一部の組織では、 登録専用ネットワークを作成したり、 プロキシ を配置してパブリックインターネットへのアクセスを制限したりする場合があります。このような状況では、登録および管理タスクを完了するため、AppleデバイスがAppleのネットワークおよびKandji と通信できることを確認することが重要です。
必要なドメインとポート
これらのポートのファイアウォールルールを作成するときは、 アウトバンドトラフィックを許可する必要があります。
米国でホストされているリージョン
ドメイン | ポート | プロトコル | OS | 概要 |
|---|---|---|---|---|
kandji-prd.s3.amazonaws.com | 443 | TCP | macOS | Kandji AgentとKandji テナントにアップロードされたCustom Appsをダウンロードするために、macOS デバイスによって使用されます |
kandji-prd-managed-library-items.s3.amazonaws.com | 443 | TCP | macOS | macOSデバイスがAuto Appsをダウンロードするために使用されます |
managed-library.kandji.io | 443 | TCP | macOS | macOSデバイスがAuto Appsをダウンロードするために使用されます |
UUID web-api.kandji.io | 443 | TCP | すべて | MDMプロトコル経由およびKandji AgentによるKandjiとの通信に使用されます ドメインはKandjiテナントごとに一意です |
UUID devices.us-1.kandji.io | 443 | TCP | すべて | MDMチェックインURLおよびKandji Agentとのコミュニケーションに使用するドメインとして、新規デバイス登録用に将来の製品アップデートでUUID.web-api.kandji.ioドメインを置き換えます MDM プロトコル経由および Kandji エージェントによる Kandji との通信に使用されます ドメインはKandjiテナントごとに一意です |
subdomain.web-api.kandji.io | 443 | TCP | すべて | MDM登録プロファイルのダウンロードに使用されます |
subdomain.kandji.io | 443 | TCP | すべて | KandjiWebアプリへのアクセスに使用されます |
*.iot.kandji.io | 443 | TCP | すべて | デバイスのテレメトリ通信に使用されます |
browser-intake-datadoghq.com | 443 | TCP | すべて | リリース管理とプラットフォーム監視に使用されます |
events.launchdarkly.com | 443 | TCP | すべて | リリース管理とプラットフォーム監視に使用されます |
EUホスト地域
ドメイン | ポート | プロトコル | OS | 概要 |
|---|---|---|---|---|
kandji-prd-eu.s3.amazonaws.com | 443 | TCP | macOS | macOS デバイスがKandji AgentとKandji テナントにアップロードされたCustom Appsをダウンロードするために使用されます |
kandji-prd-eu-managed-library-items.s3.amazonaws.com | 443 | TCP | macOS | macOSデバイスがAuto Appsをダウンロードするために使用されます |
managed-library.eu.kandji.io | 443 | TCP | macOS | macOSデバイスがAuto Appsをダウンロードするために使用されます |
UUID web-api.eu.kandji.io | 443 | TCP | すべて | MDMプロトコル経由およびKandji AgentによるKandjiとの通信に使用されます ドメインはKandjiテナントごとに一意です |
UUID devices.eu.kandji.io | 443 | TCPの | すべて | MDMチェックインURLおよびKandji Agentとのコミュニケーションに使用するドメインとして、新規デバイス登録用に将来の製品アップデートでUUID.web-api.kandji.ioドメインを置き換えます MDM プロトコル経由および Kandji エージェントによる Kandji との通信に使用されます ドメインはKandjiテナントごとに一意です |
subdomain.web-api.eu.kandji.io | 443 | TCPの | すべての | MDM登録プロファイルのダウンロードに使用されます |
subdomain.eu.kandji.io | 443 | TCPの | すべての | Kandji Web アプリへのアクセスに使用されます |
*.iot.eu.kandji.io | 443 | TCPの | すべての | デバイスのテレメトリ通信に使用されます |
browser-intake-datadoghq.com | 443 | TCPの | すべての | リリース管理とプラットフォーム監視に使用されます |
events.launchdarkly.com | 443 | TCPの | すべての | リリース管理とプラットフォーム監視に使用されます |
.web-api.kandji.io の前の UUID は、すべての Kandji テナントに固有です。会社の一意の URL を見つけるには、次のセクションを参照してください。
Active Directory 証明書サービスのネットワーク要件
Active Directory 証明書サービスの統合の詳細については、 ADCSの概要 サポート記事を参照してください。
ソース | 行き先 | 宛先ドメイン | ポート | プロトコル | 概要 |
|---|---|---|---|---|---|
AD CSコネクタ | Kandji テナント | {subdomain}.kandji.io {subdomain}.eu.kandji.io | 443 | TCP | AD CSコネクタをお客様のKandjiテナントに接続する際のコネクタの初期セットアップ中に使用されます |
AD CSコネクタ | Auth0 | *.auth0.com | 443 | TCP | コネクタを設定するための初期 WebView 認証に使用される複数のサブドメインで、継続的な認証には利用されません |
AD CSコネクタ | Auth0 | auth.kandji.io auth.eu.kandji.io | 443 | TCP | 初期セットアップ時にお客様の Kandji テナントに対して AD CS コネクタを認証するとき、および WebSocket 通信を初期化するときに使用されます |
AD CSコネクタ | Kandji テナント | {subdomain}.clients.us-1.kandji.io {subdomain}ン}.clients.eu.kandji.io | 443 | TCP | AD CS Connector とお客様の Kandji テナントとの間の API 通信に使用されます |
AD CSコネクタ | Kandji ADCSサービス | adcsconn.kandji.ioadcsconn.eu.kandji.io | 443 | WebSocket | 証明書の要求を容易にするために使用されます この接続は、証明書要求を満たすコンテキストで、 Kandji AD CS コネクタとお客様の Kandji テナントとの間の通信専用です |
AD CSコネクタ | Windows AD CS | お客様の環境にある Windows AD CS CA サーバー | 50000 台のランダム ポート | MRPC | Kandji AD CS コネクタは、証明書要求を容易にするために、お客様の内部ネットワーク内の Microsoft AD CS CA サーバーと通信するために使用されます ポートはプロトコルによってランダムに定義されます |
組織固有のデバイスドメインを特定する
一意のデバイスドメインは、MDM プロトコルと macOSの Kandji Agent を介してKandjiと通信するために、登録済みデバイスによって使用されます。
これらの一意のドメインを表示するには、テナントにログインし、次の手順に従います。
左側のナビゲーションバーにある [設定]をクリックします。
[一般] タブには [デバイス ドメイン] パネルが表示され、これら 2 つのドメインは、デバイスが MDM とエージェントの通信に使用されます。
個々のMacコンピュータで使用されている特定のドメインを確認するには、ターミナルで次のコマンドを実行します。
system_profiler SPConfigurationProfileDataType | awk -v FS='(https://|/mdm)' '/CheckInURL/ {print $2}'SSL/TLSインスペクション
Kandji macOS Agent は、証明書のピン留めの一般的なベストプラクティスを活用して、信頼できるサーバーとのみ通信し、トラフィックが傍受されたり、検査されることを防ぎます (MITM 攻撃の防止)。
これは、ネットワーク管理者またはプロキシ管理者がデフォルトですべてのSSL/TLSトラフィックを復号化している場合に問題を引き起こす可能性があります。ネットワーク管理者に依頼して、テナント内の 2 つのデバイスドメインを検査から除外してください。コンテンツフィルタのCAを信頼されたルートCAとしてmacOSデバイスにデプロイする場合でも、SSL/TLSインスペクションでは、Kandji Agentは引き続きKandjiと通信しないことにご留意ください。
Appleが要求するホストとポート
Apple社は、下記のガイドでサービスのホストとポートの概要を説明しています。
Appleサポート: エンタープライズネットワークでApple製品を使用する
通信フロー
次の図は、 Kandji、APNs、および管理対象のAppleデバイス間の通信の標準的なフローを示しています。
TLS バージョンと暗号スイート
Appleのプラットフォームセキュリティガイドによると、 macOS、 iOS、 tvOS、および iPadOS デバイス上の組み込みアプリとサービスは、完全な前方秘匿性を備えた暗号スイートを自動的に優先します。これは、開発者が CFNetwork などの高レベルのネットワーク API を使用する場合にも当てはまります。 Kandji エージェントは、これらの高レベルのネットワークAPI を活用します。
これらの機能、特にTLSネットワークセキュリティのセクションについて理解を深めるために、下記のAppleのプラットフォームセキュリティガイドをご確認いただくことをお勧めします。
Apple プラットフォームセキュリティガイド: TLS ネットワークセキュリティ
前述のように、 MDM およびエージェントの通信に使用されるドメインはテナントに固有です(UUID.web-api.kandji.io)。
Qualys SSL Server Testなどのツールを使用してこのドメインを検査し、現在 Kandjiでサポートされている暗号を理解できます。以下に簡単な概要を示します。
プロトコル
TLS 1.3 (英語) | いいえ |
TLS 1.2 (英語) | はい* |
TLS 1.1 | はい |
TLS 1.0 (英語) | はい* |
SSL通信 3 | いいえ |
SSLの2 | いいえ |
(*)No-SNI を使用してネゴシエートされたサーバー | |
サイファスイート
TLS 1.2 のサーバー優先順位 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
TLS_RSA_WITH_AES_256_CBC_SHA |
TLS 1.1 のサーバー優先順位 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
TLS 1.0 のサーバー優先順位 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |