Anleitung: On-Device Content Filtering (ODCF, Inhaltsfilterung auf dem Gerät) mit Jamf Safe Internet

Treten Sie ein in die Cybersicherheit der Zukunft.

Jamf Safe Internet hat kürzlich On-Device Content Filtering (ODCF, Inhaltsfilterung auf dem Gerät)hinzugefügt.

Apple bietet diese Technologie als Teil von iOS und iPadOS an. Die ODCF ermöglicht die Netzwerkfilterung direkt auf dem Gerät, was sie zu einem viel umfassenderen Filter macht.

Die neueste Version von Jamf Safe Internet

Mit dieser Version hat die ODCF die Möglichkeit hinzugefügt, IP-Adressen zusätzlich zu den Domänennamen zu filtern - was Jamf Safe Internet schon immer getan hat. Der Anwendungsbereich der ODCF-Technologie geht jedoch weit darüber hinaus.

Es ist jetzt möglich, vollständige URLs und Ports zu filtern und den Datenverkehr zu identifizieren, der von bestimmten Apps stammt. ODCF ist außerdem im Netzwerkstapel niedriger angesiedelt als VPN, d. h. selbst wenn Schüler*innen ein VPN installieren, filtert ihr Gerät immer noch Inhalte bevor sie den Tunnel passieren.

Diese Technologie ist auch sehr datenschutzfreundlich. Eine große Menge sensibler Daten wird aus den Anfragen entfernt, und da ODCF die Traffic-Daten direkt auf dem Gerät auswertet, müssen sie nicht zur Auswertung an die Sicherheits Cloud von Jamf weitergeleitet werden.

Mit dieser Version wurden nicht nur die ODCF-Funktionen zu Jamf Safe Internet hinzugefügt. Außerdem wurde die Standard-Vectoring-Methode von einer VPN-Vectoring-Methode auf Apples „DNSSetting”-Payload umgestellt. Dieses „DNS over HTTPS” (DoH) ermöglicht es Jamf Safe Internet, weiterhin webbasierten Schutz vor Bedrohungen zu bieten.

Dies geschieht nun durch die optimale Nutzung der nativen Apple Frameworks.

Neu bei Jamf Safe Internet?

Diese Version wurde für Geräte mit iOS und iPadOS 16+ optimiert.

Jamf Pro

• Wenn Sie ein neuer Kunde/eine neue Kundin von Jamf Safe Internet sind und über Geräte mit iOS oder iPadOS vor Version 16 verfügen, müssen Sie sicherstellen, dass Sie das Legacy-Profil auf diesen Geräten bereitstellen.
• Wenn Sie Jamf Pro für die Bereitstellung von Jamf Safe Internet verwenden und über Geräte mit iOS oder iPadOS vor 16 verfügen, müssen Sie den Abschnitt Erste Schritte mit Jamf Safe Internet in Jamf Pro in unserer Jamf Safe Internet Dokumentationbefolgen.

Wo in der Anleitung steht: „Laden Sie die entsprechenden Konfigurationsdateien herunter und vervollständigen Sie die Jamf Pro Anweisungen”, müssen Sie die Konfigurationsdateien in der Jamf Safe Internet Konsole unter „iOS und iPadOS unbeaufsichtigt (oder beaufsichtigt vor 16)” auswählen.

Folgen Sie dem Rest der Anleitung, aber stellen Sie sicher, dass Sie dieses Konfigurationsprofil nur auf Geräte mit iOS oder iPadOS vor iOS 16 anwenden. Sie können dies mit Smart Groupstun. Für Umgebungen, die sowohl iOS und iPadOS 16+ als auch früher verwenden, wiederholen Sie den Vorgang, wählen aber das Konfigurationsprofil unter „iOS und iPadOS überwacht (16 oder später).”

Jamf School

Wenn Sie Jamf School für die Bereitstellung von Jamf Safe Internet verwenden und über Geräte mit iOS oder iPadOS vor 16 verfügen, können Sie die integrierte Ein-Klick-Verbindung von Jamf School nicht nutzen. Stattdessen:

1. Loggen Sie sich in die Jamf Safe Internet Konsole ein und wählen Sie das Standard-Aktivierungsprofile.
2. Wählen Sie unter „Wählen Sie Ihre UEM„ „Jamf School” aus
3. Wählen Sie unter „Wählen Sie Ihr Betriebssystem” die Option „iOS und iPadOS unbeaufsichtigt (oder beaufsichtigt früher als 16)”

Laden Sie dann das Konfigurationsprofil von der Konsole herunter.

Sobald Sie dieses Profil erstellt haben, laden Sie es als benutzerdefiniertes Profil in School Jamf hoch und geben es zusammen mit der Jamf Trust App, nur auf Geräten mit iOS oder iPadOS vor iOS 16 frei. Sie können dies mit Smart Groups tun.

Für Umgebungen, in denen sowohl iOS und iPadOS 16+ als auch frühere Versionen verwendet werden, verwenden Sie die integrierte Ein-Klick-Verbindung für Geräte 16+ und die obige Methode für Geräte mit einem iOS oder iPadOS vor 16.

Haben Sie bereits Jamf Safe Internet?

Wenn Sie Jamf Safe Internet bereits vor der Veröffentlichung von ODCF auf Ihren Geräten installiert haben, verwenden alle Ihre Geräte das Legacy-Profil.

• Wenn Sie Geräte haben, auf denen eine frühere iOS oder iPadOS Version als iOS 16 läuft, müssen Sie nichts unternehmen. Jamf Safe Internet wird weiterhin in seiner alten Form laufen (mit einer VPN-Vectoring-Methode und ohne ODCF-Funktionen).
• Wenn Sie über Geräte mit iOS oder iPadOS 16+ verfügen und die neuen DoH- und ODCF-Funktionen nutzen möchten, müssen Sie Ihre Geräte von der alten Bereitstellung migrieren.

Die Migration besteht aus einer Reihe von Schritten und ist ein einfacher Prozess. Es ist jedoch äußerst wichtig, dass Sie alle hier beschriebenen Schritte befolgen. Andernfalls besteht die Gefahr, dass Ihre Geräte Inhalte nicht in der erwarteten Weise filtern.

Schritt 1: Erstellen Sie ein Aktivierungsprofil, in dem die neue DoH- und ODCF-Konfiguration enthalten ist.

1. Loggen Sie sich in Ihre Jamf Safe Internet Konsole ein und navigieren Sie zu Geräte → Aktivierung Profiles → und wählen Sie „Profil erstellen.”
2. Benennen Sie das Profil entsprechend den Anforderungen Ihrer Umgebung. Ich würde etwas vorschlagen, das DoH und/oder ODCF enthält, damit Sie wissen, dass es sich um das neue Profil handelt und die neue Methode anstelle des alten Profils verwendet wird, das Sie zuvor verwendet haben.
3. Wählen Sie „Speichern und erstellen.”
4. Ändern Sie im nächsten Fenster keine Einstellungen und wählen Sie „Speichern”

Schritt 2: Erstellen Sie ein sicheres Jamf Internet Profil in Jamf School.

1. Loggen Sie sich in Ihre Jamf School Konsole ein, navigieren Sie zu Profiles → und wählen Sie „Profil erstellen.”
2. Erstellen Sie das Profil, indem Sie „iOS” → „Geräteanmeldung” wählen
3. Benennen Sie das Profil entsprechend den Anforderungen Ihrer Umgebung. Ich würde etwas vorschlagen, das DoH und/oder ODCF enthält, damit Sie das neue Profil bei der Bereitstellung definieren können.
4. Wählen Sie „Fertigstellen”
5. Blättern Sie nach unten zur Nutzlast „Safe Internet” und wählen Sie „Konfigurieren,”
6. Wählen Sie aus dem Dropdown-Menü das Aktivierungsprofil aus, das Sie erstellt haben.
7. Wählen Sie „Speichern”

Schritt 3: Entfernen Sie die Legacy-Bereitstellung von Ihren Geräten.

Bevor Sie Jamf Safe Internet mit den neuen DoH- und ODCF-Funktionen einsetzen, sollten Sie zunächst:

• Die alte Vectoring-Methode von Geräten entfernen.
• Den Geräteeintrag aus Jamf Safe Internet entfernen. Das ist sehr wichtig.

Und so geht's:

1. Deaktivieren Sie in Jamf School das aktuelle Jamf Safe Internet Profil auf den Geräten. Je nachdem, wie Sie Gruppen und Einstellungen konfigurieren, ist dies von Umgebung zu Umgebung unterschiedlich, aber stellen Sie sicher, dass Sie nur das Jamf Safe Internet Profil freischalten.
2. Deaktivieren Sie die Jamf Trust App auf Ihren Geräten. Je nachdem, wie Sie Gruppen und Einstellungen konfigurieren, ist dies von Umgebung zu Umgebung unterschiedlich, aber achten Sie darauf, dass Sie nur Jamf Trust aus dem Bereich nehmen. Bitte beachten Sie, dass die Geräte jetzt nicht mehr von Jamf Safe Internet gefiltert werden.
3. Wechseln Sie zur Konsole Jamf Safe Internet und navigieren Sie zu Geräte → Gerätegruppen.
4. Wählen Sie die zu migrierenden Geräte oder Gerätegruppen aus (stellen Sie sicher, dass Sie das Profil und Jamf Trust bereits in Jamf School entfernt haben), indem Sie das Kontrollkästchen neben den Geräten aktivieren.
5. Klicken Sie auf „Weitere Aktionen” und wählen Sie „Geräte löschen.”
6. Im nächsten Fenster lesen Sie die Informationen und wählen „Löschen.”

Schritt 4: Installieren Sie Jamf Safe Internet mit dem in Schritt 2 erstellten neuen Profil.

Nachdem Ihre Geräte nun vollständig aus der alten Bereitstellung entfernt wurden, können Sie Jamf Safe Internet mithilfe von ODCF erneut auf den Geräten bereitstellen.

1. Verteilen Sie in Jamf School das Profil mit der in Schritt zwei erstellten DoH- und ODCF-Konfiguration auf Geräte. Beachten Sie, dass DoH und ODCF für iOS und iPadOS 16+ geeignet sind.
2. Erweitern Sie Jamf Trust auf die Geräte (es ist keine verwaltete App-Konfig erforderlich).

Jetzt sind die Geräte wieder durch Jamf Safe Internet geschützt, und Sie sehen, dass die Geräte in der Jamf Safe Internet Konsole angezeigt werden.

Wie Sie überprüfen können, ob die Geräte DoH und ODCF verwenden

Unabhängig davon, ob Ihre Bereitstellung neu ist oder ob Sie von der alten Methode migriert haben, können Sie auf dem Gerät überprüfen, ob es über eine DoH- und On-Device Content Filter (ODCF, Inhaltsfilterung auf dem Gerät) -Nutzlast verfügt.

1. Navigieren Sie auf einem Gerät zu Einstellungen → Allgemein.
2. Suchen und wählen Sie VPN, DNS und Geräteverwaltung. Diese Option sagt nur VPN und Geräteverwaltung, wenn ein Gerät nicht eine DoH- und ODCF-Nutzlast hat.
3. Unter „Beschränkungen und Proxies” finden Sie Einträge für „DNS” und „Inhaltsfilter”

Nebenbei bemerkt: Wenn Sie nicht auch ein VPN eingerichtet haben, sollte die Auswahl von „VPN” keine Konfiguration anzeigen.

Was werden meine Nutzer*innen sehen, wenn ODCF oder DoH sie sperren?

Jamf Safe Internet bietet Schüler*innen und Lehrer*innen auf drei Arten Sicherheit:

• Es verhindert, dass Schüler*innen auf ungeeignete Inhalte zugreifen, indem es bestimmte Kategorien sperrt.
• Es kann auch die Google Safe Search erzwingen, damit nur geeignete Suchergebnisse und Bilder angezeigt werden.
• Es schützt Schüler*innen und Lehrer*innen vor Bedrohungen aus dem Internet, wie z. B. Phishing-Links oder Spam-Websites.

Was der Endnutzer/die Endbenutzerin auf seinem Gerät sieht, hängt davon ab, welche Inhalte gesperrt sind. Bei einer Sperrung durch eine Kategorie erhält der Benutzer/die Benutzerin die für das ODCF-Protokoll übliche OS Sperrmeldung.

Handelt es sich bei dem blockierten Inhalt jedoch um eine webbasierte Bedrohungsabwehr, wie z. B. eine Phishing-Website, wird dem Benutzer/der Benutzerin eine mit Jamf gekennzeichnete Blockierungsseite angezeigt.

Wie kann ich IP-Adressen blockieren?

Zunächst müssen Sie sie als benutzerdefinierte Regel zu Ihrer Richtlinie hinzufügen.

1. Navigieren Sie in der Jamf Safe Internet Konsole zu Richtlinien → Inhaltsrichtlinien und stellen Sie sicher, dass Sie die Richtlinie auf der richtigen Ebene (OU) für Ihre Bedürfnisse bearbeiten (Root, Lead oder Group).
2. Wählen Sie „Benutzerdefinierte Regeln.”
3. Geben Sie die IP-Adresse(n), die Sie blockieren möchten, in das Feld „Benutzerdefinierte Regeln hinzufügen” ein.
4. Wählen Sie „Blockieren.”
5. Wählen Sie „Benutzerdefinierte Regeln hinzufügen.”
6. Sie sehen dann Ihre benutzerdefinierten Regeln in der Liste.
7. Stellen Sie sicher, dass Sie „Speichern und Anwenden” wählen, damit diese Änderungen auf die Geräte übertragen werden.

Denken Sie daran, dass die IP-Adressfilterung dank ODCF möglich ist und nur für Geräte mit iOS und iPadOS 16+ verfügbar ist.

Was leistet die geräteinterne Inhaltsfilterung für meine Schule?

Diese Version von Jamf Safe Internet ist sehr aufregend, da sie mehr Funktionen bietet, die mit den nativen Technologien von Apple übereinstimmen; außerdem ist sie umfassender und robuster. Die Sperrung von IP-Adressen ist zwar für jene großartig, die sie benötigen, aber da sie im Netzwerkstapel niedriger angesiedelt ist, können Sie auch mit einem VPN auf dem Gerät filtern. Dies ist eine dringend benötigte Ergänzung; die ODCF bringt uns den Funktionsumfang der Zukunft.

Ja, es gibt ein wenig Arbeit zu übertragen, um sicherzustellen, dass Ihre Geräte DoH und ODCF verwenden. Wenn jedoch clevere Schüler*innen die Filterung mithilfe von IP-Adressen oder VPNs umgangen haben, überwiegen die Vorteile den Aufwand.

Wenn dies in Ihrer Schule noch nie vorgekommen ist, wäre jetzt ein guter Zeitpunkt, zu DoH und ODCF zu wechseln, bevor dies geschieht. Dies ist die Zukunft von Jamf Safe Internet, warum also warten?