はじめに
このドキュメントでは、Cisco Umbrellaのグループポリシーオブジェクト(GPO)を使用して、FirefoxおよびChromeでDNS over HTTPS(DoH)を維持および無効にする方法について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco Umbrellaに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
概要
DNS over HTTPS(DoH)は、複数のWebブラウザに追加された機能で、DNSがHTTPS経由でシステムのDNSスタックをバイパスできるようにします。多くの場合、この機能を無効にして、WebブラウザがUmbrella設定を上書きしないようにすることができます。
FirefoxとChromeは両方ともDoH機能を提供し、ネットワークと管理対象のコンピュータでDoHの使用を防止する機能を備えています。ただし、DoHの実装はブラウザによって大きく異なります。
Firefoxの場合
Firefoxは、デフォルトで1.1.1.1のCloudFlareにDNSが送信されるデフォルトのDoH設定で動作します。この設定では、システムのDNS設定は考慮されません。
これに対処するために、UmbrellaはデフォルトでDoHを無効にするように上書きを設定します(詳細については、こちらの記事を参照してください)。 ただし、この上書きは、明示的に設定されたDoH設定がない場合にのみ有効になります。DoHを有効にしてFirefox DNSをシステム設定から切り離さないようにするには、GPO設定が必要です。
無効にするには、「network.trr.mode」の値を0に設定します。詳細については、Firefox TRRの設定を参照してください。
Firefoxでのエンタープライズポリシー管理の詳細については、Mozillaのドキュメントを参照してください。
クロム
Chromeは、Umbrellaを含む複数のプロバイダーでDoHをサポートしています。Firefoxとは異なり、Chrome DoHは、システムDNSがDNSプロバイダーに参加している場合にのみ有効にできます。したがって、システムDNSがローカルDNSサーバまたはローミングクライアントの場合はイネーブルにできませんが、ローカルDNSが208.67.220.220および208.67.222.222の場合はイネーブルにできます。したがって、ChromeはDNSをシステムDNSから遠ざけるのではなく、DoHで拡張します。
Chrome DoH実験の初期段階で、デバイスが管理対象であるか、ADに参加しているか、またはエンタープライズポリシーが適用されている場合、ChromeはDoHを無効にすることができます。
詳細については、ChromeのWebサイトを参照してください。
Chromeでのエンタープライズポリシーの管理の詳細については、Chromeのドキュメントを参照してください。
フィードバック