Filtrar conteúdo em dispositivos Apple
O iOS, iPadOS, macOS e visionOS 1.1 são compatíveis com várias formas de filtro de conteúdo, incluindo restrições, proxy HTTP global, filtro de DNS, proxy DNS e filtro de conteúdo avançado.
Configuração de filtros integrados de conteúdo
Os dispositivos da Apple podem restringir o Safari e apps de terceiros a sites específicos. Organizações com necessidades simples ou limitadas de filtro de conteúdo podem usar esse recurso. Organizações com requisitos complexos ou legalmente obrigadas a filtrar conteúdo devem usar opções de proxy HTTP global ou de filtro de conteúdo avançado fornecidas por um aplicativo de filtragem de conteúdo de terceiros.
Uma solução de gerenciamento de dispositivos móveis (MDM) pode configurar o filtro integrado de acordo com as opções a seguir:
Todos os Sites: o conteúdo web não é filtrado.
Limitar Conteúdo Adulto: limita o acesso a vários sites adultos automaticamente.
Sites bloqueados: permite o acesso a todos os sites, a menos que estejam em uma lista de bloqueio personalizada.
Somente Sites Específicos: limita o acesso a sites predeterminados, os quais podem ser personalizados.
O filtro integrado é configurado usando o payload WebContentFilter no iOS, iPadOS e visionOS 1.1 e o payload ParentalControlsContentFilter no macOS. O gerenciamento do filtro integrado pelo MDM também restringe o acesso no Safari para limpar o histórico de navegação e os dados de sites.
Proxy HTTP global com inspeção TLS/SSL
Dispositivos Apple são compatíveis com a configuração de proxy HTTP global. O proxy HTTP global direciona a maioria do tráfego de rede do dispositivo por um servidor de proxy específico ou com um ajuste aplicado por todas as redes Wi‑Fi, celular e Ethernet. Esse recurso é usado normalmente em escolas ou organizações para filtrar o conteúdo da Internet em implementações individuais de organizações privadas, onde os usuários levam os dispositivos para casa. Ele permite que os dispositivos sejam filtrados tanto na escola ou empresa quanto em casa. O proxy HTTP global requer que dispositivos iPhone, iPad e Apple TV sejam supervisionados. Para obter mais informações, consulte Sobre a supervisão de dispositivos Apple e Ajustes do payload MDM de Proxy HTTP Global.
Talvez seja preciso fazer alterações na rede para oferecer suporte ao proxy HTTP global. Ao planejar o proxy HTTP global no ambiente, considere as opções a seguir – e trabalhe em conjunto com o fornecedor do filtro na configuração:
Acessibilidade externa: deve ser possível acessar o servidor de proxy da organização externamente, caso os dispositivos precisem acessá-lo quando estiverem fora da rede da organização.
PAC do proxy: o proxy HTTP global oferece suporte à configuração manual do proxy (através da especificação do endereço IP ou nome DNS do servidor de proxy) ou à configuração automática (através do uso de um URL PAC). Um arquivo de configuração PAC de proxy pode instruir o cliente a escolher automaticamente o servidor de proxy adequado a obter um URL específico e, inclusive, contornar o proxy quando desejado. Para obter maior flexibilidade, considere usar um arquivo PAC.
Compatibilidade com Wi‑Fi controlado: a configuração do proxy HTTP global pode permitir que o cliente contorne o ajuste de proxy temporariamente para se conectar a uma rede Wi‑Fi controlada. Esse tipo de rede requer que o usuário aceite termos ou exibe opções de pagamento através de um site antes que o acesso à Internet seja liberado. Redes Wi‑Fi controladas são encontradas comumente em bibliotecas, restaurantes, cafés e outros locais públicos.
Uso de proxy com o serviço de cache: considere usar um arquivo PAC para configurar clientes para controlar quando eles usam o serviço de cache. Soluções de filtro mal configuradas podem fazer com que os clientes contornem o serviço de cache da rede da organização ou usem o serviço de cache inadvertidamente para conteúdo enquanto os dispositivos estiverem na casa do usuário.
Produtos Apple e serviços de proxy: os serviços Apple desabilitam qualquer conexão que use interceptação HTTPS (inspeção SSL/TLS). Caso o tráfego HTTPS passe por um proxy da web, você deve desativar a interceptação HTTPS para os hosts listados no artigo de Suporte da Apple Usar produtos Apple em redes corporativas.
Nota: alguns apps, como o FaceTime, não usam conexões HTTP e, portanto, o proxy de um servidor de proxy HTTP não pode ser usado, pois o proxy HTTP global seria contornado. Aplicativos que não usam conexões HTTP podem ser gerenciados com o filtro de conteúdo avançado.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad |
|
Requer supervisão no Mac |
|
Oferece visibilidade organizacional |
|
Pode filtrar hosts |
|
Pode filtrar caminhos em URLs |
|
Pode filtrar strings de consulta em URLs |
|
Pode filtrar pacotes |
|
Pode filtrar protocolos diferentes do HTTP |
|
Considerações sobre arquitetura de redes | O tráfego é roteado através de um proxy, o que pode impactar a latência e a capacidade da rede. |
Network proxy configuration
Um servidor proxy atua como um intermediário entre um único usuário de computador e a internet, de forma que a rede possa garantir a segurança, o controle administrativo e o serviço de cache. Use o payload MDM de Proxy para configurar ajustes de proxy em computadores Mac registrados em uma solução MDM. Este payload é compatível com a configuração de proxies para os seguintes protocolos:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Para obter mais informações, consulte Configurações de Proxy de Rede no MDM.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad |
|
Requer supervisão no Mac |
|
Oferece visibilidade organizacional |
|
Pode filtrar hosts |
|
Pode filtrar caminhos em URLs |
|
Pode filtrar strings de consulta em URLs |
|
Pode filtrar pacotes |
|
Pode filtrar protocolos diferentes do HTTP | Alguns protocolos. |
Considerações sobre arquitetura de redes | O tráfego é roteado através de um proxy, o que pode impactar a latência e a capacidade da rede. |
Payloads MDM de Proxy DNS
É possível configurar os ajustes do payload de Proxy DNS para usuários de dispositivos iPhone, iPad, Mac e Apple Vision Pro registrados em uma solução MDM. Use o payload de Proxy DNS para especificar os apps que devem usar extensões de rede proxy DNS e valores específicos de distribuidor. O uso deste payload requer um app de acompanhamento que é especificado com o identificador de pacote do app (também chamado de ID de pacote).
Para obter mais informações, consulte Ajustes do payload MDM de Proxy DNS.
Recurso | Suporte |
|---|---|
Suporte para Apple Vision Pro |
|
Requer supervisão no iPhone e iPad | Antes do iOS 15 e do iPadOS 15, a supervisão era obrigatória. No iOS 15 e iPadOS 15 ou posteriores, este payload não é supervisionado e deve ser instalado com uma solução MDM. |
Requer supervisão no Mac |
|
Oferece visibilidade organizacional |
|
Pode filtrar hosts |
|
Pode filtrar caminhos em URLs |
|
Pode filtrar strings de consulta em URLs |
|
Pode filtrar pacotes |
|
Pode filtrar protocolos diferentes do HTTP | Apenas para pesquisas de DNS. |
Considerações sobre arquitetura de redes | Mínimo impacto no desempenho da rede. |
Payloads MDM de Configurações de DNS
É possível configurar os ajustes do payload de Ajustes de DNS para usuários de dispositivos iPhone, iPad (incluindo iPad Compartilhado), Mac e Apple Vision Pro registrados em uma solução MDM. Especificamente, este payload é usado para configurar DNS sobre HTTP (também conhecido como DoH) ou DNS sobre TLS (também conhecido como DoT). Isso aumenta a privacidade do usuário ao criptografar o tráfego DNS e também pode ser utilizado para aproveitar os serviços DNS filtrados. O payload pode identificar consultas de DNS específicas que usam os servidores DNS especificados ou pode se aplicar a todas as consultas de DNS. O payload também pode especificar SSIDs de Wi-Fi cujos servidores DNS especificados são usados para consultas.
Nota: quando é instalado por meio do MDM, o ajuste se aplica apenas a redes Wi-Fi gerenciadas.
Para obter mais informações, consulte Ajustes do payload MDM de Ajustes de DNS e DNSSettings no site Apple Developer.
Recurso | Suporte |
|---|---|
Suporte para Apple Vision Pro |
|
Requer supervisão no iPhone e iPad | A configuração pode ser bloqueada em dispositivos supervisionados. A configuração pode ser substituída por um app de VPN caso permitido pelo MDM (dispositivos supervisionados). |
Requer supervisão no Mac | A configuração pode ser bloqueada em dispositivos supervisionados. A configuração pode ser substituída por um app de VPN caso permitido pelo MDM (dispositivos supervisionados). |
Oferece visibilidade organizacional |
|
Pode filtrar hosts |
|
Pode filtrar caminhos em URLs |
|
Pode filtrar strings de consulta em URLs |
|
Pode filtrar pacotes |
|
Pode filtrar protocolos diferentes do HTTP | Apenas para pesquisas de DNS. |
Considerações sobre arquitetura de redes | Mínimo impacto no desempenho da rede. |
Fornecedores de filtro de conteúdo
O iOS, o iPadOS e o macOS oferecem plug-ins para o filtro avançado de conteúdo de tráfego da web e de socket. Um filtro de conteúdo de rede no dispositivo examina o conteúdo da rede do usuário conforme ele passa pela pilha da rede. O filtro de conteúdo então determina se deve bloquear esse conteúdo ou permitir que ele prossiga até o seu destino final. Os provedores de filtro de conteúdo são fornecidos por meio de um app instalado usando MDM. A privacidade do usuário é protegida porque o provedor de dados de filtro é executado em uma sandbox restritiva. As regras de filtragem podem ser atualizadas dinamicamente pelo provedor de controle de filtro implementado no app.
Para obter mais informações, consulte Content Filter Providers (em inglês) no site Apple Developer.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad | O app deve estar instalado no dispositivo iOS ou iPadOS do usuário e seu apagamento pode ser impedido se o dispositivo for supervisionado. |
Requer supervisão no Mac |
|
Oferece visibilidade organizacional |
|
Pode filtrar hosts |
|
Pode filtrar caminhos em URLs |
|
Pode filtrar strings de consulta em URLs |
|
Pode filtrar pacotes |
|
Pode filtrar protocolos diferentes do HTTP |
|
Considerações sobre arquitetura de redes | O tráfego é filtrado no dispositivo para que não haja impacto na rede. |
VPN/Túnel de pacotes
Quando os dispositivos enviam tráfego de rede por meio de uma VPN ou túnel de pacotes, a atividade da rede pode ser monitorada e filtrada. Essa configuração é semelhante a dispositivos que estão diretamente conectados a uma rede onde o tráfego entre a rede privada e a internet é monitorado e filtrado.
Recurso | Suporte |
|---|---|
Requer supervisão no iPhone e iPad |
|
Requer supervisão no Mac |
|
Oferece visibilidade organizacional |
|
Pode filtrar hosts | Filtro de tráfego através apenas de conexões de rede privada. |
Pode filtrar caminhos em URLs | Filtro de tráfego através apenas de conexões de rede privada. |
Pode filtrar strings de consulta em URLs | Filtro de tráfego através apenas de conexões de rede privada. |
Pode filtrar pacotes |
|
Pode filtrar protocolos diferentes do HTTP |
|
Considerações sobre arquitetura de redes | O tráfego é roteado através de uma rede privada, o que pode impactar a latência e a capacidade da rede. |