简介
本文档介绍在iCloud私有中继上启用Umbrella功能的配置。
关于iCloud私有中继
iCloud私有中继是Apple作为订用iCloud产品的一部分提供的服务。这使得Apple设备能够保护其DNS和网络流量不受跟踪。此服务对于Apple设备是可选的,需要订用才能激活。
iCloud私有中继和Cisco Umbrella
iCloud专用中继在激活时覆盖Umbrella功能。为了维持企业网络的覆盖范围,可以按照此Apple支持页面上的说明在网络上配置canary域。
MacOS和监督iOS上的MDM
要禁用iCloud私有中继,请使用值false推送此负载。
allowCloudPrivateRelay
所有其他设备
要防止iCloud私有中继在网络中激活,请将域设置为使用NXDOMAIN或NODATA响应进行响应:
mask.icloud.commask-h2.icloud.com
设置后,iCloud私有中继用户会被告知“Private Relay is off for 'network name'”,并且不允许在此网络上使用iCloud私有中继。
在有限可用性下使用Umbrella实施
Umbrella能够为您的组织设置此覆盖。要请求此服务,请发送邮件至umbrella-support@cisco.com。使用NODATA响应覆盖iCloud域时,任何内容分类匹配项都会取代并返回块页面IP。这会影响用户体验,并可能导致macOS和iOS设备超时。配置覆盖后,将这些域添加到所有相关策略的允许列表:
mask.icloud.commask-h2.icloud.com
mask-api.icloud.com
mask.apple-dns.net
iCloud私有中继和思科Umbrella以及思科安全连接器应用
与未安装Umbrella的设备不同,这些设备会收到网络级别的覆盖,所有DNS请求将继续记录到Umbrella;但是,需要使用canary域来确保DNS块不由iCloud私有中继代理并被覆盖。
反馈