簡介
本文檔介紹在iCloud專用中繼上啟用Umbrella功能的配置。
關於iCloud私有中繼
iCloud Private Relay是Apple作為訂用iCloud產品的一部分提供的服務。這使得Apple裝置能夠保護其DNS和網路流量不受跟蹤。此服務對於Apple裝置是可選的,需要訂閱才能啟用。
iCloud私人中繼和思科資安防護傘
iCloud Private Relay會在啟用時覆蓋Umbrella功能。為了維持企業網路的覆蓋範圍,可以按照此Apple支援頁面上的說明在網路上配置canary域。
MacOS和受監督iOS上的MDM
要禁用iCloud私有中繼,請用值false推送此負載。
allowCloudPrivateRelay
所有其他裝置
要防止iCloud專用中繼在網路中啟用,請將域設定為使用NXDOMAIN或NODATA響應進行響應:
mask.icloud.commask-h2.icloud.com
設定後,iCloud私有中繼使用者會被告知「為『網路名稱』關閉私有中繼」,並且不允許在此網路上使用iCloud私有中繼。
在有限可用性中通過Umbrella實施
Umbrella能夠為您的組織設定此覆蓋。要請求此服務,請傳送郵件至umbrella-support@cisco.com。使用NODATA響應覆蓋iCloud域時,任何內容分類匹配都會取代並返回塊頁面IP。這會影響使用者體驗,並可能導致macOS和iOS裝置超時。配置覆蓋後,將這些域新增到所有相關策略的允許清單中:
mask.icloud.commask-h2.icloud.com
mask-api.icloud.com
mask.apple-dns.net
iCloud專用中繼和思科保護傘,以及思科安全聯結器應用
與未安裝Umbrella且接收網路級別覆蓋的裝置不同,所有DNS請求繼續記錄到Umbrella;但是,需要使用canary域來確保DNS塊不由iCloud專用中繼代理並被覆蓋。
意見