Filtrage du contenu destiné aux appareils Apple
iOS, iPadOS, macOS et visionOS 1.1 prennent en charge différentes formes de filtrage de contenu, y compris les restrictions, les serveurs mandataires HTTP globaux, les systèmes de noms de domaines (DNS) filtrés, les serveurs mandataires DNS et le filtrage avancé de contenu.
Configuration des filtres de contenu intégrés
Les appareils Apple peuvent restreindre l’utilisation de Safari et d’apps tierces à des sites Web précis. Les organisations dont les besoins de filtrage de contenu sont simples ou limités peuvent utiliser cette fonctionnalité. Les organisations ayant des besoins complexes ou liés à des obligations légales de filtrage de contenu doivent utiliser des options de filtrage avancées ou de serveur mandataire HTTP global fournies par une app tierce de filtrage de contenu.
Une solution de gestion des appareils mobiles (GAM) permet de configurer le filtre intégré selon les options suivantes :
Tous les sites Web : Le contenu Web n’est pas filtré.
Limiter le contenu pour adultes : L’accès à de nombreux sites Web pour adultes est limité automatiquement.
Sites bloqués : Tous les sites Web sont accessibles à moins qu’ils figurent sur une liste de blocage personnalisable.
Sites Web spécifiques uniquement : L’accès à des sites Web prédéterminés est limité. Ce réglage peut être personnalisé.
Le filtre intégré est configuré au moyen de l’entité WebContentFilter dans iOS, iPadOS et visionOS 1.1, et de l’entité ParentalControlsContentFilter dans macOS. La gestion du filtre intégré par la GAM restreint également l’accès dans Safari à l’option d’effacement de l’historique de navigation et des données de sites Web.
Serveur mandataire HTTP global avec inspection TLS/SSL
Les appareils Apple prennent en charge la configuration de serveurs mandataires HTTP globaux. Les serveurs mandataires HTTP globaux dirigent la majorité du trafic Web des appareils au moyen d’un serveur mandataire ou avec un réglage spécifique qui est appliqué à tous les réseaux Wi-Fi, cellulaires et Ethernet. Cette fonctionnalité est couramment utilisée par les établissements scolaires (maternelles, primaires ou secondaires) ou les entreprises pour le filtrage de contenu Internet dans un déploiement individuel appartenant à une organisation où les utilisateurs apportent également leurs appareils à la maison. Elle permet d’activer le filtrage sur les appareils à la fois à l’école ou au sein de l’organisation et à la maison. Les serveurs mandataires HTTP globaux requièrent la supervision des iPhone, iPad et Apple TV. Pour en savoir plus, consultez les rubriques À propos de la supervision d’appareils Apple et Réglages de l’entité de GAM Serveur mandataire HTTP global.
Vous pourriez devoir modifier le réseau pour prendre en charge les serveurs mandataires HTTP globaux. Lors de la planification du serveur mandataire HTTP global pour votre environnement, pensez aux options suivantes et collaborez avec votre fournisseur de filtrage en vue de la configuration :
Accessibilité externe : Le serveur mandataire de l’organisation doit être accessible de l’extérieur si un accès aux appareils est nécessaire en dehors du réseau de l’organisation.
Configuration automatique de serveur mandataire : Le serveur mandataire HTTP global prend en charge une configuration manuelle de serveur mandataire en précisant son adresse IP ou son nom DNS, ou une configuration automatique en utilisant une URL de configuration automatique de serveur mandataire. Une configuration de fichier de configuration automatique de serveur mandataire permet de demander au client de choisir automatiquement le serveur mandataire approprié pour aller chercher une URL donnée, y compris en contournant le serveur mandataire si nécessaire. Pensez à utiliser un fichier de configuration automatique pour une plus grande flexibilité.
Compatibilité avec les réseaux Wi-Fi captifs : La configuration de serveur mandataire HTTP global peut permettre au client de contourner temporairement le réglage du serveur mandataire afin de rejoindre un réseau Wi-Fi captif. L’utilisateur doit accepter les conditions ou payer par un site Web avant que l’accès Internet ne soit accordé. Les réseaux Wi-Fi captifs sont généralement utilisés dans les bibliothèques publiques, les restaurants-minute, les cafés et les autres lieux publics.
Utilisation d’un serveur mandataire avec le serveur antémémoire : Pensez à utiliser un fichier de configuration automatique pour configurer les clients de sorte à contrôler leur utilisation du serveur antémémoire. Si votre solution de filtrage est mal configurée, des clients peuvent contourner le serveur antémémoire sur le réseau de votre organisation ou involontairement utiliser le serveur antémémoire de contenu tandis que les appareils sont à leur domicile.
Produits et services de serveurs mandataires d’Apple : Les services Apple désactivent toute connexion qui utilise l’interception HTTPS (inspection SSL/TLS). Si le trafic HTTPS traverse un serveur mandataire Web, vous devez désactiver l’interception TTPS pour les hôtes mentionnés dans l’article de l’assistance Apple Utiliser les produits Apple sur les réseaux d’entreprise.
Remarque : Certaines apps, telles que FaceTime, n’utilisent pas les connexions HTTP et ne peuvent être transmises par un serveur mandataire HTTP. Par conséquent, elles contournent le serveur mandataire HTTP global. Vous pouvez gérer les apps qui n’utilisent pas les connexions HTTP à l’aide du filtrage de contenu avancé.
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire |
|
Supervision des Mac obligatoire |
|
Visibilité organisationnelle |
|
Possibilité de filtrer les hôtes |
|
Possibilité de filtrer les chemins dans les URL |
|
Possibilité de filtrer les chaînes de requête dans les URL |
|
Possibilité de filtrer les paquets |
|
Possibilité de filtrer les protocoles autres que HTTP |
|
Considérations relatives à l’architecture réseau | Le trafic est acheminé via un serveur mandataire, ce qui peut influencer la latence et le débit total du réseau. |
Configuration de serveurs mandataires réseau
Un serveur mandataire agit comme intermédiaire entre un utilisateur d’ordinateur et Internet, afin que le réseau puisse assurer la sécurité, le contrôle administratif et le service de gestion de cache. Servez-vous de l’entité de GAM Serveur mandataire pour configurer les réglages de serveur mandataire des ordinateurs Mac inscrits à une solution de gestion des appareils mobiles (GAM). Cette entité prend en charge la configuration de serveurs mandataires pour les protocoles suivants :
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Pour en savoir plus, consultez la rubrique Réglages de GAM de configuration de serveur mandataire réseau.
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire |
|
Supervision des Mac obligatoire |
|
Visibilité organisationnelle |
|
Possibilité de filtrer les hôtes |
|
Possibilité de filtrer les chemins dans les URL |
|
Possibilité de filtrer les chaînes de requête dans les URL |
|
Possibilité de filtrer les paquets |
|
Possibilité de filtrer les protocoles autres que HTTP | Certains protocoles. |
Considérations relatives à l’architecture réseau | Le trafic est acheminé via un serveur mandataire, ce qui peut influencer la latence et le débit total du réseau. |
Entité de GAM Serveur mandataire DNS
Vous pouvez configurer les réglages de l’entité Serveur mandataire DNS pour les utilisateurs d’iPhone, d’iPad, de Mac et d’Apple Vision Pro inscrits à une solution de gestion des appareils mobiles (GAM). Servez-vous de l’entité Serveur mandataire DNS pour indiquer les apps qui doivent utiliser les extensions de réseau de serveur mandataire DNS et les valeurs propres au fournisseur. L’utilisation de cette entité requiert une app accompagnatrice précisée à l’aide de son identifiant de paquet.
Pour en savoir plus, consultez la rubrique Réglages de l’entité de GAM Serveur mandataire DNS.
Fonctionnalité | Prise en charge |
|---|---|
Prise en charge de l’Apple Vision Pro |
|
Supervision des iPhone et iPad obligatoire | Avant iOS 15 et iPadOS 15, la supervision est requise. Sous iOS 15, iPadOS 15 et toutes versions ultérieures, cette entité n’est pas supervisée, mais elle doit être installée au moyen d’une solution de GAM. |
Supervision des Mac obligatoire |
|
Visibilité organisationnelle |
|
Possibilité de filtrer les hôtes |
|
Possibilité de filtrer les chemins dans les URL |
|
Possibilité de filtrer les chaînes de requête dans les URL |
|
Possibilité de filtrer les paquets |
|
Possibilité de filtrer les protocoles autres que HTTP | Pour recherches du DNS uniquement. |
Considérations relatives à l’architecture réseau | Effet minime sur la performance du réseau |
Entité de GAM Réglages DNS
Vous pouvez configurer les réglages de l’entité Réglages DNS pour les utilisateurs d’iPhone, d’iPad (y compris iPad partagé), de Mac et d’Apple Vision Pro inscrits à une solution de GAM. Plus précisément, cette entité est utilisée pour configurer la norme DNS par HTTP (aussi appelée DoH) ou DNS par TLS (aussi appelée DoT). Cette configuration renforce la confidentialité des utilisateurs en chiffrant le trafic DNS. Elle peut aussi être utilisée pour tirer parti des services DNS filtrés. L’entité peut soit identifier des requêtes DNS spécifiques qui utilisent les serveurs DNS spécifiés, soit s’appliquer à toutes les requêtes DNS. L’entité peut également spécifier les SSID Wi-Fi dont les serveurs DNS spécifiés sont utilisés pour les requêtes.
Remarque : Lorsque l’installation se fait à l’aide de GAM, le réglage s’applique uniquement aux réseaux Wi-Fi gérés.
Pour en savoir plus, consultez les rubriques Réglages de l’entité de GAM Réglages DNS et DNSSettings sur le site Web Apple Developer (en anglais).
Fonctionnalité | Prise en charge |
|---|---|
Prise en charge de l’Apple Vision Pro |
|
Supervision des iPhone et iPad obligatoire | La configuration peut être verrouillée sur les appareils supervisés. Une app VPN peut supplanter la configuration si la GAM l’autorise (appareils supervisés). |
Supervision des Mac obligatoire | La configuration peut être verrouillée sur les appareils supervisés. Une app VPN peut supplanter la configuration si la GAM l’autorise (appareils supervisés). |
Visibilité organisationnelle |
|
Possibilité de filtrer les hôtes |
|
Possibilité de filtrer les chemins dans les URL |
|
Possibilité de filtrer les chaînes de requête dans les URL |
|
Possibilité de filtrer les paquets |
|
Possibilité de filtrer les protocoles autres que HTTP | Pour recherches du DNS uniquement. |
Considérations relatives à l’architecture réseau | Effet minime sur la performance du réseau |
Fournisseurs de filtres de contenu
iOS, iPadOS et macOS prennent en charge les modules de filtrage avancé de contenu du trafic Web ou de celui des connecteurs. Un filtre de contenu réseau sur l’appareil examine le contenu réseau de l’utilisateur alors qu’il traverse la pile réseau. Le filtre de contenu détermine alors s’il devrait bloquer ce contenu ou l’autoriser à atteindre sa destination final. Les fournisseurs de filtres de contenu sont acheminés par une app installée par la GAM. La confidentialité de l’utilisateur est protégée, car le fournisseur de données filtrées s’exécute dans un environnement contrôlé restrictif. Les règles de filtrage peuvent être mises à jour de façon dynamique par le fournisseur de contrôle de filtres mis en œuvre dans l’app.
Pour en savoir plus, consultez la page consacrée aux fournisseurs de filtres de contenu sur le site Web Apple Developer (en anglais).
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire | L’app doit être installée sur l’appareil iOS et iPadOS de l’utilisateur, et la suppression peut être empêchée si l’appareil est supervisé. |
Supervision des Mac obligatoire |
|
Visibilité organisationnelle |
|
Possibilité de filtrer les hôtes |
|
Possibilité de filtrer les chemins dans les URL |
|
Possibilité de filtrer les chaînes de requête dans les URL |
|
Possibilité de filtrer les paquets |
|
Possibilité de filtrer les protocoles autres que HTTP |
|
Considérations relatives à l’architecture réseau | Le trafic est filtré sur l’appareil, ce qui n’a aucun effet sur le réseau. |
VPN ou Ttunnel de paquets
Lorsque les appareils envoient du trafic réseau via un VPN ou un tunnel de paquets, il est possible de surveiller et de filtrer l’activité réseau. Cette configuration ressemble à celle d’appareils connectés directement à un réseau dont le trafic entre le réseau privé et Internet est surveillé et filtré.
Fonctionnalité | Prise en charge |
|---|---|
Supervision des iPhone et iPad obligatoire |
|
Supervision des Mac obligatoire |
|
Visibilité organisationnelle |
|
Possibilité de filtrer les hôtes | Le trafic est filtré uniquement à l’aide de connexions à des réseaux privés. |
Possibilité de filtrer les chemins dans les URL | Le trafic est filtré uniquement à l’aide de connexions à des réseaux privés. |
Possibilité de filtrer les chaînes de requête dans les URL | Le trafic est filtré uniquement à l’aide de connexions à des réseaux privés. |
Possibilité de filtrer les paquets |
|
Possibilité de filtrer les protocoles autres que HTTP |
|
Considérations relatives à l’architecture réseau | Le trafic est acheminé via un réseau privé, ce qui peut influencer la latence et le débit total du réseau. |