Android Enterprise: требования к сети

Эта статья предназначена для системных администраторов. Из нее можно узнать о том, как лучше всего настроить сети для работы устройств Android Enterprise.

Правила брандмауэра

 

Обычно для корректной работы устройств Android не требуется открывать в сети порты для входящего трафика. Однако, настраивая сетевые среды для Android Enterprise, администраторы должны учитывать несколько исходящих соединений.

Приведенный ниже список может меняться. В него включены известные конечные точки для актуальных и предыдущих версий API управления корпоративными устройствами.

Примечание. Большинство этих конечных точек недоступны для просмотра. Поэтому можно без опасений заблокировать порт 80 для таких URL (SSL к ним не применяется).

Правила из этой статьи применяются к решениям для управления мобильной инфраструктурой предприятия (EMM), реализованным как с помощью Play EMM API, так и с помощью Android Management API.

Трафик к этим конечным точкам должен также обходить проверку SSL. Когда SSL перехватывает данные, поступающие в сервисы Google, это событие воспринимается как атака посредника и блокируется.

Примечание. У производителей оригинального оборудования часто есть собственные хосты, с которыми необходимо устанавливать связь для корректной работы устройств. Чтобы получить доступ к дополнительным портам, обратитесь к производителю устройств.

Устройства

 

Целевой хост Порты Назначение

play.google.com

android.com

google-analytics.com

googleusercontent.com

*gstatic.com

*.gvt1.com

*.ggpht.com

dl.google.com

dl-ssl.google.com

android.clients.google.com

*.gvt2.com

*.gvt3.com

TCP/443

TCP, UDP/5228–5230

Google Play и обновления.

 

gstatic.com, googleusercontent.com предназначены для хранения контента, созданного пользователями (например, значков приложений в магазине).

 

*gvt1.com, *.ggpht, dl.google.com, dl-ssl.google.com, android.clients.google.com предназначены для API Google Play и скачивания приложений и обновлений.

 

gvt2.com и gvt3.com используются для мониторинга и диагностики Google Play.

*.googleapis.com
m.google.com
TCP/443 EMM/API Google/API Google Play/Android Management API.

accounts.google.com

accounts.google.[страна]

TCP/443

Аутентификация.

В имени хоста accounts.google.[страна] используйте национальный домен верхнего уровня соответствующей страны. Например, для Австралии необходимо указать accounts.google.com.au, а для Великобритании – accounts.google.co.uk.

gcm-http.googleapis.com

gcm-xmpp.googleapis.com

android.googleapis.com

TCP/443, 5228–5230 Google Cloud Messaging (например, обмен данными между консолью EMM и контроллером политик на устройствах, в частности для передачи конфигурации).

fcm.googleapis.com

fcm-xmpp.googleapis.com

firebaseinstallations.googleapis.com

TCP/443, 5228–5230 Firebase Cloud Messaging (например, обмен данными между сервисом "Найти устройство", консолью EMM и контроллером политик на устройствах, в частности для передачи конфигурации). Ознакомьтесь с актуальной информацией об FCM.

fcm-xmpp.googleapis.com

gcm-xmpp.googleapis.com

TCP/5235, 5236 Используются при постоянном двунаправленном подключении по протоколу XMPP к FCM и серверам GCM.

pki.google.com

clients1.google.com

TCP/443 Проверки списка отзыва сертификатов для сертификатов, выданных Google.

clients2.google.com

clients3.google.com

clients4.google.com

clients5.google.com

clients6.google.com

TCP/443 Домены, которые используются в работе различных серверных служб Google, например при создании отчетов о сбоях, синхронизации закладок в Chrome, синхронизации времени (tlsdate) и т. д. 
omahaproxy.appspot.com TCP/443 Обновления Chrome.
android.clients.google.com TCP/443 URL для скачивания Android Device Policy при инициализации по NFC.

connectivitycheck.android.com
connectivitycheck.gstatic.com

www.google.com

TCP/443 Используются в ОС Android, чтобы проверять возможность обмена данными при каждом подключении устройства к какой-либо сети Wi-Fi или мобильной сети.
Для выполнения такой проверки на устройствах Android (начиная с версии N MR1) требуется, чтобы был доступен сайт https://www.google.com/generate_204 или чтобы в заданной сети Wi-Fi был указан доступный PAC-файл.

ota.googlezip.net

ota-cache1.googlezip.net

ota-cache2.googlezip.net

TCP/443 Используются в устройствах Pixel для беспроводного обновления.

mtalk.google.com

mtalk4.google.com

mtalk-staging.google.com

mtalk-dev.google.com

alt1-mtalk.google.com

alt2-mtalk.google.com

alt3-mtalk.google.com

alt4-mtalk.google.com

alt5-mtalk.google.com

alt6-mtalk.google.com

alt7-mtalk.google.com

alt8-mtalk.google.com

android.clients.google.com

device-provisioning.googleapis.com
 

TCP/443, 5228–5230 Позволяют мобильным устройствам подключаться к FCM при наличии брандмауэра организации в сети. Подробнее…

 

Консоли

 

Если консоль EMM расположена локально, то для создания корпоративного Google Play и получения доступа к окну iframe корпоративного Google Play необходимо, чтобы в сети были доступны приведенные ниже целевые хосты. Чтобы упростить поиск и одобрение приложений, в Google предоставили разработчикам EMM доступ к окну iframe корпоративного Google Play.

 
Целевой хост Порты Назначение

www.googleapis.com

androidmanagement.googleapis.com

TCP/443

Play EMM API (о доступности узнавайте у своего поставщика услуг EMM).

Android Management API (о доступности узнавайте у своего поставщика услуг EMM).

play.google.com

www.google.com

TCP/443

Google Play.

Повторная регистрация в Play Enterprise.

fonts.googleapis.com

*.gstatic.com

TCP/443

JS-файл окна iframe.

Шрифты Google Fonts.

Контент, созданный пользователями (например, значки приложений в магазине).

accounts.youtube.com

accounts.google.com

accounts.google.com.*

TCP/443

Аутентификация аккаунта.

Домены отдельных стран для аутентификации аккаунтов.

fcm.googleapis.com

TCP/443, 5228–5230

Firebase Cloud Messaging (например, обмен данными между сервисом "Найти устройство", консолью EMM и контроллером политик на устройствах, в частности для передачи конфигурации).

crl.pki.goog

ocsp.pki.goog

TCP/443

Проверка сертификатов.

apis.google.com

ajax.googleapis.com

TCP/443

GCM, другие веб-сервисы Google и JS-файл окна iframe.

clients1.google.com

payments.google.com

google.com

TCP/443

Одобрение приложений.

ogs.google.com

TCP/443

Элементы интерфейса окна iframe.

notifications.google.com

TCP/443

Уведомления на ПК и мобильных устройствах.

enterprise.google.com/android/*

TCP/443

Android Enterprise Essentials и консоли автоматической настройки.

 

Статический IP-адрес

Конечным точкам сервисов Google не присваиваются определенные IP-адреса. Если необходимо разрешить трафик для определенных IP-адресов, в настройках брандмауэра откройте исходящие подключения ко всем адресам в блоках, относящихся к номеру AS15169 (владелец – Google). Со списком адресов можно ознакомиться здесь.

Примечание. В блоках AS15169 не указаны IP-адреса одноранговых и граничных узлов Google. Узнать больше о граничной сети компании Google можно на сайте peering.google.com.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню