"split-brain" DNS が存在するネットワーク環境、つまり、特定のドメインに属しているホスト名が (内部の) プライベート DNS ネームサーバによってのみ解決できるネットワーク環境では、多くの場合、ネットワーク脅威防御の構成からそれらのドメインをバイパスする必要があります。そうしなければ、これらのプライベート/内部ホスト名のルックアップは Jamf に送信され、そこでパブリックソリューションが試行され、ほとんどの場合失敗します。
これは、VPN が使用されているところでは、またはデバイスが、オーガニゼーションのローカルネットワーク (Wi-Fi やイーサネット経由など) に直接接続されているときにのみ特定のサービスを解決して接続できる必要がある状況では、非常に一般的です。
このシナリオでは、エンドポイントでネットワーク脅威防御を無効にするソリューションとは異なり、特定のオーガニゼーション所有のドメインをバイパス (無視) するためではなく、デバイスをネットワーク脅威から保護するために、ネットワーク脅威防御をアクティブのままにしておくことが望ましい場合があります。
これを行うには、DNS 設定プロファイルのオンデマンドルールのセクションで、EvaluateConnection ルールを定義します。DNS 設定は、これらのルールのいくつかが既に構成された状態で Jamf Security Cloud から出荷されるため、既存の EvaluateConnection ディクショナリに独自のエントリを追加できます。
.company.com と .company.lcl 向けのすべての DNS ルックアップに、ネットワーク脅威防御サービスを常にバイパスさせたいとすれば、(それにより、現在のネットワーク接続を前提としたデバイスで設定されている DNS リゾルバーを使用します)、オンデマンドルールを次のように変更することになるでしょう。
<array>
<dict>
<key>Action</key>
<string>EvaluateConnection</string>
<key>ActionParameters</key>
<array>
<dict>
<key>DomainAction</key>
<string>NeverConnect</string>
<key>Domains</key>
<array>
<string>*.customer.com</string>
<string>*.customer.lcl</string>
<string>*.jamf.com</string>
<string>*.jamfcloud.com</string>
<string>*.push.apple.com</string>
<string>identity.apple.com</string>
<string>iprofiles.apple.com</string>
<string>setup.icloud.com</string>
<string>vpp.itunes.apple.com</string>
<string>deviceservices-external.apple.com</string>
</array>
</dict>
</array>
</dict>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array> このサービスは、ネットワーク脅威防御の大規模な停止が発生した場合に、*.jamf.com と *.jamfcloud.com を特定の Apple サービスと共にバイパスして、サービスを継続できるようにします。これにより、サービスが停止した場合に、ネットワーク脅威防御サービスをエンドポイントから一時的に削除できます。
Jamf Cloud を使用していない場合は、MDM サーバと通信するために macOS デバイスによって使用されているホスト名 (mdm.company.com など) を、EvaluateConnection ホストのリストに追加することをお勧めします。