Filtrování obsahu pro zařízení Apple
Systémy iOS, iPadOS, macOS a visionOS 1.1 podporují několik následujících způsobů filtrování obsahu: omezení, globální služba HTTP proxy, filtrování DNS, DNS proxy a rozšířené filtrování obsahu.
Nakonfigurování vestavěných filtrů obsahu
Na zařízeních Apple lze omezit přístup Safari a aplikací nezávislých vývojářů jen na určité webové stránky. Tuto funkci využívají organizace s jednoduchými a omezenými potřebami filtrování obsahu. Organizace se složitějšími nebo zákonem stanovenými požadavky na filtrování obsahu by měly používat globální službu HTTP proxy nebo rozšířené volby filtrování obsahu poskytované aplikací pro filtrování obsahu od nezávislého dodavatele.
Ve službě správy zařízení je možné nakonfigurovat předdefinovaný filtr s následujícími volbami:
All websites: Webový obsah není filtrován.
Limit adult content: Automatické omezení přístupu k mnoha webovým stránkám pro dospělé.
Blocked sites: Umožňuje přístup ke všem webovým stránkám, pokud nejsou na přizpůsobitelném seznamu blokovaných stránek.
Specific websites only: Omezení přístupu k předem určeným webovým stránkám, jejichž seznam lze přizpůsobit.
K nakonfigurování předdefinovaného filtru se v systémech iOS, iPadOS a visionOS 1.1 používá datová část WebContentFilter a v systému macOS datová část ParentalControlsContentFilter. Správa předdefinovaného filtru pomocí služby správy zařízení také znemožňuje v Safari přístup k vymazání historie prohlížení a dat webových stránek.
Globální služba HTTP proxy s inspekcí TLS/SSL
Zařízení Apple podporují konfiguraci globální služby HTTP proxy. Globální služba HTTP proxy směruje většinu webového provozu zařízení přes určený proxy server nebo prostřednictvím nastavení použitého ve všech Wi‑Fi, mobilních a ethernetových sítích. Tuto funkci běžně využívají předškolní, základní a středoškolské vzdělávací instituce a podniky k filtrování internetového obsahu u individuálně nasazených zařízení ve vlastnictví organizace, která si uživatelé nosí domů. Umožňuje filtrovat obsah na zařízeních jak ve škole či na pracovišti, tak i doma. Globální službu HTTP proxy lze na iPhonech, iPadech a Apple TV nastavit jen tehdy, jsou‑li pod dohledem. Další informace viz O dohledu nad zařízeními Apple a Položky nastavení správy zařízení v datové části Global HTTP Proxy.
Chcete‑li zavést podporu globální služby HTTP proxy, je možné, že budete muset v síti provést určité změny. Při plánování globální služby HTTP proxy pro své prostředí berte v úvahu následující aspekty a konfiguraci připravte ve spolupráci se svým dodavatelem filtrování:
Dostupnost zvenčí: Pokud mají zařízení používat proxy server organizace v době, kdy se nacházejí mimo organizaci, musí být tento server dostupný zvenčí.
Proxy PAC: Globální služba HTTP proxy podporuje ruční konfiguraci proxy zadáním IP adresy či DNS názvu proxy serveru nebo automatickou konfiguraci proxy prostřednictvím PAC URL. Konfigurace PAC souboru služby proxy může předat klientovi pokyn, aby automaticky zvolil vhodný proxy server pro načtení daného URL včetně případného obejití proxy serveru, pokud je to nutné. Použití souboru PAC zvažte zejména z důvodu větší flexibility.
Kompatibilita se záchytnými Wi‑Fi sítěmi: Konfigurace globální služby HTTP proxy představuje pro klienta způsob, jak dočasně obejít nastavení proxy, aby se mohl připojit k záchytné Wi‑Fi síti. Tyto sítě před poskytnutím přístupu k internetu požadují od uživatele souhlas s podmínkami nebo nabízejí možnost platby prostřednictvím webové stránky. Lze se s nimi běžně setkat ve veřejných knihovnách, restauracích, kavárnách a na jiných veřejných místech.
Using proxy with the caching service: Zvažte možnost využít soubor PAC k nakonfigurování klientů pro kontrolu nad tím, kdy používají službu ukládání do mezipaměti. Nesprávně nakonfigurované filtry mohou způsobit, že klienti budou službu ukládání do mezipaměti v síti vaší organizace buď obcházet, nebo ji budou neúmyslně používat pro přístup k obsahu v době, kdy má uživatel zařízení doma.
Produkty Apple a služby proxy: Při pokusech o připojení, při nichž se využívá zachycení HTTPS (inspekce SSL/TLS), budou služby Apple neúspěšné. Pokud komunikace v protokolu HTTPS prochází přes webový proxy server, je nutné vypnout funkci HTTPS Interception pro hostitele, jejichž seznam je uvedený v článku podpory Apple Používání produktů Apple ve firemních sítích.
Poznámka: Některé aplikace, například FaceTime, nepoužívají HTTP připojení a HTTP proxy server na ně tudíž nemá vliv, takže globální službu HTTP proxy obcházejí. Aplikace, které nepoužívají HTTP připojení, můžete spravovat s použitím rozšířeného filtrování obsahu.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem |  |
Na počítačích Mac lze použít jen pod dohledem |  |
Zajišťuje transparentnost prostředí organizace | |
Umožňuje filtrovat hostitele | |
Umožňuje filtrovat cesty v URL adresách | |
Umožňuje filtrovat řetězce dotazů v URL adresách | |
Umožňuje filtrovat pakety | |
Umožňuje filtrovat jiné protokoly než http | |
Otázky související s architekturou sítě | Datový provoz je směrován přes proxy server, což může negativně ovlivnit latenci a propustnost sítě. |
Konfigurace serveru proxy sítě
Proxy server vystupuje jako prostředník mezi uživatelem jednoho počítače a internetem a umožňuje tak zajišťovat v síti bezpečnost, řízení správy a služby mezipaměti. Na počítačích Mac zaregistrovaných ve službě správy mobilních zařízení můžete konfiguraci proxy serveru nastavit pomocí datové části správy zařízení Network Proxy. Tato datová část podporuje konfigurování proxy serverů pro následující protokoly:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Další informace viz Volby správy zařízení pro konfiguraci síťového proxy serveru.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem | |
Na počítačích Mac lze použít jen pod dohledem | |
Zajišťuje transparentnost prostředí organizace | |
Umožňuje filtrovat hostitele | |
Umožňuje filtrovat cesty v URL adresách | |
Umožňuje filtrovat řetězce dotazů v URL adresách | |
Umožňuje filtrovat pakety | |
Umožňuje filtrovat jiné protokoly než http | Některé protokoly. |
Otázky související s architekturou sítě | Datový provoz je směrován přes proxy server, což může negativně ovlivnit latenci a propustnost sítě. |
Datová část DNS Proxy
Pro uživatele iPhonů, iPadů, Maců a zařízení Apple Vision Pro zaregistrovaných ve službě správy zařízení můžete nakonfigurovat datovou část DNS Proxy. Prostřednictvím této datové části můžete určit, které aplikace musí používat síťová rozšíření DNS proxy serveru a hodnoty specifické pro poskytovatele. Použití této datové části vyžaduje doprovodnou aplikaci, kterou specifikujete pomocí jejího identifikátoru balíku (neboli ID balíku).
Další informace viz Položky nastavení správy zařízení v datové části DNS Proxy.
Funkce | Podpora |
|---|---|
Podpora pro Apple Vision Pro | |
Na iPhonech a iPadech lze použít jen pod dohledem | Ve starších systémech než iOS 15 a iPadOS 15 je vyžadován dohled. Na zařízeních se systémem iOS 15 nebo iPadOS 15 a novějšími tato datová část pod dohled nespadá a musíte ji nainstalovat prostřednictvím služby správy zařízení. |
Na počítačích Mac lze použít jen pod dohledem | |
Zajišťuje transparentnost prostředí organizace | |
Umožňuje filtrovat hostitele | |
Umožňuje filtrovat cesty v URL adresách | |
Umožňuje filtrovat řetězce dotazů v URL adresách | |
Umožňuje filtrovat pakety | |
Umožňuje filtrovat jiné protokoly než http | Pouze pro vyhledávání v DNS. |
Otázky související s architekturou sítě | Minimální dopad na provoz a výkon sítě. |
Datová část DNS Settings
Pro uživatele iPhonů, iPadů (včetně sdílených), Maců a zařízení Apple Vision Pro zaregistrovaných ve službě správy zařízení můžete nakonfigurovat datovou část DNS Settings. Konkrétně se tato datová část využívá ke konfigurování služby DNS over HTTP (označované také DoH) nebo DNS over TLS (také jen DoT). Tato konfigurace posiluje ochranu soukromí uživatelů díky šifrování datového provozu DNS a umožňuje vám využít filtrované DNS služby. V datové části lze uvést konkrétní DNS dotazy, které mají využívat specifikované DNS servery, nebo lze tuto datovou část definovat pro všechny DNS dotazy. Kromě toho lze v této datové části nastavit také SSID Wi‑Fi sítí konkrétních DNS serverů, které chcete používat ke zpracování dotazů.
Poznámka: Když tuto datovou část nainstalujete pomocí služby správy zařízení, nastavení platí jen pro spravované Wi‑Fi sítě.
Další informace viz Položky nastavení správy zařízení v datové části DNS Settings a článek DNSSettings na webových stránkách Apple Developer.
Funkce | Podpora |
|---|---|
Podpora pro Apple Vision Pro | |
Na iPhonech a iPadech lze použít jen pod dohledem | Konfiguraci lze na zařízeních pod dohledem uzamknout. Aplikace VPN může konfiguraci přepsat, pokud to služba správy zařízení umožňuje (na zařízeních pod dohledem). |
Na počítačích Mac lze použít jen pod dohledem | Konfiguraci lze na zařízeních pod dohledem uzamknout. Aplikace VPN může konfiguraci přepsat, pokud to služba správy zařízení umožňuje (na zařízeních pod dohledem). |
Zajišťuje transparentnost prostředí organizace | |
Umožňuje filtrovat hostitele | |
Umožňuje filtrovat cesty v URL adresách | |
Umožňuje filtrovat řetězce dotazů v URL adresách | |
Umožňuje filtrovat pakety | |
Umožňuje filtrovat jiné protokoly než http | Pouze pro vyhledávání v DNS. |
Otázky související s architekturou sítě | Minimální dopad na provoz a výkon sítě. |
Poskytovatelé obsahových filtrů
Systémy iOS, iPadOS a macOS podporují plug‑iny pro rozšířené filtrování obsahu na webu a v soketovém datovém provozu. Filtr síťového obsahu na zařízení analyzuje síťový obsah uživatele při průchodu síťovými protokoly. Po analýze rozhodne, jestli tento obsah zablokuje, nebo nechá projít na místo určení. Poskytovatele filtrů obsahu dodává aplikace instalovaná pomocí služby správy zařízení. Ochranu soukromí uživatelů zajišťuje spouštění poskytovatelů dat filtrů v omezujícím sandboxu. Poskytovatel řízení filtru implementovaný aplikací může filtrovací pravidla dynamicky aktualizovat.
Další informace viz Content Filter Providers (Poskytovatelé filtrů obsahu) na webových stránkách Apple Developer.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem | Na iOS nebo iPadOS zařízení uživatele musí být nainstalovaná aplikace a pokud je zařízení pod dohledem, lze zabránit jejímu smazání. |
Na počítačích Mac lze použít jen pod dohledem | |
Zajišťuje transparentnost prostředí organizace | |
Umožňuje filtrovat hostitele | |
Umožňuje filtrovat cesty v URL adresách | |
Umožňuje filtrovat řetězce dotazů v URL adresách | |
Umožňuje filtrovat pakety | |
Umožňuje filtrovat jiné protokoly než http | |
Otázky související s architekturou sítě | Provoz na zařízení je filtrován tak, aby přenosy v síti nebyly ovlivněny. |
Tunelové propojení pro pakety/VPN
Když zařízení odesílají síťová data přes VPN nebo paketové tunelové propojení, je možné jejich síťovou aktivitu monitorovat a filtrovat. Tato konfigurace je podobná situaci, kdy jsou zařízení připojená přímo k síti a monitorování a filtrování provozu probíhá na rozhraní mezi soukromou sítí a internetem.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem |
|
Na počítačích Mac lze použít jen pod dohledem | |
Zajišťuje transparentnost prostředí organizace | |
Umožňuje filtrovat hostitele | Provoz je filtrován pouze prostřednictvím propojení privátní sítě. |
Umožňuje filtrovat cesty v URL adresách | Provoz je filtrován pouze prostřednictvím propojení privátní sítě. |
Umožňuje filtrovat řetězce dotazů v URL adresách | Provoz je filtrován pouze prostřednictvím propojení privátní sítě. |
Umožňuje filtrovat pakety | |
Umožňuje filtrovat jiné protokoly než http | |
Otázky související s architekturou sítě | Datový provoz je směrován přes privátní síť, což může negativně ovlivnit latenci a propustnost sítě. |