为Apple设备过滤内容

Apple设备可以将Safari浏览器和第三方App限制到特定网站。内容过滤需求简单或有限的组织可以使用此功能。对于复杂或法律强制的内容过滤需求，组织应当使用全局HTTP代理或第三方内容过滤App提供的高级内容过滤选项。

移动设备管理(MDM)解决方案可使用以下选项配置内建过滤器：

所有网站：不过滤网页内容。

限制成人内容：自动限制对于许多成人网站的访问。

已阻止的站点：允许访问所有网站，可自定义阻止列表中的网站除外。

仅特定网站：限制对于预定网站的访问，可自定义。

内建过滤器使用iOS、iPadOS和visionOS1.1中的WebContentFilter有效负载以及macOS中的ParentalControlsContentFilter有效负载进行配置。通过MDM管理内建过滤器还会限制Safari浏览器中的访问以清除浏览历史记录和网站数据。

你可能需要更改网络来支持全局HTTP代理。在为环境规划全局HTTP代理时，请考虑以下选项，并在配置过程中与你的过滤供应商配合工作：

外部可访问性：如果设备要在组织网络之外访问服务器，则组织的代理服务器必须可外部访问。

代理PAC：全局HTTP代理支持通过指定代理服务器的IP地址或DNS名称来手动配置代理，或使用代理PACURL自动配置。代理PAC文件配置可以指导客户端自动选取合适的代理服务器来获取给定的URL，包括在想要时绕过代理。考虑使用PAC文件以实现更大的灵活性。

受限无线局域网兼容性：全局HTTP代理配置可允许客户端临时绕过代理设置，以加入受限无线局域网。这些网络在授予互联网访问许可前，要求用户通过某个网站同意条款或支付费用。受限无线局域网常见于公共图书馆、快餐店、咖啡厅及其他公共场所。

【注】有些App（例如FaceTime通话）不使用HTTP连接，也无法由HTTP代理服务器来代理，因而会绕过全局HTTP代理。你可以使用高级内容过滤来管理不使用HTTP连接的App。

功能

支持

要求对iPhone和iPad进行监督

要求对Mac进行监督

提供组织可见性

可过滤主机

可过滤URL中的路径

可过滤URL中的查询字符串

可过滤数据包

可过滤除HTTP以外的协议

网络体系结构注意事项

流量通过代理发送，这可能对网络延迟和吞吐量有所影响。

代理服务器在单个电脑用户和互联网之间起着协调的作用，从而使网络能够确保安全性、管理控制和高速缓存服务。使用“代理”MDM有效负载为移动设备管理(MDM)解决方案中注册的Mac电脑配置代理设置。此有效负载支持为以下协议配置代理：

HTTP

HTTPS

FTP

RTSP

SOCKS

Gopher

部分协议。

你可以为移动设备管理(MDM)解决方案中注册的iPhone、iPad、Mac和AppleVisionPro设备的用户配置“DNS代理”有效负载设置。使用“DNS代理”有效负载指定必须使用DNS代理网络扩展和供应商特定值的App。使用此有效负载需要配套App，该App通过其捆绑包标识符（也称为捆绑包ID）指定。

AppleVisionPro支持

在iOS15和iPadOS15之前要求监督。

在iOS15和iPadOS15或更高版本中，此有效负载不被监督，并且必须使用MDM解决方案安装。

仅限DNS查询。

对网络性能影响较小。

你可以为MDM解决方案中注册的iPhone、iPad（包括“共享iPad”）、Mac和AppleVisionPro设备的用户配置“DNS设置”有效负载设置。确切地说，此有效负载用于配置通过HTTP的DNS（也称为DoH）或通过TLS的DNS（也称为DoT）。这样做可通过加密DNS流量来强化用户隐私，还可用于使用已过滤的DNS服务。该有效负载可以识别使用指定DNS服务器的特定DNS查询，也可应用到所有DNS查询。该有效负载还可以指定无线局域网SSID，其指定的DNS服务器用于查询。

【注】使用MDM安装时，设置将仅应用到被管理的无线局域网。

配置可在被监督的设备上锁定。

如果经MDM允许（被监督的设备），配置可通过VPNApp进行覆盖。

iOS、iPadOS和macOS支持对网络流量和套接字流量进行高级内容过滤的插件。设备端网络内容过滤会在用户网络内容通过网络堆栈时对其进行检查。然后内容过滤会确定应该阻止该内容还是允许其传递到最终目的位置。内容过滤提供程序通过使用MDM安装的App来推送。过滤数据提供程序在受限沙盒中运行，因此用户的隐私会得到保护。App中实现的过滤控制提供程序可以动态更新过滤规则。

用户的iOS和iPadOS设备上必须安装App，并且如果设备被监督，可阻止删除App。

流量在设备上过滤，因此对网络没有影响。

设备将网络流量通过VPN或数据包隧道发送时，网络活动可能会被监控和过滤。此配置类似于设备直接接入专用网络和互联网之间的流量被监控和过滤的网络。

流量仅通过专用网络连接过滤。

流量通过专用网络发送，这可能对网络延迟和吞吐量有所影响。