middle-Angriffe eingestuft und blockiert.

Hinweis: OEMs haben oft eigene Hosts, die erreicht werden müssen, damit ihre Geräte richtig funktionieren. Fragen Sie den Gerätehersteller, ob zusätzliche Ports erforderlich sind.

Geräte

 

Zielhost Ports Zweck

play.google.com

android.com

google-analytics.com

googleusercontent.com

*.gstatic.com 

*.gvt1.com

*.ggpht.com

dl.google.com

dl-ssl.google.com

android.clients.google.com

*.gvt2.com

*.gvt3.com

TCP/443

TCP, UDP/5228-5230

Google Play und Updates 

 

gstatic.com und googleusercontent.com – enthalten von Nutzern erstellte Inhalte (z. B. App-Symbole im Play Store)

 

*.gvt1.com, *.ggpht.com, dl.google.com, dl-ssl.google.com und android.clients.google.com – Download von Apps und Updates, Play Store APIs

 

gvt2.com und gvt3.com – Überwachung und Diagnose der Play-Konnektivität 

*.googleapis.com
m.google.com
TCP/443 EMM, Google APIs, PlayStore APIs, Android Management APIs

accounts.google.com

accounts.google.[Land]

TCP/443

Authentifizierung

Ersetzen Sie bei accounts.google.[Land] den Platzhalter [Land] durch Ihre lokale Top-Level-Domain. Beispiel: Für Australien ist das accounts.google.com.au und für das Vereinigte Königreich accounts.google.co.uk.

gcm-http.googleapis.com

gcm-xmpp.googleapis.com

android.googleapis.com

TCP/443,5228-5230 Google Cloud Messaging (GCM, z. B. Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen)

fcm.googleapis.com

fcm-xmpp.googleapis.com

firebaseinstallations.googleapis.com

TCP/443,5228–5230 Firebase Cloud Messaging (z. B. „Mein Gerät finden“, Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen). Aktuelle Informationen zu Firebase Cloud Messaging (FCM) finden Sie unter FCM-Ports und Ihre Firewall.

fcm-xmpp.googleapis.com

gcm-xmpp.googleapis.com

TCP/5235,5236 Bei Verwendung einer dauerhaften bidirektionalen XMPP-Verbindung zu FCM- und GCM-Servern

pki.google.com

clients1.google.com

TCP/443 Prüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) nach von Google ausgestellten Zertifikaten

clients2.google.com

clients3.google.com

clients4.google.com

clients5.google.com

clients6.google.com

TCP/443 Domains, die von verschiedenen Back-End-Diensten von Google verwendet werden, darunter Absturzberichte, Synchronisierung von Lesezeichen in Chrome und Synchronisierung der Uhrzeit (tlsdate) 
omahaproxy.appspot.com TCP/443 Chrome-Updates
android.clients.google.com TCP/443 Android Device Policy-Download-URL für die NFC-Bereitstellung

connectivitycheck.android.com
connectivitycheck.gstatic.com

www.google.com

TCP/443 Wird unter Android OS zur Konnektivitätsprüfung verwendet, wenn sich das Gerät mit einem WLAN oder Mobilfunknetz verbindet.
Um die Konnektivität unter Android zu prüfen, muss ab N MR1 der Zugriff auf https://www.google.com/generate_204 möglich sein oder das WLAN muss auf eine zugängliche PAC-Datei verweisen.

ota.googlezip.net

ota-cache1.googlezip.net

ota-cache2.googlezip.net

TCP/443 Wird von Pixel-Geräten für OTA-Updates verwendet

mtalk.google.com

mtalk4.google.com

mtalk-staging.google.com

mtalk-dev.google.com

alt1-mtalk.google.com

alt2-mtalk.google.com

alt3-mtalk.google.com

alt4-mtalk.google.com

alt5-mtalk.google.com

alt6-mtalk.google.com

alt7-mtalk.google.com

alt8-mtalk.google.com

android.clients.google.com

device-provisioning.googleapis.com
 

TCP/443,5228–5230 Lässt zu, dass Mobilgeräte eine Verbindung zu FCM herstellen, wenn eine Firewall im Netzwerk vorhanden ist (weitere Informationen).

 

Konsolen

 

Bei einer lokalen EMM-Konsole müssen die unten aufgeführten Ziele über das Netzwerk erreichbar sein, um einen Managed Play Store zu erstellen und auf den iFrame für den Managed Play Store zuzugreifen. Google hat diesen iFrame für EMM-Entwickler verfügbar gemacht, um die Suche nach und Genehmigung von Apps zu vereinfachen.

 
Zielhost Ports Zweck

www.googleapis.com

androidmanagement.googleapis.com

TCP/443

Play EMM API (falls zutreffend – EMM-Anbieter fragen)

Android Management API (falls zutreffend – EMM-Anbieter fragen)

play.google.com

www.google.com

TCP/443

Google Play Store

Play Enterprise-Neuregistrierung

fonts.googleapis.com

*.gstatic.com

TCP/443

iFrame JS

Google Fonts

Von Nutzern erstellte Inhalte (z. B. App-Symbole im Play Store)

accounts.youtube.com

accounts.google.com

accounts.google.com.*

TCP/443

Kontoauthentifizierung

Länderspezifische Domains für die Kontoauthentifizierung

fcm.googleapis.com

TCP/443,5228-5230

Firebase Cloud Messaging (z. B. „Mein Gerät finden“, Kommunikation zwischen EMM-Konsole und DPC wie das Übertragen von Konfigurationen)

crl.pki.goog

ocsp.pki.goog

TCP/443

Zertifikatsvalidierung

apis.google.com

ajax.googleapis.com

TCP/443

GCM, andere Google-Webdienste und iFrame JS

clients1.google.com

payments.google.com

google.com

TCP/443

App-Genehmigung

ogs.google.com

TCP/443

iFrame-UI-Elemente

notifications.google.com

TCP/443

Desktop- und mobile Benachrichtigungen

enterprise.google.com/android/*

TCP/443

Android Enterprise Essentials und Zero-Touch-Konsolen

 

Statische IP-Adresse

Google stellt keine spezifischen IP-Adressen für seine Dienstendpunkte bereit. Wenn Sie Traffic anhand von IP-Adressen zulassen möchten, müssen Sie Ihre Firewall so konfigurieren, dass ausgehende Verbindungen zu allen Adressen akzeptiert werden, die in den IP-Blöcken unter AS15169 Google LLC aufgeführt sind. 

Hinweis: Die IP-Adressen von Google-Peers und Edge-Knoten sind nicht in den AS15169-Blöcken aufgeführt. Weitere Informationen zum Edge-Netzwerk von Google finden Sie unter peering.google.com

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Hauptmenü
1731249183565175858
true
Suchen in der Hilfe
true
true
true
true
true
108584
false
false