Filtrovanie obsahu v Apple zariadeniach
Systémy iOS, iPadOS, macOS a visionOS 1.1 podporujú rôzne spôsoby filtrovania obsahu vrátane obmedzení, globálneho HTTP proxy, filtrovania DNS, DNS proxy a pokročilého filtrovania obsahu.
Konfigurácia vstavaných filtrov obsahu
Apple zariadenia dokážu obmedziť Safari a apky tretích strán pre konkrétne webové stránky. Túto funkciu používajú organizácie s jednoduchým alebo obmedzeným filtrovaním obsahu. Organizácie s komplexnými alebo zákonne stanovenými požiadavkami na filtrovanie obsahu by mali používať globálne HTTP proxy alebo pokročilé možnosti filtrovania obsahu poskytované apkami na filtrovanie obsahu tretích strán.
Pre vstavaný filter možno pomocou riešenia správy mobilných zariadení (MDM) nakonfigurovať tieto možnosti:
Všetky webové stránky: Webový obsah sa nefiltruje.
Obmedziť obsah pre dospelých: Automatický sa obmedzí prístup k mnohým stránkam pre dospelých.
Blokované webové stránky: Povolí prístup k všetkým webových stránkam, ktoré nie sú na prispôsobiteľnom zozname blokovaných stránok.
Len konkrétne webové stránky: Obmedzí sa prístup k vopred určeným webovým stránkach, ktoré je možné si vybrať.
Vstavaný filter sa konfiguruje pomocou objemu dát WebContentFilter
v iOS, iPadOS a visionOS 1.1 a objemu dát ParentalControlsContentFilter
v macOS. Správa vstavaného filtra pomocou riešenia MDM tiež obmedzuje v Safari prístup k vymazaniu histórie prehliadania a dát webových stránok.
Globálne HTTP proxy s inšpekciou TLS/SSL
Apple zariadenia podporujú konfiguráciu globálneho HTTP proxy. Globálne HTTP proxy smeruje väčšinu webovej komunikácie zariadení cez konkrétny proxy server alebo s nastavením použitým na všetky Wi-Fi, mobilné a Ethernetové siete. Táto funkcia je bežne používaná organizáciami K-12 alebo firmami na filtrovanie internetového obsahu pri nasadení „jeden na jedného“ na zariadeniach vlastnených organizáciou, ktoré si užívatelia môžu vziať domov. Umožňuje filtrovať zariadenia v škole a vo firme, ako aj doma. Globálne HTTP proxy vyžaduje, aby boli zariadenia iPhone, iPad a Apple TV pod dohľadom. Ďalšie informácie nájdete v téme Informácie o dohľade nad zariadeniami Apple a Nastavenia objemu dát MDM Globálne HTTP Proxy.
Na podporu globálneho HTTP proxy môže byť potrebné vykonať zmeny v sieti. Pri plánovaní globálneho HTTP proxy pre vaše prostredie porozmýšľajte nad týmito možnosťami a konfiguráciu vykonajte v spolupráci so svojím dodávateľom riešenia na filtrovanie:
Externá prístupnosť: Proxy server organizácie musí byť externe prístupný, ak majú mať k nemu zariadenia prístup, pokiaľ sú mimo siete organizácie.
Proxy PAC: Globálne HTTP proxy podporuje buď manuálnu konfiguráciu proxy zadaním IP adresy alebo názvu DNS proxy servera, alebo podporuje automatickú konfiguráciu pomocou proxy PAC URL. Konfigurácia súborom proxy PAC môže pri nčítaní danej URL inštruovať klienta na automatický výber správneho proxy servera, vrátane obídenia proxy, pokiaľ je to potrebné. Rozvážte použitie PAC filtra pre vyššiu flexibilitu.
Kompatibilita uzavretej Wi-Fi: Globálna HTTP proxy konfigurácia umožňuje klientovi dočasne obísť nastavenia proxy a pripojiť sa do uzavretej Wi-Fi siete. Uzavreté Wi-Fi siete vyžadujú pred poskytnutím internetového pripojenia, aby užívateľ súhlasil s podmienkami používania, prípadne ponúkajú platbu cez webovú stránku. Uzavreté Wi-Fi siete sa bežne nachádzajú vo verejných knižniciach, reštauráciách s rýchlym občerstvením a na ďalších verejných miestach.
Používanie proxy so službou ukladania do vyrovnávacej pamäte: Ak klienti používajú ukladanie do vyrovnávacej pamäte, rozvážte na konfigurovanie klientov na kontrolu súbor PAC. Nesprávne skonfigurované filtrovacie riešenia môžu spôsobiť buď obídenie služby ukladania do vyrovnávacej pamäte v sieti vašej organizácie, alebo neúmyselné používanie služby ukladania do vyrovnávacej pamäte, keď sú zariadenia doma u užívateľa.
Apple produkty a proxy služby: Apple služby zakážu všetky pripojenia, ktoré používajú prenikanie HTTPS (inšpekcia SSL/TLS). Ak HTTPS komunikácia prejde webové proxy, musíte zakázať HTTPS prenikanie pre hostiteľov uvedených v článku podpory Apple Používanie Apple produktov na podnikových sieťach.
Poznámka: Niektoré apky, ako napríklad FaceTime, nepoužívajú HTTP pripojenia a nie je možné ich používať cez HTTP proxy server, čím obchádzajú globálne HTTP proxy. Apky, ktoré nepoužívajú HTTP pripojenia, môžete spravovať pomocou pokročilého filtrovania obsahu.
Funkcia | Podpora |
---|---|
Vyžaduje dohľad na iPhone a iPade | |
Vyžaduje dohľad na Macu | |
Poskytuje organizačnú viditeľnosť | |
Môže filtrovať hostiteľov | |
Môže filtrovať cesty v URL adresách | |
Môže filtrovať reťazce požiadaviek v URL adresách | |
Môže filtrovať pakety | |
Môže filtrovať protokoly iné ako http | |
Sieťová architektúra | Komunikácia sa presmeruje cez proxy, čo môže negatívne ovplyvniť oneskorenie a prenos siete. |
Network proxy configuration
Server proxy vystupuje ako sprostredkovateľ medzi jedným užívateľom počítača a internetom tak, aby sieť dokázala zaistiť zabezpečenie, ovládanie správy a službu ukladania do medzipamäte. Objem dát MDM Proxy používajte na konfiguráciu proxy nastavení na počítačoch Mac zaregistrovaných do riešenia správy mobilných zariadení (MDM). Tento objem dát podporuje konfigurovanie proxy serverov pre nasledujúce protokoly:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Ďalšie informácie nájdete v téme Sieťové nastavenia proxy MDM.
Funkcia | Podpora |
---|---|
Vyžaduje dohľad na iPhone a iPade | |
Vyžaduje dohľad na Macu | |
Poskytuje organizačnú viditeľnosť | |
Môže filtrovať hostiteľov | |
Môže filtrovať cesty v URL adresách | |
Môže filtrovať reťazce požiadaviek v URL adresách | |
Môže filtrovať pakety | |
Môže filtrovať protokoly iné ako http | Niektoré protokoly. |
Sieťová architektúra | Komunikácia sa presmeruje cez proxy, čo môže negatívne ovplyvniť oneskorenie a prenos siete. |
Objem dát MDM DNS proxy
Môžete konfigurovať nastavenia objemu dát DNS Proxy pre užívateľov zariadení iPhone, iPad, Mac a Apple Vision Pro zaregistrované do riešenia správy mobilných zariadení (MDM). Pomocou objemu dát DNS proxy špecifikujte apky, ktoré musia používať sieťové rozšírenia DNS proxy a hodnoty špecifické pre predajcu. Používanie tohto objemu dát vyžaduje sprievodnú apku špecifikovanú pomocou identifikátora balíka apky (označovaného aj ako ID balíka).
Ďalšie informácie nájdete v téme Nastavenia MDM objemu dát DNS proxy.
Funkcia | Podpora |
---|---|
Podpora pre Apple Vision Pro | |
Vyžaduje dohľad na iPhone a iPade | V starších systémoch než iOS 15 a iPadOS 15 sa vyžaduje dohľad. V systémoch iOS 15 a iPadOS 15 alebo novších tento objem dát pod dohľad nespadá a je ho nutné inštalovať prostredníctvom riešenia MDM. |
Vyžaduje dohľad na Macu | |
Poskytuje organizačnú viditeľnosť | |
Môže filtrovať hostiteľov | |
Môže filtrovať cesty v URL adresách | |
Môže filtrovať reťazce požiadaviek v URL adresách | |
Môže filtrovať pakety | |
Môže filtrovať protokoly iné ako http | Len pre vyhľadania servera DNS. |
Sieťová architektúra | Minimálny negatívny vplyv výkonnosť siete. |
Objem dát MDM Nastavenia DNS
Pre užívateľov zariadení iPhone, iPad (vrátane zdieľaného iPadu), Mac a Apple Vision Pro zaregistrovanýc v riešení MDM môžete nakonfigurovať objem dát Nastavenia DNS. Konkrétne sa tento objem dát využíva na konfigurovanie služby DNS over HTTP (označovanej aj ako DoH) alebo DNS over TLS (alebo len DoT). Táto konfigurácia posilňuje ochranu súkromia užívateľov vďaka šifrovaniu dátovej prevádzky DNS a umožňuje tiež využívať filtrované DNS služby. Objem dát môže buď identifikovať špecifické DNS dotazy, ktoré používajú špecifikované DNS servery, alebo sa môže použiť na všetky DNS dotazy. Objem dát tiež dokáže špecifikovať Wi-Fi SSID, ktorých špecifikované DNS servery sa používajú pre dotazy.
Poznámka: Po inštalácii s použitím MDM sa nastavenie použije len na spravované Wi-Fi siete.
Ďalšie informácie nájdete v článkoch Nastavenia MDM objemu dát DNS nastavenia a DNSSettings na webovej stránke programu Apple Developer.
Funkcia | Podpora |
---|---|
Podpora pre Apple Vision Pro | |
Vyžaduje dohľad na iPhone a iPade | Konfigurátor je možné na zariadeniach pod dohľadom uzamknúť. Konfiguráciu môže nahradiť apka VPN, pokiaľ je to povolené riešením MDM (zariadenia pod dohľadom). |
Vyžaduje dohľad na Macu | Konfigurátor je možné na zariadeniach pod dohľadom uzamknúť. Konfiguráciu môže nahradiť apka VPN, pokiaľ je to povolené riešením MDM (zariadenia pod dohľadom). |
Poskytuje organizačnú viditeľnosť | |
Môže filtrovať hostiteľov | |
Môže filtrovať cesty v URL adresách | |
Môže filtrovať reťazce požiadaviek v URL adresách | |
Môže filtrovať pakety | |
Môže filtrovať protokoly iné ako http | Len pre vyhľadania servera DNS. |
Sieťová architektúra | Minimálny negatívny vplyv výkonnosť siete. |
Poskytovatelia filtrov obsahu
iOS, iPadOS a macOS podporujú pluginy na pokročilé filtrovanie obsahu na webe a socketovej sieťovej prevádzky. Filter sieťového obsahu na zariadení analyzuje sieťový obsah užívateľa pri prechode sieťovými protokolmi. Po analýze rozhodne, či tento obsah zablokuje alebo nechá prejsť na miesto určenia. Poskytovatelia filtrov obsahu sa dodávajú prostredníctvom apiek inštalovaných prostredníctvom riešenia MDM. Ochranu súkromia užívateľov zaisťuje spúšťanie poskytovateľov dát filtrov v obmedzujúcom sandboxe. Poskytovateľ ovládania filtra, implementovaný v apke, môže pravidlá filtrovania dynamicky aktualizovať.
Ďalšie informácie nájdete v článku Poskytovatelia filtrov obsahu na webovej stránke programu Apple Developer.
Funkcia | Podpora |
---|---|
Vyžaduje dohľad na iPhone a iPade | Apka musí byť nainštalovaná na iOS a iPadOS zariadení užívateľa a pokiaľ je zariadenie pod dohľadom, je možné zakázať jej vymazanie. |
Vyžaduje dohľad na Macu | |
Poskytuje organizačnú viditeľnosť | |
Môže filtrovať hostiteľov | |
Môže filtrovať cesty v URL adresách | |
Môže filtrovať reťazce požiadaviek v URL adresách | |
Môže filtrovať pakety | |
Môže filtrovať protokoly iné ako http | |
Sieťová architektúra | Komunikácia sa filtruje na zariadení, takže to nemá negatívny vplyv na sieťový prenos. |
Tunel VPN/Pakety
Keď zariadenia odosielajú sieťové dáta cez VPN alebo paketové tunelové pripojenie, je možné ich sieťovú aktivitu monitorovať a filtrovať. Táto konfigurácia je podobná situácii, keď sú zariadenia pripojené priamo k sieti a monitorovanie a filtrovanie prenášaných dát prebieha na rozhraní medzi privátnou sieťou a internetom.
Funkcia | Podpora |
---|---|
Vyžaduje dohľad na iPhone a iPade | okrem funkcie Vždy zapnuté VPN, ktorá nevyžaduje dohľad |
Vyžaduje dohľad na Macu | |
Poskytuje organizačnú viditeľnosť | |
Môže filtrovať hostiteľov | Komunikácia sa filtruje len cez pripojenia privátnej siete. |
Môže filtrovať cesty v URL adresách | Komunikácia sa filtruje len cez pripojenia privátnej siete. |
Môže filtrovať reťazce požiadaviek v URL adresách | Komunikácia sa filtruje len cez pripojenia privátnej siete. |
Môže filtrovať pakety | |
Môže filtrovať protokoly iné ako http | |
Sieťová architektúra | Komunikácia sa presmeruje cez privátnu sieť, čo môže negatívne ovplyvniť oneskorenie a prenos siete. |