Appleデバイス向けのコンテンツをフィルタリングする
iOS、iPadOS、macOS、およびvisionOS 1.1は、制限、グローバルHTTPプロキシ、フィルタリングされたDNS、DNSプロキシ、および高度なコンテンツフィルタリングなど、複数のコンテンツフィルタリングの形式に対応しています。
内蔵のコンテンツフィルタを構成する
Appleデバイスでは、Safariおよび他社製アプリからのアクセスを特定のWebサイトだけに制限できます。コンテンツフィルタリングのニーズが単純または限定的な組織で、この機能を使用できます。コンテンツフィルタリングの要件が複雑または法律で決められている組織は、グローバルHTTPプロキシ、または他社製コンテンツフィルタリングアプリが提供する高度なコンテンツフィルタリングのオプションを使用してください。
モバイルデバイス管理(MDM)ソリューションでは内蔵フィルタを以下のオプションで構成できます:
すべてのWebサイト: Webコンテンツはフィルタリングされません。
アダルトコンテンツを制限: 多くのアダルトサイトへのアクセスを自動的に制限します。
ブロックされたサイト: カスタマイズ可能なブロックリストにあるWebサイトを除き、すべてのWebサイトへのアクセスを許可します。
指定したWebサイトのみ: あらかじめ指定したWebサイトにアクセスを制限します。Webサイトの指定はカスタマイズできます。
内蔵フィルタは、iOS、iPadOS、およびvisionOS 1.1ではWebContentFilterペイロードを、macOSではParentalControlsContentFilterペイロードを使用して構成されます。MDMによって内蔵フィルタを管理することで、Safari内のアクセスもブラウズ履歴の消去とWebサイトデータに制限されます。
TLS/SSLインスペクションを行うグローバルHTTPプロキシ
AppleデバイスはグローバルHTTPプロキシ構成に対応しています。グローバルHTTPプロキシでは、デバイスのほとんどのWebトラフィックが、指定したプロキシサーバを経由するか、すべてのWi-Fiネットワーク、モバイルデータ通信ネットワーク、およびEthernetネットワークに適用される設定を使用してルーティングされます。この機能は、一般的に、組織所有(1人1台)導入モデルを採用している幼稚園や学校または会社でデバイスを自宅に持ち帰る場合に、インターネットのコンテンツフィルタリングのために使用されます。この構成では、学校や職場と自宅の両方でデバイスをフィルタリングできます。グローバルHTTPプロキシを適用するには、iPhone、iPad、およびApple TVデバイスを監視対象にする必要があります。詳しくは、Appleデバイスの監視についておよびグローバルHTTPプロキシMDMペイロードの設定を参照してください。
グローバルHTTPプロキシをサポートするには、ネットワークの変更が必要になる場合があります。お使いの環境でグローバルHTTPプロキシの使用を計画するときは、以下のオプションを検討してください。また、構成についてはフィルタリングベンダーと協力してください:
外部からのアクセス: 組織のネットワーク外にあるときでもデバイスからプロキシサーバにアクセスする場合は、組織のプロキシサーバを外部からもアクセス可能にする必要があります。
プロキシPAC: グローバルHTTPプロキシは、手動プロキシ構成(プロキシサーバのIPアドレスまたはDNS名を指定)および自動構成(プロキシPACのURLを使用)に対応しています。プロキシPACファイル構成を使うと、URLをフェッチするときに適切なプロキシサーバを自動的に選択するようにクライアントに命令できるほか、必要に応じてプロキシをバイパスさせることもできます。柔軟性を高める場合は、PACファイルの使用を検討してください。
キャプティブWi-Fiとの両立: グローバルHTTPプロキシ構成では、キャプティブWi-Fiネットワークに接続するためにクライアントが一時的にプロキシ設定をバイパスすることを許可できます。この場合、ユーザが利用規約に同意したりWebサイトを通じて支払いを行ったりしないと、インターネットアクセスが付与されません。一般的にキャプティブWi-Fiネットワークは、公共の図書館、ファストフード店、カフェなどの公共の場所にあります。
キャッシュサービスでプロキシを使用: クライアントがキャッシュサービスを使用する場面を制御するには、PACファイルを使ってクライアントを構成することを検討してください。フィルタリングソリューションの構成を誤ると、組織のネットワークに接続しているのにクライアントがキャッシュサービスをバイパスしたり、ユーザが自宅でデバイスを使用しているときに意図せずキャッシュサービスを使用してコンテンツにアクセスしたりする問題が発生する可能性があります。
Apple製品とプロキシサービス: Appleサービスでは、HTTPS通信監視(SSL/TLSインスペクション)を行う接続は無効になります。HTTPSトラフィックがWebプロキシを経由する場合は、Appleのサポート記事「エンタープライズネットワークでApple製品を使う」で紹介しているホストに対してHTTPS通信監視を無効にする必要があります。
注記: FaceTimeなどの一部のアプリはHTTP接続を使用しないため、HTTPプロキシサーバによってプロキシされず、グローバルHTTPプロキシがバイパスされます。HTTP接続を使用しないアプリは、高度なコンテンツフィルタリングで管理できます。
機能 | 対応 |
|---|---|
iPhoneとiPadでの監視を必須にします |
|
Macでの監視を必須にします |
|
組織での可視性を提供する |
|
ホストのフィルタリングが可能 |
|
URL内のパスのフィルタリングが可能 |
|
URL内のクエリー文字列のフィルタリングが可能 |
|
パケットのフィルタリングが可能 |
|
HTTP以外のプロトコルのフィルタリングが可能 |
|
ネットワークアーキテクチャに関する検討事項 | トラフィックがプロキシ経由でルーティングされるため、ネットワークのレイテンシとスループットに影響する可能性があります。 |
ネットワークプロキシ構成
プロキシサーバは、特定のコンピュータユーザとインターネットとの間の仲介として機能するため、ネットワークのセキュリティ、管理操作、およびキャッシュサービスを制御できます。プロキシMDMペイロードでは、MDM(モバイルデバイス管理)ソリューションに登録されているMacコンピュータのプロキシ設定を構成できます。このペイロードは、以下のプロトコルのプロキシの構成をサポートしています:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
詳しくは、ネットワークプロキシ構成のMDM設定を参照してください。
機能 | 対応 |
|---|---|
iPhoneとiPadでの監視を必須にします |
|
Macでの監視を必須にします |
|
組織での可視性を提供する |
|
ホストのフィルタリングが可能 |
|
URL内のパスのフィルタリングが可能 |
|
URL内のクエリー文字列のフィルタリングが可能 |
|
パケットのフィルタリングが可能 |
|
HTTP以外のプロトコルのフィルタリングが可能 | 一部のプロトコル。 |
ネットワークアーキテクチャに関する検討事項 | トラフィックがプロキシ経由でルーティングされるため、ネットワークのレイテンシとスループットに影響する可能性があります。 |
DNSプロキシMDMペイロード
モバイルデバイス管理(MDM)ソリューションに登録されているiPhone、iPad、Mac、およびApple Vision ProデバイスのユーザのDNSプロキシペイロードの設定を構成できます。DNSプロキシペイロードを使用して、DNSプロキシネットワーク機能拡張およびベンダー固有値を使用する必要があるアプリを指定します。このペイロードを使用するには、アプリのバンドル識別子(バンドルIDとも呼ばれます)を使用して指定された付随アプリが必要です。
詳しくは、「DNSプロキシMDMペイロードの設定」を参照してください。
機能 | 対応 |
|---|---|
Apple Vision Proの対応 |
|
iPhoneとiPadでの監視を必須にします | iOS 15およびiPadOS 15より前では、監視は必須です。 iOS 15およびiPadOS 15以降では、このペイロードは監視対象ではなく、MDMソリューションを使用してインストールする必要があります。 |
Macでの監視を必須にします |
|
組織での可視性を提供する |
|
ホストのフィルタリングが可能 |
|
URL内のパスのフィルタリングが可能 |
|
URL内のクエリー文字列のフィルタリングが可能 |
|
パケットのフィルタリングが可能 |
|
HTTP以外のプロトコルのフィルタリングが可能 | DNSルックアップの場合のみ。 |
ネットワークアーキテクチャに関する検討事項 | ネットワークのパフォーマンスへの影響が最小です。 |
DNS設定MDMペイロード
MDMソリューションに登録されているiPhone、iPad(共有iPadを含みます)、Mac、およびApple Vision ProデバイスのユーザのDNS設定ペイロードの設定を構成できます。具体的には、このペイロードは、DNS over HTTP(DoHとも呼ばれます)またはDNS over TLS(DoTとも呼ばれます)を構成するために使用されます。そうすることで、DNSトラフィックが暗号化されてユーザのプライバシーが強化されます。フィルタリングされたDNSサービスを活用するために利用することもできます。このペイロードは、指定されたDNSサーバを使用する特定のDNSクエリーを識別するか、すべてのDNSクエリーに適用することができます。また、指定されたDNSサーバがクエリーに使用されるWi-Fi SSIDを指定することもできます。
注記: MDMを使ってインストールするときは、設定は管理対象Wi-Fiネットワークのみに適用されます。
詳しくは、Apple Developer Webサイトの「DNS設定MDMペイロードの設定」および「DNSSettings」(英語)を参照してください。
機能 | 対応 |
|---|---|
Apple Vision Proの対応 |
|
iPhoneとiPadでの監視を必須にします | 監視対象デバイスでは構成をロックできます。 MDMで許可されている場合、VPNアプリで構成を上書きできます(監視対象デバイスの場合)。 |
Macでの監視を必須にします | 監視対象デバイスでは構成をロックできます。 MDMで許可されている場合、VPNアプリで構成を上書きできます(監視対象デバイスの場合)。 |
組織での可視性を提供する |
|
ホストのフィルタリングが可能 |
|
URL内のパスのフィルタリングが可能 |
|
URL内のクエリー文字列のフィルタリングが可能 |
|
パケットのフィルタリングが可能 |
|
HTTP以外のプロトコルのフィルタリングが可能 | DNSルックアップの場合のみ。 |
ネットワークアーキテクチャに関する検討事項 | ネットワークのパフォーマンスへの影響が最小です。 |
コンテンツフィルタプロバイダ
iOS、iPadOS、およびmacOSは、Webおよびソケットトラフィックの高度なコンテンツフィルタリング用のプラグインに対応しています。デバイス上のネットワークコンテンツフィルタは、ネットワークスタックを通過するユーザネットワークコンテンツを検査します。そのあと、コンテンツフィルタは、そのコンテンツをブロックするか、最終宛先に渡すことを許可するかを決定します。コンテンツフィルタプロバイダは、MDMを使用してインストールされたアプリを介して配信されます。フィルタデータプロバイダは制限付きのサンドボックスで実行されるため、ユーザのプライバシーは保護されます。フィルタリングルールは、アプリに実装されているフィルタ制御プロバイダによって動的にアップデートできます。
詳しくは、Apple Developer Webサイトの「コンテンツフィルタプロバイダ」(英語)を参照してください。
機能 | 対応 |
|---|---|
iPhoneとiPadでの監視を必須にします | iOSおよびiPadOSデバイスにアプリをインストールする必要があり、デバイスが監視対象の場合は削除されることを防止できます。 |
Macでの監視を必須にします |
|
組織での可視性を提供する |
|
ホストのフィルタリングが可能 |
|
URL内のパスのフィルタリングが可能 |
|
URL内のクエリー文字列のフィルタリングが可能 |
|
パケットのフィルタリングが可能 |
|
HTTP以外のプロトコルのフィルタリングが可能 |
|
ネットワークアーキテクチャに関する検討事項 | トラフィックはデバイス上でフィルタされるため、ネットワークへの影響はありません。 |
VPN/パケットトンネル
デバイスがVPNまたはパケットトンネルを介してネットワークトラフィックを送信するときに、ネットワークアクティビティを監視およびフィルタリングできます。この構成は、プライベートネットワークとインターネット間のトラフィックが監視およびフィルタリングされるネットワークに直接接続されているデバイスと同様です。
機能 | 対応 |
|---|---|
iPhoneとiPadでの監視を必須にします |
|
Macでの監視を必須にします |
|
組織での可視性を提供する |
|
ホストのフィルタリングが可能 | トラフィックはプライベートネットワーク接続経由でのみフィルタリングされます。 |
URL内のパスのフィルタリングが可能 | トラフィックはプライベートネットワーク接続経由でのみフィルタリングされます。 |
URL内のクエリー文字列のフィルタリングが可能 | トラフィックはプライベートネットワーク接続経由でのみフィルタリングされます。 |
パケットのフィルタリングが可能 |
|
HTTP以外のプロトコルのフィルタリングが可能 |
|
ネットワークアーキテクチャに関する検討事項 | トラフィックがプライベートネットワーク経由でルーティングされるため、ネットワークのレイテンシとスループットに影響する可能性があります。 |