iOS, iPadOS und macOS unterstützen zahlreiche Formen der Inhaltsfilterung, darunter Einschränkungen, Global HTTP-Proxy, gefilterte DNS, DNS-Proxy und erweiterte Inhaltsfilterung.
Eingebaute Inhaltsfilter konfigurieren
Apple-Geräte können Safari und Apps von Drittanbietern auf bestimmte Websites einschränken. Diese Funktion eignet sich für Organisationen, die keine oder nur geringe Anforderungen haben, was die inhaltliche Filterung anbelangt. Organisationen, die komplexe Anforderungen oder gesetzliche Vorgaben für die inhaltliche Filterung einhalten müssen, sollten die Optionen für Global HTTP Proxy oder die Einstellungen für die erweiterte Inhaltsfilterung nutzen, die von einer Drittanbieter-App für die Inhaltsfilterung bereitgestellt wird.
Eine MDM-Lösung kann den eingebauten Filter mit folgenden Optionen konfigurieren:
Alle Websites: Es werden keine Webinhalte gefiltert.
Nicht jugendfreie Inhalte beschränken: Der Zugriff auf nicht jugendfreie Websites wird automatisch eingeschränkt.
Blockierter Websites: Zugriff auf alle Websites erlauben, sofern sie sich auf einer anpassbaren Liste blockierter Objekte befinden.
Nur bestimmte Websites: Der Zugriff wird auf vordefinierte Websites beschränkt; er kann angepasst werden.
Der eingebaute Filter ist für die Verwendung der Payload WebContentFilter in iOS und iPadOS sowie die Payload ParentalControlsContentFilter in macOS konfiguriert.
Global HTTP Proxy mit TLS/SSL-Überprüfung
Apple-Geräte unterstützen die Konfiguration von Global HTTP Proxy. Global HTTP Proxy leitet einen Großteil des Webverkehrs der Geräte über einen festgelegten Proxy-Server oder eine Einstellung, die übergreifend über alle WLANs, Mobilfunknetze und Ethernetnetzwerke angewendet wird. Diese Funktion wird oft in Grundschulen oder Unternehmen zum Filtern von Internetinhalten in einer Eins-zu-Eins-Implementierung eingesetzt (d.h. in Szenarien, in denen die Geräte Eigentum der Organisation sind), wenn die Lernenden die Geräte mit nach Hause nehmen können. So ist es möglich, die Geräte in der Schule oder am Arbeitsplatz und zu Hause zu filtern. Global HTTP Proxy setzt voraus, dass iPhone-, iPad- und Apple TV-Geräte betreut werden. Weitere Informationen findest du unter Apple-Gerätebetreuung und Einstellungen der MDM-Payload „Globaler HTTP-Proxy“.
Damit Global HTTP Proxy unterstützt wird, musst du möglicherweise Änderungen an deinem Netzwerk vornehmen. Ziehe bei der Planung für Global HTTP Proxy in deiner Umgebung die folgenden Optionen in Betracht und erarbeite die Konfiguration gemeinsam mit dem Anbieter deiner Filtertechnologie:
Externe Zugänglichkeit: Der Proxy-Server der Organisation muss von extern zugänglich sein, wenn Geräte von außerhalb des Organisationsnetzwerks darauf zugreifen sollen.
Proxy PAC: Global HTTP Proxy unterstützt entweder eine manuelle Proxy-Konfiguration durch Angabe der IP-Adresse bzw. des DNS-Namens des Proxy-Servers oder eine automatische Konfiguration auf der Basis einer Proxy PAC URL. Eine Proxy-PAC-Dateikonfiguration kann den Client anweisen, automatisch den geeigneten Proxy-Server zum Abrufen einer bestimmten URL auszuwählen und dabei den Proxy bei Bedarf zu umgehen. Wenn es auf mehr Flexibilität ankommt, solltest du dich für eine PAC-Datei entscheiden.
Kompatibilität mit Captive-WLAN-Netzwerken: Die Global HTTP Proxy-Konfiguration kann es dem Client ermöglichen, die Proxy-Einstellung vorübergehend zu umgehen, um einem Captive-WLAN beizutreten. Bei diesen Netzwerken ist es erforderlich, dass der Benutzer den Bestimmungen zustimmt oder über eine Website eine Zahlung leistet, bevor der Zugriff auf das Internet gewährt wird. Captive-WLAN-Netzwerke sind häufig in öffentlichen Bibliotheken, Schnellrestaurants, Cafés und anderen öffentlichen Orten anzutreffen.
Proxy mit einem Caching-Dienst verwenden: Ziehe die Verwendung einer PAC-Datei in Betracht, um Clients bei Verwendung des Caching-Diensts zu steuern. Falsch konfigurierte Filterlösungen können zur Folge haben, dass Clients entweder den Caching-Dienst im Netzwerk deiner Organisation umgehen oder den Caching-Dienst unabsichtlich für Inhalte verwenden, während sich die Geräte zu Hause bei den Benutzern befinden.
Apple-Produkte und Proxy-Dienste: Apple-Dienste deaktivieren alle Verbindungen, die HTTPS-Abfangaktionen (SSL/TLS-Überprüfung) verwenden. Du musst die HTTPS-Überprüfung für die Hosts deaktivieren, die im AppleSupport-Artikel Apple-Produkte in Unternehmensnetzwerken verwenden aufgeführt sind, wenn der HTTPS-Verkehr einen Web-Proxy passiert.
Hinweis: Einige Apps (z.B. FaceTime) verwenden keine HTTP-Verbindungen, sodass sich der Einsatz eines HTTP-Proxy-Servers erübrigt, da Global HTTP Proxy umgangen wird. Du kannst Apps verwalten, die keine HTTP-Verbindungen mit einer erweiterten Inhaltsfilterung verwenden.
Merkmal | Support |
|---|---|
Betreuung auf iPhone und iPad erforderlich |
|
Betreuung auf Mac erforderlich |
|
Bietet organisatorische Sichtbarkeit |
|
Kann Hosts filtern |
|
Kann Pfade in URLs filtern |
|
Kann Abfragefolgen in URLs filtern |
|
Kann Pakete filtern |
|
Kann andere Protokolle als HTTP filtern |
|
Überlegungen zur Netzwerkarchitektur | Der Datenverkehr wird über ein Proxy geleitet, was sich auf die Latenz und den Durchsatz des Netzwerks auswirken kann. |
Konfiguration für Netzwerk-Proxy
Ein Proxy-Server fungiert als Vermittler zwischen einem einzelnen Computerbenutzer und dem Internet, sodass im Netzwerk Sicherheit, administrative Steuerung und Cache-Funktionen sichergestellt sind. Mit der MDM-Payload „Proxy“ kannst du für Mac-Computer, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind, die Proxy-Einstellungen konfigurieren. Diese Payload unterstützt die Konfiguration von Proxys für die folgenden Protokolle:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Weitere Informationen findest du unter MDM-Einstellungen für Netzwerk-Proxy-Konfiguration.
Merkmal | Support |
|---|---|
Betreuung auf iPhone und iPad erforderlich |
|
Betreuung auf Mac erforderlich |
|
Bietet organisatorische Sichtbarkeit |
|
Kann Hosts filtern |
|
Kann Pfade in URLs filtern |
|
Kann Abfragefolgen in URLs filtern |
|
Kann Pakete filtern |
|
Kann andere Protokolle als HTTP filtern | Einige Protokolle. |
Überlegungen zur Netzwerkarchitektur | Der Datenverkehr wird über ein Proxy geleitet, was sich auf die Latenz und den Durchsatz des Netzwerks auswirken kann. |
MDM-Payload „DNS Proxy“
Du kannst DNS-Proxy-Einstellungen für Benutzer von iOS-, iPadOS- und macOS-Geräten konfigurieren, die in einer MDM-Lösung registriert sind. Mit der Payload „DNS-Proxy“ werden Apps angegeben, die Netzwerkerweiterungen für DNS-Proxys und anbieterspezifische Werte verwenden müssen. Die Nutzung dieser Payload erfordert eine zugehörige App, für die festgelegt ist, dass sie die Paket-ID der App verwendet.
Weitere Informationen findest du unter Einstellungen der MDM-Payload „DNS-Proxy“.
Merkmal | Support |
|---|---|
Betreuung auf iPhone und iPad erforderlich | Vor iOS 15 und iPadOS 15 ist eine Betreuung erforderlich. In iOS 15 und iPadOS 15 ist diese Payload nicht betreut und muss über eine MDM-Lösung installiert werden. |
Betreuung auf Mac erforderlich |
|
Bietet organisatorische Sichtbarkeit |
|
Kann Hosts filtern |
|
Kann Pfade in URLs filtern |
|
Kann Abfragefolgen in URLs filtern |
|
Kann Pakete filtern |
|
Kann andere Protokolle als HTTP filtern | Nur für DNS-Lookups |
Überlegungen zur Netzwerkarchitektur | Minimale Auswirkung auf die Netzwerkleistung |
MDM-Payload „DNS-Einstellungen“
Du kannst die Einstellungen der Payload „DNS-Einstellungen“ für Benutzer von iOS-, iPadOS- (einschließlich geteilte iPad-Geräte) und von macOS-Geräten konfigurieren, die in einer MDM-Lösung registriert sind. Diese Payload wird zum Konfigurieren von DNS over HTTP (auch als DoH bezeichnet) oder DNS over TLS (auch als DoTbezeichnet) verwendet. Durch die dabei stattfindende Verschlüsselung von DNS-Datenverkehr wird der Datenschutz für Benutzer verbessert und es besteht die Möglichkeit, gefilterte DNS-Dienste zu nutzen. Die Payload kann entweder bestimmte DNS-Abfragen erkennen, die die angegebenen DNS-Server verwenden, oder für alle DNS-Abfragen gelten. Die Payload kann außerdem SSIDs von WLAN-Netzwerken mit DNS-Servern angeben, die für Abfragen verwendet werden.
Hinweis: Bei Installation mit einer MDM-Lösung wird die Einstellung nur auf verwaltete WLAN-Netzwerke angewendet.
Weitere Informationen findest du unter Einstellungen der MDM-Payload „DNS-Einstellungen“ und DNSSettings auf der Apple Developer-Website.
Merkmal | Support |
|---|---|
Betreuung auf iPhone und iPad erforderlich | Konfiguration kann auf betreuten Geräten gesperrt werden. Konfiguration kann von einer VPN-App überschrieben werden, sofern MDM dies zu lässt (betreute Geräte). |
Betreuung auf Mac erforderlich | Konfiguration kann auf betreuten Geräten gesperrt werden. Konfiguration kann von einer VPN-App überschrieben werden, sofern MDM dies zu lässt (betreute Geräte). |
Bietet organisatorische Sichtbarkeit |
|
Kann Hosts filtern |
|
Kann Pfade in URLs filtern |
|
Kann Abfragefolgen in URLs filtern |
|
Kann Pakete filtern |
|
Kann andere Protokolle als HTTP filtern | Nur für DNS-Lookups |
Überlegungen zur Netzwerkarchitektur | Minimale Auswirkung auf die Netzwerkleistung |
Anbieter von Inhaltsfiltern
iOS, iPadOS und macOS unterstützen Plug-Ins für die erweiterte Filterung von Inhalten im Web- und Socket-Verkehr. Ein Netzwerkinhaltsfilter auf dem Gerät überprüft die Netzwerkinhalte von Benutzern, wenn sie den Netzwerkstack passieren. Der Inhaltsfilter ermittelt dann, ob diese Inhalte blockiert werden oder zum Ziel weitergeleitet werden dürfen. Die Anbieter von Inhaltsfiltern werden über eine App bereitgestellt, die über die MDM-Lösung installiert wird. Die Privatsphäre des Benutzers bleibt dabei geschützt, da der Datenfilteranbieter in einer restriktiven Sandbox ausgeführt wird. Die Filterregeln können dynamisch durch den in der App implementierten Filtersteuerungsanbieter aktualisiert werden.
Weitere Informationen findest du unter Content Filter Providers auf der Apple Developer-Website.
Merkmal | Support |
|---|---|
Betreuung auf iPhone und iPad erforderlich | Die App muss auf dem iOS- und iPadOS-Gerät des Benutzers installiert werden und die Löschung kann verhindert werden, wenn das Gerät betreut wird. |
Betreuung auf Mac erforderlich |
|
Bietet organisatorische Sichtbarkeit |
|
Kann Hosts filtern |
|
Kann Pfade in URLs filtern |
|
Kann Abfragefolgen in URLs filtern |
|
Kann Pakete filtern |
|
Kann andere Protokolle als HTTP filtern |
|
Überlegungen zur Netzwerkarchitektur | Der Datenverkehr wird auf dem Gerät gefiltert, sodass es keine Auswirkungen auf das Netzwerk gibt. |
VPN/Paket-Tunnel
Wenn Geräte Netzwerkdatenverkehr durch ein VPN oder einen Paket-Tunnel senden, kann die Netzwerkaktivität überwacht und gefiltert werden. Diese Konfiguration ähnelt Geräten, die direkt mit einem Netzwerk verbunden sind, in dem der Datenverkehr zwischen dem privaten Netzwerk und dem Internet überwacht und gefiltert wird.
Merkmal | Support |
|---|---|
Betreuung auf iPhone und iPad erforderlich |
|
Betreuung auf Mac erforderlich |
|
Bietet organisatorische Sichtbarkeit |
|
Kann Hosts filtern | Der Datenverkehr wird nur über private Netzwerkverbindungen gefiltert. |
Kann Pfade in URLs filtern | Der Datenverkehr wird nur über private Netzwerkverbindungen gefiltert. |
Kann Abfragefolgen in URLs filtern | Der Datenverkehr wird nur über private Netzwerkverbindungen gefiltert. |
Kann Pakete filtern |
|
Kann andere Protokolle als HTTP filtern |
|
Überlegungen zur Netzwerkarchitektur | Der Datenverkehr wird über ein privates Netzwerk geleitet, was sich auf die Latenz und den Durchsatz des Netzwerks auswirken kann. |
Vgl. auchSicherheit der Apple-Plattformen: SystemsicherheitImplementierungshandbuch für Bildungseinrichtungen von Apple