Filtrar contenido en los dispositivos Apple
Los sistemas operativos iOS, iPadOS, macOS y visionOS 1.1 son compatibles con distintas formas de filtro de contenido, entre las que se incluyen restricciones, proxy HTTP global, DNS filtrado, proxy de DNS y filtro de contenido avanzado.
Configurar los filtros de contenido integrados
Los dispositivos Apple pueden restringir el acceso de Safari y otras apps de terceros a determinados sitios web. Las organizaciones con necesidades de filtrado de contenido sencillas o limitadas pueden usar esta función. Las organizaciones con requisitos complejos de filtrado de contenido o legalmente obligatorios deben usar una proxy HTTP global u opciones avanzadas de filtrado de contenido proporcionadas por una app de filtrado de contenidos de terceros.
Una solución de administración de dispositivos móviles (MDM) puede configurar el filtro integrado con las siguientes opciones:
Todos los sitios web: no se filtra el contenido web.
Limitar contenido para adultos: limita el acceso a muchos sitios web para adultos de forma automática.
Sitios bloqueados: permite el acceso a todos los sitios web a menos que estén en una lista de bloqueo personalizable.
Sólo determinados sitios web: limita el acceso a una serie de sitios web predeterminados que pueden personalizarse.
El filtro integrado se configura mediante la carga útil WebContentFilter en iOS, iPadOS y visionOS 1.1 y la carga útil ParentalControlsContentFilter en macOS. Al administrar el filtro integrado por la MDM también se restringe el acceso en Safari para borrar el historial de navegación y los datos de los sitios web.
Proxy HTTP global con inspección TLS/SSL
Los dispositivos Apple son compatibles con la configuración de proxy HTTP global. El proxy HTTP global dirige la mayor parte del tráfico web del dispositivo a través de un servidor proxy o con una configuración especificada que se aplica en todas las redes Wi-Fi, celular y Ethernet Esta función suele utilizarse en escuelas u oficinas para filtrar contenido de Internet en una implementación individualizada, propiedad del centro u organización donde los dispositivos se llevan a casa. Permite que los dispositivos se filtren tanto en la escuela, en el trabajo o en casa. El proxy HTTP global requiere que los dispositivos iPhone, iPad y Apple TV estén supervisados. Para obtener más información, consulta Acerca de la supervisión de dispositivos de Apple y Configuración de la carga útil de MDM para el proxy HTTP global.
Es posible que tengas que realizar cambios en la red para que el proxy HTTP global sea compatible. A la hora de planificar el proxy HTTP global de tu entorno, ten en cuenta las siguientes opciones (y, si es necesario, consulta a tu proveedor de filtro para obtener la configuración):
Accesibilidad externa: debe poder accederse externamente al servidor proxy de la organización si los dispositivos van a acceder al mismo cuando se encuentren fuera de su red.
PAC de proxy: el proxy HTTP global es compatible con una configuración de proxy manual mediante la especificación de la dirección IP o con el nombre DNS del servidor proxy, o bien con una configuración automática utilizando una dirección URL de configuración automática (PAC) de proxy. Una configuración de archivo de PAC de proxy puede indicar al cliente que seleccione automáticamente el servidor proxy adecuado para recuperar una determinada dirección URL, lo que incluye no utilizar el proxy cuando así se desee. Considera la posibilidad de utilizar un archivo PAC para obtener una mayor flexibilidad.
Compatibilidad con Wi-Fi cautiva: la configuración de proxy HTTP global puede permitir que el cliente no use temporalmente la configuración de proxy para conectarse a una red Wi-Fi cautiva. Esto exige que el usuario acepte unas condiciones o realice un pago a través de un sitio web para obtener acceso a Internet. Las redes Wi-Fi cautivas suelen encontrarse en bibliotecas públicas, restaurantes de comida rápida, cafeterías y otros sitios públicos.
Usar proxy con servidor de almacenamiento en caché: considera la posibilidad de utilizar un archivo PAC para configurar los clientes a fin de controlar cuándo utilizan el servicio de almacenamiento en caché. Las soluciones de filtrado mal configuradas pueden hacer que los clientes no utilicen el servidor de almacenamiento en caché de la red de tu empresa o que utilicen el servicio de almacenamiento en caché para contenido de forma involuntaria mientras los dispositivos se encuentran en el hogar del usuario.
Productos Apple y servicios de proxy: los servicios de Apple desactivan cualquier conexión con redes que usen interceptación HTTPS (inspección SSL/TLS). Si el tráfico HTTPS circula a través de un proxy web, debes desactivar la intercepción HTTPS para los hosts que se mencionan en el artículo de soporte de Apple Usar productos Apple en redes empresariales.
Nota: algunas apps, como FaceTime, no utilizan conexiones HTTP y no pueden configurarse con un servidor proxy HTTP, por lo que no utilizan el proxy HTTP global. El filtrado de apps que no utilizan conexiones HTTP puede administrarse con un filtro de contenido avanzado.
Característica | Soporte |
|---|---|
Requiere supervisión en dispositivos iPhone y iPad |
|
Requiere supervisión en computadoras Mac |
|
Ofrece visibilidad organizativa |
|
Puede filtrar hosts |
|
Puede filtrar rutas en URL |
|
Puede filtrar cadenas de consulta en URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos que no son HTTP |
|
Consideraciones de la arquitectura de red | El tráfico se enruta mediante un proxy, lo cual puede afectar la latencia y rendimiento de la red. |
Configuración del proxy de red
Un servidor proxy actúa como intermediario entre un usuario de computadora individual y el Internet, de manera que la red pueda garantizar la seguridad, el control administrativo y el servicio de almacenamiento en caché. Usa la carga útil de MDM Proxy para establecer configuraciones relacionadas con el proxy en computadoras Mac inscritas en una solución de administración de dispositivos móviles (MDM). Esta carga útil es compatible con la configuración de proxies con los siguientes protocolos:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Para obtener más información, consulta Configuración de MDM del proxy de red.
Característica | Soporte |
|---|---|
Requiere supervisión en dispositivos iPhone y iPad |
|
Requiere supervisión en computadoras Mac |
|
Ofrece visibilidad organizativa |
|
Puede filtrar hosts |
|
Puede filtrar rutas en URL |
|
Puede filtrar cadenas de consulta en URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos que no son HTTP | Algunos protocolos. |
Consideraciones de la arquitectura de red | El tráfico se enruta mediante un proxy, lo cual puede afectar la latencia y rendimiento de la red. |
Carga útil de MDM Proxy DNS
Puedes establecer la configuración de la carga útil Proxy DNS para los usuarios de iPhone, iPad, Mac y Apple Vision Pro inscritos en una solución de administración de dispositivos móviles (MDM). Usa la carga Proxy DNS para especificar las apps que deben usar extensiones de red proxy DNS y valores específicos del fabricante. El uso de esta carga útil requiere una app complementaria que se especifica mediante el identificador de paquete de la app (también conocido como el ID de paquete).
Para obtener más información, consulta Configuración de la carga útil de MDM Proxy DNS.
Característica | Soporte |
|---|---|
Compatibilidad con Apple Vision Pro |
|
Requiere supervisión en dispositivos iPhone y iPad | Las versiones previas a iOS 15 y iPadOS 15 requieren supervisión. En iOS 15 y iPadOS 15 o posterior, esta carga útil no es supervisada y debe instalarse mediante una solución MDM. |
Requiere supervisión en computadoras Mac |
|
Ofrece visibilidad organizativa |
|
Puede filtrar hosts |
|
Puede filtrar rutas en URL |
|
Puede filtrar cadenas de consulta en URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos que no son HTTP | Sólo para búsquedas de DNS. |
Consideraciones de la arquitectura de red | Impacto mínimo en el rendimiento de la red. |
Carga útil de MDM Configuración de DNS
Puedes establecer la configuración de la carga útil Configuración de DNS para los usuarios de dispositivos iPhone, iPad (incluso con iPad compartido), Mac y Apple Vision Pro inscritos en una solución MDM. En específico, esta carga útil se usa para configurar DNS mediante HTTP (también conocido como DoH) o DNS mediante TLS (también conocido como DoT). Esto mejora la privacidad del usuario al cifrar el tráfico DNS y también puede utilizarse para aprovechar los servicios de filtrado de DNS. La carga útil puede, ya sea, identificar consultas DNS específicas que usan los servidores DNS especificados, o puede aplicarse a todas las consultas DNS. La carga útil también puede especificar los SSID de Wi-Fi cuyos servidores DNS especificados se usan para las consultas.
Nota: cuando se instala mediante la solución MDM, la configuración se aplica únicamente a las redes Wi-Fi administradas.
Para obtener más información, consulta Configuración de la carga útil de MDM Configuración de DNS’ y Configuración de DNS en el sitio web de Apple Developer.
Característica | Soporte |
|---|---|
Compatibilidad con Apple Vision Pro |
|
Requiere supervisión en dispositivos iPhone y iPad | La configuración se puede bloquear en los dispositivos supervisados. La configuración se puede anular mediante una app de VPN si la solución MDM lo permite (dispositivos supervisados). |
Requiere supervisión en computadoras Mac | La configuración se puede bloquear en los dispositivos supervisados. La configuración se puede anular mediante una app de VPN si la solución MDM lo permite (dispositivos supervisados). |
Ofrece visibilidad organizativa |
|
Puede filtrar hosts |
|
Puede filtrar rutas en URL |
|
Puede filtrar cadenas de consulta en URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos que no son HTTP | Sólo para búsquedas de DNS. |
Consideraciones de la arquitectura de red | Impacto mínimo en el rendimiento de la red. |
Proveedores de filtros de contenido
Los sistemas operativos iOS, iPadOS y macOS son compatibles con módulos que permiten establecer filtros avanzados sobre el contenido del tráfico web y de socket. Un filtro de contenido de red en el dispositivo examina el contenido de red del usuario cuando pasa por la pila de red. El filtro de contenidos determina entonces si debe bloquear ese contenido o permitir que pase a su destino final. Los proveedores de filtros de contenidos se entregan a través de una app instalada mediante MDM. La privacidad del usuario está protegida porque el proveedor de datos del filtro se ejecuta en un entorno de pruebas restrictivo. Se puede actualizar dinámicamente las reglas de filtrado mediante el proveedor de control de filtros implementado en la app.
Para obtener más información, consulta Proveedores de filtros de contenido en el sitio web de Apple Developer.
Característica | Soporte |
|---|---|
Requiere supervisión en dispositivos iPhone y iPad | La app debe estar instalada en el dispositivo iOS y iPadOS del usuario; se puede impedir su eliminación si el dispositivo está supervisado. |
Requiere supervisión en computadoras Mac |
|
Ofrece visibilidad organizativa |
|
Puede filtrar hosts |
|
Puede filtrar rutas en URL |
|
Puede filtrar cadenas de consulta en URL |
|
Puede filtrar paquetes |
|
Puede filtrar protocolos que no son HTTP |
|
Consideraciones de la arquitectura de red | El tráfico se filtra en el dispositivo, así que la red no se ve afectada. |
VPN/túnel de paquetes
Cuando los dispositivos envían el tráfico de red a través de una VPN o un túnel de paquetes, la actividad de la red puede ser supervisada y filtrada. Esta configuración es similar a la de los dispositivos que se conectan directamente a una red en la que el tráfico entre la red privada e Internet se supervisa y se filtra.
Característica | Soporte |
|---|---|
Requiere supervisión en dispositivos iPhone y iPad |
|
Requiere supervisión en computadoras Mac |
|
Ofrece visibilidad organizativa |
|
Puede filtrar hosts | El tráfico sólo se filtra a través de conexiones de red privadas. |
Puede filtrar rutas en URL | El tráfico sólo se filtra a través de conexiones de red privadas. |
Puede filtrar cadenas de consulta en URL | El tráfico sólo se filtra a través de conexiones de red privadas. |
Puede filtrar paquetes |
|
Puede filtrar protocolos que no son HTTP |
|
Consideraciones de la arquitectura de red | El tráfico se enruta mediante una red privada, lo cual puede afectar la latencia y rendimiento de la red. |