Tartalmak szűrése Apple-eszközökhöz
Az iOS, az iPadOS, a macOS és a visionOS 1.1 rendszer többféle tartalomszűrést tesz lehetővé, többek között korlátozásokat, globális HTTP-proxyt, szűrt DNS-t, DNS-proxyt és haladó tartalomszűrést.
Beépített tartalomszűrők konfigurálása
Az Apple eszközök képesek arra, hogy a Safarit és harmadik felek appjait bizonyos weboldalakra korlátozzák. Ezt a funkciót egyszerű vagy korlátozott tartalomszűrési igényekkel rendelkező szervezetek használhatják. Az összetett vagy jogilag felhatalmazott tartalomszűrési követelményekkel rendelkező szervezeteknek harmadik felek által biztosított tartalomszűrő appokban elérhető globális HTTP-proxyt vagy speciális tartalomszűrési opciókat érdemes használniuk.
Egy mobileszköz-felügyeleti (MDM) megoldás képes konfigurálni a beépített szűrőt az alábbi opciók segítségével:
All websites: A webes tartalmat nem szűri a rendszer.
Limit adult content: Automatikusan korlátozza a hozzáférést számos különböző, felnőtteknek szóló webhelyhez.
Blokkolt oldalak: Hozzáférést biztosít az összes webhelyhez, ha nincsenek testreszabható blokkolási listán.
Specific websites only: Korlátozza a hozzáférést az előre megadott webhelyekhez, amelyek testreszabhatók.
A beépített szűrő az iOS, az iPadOS és a visionOS 1.1 rendszer esetében a WebContentFilter adatcsomaggal, míg a macOS rendszer esetében a ParentalControlsContentFilter adatcsomaggal van konfigurálva. Ha a beépített szűrőt MDM felügyeli, akkor korlátozva van a Safariban a hozzáférés böngészési előzmények és a webhelyadatok törléséhez is.
Globális HTTP-proxy TLS/SSL-vizsgálattal
Az Apple-eszközök támogatják a globális HTTP-proxy konfigurálását. A globális HTTP-proxy az eszköz webes forgalmának nagy részét egy meghatározott proxyszerveren vagy beállításon keresztül továbbítja, amelyeket a rendszer az összes Wi-Fi-, mobil- és Ethernet-adathálózaton keresztül alkalmaz. Ezt a szolgáltatást általában alap- és középfokú oktatási intézmények vagy vállalatok használják az internetes tartalom szűréséhez olyan egyéni („egy az egyhez”) telepítési környezetben, amely a szervezet tulajdona, és amelyben a felhasználók hazaviszik eszközeiket. Ez a szolgáltatás lehetővé teszi, hogy az eszközöket az iskolában vagy a munkahelyen és otthon is szűrni lehessen. A globális HTTP-proxy használatához felügyelni kell az iPhone, iPad és Apple TV eszközöket. További információk: Az Apple-eszközfelügyelet bemutatása és Global HTTP Proxy (Globális HTTP-proxy) MDM-adatcsomag beállításai.
Elképzelhető, hogy a globális HTTP-proxy támogatásához hálózati módosításokat kell végezni. Ha globális HTTP-proxyt tervez a környezetéhez, vegye figyelembe az alábbi lehetőségeket, és kérjen segítséget a szűrési megoldás gyártójától a konfiguráláshoz:
External accessibility: A szervezet proxyszerverének kívülről is elérhetőnek kell lennie, ha azt szeretné, hogy az eszközök a szervezet hálózatán kívül is hozzáférhessenek.
Proxy PAC: A globális HTTP-proxy igény szerint manuálisan konfigurálható a proxyszerver IP-címének vagy DNS-nevének megadásával, vagy automatikusan is beállítható egy proxy PAC URL-lel. A proxy PAC-fájl konfigurációja megkérheti a klienst, hogy automatikusan válassza ki a megfelelő proxyszervert egy adott URL-beolvasásához, igény szerint a proxy megkerülésével. A PAC-fájl használatát a fokozott rugalmasság miatt érdemes fontolóra venni.
Előfizetéses Wi-Fi-kompatibilitás: A globális HTTP-proxy konfigurációja megengedheti a kliensnek, hogy átmenetileg megkerülje a proxybeállítást, és egy előfizetés alapú Wi-Fi-hálózathoz csatlakozzon. Ezek megkérik a felhasználót, hogy fogadja el a megadott feltételeket vagy fizessen bizonyos összeget egy webhelyen keresztül, mielőtt hozzáférést kap az internethez. Az előfizetés alapú Wi-Fi-hálózatok általában nyilvános könyvtárakban, gyorséttermekben, kávézókban és egyéb nyilvános helyeken áll rendelkezésre.
Proxy használata a gyorsítótárazási szolgáltatással: Érdemes konfigurálnia a klienseket PAC-fájl segítségével, ami lehetővé teszi, hogy felügyelje, mikor használják a kliensek a gyorsítótárazási szolgáltatást. Előfordulhat, hogy a hibásan konfigurált szűrési megoldások miatt a kliensek megkerülik a gyorsítótárazási szolgáltatást a szervezet hálózatán vagy véletlenül a gyorsítótárazási szolgáltatást használják a tartalomhoz, miközben az eszközök a felhasználók otthonában vannak.
Apple-termékek és -proxyszolgáltatások: Az Apple-szolgáltatások letiltják a HTTPS Interception (SSL/TLS Inspection) metódust alkalmazó kapcsolatokat. Ha a HTTPS-forgalom webproxyn keresztül megy, le kell tiltania a HTTPS Interception funkciót a következő Apple támogatási cikkben felsorolt állomásoknál: Apple-termékek használata vállalati hálózatokon.
Megjegyzés: Néhány app, például a FaceTime nem használ HTTP-csatlakozásokat, és nem továbbítható proxyként HTTP-proxyszerveren keresztül, ezért az ilyen appoknál a rendszer megkerüli a globális HTTP-proxyt. A HTTP-csatlakozásokat nem használó appok speciális tartalomszűréssel kezelhetők.
Funkció | Támogatás |
|---|---|
Felügyeletet igényel iPhone és iPad esetén |
|
Felügyeletet igényel Mac esetén |
|
Szervezeti láthatóságot biztosít |
|
Képes szűrni az állomásokat |
|
Képes szűrni az elérési utakat az URL-ekben |
|
Képes szűrni a lekérdezési karakterláncokat az URL-ekben |
|
Képes szűrni a csomagokat |
|
Képes szűrni a HTTP-től eltérő protokollokat |
|
Hálózatarchitektúrával kapcsolatos megfontolások | A forgalom proxyn keresztül megy, ami negatívan befolyásolhatja a hálózat késleltetését és teljesítményét. |
Network proxy configuration (Hálózati proxykonfiguráció)
Egy proxyszerver, amely közvetítőként működik egy adott számítógép és az internet között a biztonság, a felügyelet és a gyorsítótár-szolgáltatás biztosítása érdekében. A Proxy MDM-adatcsomaggal konfigurálhatja a mobileszköz-felügyeleti (MDM) megoldásba regisztrált Macek proxybeállításait. Ez az adatcsomag a következő protokollok esetében támogatja a proxyk konfigurációját:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
További információkért, lásd: Hálózati proxy konfigurációjának MDM-beállításai.
Funkció | Támogatás |
|---|---|
Felügyeletet igényel iPhone és iPad esetén |
|
Felügyeletet igényel Mac esetén |
|
Szervezeti láthatóságot biztosít |
|
Képes szűrni az állomásokat |
|
Képes szűrni az elérési utakat az URL-ekben |
|
Képes szűrni a lekérdezési karakterláncokat az URL-ekben |
|
Képes szűrni a csomagokat |
|
Képes szűrni a HTTP-től eltérő protokollokat | Bizonyos protokollok. |
Hálózatarchitektúrával kapcsolatos megfontolások | A forgalom proxyn keresztül megy, ami negatívan befolyásolhatja a hálózat késleltetését és teljesítményét. |
DNS Proxy MDM-adatcsomag
Mobileszköz-felügyeleti (MDM) megoldásba regisztrált iPhone-ok, iPadek, Macek és Apple Vision Prók felhasználói esetében konfigurálhatja a DNS-proxy adatcsomag beállításait. A DNS-proxy adatcsomaggal megadhatja azokat az appokat, amelyeknek DNS-proxy hálózati kiterjesztéseket és gyártóspecifikus értékeket kell használniuk. Ezen adatcsomag használata olyan kapcsolódó appot igényel, amelyet az app csomagazonosítója segítségével (más néven bundle ID) adtak meg.
További információkért, lásd: A DNS-proxy MDM-adatcsomag-beállításai.
Funkció | Támogatás |
|---|---|
Támogatás Apple Vision Próhoz |
|
Felügyeletet igényel iPhone és iPad esetén | Az iOS 15 és iPadOS 15 rendszerek előtt felügyelet szükséges. iOS 15 és iPadOS 15 vagy újabb rendszer alatt ezt az adatcsomagot nem felügyelt és egy MDM-megoldás segítségével kell telepíteni. |
Felügyeletet igényel Mac esetén |
|
Szervezeti láthatóságot biztosít |
|
Képes szűrni az állomásokat |
|
Képes szűrni az elérési utakat az URL-ekben |
|
Képes szűrni a lekérdezési karakterláncokat az URL-ekben |
|
Képes szűrni a csomagokat |
|
Képes szűrni a HTTP-től eltérő protokollokat | Csak DNS-keresésekhez. |
Hálózatarchitektúrával kapcsolatos megfontolások | Minimális hatással van a hálózati teljesítményre. |
DNS Settings (DNS-beállítások) MDM-adatcsomag
MDM-megoldásba regisztrált iPhone-ok, iPadek (megosztott iPadek), Macek és Apple Vision Prók felhasználói esetében konfigurálhatja a DNS-beállítások adatcsomag beállításait. Ez az adatcsomag valójában a DNS HTTP-n (DoH) vagy a DNS TLS-en (DoT) keresztül történő konfigurálására használatos. Ez a DNS-forgalom titkosításán keresztül növeli a felhasználói adatvédelmet, illetve a segítségével beolvashatók a szűrt DNS-szolgáltatások. Az adatcsomag vagy képes beazonosítani, hogy adott DNS-lekérdezések melyik DNS-kiszolgálókat használják, vagy alkalmazhatja az összes DNS-lekérdezésre is. Az adatcsomag megadhatja azokat a Wi-Fi SSID-ket, amelyeket a megadott DNS-kiszolgálókat használják a lekérdezésekhez.
Megjegyzés: Amikor MDM-mel van telepítve, a beállítás csak a felügyelt Wi-Fi-hálózatokra van alkalmazva.
További információkért tekintse meg a DNS-beállítások MDM-adatcsomag-beállításai és a DNSSettings című részt az Apple fejlesztői webhelyén.
Funkció | Támogatás |
|---|---|
Támogatás Apple Vision Próhoz |
|
Felügyeletet igényel iPhone és iPad esetén | A konfiguráció zárolható az adminisztrált eszközökön. A konfigurációt felülírhatja VPN-app, ha az MDM engedélyezi (adminisztrált eszközök esetén). |
Felügyeletet igényel Mac esetén | A konfiguráció zárolható az adminisztrált eszközökön. A konfigurációt felülírhatja VPN-app, ha az MDM engedélyezi (adminisztrált eszközök esetén). |
Szervezeti láthatóságot biztosít |
|
Képes szűrni az állomásokat |
|
Képes szűrni az elérési utakat az URL-ekben |
|
Képes szűrni a lekérdezési karakterláncokat az URL-ekben |
|
Képes szűrni a csomagokat |
|
Képes szűrni a HTTP-től eltérő protokollokat | Csak DNS-keresésekhez. |
Hálózatarchitektúrával kapcsolatos megfontolások | Minimális hatással van a hálózati teljesítményre. |
Tartalomszűrő szolgáltatók
Az iOS, az iPadOS és a macOS rendszer lehetővé teszi, hogy pluginokat használjon a webes tartalom és szoftvercsatorna-forgalom speciális tartalmi szűrésére. Egy eszközön használt hálózati tartalomszűrű megvizsgálja a felhasználói hálózati tartalmat, ahogy az áthalad a hálózati halmon. A tartalomszűrő ezt követően megállapítja, hogy blokkolja vagy engedélyezze a tartalmat a végső célhoz történő eljutásában. A tartalomszűrő szolgáltatók az MDM segítségével feltelepített appokon keresztül kerülnek átadásra. A felhasználó adatai védve vannak, hiszen a szűrőadat-szolgáltató korlátozó sandboxban fut. A szűrési szabályok dinamikusan frissíthetők az appban implementált szűrővezérlő szolgáltató által.
További információkért tekintse meg a Content Filter Providers című részt az Apple fejlesztői webhelyén.
Funkció | Támogatás |
|---|---|
Felügyeletet igényel iPhone és iPad esetén | Az appokat a felhasználó iOS- és iPadOS-eszközére kell telepíteni, és ha az eszköz adminisztrálva van, a törlés megakadályozható. |
Felügyeletet igényel Mac esetén |
|
Szervezeti láthatóságot biztosít |
|
Képes szűrni az állomásokat |
|
Képes szűrni az elérési utakat az URL-ekben |
|
Képes szűrni a lekérdezési karakterláncokat az URL-ekben |
|
Képes szűrni a csomagokat |
|
Képes szűrni a HTTP-től eltérő protokollokat |
|
Hálózatarchitektúrával kapcsolatos megfontolások | A forgalom az eszközön van szűrve, így nincs hálózati hatás. |
VPN/csomagalagút
Ha a csomagok VPN-en vagy csomagalagúton keresztül küldenek hálózati forgalmat, az felügyelhetővé és szűrhetővé válik. Ez a konfiguráció hasonlít azon eszközökre, amelyek közvetlenül csatlakoznak egy olyan hálózathoz, ahol a privát hálózat és az internet között folyó forgalom megfigyelés és szűrés alatt áll.
Funkció | Támogatás |
|---|---|
Felügyeletet igényel iPhone és iPad esetén |
|
Felügyeletet igényel Mac esetén |
|
Szervezeti láthatóságot biztosít |
|
Képes szűrni az állomásokat | A forgalom csak a magánhálózati kapcsolatokon van szűrve. |
Képes szűrni az elérési utakat az URL-ekben | A forgalom csak a magánhálózati kapcsolatokon van szűrve. |
Képes szűrni a lekérdezési karakterláncokat az URL-ekben | A forgalom csak a magánhálózati kapcsolatokon van szűrve. |
Képes szűrni a csomagokat |
|
Képes szűrni a HTTP-től eltérő protokollokat |
|
Hálózatarchitektúrával kapcsolatos megfontolások | A forgalom magánhálózaton keresztül megy, ami negatívan befolyásolhatja a hálózat késleltetését és teljesítményét. |