Citrix Secure Access für iOS-Benutzer einrichten
Wichtig:
Citrix SSO für iOS wurde jetzt in Citrix Secure Access umbenannt. Wir aktualisieren unsere Dokumentation und die Screenshots der Benutzeroberfläche, um diese Namensänderung widerzuspiegeln. Möglicherweise stellen Sie fest, dass in der Übergangszeit in der Dokumentation Citrix SSO-Referenzen verwendet werden.
VPN kann unter iOS 12 und höher nicht verwendet werden. Verwenden Sie Citrix Secure Access, um weiterhin VPN zu nutzen.
Eine Liste einiger häufig verwendeter Funktionen, die von Citrix Secure Access für iOS unterstützt werden, finden Sie unter NetScaler Gateway VPN-Clients und unterstützte Funktionen.
Kompatibilität mit MDM-Produkten
Citrix Secure Access (macOS/iOS) ist mit den meisten MDM-Anbietern wie Citrix Endpoint Management (früher XenMobile), Microsoft Intune usw. kompatibel.
Citrix Secure Access (macOS/iOS) unterstützt auch eine Funktion namens Network Access Control (NAC). Weitere Informationen zu NAC finden Sie unter Konfigurieren des Geräts für die Netzwerkzugriffssteuerung. Überprüfen Sie den virtuellen NetScaler Gateway-Server für die Einzelfaktor-Anmeldung Mit NAC können MDM-Administratoren die Konformität von Endbenutzergeräten durchsetzen, bevor sie eine Verbindung zur NetScaler Appliance herstellen. NAC auf Citrix Secure Access (macOS/iOS) erfordert einen MDM-Server wie Citrix Endpoint Management oder Intune und NetScaler.
Hinweis:
Um den Citrix Secure Access Client unter macOS/iOS mit NetScaler Gateway VPN ohne MDM zu verwenden, müssen Sie eine VPN-Konfiguration hinzufügen. Sie können die VPN-Konfiguration auf iOS von der Citrix Secure Access (macOS/iOS) -Startseite hinzufügen.
Konfigurieren Sie ein MDM-verwaltetes VPN-Profil für den Citrix Secure Access Client (macOS/iOS)
Im folgenden Abschnitt finden Sie schrittweise Anweisungen zur Konfiguration von geräteweiten und appspezifischen VPN-Profilen für den Citrix Secure Access Client (macOS/iOS) am Beispiel von Citrix Endpoint Management (ehemals XenMobile). Andere MDM-Lösungen können dieses Dokument als Referenz verwenden, wenn sie mit Citrix Secure Access (macOS/iOS) arbeiten.
Hinweis:
In diesem Abschnitt werden die Konfigurationsschritte für ein grundlegendes geräteweites und pro-App-VPN-Profil erläutert. Sie können auch On-Demand-Proxys konfigurieren, indem Sie der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile) oder der MDM-VPN-Payload-Konfigurationvon Apple folgen.
VPN-Profile auf Geräteebene
VPN-Profile auf Geräteebene werden verwendet, um ein systemweites VPN einzurichten. Der Datenverkehr von allen Apps und Diensten wird basierend auf den in NetScaler definierten VPN-Richtlinien (wie Full-Tunnel, Split-Tunnel, Reverse Split-Tunnel) an NetScaler Gateway getunnelt.
So konfigurieren Sie ein VPN auf Geräteebene in Citrix Endpoint Management
Führen Sie die folgenden Schritte aus, um ein VPN auf Geräteebene in Citrix Endpoint Management zu konfigurieren.
-
Navigieren Sie auf der Citrix Endpoint Management MDM-Konsole zu Konfigurieren > Geräterichtlinien > Neue Richtlinie hinzufügen.
-
Wählen Sie im linken Bereich Policy Platform iOS aus. Wählen Sie im rechten Bereich VPN aus.
-
Geben Sie auf der Seite Richtlinieninformationen einen gültigen Richtliniennamen und eine Beschreibung ein und klicken Sie auf Weiter.
-
Geben Sie auf der Seite VPN-Richtlinie für iOS einen gültigen Verbindungsnamen ein und wählen Sie Benutzerdefiniertes SSL unter Verbindungstyp.
In der MDM-VPN-Nutzlast entspricht der Verbindungsname dem UserDefinedName-Schlüssel und der VPN-Typschlüssel muss auf VPNeingestellt sein.
-
Geben Sie unter Benutzerdefinierte SSL-Kennung (umgekehrtes DNS-Format)com.citrix.netscalergateway.ios.appein. Dies ist die Paket-ID für Citrix Secure Access auf iOS.
In der MDM-VPN-Nutzlast entspricht der Custom SSL Identifier dem Schlüssel VPNSubtype.
-
Geben Sie unter Anbieter-Bundle-IDcom.citrix.netscalerGateway.ios.app.VPNPluginein. Dies ist die Paket-ID der Netzwerkerweiterung, die in der Binärdatei der Citrix Secure Access iOS-App enthalten ist.
In der MDM-VPN-Nutzlast entspricht die Anbieter-Bundle-ID dem ProviderBundleIdentifier-Schlüssel.
-
Geben Sie unter Servername oder IP-Adresse die IP-Adresse oder den FQDN (vollqualifizierter Domänenname) des NetScaler ein, der dieser Citrix Endpoint Management-Instanz zugeordnet ist.
Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile).
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Speichern.
Pro-App-VPN-Profile
Pro-App-VPN-Profile werden verwendet, um das VPN für eine bestimmte Anwendung einzurichten. Der Datenverkehr nur von der bestimmten App wird zu NetScaler Gateway getunnelt. Die VPN-Nutzlast pro App unterstützt alle Schlüssel für geräteweites VPN sowie einige andere Schlüssel.
So konfigurieren Sie ein VPN auf App-Ebene auf Citrix Endpoint Management
Führen Sie die folgenden Schritte aus, um ein Per-App VPN zu konfigurieren:
-
Schließen Sie die VPN-Konfiguration auf Geräteebene in Citrix Endpoint Management ab.
-
Schalten Sie den Schalter Pro-App-VPN aktivieren im Abschnitt Pro-App-VPN ein.
-
Schalten Sie den Schalter On-Demand Match App Enabled EIN, wenn Citrix Secure Access (macOS/iOS) automatisch gestartet werden muss, wenn die Match App gestartet wird. Dies wird für die meisten Per-App-Fälle empfohlen.
In der MDM-VPN-Nutzlast entspricht dieses Feld dem Schlüssel onDemandMatchAppEnabled.
-
Wählen Sie unter ProvidertypPacket Tunnelaus.
In der MDM-VPN-Nutzlast entspricht dieses Feld dem Schlüsselanbietertyp.
-
Die Konfiguration der Safari-Domain ist optional. Wenn eine Safari-Domäne konfiguriert ist, wird Citrix Secure Access (macOS/iOS) automatisch gestartet, wenn Benutzer Safari starten und zu einer URL navigieren, die der URL im Feld Domain entspricht. Dies wird nicht empfohlen, wenn Sie das VPN für eine bestimmte App einschränken möchten.
In der MDM-VPN-Nutzlast entspricht dieses Feld den wichtigsten SafariDomains.
Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile).
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Speichern.
Um dieses VPN-Profil einer bestimmten App auf dem Gerät zuzuordnen, müssen Sie eine App-Inventarrichtlinie und eine Richtlinie für den Anbieter von Anmeldeinformationen erstellen, indem Sie diesem Handbuch folgen - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.
Konfigurieren eines Split-Tunnels im Pro-App-VPN
MDM-Kunden können Split-Tunnel in Per-App VPN für Citrix Secure Access (macOS/iOS) konfigurieren. Das folgende Schlüssel/Wert-Paar muss dem Abschnitt zur Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.
- Key = "PerAppSplitTunnel"
- Value = "true or 1 or yes"
<!--NeedCopy-->
Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet
Hinweis:
Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei allen MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.
Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.
Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.
Deaktivieren von Benutzern erstellten VPN-Profilen
MDM-Kunden können verhindern, dass Benutzer manuell VPN-Profile in Citrix Secure Access (macOS/iOS) erstellen. Dazu muss das folgende Schlüssel/Wert-Paar zum Abschnitt Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.
- Key = "disableUserProfiles"
- Value = "true or 1 or yes"
<!--NeedCopy-->
Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet
Hinweis:
Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei allen MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.
Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.
Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.
DNS-Handhabung
Die empfohlenen DNS-Einstellungen für den Citrix Secure Access Client lauten wie folgt:
- DNS teilen > REMOTE, wenn der geteilte Tunnel auf AUS gestellt ist.
- DNS teilen > BEIDE, wenn der geteilte Tunnel auf ONeingestellt ist. In diesem Fall müssen die Administratoren DNS-Suffixe für die Intranet-Domains hinzufügen. DNS-Abfragen für FQDNs, die zu DNS-Suffixen gehören, werden an die NetScaler Appliance getunnelt, und die verbleibenden Abfragen gehen an den lokalen Router.
Hinweis:
Es wird empfohlen, dass das DNS-Abkürzungsfix-Flag immer ON ist. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX200243.
Wenn der Split-Tunnel auf ON eingestellt ist und Split-DNS auf REMOTEeingestellt ist, kann es zu Problemen bei der Lösung von DNS-Abfragen kommen, nachdem das VPN verbunden ist. Dies hängt damit zusammen, dass das Network Extension-Framework nicht alle DNS-Abfragen abfängt.
Bekannte Probleme
Problembeschreibung: Tunneln für FQDN-Adressen, die eine Domäne “.local”
in Pro-App-VPN- oder On-Demand-VPN-Konfigurationen enthalten. Es gibt einen Fehler im Network Extension Framework von Apple, der verhindert, dass FQDN-Adressen, die .local
im Domänenteil enthalten (z. B. http://wwww.abc.local), über die TUN-Schnittstelle des Systems getunnelt werden. Stattdessen wird der Datenverkehr für die FQDN-Adressen über die physische Schnittstelle des Client-Geräts gesendet. Das Problem wird nur bei der Pro-App-VPN- oder On-Demand-VPN-Konfiguration beobachtet und tritt bei systemweiten VPN-Konfigurationen nicht auf. Citrix hat einen Radar-Fehlerbericht bei Apple eingereicht, und Apple hat festgestellt, dass laut RFC-6762: https://tools.ietf.org/html/rfc6762 “local” eine Multicast-DNS-Abfrage (mDNS) ist und somit kein Bug ist. Apple hat den Fehler jedoch noch nicht geschlossen und es ist nicht klar, ob das Problem in zukünftigen iOS-Versionen behoben wird.
Problemumgehung: Weisen Sie einen Domänennamen non .local
für Adressen wie die Problemumgehung zu.
Einschränkungen
- Die Endpunktanalyse (EPA) wird unter iOS nicht unterstützt.
- Split-Tunneling basierend auf Ports/Protokollen wird nicht unterstützt.