Filtrare i contenuti per i dispositivi Apple
iOS, iPadOS, macOS e visionOS 1.1 supportano varie forme di filtraggio dei contenuti, tra cui: restrizioni, proxy HTTP globale, DNS filtrato, proxy DNS e filtraggio avanzato dei contenuti.
Configurare filtri dei contenuti integrati
I dispositivi Apple possono limitare l’utilizzo di Safari e delle app di terze parti a siti web specifici. Le organizzazioni che non hanno particolari esigenze per il filtro dei contenuti possono utilizzare questa funzionalità. Le organizzazioni con requisiti complessi o a cui viene richiesto per legge un filtro dei contenuti devono utilizzare un proxy HTTP globale oppure opzioni avanzate di filtraggio dei contenuti fornite da un’app specifica di terze parti.
Una soluzione di gestione dei dispositivi mobili (MDM) può configurare il filtro integrato con le opzioni di seguito.
Tutti i siti web: i contenuti web non vengono filtrati.
Limita i contenuti per adulti: limita automaticamente l’accesso a molti siti web per adulti.
Siti bloccati: consente l’accesso a tutti i siti web a meno che non siano inclusi in un elenco personalizzabile di pagine bloccate.
Solo siti web specifici: limita l’accesso a siti web predeterminati, che possono essere personalizzati.
Il filtro integrato viene configurato usando il payload WebContentFilter su iOS, iPadOS e visionOS 1.1 e il payload ParentalControlsContentFilter su macOS. La gestione del filtro integrato tramite MDM comporta anche la limitazione dell’accesso in Safari per la cancellazione della cronologia di navigazione e dei dati dei siti web.
Proxy HTTP globale con ispezione TLS/SSL
I dispositivi Apple supportano la configurazione di un proxy HTTP globale. Un proxy HTTP globale instrada la maggior parte del traffico web dei dispositivi attraverso un server proxy specificato o un’impostazione applicati in tutte le reti Wi-Fi, cellulari ed Ethernet. Questa funzionalità viene comunemente utilizzata nelle scuole primarie o nelle aziende per il filtraggio dei contenuti internet in distribuzioni uno a uno con dispositivi di proprietà dell’organizzazione, che vengono portati a casa dagli utenti. Consente di filtrare i dispositivi sia a scuola, in azienda o a casa. Il proxy HTTP globale richiede che iPhone, iPad e Apple TV siano supervisionati. Per ulteriori informazioni, consulta Informazioni sulla supervisione dei dispositivi Apple e Impostazioni del payload MDM “Proxy HTTP globale”.
Potresti dover apportare modifiche di rete per il supporto del proxy HTTP globale. Quando pianifichi il proxy HTTP globale per il tuo ambiente, considera le seguenti opzioni e collabora con il fornitore del filtro per la configurazione:
Accessibilità esterna: il server proxy dell’organizzazione deve essere accessibile dall’esterno se i dispositivi devono accedervi quando si trovano fuori dalla rete dell’organizzazione.
PAC proxy: il proxy HTTP globale supporta sia una configurazione proxy manuale specificando l’indirizzo IP o il nome DNS del server proxy, che una configurazione automatica tramite un URL a un PAC per il proxy. La configurazione di un file PAC proxy può dare istruzione al client di scegliere automaticamente il server proxy appropriato per il recupero di un determinato URL o anche di ignorare il proxy, se necessario. Considera l’opzione di utilizzare un file PAC per una maggiore flessibilità.
Compatibilità con Wi-Fi Captive: la configurazione di un proxy HTTP globale può consentire ai client di ignorare temporaneamente l’impostazione del proxy per poter accedere a una rete Wi-Fi Captive. Queste chiedono all’utente di accettare i termini di utilizzo o di effettuare un pagamento tramite un sito web prima di poter accedere a internet. Le reti Wi-Fi Captive si trovano di solito in biblioteche pubbliche, ristoranti, caffetterie e altri luoghi pubblici.
Utilizzo del proxy con il servizio di cache: considera l’opzione di utilizzare un file PAC per configurare i client e controllare quando utilizzano un servizio di cache. Una configurazione errata delle soluzioni per il filtro può fare sì che i client ignorino il servizio di cache nella rete dell’organizzazione oppure che utilizzino involontariamente il servizio di cache per i contenuti mentre i dispositivi si trovano a casa degli utenti.
Prodotti Apple e servizi proxy: I servizi Apple disabiliteranno qualsiasi connessione che utilizza l’intercettazione HTTPS (ispezione SSL/TLS). Se il traffico HTTPS è diretto a un proxy web, devi disabilitare l’intercettazione HTTPS per gli host elencati nell’articolo del supporto Apple Utilizzare i prodotti Apple sulle reti aziendali.
Nota: alcune app, come ad esempio FaceTime, non utilizzano connessioni HTTP e non possono essere controllate da un server proxy HTTP, quindi ignorano il proxy HTTP globale. Puoi gestire le app che non utilizzano connessioni HTTP con filtri dei contenuti avanzati.
Funzionalità | Supporto |
|---|---|
Richiede supervisione su iPhone e iPad |
|
Richiede supervisione su Mac |
|
Fornisce visibilità all’organizzazione |
|
Può filtrare host |
|
Può filtrare percorsi in URL |
|
Può filtrare stringhe di query negli URL |
|
Può filtrare pacchetti |
|
Può filtrare protocolli diversi da http |
|
Considerazioni sull’architettura di rete | Il traffico viene instradato attraverso un proxy, che può avere impatto sulla latenza di rete e sul throughput. |
Configurazione proxy di rete
Un server proxy agisce come intermediario tra l’utente di un singolo computer e internet, in modo che la rete garantisca sicurezza, controllo amministratore e servizio cache. Utilizza il payload MDM Proxy per configurare le impostazioni del proxy per i Mac registrati a una soluzione di gestione dei dispositivi mobili (MDM). Questo payload supporta la configurazione dei proxy per i seguenti protocolli:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Per ulteriori informazioni, consulta Impostazioni MDM per la configurazione del proxy di rete.
Funzionalità | Supporto |
|---|---|
Richiede supervisione su iPhone e iPad |
|
Richiede supervisione su Mac |
|
Fornisce visibilità all’organizzazione |
|
Può filtrare host |
|
Può filtrare percorsi in URL |
|
Può filtrare stringhe di query negli URL |
|
Può filtrare pacchetti |
|
Può filtrare protocolli diversi da http | Alcuni protocolli. |
Considerazioni sull’architettura di rete | Il traffico viene instradato attraverso un proxy, che può avere impatto sulla latenza di rete e sul throughput. |
Payload MDM per proxy DNS
Puoi configurare le impostazioni per il payload DNS Proxy per gli utenti degli iPhone, degli iPad, dei Mac e degli Apple Vision Pro registrati a una soluzione di gestione dei dispositivi mobili (MDM). Utilizza il payload “Proxy DNS” per specificare le app che devono usare le estensioni di rete proxy DNS e i valori specifici del fornitore. L’uso di questo payload richiede un’app di accompagnamento che viene specificata utilizzando l’identificatore del pacchetto dell’app (detto anche ID pacchetto).
Per ulteriori informazioni, consulta Impostazioni del payload MDM “Proxy DNS”.
Funzionalità | Supporto |
|---|---|
Supporto per Apple Vision Pro |
|
Richiede supervisione su iPhone e iPad | Prima di iOS 15 e iPadOS 15, è richiesta la supervisione. In iOS 15 e iPadOS 15 o versioni successive, questo payload non è supervisionato e deve essere installato utilizzando una soluzione MDM. |
Richiede supervisione su Mac |
|
Fornisce visibilità all’organizzazione |
|
Può filtrare host |
|
Può filtrare percorsi in URL |
|
Può filtrare stringhe di query negli URL |
|
Può filtrare pacchetti |
|
Può filtrare protocolli diversi da http | Solo per ricerche DNS. |
Considerazioni sull’architettura di rete | Impatto minimo sulle prestazioni di rete. |
Payload MDM “Impostazioni DNS”
Puoi configurare le impostazioni per il payload delle impostazioni DNS per gli utenti degli iPhone, degli iPad (inclusi gli iPad condivisi), dei Mac e degli Apple Vision Pro registrati in una soluzione MDM. In particolare, questo payload è usato per configurare DNS su HTTP (noto anche come DoH) o DNS su TLS (noto anche come DoT). Questa operazione migliora la privacy dell’utente crittografando il traffico DNS e può anche essere utilizzata per sfruttare i servizi DNS filtrati. Il payload può identificare specifiche query DNS che utilizzano i server DNS specificati o può essere applicato a tutte le query DNS. Il payload può anche specificare gli SSID Wi-Fi i cui server DNS specificati vengono utilizzati per le query.
Nota: quando l’installazione è stata effettuata tramite MDM, l’impostazione viene applicata unicamente alle reti Wi-Fi gestite.
Per ulteriori informazioni, consulta DNS Settings MDM payload settings e DNSSettings sul sito web Apple Developer.
Funzionalità | Supporto |
|---|---|
Supporto per Apple Vision Pro |
|
Richiede supervisione su iPhone e iPad | La configurazione può essere bloccata sui dispositivi supervisionati. La configurazione può essere disabilitata mediante un’app VPN, se consentito da MDM (dispositivi supervisionati). |
Richiede supervisione su Mac | La configurazione può essere bloccata sui dispositivi supervisionati. La configurazione può essere disabilitata mediante un’app VPN, se consentito da MDM (dispositivi supervisionati). |
Fornisce visibilità all’organizzazione |
|
Può filtrare host |
|
Può filtrare percorsi in URL |
|
Può filtrare stringhe di query negli URL |
|
Può filtrare pacchetti |
|
Può filtrare protocolli diversi da http | Solo per ricerche DNS. |
Considerazioni sull’architettura di rete | Impatto minimo sulle prestazioni di rete. |
Fornitori di filtri dei contenuti
iOS, iPadOS e macOS supportano plugin per il filtro avanzato dei contenuti relativi al traffico web e socket. Un filtro dei contenuti di rete sul dispositivo esamina i contenuti di rete degli utenti mentre passano attraverso lo stack di rete. Il filtro dei contenuti determina quindi se deve bloccare quel contenuto o permettergli di passare alla sua destinazione finale. I fornitori di filtri di contenuto vengono forniti tramite un’app installata usando MDM. La privacy dell’utente è protetta perché il fornitore di dati del filtro funziona in una sandbox restrittiva. Le regole di filtraggio possono essere aggiornate dinamicamente dal fornitore di controllo dei filtri implementato nell’app.
Per ulteriori informazioni, consulta Content Filter Providers sul sito web Apple Developer.
Funzionalità | Supporto |
|---|---|
Richiede supervisione su iPhone e iPad | L’app deve essere installata sul dispositivo iOS e iPadOS dell’utente e l’eliminazione può essere impedita, se il dispositivo è supervisionato. |
Richiede supervisione su Mac |
|
Fornisce visibilità all’organizzazione |
|
Può filtrare host |
|
Può filtrare percorsi in URL |
|
Può filtrare stringhe di query negli URL |
|
Può filtrare pacchetti |
|
Può filtrare protocolli diversi da http |
|
Considerazioni sull’architettura di rete | Il traffico viene filtrato sul dispositivo in modo che non si verifichi alcun impatto. |
Tunnel pacchetto/VPN
Quando i dispositivi inviano il traffico di rete attraverso una VPN o un network tunnel con pacchetti, l’attività di rete può essere monitorata e filtrata. Questa configurazione è simile ai dispositivi che sono direttamente collegati a una rete dove il traffico tra la rete privata e internet è monitorato e filtrato.
Funzionalità | Supporto |
|---|---|
Richiede supervisione su iPhone e iPad |
|
Richiede supervisione su Mac |
|
Fornisce visibilità all’organizzazione |
|
Può filtrare host | Solo traffico filtrato tramite le connessioni di rete private. |
Può filtrare percorsi in URL | Solo traffico filtrato tramite le connessioni di rete private. |
Può filtrare stringhe di query negli URL | Solo traffico filtrato tramite le connessioni di rete private. |
Può filtrare pacchetti |
|
Può filtrare protocolli diversi da http |
|
Considerazioni sull’architettura di rete | Il traffico viene instradato attraverso una rete privata, cosa che può avere impatto sulla latenza di rete e sul throughput. |