Android Enterprise 網路需求

下文專供 IT 管理員參考，以便他們為 Android Enterprise 裝置決定最佳的網路設定方式。

防火牆規則

Android 裝置通常不必在網路上開啟輸入通訊埠就能正常運作。不過，在為 Android Enterprise 設定網路環境時，IT 管理員應留意幾個輸出連線。

下列清單可能有所變動，其中包含 Enterprise Management API 目前與過往版本的已知端點。

請注意，這類端點大多數都無法瀏覽，因此您可以放心封鎖這些網址的通訊埠 80 (皆採用安全資料傳輸層 (SSL))。

無論您是使用 Play EMM API 還是 Android Management API 實作 EMM 解決方案，都適用本文包含的規則。

傳送至這些端點的流量也應略過安全資料傳輸層 (SSL) 檢查。系統通常會將由安全資料傳輸層 (SSL) 攔截並導向 Google 服務的流量視為中間人攻擊，因而封鎖這類流量。

請注意，原始設備製造商 (OEM) 的裝置通常需要與自家主機連線才能正常運作。如需額外的通訊埠，請與您的裝置製造商聯絡。

裝置

目標主機	通訊埠	目的
play.google.com android.com google-analytics.com googleusercontent.com gstatic.com .gvt1.com .ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com .gvt2.com *.gvt3.com	TCP/443 TCP、UDP/5228-5230	Google Play 和更新 gstatic.com、googleusercontent.com：包含使用者原創內容，例如商店中的應用程式圖示 gvt1.com、.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com：下載應用程式和更新、Play Store API gvt2.com 和 gvt3.com 會用於監控及診斷 Play 連線情形。
*.googleapis.com m.google.com	TCP/443	EMM/Google API/PlayStore API/Android Management API
accounts.google.com accounts.google.<國家/地區>	TCP/443	驗證為 accounts.google.<國家/地區> 的 <國家/地區> 套用當地頂層網域。舉例來說，澳洲請使用 accounts.google.com.au，英國請使用 accounts.google.co.uk。
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com	TCP/443、5228 - 5230	Google 雲端通訊，例如推送設定這類 EMM 控制台與裝置政策控制器 (DPC) 之間的通訊
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com	TCP/443、5228 - 5230	Firebase 雲端通訊，例如「尋找我的裝置」功能、推送設定這類 EMM 控制台與裝置政策控制器 (DPC) 之間的通訊。如需 FCM 的最新資訊，請前往這裡。
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com	TCP/5235、5236	在採用連線至 FCM 和 GCM 伺服器的永久雙向 XMPP 連線時使用
pki.google.com clients1.google.com	TCP/443	檢查 Google 發行憑證的憑證撤銷清單檢查作業
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com	TCP/443	多個 Google 後端服務共用的網域，例如當機回報、Chrome 書籤同步功能、時間同步 (tlsdate) 等多種其他服務
omahaproxy.appspot.com	TCP/443	Chrome 更新
android.clients.google.com	TCP/443	用於 NFC 佈建程序的 Android Device Policy 下載網址
connectivitycheck.android.com connectivitycheck.gstatic.com www.google.com	TCP/443	只要裝置連上任何 Wi-Fi 或行動網路，Android 作業系統就會使用這些主機檢查連線。 Android 連線檢查功能 (開頭為「N MR1」) 必須可連上 https://www.google.com/generate_204，或指向可存取 PAC 檔案的特定 Wi-Fi 網路。
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net	TCP/443	Pixel 裝置會使用這些主機執行 OTA 更新
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com	TCP/443、5228 - 5230	在機構設有網路防火牆的情況下，允許行動裝置連線至連線到 FCM。詳情請參閱這篇文章

控制台

如果 EMM 控制台位於地端部署環境中，您必須能透過網路連線至下列目的地，才能建立企業適用的 Google Play 管理版，並存取 Google Play 管理版 iframe。Google 已向 EMM 開發人員提供 Google Play 管理版 iframe，以簡化應用程式的搜尋和核准作業。

目標主機	通訊埠	目的
www.googleapis.com androidmanagement.googleapis.com	TCP/443	Play EMM API (如果適用的話)。詳情請洽詢您的 EMM Android Management API (如果適用的話)。詳情請洽詢您的 EMM
play.google.com www.google.com	TCP/443	Google Play 商店重新註冊 Play Enterprise
fonts.googleapis.com *.gstatic.com	TCP/443	iframe JS Google Fonts 使用者自製內容，例如商店中的應用程式圖示
accounts.youtube.com accounts.google.com accounts.google.com.*	TCP/443	帳戶驗證特定國家/地區的帳戶驗證網域
fcm.googleapis.com	TCP/443、5228 - 5230	Firebase 雲端通訊，例如「尋找我的裝置」功能、推送設定這類 EMM 控制台與裝置政策控制器 (DPC) 之間的通訊
crl.pki.goog ocsp.pki.goog	TCP/443	憑證驗證
apis.google.com ajax.googleapis.com	TCP/443	GCM、其他 Google 網路服務和 iframe JS
clients1.google.com payments.google.com google.com	TCP/443	核准應用程式
ogs.google.com	TCP/443	iframe UI 元素
notifications.google.com	TCP/443	電腦/行動裝置通知
enterprise.google.com/android/*	TCP/443	Android Enterprise 基本功能與零接觸控制台

靜態 IP

Google 不會提供其服務端點的特定 IP 位址。如果您需要根據 IP 決定是否允許傳輸流量，請查看 Google ASN 15169 中所列的 IP 區塊，並允許防火牆接受連線至所列區塊中所有位址的輸出連線 (按這裡即可查看 IP 位址清單)。

請注意，Google 對等節點和邊緣節點的 IP 未列在 AS15169 區塊中。如要進一步瞭解 Google Edge Network，請參閱 peering.google.com。

這對您有幫助嗎？

我們應如何改進呢？