過濾 Apple 裝置的內容
iOS、iPadOS、macOS 和 visionOS 1.1 支援多種形式的內容過濾,包含限制、全域 HTTP 代理伺服器、已過濾的 DNS、DNS 代理伺服器及進階內容過濾。
設定內建的內容過濾器
Apple 裝置可限制 Safari 和第三方 App 連接特定網站。具有簡單或有限制內容過濾需求的組織可使用此功能。具有複雜或法律限制內容過濾需求的組織應使用第三方內容過濾 App 提供的全域 HTTP 代理伺服器或進階內容過濾的選項。
行動裝置管理(MDM)解決方案可以設定包含下列選項的內建過濾器:
所有網站:網站內容不會過濾。
限制成人內容:自動限制對許多成人網站的連接。
已封鎖的站台:允許取用所有網站,除非網站在可自訂的封鎖列表中。
僅特定網站:限制對預先定義之網站的連接(可加以自訂)。
內建過濾器會使用 iOS、iPadOS 和 visionOS 1.1
中的 WebContentFilter 承載資料以及 macOS 中的 ParentalControlsContentFilter
承載資料設定。透過 MDM 管理內建過濾器也會限制 Safari 中的存取權限,以清除瀏覽記錄和網站資料。
包含 TLS/SSL 檢查的全域 HTTP 代理伺服器
Apple 裝置支援全域 HTTP 代理伺服器設定。全域 HTTP 代理伺服器會透過指定代理伺服器或搭配跨所有 Wi-Fi、行動網路和乙太網路套用的設定來遞送多數裝置 Web 流量。此功能通常由幼稚園至 12 年級的組織或企業使用(使用者在此情況下會將其裝置帶回家),以在組織持有的一對一部署中進行網際網路內容過濾。此功能可允許同時在學校或公司和住家中過濾裝置。全域 HTTP 代理伺服器會要求 iPhone、iPad 和 Apple TV 裝置接受監管。如需更多資訊,請參閱:關於 Apple 裝置監管和「全域 HTTP 代理伺服器」MDM 承載資料設定。
你可能需要進行網路更動以支援全域 HTTP 代理伺服器。在規劃你環境的全域 HTTP 代理伺服器時,請考量下列選項並與你的內容過濾供應商合作來進行設定:
外部存取能力:若裝置位於組織網路外且要進行連接時,組織的代理伺服器必須可進行外部連接。
代理 PAC:全域 HTTP 代理伺服器支援手動代理設定,方法是指定代理伺服器的 IP 位址或 DNS 名稱,或者其支援使用代理 PAC URL 來自動設定。代理 PAC 檔案設定可以指示用戶端自動選擇適當的代理伺服器以擷取指定 URL,包含在想要時繞過代理。請考慮使用 PAC 檔案來取得更大的彈性。
限制性 Wi-Fi 相容性:全域 HTTP 代理伺服器設定可以允許用戶端暫時繞過代理設定,以加入限制 Wi-Fi 網路。其會要求使用者先同意條款或透過網站提供付款,再授予網際網路連接。限制性 Wi-Fi 網路常見於公共圖書館、速食餐廳、咖啡廳和其他公共場所。
搭配快取服務使用代理:當用戶端使用快取服務時,請考慮使用 PAC 檔案來設定要控制的用戶端。設定錯誤的過濾方案可能會造成用戶端繞過你組織網路上的快取服務,或是當裝置位於使用者家中時,意外使用快取服務取得內容。
Apple 產品和代理伺服器服務:Apple 服務會停用任何使用 HTTPS 攔截(SSL/TLS 檢查)的連線。如果 HTTPS 流量穿越網頁代理伺服器,你必須針對 Apple 支援文章在企業網路上使用 Apple 產品中列出的主機停用 HTTPS 攔截。
【注意】部分 App(如 FaceTime)不會使用 HTTP 連線,且無法由 HTTP 代理伺服器進行代理,藉此繞過全域 HTTP 代理。你可以透過進階內容過濾來管理不使用 HTTP 連線的 App。
功能 | 支援 |
---|---|
需要在 iPhone 和 iPad 上監管 | |
需要在 Mac 上監管 | |
提供組織能見度 | |
可過濾主機 | |
可過濾 URL 中的路徑 | |
可過濾 URL 中的查詢字串 | |
可過濾封包 | |
可過濾 http 以外的通訊協定 | |
網路架構考量 | 流量會透過代理伺服器傳送,這可能會影響網路延遲和傳送量。 |
網路代理伺服器組態
代理伺服器是用來做為單一電腦使用者與網際網路之間的媒介,讓網路可以確保其安全、管理控制以及執行快取服務。使用「代理伺服器」MDM 承載資料來替行動裝置管理(MDM)解決方案中註冊的 Mac 電腦配置代理伺服器設定。此承載資料支援設定下列通訊協定的代理伺服器:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
如需更多資訊,請參閱:「網路代理伺服器組態」MDM 設定。
功能 | 支援 |
---|---|
需要在 iPhone 和 iPad 上監管 | |
需要在 Mac 上監管 | |
提供組織能見度 | |
可過濾主機 | |
可過濾 URL 中的路徑 | |
可過濾 URL 中的查詢字串 | |
可過濾封包 | |
可過濾 http 以外的通訊協定 | 部分通訊協定。 |
網路架構考量 | 流量會透過代理伺服器傳送,這可能會影響網路延遲和傳送量。 |
「DNS 代理伺服器」MDM 承載資料
你可以替在行動裝置管理(MDM)解決方案中註冊的 iPhone、iPad、Mac 和 Apple Vision Pro 裝置使用者配置「DNS 代理伺服器」承載資料設定。使用「DNS 代理伺服器」承載資料來指定必須使用 DNS 代理伺服器網路延伸功能和廠商特定值的 App。使用此承載資料需要使用 App 套件識別碼(又稱為套件 ID)指定的隨附 App。
如需更多資訊,請參閱:「DNS 代理伺服器」MDM 承載資料設定。
功能 | 支援 |
---|---|
Apple Vision Pro 的支援 | |
需要在 iPhone 和 iPad 上監管 | 在 iOS 15 和 iPadOS 15 之前,監管為必要項目。 在 iOS 15 和 iPadOS 15 或以上版本中,此承載資料不受監管且必須使用 MDM 解決方案安裝。 |
需要在 Mac 上監管 | |
提供組織能見度 | |
可過濾主機 | |
可過濾 URL 中的路徑 | |
可過濾 URL 中的查詢字串 | |
可過濾封包 | |
可過濾 http 以外的通訊協定 | 僅限 DNS 查詢。 |
網路架構考量 | 網路效能的最小影響。 |
「DNS 設定」MDM 承載資料
你可以替在 MDM 解決方案中註冊的 iPhone、iPad(包含「共享的 iPad」)、Mac 和 Apple Vision Pro 裝置使用者配置「DNS 設定」承載資料設定。具體來說,此承載資料用於設定基於 HTTP 的 DNS(也稱為 DoH)或基於 TLS 的 DNS(也稱為DoT)。這樣做可以透過加密 DNS 流量來增強使用者隱私,並且還可用來利用過濾的 DNS 服務。承載資料可以識別使用指定 DNS 伺服器的特定 DNS 查詢,或可套用到所有 DNS 查詢。承載資料也可以指定 Wi-Fi SSID,其指定的 DNS 伺服器用於查詢。
【注意】使用 MDM 安裝時,該設定只會套用到受管理的 Wi-Fi 網路。
如需更多資訊,請參閱 Apple 開發者網站上的 「DNS 設定」MDM 承載資料設定和 DNSSettings。
功能 | 支援 |
---|---|
Apple Vision Pro 的支援 | |
需要在 iPhone 和 iPad 上監管 | 設定可在受監管的裝置上鎖定。 設定可在 MDM 已允許的情況下(受監管的裝置)由 VPN App 覆蓋。 |
需要在 Mac 上監管 | 設定可在受監管的裝置上鎖定。 設定可在 MDM 已允許的情況下(受監管的裝置)由 VPN App 覆蓋。 |
提供組織能見度 | |
可過濾主機 | |
可過濾 URL 中的路徑 | |
可過濾 URL 中的查詢字串 | |
可過濾封包 | |
可過濾 http 以外的通訊協定 | 僅限 DNS 查詢。 |
網路架構考量 | 網路效能的最小影響。 |
內容過濾器供應商
iOS、iPadOS 和 macOS 支援使用外掛程式來對網路和封包流量進行內容過濾。裝置端網路內容過濾器會在使用者網路內容傳遞網路堆疊時對其進行檢查。內容過濾器然後決定是否應該阻止該內容或允許它傳送到它最終的目的地。內容過濾器供應商會透過使用 MDM 安裝的 App 傳遞。使用者的隱私受到保護,因為過濾器資料提供者在限制性沙箱中執行。過濾規則可由 App 中執行的過濾控制提供者根據狀態進行更新。
如需更多資訊,請參閱 Apple 開發者網站上的內容過濾器供應商。
功能 | 支援 |
---|---|
需要在 iPhone 和 iPad 上監管 | App 必須安裝在使用者的 iOS 和 iPadOS 裝置上,如果裝置受到監督,則可以防止刪除。 |
需要在 Mac 上監管 | |
提供組織能見度 | |
可過濾主機 | |
可過濾 URL 中的路徑 | |
可過濾 URL 中的查詢字串 | |
可過濾封包 | |
可過濾 http 以外的通訊協定 | |
網路架構考量 | 流量會在裝置上過濾因此對網路沒有影響。 |
VPN/封包通道
當裝置透過 VPN 或封包通道傳送網路流量時,可以監控和過濾網路活動。此設定類似於直接連接到網路的裝置,在該網路中,專用網路和網際網路之間的流量受到監控和過濾。
功能 | 支援 |
---|---|
需要在 iPhone 和 iPad 上監管 | 確實需要監管的「總是開啟 VPN」除外 |
需要在 Mac 上監管 | |
提供組織能見度 | |
可過濾主機 | 僅限透過專用網路連線過濾的流量。 |
可過濾 URL 中的路徑 | 僅限透過專用網路連線過濾的流量。 |
可過濾 URL 中的查詢字串 | 僅限透過專用網路連線過濾的流量。 |
可過濾封包 | |
可過濾 http 以外的通訊協定 | |
網路架構考量 | 流量會透過專用網路傳送,這可能會影響網路延遲和傳送量。 |