PACファイルの設定

手順

1. Trend Vision One コンソールで、 Zero Trust Secure Access → Secure Access Configuration → [Internet Access and AI Service Access Configuration]に移動します。
2. [PACファイル] タブで、次の手順を実行します。
   • [追加]をクリックして、新しいPACファイルを作成します。
   • 既存のPACファイルを編集するには、 [編集] ( ) アイコンを [処理] します。
3. 一意の [PACファイル名] および [説明]を指定します。
4. サポートされているアプリのプロキシバイパスリストを自動的に設定する場合は、次の項目を有効にします。
   • Microsoft Office 365へのネットワーク要求のプロキシをバイパスする
   • [Googleへのネットワーク要求のプロキシをバイパス]
5. [編集モード]を選択して、PACファイルの編集方法を選択します。
   • [基本モード] は、ユーザインタフェースを使用してファイルにドメインを追加しますが、他のコードには影響しません。
     マルチバイトのエンコードされた文字と非ASCII文字をサポートします。
   • [詳細モード] は、ファイルの内容全体を編集可能なフィールドに表示します。
     既存のPACファイルがある場合は、コードをコピーしてフィールドに貼り付けます。

   重要 Zero Trust Secure Accessプライベートアクセスも使用する場合は、次の引数を含める必要がありますが、変更することはできません。 isInNet(ip, "100.64.0.0", "255.255.0.0"); var DNSNeedResolve = true; この引数により、ローカルDNS解決がバイパスされた後に、宛先IPアドレスを持つプライベートアクセストラフィックが [100.64.0.0] ネットワークセグメントに分類されます。 独自のPACファイルを使用する場合は、必ずプライベートアクセスバイパスコードを追加してください。次の例では、インターネットアクセスゲートウェイへのプライベートアクセストラフィックの転送をバイパスするネットワークセグメントを追加します。 if isInNet(dnsResolve(host), "100.64.0.0", "255.255.0.0") return 'DIRECT';

   Zero Trust Secure Accessでは、次のドメインがPACファイルに自動的に追加されます。

   • windowsupdate.microsoft.com
   • *.windowsupdate.microsoft.com
   • *.update.microsoft.com
   • *.windowsupdate.com
   • download.microsoft.com
   • ntservicepack.microsoft.com
   • officecdn.microsoft.com
   • officecdn.microsoft.com.edgesuite.net
6. Zero Trust Secure AccessエージェントにiOS、iPadOS、またはmacOSプラットフォームが含まれている場合、システム操作の効率を維持するために、以下のドメインをPACのバイパスリストに手動で追加してください ([Secure Access Configuration] → [Internet Access and AI Service Access Configuration] → [Pac Files]):
   • *.apple.com
   • *.icloud.com
   • *.itunes.apple.com
   • *.mzstatic.com
   • *.push.apple.com
   • *.cdn-apple.com
   • *.apps.apple.com
   • *.appattest.apple.com
   • *.apps-marketplace.apple.com
   • *.apple-mapkit.com
   • *.axm-usercontent-apple.com
   • *.vertexsmb.com
7. (オプション) PACファイルにプロキシのFQDNを追加します。

   注意 プロキシを追加するには、詳細モードを使用してPACファイルを編集する必要があります。

   1. PACファイルに含めるプロキシサーバのFQDNまたはIPアドレスを取得します。
      セキュアアクセスでは、PACファイルで次のプロキシFQDNまたはIPのみを使用できます。

      • インターネットアクセスクラウドゲートウェイプロキシ

        ヒント 使用可能なクラウドインターネットアクセスゲートウェイプロキシサーバのリストを表示するには、ポートとFQDN/IPアドレスの要件をクリックして地域を選択します。

      • インターネットアクセスオンプレミスゲートウェイプロキシ

        ヒント トレンドマイクロプロキシサーバのFQDNを使用することをお勧めします。

      • 一般的なプロキシ
        特定のドメインをプロキシサーバにリダイレクトするには、接頭辞NonZTを持つ変数を定義し、その変数にプロキシを割り当て、特定のドメインに一致する場合にその変数を返します。
        例:

        function FindProxyForURL(url, host) {
            var NonZTProxy = "PROXY 10.0.0.10:8080; DIRECT";
            var InternalHosts = [
                "mycompany.com",
                "mycompany2.com"
            ];
            for (var i in InternalHosts) {
                if (shExpMatch(host, InternalHosts[i])) {
                    return NonZTProxy;
                }

        これらの指定されたドメインへの接続はZTSAエージェントをバイパスし、指定されたプロキシサーバを介して直接ルーティングされます。
   2. 関数の戻り値を検索するFindProxyForURL 。
   3. 関数の戻り値を編集します。
      戻り値は、セミコロンで区切られた次の要素を1つ以上含む文字列である必要があります。

      • PROXY <FQDN of proxy>:<port>
      • DIRECT

      例:

      PROXY proxy1.mydomain.com:8088; PROXY proxy2.mydomain.com:8088; PROXY proxy3.mydomain.com:8088; DIRECT

      注意 次のポート番号を使用します。 クラウドゲートウェイ: 80 オンプレミスゲートウェイ: 8088

   注意 リスト内の最初のプロキシサーバに障害が発生した場合、Secure Accessはリスト内の次のプロキシサーバに1つずつ順番に接続します。

8. [保存] をクリックします。
9. (オプション) 変更したPACファイルを、 Secure Access Moduleが配置されている対象デバイスに適用します。
   1. [適用済みプラットフォーム] 列で、 [適用] ( ) アイコンをクリックします。
   2. PACファイルを適用するオペレーティングシステムを選択します。

      注意 各オペレーティングシステムに適用できるPACファイルは1つだけです。

   PACファイルの置換は、数分以内に有効になります。

   Secure Access ModuleのPACファイルは、 [Secure Access Module] 画面で個々のエンドポイントまたはエンドポイントグループごとに置き換えることもできます。詳細については、PACファイルの置換を参照してください。

   注意 単一のエンドポイントの場合、エンドポイントに設定されているプラットフォームベースのPACファイルに関係なく、個々のエンドポイントまたはエンドポイントグループによって適用されたPACファイルが有効になります。