Filtrage du contenu destiné aux appareils Apple
iOS, iPadOS, macOS et visionOS 1.1 prennent en charge différentes formes de filtrage de contenu, y compris les restrictions, les serveurs mandataires HTTP globaux, les systèmes de noms de domaines (DNS) filtrés, les serveurs mandataires DNS et le filtrage avancé de contenu.
Configuration des filtres de contenu intégrés
Les appareils Apple peuvent restreindre l’utilisation de Safari et d’apps tierces à des sites Web précis. Les organisations dont les besoins de filtrage de contenu sont simples ou limités peuvent utiliser cette fonctionnalité. Les organisations ayant des besoins complexes ou liés à des obligations légales de filtrage de contenu doivent utiliser des options de filtrage avancées ou de serveur mandataire HTTP global fournies par une app tierce de filtrage de contenu.
Un service de gestion des appareils permet de configurer le filtre intégré selon les options suivantes :
Tous les sites Web : Le contenu Web n’est pas filtré.
Limiter le contenu pour adultes : L’accès à de nombreux sites Web pour adultes est limité automatiquement.
Sites bloqués : Tous les sites Web sont accessibles à moins qu’ils figurent sur une liste de blocage personnalisable.
Sites Web spécifiques uniquement : L’accès à des sites Web prédéterminés est limité. Ce réglage peut être personnalisé.
Vous configurer le filtre intégré au moyen de l’entité WebContentFilter dans iOS, iPadOS et visionOS 1.1, et de l’entité ParentalControlsContentFilter dans macOS. La gestion du filtre intégré par un service de gestion des appareils restreint également l’accès dans Safari à l’option d’effacement de l’historique de navigation et des données de sites Web.
Serveur mandataire HTTP global avec inspection TLS/SSL
Les appareils Apple prennent en charge la configuration de serveurs mandataires HTTP globaux. Les serveurs mandataires HTTP globaux dirigent la majorité du trafic Web des appareils au moyen d’un serveur mandataire ou avec un réglage spécifique qui est appliqué à tous les réseaux Wi-Fi, cellulaires et Ethernet. Cette fonctionnalité est couramment utilisée par les établissements scolaires (maternelles, primaires ou secondaires) ou les entreprises pour le filtrage de contenu Internet dans un déploiement individuel appartenant à une organisation où les utilisateurs apportent également leurs appareils à la maison. Elle permet d’activer le filtrage sur les appareils à la fois à l’école ou au sein de l’organisation et à la maison. Les serveurs mandataires HTTP globaux requièrent la supervision des iPhone, iPad et Apple TV. Pour en savoir plus, consultez les rubriques À propos de la supervision d’appareils Apple et Réglages de l’entité de gestion des appareils Serveur mandataire HTTP global.
Vous pourriez devoir modifier le réseau pour prendre en charge les serveurs mandataires HTTP globaux. Lors de la planification du serveur mandataire HTTP global pour votre environnement, pensez aux options suivantes et collaborez avec votre fournisseur de filtrage en vue de la configuration :
Accessibilité externe : Le serveur mandataire de l’organisation doit être accessible de l’extérieur si un accès aux appareils est nécessaire en dehors du réseau de l’organisation.
Configuration automatique de serveur mandataire : Le serveur mandataire HTTP global prend en charge une configuration manuelle de serveur mandataire en précisant son adresse IP ou son nom DNS, ou une configuration automatique en utilisant une URL de configuration automatique de serveur mandataire. Une configuration de fichier de configuration automatique de serveur mandataire permet de demander au client de choisir automatiquement le serveur mandataire approprié pour aller chercher une URL donnée, y compris en contournant le serveur mandataire si nécessaire. Pensez à utiliser un fichier de configuration automatique pour une plus grande flexibilité.
Compatibilité avec les réseaux Wi-Fi captifs : La configuration de serveur mandataire HTTP global peut permettre au client de contourner temporairement le réglage du serveur mandataire afin de rejoindre un réseau Wi-Fi captif. L’utilisateur doit accepter les conditions ou payer par un site Web avant que l’accès Internet ne soit accordé. Les réseaux Wi-Fi captifs sont généralement utilisés dans les bibliothèques publiques, les restaurants-minute, les cafés et les autres lieux publics.
Utilisation d’un serveur mandataire avec le serveur antémémoire : Pensez à utiliser un fichier de configuration automatique pour configurer les clients de sorte à contrôler leur utilisation du serveur antémémoire. Si votre solution de filtrage est mal configurée, des clients peuvent contourner le serveur antémémoire sur le réseau de votre organisation ou involontairement utiliser le serveur antémémoire de contenu tandis que les appareils sont à leur domicile.
Produits et services de serveurs mandataires d’Apple : Les services Apple désactivent toute connexion qui utilise l’interception HTTPS (inspection SSL/TLS). Si le trafic HTTPS traverse un serveur mandataire Web, vous devez désactiver l’interception TTPS pour les hôtes mentionnés dans l’article de l’assistance Apple Utiliser les produits Apple sur les réseaux d’entreprise.
Remarque : Certaines apps, telles que FaceTime, n’utilisent pas les connexions HTTP et ne peuvent être transmises par un serveur mandataire HTTP. Par conséquent, elles contournent le serveur mandataire HTTP global. Vous pouvez gérer les apps qui n’utilisent pas les connexions HTTP à l’aide du filtrage de contenu avancé.
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire |  |
Supervision des Mac obligatoire |  |
Visibilité organisationnelle | |
Possibilité de filtrer les hôtes | |
Possibilité de filtrer les chemins dans les URL | |
Possibilité de filtrer les chaînes de requête dans les URL | |
Possibilité de filtrer les paquets | |
Possibilité de filtrer les protocoles autres que HTTP | |
Considérations relatives à l’architecture réseau | Le trafic est acheminé via un serveur mandataire, ce qui peut influencer la latence et le débit total du réseau. |
Configuration de serveurs mandataires réseau
Un serveur mandataire agit comme intermédiaire entre un utilisateur d’ordinateur et Internet, afin que le réseau puisse assurer la sécurité, le contrôle administratif et le service de gestion de cache. Servez-vous de l’entité de gestion des appareils Serveur mandataire réseau pour configurer les réglages de serveur mandataire des ordinateurs Mac inscrits à un service de gestion des appareils. Cette entité prend en charge la configuration de serveurs mandataires pour les protocoles suivants :
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Pour en savoir plus, consultez la rubrique Réglages de gestion des appareils de configuration de serveur mandataire réseau.
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire | |
Supervision des Mac obligatoire | |
Visibilité organisationnelle | |
Possibilité de filtrer les hôtes | |
Possibilité de filtrer les chemins dans les URL | |
Possibilité de filtrer les chaînes de requête dans les URL | |
Possibilité de filtrer les paquets | |
Possibilité de filtrer les protocoles autres que HTTP | Certains protocoles. |
Considérations relatives à l’architecture réseau | Le trafic est acheminé via un serveur mandataire, ce qui peut influencer la latence et le débit total du réseau. |
Entité Serveur mandataire DNS
Vous pouvez configurer les réglages de l’entité Serveur mandataire DNS pour les utilisateurs d’iPhone, d’iPad, de Mac et d’Apple Vision Pro inscrits à un service de gestion des appareils. Servez-vous de l’entité Serveur mandataire DNS pour indiquer les apps qui doivent utiliser les extensions de réseau de serveur mandataire DNS et les valeurs propres au fournisseur. L’utilisation de cette entité requiert une app accompagnatrice que vous précisez à l’aide de son identifiant de paquet.
Pour en savoir plus, consultez Réglages de l’entité de gestion des appareils Serveur mandataire DNS.
Fonctionnalité | Prise en charge |
|---|---|
Prise en charge de l’Apple Vision Pro | |
Supervision des iPhone et iPad obligatoire | Avant iOS 15 et iPadOS 15, la supervision est requise. Sur les appareils sous iOS 15, iPadOS 15 et toutes versions ultérieures, cette entité n’est pas supervisée et vous devez l’installer au moyen d’un service de gestion des appareils. |
Supervision des Mac obligatoire | |
Visibilité organisationnelle | |
Possibilité de filtrer les hôtes | |
Possibilité de filtrer les chemins dans les URL | |
Possibilité de filtrer les chaînes de requête dans les URL | |
Possibilité de filtrer les paquets | |
Possibilité de filtrer les protocoles autres que HTTP | Pour recherches du DNS uniquement. |
Considérations relatives à l’architecture réseau | Effet minime sur la performance du réseau |
Entité Réglages DNS
Vous pouvez configurer les réglages de l’entité Réglages DNS pour les utilisateurs d’iPhone, d’iPad (y compris iPad partagé), de Mac et d’Apple Vision Pro inscrits à un service de gestion des appareils. Plus précisément, vous utilisez cette entité pour configurer la norme DNS par HTTP (aussi appelée DoH) ou DNS par TLS (aussi appelée DoT). Cette configuration renforce la confidentialité des utilisateurs en chiffrant le trafic DNS. Elle permet aussi de tirer parti des services DNS filtrés. L’entité peut soit identifier des requêtes DNS spécifiques qui utilisent les serveurs DNS spécifiés, soit s’appliquer à toutes les requêtes DNS. L’entité peut également spécifier les SSID Wi-Fi à utiliser pour les requêtes destinées à des serveurs DNS particuliers.
Remarque : Lorsque vous installez l’entité à l’aide d’un service de gestion des appareils, le réglage ne s’applique qu’aux réseaux Wi‑Fi gérés.
Pour en savoir plus, consultez les rubriques Réglages de l’entité de gestion des appareils Réglages DNS et DNSSettings sur le site Web Apple Developer (en anglais).
Fonctionnalité | Prise en charge |
|---|---|
Prise en charge de l’Apple Vision Pro | |
Supervision des iPhone et iPad obligatoire | La configuration peut être verrouillée sur les appareils supervisés. Une app VPN peut remplacer la configuration si un service de gestion des appareils le permet (appareils supervisés). |
Supervision des Mac obligatoire | La configuration peut être verrouillée sur les appareils supervisés. Une app VPN peut remplacer la configuration si un service de gestion des appareils le permet (appareils supervisés). |
Visibilité organisationnelle | |
Possibilité de filtrer les hôtes | |
Possibilité de filtrer les chemins dans les URL | |
Possibilité de filtrer les chaînes de requête dans les URL | |
Possibilité de filtrer les paquets | |
Possibilité de filtrer les protocoles autres que HTTP | Pour recherches du DNS uniquement. |
Considérations relatives à l’architecture réseau | Effet minime sur la performance du réseau |
Fournisseurs de filtres de contenu
iOS, iPadOS et macOS prennent en charge les modules de filtrage avancé de contenu du trafic Web ou de celui des connecteurs. Un filtre de contenu réseau sur l’appareil examine le contenu réseau de l’utilisateur alors qu’il traverse la pile réseau. Le filtre de contenu détermine ensuite s’il convient de bloquer ce contenu ou de l’autoriser à atteindre sa destination finale. Une app qui s’installe avec un service de gestion des appareils fournit les fournisseurs de filtres de contenu. La confidentialité de l’utilisateur est protégée, car le fournisseur de données filtrées s’exécute dans un environnement contrôlé restrictif. Le fournisseur de contrôle de filtre implémenté par l’app peut mettre à jour les règles de filtrage de manière dynamique.
Pour en savoir plus, consultez la page consacrée aux fournisseurs de filtres de contenu sur le site Web Apple Developer (en anglais).
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire | L’app doit être installée sur l’appareil iOS et iPadOS de l’utilisateur, et la suppression peut être empêchée si l’appareil est supervisé. |
Supervision des Mac obligatoire | |
Visibilité organisationnelle | |
Possibilité de filtrer les hôtes | |
Possibilité de filtrer les chemins dans les URL | |
Possibilité de filtrer les chaînes de requête dans les URL | |
Possibilité de filtrer les paquets | |
Possibilité de filtrer les protocoles autres que HTTP | |
Considérations relatives à l’architecture réseau | Le trafic est filtré sur l’appareil, ce qui n’a aucun effet sur le réseau. |
VPN ou Ttunnel de paquets
Lorsque les appareils envoient du trafic réseau via un VPN ou un tunnel de paquets, il est possible de surveiller et de filtrer l’activité réseau. Cette configuration ressemble à celle d’appareils connectés directement à un réseau dont le trafic entre le réseau privé et Internet est surveillé et filtré.
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire |
|
Supervision des Mac obligatoire | |
Visibilité organisationnelle | |
Possibilité de filtrer les hôtes | Le trafic est filtré uniquement à l’aide de connexions à des réseaux privés. |
Possibilité de filtrer les chemins dans les URL | Le trafic est filtré uniquement à l’aide de connexions à des réseaux privés. |
Possibilité de filtrer les chaînes de requête dans les URL | Le trafic est filtré uniquement à l’aide de connexions à des réseaux privés. |
Possibilité de filtrer les paquets | |
Possibilité de filtrer les protocoles autres que HTTP | |
Considérations relatives à l’architecture réseau | Le trafic est acheminé via un réseau privé, ce qui peut influencer la latence et le débit total du réseau. |