Filtrar contenido para dispositivos Apple
iOS, iPadOS, macOS y visionOS 1.1 admiten varias formas de filtrar contenido, entre las que se incluyen restricciones, proxy HTTP global, DNS filtrado, proxy DNS y filtrado de contenido avanzado.
Configuración de los filtros de contenido integrados
Los dispositivos Apple pueden restringir el acceso de Safari y otras apps de terceros a determinados sitios web. Las organizaciones con necesidades de filtro de contenido sencillas o limitadas pueden utilizar esta función. Las organizaciones con requisitos complejos de filtrado de contenido o legalmente obligatorios deben utilizar opciones avanzadas de filtro de contenido o proxy HTTP global proporcionadas por una app de terceros de filtrado de contenido.
Una solución de gestión de dispositivos móviles (MDM) permite configurar las siguientes opciones de filtro incorporado:
Todos los sitios web: No se filtra el contenido web.
Limitar contenido para adultos: Limita el acceso a muchos sitios web para adultos de forma automática.
Sitios bloqueados: Permite el acceso a todos los sitios web, salvo si están incluidos en una lista personalizable de sitios bloqueados.
Solo determinados sitios web: Limita el acceso a una serie de sitios web predeterminados que pueden personalizarse.
El filtro incorporado se configura mediante la carga útil WebContentFilter en iOS, iPadOS y visionOS 1.1; en el caso de macOS, la carga útil utilizada para configurarlo es ParentalControlsContentFilter. Gestionar el filtro integrado con MDM también restringe el acceso en Safari para borrar el historial de navegación y los datos de los sitios web.
Proxy HTTP global con inspección de TLS/SSL
Los dispositivos Apple son compatibles con la configuración de proxy HTTP global. El proxy HTTP global dirige la mayor parte del tráfico web del dispositivo a través de un servidor proxy especificado o con un ajuste que se aplica en todas las redes Wi-Fi, de datos móviles y Ethernet. Esta función suele utilizarse en centros educativos u oficinas para filtrar contenido de internet en una implementación individualizada propiedad del centro o de la organización donde los dispositivos se llevan a casa. Permite que los dispositivos se filtren tanto en el colegio o lugar de trabajo como en casa. El proxy HTTP global requiere que los dispositivos iPhone, iPad y Apple TV estén supervisados. Para obtener más información, consulta Acerca de la supervisión de dispositivos Apple y Ajustes de carga “Proxy HTTP global” .
Es posible que, para que el proxy HTTP global sea compatible, tengas que realizar cambios en la red. A la hora de planificar el proxy HTTP global de tu entorno, ten en cuenta las siguientes opciones (y, si es necesario, consulta la configuración a tu proveedor de filtrado):
Accesibilidad externa: Debe poder accederse externamente al servidor proxy de la organización si los dispositivos van a acceder al mismo cuando se encuentren fuera de su red.
PAC de proxy: El proxy HTTP global admite o bien una configuración de proxy manual mediante la especificación de la dirección IP o el nombre DNS del servidor proxy, o bien una configuración automática utilizando una dirección URL de configuración automática (PAC) de proxy. Una configuración de archivo de PAC de proxy puede indicar al cliente que seleccione automáticamente el servidor proxy adecuado para recuperar una determinada dirección URL, lo que incluye no utilizar el proxy cuando así se desee. Considera la posibilidad de utilizar un archivo PAC para obtener una mayor flexibilidad.
Compatibilidad con Wi-Fi cautiva: La configuración de proxy HTTP global puede permitir que el cliente no use temporalmente el ajuste de proxy para unirse a una red Wi-Fi cautiva. Esto exige que el usuario acepte unas condiciones o realice un pago a través de un sitio web para que se le conceda acceso a internet. Las redes Wi-Fi cautivas suelen encontrarse en bibliotecas públicas, restaurantes de comida rápida, cafeterías y otros sitios públicos.
Usar proxy con servidor de almacenamiento en caché: Considera la posibilidad de utilizar un archivo PAC para configurar los clientes a fin de controlar cuándo utilizan el servicio de almacenamiento en caché. Las soluciones de filtrado mal configuradas pueden hacer que los clientes no utilicen el servidor de almacenamiento en caché de la red de tu empresa o que utilicen el servicio de almacenamiento en caché para contenido de forma involuntaria mientras los dispositivos se encuentran en el hogar del usuario.
Productos Apple y servicios proxy: Los servicios de Apple desactivarán las conexiones que usen intercepción HTTPS (Inspección SSL/TLS). Si el tráfico HTTPS circula a través de un proxy web, debes desactivar la intercepción HTTPS para los hosts que se mencionan en el artículo de soporte de Apple Usar productos Apple en redes empresariales.
Nota: Algunas apps, como FaceTime, no utilizan conexiones HTTP y no pueden configurarse con un servidor proxy HTTP, por lo que no utilizan el proxy HTTP global. El filtrado de aplicaciones que no utilizan conexiones HTTP puede gestionarse con un filtro de contenido avanzado.
Característica | Compatibilidad |
|---|---|
Requiere supervisión en iPhone y iPad |
|
Requiere supervisión en Mac |
|
Proporciona visibilidad organizativa |
|
Puede filtrar los hosts |
|
Puede filtrar las rutas de las direcciones URL |
|
Puede filtrar las cadenas de consulta de las direcciones URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos distintos a http |
|
Consideraciones de arquitectura de red | El tráfico se hace pasar por un proxy, lo que puede influir en la latencia de red y en el rendimiento. |
Configuración del proxy de red
Un servidor proxy actúa como intermediario entre un usuario de ordenador individual e internet, de manera que la red pueda garantizar la seguridad, el control administrativo y el servicio de almacenamiento en caché. Utiliza la carga útil “MDM proxy” para configurar los ajustes de proxy en ordenadores Mac inscritos en una solución de gestión de dispositivos móviles (MDM). Esta carga útil admite la configuración de proxies para los protocolos siguientes:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Para obtener más información, consulta Ajustes de la configuración de proxy de red de MDM.
Característica | Compatibilidad |
|---|---|
Requiere supervisión en iPhone y iPad |
|
Requiere supervisión en Mac |
|
Proporciona visibilidad organizativa |
|
Puede filtrar los hosts |
|
Puede filtrar las rutas de las direcciones URL |
|
Puede filtrar las cadenas de consulta de las direcciones URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos distintos a http | Ciertos protocolos. |
Consideraciones de arquitectura de red | El tráfico se hace pasar por un proxy, lo que puede influir en la latencia de red y en el rendimiento. |
Carga útil de MDM de proxy DNS
Puedes configurar los ajustes de la carga útil “Proxy DNS” para los usuarios de dispositivos iPhone, iPad, Mac y Apple Vision Pro inscritos en una solución de gestión de dispositivos móviles (MDM). Usa la carga útil “Proxy DNS” para especificar las apps que deben utilizar extensiones de red proxy DNS y valores específicos del fabricante. El uso de esta carga útil requiere una app correspondiente que se especifica mediante el identificador de paquete de la app (también conocido como ID de paquete).
Para obtener más información, consulta los Ajustes de carga de MDM “Proxy DNS”.
Característica | Compatibilidad |
|---|---|
Compatibilidad con el Apple Vision Pro |
|
Requiere supervisión en iPhone y iPad | Las versiones anteriores a iOS 15 y iPadOS 15, se requiere supervisión. En iOS 15 y iPadOS 15 o posterior, esta carga útil no está supervisada y se debe instalar con una solución MDM. |
Requiere supervisión en Mac |
|
Proporciona visibilidad organizativa |
|
Puede filtrar los hosts |
|
Puede filtrar las rutas de las direcciones URL |
|
Puede filtrar las cadenas de consulta de las direcciones URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos distintos a http | Solo para búsquedas de DNS. |
Consideraciones de arquitectura de red | Mínimo impacto en el rendimiento de la red. |
Carga útil de MDM de ajustes de DNS
Puedes configurar los ajustes de la carga útil “Ajustes DNS” para los usuarios de dispositivos iPhone, iPad (incluidos iPad compartidos),Mac y Apple Vision Pro inscritos en una solución MDM. Concretamente, esta carga útil se usa para configurar DNS través de HTTP (también conocido como DoH) o DNS través de TLS (también conocido como DoT). De este modo se mejora la privacidad del usuario al encriptar el tráfico DNS y también se puede utilizar para aprovechar los servicios DNS filtrados. La carga útil puede identificar consultas DNS específicas que usen los servidores DNS especificados, o puede aplicarse a todas las consultas DNS. La carga útil también puede especificar los SSID de Wi-Fi cuyos servidores DNS especificados se usen para las consultas DNS determinadas.
Nota: Cuando la instalación se realiza mediante MDM, el ajuste solo se aplica a las redes Wi-Fi gestionadas.
Para obtener más información, consulta Ajustes de carga “Ajustes DNS” de MDM y DNSSettings en el sitio web para desarrolladores de Apple.
Característica | Compatibilidad |
|---|---|
Compatibilidad con el Apple Vision Pro |
|
Requiere supervisión en iPhone y iPad | La configuración se puede bloquear en dispositivos supervisados. La configuración puede ser invalidada por una app de VPN si lo permite MDM (dispositivos supervisados). |
Requiere supervisión en Mac | La configuración se puede bloquear en dispositivos supervisados. La configuración puede ser invalidada por una app de VPN si lo permite MDM (dispositivos supervisados). |
Proporciona visibilidad organizativa |
|
Puede filtrar los hosts |
|
Puede filtrar las rutas de las direcciones URL |
|
Puede filtrar las cadenas de consulta de las direcciones URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos distintos a http | Solo para búsquedas de DNS. |
Consideraciones de arquitectura de red | Mínimo impacto en el rendimiento de la red. |
Proveedores de filtrado de contenido
iOS, iPadOS y macOS permiten establecer filtros avanzados sobre el contenido del tráfico web y de socket a través de módulos de filtro de contenido avanzados. Un filtro de contenido de red en el dispositivo examina el contenido de red del usuario a medida que atraviesa la pila de la red. A continuación, el filtro de contenido determina si debería bloquear ese contenido o permitir que pase hasta su destino final. Los proveedores de filtro de contenido se distribuyen a través de una app instalada mediante MDM. La privacidad del usuario está protegida porque el proveedor de datos del filtro se ejecuta en un entorno de pruebas restrictivo. El proveedor de controles de filtro implementado en la app puede actualizar las reglas de filtro de forma dinámica.
Para obtener más información, consulta Proveedores de filtrado de contenido en el sitio web para desarrolladores de Apple.
Característica | Compatibilidad |
|---|---|
Requiere supervisión en iPhone y iPad | Se debe instalar una app en el dispositivo iOS y iPadOS del usuario y, si el dispositivo está supervisado, se puede impedir el borrado. |
Requiere supervisión en Mac |
|
Proporciona visibilidad organizativa |
|
Puede filtrar los hosts |
|
Puede filtrar las rutas de las direcciones URL |
|
Puede filtrar las cadenas de consulta de las direcciones URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos distintos a http |
|
Consideraciones de arquitectura de red | El tráfico se filtra en el dispositivo, de forma que no tiene ningún impacto en la red. |
Túnel de VPN/paquetes
Cuando los dispositivos envían tráfico de red a través de una conexión VPN o de un túnel de paquetes, la actividad de la red se puede controlar y filtrar. Esta configuración es similar a la de los dispositivos que se conectan directamente a una red en la que se controla y filtra el tráfico entre la red privada e internet.
Característica | Compatibilidad |
|---|---|
Requiere supervisión en iPhone y iPad |
|
Requiere supervisión en Mac |
|
Proporciona visibilidad organizativa |
|
Puede filtrar los hosts | El tráfico solo se filtra por conexiones de red privadas. |
Puede filtrar las rutas de las direcciones URL | El tráfico solo se filtra por conexiones de red privadas. |
Puede filtrar las cadenas de consulta de las direcciones URL | El tráfico solo se filtra por conexiones de red privadas. |
Puede filtrar paquetes |
|
Puede filtrar protocolos distintos a http |
|
Consideraciones de arquitectura de red | El tráfico se hace pasar por una red privada, lo que puede influir en la latencia de red y en el rendimiento. |