Ten artykuł jest przeznaczony dla administratorów IT. Ma ułatwić określenie najlepszej konfiguracji sieci na potrzeby urządzeń z Androidem Enterprise.
Reguły zapory sieciowej
Do prawidłowego funkcjonowania urządzenia z Androidem nie wymagają zwykle portów przychodzących otwartych w sieci. Jest jednak kilka połączeń wychodzących, o których administratorzy IT powinni wiedzieć, jeśli konfigurują środowiska sieciowe na potrzeby Androida Enterprise.
Poniższa lista może ulec zmianie. Znajdują się na niej znane punkty końcowe bieżących i wcześniejszych wersji interfejsów Enterprise Management API.
Przedstawione tutaj reguły obowiązują niezależnie od tego, czy rozwiązanie EMM zostało wdrożone za pomocą interfejsu Play EMM API, czy Android Management API.
Ruch do tych punktów końcowych również powinien omijać kontrolę SSL. Ruch do usług Google przechwycony przez protokół SSL jest często interpretowany jako ataki „człowiek pośrodku” i blokowany.
Urządzenia
| Host docelowy | Porty | Przeznaczenie |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP/443 TCP, UDP/5228-5230 |
Google Play i aktualizacje gstatic.com, googleusercontent.com – zawierają treści użytkowników (np. ikony aplikacji w sklepie) *gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com – są używane na potrzeby pobierania aplikacji i aktualizacji oraz interfejsów API Sklepu Play gvt2.com i gvt3.com służą do monitorowania i diagnozowania połączenia z Play |
| *.googleapis.com m.google.com |
TCP/443 | EMM / interfejsy Google API / interfejsy API Sklepu Play / interfejsy Android Management API |
|
accounts.google.com accounts.google.[country] |
TCP/443 |
Uwierzytelnianie W przypadku hosta accounts.google.[country] zastąp [country] lokalną domeną najwyższego poziomu. Na przykład w Polsce będzie to accounts.google.com.pl, a w Wielkiej Brytanii – accounts.google.co.uk. |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP/443,5228-5230 | Komunikacja w chmurze Google (np. Konsola EMM <-> komunikacja DPC taka jak przekazywanie konfiguracji) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP/443,5228–5230 | Komunikacja w chmurze Firebase, w skrócie FCM (np. Znajdź moje urządzenie, konsola EMM <-> komunikacja DPC taka jak przekazywanie konfiguracji) Najbardziej aktualne informacje o FCM znajdziesz tutaj. |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP/5235,5236 | Podczas korzystania z trwałego dwukierunkowego połączenia XMPP z serwerami FCM i GCM |
|
pki.google.com clients1.google.com |
TCP/443 | Sprawdzanie listy odwołanych certyfikatów pod kątem certyfikatów wystawionych przez Google |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP/443 | Domeny współdzielone przez różne usługi backendu Google, takie jak Zgłaszanie awarii, synchronizacja zakładek Chrome, synchronizacja czasu (tlsdate) itd. |
| omahaproxy.appspot.com | TCP/443 | Aktualizacje Chrome |
| android.clients.google.com | TCP/443 | Adres URL pobierania z aplikacji Android Device Policy używany przy obsłudze administracyjnej komunikacji NFC |
|
connectivitycheck.android.com www.google.com |
TCP/443 | Używane przez system operacyjny Android do sprawdzania połączeń (gdy urządzenie jest połączone z dowolną siecią Wi-Fi lub siecią komórkową). Sprawdzenie połączeń z Androidem od wersji N MR1 – adres https://www.google.com/generate_204 musi być osiągalny lub sieć Wi-Fi musi wskazywać osiągalny plik PAC. |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP/443 | Używane przez urządzenia Pixel do aktualizacji OTA |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP/443,5228–5230 | Zezwalają urządzeniom mobilnym na łączenie się z FCM, gdy w sieci jest zapora sieciowa organizacji. Więcej informacji znajdziesz tutaj. |
Konsole
Jeśli konsola EMM działa lokalnie, poniższe miejsca docelowe muszą być osiągalne z poziomu sieci, aby można było utworzyć zarządzany Sklep Google Play Enterprise i uzyskać dostęp do elementu iframe w zarządzanym Sklepie Google Play. Firma Google udostępnia deweloperom usług EMM elementy iframe w zarządzanym Sklepie Play, aby uprościć wyszukiwanie i zatwierdzanie aplikacji.
| Host docelowy | Porty | Przeznaczenie |
|---|---|---|
|
www.googleapis.com androidmanagement.googleapis.com |
TCP/443 |
Interfejs Play EMM API (jeśli dotyczy – skontaktuj się z dostawcą usług EMM) Interfejs Android Management API (jeśli dotyczy – skontaktuj się z dostawcą usług EMM) |
|
play.google.com www.google.com |
TCP/443 |
Sklep Google Play Ponowna rejestracja w Play Enterprise |
|
fonts.googleapis.com *.gstatic.com |
TCP/443 |
Elementy iframe JS Google Fonts Treści użytkowników (np. ikony aplikacji w sklepie) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP/443 |
Uwierzytelnianie konta Domeny uwierzytelniania kont w poszczególnych krajach |
|
fcm.googleapis.com |
TCP/443,5228-5230 |
Komunikacja w chmurze Firebase, w skrócie FCM (np. Znajdź moje urządzenie, konsola EMM <-> komunikacja DPC taka jak przekazywanie konfiguracji). |
|
crl.pki.goog ocsp.pki.goog |
TCP/443 |
Weryfikacja certyfikatu |
|
apis.google.com ajax.googleapis.com |
TCP/443 |
GCM, inne usługi internetowe Google i elementy iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP/443 |
Zatwierdzanie aplikacji |
|
ogs.google.com |
TCP/443 |
Elementy interfejsu iframe |
|
notifications.google.com |
TCP/443 |
Powiadomienia na pulpicie / na urządzeniu mobilnym |
|
enterprise.google.com/android/* |
TCP/443 |
Konsole Android Enterprise Essentials + Zero Touch |
Statyczny adres IP
Google nie udostępnia konkretnych adresów IP punktów końcowych usługi. Aby zezwolić na ruch na podstawie adresu IP, zezwól zaporze sieciowej na akceptowanie połączeń wychodzących w przypadku wszystkich adresów zawartych w blokach adresów IP wymienionych na liście Google ASN 15169 (tutaj).