ネットワークセキュリティポリシーにより、エンドポイントでネットワーク脅威防御を完全に無効にすることが要求される特定の状況があります。これらの状況には次があります:
デバイスが使用する必要があるローカルセキュリティスタックまたはプロキシがある企業ネットワークを、デバイスが使用している場合。
デバイスが企業向け VPN を使用して接続する場合、すべての DNS リクエストは企業の DNS ネームサーバによって処理される必要がある。
このルールを構成するには、ネットワーク脅威防御を無効にする特定のネットワーク状態のクライテリアを定義します。この基準には次があります:
Wi-Fi SSID
DNS ネームサーバの IP アドレス
DNS 検索ドメインの一致がデバイスに割り当てられます
これらの基準の定義の一部として、その基準が一致したときに切断することになる接続を定義します。
次の例は、デバイスのネットワーク脅威防御サービスで次の操作を実行するオンデマンドルールペイロードのサンプルを示しています。次の順序で評価されます:
デバイスに発行された DNS 検索ドメインが
*.customer.comと一致する場合、ネットワーク脅威防御を無効にします。デバイスに発行された DNS ネームサーバのアドレスが
10.102.46.20または10.102.46.30である場合、ネットワーク脅威防御を無効にします。そうでなければ、ネットワーク脅威防御を有効にします。
<array>
<dict>
<key>DNSDomainMatch</key>
<array>
<string>*.customer.com</string>
</array>
<key>Action</key>
<string>Disconnect</string>
</dict>
<dict>
<key>DNSServerAddressMatch</key>
<array>
<string>10.102.46.20</string>
<string>10.102.46.30</string>
</array>
<key>Action</key>
<string>Disconnect</string>
</dict>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>次の手順を使用して、接続しているネットワークによって構成されている DNS 検索ドメインと DNS ネームサーバのアドレスを検出できます:
ターミナルでは、ネットワーク脅威防御が無効であることを望むように、macOS デバイスがネットワークに接続されているときに、コマンド scutil --dns を入力します。
結果の応答には、次のように、検索ドメインと DNS ネームサーバの IP のリストが含まれています:
DNS configuration resolver #1 search domain[0] : cof.ds.customer.com search domain[1] : ds.customer.com search domain[2] : kdc.customer.com search domain[3] : osd.dev.customer.com search domain[4] : dev.customer.com search domain[5] : uk.customer.com search domain[6] : customer.com nameserver[0] : 10.102.46.20 nameserver[1] : 10.102.46.30続いて、デバイスが "off net" のときに同じコマンドを発行し、返された値が返された "on net" の値と十分に異なることを確認します。 次に、これらの "on net" の値を使用して、ネットワーク脅威防御を無効にする条件を定義できます。