Filtrar conteúdo em dispositivos Apple
O iOS, iPadOS, macOS e visionOS 1.1 são compatíveis com várias formas de filtro de conteúdo, incluindo restrições, proxy HTTP global, filtro de DNS, proxy DNS e filtro de conteúdo avançado.
Configuração de filtros integrados de conteúdo
Os dispositivos da Apple podem restringir o Safari e apps de terceiros a sites específicos. Organizações com necessidades simples ou limitadas de filtro de conteúdo podem usar esse recurso. Organizações com requisitos complexos ou legalmente obrigadas a filtrar conteúdo devem usar opções de proxy HTTP global ou de filtro de conteúdo avançado fornecidas por um aplicativo de filtragem de conteúdo de terceiros.
Um serviço de gerenciamento de dispositivos pode configurar o filtro integrado de acordo com as opções a seguir:
Todos os Sites: o conteúdo web não é filtrado.
Limitar Conteúdo Adulto: limita o acesso a vários sites adultos automaticamente.
Sites bloqueados: permite o acesso a todos os sites, a menos que estejam em uma lista de bloqueio personalizada.
Somente Sites Específicos: limita o acesso a sites predeterminados, os quais podem ser personalizados.
Você usa o payload WebContentFilter no iOS, iPadOS e visionOS 1.1, e o payload ParentalControlsContentFilter no macOS, para configurar o filtro integrado. O gerenciamento do filtro integrado por um serviço de gerenciamento de dispositivos também restringe o acesso no Safari para limpar o histórico de navegação e os dados de sites.
Proxy HTTP global com inspeção TLS/SSL
Dispositivos Apple são compatíveis com a configuração de proxy HTTP global. O proxy HTTP global direciona a maioria do tráfego de rede do dispositivo por um servidor de proxy específico ou com um ajuste aplicado por todas as redes Wi‑Fi, celular e Ethernet. Esse recurso é usado normalmente em escolas ou organizações para filtrar o conteúdo da Internet em implementações individuais de organizações privadas, onde os usuários levam os dispositivos para casa. Ele permite que os dispositivos sejam filtrados tanto na escola ou empresa quanto em casa. O proxy HTTP global requer que dispositivos iPhone, iPad e Apple TV sejam supervisionados. Para obter mais informações, consulte Sobre a supervisão de dispositivos Apple e Ajustes do payload de gerenciamento de dispositivos de Proxy HTTP Global.
Talvez seja preciso fazer alterações na rede para oferecer suporte ao proxy HTTP global. Ao planejar o proxy HTTP global no ambiente, considere as opções a seguir – e trabalhe em conjunto com o fornecedor do filtro na configuração:
Acessibilidade externa: deve ser possível acessar o servidor de proxy da organização externamente, caso os dispositivos precisem acessá-lo quando estiverem fora da rede da organização.
PAC do proxy: o proxy HTTP global oferece suporte à configuração manual do proxy (através da especificação do endereço IP ou nome DNS do servidor de proxy) ou à configuração automática (através do uso de um URL PAC). Um arquivo de configuração PAC de proxy pode instruir o cliente a escolher automaticamente o servidor de proxy adequado a obter um URL específico e, inclusive, contornar o proxy quando desejado. Para obter maior flexibilidade, considere usar um arquivo PAC.
Compatibilidade com Wi‑Fi controlado: a configuração do proxy HTTP global pode permitir que o cliente contorne o ajuste de proxy temporariamente para se conectar a uma rede Wi‑Fi controlada. Esse tipo de rede requer que o usuário aceite termos ou exibe opções de pagamento através de um site antes que o acesso à Internet seja liberado. Redes Wi‑Fi controladas são encontradas comumente em bibliotecas, restaurantes, cafés e outros locais públicos.
Uso de proxy com o serviço de cache: considere usar um arquivo PAC para configurar clientes para controlar quando eles usam o serviço de cache. Soluções de filtro mal configuradas podem fazer com que os clientes contornem o serviço de cache da rede da organização ou usem o serviço de cache inadvertidamente para conteúdo enquanto os dispositivos estiverem na casa do usuário.
Produtos Apple e serviços de proxy: os serviços Apple desabilitam qualquer conexão que use interceptação HTTPS (inspeção SSL/TLS). Caso o tráfego HTTPS passe por um proxy da web, você precisa desativar a interceptação HTTPS para os hosts listados no artigo de Suporte da Apple Usar produtos Apple em redes corporativas.
Nota: alguns apps, como o FaceTime, não usam conexões HTTP e, portanto, o proxy de um servidor de proxy HTTP não pode ser usado, pois o proxy HTTP global seria contornado. Aplicativos que não usam conexões HTTP podem ser gerenciados com o filtro de conteúdo avançado.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad |  |
Requer supervisão no Mac |  |
Oferece visibilidade organizacional | |
Pode filtrar hosts | |
Pode filtrar caminhos em URLs | |
Pode filtrar strings de consulta em URLs | |
Pode filtrar pacotes | |
Pode filtrar protocolos diferentes do HTTP | |
Considerações sobre arquitetura de redes | O tráfego é roteado através de um proxy, o que pode impactar a latência e a capacidade da rede. |
Network proxy configuration
Um servidor proxy atua como um intermediário entre um único usuário de computador e a internet, de forma que a rede possa garantir a segurança, o controle administrativo e o serviço de cache. Use o payload de gerenciamento de dispositivos de Proxy de Rede para configurar ajustes de proxy em computadores Mac registrados em um serviço de gerenciamento de dispositivos. Este payload é compatível com a configuração de proxies para os seguintes protocolos:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Para obter mais informações, consulte Ajustes de gerenciamento de dispositivos de Configuração de Proxy de Rede.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad | |
Requer supervisão no Mac | |
Oferece visibilidade organizacional | |
Pode filtrar hosts | |
Pode filtrar caminhos em URLs | |
Pode filtrar strings de consulta em URLs | |
Pode filtrar pacotes | |
Pode filtrar protocolos diferentes do HTTP | Alguns protocolos. |
Considerações sobre arquitetura de redes | O tráfego é roteado através de um proxy, o que pode impactar a latência e a capacidade da rede. |
DNS Proxy payload
Você pode configurar os ajustes do payload de Proxy DNS para usuários de dispositivos iPhone, iPad, Mac e Apple Vision Pro registrados em um serviço de gerenciamento de dispositivos. Use o payload de Proxy DNS para especificar os apps que precisam usar extensões de rede proxy DNS e valores específicos de distribuidor. O uso deste payload requer um app de acompanhamento que você especifica no identificador de pacote do app (também chamado de ID de pacote).
Para obter mais informações, consulte Ajustes do payload de gerenciamento de dispositivos de Proxy DNS.
Recurso | Suporte |
|---|---|
Suporte para Apple Vision Pro | |
Requer supervisão no iPhone e iPad | Antes do iOS 15 e do iPadOS 15, a supervisão era obrigatória. Em dispositivos com iOS 15 e iPadOS 15 ou posteriores, esta carga útil não é supervisionada e você precisa usar um serviço de gerenciamento de dispositivos para instalá-la. |
Requer supervisão no Mac | |
Oferece visibilidade organizacional | |
Pode filtrar hosts | |
Pode filtrar caminhos em URLs | |
Pode filtrar strings de consulta em URLs | |
Pode filtrar pacotes | |
Pode filtrar protocolos diferentes do HTTP | Apenas para pesquisas de DNS. |
Considerações sobre arquitetura de redes | Mínimo impacto no desempenho da rede. |
DNS Settings payload
Você pode configurar os ajustes do payload de Ajustes de DNS para usuários de dispositivos iPhone, iPad (incluindo iPad Compartilhado), Mac e Apple Vision Pro registrados em um serviço de gerenciamento de dispositivos. Especificamente, você usa este payload para configurar DNS sobre HTTP (também conhecido como DoH) ou DNS sobre TLS (também conhecido como DoT). Isso aumenta a privacidade do usuário ao criptografar o tráfego DNS e permite que você aproveite os serviços DNS filtrados. O payload pode identificar consultas de DNS específicas que usam os servidores DNS especificados ou pode se aplicar a todas as consultas de DNS. O payload também pode especificar SSIDs de Wi-Fi para servidores DNS específicos usarem para consultas.
Nota: quando você usa um serviço de gerenciamento de dispositivos para instalar o payload, o ajuste se aplica somente a redes Wi-Fi gerenciadas.
Para obter mais informações, consulte Ajustes do payload de gerenciamento de dispositivos de Ajustes de DNS e DNSSettings no site Apple Developer.
Recurso | Suporte |
|---|---|
Suporte para Apple Vision Pro | |
Requer supervisão no iPhone e iPad | A configuração pode ser bloqueada em dispositivos supervisionados. Um app de VPN pode substituir a configuração se um serviço de gerenciamento de dispositivos permitir (dispositivos supervisionados). |
Requer supervisão no Mac | A configuração pode ser bloqueada em dispositivos supervisionados. Um app de VPN pode substituir a configuração se um serviço de gerenciamento de dispositivos permitir (dispositivos supervisionados). |
Oferece visibilidade organizacional | |
Pode filtrar hosts | |
Pode filtrar caminhos em URLs | |
Pode filtrar strings de consulta em URLs | |
Pode filtrar pacotes | |
Pode filtrar protocolos diferentes do HTTP | Apenas para pesquisas de DNS. |
Considerações sobre arquitetura de redes | Mínimo impacto no desempenho da rede. |
Fornecedores de filtro de conteúdo
O iOS, o iPadOS e o macOS oferecem plug-ins para o filtro avançado de conteúdo de tráfego da web e de socket. Um filtro de conteúdo de rede no dispositivo examina o conteúdo da rede do usuário conforme ele passa pela pilha da rede. Esse filtro de conteúdo então determina se deve bloquear o conteúdo ou permitir que ele prossiga até o destino final. Um app que é instalado com um serviço de gerenciamento de dispositivos fornece os provedores de filtro de conteúdo. A privacidade do usuário é protegida porque o provedor de dados de filtro é executado em uma sandbox restritiva. O provedor de controle de filtro que o app implementa pode atualizar dinamicamente as regras de filtragem.
Para obter mais informações, consulte Content Filter Providers (em inglês) no site Apple Developer.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad | O app precisa estar instalado no dispositivo iOS ou iPadOS do usuário e seu apagamento pode ser impedido se o dispositivo for supervisionado. |
Requer supervisão no Mac | |
Oferece visibilidade organizacional | |
Pode filtrar hosts | |
Pode filtrar caminhos em URLs | |
Pode filtrar strings de consulta em URLs | |
Pode filtrar pacotes | |
Pode filtrar protocolos diferentes do HTTP | |
Considerações sobre arquitetura de redes | O tráfego é filtrado no dispositivo para que não haja impacto na rede. |
VPN/Túnel de pacotes
Quando os dispositivos enviam tráfego de rede por meio de uma VPN ou túnel de pacotes, a atividade da rede pode ser monitorada e filtrada. Essa configuração é semelhante a dispositivos que estão diretamente conectados a uma rede onde o tráfego entre a rede privada e a internet é monitorado e filtrado.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad |
|
Requer supervisão no Mac | |
Oferece visibilidade organizacional | |
Pode filtrar hosts | Filtro de tráfego através apenas de conexões de rede privada. |
Pode filtrar caminhos em URLs | Filtro de tráfego através apenas de conexões de rede privada. |
Pode filtrar strings de consulta em URLs | Filtro de tráfego através apenas de conexões de rede privada. |
Pode filtrar pacotes | |
Pode filtrar protocolos diferentes do HTTP | |
Considerações sobre arquitetura de redes | O tráfego é roteado através de uma rede privada, o que pode impactar a latência e a capacidade da rede. |