Tutoriel : Filtrage de contenu sur l’appareil avec Jamf Safe Internet

Le filtrage de contenu sur l’appareil est un atout de poids pour la cybersécurité. Il permet de sécuriser les terminaux dans un contexte que les écoles connaissent bien : l’utilisation de VPN par les élèves. Découvrez comment configurer Jamf Safe Internet pour profiter de tous les avantages de l’outil.

Août 25 2023 Par

A high school student on a MacBook throwing his arms up in angry frustration when he meets Jamf Safe Internet's On-Device-Content-Filtering.

Entrez dans l’avenir de la cybersécurité.

Jamf Safe Internet a récemment intégré le filtrage de contenu sur l’appareil (ODCF).

Cette technologie Apple fait partie du cadre d’iOS et d’iPadOS. L’ODCF applique un filtrage réseau directement sur l’appareil, ce qui le rend beaucoup plus complet.

Protégez les étudiants et les appareils avec le filtrage de contenu sur l’appareil.

Nouvelle version de Jamf Safe Internet

En intégrant l’ODCF, cette nouvelle version permet de filtrer les adresses IP en plus des noms de domaine – une fonctionnalité présente depuis toujours dans Jamf Safe Internet. Mais le champ d’application de la technologie ODCF est bien plus large que cela.

Il est désormais possible de filtrer des URL complètes et des ports, mais aussi d’identifier le trafic provenant d’applications spécifiques. De plus, l’OCDF se situe plus bas que le VPN dans la pile réseau. Autrement dit, même si les étudiants installent un VPN, leur appareil filtrera tout de même le contenu avant qu’il n’emprunte le tunnel.

Autre avantage, cette technologie est très respectueuse de la vie privée. Elle élimine des requêtes une quantité considérable de données sensibles. Et comme les données de trafic sont évaluées sur l’appareil, il n’est pas nécessaire de les transmettre au cloud de sécurité de Jamf.

Cette nouvelle version de Jamf Safe Internet n’intègre pas seulement les fonctionnalités ODCF. Elle adopte également la charge utile « DNSSetting » d’Apple comme méthode de vectorisation par défaut et abandonne la méthode de vectorisation VPN. C’est avec cette approche « DNS sur HTTPS » (DoH) que Jamf Safe Internet continue de fournir une prévention contre les menaces basées sur le Web.

Aujourd’hui, elle s’appuie sur la puissance des frameworks natifs d’Apple.

Vous découvrez Jamf Safe Internet ?

Cette version a été optimisée pour les appareils exécutant iOS et iPadOS 16.

Jamf Pro

  • Si vous êtes un nouveau client Jamf Safe Internet et que vous possédez des appareils qui exploitent une version antérieure à 16 d’iOS ou iPadOS, prenez soin de déployer l’ancien profil sur ces appareils.
  • Si vous utilisez Jamf Pro pour déployer Jamf Safe Internet et que vous possédez des appareils qui exploitent une version antérieure à 16 d’iOS ou iPadOS, suivez la section Démarrer avec Jamf Safe Internet dans Jamf Pro de notre documentation Jamf Safe Internet.

Quand le guide indique : « Téléchargez les fichiers de configuration pertinents et suivez les instructions de Jamf Pro », vous devrez sélectionner les profils de configuration figurant sous « iOS et iPadOS non supervisés (ou supervisés avant la version 16) » dans la console Jamf Safe Internet.

Jamf Pro Managed deployment screen: Image outlines visually steps to take, which are laid out in the copy and links above.

Suivez le reste du guide, mais veillez à n’appliquer ce profil de configuration qu’aux appareils dont la version est antérieure à iOS 16 ou iPadOS 16. Les Groupes intelligents vous faciliteront la tâche. Dans les environnements où se côtoient iOS et iPadOS 16 et des versions antérieures, répétez le processus en choisissant cette fois le profil de configuration « iOS et iPadOS supervisés (16 ou version ultérieure) ».

Jamf School

Si vous utilisez Jamf School pour déployer Jamf Safe Internet et que vous possédez des appareils qui exploitent une version antérieure à 16 d’iOS ou iPadOS, vous ne pourrez pas utiliser la connexion en un clic intégrée de Jamf School. Voici la marche à suivre :

  1. Connectez-vous à la console Jamf Safe Internt et sélectionnez le profil d’activation par défaut.
  2. Sous « Sélectionnez votre UEM », choisissez « Jamf School ».
  3. Sous « Sélectionnez votre système d’exploitation », choisissez « iOS et iPadOS non supervisés (ou supervisés avant la version 16) ».

Ensuite, téléchargez le profil de configuration depuis la console.

Jamf School Managed deployment screen: Image outlines visually the steps to take, which are laid out in the copy above.

Une fois que vous avez ce profil, importez-le dans Jamf School en tant que profil personnalisé. Vous allez ensuite uniquement appliquer ce profil, ainsi que l'application Jamf Trust, aux appareils dotés de versions antérieures à iOS 16 ou iPadOS 16. Les Groupes intelligents seront encore une fois utiles.

Dans les environnements utilisant à la fois iOS et iPadOS 16 ainsi que des versions antérieures, utilisez la connexion intégrée en un clic pour les appareils sous version 16 et plus, et utilisez la méthode ci-dessus pour les appareils dotés de versions antérieures à iOS 16 ou iPadOS 16.

Vous utilisez déjà Jamf Safe Internet ?

Si Jamf Safe Internet était déjà déployé sur vos appareils avant la publication d’ODCF, tous vos appareils utiliseront l’ancien profil.

  • Si vous possédez des appareils qui exécutent des versions antérieures à iOS 16 ou iPadOS 16, vous n’avez rien à faire. Jamf Safe Internet continuera de fonctionner sous sa forme classique (en utilisant la méthode de vectorisation VPN et sans capacités ODCF).
  • Si vous possédez des appareils sous iOS ou iPadOS 16 et que vous souhaitez utiliser les nouvelles fonctionnalités DoH et ODCF, vous devrez migrer vos appareils depuis le déploiement existant.

La migration est un processus simple qui comporte plusieurs étapes. Suivez-les très attentivement pour éviter tout risque que le filtrage ne s’effectue pas correctement.

Étape 1 : Créez un profil d’activation contenant la nouvelle configuration DoH et ODCF.

  1. Connectez-vous à votre console Jamf Safe Internet, accédez à Appareils → Profils d’activation et sélectionnez « Créer un profil ».
  2. Nommez le profil en fonction des besoins de votre environnement. Je vous suggère d’inclure DoH et/ou ODCF dans le nom pour préciser qu’il s’agit du nouveau profil et qu’il utilise bien la nouvelle méthode de vectorisation.
  3. Sélectionnez « Enregistrer et créer ».
  4. Dans la fenêtre suivante, ne modifiez aucun paramètre et sélectionnez « Enregistrer ».
Jamf Safe Internet

Étape 2 : Créez un profil Jamf Safe Internet dans Jamf School.

  1. Connectez-vous à votre console Jamf School, accédez aux Profils et sélectionnez « Créer un profil ».
  2. Créez le profil en sélectionnant « iOS » → « Inscription des appareils ».
  3. Nommez le profil en fonction des besoins de votre environnement. Je vous suggère d’inclure DoH et/ou ODCF dans le nom pour identifier le nouveau profil au moment du déploiement.
  4. Sélectionnez « Terminer ».
  5. Descendez jusqu’à la charge utile « Safe Internet » et sélectionnez « Configurer ».
  6. Dans le menu déroulant, sélectionnez le profil d’activation que vous avez créé.
  7. Sélectionnez « Enregistrer ».
Activation profile screen from Jamf School showing a dropdown to select Jamf Safe Internet.

Étape 3 : Supprimez l’ancien déploiement de vos appareils.

Avant de déployer Jamf Safe Internet avec les nouvelles fonctionnalités DoH et ODCF :

  • Supprimez la méthode de vectorisation héritée des appareils.
  • Supprimez l’enregistrement de l’appareil de Jamf Safe Internet. Cette étape est cruciale.

Procédez comme suit :

  1. Dans Jamf School, retirez les appareils du champ d’application du profil actuel de Jamf Safe Internet. Le déroulement de cette étape change d’un environnement à l’autre, en fonction de la façon dont vous avez configuré les groupes et les paramètres. Assurez-vous toutefois de les retirer uniquement du profil Jamf Safe Internet.
  2. Retirez tous les appareils du champ d’application de l’application Jamf Trust. Le déroulement de cette étape change d’un environnement à l’autre, en fonction de la façon dont vous avez configuré les groupes et les paramètres. Assurez-vous toutefois de les retirer uniquement de Jamf Trust. À ce stade, sachez que les appareils ne sont plus filtrés par Jamf Safe Internet.
  3. Accédez à la console Jamf Safe Internet et accédez à Appareils → Groupes d’appareils.
  4. Sélectionnez les appareils ou le groupe d’appareils à migrer (en vérifiant que vous leur avez bien retiré le profil et Jamf Trust dans Jamf School) en cochant les cases correspondantes.
  5. Cliquez sur « Plus d’actions » et sélectionnez « Supprimer les appareils ».
  6. Dans la fenêtre suivante, lisez les informations et sélectionnez « Supprimer ».
Jamf School screen visually showing the process outlined in above copy.
Jamf School screen visually showing the process outlined in above copy.
Screen showing

Étape 4 : Déployez Jamf Safe Internet à l’aide du profil créé à la deuxième étape.

Vos appareils ont été entièrement supprimés du déploiement existant : vous pouvez donc redéployer Jamf Safe Internet sur les appareils compatibles avec ODCF.

  1. Dans Jamf School, appliquez aux appareils le profil contenant la configuration DoH et ODCF, créé à la deuxième étape. N’oubliez pas que DoH et ODCF sont compatibles avec iOS et iPadOS 16.
  2. Déployez Jamf Trust sur les appareils (aucune configuration d’application gérée n’est nécessaire).

À ce stade, les appareils sont à nouveau protégés par Jamf Safe Internet et ils apparaissent progressivement dans la console Jamf Safe Internet.

Vérifier que les appareils utilisent DoH et ODCF

Qu’il s’agisse d’un nouveau déploiement ou que vous veniez de la méthode précédente, vous pouvez vérifier sur l’appareil qu’il dispose d’une charge utile DoH et de filtrage de contenu.

  1. Sur un appareil, accédez à Paramètres → Général.
  2. Recherchez et sélectionnez VPN, DNS et gestion des appareils. Cette option indiquera uniquement VPN et gestion des appareils si un appareil ne possède pas de charge utile DoH et ODCF.
  3. Sous « Restrictions et proxys », vous verrez des entrées « DNS » et « Filtre de contenu ».

Une remarque : à moins que vous n’ayez également déployé un VPN, vous ne devriez voir aucune configuration si vous sélectionnez « VPN ».

Screen of device settings with sections from above description highlighted.

Que verront mes utilisateurs en cas de blocage d’un contenu par ODCF ou DoH ?

Jamf Safe Internet assure la sécurité des élèves et des enseignants de trois manières :

  • Il empêche les élèves d’accéder à du contenu inapproprié en bloquant certaines catégories.
  • Il peut également imposer Google Safe Search pour afficher uniquement des résultats de recherche et des images appropriés.
  • Il assure la sécurité des élèves et des enseignants en les protégeant contre les menaces basées sur le Web, comme les liens de phishing et les sites frauduleux.

Ce que l’utilisateur final voit sur l’appareil dépend du contenu bloqué. S’il est bloqué en raison de sa catégorie, l’utilisateur verra le message de blocage standard de l’OS pour le protocole ODCF.

Block screen showing: Restricted Site. You cannot browse this page at

En revanche, si le contenu est bloqué pour le protéger d’une menace web comme un site de phishing, l’utilisateur verra une page de blocage aux couleurs de Jamf.

Block screen reads: [Jamf logo] Security Risk Identified The site you are attempting to view is insecure and has been blocked. For more information, please contact your administrator. Site classification: Phishing.

Comment bloquer des adresses IP ?

Avant toute chose, vous devez les ajouter à votre stratégie en tant que règle personnalisée.

  1. Dans la console Jamf Safe Internet, accédez à Règles → Règles de contenu et vérifiez que vous modifiez la politique au niveau (OU) correspondant à vos besoins (Root, Lead ou Groupe).
  2. Sélectionnez « Règles personnalisées ».
  3. Saisissez les adresses IP que vous souhaitez bloquer dans la case « Ajouter des règles personnalisées ».
  4. Choisissez « Bloquer ».
  5. Sélectionnez « Ajouter des règles personnalisées ».
  6. Vos règles personnalisées apparaissent dans la liste.
  7. N’oubliez pas de sélectionner « enregistrer et appliquer » pour que ces modifications soient transmises aux appareils.

Attention : le filtrage des adresses IP repose sur ODCF et n’est disponible que pour les appareils équipés d’iOS et d’iPadOS 16.

Jamf Safe Internet console showing the content policy screen.

Quels sont les avantages du filtrage de contenu sur l’appareil pour mon école ?

Cette nouvelle version passionnante de Jamf Safe Internet aligne davantage de fonctionnalités sur les technologies natives d’Apple ; elle est également plus complète et plus robuste. Le blocage des adresses IP peut être extrêmement pratique. Et comme il s’exerce à un niveau inférieur de la pile réseau, il reste opérant sur les appareils équipés d’un VPN. Désormais incontournable, l’OCDF nous apporte des fonctionnalités d’avenir.

Certes, la migration vers cette nouvelle technologie demande un peu de travail. Mais si de brillants étudiants contournent le filtrage à l’aide d’adresses IP ou de VPN, les avantages l’emportent nettement sur l’effort qu’ils réclament.

Et même si vous n’avez pas encore rencontré ce cas dans votre école, prenez les devants et passez dès maintenant au DoH et à l’ODCF. C’est l’avenir de Jamf Safe Internet : pourquoi attendre ?

Essayez Jamf Safe Internet gratuitement.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.