為 Apple 裝置過濾內容

iOS、iPadOS、macOS 和 visionOS 1.1 支援多種形式的內容過濾，包括限制取用、全域 HTTP 代理、已過濾的 DNS、DNS 代理及進階內容過濾。

設定內置內容過濾器

Apple 裝置可以將 Safari 和第三方 App 限制至特定網站。具有簡單或有限制內容過濾需求的機構可使用此功能。具有複雜或法律限制內容過濾需求的機構，應使用全域 HTTP 代理或由第三方內容過濾 App 提供的進階內容過濾的選項。

流動裝置管理（MDM）解決方案可透過以下選項設定內置過濾器：

所有網站： 網站內容不會過濾。
限制成人內容： 自動限制對許多成人網站的連接。
已封鎖的網站： 允許取用所有網站，除非網站位於可自訂的封鎖列表上。
只特定網站： 限制對預先定義之網站的連接（可加以自訂）。

iOS、iPadOS 和 visionOS 1.1 中的內置過濾器使用 WebContentFilter 承載資料設定，而 macOS 中的則使用 ParentalControlsContentFilter 承載資料設定。透過 MDM 管理內置過濾器亦會限制 Safari 中的連接，以清除瀏覽記錄和網站資料。

使用 TLS/SSL 偵測的全域 HTTP 代理

Apple 裝置支援全域 HTTP 代理配置。全域 HTTP 代理會透過指定代理伺服器，或透過跨所有 Wi-Fi、流動數據和乙太網絡套用的設定，遞送多數裝置 Web 流量。此功能通常由幼稚園及中小學或企業使用（用户在此情況下會將裝置帶回家），以在機構持有的一對一部署中進行互聯網內容過濾。此功能可允許同時在學校或公司以及住家中過濾裝置。全域 HTTP 代理會要求 iPhone、iPad 和 Apple TV 裝置必須受到監管。如需更多資料，請參閲：關於 Apple 裝置監管和全域 HTTP 代理 MDM 承載資料設定。

你可能需要進行網絡變更以支援全域 HTTP 代理。在規劃你環境的全域 HTTP 代理時，請考量下列選項並與你的內容過濾供應商合作來進行配置：

外部存取能力： 如裝置位於機構網絡外且要進行連接時，機構的代理伺服器必須可進行外部連接。
代理 PAC： 全域 HTTP 代理支援手動代理配置，方法是指定代理伺服器的 IP 位址或 DNS 名稱，或者其支援使用代理 PAC URL 來自動配置。代理 PAC 檔案設定可以指示用户端自動選擇適當的代理伺服器以截取指定 URL，包括在需要時繞過代理。請考慮使用 PAC 檔案來取得更大的彈性。
限制性 Wi-Fi 相容性： 全域 HTTP 代理配置可以允許用户端暫時繞過代理配置，以加入限制性 Wi-Fi 網絡。這會要求用户先同意條款或透過網站提供付款，再提供互聯網連接。限制性 Wi-Fi 網絡通常會在公共圖書館、快餐店、咖啡店和其他公共地點使用。
配搭快取服務使用代理： 當用户端使用快取服務時，請考慮使用 PAC 檔案來設定要控制的用户端。設定錯誤的過濾計劃可能會造成用户端繞過你機構網絡上的快取服務，或當裝置位於用户家中時，意外使用快取服務取得內容。
Apple 產品和代理服務： Apple 服務會停用任何使用「HTTPS 偵測」（「SSL/TLS 偵測」）的連線。如果 HTTPS 流量穿越網絡代理，你必須停用列於以下 Apple 支援文章的「HTTPS 偵測」：在企業網絡使用 Apple 產品。

附註：部份 App（如 FaceTime）不會使用 HTTP 連線，且無法由 HTTP 代理伺服器進行代理，藉此繞過全域 HTTP 代理。你可以透過進階內容過濾來管理不使用 HTTP 連線的 App。

功能	支援
需要 iPhone 和 iPad 的監管
需要 Mac 的監管
提供機構可見性
可以過濾主機
可以過濾 URL 中的路徑
可以過濾 URL 中的查詢字串
可以過濾封包
可以過濾 http 以外的通訊協定
網絡結構考量	流量會通過代理，其可能會影響網絡延遲和流通量。

網絡代理設定

代理伺服器的作用是單一電腦用户與互聯網之間的媒介，可以確保網絡安全、管理控制以及執行快取服務。你可以使用「代理」MDM 承載資料來設定已註冊流動裝置管理（MDM）解決方案的 Mac 電腦之代理設定。此承載資料支援為下列通訊協定設定代理：

HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher

如需更多資料，請參閲：網絡代理設定的 MDM 設定。

功能	支援
需要 iPhone 和 iPad 的監管
需要 Mac 的監管
提供機構可見性
可以過濾主機
可以過濾 URL 中的路徑
可以過濾 URL 中的查詢字串
可以過濾封包
可以過濾 http 以外的通訊協定	部份通訊協定。
網絡結構考量	流量會通過代理，其可能會影響網絡延遲和流通量。

「DNS 代理」MDM 承載資料

你可以配置已註冊流動裝置管理（MDM）解決方案的 iPhone、iPad、Mac 和 Apple Vision Pro 裝置之用户的「DNS 承載資料」設定。使用「DNS 代理」承載資料來指定必須使用 DNS 代理網絡延伸功能和廠商特定值的 App。使用此承載資料需要一個已指定使用 App 的套裝識別碼（又稱為套裝 ID）之附隨 App。

如需更多資料，請參閲：「DNS 代理」MDM 承載資料設定。

功能	支援
Apple Vision Pro 的支援
需要 iPhone 和 iPad 的監管	在 iOS 15 和 iPadOS 15 之前，需要有監管。在 iOS 15 和 iPadOS 15 或較新版本中，此承載資料不會受監管，且必須使用 MDM 解決方案來安裝。
需要 Mac 的監管
提供機構可見性
可以過濾主機
可以過濾 URL 中的路徑
可以過濾 URL 中的查詢字串
可以過濾封包
可以過濾 http 以外的通訊協定	只限 DNS 查詢。
網絡結構考量	對網絡效能的影響最少。

「DNS 設定」MDM 承載資料

你可以配置已註冊 MDM 解決方案的 iPhone、iPad（包括「共用的 iPad」）、Mac 和 Apple Vision Pro 裝置之用户的「DNS 設定」承載資料設定。具體來說，此承載資料是用於透過 HTTP（也被稱為 DoH）配置 DNS，或透過 TLS（也被稱為 DoT）配置 DNS。這樣可以透過加密 DNS 流量來加強用户的私隱，也可以被用來利用已過濾的 DNS 服務。承載資料可以識別使用特定 DNS 伺服器的特定 DNS 查詢，或可套用至所有 DNS 查詢的 DNS 伺服器。承載資料也可以指定使用其指定 DNS 伺服器進行查詢的 Wi-Fi SSID。

附註：使用 MDM 安裝時，設定只會套用到受管理的 Wi-Fi 網絡。

如需更多資料，請參閲 Apple 開發者網站上的「DNS 設定」MDM 承載資料設定和 DNSSettings。

功能	支援
Apple Vision Pro 的支援
需要 iPhone 和 iPad 的監管	可以在受監管的裝置上鎖定配置。如獲 MDM 允許（受監管的裝置），配置可被 VPN App 覆蓋。
需要 Mac 的監管	可以在受監管的裝置上鎖定配置。如獲 MDM 允許（受監管的裝置），配置可被 VPN App 覆蓋。
提供機構可見性
可以過濾主機
可以過濾 URL 中的路徑
可以過濾 URL 中的查詢字串
可以過濾封包
可以過濾 http 以外的通訊協定	只限 DNS 查詢。
網絡結構考量	對網絡效能的影響最少。

內容過濾器提供者

iOS、iPadOS 和 macOS 支援使用外掛程式來對網絡和封包流量進行內容過濾。裝置端網絡內容過濾器會在網絡內容經過網絡疊時檢查用户的網絡內容。然後內容過濾器會決定其應封鎖該內容，或允許內容通過以前往其最終的目的地。內容過濾器提供者是透過使用 MDM 安裝的 App 來分派。因為內容過濾器提供者只會在有限制的沙盒來運作，所以用户的私隱會受到保障。過濾規則可以由已在 App 中套用的過濾器控制提供者動態更新。

如需更多資料，請參閲 Apple 開發者網站中的內容過濾器提供者。

功能	支援
需要 iPhone 和 iPad 的監管	App 必須在用户的 iOS 和 iPadOS 裝置上安裝，且如果裝置為受監管﹐可以避免 App 被刪除。
需要 Mac 的監管
提供機構可見性
可以過濾主機
可以過濾 URL 中的路徑
可以過濾 URL 中的查詢字串
可以過濾封包
可以過濾 http 以外的通訊協定
網絡結構考量	流量會在裝置上過濾，所以不會受網絡影響。

VPN/封包通道

裝置透過 VPN 或封包通道網絡活動傳送網絡流量時可受到監控和過濾。此配置類似直接連接到網絡的裝置，私有網絡間的流量和互聯絡在該處會受到監控和過濾。

功能	支援
需要 iPhone 和 iPad 的監管	除了「總是開啟 VPN」（其不要求監管）
需要 Mac 的監管
提供機構可見性
可以過濾主機	流量只會透過私有網絡線進行過濾。流量只會透過私有網絡連線進行過濾。
可以過濾 URL 中的路徑	流量只會透過私有網絡線進行過濾。流量只會透過私有網絡連線進行過濾。
可以過濾 URL 中的查詢字串	流量只會透過私有網絡線進行過濾。流量只會透過私有網絡連線進行過濾。
可以過濾封包
可以過濾 http 以外的通訊協定
網絡結構考量	流量會通過私有網絡，其可能會影響網絡延遲和流通量。

也請參閲Apple 平台保安：平台保護教育版 Apple 部署指南

有幫助？

Apple 平台部署