为 Apple 设备过滤内容

iOS、iPadOS、macOS 和 visionOS 1.1 支持多种形式的内容过滤，包括访问限制、全局 HTTP 代理、过滤的 DNS、DNS 代理以及高级内容过滤。

配置内建内容过滤器

Apple 设备可以将 Safari 浏览器和第三方 App 限制到特定网站。内容过滤需求简单或有限的组织可以使用此功能。对于复杂或法律强制的内容过滤需求，组织应当使用全局 HTTP 代理或第三方内容过滤 App 提供的高级内容过滤选项。

移动设备管理 (MDM) 解决方案可使用以下选项配置内建过滤器：

所有网站：不过滤网页内容。
限制成人内容：自动限制对于许多成人网站的访问。
已阻止的站点：允许访问所有网站，可自定义阻止列表中的网站除外。
仅特定网站：限制对于预定网站的访问，可自定义。

内建过滤器使用 iOS、iPadOS 和 visionOS 1.1 中的 WebContentFilter 有效负载以及 macOS 中的 ParentalControlsContentFilter 有效负载进行配置。通过 MDM 管理内建过滤器还会限制 Safari 浏览器中的访问以清除浏览历史记录和网站数据。

使用 TLS/SSL 检查的全局 HTTP 代理

Apple 设备支持全局 HTTP 代理配置。全局 HTTP 代理通过指定的代理服务器发送大部分的设备网络流量，或者通过应用于所有无线局域网、蜂窝网络和以太网的设置进行发送。这一功能常用于 K–12（指幼儿园到高三教育）或企业，在组织拥有（一对一）的部署中，用户会将设备带回家，因而这些机构或企业使用该功能来过滤互联网内容。它使设备在学校/企业和家中都能过滤内容。全局 HTTP 代理要求 iPhone、iPad 和 Apple TV 设备为被监督的设备。有关更多信息，请参阅关于 Apple 设备监督和“全局 HTTP 代理” MDM 有效负载设置。

你可能需要更改网络来支持全局 HTTP 代理。在为环境规划全局 HTTP 代理时，请考虑以下选项，并在配置过程中与你的过滤供应商配合工作：

外部可访问性：如果设备要在组织网络之外访问服务器，则组织的代理服务器必须可外部访问。
代理 PAC：全局 HTTP 代理支持通过指定代理服务器的 IP 地址或 DNS 名称来手动配置代理，或使用代理 PAC URL 自动配置。代理 PAC 文件配置可以指导客户端自动选取合适的代理服务器来获取给定的 URL，包括在想要时绕过代理。考虑使用 PAC 文件以实现更大的灵活性。
受限无线局域网兼容性：全局 HTTP 代理配置可允许客户端临时绕过代理设置，以加入受限无线局域网。这些网络在授予互联网访问许可前，要求用户通过某个网站同意条款或支付费用。受限无线局域网常见于公共图书馆、快餐店、咖啡厅及其他公共场所。
通过缓存服务使用代理：考虑使用 PAC 文件来配置客户端以控制其使用缓存服务的时间。配置不当的过滤解决方案可能会导致客户端绕过你所在组织网络上的缓存服务或导致设备在用户家时无意中使用缓存服务过滤内容。
Apple 产品和代理服务：Apple 服务将停用任何使用 HTTPS 拦截（SSL/TLS 检查）的连接。如果 HTTPS 流量遍历某个网络代理，你必须对 Apple 支持文章“在企业网络上使用 Apple 产品”中列出的主机停用 HTTPS 拦截。

【注】有些 App（例如 FaceTime 通话）不使用 HTTP 连接，也无法由 HTTP 代理服务器来代理，因而会绕过全局 HTTP 代理。你可以使用高级内容过滤来管理不使用 HTTP 连接的 App。

功能	支持
要求对 iPhone 和 iPad 进行监督
要求对 Mac 进行监督
提供组织可见性
可过滤主机
可过滤 URL 中的路径
可过滤 URL 中的查询字符串
可过滤数据包
可过滤除 HTTP 以外的协议
网络体系结构注意事项	流量通过代理发送，这可能对网络延迟和吞吐量有所影响。

网络代理配置

代理服务器在单个电脑用户和互联网之间起着协调的作用，从而使网络能够确保安全性、管理控制和高速缓存服务。使用“代理” MDM 有效负载为移动设备管理 (MDM) 解决方案中注册的 Mac 电脑配置代理设置。此有效负载支持为以下协议配置代理：

HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher

有关更多信息，请参阅网络代理配置 MDM 设置。

功能	支持
要求对 iPhone 和 iPad 进行监督
要求对 Mac 进行监督
提供组织可见性
可过滤主机
可过滤 URL 中的路径
可过滤 URL 中的查询字符串
可过滤数据包
可过滤除 HTTP 以外的协议	部分协议。
网络体系结构注意事项	流量通过代理发送，这可能对网络延迟和吞吐量有所影响。

“DNS 代理” MDM 负载

你可以为移动设备管理 (MDM) 解决方案中注册的 iPhone、iPad、Mac 和 Apple Vision Pro 设备的用户配置“DNS 代理”有效负载设置。使用“DNS 代理”有效负载指定必须使用 DNS 代理网络扩展和供应商特定值的 App。使用此有效负载需要配套 App，该 App 通过其捆绑包标识符（也称为捆绑包 ID）指定。

有关更多信息，请参阅“DNS 代理” MDM 有效负载设置。

功能	支持
Apple Vision Pro 支持
要求对 iPhone 和 iPad 进行监督	在 iOS 15 和 iPadOS 15 之前要求监督。在 iOS 15 和 iPadOS 15 或更高版本中，此有效负载不被监督，并且必须使用 MDM 解决方案安装。
要求对 Mac 进行监督
提供组织可见性
可过滤主机
可过滤 URL 中的路径
可过滤 URL 中的查询字符串
可过滤数据包
可过滤除 HTTP 以外的协议	仅限 DNS 查询。
网络体系结构注意事项	对网络性能影响较小。

“DNS 设置” MDM 负载

你可以为 MDM 解决方案中注册的 iPhone、iPad（包括“共享 iPad”）、Mac 和 Apple Vision Pro 设备的用户配置“DNS 设置”有效负载设置。确切地说，此有效负载用于配置通过 HTTP 的 DNS（也称为 DoH）或通过 TLS 的 DNS（也称为 DoT）。这样做可通过加密 DNS 流量来强化用户隐私，还可用于使用已过滤的 DNS 服务。该有效负载可以识别使用指定 DNS 服务器的特定 DNS 查询，也可应用到所有 DNS 查询。该有效负载还可以指定无线局域网 SSID，其指定的 DNS 服务器用于查询。

【注】使用 MDM 安装时，设置将仅应用到被管理的无线局域网。

有关更多信息，请参阅“DNS 设置” MDM 有效负载设置和 Apple 开发者网站上的 DNSSettings。

功能	支持
Apple Vision Pro 支持
要求对 iPhone 和 iPad 进行监督	配置可在被监督的设备上锁定。如果经 MDM 允许（被监督的设备），配置可通过 VPN App 进行覆盖。
要求对 Mac 进行监督	配置可在被监督的设备上锁定。如果经 MDM 允许（被监督的设备），配置可通过 VPN App 进行覆盖。
提供组织可见性
可过滤主机
可过滤 URL 中的路径
可过滤 URL 中的查询字符串
可过滤数据包
可过滤除 HTTP 以外的协议	仅限 DNS 查询。
网络体系结构注意事项	对网络性能影响较小。

内容过滤提供者

iOS、iPadOS 和 macOS 支持对网络流量和套接字流量进行高级内容过滤的插件。设备端网络内容过滤会在用户网络内容通过网络堆栈时对其进行检查。然后内容过滤会确定应该阻止该内容还是允许其传递到最终目的位置。内容过滤提供程序通过使用 MDM 安装的 App 来推送。过滤数据提供程序在受限沙盒中运行，因此用户的隐私会得到保护。App 中实现的过滤控制提供程序可以动态更新过滤规则。

有关更多信息，请参阅 Apple 开发者网站上的内容过滤提供程序。

功能	支持
要求对 iPhone 和 iPad 进行监督	用户的 iOS 和 iPadOS 设备上必须安装 App，并且如果设备被监督，可阻止删除 App。
要求对 Mac 进行监督
提供组织可见性
可过滤主机
可过滤 URL 中的路径
可过滤 URL 中的查询字符串
可过滤数据包
可过滤除 HTTP 以外的协议
网络体系结构注意事项	流量在设备上过滤，因此对网络没有影响。

VPN/数据包隧道

设备将网络流量通过 VPN 或数据包隧道发送时，网络活动可能会被监控和过滤。此配置类似于设备直接接入专用网络和互联网之间的流量被监控和过滤的网络。

功能	支持
要求对 iPhone 和 iPad 进行监督	（需要监督的“始终打开 VPN”除外）
要求对 Mac 进行监督
提供组织可见性
可过滤主机	流量仅通过专用网络连接过滤。
可过滤 URL 中的路径	流量仅通过专用网络连接过滤。
可过滤 URL 中的查询字符串	流量仅通过专用网络连接过滤。
可过滤数据包
可过滤除 HTTP 以外的协议
网络体系结构注意事项	流量通过专用网络发送，这可能对网络延迟和吞吐量有所影响。

另请参阅《Apple 平台安全保护》：平台保护《适用于教育的 Apple 部署指南》

有帮助?

Apple 平台部署