購入する または契約更新する
購入する または契約更新する
Cisco Umbrella および Secure Access のリリースノートとアナウンスが利用可能になりました!詳細はこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
616
閲覧回数
1
いいね!
0
コメント

Umbrella: DNS リクエストが複数の組織にまたがる場合のポリシー選択とレポート表示

xzhao
Cisco Employee
Cisco Employee

‎2021-09-09 11:41 AM - 最終編集日: ‎2023-01-04 05:59 PM 、編集者: Level 7

 

※ 2023 年 1 月 4 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、1 つの DNS リクエストに対して、複数の組織 (Organization) のアイデンティティが関連付くシチュエーションの具体例を挙げ、そういった状況におけるポリシーの選択、ブロックページの表示、レポートの表示について解説します。

 

なお、本記事で行う説明は、将来的に変更になる可能性があります。詳しくは以下のサポート記事を参照してください。

 

Umbrella Policy Selection Involving Multiple Organizations

https://support.umbrella.com/hc/en-us/articles/4402908446612

 

2. 具体例 (1)

 

まずは、ひとつの DNS リクエストにアイデンティティが複数含まれ、かつそれぞれのアイデンティティが別の組織に属する具体例を紹介します。

 

ある組織 A で働く X さんの PC には Roaming Client がインストールされており、組織 A が契約した Umbrella サブスクリプション上で管理されています。

 

ある日、X さんが関連組織 B に出張しました。組織 B には組織 B が契約した Umbrella サブスクリプションがあり、組織 B のネットワークで使っているグローバル IP アドレスを Networks アイデンティティとして登録しています。

 

X さんが組織 B のオフィスで仕事をするということは、X さんの PC 上で生成される DNS リクエストには、組織 A Roaming Computers および組織 B Networks、2 つのアイデンティティが存在することになります。

 

このような場合にどのようにポリシーが選択されるのでしょうか。それぞれの組織において以下のポリシー設定がされていた場合を考えます。

 

組織 A

ポリシー 1  Networks

ポリシー 2  Roaming Computers

 

組織 B

ポリシー 1  Networks

ポリシー 2  Roaming Computers

 

実は、この場合のポリシーの選択方法は、単一の組織の場合の決め方と同様で、最上位にあるポリシーが優先されます。つまり、組織 A Roaming Computers 2 番目であり、組織 B Networks は1 番目であるため、組織 B Networks 用のポリシーが選択されます。

 

※ Default Policy には順位の概念がなく、手動で作成されたすべてのポリシーよりも優先度が低い扱いとなります

※ 両方の組織で同じ順位のポリシーが選ばれた場合、基本的にアイデンティティの優先度に従います

 

3. 具体例 (2)

 

もう一つの具体例として、複数の組織でグローバル IP アドレスを共用している場合が挙げられます。例えば、組織 A と組織 B は同じネットワークを利用しており、グローバル IP アドレスも共用です。

 

もし、組織 A がこのグローバル IP アドレスを Networks アイデンティティとして登録している場合、組織 B では同じグローバル IP アドレスを Networks アイデンティティとして利用できず、代わりに Roaming Computers Mobile Devices など、他のアイデンティティを利用する必要があります。

 

このような状況において、それぞれの組織で以下のポリシー設定がされていた場合を考えます。

 

組織 A

ポリシー 1  Networks

ポリシー 2  Roaming Computers

 

組織 B

ポリシー 1  Roaming Computers

ポリシー 2  Mobile Device

 

この場合、組織 A のユーザーは問題なく組織 A のポリシーを利用できますが、組織 B のユーザーの Mobile Devices アイデンティティが選ばれることはありません。

 

このような状況を解決するには、両組織が話し合い、組織 A のポリシーが組織 B のポリシーの邪魔にならないように、順位を調整する必要があります。

 

4. ブロックページとレポートの表示

 

複数の組織にまたがるアクセスがブロックされた場合、表示されるブロックページ内にユーザーにその旨を伝える記述がなされます。以下は、internetbadguys.com にアクセスしたときの例です。

 

JapanTAC_CSC_0-1672819204170.png

 

また、複数の組織にまたがる場合のレポートの表示についてですが、ポリシー選択が行われた側の組織の Activity Search レポートにのみログが記録されます。言い換えると、ポリシーが選択されなかった方の組織には一切ログが記録されません。

 

また、組織 A 側にログが記録された場合、その中には組織 Bに関するアイデンティティ情報は一切含まれません (情報漏洩防止の観点から)。

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents