Filtrer indhold til Apple-enheder
iOS, iPadOS, macOS og visionOS 1.1 understøtter flere former for filtrering af indhold, herunder begrænsninger, global HTTP-proxyserver, filtreret DNS, DNS-proxyserver og avanceret filtrering af indhold.
Konfiguration af indbyggede indholdsfiltre
Apple-enheder kan begrænse Safari og apps fra tredjeparter til bestemte websteder. Organisationer med enkle eller begrænsede behov for filtrering af indhold kan bruge denne funktion. Organisationer med komplekse eller lovpligtige krav til filtrering af indhold bør bruge muligheden global HTTP-proxy eller avanceret filtrering af indhold fra en tredjepartsapp til filtrering af indhold.
En løsning til administration af mobile enheder (MDM) kan konfigurere det indbyggede filter med følgende muligheder:
Alle websteder: Webindhold filtreres ikke.
Begræns indhold for voksne: Begrænser automatisk adgangen til mange websteder for voksne.
Blokerede websteder: Giver adgang til alle websteder, medmindre de står på en blokeringsliste, som kan tilpasses.
Kun bestemte websteder: Begrænser adgangen til en liste med definerede websteder. Listen kan tilpasses.
Det indbyggede filter er konfigureret vha. WebContentFilter-data i iOS, iPadOS og visionOS 1.1 og vha. ParentalControlsContentFilter-data i macOS. Administration af det indbyggede filter via MDM begrænser også adgangen i Safari til rydning af browserhistorikken og webstedsdata.
Global HTTP-proxyserver med TLS/SSL-inspektion
Apple-enheder understøtter konfiguration af en global HTTP-proxyserver. En global HTTP-proxyserver dirigerer det meste af webtrafikken til og fra enheder gennem en angivet proxyserver eller med en indstilling, som anvendes til alle Wi-Fi-, mobil- og Ethernet-netværk. Funktionen bruges ofte af uddannelsesinstitutioner på lavere niveauer og virksomheder til filtrering af internetindhold i en implementering af typen En til en, der er ejet af organisationen, hvor brugerne tager deres enheder med hjem. Det gør det muligt at filtrere indhold på enhederne både i skolen eller virksomheden og i hjemmet. En global HTTP-proxyserver kræver, at iPhone-, iPad- og Apple TV-enhederne er under tilsyn. Du finder flere oplysninger under Om tilsyn med Apple-enheder og Indstillinger til MDM-data i Global HTTP Proxy (global HTTP-proxyserver).
Du skal muligvis foretage ændringer af netværket for at bruge en global HTTP-proxyserver. Du bør derfor tage følgende forhold i betragtning under planlægning af en global HTTP-proxyserver til dit miljø – og oprette konfigurationen i samarbejde med din filtreringsleverandør:
External accessibility (Ekstern adgang): Der skal være ekstern adgang til organisationens proxyserver, hvis enheder skal have adgang til den uden for organisationens netværk.
Proxy PAC (Proxy-PAC-arkiv): Global HTTP-proxyserver understøtter både manuel proxykonfiguration med angivelse af proxyserverens IP-adresse eller DNS-navn og automatisk konfiguration med brug af en URL-adresse til et proxy-PAC-arkiv. Konfiguration af et proxy-PAC-arkiv kan give klienten besked på automatisk at vælge den rigtige proxyserver for at hente en given URL-adresse og på at omgå proxyen, når det ønskes. Overvej at bruge et PAC-arkiv for at få større fleksibilitet.
Captive Wi-Fi compatibility (Kompatibilitet med tvungne Wi-Fi-netværk): Konfigurationen af en global HTTP-proxyserver kan tillade, at klienten midlertidigt går uden om proxyindstillingen for at oprette forbindelse til et tvungent (“captive”) Wi-Fi-netværk. Disse kræver, at brugeren accepterer vilkår eller betaling via et websted, før brugeren får adgang til internettet. Tvungne Wi-Fi-netværk findes ofte i offentlige biblioteker, fastfoodrestauranter, caféer og på andre offentlige lokaliteter.
Using proxy with the caching service (Brug proxy med buffertjenesten): Overvej at bruge et PAC-arkiv til at konfigurere styringen af klienter, når de bruger buffertjenesten. Forkert konfigurerede filtreringsløsninger kan bevirke, at klienter enten går uden om buffertjenesten på organisationens netværk eller utilsigtet bruger buffertjenesten til indhold, når enhederne befinder sig hjemme hos brugerne.
Apple-produkt- og proxytjenester: Apple-tjenester slår alle forbindelser fra, der bruger HTTPS-opsnapning (SSL/TLS-inspektion). Hvis HTTPS-trafikken går gennem en webproxy, skal du slå HTTPS-opsnapning fra for de værter, der er anført i Apple-supportartiklen Brug Apple-produkter på virksomhedsnetværk.
Bemærk: Nogle apps, f.eks. FaceTime, bruger ikke HTTP-forbindelser og kan ikke gå via en HTTP-proxyserver. De går derfor uden om en global HTTP-proxyserver. Du kan administrere apps, der ikke bruger HTTP-forbindelser, med avanceret filtrering af indhold.
Funktion | Understøttelse |
|---|---|
Kræver tilsyn på iPhone og iPad |
|
Kræver tilsyn på Mac |
|
Giver organisatorisk synlighed |
|
Kan filtrere værter |
|
Kan filtrere stier i URL’er |
|
Kan filtrere forespørgselsstrenge i URL’er |
|
Kan filtrere pakker |
|
Kan filtrere andre protokoller end http |
|
Overvejelser om netværksarkitektur | Trafikken går gennem en proxyserver, hvilket kan påvirke netværkets latenstid og datahastighed. |
Konfiguration af netværksproxyserver
En proxyserver fungerer som bindeled mellem en enkelt computerbruger og internettet, således at netværkets sikkerhed, administrative kontrol og buffertjeneste kan sikres. Brug MDM-dataene i Proxy til at konfigurere proxyindstillinger på Mac-computere, der er tilmeldt en løsning til administration af mobile enheder (MDM). Disse data understøtter konfiguration af proxies for følgende protokoller:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Der er flere oplysninger under MDM-indstillinger til konfiguration af netværksproxy.
Funktion | Understøttelse |
|---|---|
Kræver tilsyn på iPhone og iPad |
|
Kræver tilsyn på Mac |
|
Giver organisatorisk synlighed |
|
Kan filtrere værter |
|
Kan filtrere stier i URL’er |
|
Kan filtrere forespørgselsstrenge i URL’er |
|
Kan filtrere pakker |
|
Kan filtrere andre protokoller end http | Nogle protokoller. |
Overvejelser om netværksarkitektur | Trafikken går gennem en proxyserver, hvilket kan påvirke netværkets latenstid og datahastighed. |
MDM-data til DNS Proxy (DNS-proxyserver)
Du kan konfigurere indstillinger til data til DNS Proxy for brugere af iPhone-, iPad-, Mac- og Apple Vision Pro-enheder, der er tilmeldt en løsning til administration af mobile enheder (MDM). Brug dataene i DNS Proxy til at angive apps, der skal bruge netværksudvidelser og leverandørspecifikke værdier til DNS-proxy. Brug af disse data kræver en medfølgende app, der er specificeret ved hjælp af appens pakke-id.
Der er flere oplysninger under Indstillinger til MDM-data i DNS Proxy.
Funktion | Understøttelse |
|---|---|
Understøttelse af Apple Vision Pro |
|
Kræver tilsyn på iPhone og iPad | Inden iOS 15 og iPadOS 15 kræves der tilsyn. I iOS 15 og iPadOS 15 og nyere versioner er disse data ikke under tilsyn og skal installeres med en MDM-løsning. |
Kræver tilsyn på Mac |
|
Giver organisatorisk synlighed |
|
Kan filtrere værter |
|
Kan filtrere stier i URL’er |
|
Kan filtrere forespørgselsstrenge i URL’er |
|
Kan filtrere pakker |
|
Kan filtrere andre protokoller end http | Kun til DNS-opslag. |
Overvejelser om netværksarkitektur | Minimal indvirkning på netværkets ydeevne. |
MDM-data til DNS-indstillinger
Du kan konfigurere indstillinger til data til DNS-indstillinger for brugere af iPhone-, iPad- (herunder Delt iPad), Mac- og Apple Vision Pro-enheder, der er tilmeldt en MDM-løsning. Disse data bruges mere specifikt til at konfigurere DNS over HTTP (også kendt som DoH) eller DNS over TLS (også kendt som DoT). Derved forbedres brugeranonymiteten ved at kryptere DNS-trafik, og det kan også bruges til at anvende filtrerede DNS-tjenester. Dataene kan enten identificere specifikke DNS-forespørgsler, som bruger de angivne DNS-servere, eller de kan anvendes til alle DNS-forespørgsler. Dataene kan også angive Wi-Fi--SSID'er, som har angivne DNS-servere, der bruges til forespørgsler.
Bemærk: Ved installation ved hjælp af MDM gælder indstillingen kun for administrerede Wi-Fi-netværk.
Du kan få flere oplysninger under DNS Settings MDM payload settings og DNSSettings på Apple Developer-webstedet.
Funktion | Understøttelse |
|---|---|
Understøttelse af Apple Vision Pro |
|
Kræver tilsyn på iPhone og iPad | Konfiguration kan låses på enheder under tilsyn. Konfiguration kan tilsidesættes af en VPN-app, hvis MDM tillader det (enheder under tilsyn). |
Kræver tilsyn på Mac | Konfiguration kan låses på enheder under tilsyn. Konfiguration kan tilsidesættes af en VPN-app, hvis MDM tillader det (enheder under tilsyn). |
Giver organisatorisk synlighed |
|
Kan filtrere værter |
|
Kan filtrere stier i URL’er |
|
Kan filtrere forespørgselsstrenge i URL’er |
|
Kan filtrere pakker |
|
Kan filtrere andre protokoller end http | Kun til DNS-opslag. |
Overvejelser om netværksarkitektur | Minimal indvirkning på netværkets ydeevne. |
Udbydere af indholdsfiltre
iOS, iPadOS og macOS understøtter tilbehør til avanceret filtrering af webindhold og sockettrafik. Et filter til netværksindhold på enheden undersøger brugernetværksindhold, når det passerer gennem netværksstakken. Indholdsfilteret bestemmer derefter, om det skal blokere dette indhold eller lade det passere videre til dets slutdestination. Udbydere af indholdsfiltre leveres gennem en app, der er installeret vha. MDM. Brugerens anomymitet er beskyttet, fordi udbyderen af filterdata afvikles i et restriktivt isoleret miljø. Filtreringsregler kan opdateres dynamisk af udbyderen af filterkontrol, der er implementeret i appen.
Du kan få flere oplysninger i Content Filter Providers på Apple Developer-webstedet.
Funktion | Understøttelse |
|---|---|
Kræver tilsyn på iPhone og iPad | App skal installeres på brugerens iOS- og iPadOS-enhed, og sletning kan forhindres, hvis enheden er under tilsyn. |
Kræver tilsyn på Mac |
|
Giver organisatorisk synlighed |
|
Kan filtrere værter |
|
Kan filtrere stier i URL’er |
|
Kan filtrere forespørgselsstrenge i URL’er |
|
Kan filtrere pakker |
|
Kan filtrere andre protokoller end http |
|
Overvejelser om netværksarkitektur | Trafik filtreres på enheden, så netværket påvirkes ikke. |
VPN-/pakkekanal
Når enheder sender netværkstrafik gennem en VPN- eller pakkekanal, kan netværksaktivitet overvåges og filtreres. Denne konfiguration svarer til enheder, der er sluttet direkte til et netværk, hvor trafikken mellem det private netværk og internettet overvåges og filtreres.
Funktion | Understøttelse |
|---|---|
Kræver tilsyn på iPhone og iPad |
|
Kræver tilsyn på Mac |
|
Giver organisatorisk synlighed |
|
Kan filtrere værter | Trafik filtreres kun via private netværksforbindelser. |
Kan filtrere stier i URL’er | Trafik filtreres kun via private netværksforbindelser. |
Kan filtrere forespørgselsstrenge i URL’er | Trafik filtreres kun via private netværksforbindelser. |
Kan filtrere pakker |
|
Kan filtrere andre protokoller end http |
|
Overvejelser om netværksarkitektur | Trafikken går gennem et privat netværk, hvilket kan påvirke netværkets latenstid og datahastighed. |