03 — Lag 1

MASQUE Omvei:
Ingen direkte vei ut

Apple Network Relay fanger opp trafikk.

Hvorfor dette er det kritiske laget

Uten MASQUE

Trafikk går direkte fra klient til Microsoft. Tenant Restrictions v2 kan ikke injiseres. GSA-nettverket er ikke i veien. Ingen av de andre lagene kan håndheves.

Med MASQUE

All trafikk til MatchDomains tvinges gjennom omveien. Det finnes ingen direkte vei. Applikasjoner — inkludert AVD-klienten — har ingen mekanisme for å oppdage eller omgå dette.

MatchDomains — hva fanges opp

Alle domener som er relevante for AVD-klienten og Microsoft-autentisering defineres i MatchDomains i MDM-profilen:



  
Implementering — h2o på Linux

  

    

      

      
HTTP/3 QUIC

      
h2o kompilert fra kildekode med QUIC-støtte. Kjører i Docker med network_mode: host på Linux — nødvendig for at ekstern UDP når containeren.

    

    

      

      
CONNECT proxy

      
h2o mottar HTTP/3 CONNECT-forespørsler fra klienten og proxyer dem videre. hosts: "*" påkrevd — omveien sender måldomenet som Host-header.

    

    

      

      
Statisk offentlig IP

      
Azure Linux VM med statisk offentlig IP. Denne IP-adressen hvitelistes i Entra Conditional Access-policyen som betrodd nettverkslokasjon.

    

    

      

      
MDM-profil

      
com.apple.relay.managed-payload i mobileconfig-profil. UIToggleEnabled: false skjuler bryteren. Profilen pushes via MDM — kan ikke fjernes av bruker.

    

  


  

    
Viktig: relay.example.com (omvei-serveren selv) må ikke stå i MatchDomains. Den må stå i VPN-profilens OnDemandRules Ignore-liste slik at nesessionmanager kan nå den for å etablere QUIC-tilkoblingen.

  


  
Herding — eksplisitt proxy-tillatelseliste

  
Som et ekstra forsvarslag kan h2o's proxy.connect-tillatelseliste låses ned til kun de domenene som er definert i MatchDomains. I stedet for å tillate CONNECT til alle offentlige verter på port 443, tillates kun eksplisitt opplistede domener:


  

    
h2o.conf.yml — herdet proxy.connect

    
proxy.connect:
  - "+login.microsoftonline.com:443"
  - "+microsoftonline.com:443"
  - "+microsoft.com:443"
  - "+cloud.microsoft:443"
  - "+windows.cloud.microsoft:443"
  - "+windows.static.microsoft:443"
  - "+wvd.microsoft.com:443"
  - "+core.windows.net:443"
  - "+blob.core.windows.net:443"
  - "+azureedge.net:443"
  - "+windowsupdate.com:443"
  - "+aka.ms:443"
  - "-*:*"    # blokker alt annet

  


  

    
Effekt: Omveien kan ikke brukes som en generell proxy — kun til de sanksjonerte domenene. Dette er et supplement til, ikke en erstatning for, GSA og Tenant Restrictions v2. login.microsoftonline.com er fortsatt på listen — tillatelselisten hindrer misbruk av omveien, men ikke autentisering mot en rogue tenant. Det er TR v2 sin oppgave.

  


  

    
Merk: h2o matcher på Host-headeren i CONNECT-forespørselen. Subdomener må listes eksplisitt dersom h2o ikke støtter wildcard-matching i proxy.connect-regler — f.eks. mrsglobalsteus2prod.blob.core.windows.net dekkes av +blob.core.windows.net:443 kun hvis wildcard-matching er aktivt.