Este artículo se ha diseñado para ayudar a los administradores de TI a determinar la mejor manera de configurar sus redes para dispositivos Android Enterprise.
Reglas de cortafuegos
Por lo general, los dispositivos Android no necesitan que los puertos de entrada que estén abiertos en la red funcionen correctamente. Sin embargo, los administradores de TI deben tener en cuenta varias conexiones de salida cuando configuren sus entornos de red para Android Enterprise.
La siguiente lista puede cambiar. En ella se abordan los puntos finales conocidos de las versiones actuales y anteriores de las APIs de gestión empresarial.
Estas reglas se aplican independientemente de si tu solución de EMM se implementa mediante la API EMM de Play o la API Android Management de Google.
El tráfico a esos puntos finales también debe omitir la inspección SSL. El tráfico interceptado mediante SSL que se dirige a los servicios de Google a menudo se interpreta como ataques de intermediación y se bloquean.
Dispositivos
| Host de destino | Puertos | Objetivo |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play y sus actualizaciones gstatic.com, googleusercontent.com: incluye contenido generado por el usuario (por ejemplo, iconos de aplicaciones de la tienda) *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com: descarga aplicaciones y actualizaciones, APIs de Play Store gvt2.com y gvt3.com se utilizan para la monitorización y el diagnóstico de la conectividad de Play. |
| *.googleapis.com m.google.com |
TCP/443 | EMM/APIs de Google/APIs de Play Store/APIs Android Management |
|
accounts.google.com accounts.google.[país] |
TCP/443 |
Autenticación En accounts.google.[país], sustituye [país] por tu dominio de nivel superior local. Por ejemplo, utiliza accounts.google.com.au si te encuentras en Australia o accounts.google.co.uk si estás en el Reino Unido. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Google Cloud Messaging (por ejemplo, consola de EMM <-> comunicación DPC, como enviar configuraciones) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Firebase Cloud Messaging (por ejemplo, Encontrar mi dispositivo, consola de EMM <-> comunicación DPC, como enviar configuraciones). Para obtener la información más reciente sobre FCM, haz clic aquí. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Si se utiliza una conexión XMPP bidireccional permanente con los servidores de FCM y GCM |
|
pki.google.com clients1.google.com |
TCP/443 | Comprobaciones de lista de revocación de certificados emitidos por Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Dominios compartidos por varios servicios de backend de Google, como los informes sobre fallos, sincronización de marcadores de Chrome, sincronización de tiempo (tlsdate) y otros |
| omahaproxy.appspot.com | TCP/443 | Actualizaciones de Chrome |
| android.clients.google.com | TCP/443 | URL de descarga de Android Device Policy utilizada en el aprovisionamiento de NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | El SO Android lo utiliza para comprobar la conectividad cuando el dispositivo se conecta a cualquier red Wi-Fi o móvil. Para poder comprobar la conectividad en Android, a partir de N MR1, es necesario poder acceder a https://www.google.com/generate_204 o que la red Wi-Fi apunte a un archivo PAC accesible. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Usado por dispositivos Pixel para actualizaciones OTA |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Permite que los dispositivos móviles se conecten a FCM cuando haya un cortafuegos de organización en la red (consulta información detalladaaquí) |
Consolas
Si la consola de EMM se encuentra on-premise, se debe poder acceder a los destinos que se indican a continuación desde la red para crear un paquete de Google Play Enterprise administrado y acceder al iframe de Google Play administrado. Google ha puesto a disposición de los desarrolladores de EMM el iframe de Google Play administrado para simplificar la búsqueda y la aprobación de aplicaciones.
| Host de destino | Puertos | Objetivo |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
API de EMM de Play (si procede: pregunta a tu proveedor de EMM) API Android Management (si procede: pregunta a tu proveedor de EMM) |
|
play.google.com www.google.com |
TCP/443 |
Google Play Store Repetición de registro de Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
iFrame JS Fuentes de Google Contenido generado por usuarios (por ejemplo, iconos de aplicaciones de la tienda) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Autenticación de cuenta Dominios de autenticación de cuenta específicos de cada país |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Firebase Cloud Messaging (por ejemplo, Encontrar mi dispositivo, consola de EMM <-> comunicación DPC, como enviar configuraciones) |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Validación de certificados |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, otros servicios web de Google y iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Aprobación de la aplicación |
|
ogs.google.com |
TCP/443 |
Elementos de la interfaz de iframe |
|
notifications.google.com |
TCP/443 |
Notificaciones de ordenador/móvil |
|
enterprise.google.com/android/* |
TCP/443 |
Consolas Android Enterprise Essentials y activación automática |
IP estática
Google no proporciona direcciones IP específicas para los puntos finales de sus servicios. Si necesitas permitir el tráfico según la IP, deberías permitir que tu cortafuegos acepte las conexiones salientes a todas las direcciones contenidas en los bloques de IP indicados en el ASN de 15169 de Google que se indican aquí.