Фільтрування вмісту на пристроях Apple
iOS, iPadOS, macOS і visionOS 1.1 підтримують багато способів фільтрування вмісту, включно з обмеженнями, глобальним HTTP-проксі, відфільтрованим DNS, DNS-проксі й експертним фільтруванням вмісту.
Конфігурування вбудованих фільтрів вмісту
На пристроях Apple можна обмежувати доступ до певних вебсайтів у Safari і програмах сторонніх розробників. Цю функцію використовують організації з простими або обмеженими потребами фільтрування вмісту. Організаціям зі складними чи законодавчо зумовленими вимогами до фільтрування вмісту слід використовувати глобальний HTTP-проксі або експертні опції фільтрування, надавані сторонньою програмою для фільтрування вмісту.
Служба керування пристроями може конфігурувати такі опції вбудованого фільтра:
Усі вебсайти: вебвміст не фільтрується.
Обмеження вмісту для дорослих: автоматичне обмеження доступу до багатьох «дорослих» вебсайтів.
Блоковані сайти: дозволяє доступ всім вебсайтам, якщо їх немає в настроюваному списку блокування.
Тільки певні вебсайти: обмеження доступу до наперед визначених вебсайтів, які можна налаштувати.
Вбудований фільтр конфігурується за допомогою набору даних WebContentFilter в iOS, iPadOS і visionOS 1.1, а також набору даних ParentalControlsContentFilter в macOS. Керування вбудованим фільтром службою керування пристроями також обмежує доступ у Safari до очищення історії перегляду й даних вебсайтів.
Глобальний HTTP-проксі з інспекцією TLS/SSL
Пристрої Apple підтримують конфігурацію глобального HTTP-проксі. Глобальний HTTP-проксі скеровує більшість вебтрафіку пристрою через визначений проксі-сервер або параметр, який застосовується до всіх мереж Wi-Fi, стільникових і Ethernet. Ця функція зазвичай використовується організаціями K-12 чи компаніями для фільтрування інтернет-вмісту в системах із пристроями, які є власністю організації, і які користувачі можуть забирати додому. Це дозволяє фільтрувати трафік на пристроях як в навчальному закладі чи офісі, так і вдома. Для глобального HTTP-проксі iPhone, iPad і Apple TV мають бути під наглядом. Більше інформації наведено в розділі Про нагляд за пристроями Apple і параметрах набору даних MDM Global HTTP Proxy (Глобальний HTTP-проксі) для керування пристроями.
Для підтримки глобального HTTP-проксі, можливо, доведеться внести зміни в параметри мережі. Плануючи глобальний HTTP-проксі для свого середовища, візьміть до уваги наведене нижче й залучіть до розробки конфігурації свого постачальника служби фільтрування.
Зовнішній доступ. Проксі-сервер організації має мати доступ ззовні, щоб пристрої мали доступ до нього, коли вони знаходяться за межами внутрішньої мережі організації.
Проксі PAC. Глобальний HTTP-проксі підтримує або конфігурування вручну (через зазначення IP-адреси або DNS-назви проксі-сервера), або автоматично (за допомогою проксі PAC URL). За допомогою конфігурації через проксі PAC-файл можна інструктувати клієнта автоматично вибрати відповідний проксі-сервер для отримання заданої URL, включно з обходом проксі за потреби. Для більшої гнучкості можна використати PAC-файл.
Сумісність із контрольованою мережею Wi-Fi. Конфігурація глобального HTTP-проксі може дозволити клієнтові тимчасово обходити параметри проксі для під’єднання до мережі Wi-Fi зі сторінкою входу. Для цього користувач має прийняти умови або зробити платіж через вебсайт, перж ніж буде надано доступ до інтернету. Контрольовані мережі Wi-Fi зазвичай використовуються в публічних бібліотеках, ресторанах швидкого харчування, кав’ярнях та інших публічних місцях.
Використання проксі з сервісом кешування. PAC-файл можна використовувати для налаштування контролю за використанням користувачами сервісу кешування. Якщо неправильно конфігурувати рішення фільтрування, це може дозволити користувачам обходити сервіс кешування в мережі організації або навмисно використовувати сервіс кешування для пристрою, коли він знаходиться вдома в користувача.
Продукти Apple і проксі-служби. Служби Apple вимикають з’єднання, які використовують перехоплення HTTPS (інспекцію TLS/SSL). Якщо трафік HTTPS проходить через вебпроксі, ви повинні вимкнути перехоплення HTTPS для хостів, зазначених у статті служби підтримки Apple про використання продуктів Apple у корпоративних мережах.
Примітка. Деякі програми, наприклад FaceTime, не використовують з’єднання HTTP й не можуть скеровуватися через проксі-сервер HTTP, а тому обходять глобальний HTTP-проксі. Керувати програмами, які не використовують з’єднання HTTP, можна за допомогою експертного фільтрування вмісту.
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad |  |
Потребує нагляду на комп’ютері Mac |  |
Забезпечує організаційну видимість | |
Може фільтрувати хости | |
Може фільтрувати шляхи в URL-адресах | |
Може фільтрувати рядки запиту в URL-адресах | |
Може фільтрувати пакети | |
Може фільтрувати інші протоколи, а не лише http | |
Особливості архітектури мережі | Трафік спрямовується через проксі, що може вплинути на затримку мережі та її пропускну спроможність. |
Конфігурація мережевого проксі
Проксі-сервер діє як посередник між користувачем та інтернетом. Використання проксі-сервера гарантує безпеку мережі, надає засоби адміністрування та кешування. Використовуйте набір даних керування пристроями Network Proxy (Проксі-сервер), щоб конфігурувати параметри проксі для комп’ютерів Mac, які зареєстровано в службі керування пристроями. Цей набір даних підтримує конфігурування проксі для таких протоколів:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Докладніше дивіться в розділі Параметри керування пристроями Network Proxy Configuration (Конфігурація проксі-серверів).
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad | |
Потребує нагляду на комп’ютері Mac | |
Забезпечує організаційну видимість | |
Може фільтрувати хости | |
Може фільтрувати шляхи в URL-адресах | |
Може фільтрувати рядки запиту в URL-адресах | |
Може фільтрувати пакети | |
Може фільтрувати інші протоколи, а не лише http | Деякі протоколи. |
Особливості архітектури мережі | Трафік спрямовується через проксі, що може вплинути на затримку мережі та її пропускну спроможність. |
Набір даних DNS Proxy (DNS-проксі)
Ви можете конфігурувати параметри набору даних DNS Proxy (DNS-проксі) на пристроях iPhone, iPad, Mac і Apple Vision Pro, які реєструються в службі керування пристроями. За допомогою набору даних DNS Proxy (DNS-проксі) ви можете вибрати програми, які мають використовувати мережеві розширення DNS-проксі та спеціальні значення постачальників. Застосування цього набору даних потребує супровідної програми, яку вказується за допомогою пакетного ідентифікатора програми (відомого також як bundle ID).
Докладніше дивіться в розділі Параметри набору даних керування пристроями DNS Proxy (DNS-проксі).
Функція | Підтримка |
|---|---|
Підтримка Apple Vision Pro | |
Потребує нагляду на пристроях iPhone та iPad | У версіях систем до iOS 15 та iPadOS 15 нагляд обов’язковий. На пристроях із iOS 15 і iPadOS 15 та новіших цей набір даних не перебуває під наглядом і має інсталюватися через службу керування пристроями. |
Потребує нагляду на комп’ютері Mac | |
Забезпечує організаційну видимість | |
Може фільтрувати хости | |
Може фільтрувати шляхи в URL-адресах | |
Може фільтрувати рядки запиту в URL-адресах | |
Може фільтрувати пакети | |
Може фільтрувати інші протоколи, а не лише http | Лише пошуки DNS. |
Особливості архітектури мережі | Мінімальний вплив на продуктивність мережі. |
Набір даних DNS Settings (Параметри DNS)
Ви можете конфігурувати параметри набору даних DNS Settings (Параметри DNS) для користувачів iPhone, iPad (включно зі спільним iPad), Mac і Apple Vision Pro, які зареєструються в службі керування пристроями. Зокрема, цей набір даних використовується для конфігурування DNS через HTTP (так званий DoH) чи DNS через TLS (так званий DoT). Це підвищує приватність користувача шляхом шифрування DNS-трафіку, а також дозволяє застосовувати фільтровані служби DNS. Набір даних може вказувати конкретні DNS-запити, які використовують указані сервери DNS, або може застосовуватися до всіх DNS-запитів. Набір даних також може вказувати ідентифікатори SSID мереж Wi-Fi для конкретних серверів DNS, які слід використовувати для запитів.
Примітка. У разі інсталювання за допомогою служби керування пристроями цей параметр застосовується лише до керованих мереж Wi-Fi.
Для отримання додаткової інформації перегляньте розділ Параметри набору даних керування пристроями DNS Settings та DNSSettings на вебсайті Apple для розробників.
Функція | Підтримка |
|---|---|
Підтримка Apple Vision Pro | |
Потребує нагляду на пристроях iPhone та iPad | Конфігурацію можна замикати на пристроях під наглядом. VPN-програма може замінити конфігурацію, якщо це дозволено службою керування пристроями (керовані пристрої). |
Потребує нагляду на комп’ютері Mac | Конфігурацію можна замикати на пристроях під наглядом. VPN-програма може замінити конфігурацію, якщо це дозволено службою керування пристроями (керовані пристрої). |
Забезпечує організаційну видимість | |
Може фільтрувати хости | |
Може фільтрувати шляхи в URL-адресах | |
Може фільтрувати рядки запиту в URL-адресах | |
Може фільтрувати пакети | |
Може фільтрувати інші протоколи, а не лише http | Лише пошуки DNS. |
Особливості архітектури мережі | Мінімальний вплив на продуктивність мережі. |
Постачальники фільтра вмісту
Операційні системи iOS, iPadOS і macOS підтримують плагіни для експертного фільтрування вмісту вебтрафіку та сокет-трафіку. Мережевий фільтр вмісту на пристрої аналізує вміст користувацької мережі, коли той проходить через мережевий стос. Відтак фільтр вмісту визначає, блокувати вміст чи дозволити йому дістатися цільового місця. Програма, інстальована службою керування пристроями, доставляє постачальників фільтрів вмісту. Приватність користувача захищена, адже постачальник фільтра даних виконується в обмеженому ізольованому середовищі. Постачальник фільтра контролю, який реалізує програма, може динамічно оновлювати правила фільтрування.
Більше інформації про постачальників фільтрів вмісту наведено на вебсайті розробників Apple.
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad | На пристрої iOS та iPadOS користувача потрібно інсталювати програму, а видалення можна попередити, якщо пристрій під наглядом. |
Потребує нагляду на комп’ютері Mac | |
Забезпечує організаційну видимість | |
Може фільтрувати хости | |
Може фільтрувати шляхи в URL-адресах | |
Може фільтрувати рядки запиту в URL-адресах | |
Може фільтрувати пакети | |
Може фільтрувати інші протоколи, а не лише http | |
Особливості архітектури мережі | Трафік фільтрується на пристрої, тому вплив на мережу відсутній. |
Тунель VPN/пакет
Коли пристрої надсилають трафік через VPN чи тунель пакетів, діяльність у мережі можна відстежувати та фільтрувати. Ця конфігурація подібна для пристроїв, які безпосередньо з’єднані з мережею, де трафік між приватною мережею й інтернетом відстежується та фільтрується.
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad |
|
Потребує нагляду на комп’ютері Mac | |
Забезпечує організаційну видимість | |
Може фільтрувати хости | Трафік фільтрується лише через приватні мережеві з’єднання. |
Може фільтрувати шляхи в URL-адресах | Трафік фільтрується лише через приватні мережеві з’єднання. |
Може фільтрувати рядки запиту в URL-адресах | Трафік фільтрується лише через приватні мережеві з’єднання. |
Може фільтрувати пакети | |
Може фільтрувати інші протоколи, а не лише http | |
Особливості архітектури мережі | Трафік спрямовується через приватну мережу, що може вплинути на затримку мережі та її пропускну спроможність. |