Última actualización: 12 de mayo del 2026.
El objetivo de este artículo es ayudar a los administradores de TI a determinar la mejor manera de configurar sus redes para dispositivos Android Enterprise.
Reglas de cortafuegos
Por lo general, los dispositivos Android no requieren abrir puertos de entrada en la red para funcionar correctamente. Sin embargo, los administradores de TI deben tener en cuenta varias conexiones de salida cuando configuren sus entornos de red para Android Enterprise.
La siguiente lista puede cambiar. En ella se abordan los endpoints conocidos de las versiones actuales y anteriores de las APIs de gestión empresarial.
Nota: La mayoría de estos endpoints no se pueden consultar. Por tanto, puedes bloquear el puerto 80 de estas URLs de forma segura, ya que todas están protegidas con SSL.
Hay diferentes aplicaciones y servicios que requieren endpoints obligatorios específicos. Se necesita una conexión directa para llegar a todos los endpoints correctamente. Si los dispositivos están conectados detrás de un proxy, la comunicación directa no es posible y algunas funciones fallarán.
Estas reglas se aplican independientemente de si tu solución de EMM se implementa mediante la API EMM de Play o la API Android Management.
El tráfico a esos puntos finales también debe omitir la inspección SSL. El tráfico interceptado mediante SSL que se dirige a los servicios de Google a menudo se interpreta como ataques de intermediación y se bloquean.
Dispositivos
| Host de destino | Puertos | Objetivo |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *.gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.apis.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play y sus actualizaciones gstatic.com, googleusercontent.com: incluye contenido generado por el usuario (por ejemplo, iconos de aplicaciones de la tienda) *gvt1.com, *.ggpht.com, dl.google.com, dl-ssl.google.com, android.apis.google.com: descarga aplicaciones y actualizaciones, APIs de Play Store gvt2.com y gvt3.com se utilizan para la monitorización y el diagnóstico de la conectividad de Play |
| *.googleapis.com m.google.com |
TCP/443 | EMM/APIs de Google/APIs de Play Store/APIs Android Management |
|
accounts.google.com accounts.google.[country] |
TCP/443 |
Autenticación En accounts.google.[país], sustituye [país] por tu dominio de nivel superior local. Por ejemplo, utiliza accounts.google.com.au si te encuentras en Australia o accounts.google.co.uk si estás en el Reino Unido. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (por ejemplo, consola de EMM <-> comunicación DPC, como enviar configuraciones) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (por ejemplo, Localizador, consola de EMM <-> comunicación DPC, como enviar configuraciones). Consulta la información más reciente sobre FCM. |
| firebaselogging.googleapis.com | TCP/443 | Compatibilidad con el registro y las métricas del SDK de AMAPI |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Si se utiliza una conexión XMPP bidireccional permanente con los servidores de FCM y GCM |
|
pki.google.com clients1.google.com |
TCP/443 | Comprobaciones de lista de revocación de certificados emitidos por Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Dominios compartidos por varios servicios de backend de Google, como los informes sobre fallos, sincronización de marcadores de Chrome, sincronización de tiempo (tlsdate) y otros. |
| chromiumdash.appspot.com | TCP/443 | Actualizaciones de Chrome |
| android.apis.google.com | TCP/443 | URL de descarga de Android Device Policy utilizada en el aprovisionamiento de NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | El SO Android lo utiliza para comprobar la conectividad cuando el dispositivo se conecta a cualquier red Wi-Fi o móvil. Para poder comprobar la conectividad en Android, a partir de N MR1, es necesario poder acceder a https://www.google.com/generate_204 o que la red Wi-Fi apunte a un archivo PAC accesible. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache3.googlezip.net |
TCP/443 | Se utilizan en fabricantes de dispositivos que usan Google Over-the-Air (GOTA) para distribuir actualizaciones de OTA. Comprueba con el fabricante si son necesarios. |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.apis.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Permite que los dispositivos móviles se conecten a FCM cuando haya un cortafuegos de organización en la red (consulta información detallada aquí). |
| time.google.com | UDP/123 | Durante el aprovisionamiento, los dispositivos Android necesitan acceso a un servidor NTP, al que normalmente se accede a través del puerto UDP/123. Los fabricantes pueden cambiarlo. |
|
android-safebrowsing.google.com safebrowsing.google.com |
TCP/443 | Los endpoints de Navegación segura se utilizan en Google Play Protect. |
Consolas
Si la consola de EMM se encuentra on-premise, se debe poder acceder a los destinos que se indican a continuación desde la red para crear un paquete de Google Play Enterprise administrado y acceder al iframe de Google Play administrado. Google ha puesto a disposición de los desarrolladores de EMM el iframe de Google Play administrado para simplificar la búsqueda y la aprobación de aplicaciones.
| Host de destino | Puertos | Objetivo |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
API de EMM de Play (si procede: pregunta a tu proveedor de EMM) API Android Management (si procede: pregunta a tu proveedor de EMM) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Repetición de registro de Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Fuentes de Google Contenido generado por usuarios (por ejemplo, iconos de aplicaciones de la tienda) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Autenticación de cuenta Dominios de autenticación de cuenta específicos de cada país |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (por ejemplo, Localizador, consola de EMM <-> comunicación DPC, como enviar configuraciones) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Validación de certificados |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, otros servicios web de Google y iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Aprobación de la aplicación |
|
ogs.google.com |
TCP/443 |
Elementos de la interfaz de iframe |
|
notifications.google.com |
TCP/443 |
Notificaciones de ordenador/móvil |
|
enterprise.google.com/android/* |
TCP/443 |
Consola de activación automática |
IP estática
Google no proporciona direcciones IP o intervalos de direcciones IP específicos para sus endpoints de servicio. Si necesitas permitir el tráfico según la IP, deberías permitir que tu cortafuegos acepte las conexiones salientes a todas las direcciones contenidas en los bloques de IP indicados en el ASN de 15169 de Google que se indican aquí.