Einstellungen der MDM-Payload „Webinhaltsfilter“ für Apple-Geräte
Im Folgenden erfährst du, wie du für Benutzer von iPhone-, iPad- oder Mac-Geräten, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind, den Zugriff auf Websites unterbinden bzw. den Zugriff nur auf bestimmte Websites erlauben kannst. Mit der Payload „Webinhaltsfilter“ lässt sich angeben, welche Websites auf dem Gerät angezeigt werden können. Nicht jugendfreie Inhalte können automatisch gefiltert und der Zugriff auf bestimmte Websites erlaubt bzw. verweigert werden. Du kannst ein Gerät auch so einrichten dass nur bestimmte Websites angezeigt werden können, und Lesezeichen für die betreffenden Websites erstellen. In macOS 10.15 (oder neuer) hast du außerdem folgende Möglichkeiten:
Daten filtern
Pakete filtern
Typ der Filterklasse festlegen: Firewall oder Informationsfenster
iOS und iPadOS unterstützen insgesamt acht Inhaltsfilter. Nur ein Filter ist für die systemweite Verwendung verfügbar.
macOS unterstützt insgesamt vier Firewall-taugliche Inhaltsfilter und vier Informations-taugliche Filter. Sämtliche Filter sind für die systemweite Verwendung verfügbar.
Die Payload „Webinhaltsfilter“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Nicht unterstützte Payload-ID: com.apple.webcontent-filter
Unterstützte Betriebssysteme und Kanäle: iOS, iPadOS, Geteiltes iPad-Gerät, macOS-Gerät, visionOS 1.1.
Unterstützte Registrierungstypen: Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – jede Payload benötigt eine eindeutige UUID für Inhaltsfilter.
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „Webinhaltsfilter“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Zugelassene URLs | Füge der Liste die URLs der Websites hinzu, deren Besuch erlaubt sein soll, auch wenn sie vom automatischen Filter als Erwachsenenseiten eingestuft werden. Wenn diese Liste leer ist, ist der Zugriff auf alle Websites möglich, die nicht als Sites mit Erwachseneninhalten klassifiziert sind, mit Ausnahme der Websites in der Liste der verweigerten URLs. Hinweis: Apple-eigene Websites, die mit .apple.com und .icloud.com enden, sind immer zugänglich, auch wenn sie sich nicht in der Liste der erlaubten URLs befinden. | Nein | |||||||||
Verweigerte URLs | Füge der Liste die URLs der Websites hinzu, deren Besuch verhindert werden soll. Benutzer können diese Sites nicht besuchen, selbst wenn sie vom automatischen Filter nicht als Erwachsenenseiten eingestuft werden. Hinweis: Wenn eine Einschränkung verweigerte URLs enthält, werden sämtliche URLs aus der Liste „Erlaubte URLs“ entfernt, die im Widerspruch zur Liste der verweigerten URLs stehen. | Nein | |||||||||
Inhaltsfilter-UUID iOS 16 (oder neuer) iPadOS 16.1 (oder neuer) | Eine global eindeutige ID für diese Inhaltsfilter-Konfiguration. Für verwaltete Apps, deren App-Attribute dieselbe Inhaltsfilter-UUID enthalten, wird der Netzwerkverkehr vom Proxy verarbeitet. | Nein | |||||||||
Nur bestimmte Websites | Füge die Websites hinzu, deren Besuch Benutzern erlaubt sein soll. Gib die URL der jeweiligen Website in die Spalte „URL“ ein. Gib in die Spalte „Name“ den Namen für das Lesezeichen ein. | Nein | |||||||||
Plug-in | Erstelle angepasste Einstellungen, um eine Verbindung zu Inhaltsfiltern von Drittanbietern herzustellen und sich zu authentifizieren. | Nein | |||||||||
Filtertyp | Integriert oder Plug-in (Für macOS muss ein Plug-in verwendet werden.) | Nein | |||||||||
Filtername | Dies ist der Name, mit dem der Filter in der App und auf dem Gerät angezeigt wird. | Ja | |||||||||
ID | Dies ist die Kennung für den Plug-in-Filter. | Ja | |||||||||
Dienstadresse | Dies ist die IP-Adresse, der vollständig qualifizierte Domain-Name (FQDN) oder die URL des Dienstes. | Nein | |||||||||
Organisation | Dies ist der Name der Organisation für den Dienst. | Nein | |||||||||
Benutzername | Dies ist der Benutzername, der für die Authentifizierung gegenüber dem Dienst verwendet wird. | Nein | |||||||||
Benutzerpasswort | Dies ist das zum Benutzernamen zugehörige Passwort. | Nein | |||||||||
Zertifikat | Dies ist die Payload „Zertifikate“, die für die Autorisierung der Verbindungen zu dem Dienst verwendet wird. | Nein |
URL-Struktur und -Beispiele
Achte darauf, dass URL-Einträge mit „https://“ oder mit „http://“ beginnen. Füge bei Bedarf zwei separate Einträge für die „https://“- und für die „http://“-Version einer URL ein. Diese Einstellungen können auf iPhone- und iPad-Geräten nicht bearbeitet werden, wenn das auf dem Gerät installierte Konfigurationsprofil Einschränkungen für Inhalte vorsieht. Wenn eine zugelassene oder abgelehnte URL an eine andere URL weitergeleitet wird, muss die weitergeleitete URL ebenfalls hinzugefügt werden.
Das System vergleicht URLs mittels eines string-basierten Abgleichs. Eine URL stimmt mit einer erlaubten oder abgelehnten Liste oder einem erlaubten Listenmuster überein, wenn die exakten Zeichen des Musters als Substing der im Webbrowser angeforderten URL erscheinen. Wenn das System beispielsweise „betterbag.com/a“ nicht erlaubt, werden Einträge wie „betterbag.com/a“, „betterbag.com/apple“ und „betterbag.com/a/b“ blockiert. Listeneinträge, die mit einem Schrägstrich (/) enden, werden explizit aufeinander abgestimmt. Wenn das System beispielsweise Einträge wie „betterbag.com/a/“ zulässt oder blockiert, werden auch Einträge wie „betterbag.com/a“ und „betterbag.com/a/b“ zugelassen oder blockiert. Die Abgleichung schließt Subdomain-Präfixe wie „www“ (falls vorhanden) aus. Die Einträge „betterbag.com“ und „www.betterbag.com“ werden folglich gleich behandelt.
Beispielliste „Erlauben“
Beschreibung | Beispiele |
---|---|
Um die gesamte Domain (inkl. aller Subdomains und Unterpfade) zuzulassen, füge die oberste Ebene der Domain-URL hinzu. | https://betterbag.com/ oder https://www.betterbag.com |
Um den Zugriff nach Subpfad festzulegen, füge die jeweiligen Unterpfade hinzu. Hinweis: Durch Festlegen von Unterpfaden wird der Zugriff auf die oberste Domain-Ebene dennoch zugelassen. Dieses Format funktioniert wie ein Platzhalter, um sicherzustellen, dass alle Unterpfade mit dem definierten Zeichen beginnen. | https://betterbag.com/a lässt https://betterbag.com/apple, https://betterbag.com/about, https://betterbag.com/a/b usw. zu. |
Durch das Beenden einer URL mit einem Schrägstrich (/) wird die URL ausdrücklich als „übereinstimmend“ gewertet. | https://betterbag.com/a/ lässt https://betterbag.com/a/b usw. zu. |
Durch Festlegen von Subdomains wird der Zugriff auf die oberste Domain-Ebene nicht erlaubt. Beide müssen enthalten sein. | https://about.betterbag.com hat keinen Einfluss auf die Zulassung von https://betterbag.com, https://blog.betterbag.com usw. |
Beispielliste „Ablehnen“
Beschreibung | Beispiele |
---|---|
Um die komplette Domain (inkl. aller Unterdomains und Unterpfade) zu blockieren, füge die oberste Domain-URL hinzu. | https://betterbag.com/ oder https://www.betterbag.com |
Um den Zugriff nach Subpfad festzulegen, füge die jeweiligen Unterpfade hinzu. Hinweis: Durch Festlegen von Unterpfaden wird der Zugriff nur auf diesen Unterpfad blockiert; der Zugriff auf die oberste Domain-Ebene wird dennoch zugelassen. Dieses Format funktioniert wie ein Platzhalter, um alle Unterpfade mit dem definierten Zeichen zu blockieren. | https://betterbag.com/a blockiert https://betterbag.com/apple, https://betterbag.com/about, https://betterbag.com/a/b usw. |
Durch das Beenden einer URL mit einem Schrägstrich (/) wird die URL ausdrücklich als „übereinstimmend“ gewertet. | https://betterbag.com/a/ blockiert https://betterbag.com/a/b usw. |
Durch Festlegen von Unterdomains wird der Zugriff auf die oberste Domain-Ebene nicht blockiert. Beide müssen enthalten sein. | https://about.betterbag.com hat keinen Einfluss auf die Blockierung von https://betterbag.com, https://blog.betterbag.com usw. |
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie Einstellungen der MDM-Payload „Webinhaltsfilter“ auf die verwendeten Geräte angewendet werden.