Cisco UmbrellaとiCloudプライベートリレーの有効化

はじめに

このドキュメントでは、iCloudプライベートリレーでUmbrella機能を有効にするための設定について説明します。

iCloudプライベートリレーについて

iCloud Private Relayは、サブスクリプションiCloud製品の一部としてAppleが提供するサービスです。これにより、AppleデバイスはDNSとWebトラフィックをトラッキングから保護できます。このサービスはAppleデバイスではオプションで、サブスクリプションをアクティブにする必要があります。

iCloudプライベートリレーとCisco Umbrella

iCloudプライベートリレーは、アクティブになるとUmbrella機能を上書きします。エンタープライズネットワーク上でカバレッジを維持するために、この『Appleサポートページ』の手順に従ってカナリドメインをネットワーク上に設定できます。

macOS上のMDMおよび監視付きiOS

iCloudプライベートリレーを無効にするには、このペイロードの値をfalseに設定します。

allowCloudPrivateRelay

その他すべてのデバイス

iCloudプライベートリレーがネットワーク上でアクティブにならないようにするには、ドメインをNXDOMAINまたはNODATA応答で応答するように設定します。

mask.icloud.com
mask-h2.icloud.com

設定すると、iCloudプライベートリレーユーザには、「プライベートリレーは「ネットワーク名」に対してオフになっています」という通知が表示され、このネットワークでiCloudプライベートリレーを使用することは許可されません。

限定的な可用性での包括の適用

Umbrellaでは、組織に対してこの上書きを設定できます。ご要望がありましたら、umbrella-support@cisco.com宛てにメッセージをお送りください。iCloudドメインをNODATA応答で上書きすると、コンテンツ分類に一致するものはすべて、ブロックページIPに優先して返されます。これはユーザエクスペリエンスに影響し、macOSおよびiOSデバイスでタイムアウトが発生する可能性があります。オーバーライドを設定したら、すべての関連ポリシーの許可リストに次のドメインを追加します。

mask.icloud.com
mask-h2.icloud.com
mask-api.icloud.com
mask.apple-dns.net

iCloudプライベートリレーおよびCisco UmbrellaとCisco Security Connectorアプリケーション

ネットワークレベルのカバレッジを受信する、Umbrellaがインストールされていないデバイスとは異なり、すべてのDNS要求は引き続きUmbrellaに記録されます。ただし、DNSブロックがiCloudプライベートリレーによってプロキシ処理されず、上書きされないようにするには、カナリドメインが必要です。