教學：Jamf Safe Internet 與裝置端內容過濾

前進未來的網路安全世界

Jamf Safe Internet 近期提供支援「裝置端內容過濾」(ODCF)。

ODCF 是一項 iOS 和 iPadOS 技術，它可在裝置端啟用網路過濾，進一步完善原先的過濾機制。

Jamf Safe Internet 發佈最新版本

ODCF 可過濾網路域名，連同最新過濾 IP 位址的功能，已經達成與 Jamf Safe Internet 一樣的水準，只不過，ODCF 的能力範圍又更加廣泛。

現在起，它能過濾整串 URL、通訊埠，並辨識源自特定 App 的流量。ODCF 位處網路堆棧分層比 VPN 低的位置，也就是說，即便學生安裝 VPN，裝置仍會在流量進入通道前對內容進行過濾。

這項技術相當重視隱私，它除了將請求訊息中的機敏資料剔除，更因為 ODCF 是在裝置端評估流量資料，因此評估動作不須經手 Jamf Security Cloud。

新版 Jamf Safe Internet 新增了各項 ODCF 功能，此外，它的預設向量方法也改為 Apple 的「DNS 設定」承載資料，轉換成一種非 VPN 的向量方法，而 Jamf Safe Internet 正是透過「DNS over HTTP」(以下簡稱 DoH) 機制，來持續防禦 Web 威脅。

現在起這項防禦機制最大化利用了 Apple 原生框架。

還不熟悉 Jamf Safe Internet 嗎？

此次更新也為 iOS 和 iPadOS 16 以及後續版本做出改良。

Jamf Pro

• 如果你剛開始使用 Jamf Safe Internet，而且手邊裝置運行的是 iOS 或 iPadOS 16 以下版本的系統，則你必須確保在這些裝置上安裝舊版描述檔
• 如果你打算透過 Jamf Pro 來部署 Jamf Safe Internet，而且手邊裝置運行的是 iOS 或 iPadOS 16 以下版本的系統，那麼我們會建議你參考 Jamf Safe Internet 技術文件中的《在 Jamf Pro 中開始使用 Jamf Safe Internet》教學文章

文章內「下載相關配置檔案，並完成 Jamf Pro 說明。」的地方，表示你需要從 Jamf Safe Internet 控制台上的「iOS and iPadOS unsupervised (or supervised earlier than 16)」(未受監管的 iOS 和 iPadOS 裝置 (或運行 iOS/iPadOS 16 以下版本的受監管裝置)) 選項下方選擇描述檔。

接著請完成教學文章的後續步驟，但務必確保只將這個描述檔套用在運行 iOS 或 iPadOS 16 以下版本的裝置，你也可以利用「智慧型群組」完成這個動作。如果你環境中的裝置同時參雜運行 iOS 和 iPadOS 16 以下與後續版本的裝置，則重複相同步驟，但請改選擇「iOS and iPadOS supervised (16 or later)」(受監管的 iOS 和 iPadOS 裝置 (iOS/iPad 16 或後續版本)) 選項底下的描述檔。

Jamf School

如果你打算透過 Jamf School 來部署 Jamf Safe Internet，而且手邊裝置運行的是 iOS 或 iPadOS 16 以下版本的系統，那麼你將無法使用 Jamf School 內建的一鍵連線功能，請改用：

1. 登入 Jamf Safe Internet，並選取預設啟用描述檔
2. 在「Select your UEM」(選擇你的 UEM) 底下，選擇「Jamf School」
3. 在「Select your OS」(選擇你的作業系統) 底下，選擇「iOS and iPadOS unsupervised (or supervised earlier than 16)」(未受監管的 iOS 和 iPadOS 裝置 (或運行 iOS/iPadOS 16 以下版本的受監管裝置))

接著請從控制台下載設定描述檔。

取得描述檔後，請將該描述檔以自訂描述檔的形式，連同 Jamf Trust App 一起上傳至 Jamf School，並將範圍鎖定在運行 iOS/iPadOS 16 以下版本的裝置。你也可以利用「智慧型群組」完成這個動作。

如果你環境中的裝置同時參雜運行 iOS 和 iPadOS 16 以下與後續版本的裝置，請為 iOS 或 iPadOS 16 和後續版本的裝置使用一鍵連線功能，至於 iOS 或 iPadOS 16 以下版本的裝置，則比照前述方法。

已經在使用 Jamf Safe Internet？

如果你負責的裝置在 ODCF 未推出前，就已經裝有 Jamf Safe Internet，那便意味著這些裝置使用的是舊版描述檔。

• 如果這些裝置運行的是 iOS 或 iPadOS 16 以下的版本，那麼什麼動作都不需要執行，Jamf Safe Internet 會繼續以舊版描述檔運轉 (並採用不具備 ODCF 功能的 VPN 向量方法)
• 倘若你負責的裝置運行的是 iOS 或 iPadOS 16 與後續版本，而且你想導入 DoH 和 ODCF 功能，那麼你就會需要改採用新版描述檔

這個遷移流程有數個步驟，但總體而言不會太過複雜。很重要的一點是，請務必遵循下方的每一個步驟，這是為了確保過濾機制能如預期執行。

步驟 1：建立包含 DoH 和 ODCF 設定的啟用描述檔

1. 首先先登入 Jamf Safe Internet，依序點選「Devices」(裝置) →「Activation Profiles」(啟用描述檔) →「Create Profile」(建立描述檔)
2. 依照你的環境需求來為新的描述檔命名。我會建議在名稱中包含「DoH」和/或「ODCF」的字眼，如此一來便可以辨別這是新的、採用新向量方法的描述檔
3. 按一下「Save and create」(儲存並建立)
4. 請不要更動下個畫面中的任何設定，並直接點選「Save」(儲存)

步驟 2：在 Jamf School 上建立新的 Jamf Safe Internet 描述檔

1. 登入 Jamf School，依序點選「Profiles」(描述檔) →「Create Profile」(建立描述檔)
2. 依序點選「iOS」→「Device Enrollment」(裝置註冊) 來建立描述檔
3. 依照你的環境需求來為新的描述檔命名。我會建議在名稱中包含「DoH」和/或「ODCF」的字眼，如此一來便可以在部署時一眼認出新的描述檔
4. 按一下「Finish」(完成)
5. 往下滑至「Safe Internet」承載資料，點按「Configure」(設定)
6. 從下拉式選單中選擇你建立的啟用描述檔
7. 按一下「Save」(儲存)

步驟 3：將舊版描述檔從裝置上移除

在部署配備 DoH 和 ODCF 功能的 Jamf Safe Internet 之前，請先：

• 將舊版向量方法從裝置上移除
• 將裝置紀錄從 Jamf Safe Internet 移除，這一步驟相當重要

移除教學如下：

1. 在 Jamf School 中，取消派發既有的 Jamf Safe Internet 描述檔；每個環境配置群組和設定的方式都是獨特的，因此請確保只有替 Jamf Safe Internet 描述檔取消界定範圍
2. 取消派發 Jamf Trust App；每個環境配置群組和設定的方式都是獨特的，因此請確保只有替 Jamf Trust 描述檔取消界定範圍。請注意，此時 Jamf Safe Internet 已停止在裝置上過濾內容
3. 返回 Jamf Safe Internet 控制台，並依序點選「Devices」(裝置) →「Device groups」(裝置群組)
4. 勾選裝置旁的方塊，選取你要遷移的裝置或裝置群組 (請確保你已透過 Jamf School 移除裝置上的 Jamf Trust 和描述檔)
5. 按一下「More actions」(更多動作)，並選取「Delete devices」(刪除裝置)
6. 閱讀下一個畫面顯示的訊息，並按一下「Delete」(刪除)

步驟 4：使用「步驟 2」中建立的描述檔來部署 Jamf Safe Internet

所有裝置現在已從舊版部署作業移除，你可以使用 ODCF 重新將 Jamf Safe Internet 部署至裝置。

1. 在 Jamf School 中，把「步驟 2」中建立且配備 DoH 和 ODCF 功能的描述檔派發至裝置。別忘了，DoH 和 ODCF 功能只適合運行 iOS 和 iPadO 16 及後續版本的裝置
2. 將 Jamf Trust 派發至裝置 (無需使用 Managed App Config)

此時，Jamf Safe Internet 恢復對裝置的保護機制，裝置也會顯示在 Jamf Safe Internet 控制台。

如何確認裝置已配置 DoH 和 ODCF？

不論是全新或從舊有部署作業遷移而來，你都可以進一步確認裝置是否配有 DoH 和「裝置端內容過濾」承載資料。

1. 在任一裝置上，依序開啟「Settings」(設定) →「General」(一般)
2. 尋找並選取「VPN, DNS and Device Management」(VPN、DNS 與裝置管理)。如果該裝置只有顯示「VPN and Device Management」(VPN 與裝置管理) 選項，則代表這台裝置沒有配置 DoH 和 ODCF 承載資料
3. 在「限制和代理伺服器」底下，你會看到「DNS」和「Content Filter」(內容過濾器)

補充說明一下，除非有特別部署 VPN，否則要是選了「VPN」，畫面會顯示「無配置」。

如果網頁遭到 ODCF 或 DoH 封鎖，使用者會看到什麼畫面？

Jamf Safe Internet 透過三種方法確保學生與教職人員的安全：

• 藉由封鎖特定類別，我們可協助避免學生存取不當內容
• 導入 Google 的「安全搜尋」功能，確保只顯示合宜的搜尋結果與圖片
• 抵禦釣魚連結或垃圾網站等 Web 威脅，確保學生與教職人員安全無虞

終端使用者看到的畫面會因被封鎖的內容而異。如果是整個類別的內容遭到封鎖，則畫面會顯示 ODCF 標準版封鎖訊息。

如果是釣魚網站這類的 Web 威脅遭到封鎖，則畫面會顯示帶有 Jamf 標誌的封鎖訊息。

我該如何封鎖 IP 位址？

首先你需要以自訂規則將你想封鎖的 IP 位址加至政策。

1. 前往 Jamf Safe Internet 控制台，依序點按「Policies」(政策) →「Content policy」(內容政策)，並確認你在正確的層級 (Root、Leaf 或 Group) 編輯政策
2. 選取「Custom Rules」(自訂規則)
3. 將你想封鎖的 IP 位址輸入「Add custom rules」(新增自訂規則) 欄位
4. 切換至「Block」(封鎖)
5. 選取「Add custom rules」(新增自訂規則)
6. 下方清單會顯示你方才新增的自訂規則
7. 最後別忘了選取「Save and apply」(儲存並套用)，才能將變更內容套用於裝置

請記得，多虧有 ODCF 我們才能過濾 IP 位址，而這項功能僅適用於運行 iOS 和 iPadOS 16 及後續版本的裝置。

裝置端內容過濾能為我服務的學校帶來什麼優勢？

新版 Jamf Safe Internet 與 Apple 原生技術對齊，帶來多個令人期待的功能，提供更完善、穩健的機制。縱使對有需求的用戶來說，過濾 IP 位址的能力很實用，但是若可以在網路堆棧的底層先行使用裝置的 VPN 進行過濾，則可以過濾得更平均。ODCF 不僅十分重要，這個組合也引領我們看見未來世界的更多可能。

你可能會嫌遷移作業很麻煩，但是如果能阻擋聰明的學生運用 IP 位址或 VPN 繞過過濾機制，那麼遷移相較之下就顯得輕鬆許多，也非常值得。

如果你還沒遇過這個問題，不妨現在就啟用 DoH 和 ODCF，防患於未然。Jamf Safe Internet 的未來技術已經到來，趕緊把握時間吧。