以下の記事は、Android Enterprise デバイス向けのネットワークを設定する最適な方法を判断するにあたって参考になるよう、IT 管理者向けに作成されました。
ファイアウォール ルール
Android デバイスは通常、ネットワーク上で受信ポートを開放しなくても、正常に動作します。一方、Android Enterprise のネットワーク環境を設定する際、IT 管理者は次の送信接続を認識しておいてください。
以下のリストは変更される可能性があります。このリストには、エンタープライズ管理 API の現行バージョンと過去のバージョンの既知のエンドポイントが含まれています。
注: これらのエンドポイントのほとんどは閲覧できません。そのため、これらの URL(すべて SSL で保護されています)に対してポート 80 を安全にブロックできます。
アプリやサービスによって、必須となるエンドポイントが異なります。すべてのエンドポイントに到達するには、直接接続が必要です。プロキシを介してデバイスが接続されている場合、直接通信は行えず、一部の機能が利用できなくなります。
この記事に含まれるルールは、Play EMM API または Android Management API のどちらを使用して EMM ソリューションが実装されているかにかかわらず、適用されます。
これらのエンドポイントへのトラフィックも SSL インスペクションをバイパスする必要があります。SSL によってインターセプトされた Google サービスへのトラフィックは、多くの場合、中間者攻撃と解釈されてブロックされます。
デバイス
| 宛先ホスト | ポート | 目的 |
|---|---|---|
|
play.google.com android.com google-analytics.com googleusercontent.com *gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com |
TCP / 443 TCP、UDP / 5228~5230 |
Google Play とアップデート gstatic.com、googleusercontent.com - ユーザー作成コンテンツ(ストア内のアプリアイコンなど)が含まれます *gvt1.com、*.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com - アプリとアップデートのダウンロード、Play ストア API gvt2.com と gvt3.com は、Play の接続状態のモニタリングと診断に使用されます。 |
| *.googleapis.com m.google.com |
TCP / 443 | EMM / Google API / PlayStore API / Android Management API |
|
accounts.google.com accounts.google.[国別ドメイン] |
TCP / 443 |
認証 accounts.google.[国別ドメイン] の [国別ドメイン] の部分には、拠点とする国や地域のトップレベル ドメインを使用します。たとえば、オーストラリアでは accounts.google.com.au、英国では accounts.google.co.uk を使用します。 |
|
gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com |
TCP / 443、5228~5230 | Google Cloud Messaging(例: 構成の push などの EMM コンソール <-> DPC 間通信) |
|
fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com |
TCP / 443、5228~5230 | Firebase Cloud Messaging(例: 「デバイスを探す」、構成の push などの EMM コンソール <-> DPC 間通信)。FCM の最新情報については、こちらをクリックしてください。 |
|
fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com |
TCP / 5235、5236 | FCM および GCM サーバーへの永続的な双方向 XMPP 接続を使用する場合 |
|
pki.google.com clients1.google.com |
TCP / 443 | 証明書失効リストでの Google が発行した証明書の確認 |
|
clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com |
TCP / 443 | 障害レポートの作成、Chrome ブックマークの同期、時刻同期(tlsdate)など、さまざまな Google バックエンド サービスによって共有されるドメイン |
| chromiumdash.appspot.com | TCP / 443 | Chrome の更新 |
| android.clients.google.com | TCP / 443 | NFC プロビジョニングで使用する Android Device Policy のダウンロード URL |
|
connectivitycheck.android.com google.com |
TCP / 443 | デバイスが Wi-Fi またはモバイル ネットワークに接続するたびに、Android OS で接続チェックに使用されます。 N MR1 以降の Android の接続チェックには、https://google.com/generate_204 が到達可能であるか、指定された Wi-Fi ネットワークが到達可能な PAC ファイルを指している必要があります。 |
|
ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net |
TCP / 443 | Google Over The Air(GOTA)アップデートを使用して OTA アップデートを配信する OEM が使用します。これらが必要な場合は、OEM に確認してください。 |
|
mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com |
TCP / 443、5228~5230 | 組織のファイアウォールがネットワーク上にある場合に、モバイル デバイスから FCM に接続できるようにします(詳しくはこちらでご覧ください)。 |
| time.google.com | UDP / 123 | プロビジョニング中、Android デバイスは NTP サーバーにアクセスする必要があります。通常、このアクセスはポート UDP / 123 を介して行われます。この設定は OEM が変更できます。 |
|
android-safebrowsing.google.com safebrowsing.google.com |
TCP / 443 | セーフ ブラウジング エンドポイントは Google Play プロテクトに使用されます。 |
コンソール
EMM コンソールがオンプレミスにある場合、managed Google Play Enterprise の作成、および managed Google Play iframe へのアクセスを可能にするには、ネットワークから下記の宛先に到達できる必要があります。Google では、アプリの検索と承認を簡単にするため、EMM デベロッパーが managed Play iframe を利用できるようにしました。
| 宛先ホスト | ポート | 目的 |
|---|---|---|
|
googleapis.com androidmanagement.googleapis.com |
TCP / 443 |
Play EMM API(該当する場合 - EMM にお問い合わせください) Android Management API(該当する場合 - EMM にお問い合わせください) |
|
play.google.com google.com |
TCP / 443 |
Google Play ストア Play Enterprise の再登録 |
|
fonts.googleapis.com *.gstatic.com |
TCP / 443 |
iframe JS Google Fonts ユーザー作成コンテンツ(例: ストア内のアプリアイコン) |
|
accounts.youtube.com accounts.google.com accounts.google.com.* |
TCP / 443 |
アカウント認証 国別のアカウント認証ドメイン |
|
fcm.googleapis.com |
TCP / 443、5228~5230 |
Firebase Cloud Messaging(例: 「デバイスを探す」、構成の push などの EMM コンソール <-> DPC 間通信) |
|
crl.pki.goog ocsp.pki.goog |
TCP / 443 |
証明書の検証 |
|
apis.google.com ajax.googleapis.com |
TCP / 443 |
GCM、その他の Google ウェブサービス、iframe JS |
|
clients1.google.com payments.google.com google.com |
TCP / 443 |
アプリの承認 |
|
ogs.google.com |
TCP / 443 |
iframe UI 要素 |
|
notifications.google.com |
TCP / 443 |
デスクトップ / モバイル通知 |
|
enterprise.google.com/android/* |
TCP / 443 |
ゼロタッチ コンソール |
静的 IP
Google では、サービス エンドポイントに特定の IP アドレスまたは IP アドレスの範囲を提供していません。IP に基づいてトラフィックを許可する必要がある場合は、こちらの Google の ASN 15169 に記載されている IP ブロックに含まれるすべてのアドレスへの発信接続の受信を、ファイアウォールに許可する必要があります。