Filtrer le contenu pour les appareils Apple
iOS, iPadOS, macOS et visionOS 1.1 prennent en charge plusieurs formes de filtrage de contenu, notamment l’utilisation de restrictions, d’un proxy HTTP global, d’un DNS filtré, d’un proxy DNS ou d’un filtrage de contenu avancé.
Configurer des filtres de contenus intégrés
Les appareils Apple peuvent restreindre l’utilisation de Safari et d’apps tierces à des sites web spécifiques. Les établissements ayant des besoins de filtrage de contenu simples ou limités peuvent utiliser cette fonctionnalité. Les établissements nécessitant un filtrage de contenu complexe ou légalement mandaté doivent utiliser les options de filtrage de contenu « proxy HTTP global » et « avancées » fournies par une app tierce de filtrage de contenu.
Une solution de gestion des appareils mobiles (MDM) peut configurer le filtre intégré avec les options suivantes :
Tous les sites web : Le contenu sur le Web n’est pas filtré.
Limiter le contenu pour adultes : Restreint l’accès aux sites web pour adultes automatiquement.
Sites bloqués : Autorise lʼaccès à tous les sites web, sauf sʼils font partie dʼune liste de blocage personnalisable.
Certains sites web seulement : Restreint l’accès à certains sites web. Vous pouvez personnaliser ces sites web.
Le filtre intégré est configuré à lʼaide des données utiles WebContentFilter sur iOS, iPadOS et visionOS 1.1 et des données utiles ParentalControlsContentFilter sur macOS. La gestion du filtre intégré par la solution MDM restreint également lʼaccès à Safari pour pouvoir uniquement effacer lʼhistorique de navigation et les données des sites web.
Proxy HTTP global avec inspection TLS/SSL
Les appareils Apple prennent en charge la configuration des proxys HTTP globaux. Un proxy HTTP global achemine la majeure partie du trafic Internet par le biais d’un serveur proxy avec un réglage qui est appliqué sur tous les réseaux cellulaires, Ethernet et Wi-Fi. Cette fonctionnalité est couramment utilisée dans les organisations allant de la maternelle au lycée et dans les entreprises pour le filtrage du contenu Internet dans le cadre d’un déploiement d’appareils individuels appartenant à l’organisation, au sein duquel les utilisateurs emportent les appareils chez eux. Cela permet aux appareils dʼêtre filtrés à la fois dans lʼétablissement scolaire et au domicile. Un proxy HTTP global nécessite que les iPhone, iPad et Apple TV soient supervisés. Pour en savoir plus, consultez À propos de la supervision d’appareils Apple et Réglages des données utiles MDM Proxy HTTP global.
Vous devrez peut-être effectuer des modifications sur votre réseau pour prendre en charge un proxy HTTP global. Lorsque vous planifiez un proxy HTTP global pour votre environnement, considérez les options suivantes et procédez à la configuration en collaboration avec votre fournisseur de filtrage :
Accessibilité externe : Le serveur proxy de l’organisation doit être accessible de manière externe si les appareils doivent y accéder en dehors du réseau de l’organisation.
PAC (Configuration automatique de proxy) : Le proxy HTTP global peut prendre en charge soit une configuration de proxy manuelle en indiquant l’adresse IP ou le DNS du serveur proxy, soit une configuration automatique à l’aide d’une URL de configuration automatique de proxy. La configuration d’un fichier PAC peut imposer au client de choisir automatiquement le serveur proxy adéquat afin de récupérer une URL donnée, y compris en contournant le proxy, le cas échéant. Envisagez d’utiliser un fichier PAC pour plus de flexibilité.
Compatibilité avec les réseaux Wi-Fi captifs : La configuration du proxy HTTP global peut permettre au client de contourner temporairement le réglage de proxy afin d’accéder à un réseau Wi-Fi captif. Ces réseaux obligent l’utilisateur à accepter certaines conditions ou à payer par l’intermédiaire d’un site web avant de lui donner accès à Internet. On trouve généralement les réseaux Wi-Fi captifs dans les bibliothèques publiques, les établissements de restauration rapide, les cafés et autres lieux publics.
Utilisation d’un proxy avec le service de mise en cache : Envisagez d’utiliser un fichier PAC pour configurer des clients et contrôler les situations dans lesquelles ils doivent utiliser le service de mise en cache. Une mauvaise configuration des solutions de filtrage peut amener les clients à contourner le service de mise en cache sur le réseau de votre établissement ou à faire traiter involontairement du contenu au service de mise en cache alors que les appareils se trouvent au domicile des utilisateurs.
Produits Apple et services de proxy : Les services Apple désactivent toute connexion qui utilise l’interception HTTPS (inspection TLS/SSL). Si le trafic HTTPS passe par un proxy web, vous devez désactiver l’interception HTTPS pour les hôtes répertoriés dans l’article Utiliser les produits Apple sur des réseaux d’entreprise de l’assistance Apple.
Remarque : certaines apps, comme FaceTime, n’utilisent pas des connexions HTTP et ne peuvent donc pas utiliser un serveur proxy HTTP comme proxy ; par conséquent, elles contournent le proxy HTTP global. Vous pouvez gérer les apps n’utilisant pas de connexion HTTP grâce au filtrage de contenu avancé.
Fonctionnalité | Prise en charge |
|---|---|
Exige la supervision sur iPhone et iPad |
|
Exige la supervision sur Mac |
|
Fournit la visibilité organisationnelle |
|
Peut filtrer les hôtes |
|
Peut filtrer les chemins dans les URL |
|
Peut filtrer les chaînes de requête dans les URL |
|
Peut filtrer les paquets |
|
Peut filtrer les protocoles autres que http |
|
Considérations relatives à l’architecture du réseau | Le trafic est acheminé par un proxy, ce qui peut avoir un impact sur la latence et le débit du réseau. |
Configuration de proxy réseau
Un serveur proxy agit comme intermédiaire entre un utilisateur d’ordinateur et Internet, afin que le réseau puisse assurer la sécurité, le contrôle administratif et le service de gestion de cache. Utilisez les données utiles MDM Proxy pour configurer les réglages liés au proxy pour les ordinateurs Mac inscrits à une solution de gestion des appareils mobiles (MDM). Ces données utiles prennent en charge la configuration de proxys pour les protocoles suivants :
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Pour en savoir plus, consultez la rubrique Réglages MDM de la configuration de proxy réseau.
Fonctionnalité | Prise en charge |
|---|---|
Exige la supervision sur iPhone et iPad |
|
Exige la supervision sur Mac |
|
Fournit la visibilité organisationnelle |
|
Peut filtrer les hôtes |
|
Peut filtrer les chemins dans les URL |
|
Peut filtrer les chaînes de requête dans les URL |
|
Peut filtrer les paquets |
|
Peut filtrer les protocoles autres que http | Certains protocoles |
Considérations relatives à l’architecture du réseau | Le trafic est acheminé par un proxy, ce qui peut avoir un impact sur la latence et le débit du réseau. |
Données utiles MDM Proxy DNS
Vous pouvez configurer les réglages des données utiles « Proxy DNS » pour les utilisateurs d’iPhone, iPad, Mac et Apple Vision Pro inscrits à une solution de gestion des appareils mobiles (MDM). Utilisez les données utiles Proxy DNS pour indiquer les apps qui doivent utiliser des extensions de réseau proxy DNS et des valeurs spécifiques au fournisseur. Lʼutilisation de ces données utiles nécessite une app jointe qui est indiquée conformément à lʼidentifiant du lot dʼapp (aussi appelé identifiant de paquet).
Pour en savoir plus, consultez la rubrique Réglages des données utiles MDM Proxy DNS.
Fonctionnalité | Prise en charge |
|---|---|
Prise en charge de l’Apple Vision Pro |
|
Exige la supervision sur iPhone et iPad | Avant iOS 15 et iPadOS 15, la supervision est requise. Sous iOS 15 et iPadOS 15, ces données utiles ne sont pas supervisées et doivent être installées à lʼaide dʼune solution MDM. |
Exige la supervision sur Mac |
|
Fournit la visibilité organisationnelle |
|
Peut filtrer les hôtes |
|
Peut filtrer les chemins dans les URL |
|
Peut filtrer les chaînes de requête dans les URL |
|
Peut filtrer les paquets |
|
Peut filtrer les protocoles autres que http | Pour les recherches du DNS uniquement |
Considérations relatives à l’architecture du réseau | Impact minimal sur les performances du réseau. |
Données utiles MDM Réglages DNS
Vous pouvez configurer les réglages des données utiles « Réglages DNS » pour les utilisateurs dʼiPhone, iPad (y compris iPad partagé), Mac et Apple Vision Pro inscrits à une solution MDM. Plus précisément, ces données utiles sont utilisées pour configurer le DNS via HTTP (aussi connu sous le nom de DoH) ou le DNS via TLS (aussi connu sous le nom de DoT). Cela améliore le respect de la vie privée des utilisateurs en chiffrant le trafic DNS et peut également être utilisé pour tirer parti des services DNS filtrés. Les données utiles peuvent identifier les requêtes DNS spécifiques utilisant les serveurs DNS spécifiés ou s’appliquer à l’ensemble des requêtes DNS. Les données utiles peuvent également indiquer les SSID Wi-Fi pour lesquels les serveurs DNS spécifiés sont utilisés pour des requêtes.
Remarque : lorsquʼil est installé à lʼaide dʼune solution MDM, le réglage ne sʼapplique quʼaux réseaux Wi-Fi gérés.
Pour en savoir plus, consultez la page Réglages données utiles MDM Réglages DNS et la page consacrée à DNSSettings (en anglais) du site web des développeurs Apple.
Fonctionnalité | Prise en charge |
|---|---|
Prise en charge de l’Apple Vision Pro |
|
Exige la supervision sur iPhone et iPad | La configuration peut être verrouillée sur les appareils supervisés. La configuration peut être remplacée par une app VPN si cela est autorisé par la solution MDM (appareils supervisés). |
Exige la supervision sur Mac | La configuration peut être verrouillée sur les appareils supervisés. La configuration peut être remplacée par une app VPN si cela est autorisé par la solution MDM (appareils supervisés). |
Fournit la visibilité organisationnelle |
|
Peut filtrer les hôtes |
|
Peut filtrer les chemins dans les URL |
|
Peut filtrer les chaînes de requête dans les URL |
|
Peut filtrer les paquets |
|
Peut filtrer les protocoles autres que http | Pour les recherches du DNS uniquement |
Considérations relatives à l’architecture du réseau | Impact minimal sur les performances du réseau. |
Fournisseurs de filtrage du contenu
iOS, iPadOS et macOS prennent en charge les modules de filtrage avancé de contenu pour le trafic web et de socket. Un filtre de contenu de réseau sur lʼappareil examine le contenu du réseau de lʼutilisateur lors de son passage sur la pile réseau. Le filtre de contenu détermine ensuite si il doit bloquer ce contenu ou lʼautoriser à accéder à sa destination finale. Les fournisseurs de filtrage du contenu sont fournis via à une app installée à lʼaide dʼune solution MDM. La vie privée de lʼutilisateur est protégée grâce à lʼexécution du fournisseur de filtre de contenu dans un environnement contrôlé restreint. Le filtrage peut être mis à jour de façon dynamique par le fournisseur de filtre de contenu implémenté dans lʼapp.
Pour en savoir plus, consultez la page consacrée à Content Filter Providers (en anglais) du site web des développeurs Apple.
Fonctionnalité | Prise en charge |
|---|---|
Exige la supervision sur iPhone et iPad | L’app peut être installée sur l’appareil iOS et iPadOS de l’utilisateur et la suppression peut être évitée si l’appareil est supervisé. |
Exige la supervision sur Mac |
|
Fournit la visibilité organisationnelle |
|
Peut filtrer les hôtes |
|
Peut filtrer les chemins dans les URL |
|
Peut filtrer les chaînes de requête dans les URL |
|
Peut filtrer les paquets |
|
Peut filtrer les protocoles autres que http |
|
Considérations relatives à l’architecture du réseau | Le trafic est filtré sur l’appareil de sorte qu’il n’y a pas d’impact sur le réseau. |
Tunnel de paquet/VPN
Lorsque les appareils envoient un trafic réseau via un VPN ou en tunnel par paquets, lʼactivité réseau peut être surveillée et filtrée. Cette configuration consiste en plusieurs appareils similaires qui sont directement connectés à un réseau où le trafic entre le réseau privé et Internet est surveillé et filtré.
Fonctionnalité | Prise en charge |
|---|---|
Exige la supervision sur iPhone et iPad |
|
Exige la supervision sur Mac |
|
Fournit la visibilité organisationnelle |
|
Peut filtrer les hôtes | Trafic filtré par des connexions de réseau privé uniquement. |
Peut filtrer les chemins dans les URL | Trafic filtré par des connexions de réseau privé uniquement. |
Peut filtrer les chaînes de requête dans les URL | Trafic filtré par des connexions de réseau privé uniquement. |
Peut filtrer les paquets |
|
Peut filtrer les protocoles autres que http |
|
Considérations relatives à l’architecture du réseau | Le trafic est acheminé par un réseau privé, ce qui peut avoir un impact sur la latence et le débit du réseau. |