Materiaal filteren voor Apple apparaten
iOS, iPadOS, macOS en visionOS 1.1 ondersteunen verschillende methoden voor het filteren van materiaal, waaronder beperkingen, een globale HTTP-proxy, gefilterde DNS, een DNS-proxy en geavanceerde filteropties.
Ingebouwde materiaalfilters configureren
Apple apparaten kunnen de toegang van Safari en apps van andere leveranciers beperken tot specifieke websites. Deze functie is bedoeld voor organisaties die eenvoudige of beperkte eisen stellen aan materiaalfilters. Organisaties met complexe of wettelijk verplichte filterbehoeften kunnen een globale HTTP-proxy of de geavanceerde opties van een materiaalfilterapp van een andere leverancier gebruiken.
Met een MDM-oplossing kun je het ingebouwde filter met de volgende opties configureren:
Alle websites: Webmateriaal wordt niet gefilterd.
Beperk expliciet materiaal: Hiermee worden veel websites met expliciet materiaal automatisch geblokkeerd.
Geblokkeerde sites: Hiermee zijn alle websites toegankelijk, behalve wanneer ze op een blokkeerlijst staan die je desgewenst kunt aanpassen.
Alleen specifieke websites: Hiermee wordt de toegang beperkt tot een vooraf bepaalde set met websites, die je desgewenst kunt aanpassen.
Het ingebouwde filter wordt geconfigureerd met de payload WebContentFilter in iOS, iPadOS en visionOS 1.1 en de payload ParentalControlsContentFilter in macOS. Als je het ingebouwde filter via MDM beheert, wordt ook de toegang tot het wissen van de browsergeschiedenis en websitegegevens in Safari beperkt.
Globale HTTP-proxy met TLS/SSL-inspectie
Apple apparaten ondersteunen de configuratie van een globale HTTP-proxy. Een globale HTTP-proxy zorgt ervoor dat het meeste webverkeer naar apparaten wordt gerouteerd via een opgegeven proxyserver of met een instelling die op alle wifi-, mobiele en ethernet-netwerken wordt toegepast. Deze functie wordt meestal gebruikt door lagere scholen of bedrijven om internetmateriaal te filteren als de persoonlijk geconfigureerde apparaten het eigendom zijn van de organisatie en mee naar huis worden genomen. Op deze manier kan het materiaal zowel op school of op het werk als thuis worden gefilterd. Voor een globale HTTP-proxy moeten de iPhones, iPads en Apple TV's onder toezicht staan. Zie Toezicht van Apple apparaten en Instellingen voor de MDM-payload 'Globale HTTP-proxy' voor meer informatie.
Het kan zijn dat je het netwerk moet aanpassen om een globale HTTP-proxy te ondersteunen. Als je overweegt om een globale HTTP-proxy te gebruiken, is het belangrijk om met de volgende punten rekening te houden en om met de leverancier van de filters de precieze configuratie te bespreken:
Externe toegankelijkheid: De proxyserver van de organisatie moet extern toegankelijk zijn als apparaten ook toegang tot de server moeten hebben wanneer ze zich buiten het netwerk van de organisatie bevinden.
PAC voor proxy: De globale HTTP-proxy kan handmatig worden geconfigureerd door het IP-adres of de DNS-naam van de proxyserver op te geven. Automatische configuratie is mogelijk via de URL van een PAC-bestand. In een PAC-bestand kan zijn opgenomen dat de client automatisch de juiste proxyserver moet kiezen om een bepaalde URL op te halen en om eventueel de proxy te negeren wanneer dat wenselijk is. Overweeg het gebruik van een PAC-bestand als meer flexibiliteit nodig is.
Compatibiliteit met wifi-afvangnetwerken: In de configuratie van de globale HTTP-proxy kan worden opgenomen dat de client de proxy-instelling tijdelijk mag negeren om toegang te krijgen tot een wifi-afvangnetwerk. Hierbij krijgen gebruikers pas toegang tot het internet nadat ze akkoord zijn gegaan met de geldende voorwaarden of een vergoeding hebben betaald. Wifi-afvangnetwerken worden veel gebruikt in openbare bibliotheken, fastfoodrestaurants, tankstations en op andere openbare locaties.
Proxy gebruiken met de caching-voorziening: Het kan zinvol zijn om een PAC-bestand te gebruiken voor de configuratie van clients om te bepalen wanneer ze de caching-voorziening kunnen gebruiken. Onjuist geconfigureerde filters kunnen tot gevolg hebben dat de caching-voorziening in het netwerk van je organisatie niet wordt gebruikt of dat de caching-voorziening onbewust wel wordt gebruikt als gebruikers hun apparaat mee naar huis hebben genomen.
Apple producten en proxyvoorzieningen: Verbindingen die HTTPS-interceptie (SSL/TLS-inspectie) gebruiken, worden door Apple voorzieningen uitgeschakeld. Als het HTTPS-verkeer via een webproxy loopt, moet je HTTPS-interceptie uitschakelen voor de hosts die in het Apple Support-artikel Apple producten op bedrijfsnetwerken gebruiken worden vermeld.
Opmerking: Sommige apps, zoals FaceTime, maken geen gebruik van HTTP-verbindingen. Dit betekent dat het verkeer van deze apps niet via een HTTP-proxyserver kan lopen en dat de globale HTTP-proxy dus niet werkt. Om dergelijke apps te beheren, kun je gebruikmaken van geavanceerde materiaalfilters.
Functie | Ondersteuning |
|---|---|
Toezicht vereist op iPhones en iPads |
|
Toezicht vereist op Macs |
|
Geeft inzicht in de organisatie |
|
Kan hosts filteren |
|
Kan paden in URL's filteren |
|
Kan zoektekenreeksen in URL's filteren |
|
Kan pakketten filteren |
|
Kan andere protocollen dan HTTP filteren |
|
Aandachtspunten voor netwerkarchitectuur | Verkeer wordt via een proxy geleid. Dit kan van invloed zijn op de reactietijd en doorvoer van het netwerk. |
Netwerkproxyconfiguratie
Een proxyserver fungeert als schakel tussen een computergebruiker en het internet. Deze server zorgt voor beveiliging en beheer van het lokale netwerk en verschaft cachingvoorzieningen. Met de MDM-payload 'Proxy' kun je proxy-instellingen configureren voor Mac-computers die bij een MDM-oplossing (Mobile Device Management) zijn ingeschreven. Deze payload ondersteunt de configuratie van proxy's voor de volgende protocollen:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Zie MDM-instellingen voor netwerkproxyconfiguratie voor meer informatie.
Functie | Ondersteuning |
|---|---|
Toezicht vereist op iPhones en iPads |
|
Toezicht vereist op Macs |
|
Geeft inzicht in de organisatie |
|
Kan hosts filteren |
|
Kan paden in URL's filteren |
|
Kan zoektekenreeksen in URL's filteren |
|
Kan pakketten filteren |
|
Kan andere protocollen dan HTTP filteren | Bepaalde protocollen. |
Aandachtspunten voor netwerkarchitectuur | Verkeer wordt via een proxy geleid. Dit kan van invloed zijn op de reactietijd en doorvoer van het netwerk. |
MDM-payload 'DNS-proxy'
Je kunt instellingen voor de payload 'DNS-proxy' configureren voor gebruikers van iPhones, iPads, Macs en de Apple Vision Pro die bij een MDM-oplossing (Mobile Device Management) zijn ingeschreven. Met de payload 'DNS-proxy' kun je apps opgeven waarvoor DNS-proxynetwerkextensies en aanbiederspecifieke waarden moeten worden gebruikt. Om deze payload te gebruiken, is een bijbehorende app vereist waarvoor je de bundel-ID moet opgeven.
Zie Instellingen voor de MDM-payload 'Proxy' voor meer informatie.
Functie | Ondersteuning |
|---|---|
Ondersteuning voor de Apple Vision Pro |
|
Toezicht vereist op iPhones en iPads | In versies ouder dan iOS 15 en iPadOS 15 is toezicht vereist. In iOS 15 en iPadOS 15 of nieuwer staat deze payload niet onder toezicht en moet deze worden geïnstalleerd via een MDM-oplossing. |
Toezicht vereist op Macs |
|
Geeft inzicht in de organisatie |
|
Kan hosts filteren |
|
Kan paden in URL's filteren |
|
Kan zoektekenreeksen in URL's filteren |
|
Kan pakketten filteren |
|
Kan andere protocollen dan HTTP filteren | Alleen voor opzoeken van DNS-naam. |
Aandachtspunten voor netwerkarchitectuur | Minimale invloed op netwerkprestaties. |
MDM-payload 'DNS-instellingen'
Je kunt instellingen voor de payload 'DNS-instellingen' configureren voor gebruikers van iPhones, iPads (inclusief gedeelde iPads), Macs en de Apple Vision Pro die bij een MDM-oplossing (Mobile Device Management) zijn ingeschreven. Deze payload wordt specifiek gebruikt voor het configureren van DNS-over-HTTP (ook wel DoH genoemd) of DNS-over-TLS (ook wel DoT genoemd). Hiermee wordt de privacy van de gebruiker beter beschermd doordat DNS-verkeer wordt versleuteld. Ook kan gebruik worden gemaakt van voorzieningen voor gefilterd DNS. De payload kan van toepassing zijn op specifieke DNS-verzoeken waarvoor de opgegeven DNS-servers worden gebruikt of op alle DNS-verzoeken. Met de payload kunnen ook de SSID's van de wifinetwerken worden opgegeven waarin de DNS-servers zich bevinden die voor verzoeken worden gebruikt.
Opmerking: Bij installatie via MDM geldt de instelling alleen voor beheerde wifinetwerken.
Zie Instellingen voor de MDM-payload 'DNS-instellingen' en DNSSettings op de Apple Developer-website voor meer informatie.
Functie | Ondersteuning |
|---|---|
Ondersteuning voor de Apple Vision Pro |
|
Toezicht vereist op iPhones en iPads | De configuratie kan worden vergrendeld op apparaten die onder toezicht staan. De configuratie kan worden overschreven door een VPN-app als dit is toegestaan door MDM (apparaten onder toezicht). |
Toezicht vereist op Macs | De configuratie kan worden vergrendeld op apparaten die onder toezicht staan. De configuratie kan worden overschreven door een VPN-app als dit is toegestaan door MDM (apparaten onder toezicht). |
Geeft inzicht in de organisatie |
|
Kan hosts filteren |
|
Kan paden in URL's filteren |
|
Kan zoektekenreeksen in URL's filteren |
|
Kan pakketten filteren |
|
Kan andere protocollen dan HTTP filteren | Alleen voor opzoeken van DNS-naam. |
Aandachtspunten voor netwerkarchitectuur | Minimale invloed op netwerkprestaties. |
Aanbieders van materiaalfilters
iOS, iPadOS en macOS ondersteunen plug-ins voor geavanceerde materiaalfilters voor zowel webverkeer als socket-verkeer. Een netwerkmateriaalfilter op het apparaat onderzoekt netwerkmateriaal van de gebruiker dat zich door het netwerk beweegt. Het materiaalfilter bepaalt vervolgens of het materiaal moet worden geblokkeerd of kan worden doorgelaten op weg naar de eindbestemming. Materiaalfilteraanbieders worden ingezet via een app die met MDM wordt geïnstalleerd. De privacy van de gebruiker is beschermd omdat de Filter Data Provider in een afgeschermde sandbox wordt uitgevoerd. Filterregels kunnen dynamisch worden bijgewerkt door de Filter Control Provider die in de app is geïmplementeerd.
Zie Content Filter Providers op de Apple Developer-website voor meer informatie (Engelstalig).
Functie | Ondersteuning |
|---|---|
Toezicht vereist op iPhones en iPads | De app moet op het iOS- of iPadOS-apparaat van de gebruiker zijn geïnstalleerd en verwijdering kan worden voorkomen als het apparaat onder toezicht staat. |
Toezicht vereist op Macs |
|
Geeft inzicht in de organisatie |
|
Kan hosts filteren |
|
Kan paden in URL's filteren |
|
Kan zoektekenreeksen in URL's filteren |
|
Kan pakketten filteren |
|
Kan andere protocollen dan HTTP filteren |
|
Aandachtspunten voor netwerkarchitectuur | Verkeer wordt gefilterd op het apparaat. Het netwerk wordt dus niet belast. |
VPN-/pakkettunnel
Wanneer apparaten netwerkverkeer via een VPN- of pakkettunnel versturen, kan de netwerkactiviteit worden bewaakt en gefilterd. Deze configuratie is vergelijkbaar met apparaten die rechtstreeks zijn verbonden met een netwerk waarin verkeer tussen het privénetwerk en het internet wordt bewaakt en gefilterd.
Functie | Ondersteuning |
|---|---|
Toezicht vereist op iPhones en iPads |
|
Toezicht vereist op Macs |
|
Geeft inzicht in de organisatie |
|
Kan hosts filteren | Verkeer wordt alleen gefilterd via private netwerkverbindingen. |
Kan paden in URL's filteren | Verkeer wordt alleen gefilterd via private netwerkverbindingen. |
Kan zoektekenreeksen in URL's filteren | Verkeer wordt alleen gefilterd via private netwerkverbindingen. |
Kan pakketten filteren |
|
Kan andere protocollen dan HTTP filteren |
|
Aandachtspunten voor netwerkarchitectuur | Verkeer wordt via een privénetwerk geleid. Dit kan van invloed zijn op de reactietijd en doorvoer van het netwerk. |