在存在「腦裂」DNS 的網路環境中 (即只能透過 (內部) 私有 DNS 名稱伺服器來解析屬於特定網域的主機名稱),通常必須從網路威脅防護組態中略過那些網域。否則,便會將那些私有/內部主機名稱查詢傳送到 Jamf,它會嘗試公開解析,而在大部分情況下均會失敗。
在使用 VPN 的地方,或在裝置 (直接連線到組織的區域網路 (例如,透過 Wi-Fi 或乙太網路) 時) 應該只能解析與連線到特定服務的情況下,這是非常常見的。
與用於停用端點上之網路威脅防護的解決方案不同的是,在此狀況下,雖然可能適合將網路威脅防護維持在作用中,以防止裝置遭受網路威脅,但卻要略過 (即忽略) 組織所擁有的特定網域。
如要這麼做,請在 DNS Settings (DNS 設定) 設定檔的 On Demand rules (隨選規則) 區段中定義 EvaluateConnection 規則。從 Jamf Security Cloud寄送 DNS 設定和已配置的某些規則,以便您將自己的項目新增到現有的 EvaluateConnection 字典中。
假設您希望所有 DNS 查詢均以 .company.com 和 .company.lcl 為目的地,以一律略過網路威脅防護服務 (因而根據裝置目前的網路連線,使用裝置上所設定的任何 DNS 解析程式),則您會將 On Demand rules (隨選規則) 修改如下:
<array>
<dict>
<key>Action</key>
<string>EvaluateConnection</string>
<key>ActionParameters</key>
<array>
<dict>
<key>DomainAction</key>
<string>NeverConnect</string>
<key>Domains</key>
<array>
<string>*.customer.com</string>
<string>*.customer.lcl</string>
<string>*.jamf.com</string>
<string>*.jamfcloud.com</string>
<string>*.push.apple.com</string>
<string>identity.apple.com</string>
<string>iprofiles.apple.com</string>
<string>setup.icloud.com</string>
<string>vpp.itunes.apple.com</string>
<string>deviceservices-external.apple.com</string>
</array>
</dict>
</array>
</dict>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array> 該服務會略過 *.jamf.com 與 *.jamfcloud.com,以及特定的 Apple 服務,讓服務在主要網路威脅防護中斷時仍能繼續運作。這會允許在網路威脅防護服務中斷時,暫時將該服務從端點中移除。
如未使用 Jamf Cloud,Jamf 建議將您 macOS 裝置用來與 MDM 伺服器進行通訊的主機名稱 (例如,mdm.company.com) 新增到 EvaluateConnection 主機清單。