※ 2023 年 1 月 4 日現在の情報をもとに作成しています
1. はじめに
本記事では、1 つの DNS リクエストに対して、複数の組織 (Organization) のアイデンティティが関連付くシチュエーションの具体例を挙げ、そういった状況におけるポリシーの選択、ブロックページの表示、レポートの表示について解説します。
なお、本記事で行う説明は、将来的に変更になる可能性があります。詳しくは以下のサポート記事を参照してください。
Umbrella Policy Selection Involving Multiple Organizations
https://support.umbrella.com/hc/en-us/articles/4402908446612
2. 具体例 (1)
まずは、ひとつの DNS リクエストにアイデンティティが複数含まれ、かつそれぞれのアイデンティティが別の組織に属する具体例を紹介します。
ある組織 A で働く X さんの PC には Roaming Client がインストールされており、組織 A が契約した Umbrella サブスクリプション上で管理されています。
ある日、X さんが関連組織 B に出張しました。組織 B には組織 B が契約した Umbrella サブスクリプションがあり、組織 B のネットワークで使っているグローバル IP アドレスを Networks アイデンティティとして登録しています。
X さんが組織 B のオフィスで仕事をするということは、X さんの PC 上で生成される DNS リクエストには、組織 A の Roaming Computers および組織 B の Networks、2 つのアイデンティティが存在することになります。
このような場合にどのようにポリシーが選択されるのでしょうか。それぞれの組織において以下のポリシー設定がされていた場合を考えます。
組織 A
ポリシー 1 Networks
ポリシー 2 Roaming Computers
組織 B
ポリシー 1 Networks
ポリシー 2 Roaming Computers
実は、この場合のポリシーの選択方法は、単一の組織の場合の決め方と同様で、最上位にあるポリシーが優先されます。つまり、組織 A の Roaming Computers は 2 番目であり、組織 B の Networks は1 番目であるため、組織 B の Networks 用のポリシーが選択されます。
※ Default Policy には順位の概念がなく、手動で作成されたすべてのポリシーよりも優先度が低い扱いとなります
※ 両方の組織で同じ順位のポリシーが選ばれた場合、基本的にアイデンティティの優先度に従います
3. 具体例 (2)
もう一つの具体例として、複数の組織でグローバル IP アドレスを共用している場合が挙げられます。例えば、組織 A と組織 B は同じネットワークを利用しており、グローバル IP アドレスも共用です。
もし、組織 A がこのグローバル IP アドレスを Networks アイデンティティとして登録している場合、組織 B では同じグローバル IP アドレスを Networks アイデンティティとして利用できず、代わりに Roaming Computers や Mobile Devices など、他のアイデンティティを利用する必要があります。
このような状況において、それぞれの組織で以下のポリシー設定がされていた場合を考えます。
組織 A
ポリシー 1 Networks
ポリシー 2 Roaming Computers
組織 B
ポリシー 1 Roaming Computers
ポリシー 2 Mobile Device
この場合、組織 A のユーザーは問題なく組織 A のポリシーを利用できますが、組織 B のユーザーの Mobile Devices アイデンティティが選ばれることはありません。
このような状況を解決するには、両組織が話し合い、組織 A のポリシーが組織 B のポリシーの邪魔にならないように、順位を調整する必要があります。
4. ブロックページとレポートの表示
複数の組織にまたがるアクセスがブロックされた場合、表示されるブロックページ内にユーザーにその旨を伝える記述がなされます。以下は、internetbadguys.com にアクセスしたときの例です。
また、複数の組織にまたがる場合のレポートの表示についてですが、ポリシー選択が行われた側の組織の Activity Search レポートにのみログが記録されます。言い換えると、ポリシーが選択されなかった方の組織には一切ログが記録されません。
また、組織 A 側にログが記録された場合、その中には組織 Bに関するアイデンティティ情報は一切含まれません (情報漏洩防止の観点から)。