Zo werkt het: On-Device Content Filtering met Jamf Safe Internet

Stap in de cyberbeveiliging van de toekomst.

Jamf Safe Internet heeft onlangs On-Device Content Filtering) (ODCF) toegevoegd.

Apple levert deze technologie als onderdeel van iOS en iPadOS. ODCF maakt netwerkfiltering direct op het apparaat mogelijk, waardoor het een veel uitgebreider filter is.

Nieuwste Jamf Safe Internet release

Met deze versie heeft ODCF de mogelijkheid toegevoegd om IP-adressen te filteren bovenop domeinnamen, wat Jamf Safe Internet altijd al deed. Het toepassingsgebied voor ODCF-technologie is echter veel breder dan dit.

Het is nu mogelijk om volledige URL's en poorten te filteren en verkeer te identificeren dat afkomstig is van specifieke apps. ODCF zit ook lager in de netwerkstack dan VPN, wat betekent dat zelfs als leerlingen een VPN installeren, hun apparaat nog steeds content filtert voordat het door de tunnel gaat.

Deze technologie is ook zeer privacy-beschermend. Een enorme hoeveelheid gevoelige gegevens wordt uit verzoeken verwijderd en omdat ODCF de verkeersgegevens op het apparaat evalueert, hoeft het niet naar de beveiligingscloud van Jamf te gaan voor evaluatie.

Deze release heeft niet alleen de ODCF-mogelijkheden aan Jamf Safe Internet toegevoegd. Het veranderde ook de standaard vectormethode naar Apple's 'DNSSetting' payload, in plaats van een VPN-vectoring methode. Dankzij deze 'DNS over HTTPS' (DoH) kan Jamf Safe Internet webgebaseerde bescherming tegen bedreigingen blijven bieden.

Dat gebeurt nu door optimaal gebruik te maken van de native frameworks van Apple.

Nieuw bij Jamf Safe Internet?

Deze release is geoptimaliseerd voor apparaten met iOS en iPadOS 16+.

Jamf Pro

• Als je een nieuwe klant van Jamf Safe Internet bent en iOS- of iPadOS-apparaten hebt die ouder zijn dan versie 16, moet je ervoor zorgen dat je het oude profiel op deze apparaten implementeert.
• Als je Jamf Pro gebruikt om Jamf Safe Internet te implementeren en apparaten hebt met iOS of iPadOS ouder dan 16, moet je het gedeelte Aan de slag met Jamf Safe Internet in Jamf Pro van onze Jamf Safe Internet-documentatie volgen.

Waar in de handleiding staat: 'Download de relevante configuratiebestanden en vul de Jamf Pro-instructies in', moet je het configuratiebestand selecteren in de Jamf Safe Internet-console onder 'iOS en iPadOS zonder supervisie (of onder supervisie ouder dan 16)'

Volg de rest van de handleiding, maar zorg ervoor dat je dit configuratieprofiel alleen toepast op apparaten met iOS of iPadOS ouder dan iOS 16. Je kunt dit doen met Smart Groups (slimme groepen). Voor omgevingen die zowel iOS en iPadOS 16+ als eerder gebruiken, herhaal je het proces maar kies je het configuratieprofiel onder 'iOS en iPadOS onder toezicht (16 of later)'

Jamf School

Als u Jamf School gebruikt om Jamf Safe Internet te implementeren en apparaten hebt met iOS of iPadOS ouder dan 16, kunt u de ingebouwde eenkliksverbinding van Jamf School niet gebruiken. In plaats daarvan:

1. Meld je aan bij de Jamf Safe Internet-console en selecteer het standaard activeringsprofiel.
2. Kies 'Jamf School' onder 'Selecteer je UEM'
3. Kies onder 'Select your OS' (Selecteer je OS) voor 'iPadOS unsupervised' (iOS en iPadOS zonder supervisie of onder supervisie ouder dan 16)

Download vervolgens het configuratieprofiel van de console.

Zodra je dit profiel hebt, upload je het naar School Jamf als een aangepast profiel en scope je het, samen met de Jamf Trust-app, alleen naar apparaten met iOS of iPadOS ouder dan iOS 16. Je kunt dit doen met slimme groepen.

Voor omgevingen die zoweliOS en iPadOS 16+ als eerdere versies van gebruiken, gebruik je de ingebouwde verbinding met één klik voor apparaten 16+ en gebruik je de bovenstaande methode voor apparaten met een iOS of iPadOS ouder dan 16.

Heb je al Jamf Safe Internet?

Als je Jamf Safe Internet al vóór de release van ODCF op je apparaten hebt geïnstalleerd, gebruiken al je apparaten het oude profiel.

• Als je apparaten hebt met een iOS- of iPadOS-versie die ouder is dan iOS 16, hoef je geen actie te ondernemen. Jamf Safe Internet blijft werken in zijn oude vorm (met een VPN-vectoringsmethode en zonder ODCF-mogelijkheden).
• Als je apparaten hebt met iOS of iPadOS 16+ en gebruik wilt maken van de nieuwe DoH- en ODCF-mogelijkheden, moet je je apparaten migreren vanuit de legacy-implementatie.

De migratie bestaat uit een aantal stappen en is een eenvoudig proces. Het is echter uiterst belangrijk dat je alle stappen volgt die hier worden beschreven. Anders bestaat het risico dat je apparaten content niet op de verwachte manier filteren.

Stap 1: Maak een activeringsprofiel met de nieuwe DoH en ODCF configuratie aan.

1. Meld je aan bij je Jamf Safe Internet-console en navigeer naar Devices (Apparaten) → Activation Profiles (Activeringsprofielen )→ en selecteer 'Create Profile' (Maak profiel aan)
2. Geef het profiel een naam volgens de behoeften van je omgeving. Ik zou iets voorstellen met DoH en/of ODCF, zodat je weet dat dit het nieuwe profiel is en dat het de nieuwe methode gebruikt in plaats van het oudere oude profiel dat je eerder gebruikte.
3. Selecteer 'Opslaan en maken'
4. Wijzig in het volgende venster geen instellingen en selecteer 'Save' (Opslaan)

Stap 2: Maak een Jamf Safe Internet-profiel aan in Jamf School.

1. Log in op je Jamf School-console en navigeer naar Profiles (Profielen) → en selecteer 'Create Profile' (Profiel maken)
2. Maak het profiel aan door 'iOS' → 'Device Enrollment' (Apparaatregistratie) te selecteren
3. Geef het profiel een naam volgens de behoeften van je omgeving. Ik zou iets voorstellen dat DoH en/of ODCF bevat, zodat je het nieuwe profiel definieert tijdens het implementeren.
4. Selecteer 'Finish' (Voltooien).
5. Scroll naar beneden naar de payload 'Veilig internet' en selecteer 'Configure' (Configureren).
6. Selecteer in het vervolgkeuzemenu het activeringsprofiel dat je hebt gemaakt.
7. Selecteer 'Save' (Opslaan).

Stap 3: Verwijder de oudere implementatie van je apparaten.

Voordat je Jamf Safe Internet met de nieuwe DoH- en ODCF-mogelijkheden implementeert, moet je eerst het volgende doen:

• Verwijder de oude vectormethode van apparaten.
• Verwijder de apparaatrecord uit Jamf Safe Internet. Dit is heel belangrijk.

Zo doe je dat:

1. Verwijder in Jamf School het huidige Jamf Safe Internet-profiel van de apparaten. Dit is uniek voor elke omgeving, afhankelijk van hoe je groepen en instellingen configureert, maar zorg ervoor dat je alleen het Jamf Safe Internet-profiel uitsluit.
2. Verwijder de Jamf Trust-app van apparaten. Dit is uniek voor elke omgeving, afhankelijk van hoe je groepen en instellingen configureert, maar zorg ervoor dat je alleen Jamf Trust verwijdert. Houd er op dit moment rekening mee dat de apparaten niet langer worden gefilterd door Jamf Safe Internet.
3. Ga naar de Jamf Safe Internet-console en ga naar Devices (Apparaten) → Device groups (Apparaatgroepen).
4. Selecteer de apparaten of de groep apparaten die je wilt migreren (zorg ervoor dat je het profiel en Jamf Trust al hebt verwijderd binnen Jamf School) door het selectievakje naast de apparaten aan te vinken.
5. Klik op 'Meer acties' en selecteer 'Delete devices' (Verwijder apparaten).
6. Lees de informatie in het volgende venster en selecteer 'Verwijderen'

Stap 4: Implementeer Jamf Safe Internet met behulp van het nieuwe profiel dat in stap twee is gemaakt.

Nu je apparaten volledig zijn verwijderd uit de legacy-implementatie, kun je Jamf Safe Internet opnieuw implementeren op de apparaten met behulp van ODCF.

1. Scope in Jamf School het profiel met de DoH- en ODCF-configuratie die in stap twee is gemaakt naar apparaten. Vergeet niet dat DoH en ODCF geschikt zijn voor iOS en iPadOS 16+.
2. Scope Jamf Trust naar de apparaten (hiervoor is geen beheerde app config nodig).

Op dit moment worden apparaten opnieuw beschermd door Jamf Safe Internet en zie je apparaten verschijnen in de Jamf Safe Internet-console.

Hoe te controleren of apparaten DoH en ODCF gebruiken

Ongeacht of je inzet nieuw is of je bent gemigreerd van de oude methode, je kunt op het apparaat controleren of het een DoH en On-Device Content Filter payload heeft.

1. Navigeer op een apparaat naar Instellingen → General (Algemeen).
2. Zoek en selecteer VPN, DNS en Device Management (Apparaatbeheer). Deze optie laat alleen VPN en Apparaatbeheer zien als een apparaat niet een DoH en ODCF payload heeft.
3. Onder '“Restrictions and Proxies' (Beperkingen en proxy's) zie je vermeldingen voor 'DNS' en 'contentfilter'

Terzijde: tenzij je ook een VPN hebt geïmplementeerd, zou het selecteren van 'VPN' geen configuratie moeten tonen.

Wat krijgen mijn gebruikers te zien als ODCF of DoH ze blokkeert?

Jamf Safe Internet houdt studenten en docenten op drie manieren veilig:

• Het voorkomt dat leerlingen toegang krijgen tot ongepaste content door bepaalde categorieën te blokkeren.
• Het kan ook Google Safe Search afdwingen zodat alleen geschikte zoekresultaten en afbeeldingen worden weergegeven.
• Het houdt leerlingen en leraren veilig door bescherming te bieden tegen webbedreigingen, zoals phishing-links of spamwebsites.

Wat de eindgebruiker op het apparaat ziet, hangt af van welke content wordt geblokkeerd. Als een categorie blokkeert, krijgt de gebruiker het OS-blokkeringsbericht te zien dat standaard is voor het ODCF-protocol.

Als de geblokkeerde content echter een webgebaseerde dreigingspreventie is, zoals een phishingsite, krijgt de gebruiker een blokkeerpagina van het merk Jamf te zien.

Hoe blokkeer ik IP-adressen?

Eerst moet je ze toevoegen aan je beleid als een aangepaste regel.

1. Navigeer in de Jamf Safe Internet-console naar Policy (Beleid) → Content policies (Contentbeleidsregels) en zorg ervoor dat je het beleid bewerkt op het juiste niveau (OU) voor jouw behoeften (Root, Lead of Groep).
2. Selecteer Custom rules'('Aangepaste regels).
3. Voer de IP-adressen die je wilt blokkeren in het vak 'Add custom rules' (Voeg aangepaste regels toe) in.
4. Kies 'Block' (Blokkeren)
5. Selecteer 'Add Custom Rules' (Voeg aangepaste regels toe)
6. Je ziet dan je aangepaste regels in de lijst.
7. Zorg ervoor dat je 'save and apply' (opslaan en toepassen) selecteert, zodat deze wijzigingen worden afgeleverd bij apparaten.

Vergeet niet dat filteren op IP-adressen mogelijk is dankzij ODCF en alleen beschikbaar is voor apparaten met iOS en iPadOS 16+.

Wat doet On-Device Content Filtering voor mijn school?

Deze release van Jamf Safe Internet is super spannend omdat het meer functies in lijn brengt met de native technologieën van Apple; het is ook uitgebreider en robuuster. Hoewel het blokkeren van IP-adressen geweldig is voor degenen die het nodig hebben, kun je door lager in de netwerk stack te zitten zelfs filteren met een VPN op het apparaat. Dit is een broodnodige toevoeging; ODCF brengt ons de functieset van de toekomst.

Ja, er is wat werk aan de migratie om ervoor te zorgen dat je apparaten DoH en ODCF gebruiken. Maar als slimme leerlingen het filteren hebben omzeild door IP-adressen of VPN's te gebruiken, wegen de voordelen niet op tegen het werk.

Als dit nog nooit is voorgekomen op jouw school, is dit een goed moment om over te stappen naar DoH en ODCF voordat het gebeurt. Dit is de toekomst van Jamf Safe Internet, dus waarom wachten?