Sisällön suodattaminen Applen laitteissa
iOS, iPadOS, macOS ja visionOS 1.1 tukevat erilaisia sisällön suodatustapoja, kuten rajoituksia, yleistä HTTP-välipalvelinta, suodatettua DNS:ää, DNS-välipalvelinta ja sisällön lisäsuodatusta.
Sisäisten sisältösuodattimien määrittäminen
Apple-laitteilla voidaan rajoittaa Safarin ja muiden valmistajien appien pääsy vain tietyille verkkosivustoille. Organisaatioissa, joissa sisällön suodatus on yksinkertaista tai rajoitettua, voidaan käyttää tätä ominaisuutta. Jos organisaatiolla on monimutkaisia tai lakimääräisiä sisältösuodatusvaatimuksia, on käytettävä yleistä HTTP-välipalvelinta tai muun valmistajan sisältösuodatusapin tarjoamia sisällön lisäsuodatusvalintoja.
Mobiilaitteiden hallintaratkaisu (MDM) voi määrittää sisäisen suodattimen seuraavilla valinnoilla:
Kaikki verkkosivut: Verkon sisältöä ei suodateta.
Rajoita aikuissisältöä: Rajoittaa automaattisesti pääsyä monille aikuisviihdesivustoille.
Estetyt sivustot: Sallii pääsyn kaikille verkkosivustoille, elleivät ne ole muokattavassa estoluettelossa.
Vain tietyt verkkosivut: Rajoittaa pääsyä ennakolta määritetyille verkkosivustoille, joita voidaan mukauttaa.
Sisäinen suodatin määritetään käyttäen WebContentFilter-tietosisältöä iOS:ssä, iPadOS:ssä ja visionOS 1.1:ssä sekä ParentalControlsContentFilter-tietosisältöä macOS:ssä. Sisäisen suodattimen MDM-hallinta rajoittaa myös pääsyä selaushistorian ja verkkosivustojen datan tyhjentämiseen Safarissa.
Yleinen HTTP-välipalvelin TLS/SSL-tarkastuksella
Applen laitteet tukevat yleistä HTTP-välipalvelinmääritystä. Yleinen HTTP-välipalvelin reitittää suurimman osan laitteiden verkkoliikenteestä tietyn välipalvelimen kautta tai asetuksella, jota sovelletaan kaikkiin Wi-Fi-, mobiilidata- ja Ethernet-verkkoihin. Tätä ominaisuutta käytetään yleisesti perus- ja toisen asteen kouluissa tai yrityksissä internetsisällön suodattamiseen organisaation omistamissa yksilökohtaisissa laitteissa, jotka viedään kotiin. Se mahdollistaa laitteiden verkkoliikenteen suodattamisen sekä koulussa tai yrityksessä että kotona. Yleisen HTTP-välipalvelimen käyttäminen edellyttää, että iPhone-, iPad- tai Apple TV ‑laite on valvottu. Jos haluat lisätietoja, katso Tietoja Apple-laitteiden valvonnasta ja Yleisen HTTP-välipalvelimen MDM‑tietosisältöasetukset.
Yleisen HTTP-välipalvelimen käyttö saattaa edellyttää verkkoon tehtäviä muutoksia. Kun ympäristöön suunnitellaan yleistä HTTP-välipalvelinta, on otettava huomioon seuraavat seikat ja tehtävä määritykset yhdessä suodatusratkaisun toimittajan kanssa:
Käytettävissä ulkoisesti: Organisaation välipalvelimen on oltava ulkoisesti käytettävissä, jos laitteiden on päästävä käyttämään sitä organisaation verkon ulkopuolelta.
Välipalvelimen PAC-tiedosto: Yleinen HTTP-välipalvelin tukee joko välipalvelimen määritystä käsin välipalvelimen IP-osoitteella tai DNS-nimellä tai automaattista määritystä välipalvelimen PAC-tiedoston URL-osoitteella. Välipalvelimen PAC-tiedoston määrityksessä voidaan ohjata verkkolaitetta valitsemaan automaattisesti sopiva välipalvelin tietyn URL-osoitteen hakemista varten ja myös ohittamaan välipalvelin niin haluttaessa. Kannattaa harkita PAC-tiedoston käyttämistä, sillä se on joustavampi.
Yhteensopivuus salasanalla suojattujen avoimien Wi-Fi-verkkojen kanssa: Yleisen HTTP-välipalvelimen määrityksissä voidaan sallia verkkolaitteen ohittaa välipalvelinasetus väliaikaisesti avoimeen, salasanalla suojattuun Wi‑Fi-verkkoon yhdistämistä varten. Nämä edellyttävät, että käyttäjä hyväksyy ehdot tai tekee maksun verkkosivuston kautta ennen internet-yhteyden muodostamista. Avoimia, salasanalla suojattuja Wi-Fi-verkkoja on yleisesti kirjastoissa, pikaruokapaikoissa, kahviloissa ja muissa julkisissa tiloissa.
Välipalvelimen käyttö välimuistipalvelun kanssa: Harkitse PAC-tiedoston käyttämistä verkkolaitteiden määritykseen, jolloin voit hallita, milloin ne käyttävät välimuistipalvelua. Väärin määritetyistä suodatusratkaisuista voi seurata, että verkkolaiteet joko ohittavat välimuistipalvelun organisaation verkossa tai käyttävät tahattomasti välimuistipalvelua sisältöä varten, kun laitteet ovat käyttäjien kotona.
Applen tuotteet ja välipalvelinpalvelut: Applen palvelut eivät muodosta yhteyttä, joka käyttää HTTPS Interception -tekniikkaa (SSL/TLS-tarkastus). Jos HTTPS-tietoliikenne kulkee verkkovälipalvelimen kautta, sinun on poistettava HTTPS Interception käytöstä palvelimille, jotka on lueteltu Applen tukiartikkelissa Apple-tuotteiden käyttäminen yritysverkoissa.
Huomaa: Osa apeista, kuten FaceTime, ei käytä HTTP-yhteyksiä, joten niitä ei voida käyttää HTTP-välipalvelimen kautta ja ne ohittavat yleisen HTTP-välipalvelimen. Apit, jotka eivät käytä HTTP-yhteyksiä, voidaan hallita sisällön lisäsuodatuksella.
Ominaisuus | Tuki |
|---|---|
Vaatii valvonnan iPhonessa ja iPadissa |
|
Vaatii valvonnan Macissa |
|
Tarjoaa organisaationäkyvyyden |
|
Voi suodattaa palvelimia |
|
Voi suodattaa polkuja verkko-osoitteissa |
|
Voi suodattaa kyselymerkkijonoja verkko-osoitteissa |
|
Voi suodattaa paketteja |
|
Voi suodattaa muita kuin http-protokollia |
|
Huomioitavaa verkkoarkkitehtuurissa | Liikenne käyttää välipalvelinta, mikä voi vaikuttaa verkon viiveeseen ja tiedonsiirtoon. |
Network proxy configuration
Välipalvelin toimii välittäjänä yksittäisten tietokoneiden ja internetin välillä, jolloin verkon suojaus, hallinta ja välimuistipalvelu voidaan varmistaa. Välipalvelin-MDM-tietosisällön avulla voit määrittää välipalvelinasetukset Mac-tietokoneisiin, jotka on rekisteröity MDM-ratkaisuun. Tämä tietosisältö tukee välipalvelinten määritystä seuraavia protokollia varten:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Jos haluat lisätietoja, katso Verkon välipalvelimen määrityksen MDM-asetukset.
Ominaisuus | Tuki |
|---|---|
Vaatii valvonnan iPhonessa ja iPadissa |
|
Vaatii valvonnan Macissa |
|
Tarjoaa organisaationäkyvyyden |
|
Voi suodattaa palvelimia |
|
Voi suodattaa polkuja verkko-osoitteissa |
|
Voi suodattaa kyselymerkkijonoja verkko-osoitteissa |
|
Voi suodattaa paketteja |
|
Voi suodattaa muita kuin http-protokollia | Tietyt protokollat. |
Huomioitavaa verkkoarkkitehtuurissa | Liikenne käyttää välipalvelinta, mikä voi vaikuttaa verkon viiveeseen ja tiedonsiirtoon. |
DNS-välipalvelimen MDM-tietosisältö
Voit määrittää DNS-välipalvelin-tietosisällön asetukset mobiililaitteiden hallintaratkaisuun (MDM) rekisteröityjen iPhone-, iPad-, Mac- ja Apple Vision Pro ‑laitteiden käyttäjille. DNS-välipalvelin-tietosisällön avulla voit määrittää appeja, joiden on käytettävä DNS-välipalvelimen verkkolaajennuksia ja valmistajakohtaisia arvoja. Tämän tietosisällön käyttö edellyttää oheisappia, joka on määritetty käyttämällä apin pakettitunnistetta.
Jos haluat lisätietoja, katso DNS-välipalvelin-MDM-tietosisältöasetukset.
Ominaisuus | Tuki |
|---|---|
Tuki Apple Vision Prolle |
|
Vaatii valvonnan iPhonessa ja iPadissa | Aiemmissa kuin iOS 15:ssä ja iPadOS 15:ssä valvontaa edellytetään. Laitteissa, joissa on iOS 15 tai iPadOS 15 tai uudempi, tätä tietosisältöä ei valvota, ja se on asennettava MDM-ratkaisulla. |
Vaatii valvonnan Macissa |
|
Tarjoaa organisaationäkyvyyden |
|
Voi suodattaa palvelimia |
|
Voi suodattaa polkuja verkko-osoitteissa |
|
Voi suodattaa kyselymerkkijonoja verkko-osoitteissa |
|
Voi suodattaa paketteja |
|
Voi suodattaa muita kuin http-protokollia | Vain DNS-etsinnät. |
Huomioitavaa verkkoarkkitehtuurissa | Minimivaikutus verkon suorituskykyyn. |
DNS-asetusten MDM-tietosisältö
Voit määrittää DNS-asetukset-tietosisällön asetukset MDM-ratkaisuun rekisteröityjen iPhone-, iPad- (mukaan lukien jaettu iPad), Mac- ja Apple Vision Pro -laitteiden käyttäjille. Tätä tietosisältöä käytetään DNS:n määrittämiseen HTTP:llä (kutsutaan myös nimellä DoH) tai DNS:n määrittämiseen TLS:llä (kutsutaan myös nimellä DoT). Ne parantavat käyttäjän tietosuojaa salaamalla DNS-liikenteen, ja niitä voidaan käyttää myös suodatettujen DNS-palvelujen hyödyntämiseen. Tietosisältö voi joko tunnistaa tietyt DNS-kyselyt, jotka käyttävät määritettyjä DNS-palvelimia, tai se voi käyttää sitä kaikkiin DNS-kyselyihin. Tietosisältö voi myös määrittää Wi-Fi:n SSID:t, joiden tiettyjä DNS-palvelimia käytetään kyselyihin.
Huomaa: Kun asennus on tehty MDM:llä, asetus pätee vain hallittuihin Wi-Fi-verkkoihin.
Jos haluat lisätietoja, katso Apple Developer ‑verkkosivustolta DNS Settings MDM payload settings ja DNSSettings.
Ominaisuus | Tuki |
|---|---|
Tuki Apple Vision Prolle |
|
Vaatii valvonnan iPhonessa ja iPadissa | Määritys voidaan lukita valvotuissa laitteissa. VPN-appi voi ohittaa määrityksen, jos MDM sallii sen (valvotut laitteet). |
Vaatii valvonnan Macissa | Määritys voidaan lukita valvotuissa laitteissa. VPN-appi voi ohittaa määrityksen, jos MDM sallii sen (valvotut laitteet). |
Tarjoaa organisaationäkyvyyden |
|
Voi suodattaa palvelimia |
|
Voi suodattaa polkuja verkko-osoitteissa |
|
Voi suodattaa kyselymerkkijonoja verkko-osoitteissa |
|
Voi suodattaa paketteja |
|
Voi suodattaa muita kuin http-protokollia | Vain DNS-etsinnät. |
Huomioitavaa verkkoarkkitehtuurissa | Minimivaikutus verkon suorituskykyyn. |
Sisällönsuodatustarjoajat
iOS, iPadOS ja macOS tukevat verkko- ja socket-liikenteen sisällön lisäsuodatusliitännäisiä. Laitteen oma verkkosisältösuodatin tutkii käyttäjäverkon sisältöä, kun se läpäisee verkkopinon. Sen jälkeen sisältösuodatin määrittää, tulisiko sen estää sisältö vai sallia sen jatkaa lopulliseen kohteeseensa. Sisällönsuodatustarjoajat ovat tarjolla MDM:llä asennetun apin kautta. Käyttäjän yksityisyyttä suojataan, sillä suodatustietojen tarjoaja toimii rajoitetussa eristyksessä. Suodatussääntöjä voidaan päivittää dynaamisesti apissa käyttöönotetun suodatuksenhallinnan tarjoajan avulla.
Jos haluat lisätietoja, katso Content Filter Providers Apple Developer -sivustolla.
Ominaisuus | Tuki |
|---|---|
Vaatii valvonnan iPhonessa ja iPadissa | Apin täytyy olla asennettuna käyttäjän iOS- ja iPadOS-laitteeseen, ja poistaminen voidaan estää, jos laite on valvottu. |
Vaatii valvonnan Macissa |
|
Tarjoaa organisaationäkyvyyden |
|
Voi suodattaa palvelimia |
|
Voi suodattaa polkuja verkko-osoitteissa |
|
Voi suodattaa kyselymerkkijonoja verkko-osoitteissa |
|
Voi suodattaa paketteja |
|
Voi suodattaa muita kuin http-protokollia |
|
Huomioitavaa verkkoarkkitehtuurissa | Liikennettä suodatetaan laitteessa, joten tämä ei vaikuta verkkoon. |
VPN-/pakettitunneli
Kun laitteet lähettävät verkkoliikennettä VPN- tai pakettitunnelin kautta, verkkotoimintaa voidaan valvoa ja suodattaa. Tämä määritys on samanlainen kuin laitteissa, jotka on yhdistetty suoraan verkkoon, jossa yksityisen verkon ja internetin välistä tietoliikennettä valvotaan ja suodatetaan.
Ominaisuus | Tuki |
|---|---|
Vaatii valvonnan iPhonessa ja iPadissa |
|
Vaatii valvonnan Macissa |
|
Tarjoaa organisaationäkyvyyden |
|
Voi suodattaa palvelimia | Liikennettä suodatetaan vain yksityisten verkkoyhteyksien kautta. |
Voi suodattaa polkuja verkko-osoitteissa | Liikennettä suodatetaan vain yksityisten verkkoyhteyksien kautta. |
Voi suodattaa kyselymerkkijonoja verkko-osoitteissa | Liikennettä suodatetaan vain yksityisten verkkoyhteyksien kautta. |
Voi suodattaa paketteja |
|
Voi suodattaa muita kuin http-protokollia |
|
Huomioitavaa verkkoarkkitehtuurissa | Liikenne käyttää yksityistä verkkoa, mikä voi vaikuttaa verkon viiveeseen ja tiedonsiirtoon. |