Filtrowanie zawartości na urządzeniach Apple
Systemy iOS, iPadOS, macOS i visionOS 1.1 obsługują wiele metod filtrowania zawartości, takich jak ograniczenia, globalne serwery proxy dla protokołu HTTP, filtrowanie DNS, serwery proxy DNS oraz zaawansowane filtrowanie zawartości.
Konfigurowanie wbudowanych filtrów zawartości
Urządzenia Apple pozwalają na ograniczanie dostępu do określonych witryn przy użyciu Safari oraz aplikacji innych firm. Funkcja ta może być używana w organizacjach mających podstawowe lub ograniczone potrzeby w zakresie filtrowania zawartości. Organizacje ze złożonymi lub narzuconymi prawnie wymogami dotyczącymi filtrowania zawartości powinny używać działających globalnie serwerów proxy HTTP lub zaawansowanych opcji filtrowania zawartości zapewnianych przez aplikacje innych firm.
Rozwiązanie MDM może skonfigurować wbudowany filtr przy użyciu następujących opcji:
Wszystkie witryny: Zawartość sieci nie jest filtrowana.
Ograniczaj materiały dla dorosłych: Automatycznie ogranicza dostęp do wielu witryn przeznaczonych tylko dla osób dorosłych.
Zablokowane witryny: Pozwala na dostęp do wszystkich witryn nieznajdujących się na personalizowanej liście zablokowanych.
Tylko określone witryny: Ogranicza dostęp do określonych witryn, których listę można modyfikować.
Wbudowany filtr można konfigurować przy użyciu pakietu danych WebContentFilter
w systemie iOS, iPadOS i visionOS 1.1 oraz pakietu danych ParentalControlsContentFilter
w systemie macOS. Zarządzanie wbudowanym filtrem przy użyciu rozwiązania MDM ogranicza również dostęp w Safari do funkcji wymazywania historii przeglądania i danych witryn.
Globalny serwer proxy HTTP z kontrolą TLS/SSL
Urządzenia Apple obsługują konfigurację globalnego serwera proxy HTTP. Globalny serwer proxy HTTP kieruje większość ruchu sieciowego (Wi-Fi, komórkowego i Ethernet) z urządzenia przez podany serwer proxy lub przy użyciu podanego ustawienia. Funkcja ta jest zwykle używana przez firmy oraz przez organizacje edukacyjne należące do sektora szkolnictwa podstawowego i średniego w celu filtrowania materiałów internetowych na urządzeniach należących do organizacji i używanych we wdrożeniu „jeden do jednego”, w którym użytkownicy mogą zabierać swoje urządzenia do domu. Pozwala ona na filtrowanie urządzeń zarówno w szkole lub firmie, jak i w domu. Używanie globalnego serwera proxy HTTP możliwe jest tylko na nadzorowanych urządzeniach iPhone, iPad i Apple TV. Aby uzyskać więcej informacji, zobacz: Nadzór nad urządzeniami Apple oraz Ustawienia obsługiwanego przez MDM pakietu danych Global HTTP Proxy.
Obsługa globalnego serwera proxy HTTP może wymagać zmian w konfiguracji sieci. Podczas planowania wdrożenia globalnego serwera proxy HTTP w istniejącym środowisku należy wziąć pod uwagę poniższe kwestie i opracować konfigurację wspólnie z dostawcą usługi filtrowania:
Dostęp z zewnątrz: Należący do organizacji serwer proxy musi być dostępny z zewnątrz, aby urządzenia mogły korzystać z niego spoza sieci organizacji.
Plik PAC z ustawieniami serwera proxy: Globalny serwer proxy HTTP można skonfigurować ręcznie, podając odpowiedni adres IP lub nazwę DNS serwera proxy. Obsługiwana jest również automatyczna konfiguracja przy użyciu adresu URL wskazującego plik PAC. Konfiguracja w pliku PAC może automatycznie konfigurować klienta do użycia odpowiedniego serwera proxy podczas pobierania określonych adresów URL, włączając w to możliwość pomijania serwera proxy w razie potrzeby. Użycie pliku PAC zapewnia większą elastyczność.
Zgodność z publicznymi sieciami Wi-Fi wymagającymi logowania: Konfiguracja globalnego serwera proxy HTTP może pozwolić klientowi na tymczasowe pominięcie ustawień proxy, aby zalogować się do publicznej sieci Wi-Fi wymagającej logowania. Sieci te wyświetlają użytkownikowi witrynę wymuszającą wyrażenie zgody na warunki świadczenia usługi lub wniesienie opłaty przed umożliwieniem dostępu do Internetu. Tego typu sieci Wi-Fi wymagające logowania można spotkać często w bibliotekach publicznych, barach szybkiej obsługi, kawiarniach i innych miejscach publicznych.
Używanie serwera proxy razem z usługą buforowania: Warto rozważyć skonfigurowanie urządzeń klienckich przy użyciu pliku PAC, aby kontrolować, kiedy mogą one używać usługi buforowania. Nieprawidłowo skonfigurowane filtrowanie może spowodować pomijanie przez urządzenia klienckie usługi buforowania dostępnej w sieci należącej do organizacji lub używanie tej usługi do przesyłania materiałów nawet wtedy, gdy urządzenia użytkowników znajdują się w ich domach.
Produkty Apple oraz usługi proxy: Z usługami Apple nie można połączyć się, korzystając z przechwytywania HTTPS (kontrola TLS/SSL). Jeśli ruch HTTPS jest kierowany przez internetowy serwer proxy, konieczne jest wyłączenie przechwytywania HTTPS dla hostów wymienionych w artykule Wsparcia Apple: Korzystanie z produktów Apple w sieciach korporacyjnych.
Uwaga: Niektóre aplikacje, takie jak FaceTime, nie używają połączeń HTTP, więc ich ruch sieciowy nie może być przesyłany przez serwery proxy HTTP i jest on transmitowany z pominięciem globalnego serwera proxy HTTP. Programami nie używającymi połączeń HTTP można zarządzać przy użyciu zaawansowanego filtrowania zawartości.
Funkcja | Wsparcie |
---|---|
Wymagane nadzorowanie na iPhonie i iPadzie | |
Wymagane nadzorowanie na Macu | |
Widoczność dla organizacji | |
Możliwość filtrowania hostów | |
Możliwość filtrowania ścieżek w adresach URL | |
Możliwość filtrowania zapytań w adresach URL | |
Możliwość filtrowania pakietów | |
Możliwość filtrowania protokołów innych niż http | |
Zagadnienia dotyczące architektury sieci | Ruch sieciowy jest przesyłany przez serwer proxy, co może powodować opóźnienia w sieci oraz obniżać przepustowość. |
Konfiguracja serwerów proxy
Serwer proxy działa jako pośrednik między komputerem użytkownika a Internetem, zwiększając bezpieczeństwo oraz umożliwiając nadzór administratora i tymczasowe przechowywanie pobieranych danych. Przy użyciu obsługiwanego przez MDM pakietu danych Proxy możesz skonfigurować ustawienia dotyczące serwerów proxy na komputerach Mac zarejestrowanych w rozwiązaniu MDM. Ten pakiet danych obsługuje konfigurowanie serwerów proxy dla następujących protokołów:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Aby uzyskać więcej informacji, zobacz: Ustawienia MDM dotyczące konfiguracji serwerów proxy na urządzeniach Apple.
Funkcja | Wsparcie |
---|---|
Wymagane nadzorowanie na iPhonie i iPadzie | |
Wymagane nadzorowanie na Macu | |
Widoczność dla organizacji | |
Możliwość filtrowania hostów | |
Możliwość filtrowania ścieżek w adresach URL | |
Możliwość filtrowania zapytań w adresach URL | |
Możliwość filtrowania pakietów | |
Możliwość filtrowania protokołów innych niż http | Niektóre protokoły. |
Zagadnienia dotyczące architektury sieci | Ruch sieciowy jest przesyłany przez serwer proxy, co może powodować opóźnienia w sieci oraz obniżać przepustowość. |
Obsługiwany przez MDM pakiet danych DNS Proxy
Możesz konfigurować ustawienia pakietu danych DNS Proxy dla użytkowników iPhone’ów, iPadów, Maców oraz Apple Vision Pro zarejestrowanych w rozwiązaniu MDM. Przy użyciu pakietu danych DNS Proxy możesz wybrać aplikacje, które muszą używać rozszerzeń sieciowych proxy DNS oraz wartości właściwych dla danego dostawcy. Używanie tego pakietu danych wymaga obecności odpowiedniej aplikacji, wyszczególnionej przy użyciu identyfikatora pakietu.
Aby uzyskać więcej informacji, zobacz: Ustawienia pakietu danych MDM DNS Proxy.
Funkcja | Wsparcie |
---|---|
Obsługa Apple Vision Pro | |
Wymagane nadzorowanie na iPhonie i iPadzie | W systemach wcześniejszych niż iOS 15 i iPadOS 15 urządzenie musi być nadzorowane. W systemach iOS 15 oraz iPadOS 15 i nowszych ten pakiet danych nie jest nadzorowany i musi zostać zainstalowany przy użyciu rozwiązania MDM. |
Wymagane nadzorowanie na Macu | |
Widoczność dla organizacji | |
Możliwość filtrowania hostów | |
Możliwość filtrowania ścieżek w adresach URL | |
Możliwość filtrowania zapytań w adresach URL | |
Możliwość filtrowania pakietów | |
Możliwość filtrowania protokołów innych niż http | Tylko zapytania DNS. |
Zagadnienia dotyczące architektury sieci | Minimalny wpływ na wydajność sieci |
Obsługiwany przez MDM pakiet danych DNS Settings
Możesz skonfigurować ustawienia pakietu danych DNS Settings dla użytkowników iPhone’ów, iPadów (w tym wspólnych iPadów), Maców oraz Apple Vision Pro zarejestrowanych w rozwiązaniu MDM. Ten pakiet danych używany jest do konfigurowania DNS przez HTTP (czyli DoH) oraz DNS przez TLS (czyli DoT). Zwiększa to prywatność użytkownika dzięki szyfrowaniu ruchu sieciowego DNS oraz może pozwalać na korzystanie z filtrowania usług DNS. Ten pakiet danych może dotyczyć zarówno określonych zapytań DNS używających określonych serwerów DNS, jak i wszystkich zapytań DNS. Ten pakiet może również zawierać identyfikatory SSID sieci Wi-Fi, w których znajdują się podane serwery DNS używane do zapytań.
Uwaga: W przypadku instalacji przy użyciu MDM ustawienie dotyczy tylko zarządzanych sieci Wi-Fi.
Aby uzyskać więcej informacji, zobacz: Ustawienia DNS — ustawienia pakietu danych MDM oraz DNSSettings w witrynie Apple dla deweloperów.
Funkcja | Wsparcie |
---|---|
Obsługa Apple Vision Pro | |
Wymagane nadzorowanie na iPhonie i iPadzie | Konfiguracja może zostać zablokowana na urządzeniach nadzorowanych. Konfiguracja może zostać nadpisana przez aplikację VPN, jeśli jest to dozwolone przez rozwiązanie MDM (na urządzeniach nadzorowanych). |
Wymagane nadzorowanie na Macu | Konfiguracja może zostać zablokowana na urządzeniach nadzorowanych. Konfiguracja może zostać nadpisana przez aplikację VPN, jeśli jest to dozwolone przez rozwiązanie MDM (na urządzeniach nadzorowanych). |
Widoczność dla organizacji | |
Możliwość filtrowania hostów | |
Możliwość filtrowania ścieżek w adresach URL | |
Możliwość filtrowania zapytań w adresach URL | |
Możliwość filtrowania pakietów | |
Możliwość filtrowania protokołów innych niż http | Tylko zapytania DNS. |
Zagadnienia dotyczące architektury sieci | Minimalny wpływ na wydajność sieci |
Dostawcy filtrów zawartości
Systemy iOS, iPadOS oraz macOS obsługują wtyczki pozwalające na zaawansowane filtrowanie zawartości stron oraz ruchu przez określone gniazda sieciowe. Działający na urządzeniu filtr zawartości sprawdza zawartość sieci użytkownika podczas jej przesyłania przez stos sieciowy. Następnie filtr zawartości sprawdza, czy powinien zablokować tę zawartość, czy przepuścić ją do celu. Rozszerzenie filtrujące zawartość (Content Filter Provider) działa przy użyciu aplikacji instalowanej za pośrednictwem rozwiązania MDM. Prywatność użytkownika jest chroniona, ponieważ rozszerzenie obsługujące dane (Filter Data Provider) działa w rygorystycznej piaskownicy. Reguły filtrowania mogą być dynamicznie uaktualniane przez zaimplementowany w aplikacji mechanizm kontroli filtra (Filter Control Provider).
Aby uzyskać więcej informacji, zobacz: Content Filter Providers w witrynie Apple dla deweloperów.
Funkcja | Wsparcie |
---|---|
Wymagane nadzorowanie na iPhonie i iPadzie | Aplikacja musi być zainstalowana na urządzeniu iOS lub iPadOS użytkownika. Jeśli urządzenie jest nadzorowane, można zablokować możliwość usunięcia aplikacji. |
Wymagane nadzorowanie na Macu | |
Widoczność dla organizacji | |
Możliwość filtrowania hostów | |
Możliwość filtrowania ścieżek w adresach URL | |
Możliwość filtrowania zapytań w adresach URL | |
Możliwość filtrowania pakietów | |
Możliwość filtrowania protokołów innych niż http | |
Zagadnienia dotyczące architektury sieci | Ruch sieciowy jest filtrowany na urządzeniu i nie ma wpływu na sieć |
Tunelowanie pakietów VPN
Gdy urządzenia przesyłają ruch sieciowy przez VPN lub tunel pakietów, aktywność sieciowa może być monitorowana i filtrowana. Ta konfiguracja jest podobna, jak w przypadku urządzeń podłączonych bezpośrednio do sieci, gdzie ruch sieciowy jest filtrowany i monitorowany między siecią prywatną a Internetem.
Funkcja | Wsparcie |
---|---|
Wymagane nadzorowanie na iPhonie i iPadzie | za wyjątkiem funkcji VPN Always-On, która wymaga urządzenia nadzorowanego |
Wymagane nadzorowanie na Macu | |
Widoczność dla organizacji | |
Możliwość filtrowania hostów | Ruch sieciowy jest filtrowany tylko przez sieć prywatną. |
Możliwość filtrowania ścieżek w adresach URL | Ruch sieciowy jest filtrowany tylko przez sieć prywatną. |
Możliwość filtrowania zapytań w adresach URL | Ruch sieciowy jest filtrowany tylko przez sieć prywatną. |
Możliwość filtrowania pakietów | |
Możliwość filtrowania protokołów innych niż http | |
Zagadnienia dotyczące architektury sieci | Ruch sieciowy jest przesyłany przez sieć prywatną, co może powodować opóźnienia w sieci oraz obniżać przepustowość. |