PAC-Dateikonfiguration

Prozedur

1. Navigieren Sie in der Trend Vision One Konsole zu Zero Trust Secure Access → Secure Access Configuration → Internet Access and AI Service Access Configuration.
2. Auf der Registerkarte PAC Files:
   • Erstellen Sie eine neue PAC-Datei, indem Sie auf Hinzufügen klicken.
   • Bearbeiten Sie eine vorhandene PAC-Datei, indem Sie auf das Bearbeiten () Symbol in der Aktion Spalte klicken.
3. Geben Sie eine eindeutige PAC file name und Beschreibung an.
4. Für Kunden, die die Proxy-Übergehensliste für unterstützte Apps automatisch ausfüllen möchten, aktivieren Sie Folgendes:
   • Bypass proxy for network requests to Microsoft Office 365
   • Bypass proxy for network requests to Google
   • Bypass proxy for netwrok requests to Apple (iOS-Mobilbereitstellungen)
5. Wählen Sie aus, wie die PAC-Datei bearbeitet werden soll, indem Sie ein Edit mode auswählen.
   • Basic mode fügt über die Benutzeroberfläche Domains zur Datei hinzu und beeinflusst keinen anderen Code.
     Unterstützt Multibyte-Zeichen und ASCII-fremde Zeichen.
   • Erweiterter Modus zeigt den vollständigen Inhalt der Datei in einem bearbeitbaren Feld an.
     Wenn Sie eine vorhandene PAC-Datei haben, kopieren Sie den Code und fügen Sie ihn in das Feld ein.

   Wichtig Wenn Sie auch Zero Trust Secure Access Private Access verwenden, müssen Sie die folgenden Argumente einbeziehen, aber nicht ändern: isInNet(ip, "100.64.0.0", "255.255.0.0"); var DNSNeedResolve = true; Die Argumente stellen sicher, dass der Datenverkehr für den privaten Zugriff, dessen Ziel-IP-Adresse nach der lokalen DNS-Auflösung in das 100.64.0.0-Netzwerksegment fällt, übergangen wird. Wenn Sie Ihre eigene PAC-Datei verwenden, stellen Sie sicher, dass Sie den Private Access-Übergehungscode hinzufügen. Das folgende Beispiel fügt das Netzwerksegment hinzu, um die Weiterleitung des Private Access-Datenverkehrs zum Internet Access Gateway zu übergehen. if isInNet(dnsResolve(host), "100.64.0.0", "255.255.0.0") return 'DIRECT';

   Wenn Sie Microsoft-Domains übergehen, fügt Zero Trust Secure Access automatisch die folgenden Domains zu PAC-Dateien hinzu:

   • windowsupdate.microsoft.com
   • *.windowsupdate.microsoft.com
   • *.update.microsoft.com
   • *.windowsupdate.com
   • download.microsoft.com
   • ntservicepack.microsoft.com
   • officecdn.microsoft.com
   • officecdn.microsoft.com.edgesuite.net
   • *.prod.do.dsp.mp.microsoft.com
   • *.delivery.mp.microsoft.com
   • adl.windows.com
   • tsfe.trafficshaping.dsp.mp.microsoft.com
   Wenn Sie Apple-Domains umgehen, fügt Zero Trust Secure Access automatisch die folgenden Domains zu PAC-Dateien hinzu:

   • *.apple.com
   • *.icloud.com
   • *.itunes.apple.com
   • *.mzstatic.com
   • *.push.apple.com
   • *.cdn-apple.com
   • *.apps.apple.com
   • *.appattest.apple.com
   • *.apps-marketplace.apple.com
   • *.apple-mapkit.com
   • *.axm-usercontent-apple.com
   • *.vertexsmb.com
6. (Optional) Fügen Sie zusätzliche Proxy-FQDNs zu Ihrer PAC-Datei hinzu.

   Hinweis Das Hinzufügen zusätzlicher Proxys erfordert das Bearbeiten der PAC-Datei im Erweiterten Modus.

   1. Ermitteln Sie die FQDNs oder IP-Adressen der Proxy-Server, die Sie in Ihre PAC-Datei aufnehmen möchten.
      Secure Access erlaubt nur die Verwendung des folgenden Proxy-FQDN oder der IP in PAC-Dateien:

      • Internetzugangs-Cloud-Gateway-Proxy

        Tipp Um eine Liste der verfügbaren Proxy-Server für das Cloud-Internet-Gateway anzuzeigen, gehen Sie zu Port- und FQDN/IP-Adressanforderungen und wählen Sie Ihre Region aus.

      • Internet-Zugriff vor Ort Gateway-Proxy

        Tipp Trend Micro empfiehlt die Verwendung des FQDN von lokalen Proxy-Servern.

      • Allgemeiner Proxy (Nur auf Windows unterstützt)
        Um bestimmte Domains zu Ihrem Proxy-Server umzuleiten, definieren Sie eine Variable mit dem Präfix „NonZT“, weisen Sie Ihren Proxy zu und geben Sie die Variable zurück, wenn bestimmte Domains übereinstimmen.
        Beispiel:

        function FindProxyForURL(url, host) {
            var NonZTProxy = "PROXY 10.0.0.10:8080; DIRECT";
            var InternalHosts = [
                "mycompany.com",
                "mycompany2.com"
            ];
            for (var i in InternalHosts) {
                if (shExpMatch(host, InternalHosts[i])) {
                    return NonZTProxy;
                }

        Verbindungen zu diesen angegebenen Domains umgehen den ZTSA-Agenten und werden direkt über Ihren angegebenen Proxy-Server geleitet.
   2. Suchen Sie den Rückgabewert der Funktion FindProxyForURL.
   3. Bearbeiten Sie den Rückgabewert der Funktion.
      Der Rückgabewert muss eine Zeichenkette sein, die eines oder mehrere der folgenden Elemente enthält, getrennt durch ein Semikolon.

      • PROXY <FQDN of proxy>:<port>
      • DIRECT

      Beispiel:

      PROXY proxy1.mydomain.com:8088; PROXY proxy2.mydomain.com:8088; PROXY proxy3.mydomain.com:8088; DIRECT

      Hinweis Verwenden Sie die folgenden Portnummern: Cloud-Gateway: 80 On-Premises Gateway: 8088

   Hinweis Wenn der erste Proxy-Server in der Liste ausfällt, verbindet sich Secure Access nacheinander in der Reihenfolge der Liste mit den nächsten Proxy-Servern.

7. Klicken Sie auf Save.
8. (Optional) Wenden Sie die geänderte PAC-Datei auf die Zielgeräte mit dem Secure Access Module an.
   1. Klicken Sie in der Spalte Applied platforms auf das Symbol Übernehmen ().
   2. Wählen Sie die Betriebssysteme aus, auf die die PAC-Datei angewendet werden soll.

      Hinweis Jedes Betriebssystem kann nur eine angewendete PAC-Datei haben.

   Der Austausch der PAC-Datei tritt innerhalb weniger Minuten in Kraft.

   Sie können die PAC-Datei im Secure Access Module auch durch einen einzelnen Endpunkt oder eine Endpunktgruppe im Secure Access Module-Bildschirm ersetzen. Weitere Informationen finden Sie unter PAC-Datei-Ersetzung.

   Hinweis Für einen einzelnen Endpunkt wird die PAC-Datei, die von einem individuellen Endpunkt oder einer Endpunktgruppe angewendet wird, wirksam, unabhängig von der plattformbasierten PAC-Datei, die für den Endpunkt konfiguriert ist.