Filtrování obsahu pro zařízení Apple
Systémy iOS, iPadOS, macOS a visionOS 1.1 podporují několik následujících způsobů filtrování obsahu: omezení, globální služba HTTP proxy, filtrování DNS, DNS proxy a rozšířené filtrování obsahu.
Nakonfigurování vestavěných filtrů obsahu
Na zařízeních Apple lze omezit přístup Safari a aplikací nezávislých vývojářů jen na určité webové stránky. Tuto funkci využívají organizace s jednoduchými a omezenými potřebami filtrování obsahu. Organizace se složitějšími nebo zákonem stanovenými požadavky na filtrování obsahu by měly používat globální službu HTTP proxy nebo rozšířené volby filtrování obsahu poskytované aplikací pro filtrování obsahu od nezávislého dodavatele.
Ve službě správy mobilních zařízení (MDM) je možné nakonfigurovat vestavěné filtry pro následující volby:
All websites: Webový obsah není filtrován.
Limit adult content: Automatické omezení přístupu k mnoha webovým stránkám pro dospělé.
Blocked sites: Umožňuje přístup ke všem webovým stránkám, pokud nejsou na přizpůsobitelném seznamu blokovaných stránek.
Specific websites only: Omezení přístupu k předem určeným webovým stránkám, jejichž seznam lze přizpůsobit.
Vestavěný filtr se v systémech iOS, iPadOS a visionOS 1.1 konfiguruje pomocí datové části WebContentFilter a v systému macOS pomocí datové části ParentalControlsContentFilter. Správa vestavěného filtru pomocí MDM také omezuje v Safari přístup k vymazání historie prohlížení a dat webových stránek.
Globální služba HTTP proxy s inspekcí TLS/SSL
Zařízení Apple podporují konfiguraci globální služby HTTP proxy. Globální služba HTTP proxy směruje většinu webového provozu zařízení přes určený proxy server nebo prostřednictvím nastavení použitého ve všech Wi‑Fi, mobilních a ethernetových sítích. Tuto funkci běžně využívají předškolní, základní a středoškolské vzdělávací instituce a podniky k filtrování internetového obsahu u individuálně nasazených zařízení ve vlastnictví organizace, která si uživatelé nosí domů. Umožňuje filtrovat obsah na zařízeních jak ve škole či na pracovišti, tak i doma. Globální službu HTTP proxy lze na iPhonech, iPadech a Apple TV nastavit jen tehdy, jsou‑li pod dohledem. Další informace viz O dohledu nad zařízeními Apple a Položky nastavení MDM v datové části Global HTTP Proxy.
Chcete‑li zavést podporu globální služby HTTP proxy, je možné, že budete muset v síti provést určité změny. Při plánování globální služby HTTP proxy pro své prostředí berte v úvahu následující aspekty a konfiguraci připravte ve spolupráci se svým dodavatelem filtrování:
Dostupnost zvenčí: Pokud mají zařízení používat proxy server organizace v době, kdy se nacházejí mimo organizaci, musí být tento server dostupný zvenčí.
Proxy PAC: Globální služba HTTP proxy podporuje ruční konfiguraci proxy zadáním IP adresy či DNS názvu proxy serveru nebo automatickou konfiguraci proxy prostřednictvím PAC URL. Konfigurace PAC souboru služby proxy může předat klientovi pokyn, aby automaticky zvolil vhodný proxy server pro načtení daného URL včetně případného obejití proxy serveru, pokud je to nutné. Použití souboru PAC zvažte zejména z důvodu větší flexibility.
Kompatibilita se záchytnými Wi‑Fi sítěmi: Konfigurace globální služby HTTP proxy představuje pro klienta způsob, jak dočasně obejít nastavení proxy, aby se mohl připojit k záchytné Wi‑Fi síti. Tyto sítě před poskytnutím přístupu k internetu požadují od uživatele souhlas s podmínkami nebo nabízejí možnost platby prostřednictvím webové stránky. Lze se s nimi běžně setkat ve veřejných knihovnách, restauracích, kavárnách a na jiných veřejných místech.
Using proxy with the caching service: Zvažte možnost využít soubor PAC k nakonfigurování klientů pro kontrolu nad tím, kdy používají službu ukládání do mezipaměti. Nesprávně nakonfigurované filtry mohou způsobit, že klienti budou službu ukládání do mezipaměti v síti vaší organizace buď obcházet, nebo ji budou neúmyslně používat pro přístup k obsahu v době, kdy má uživatel zařízení doma.
Produkty Apple a služby proxy: Při pokusech o připojení, při nichž se využívá zachycení HTTPS (inspekce SSL/TLS), budou služby Apple neúspěšné. Pokud komunikace HTTPS prochází přes webový proxy server, je nutné vypnout inspekci HTTPS pro hostitele, jejichž seznam je uvedený v článku podpory Apple Používání produktů Apple ve firemních sítích.
Poznámka: Některé aplikace, například FaceTime, nepoužívají HTTP připojení a HTTP proxy server na ně tudíž nemá vliv, takže globální službu HTTP proxy obcházejí. Aplikace, které nepoužívají HTTP připojení, můžete spravovat s použitím rozšířeného filtrování obsahu.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem |
|
Na počítačích Mac lze použít jen pod dohledem |
|
Zajišťuje transparentnost prostředí organizace |
|
Umožňuje filtrovat hostitele |
|
Umožňuje filtrovat cesty v URL adresách |
|
Umožňuje filtrovat řetězce dotazů v URL adresách |
|
Umožňuje filtrovat pakety |
|
Umožňuje filtrovat jiné protokoly než http |
|
Otázky související s architekturou sítě | Datový provoz je směrován přes proxy server, což může negativně ovlivnit latenci a propustnost sítě. |
Konfigurace serveru proxy sítě
Proxy server vystupuje jako prostředník mezi uživatelem jednoho počítače a internetem a umožňuje tak zajišťovat v síti bezpečnost, řízení správy a služby mezipaměti. V datové části MDM Proxy můžete pro počítače Mac zaregistrované ve službě správy mobilních zařízení (MDM) nastavit konfiguraci proxy serveru. Tato datová část podporuje konfigurování proxy serverů pro následující protokoly:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Další informace najdete v části Nastavení MDM Network Proxy Configuration.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem |
|
Na počítačích Mac lze použít jen pod dohledem |
|
Zajišťuje transparentnost prostředí organizace |
|
Umožňuje filtrovat hostitele |
|
Umožňuje filtrovat cesty v URL adresách |
|
Umožňuje filtrovat řetězce dotazů v URL adresách |
|
Umožňuje filtrovat pakety |
|
Umožňuje filtrovat jiné protokoly než http | Některé protokoly. |
Otázky související s architekturou sítě | Datový provoz je směrován přes proxy server, což může negativně ovlivnit latenci a propustnost sítě. |
MDM datová část DNS Proxy
Můžete nakonfigurovat nastavení datové části DNS Proxy pro uživatele zařízení iPhone, iPad, Mac a Apple Vision Pro zaregistrovaných ve službě správy mobilních zařízení (MDM). Prostřednictvím datové části DNS Proxy můžete určit, které aplikace musí používat síťová rozšíření DNS proxy serveru a hodnoty specifické pro poskytovatele. Použití této datové části vyžaduje doprovodnou aplikaci specifikovanou pomocí identifikátoru balíku (také známého jako bundle ID).
Další informace viz Položky nastavení MDM v datové části DNS Proxy.
Funkce | Podpora |
|---|---|
Podpora pro Apple Vision Pro |
|
Na iPhonech a iPadech lze použít jen pod dohledem | Ve starších systémech než iOS 15 a iPadOS 15 je vyžadován dohled. Počínaje systémy iOS 15 a iPadOS 15 tato datová část pod dohled nespadá a je ji nutné instalovat prostřednictvím služby MDM. |
Na počítačích Mac lze použít jen pod dohledem |
|
Zajišťuje transparentnost prostředí organizace |
|
Umožňuje filtrovat hostitele |
|
Umožňuje filtrovat cesty v URL adresách |
|
Umožňuje filtrovat řetězce dotazů v URL adresách |
|
Umožňuje filtrovat pakety |
|
Umožňuje filtrovat jiné protokoly než http | Pouze pro vyhledávání v DNS. |
Otázky související s architekturou sítě | Minimální dopad na provoz a výkon sítě. |
MDM datová část DNS Settings
Můžete nakonfigurovat nastavení datové části DNS Settings pro uživatele zařízení iPhone, iPad (včetně síleného iPadu, Mac a Apple Vision Pro zaregistrovaných ve službě správy mobilních zařízení (MDM). Konkrétně se tato datová část využívá ke konfigurování služby DNS over HTTP (označované také DoH) nebo DNS over TLS (také jen DoT). Tato konfigurace posiluje ochranu soukromí uživatelů díky šifrování datového provozu DNS a umožňuje také využít filtrované DNS služby. V datové části lze uvést konkrétní DNS dotazy, které mají využívat specifikované DNS servery, nebo lze tuto datovou část definovat pro všechny DNS dotazy. V datové části lze také určit SSID Wi‑Fi sítí, jejichž specifikované DNS servery se používají pro zpracování dotazů.
Poznámka: Při instalaci pomocí služby MDM se položka nastavení použije pouze na spravované sítě Wi-Fi.
Další informace viz Položky nastavení MDM datové části DNS Setting a článek DNSSettings na webových stránkách Apple Developer.
Funkce | Podpora |
|---|---|
Podpora pro Apple Vision Pro |
|
Na iPhonech a iPadech lze použít jen pod dohledem | Konfiguraci lze na zařízeních pod dohledem uzamknout. Konfiguraci lze přepsat VPN aplikací, pokud to povoluje MDM (zařízení pod dohledem). |
Na počítačích Mac lze použít jen pod dohledem | Konfiguraci lze na zařízeních pod dohledem uzamknout. Konfiguraci lze přepsat VPN aplikací, pokud to povoluje MDM (zařízení pod dohledem). |
Zajišťuje transparentnost prostředí organizace |
|
Umožňuje filtrovat hostitele |
|
Umožňuje filtrovat cesty v URL adresách |
|
Umožňuje filtrovat řetězce dotazů v URL adresách |
|
Umožňuje filtrovat pakety |
|
Umožňuje filtrovat jiné protokoly než http | Pouze pro vyhledávání v DNS. |
Otázky související s architekturou sítě | Minimální dopad na provoz a výkon sítě. |
Poskytovatelé obsahových filtrů
Systémy iOS, iPadOS a macOS podporují plug‑iny pro rozšířené filtrování obsahu na webu a v soketovém datovém provozu. Filtr síťového obsahu na zařízení analyzuje síťový obsah uživatele při průchodu síťovými protokoly. Po analýze rozhodne, jestli tento obsah zablokuje, nebo nechá projít na místo určení. Poskytovatelé filtrů obsahu se dodávají prostřednictvím aplikací instalovaných přes službu MDM. Ochranu soukromí uživatelů zajišťuje spouštění poskytovatelů dat filtrů v omezujícím sandboxu. Poskytovatel ovládání filtru, implementovaný v aplikaci, může pravidla filtrování dynamicky aktualizovat.
Další informace viz Content Filter Providers (Poskytovatelé filtrů obsahu) na webových stránkách Apple Developer.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem | Na iOS nebo iPadOS zařízení uživatele musejí být nainstalovány aplikace, a pokud je zařízení pod dohledem, lze smazání zablokovat. |
Na počítačích Mac lze použít jen pod dohledem |
|
Zajišťuje transparentnost prostředí organizace |
|
Umožňuje filtrovat hostitele |
|
Umožňuje filtrovat cesty v URL adresách |
|
Umožňuje filtrovat řetězce dotazů v URL adresách |
|
Umožňuje filtrovat pakety |
|
Umožňuje filtrovat jiné protokoly než http |
|
Otázky související s architekturou sítě | Provoz na zařízení je filtrován tak, aby přenosy v síti nebyly ovlivněny. |
Tunelové propojení pro pakety/VPN
Když zařízení odesílají síťová data přes VPN nebo paketové tunelové propojení, je možné jejich síťovou aktivitu monitorovat a filtrovat. Tato konfigurace je podobná situaci, kdy jsou zařízení připojená přímo k síti a monitorování a filtrování provozu probíhá na rozhraní mezi soukromou sítí a internetem.
Funkce | Podpora |
|---|---|
Na iPhonech a iPadech lze použít jen pod dohledem |
|
Na počítačích Mac lze použít jen pod dohledem |
|
Zajišťuje transparentnost prostředí organizace |
|
Umožňuje filtrovat hostitele | Provoz je filtrován pouze prostřednictvím propojení privátní sítě. |
Umožňuje filtrovat cesty v URL adresách | Provoz je filtrován pouze prostřednictvím propojení privátní sítě. |
Umožňuje filtrovat řetězce dotazů v URL adresách | Provoz je filtrován pouze prostřednictvím propojení privátní sítě. |
Umožňuje filtrovat pakety |
|
Umožňuje filtrovat jiné protokoly než http |
|
Otázky související s architekturou sítě | Datový provoz je směrován přes privátní síť, což může negativně ovlivnit latenci a propustnost sítě. |