Citrix Secure Access für macOS-Benutzer einrichten

Wichtig:

Citrix SSO für iOS heißt jetzt Citrix Secure Access. Wir aktualisieren unsere Dokumentation und die Screenshots der Benutzeroberfläche, um diese Namensänderung widerzuspiegeln.

Der Citrix Secure Access Client für macOS bietet eine erstklassige Lösung für Anwendungszugriff und Datenschutz, die von NetScaler Gateway angeboten wird. Sie können nun überall und jederzeit sicher auf wichtige Anwendungen, virtuelle Desktops und Unternehmensdaten zugreifen. Citrix Secure Access ist der VPN-Client der nächsten Generation für NetScaler Gateway zum Erstellen und Verwalten von VPN-Verbindungen von macOS-Geräten aus. Citrix Secure Access wurde mit dem Network Extension (NE) Framework von Apple erstellt. NE-Framework von Apple ist eine moderne Bibliothek, die APIs enthält, mit denen die Kernnetzwerkfunktionen von macOS angepasst und erweitert werden können. Die Netzwerkerweiterung mit Unterstützung für SSL VPN ist auf Geräten verfügbar, auf denen macOS 10.11+ ausgeführt wird.

Citrix Secure Access bietet vollständige Unterstützung für Mobile Device Management (MDM) unter macOS. Mit einem MDM-Server kann ein Administrator nun VPN-Profile auf Geräteebene und VPN-Profile per App konfigurieren und verwalten. Citrix Secure Access für macOS kann von einem Mac App Store aus installiert werden.

Eine Liste der häufig verwendeten Funktionen, die vom Citrix Secure Access Client für macOS unterstützt werden, finden Sie unter NetScaler Gateway VPN-Clients und unterstützte Funktionen.

Kompatibilität mit MDM-Produkten

Citrix Secure Access für macOS ist mit den meisten MDM-Anbietern wie Citrix XenMobile, Microsoft Intune usw. kompatibel. Es unterstützt eine Funktion namens Network Access Control (NAC), mit der MDM-Administratoren die Konformität von Endbenutzergeräten erzwingen können, bevor sie eine Verbindung zu NetScaler Gateway herstellen. NAC auf Citrix Secure Access erfordert einen MDM-Server wie XenMobile und NetScaler Gateway. Weitere Informationen zu NAC finden Sie unter Konfigurieren des Geräts für die Netzwerkzugriffssteuerung. Überprüfen Sie den virtuellen NetScaler Gateway-Server für die Einzelfaktor-Anmeldung

Hinweis:

Um Citrix Secure Access mit NetScaler Gateway VPN ohne MDM zu verwenden, müssen Sie eine VPN-Konfiguration hinzufügen. Sie können die VPN-Konfiguration unter macOS von der Citrix Secure Access-Konfigurationsseite hinzufügen.

Konfigurieren eines von MDM verwalteten VPN-Profils für Citrix Secure Access

Im folgenden Abschnitt werden schrittweise Anweisungen zum Konfigurieren von geräteweiten und anwendungsspezifischen VPN-Profilen für Citrix Secure Access mit Citrix Endpoint Management (ehemals XenMobile) als Beispiel beschrieben. Andere MDM-Lösungen können dieses Dokument als Referenz für die Arbeit mit Citrix Secure Access verwenden.

Hinweis:

In diesem Abschnitt werden die Konfigurationsschritte für ein grundlegendes geräteweites und pro-App-VPN-Profil erläutert. Sie können auch On-Demand-Proxys konfigurieren, indem Sie der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile) oder der MDM-VPN-Payload-Konfigurationvon Apple folgen.

VPN-Profile auf Geräteebene

VPN-Profile auf Geräteebene werden verwendet, um ein systemweites VPN einzurichten. Der Datenverkehr von allen Apps und Diensten wird basierend auf den in NetScaler definierten VPN-Richtlinien (wie Full-Tunnel, Split-Tunnel, Reverse Split-Tunnel) an NetScaler Gateway getunnelt.

So konfigurieren Sie ein VPN auf Geräteebene in Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein VPN auf Geräteebene zu konfigurieren.

  1. Navigieren Sie auf der Citrix Endpoint Management MDM-Konsole zu Konfigurieren > Geräterichtlinien > Neue Richtlinie hinzufügen.

  2. Wählen Sie im linken Bereich Policy Platform macOS aus. Wählen Sie im rechten Bereich VPN-Richtlinie aus.

  3. Geben Sie auf der Seite Richtlinieninformationen einen gültigen Richtliniennamen und eine Beschreibung ein und klicken Sie auf Weiter.

  4. Geben Sie auf der Richtliniendetailseite für macOS einen gültigen Verbindungsnamen ein und wählen Sie Benutzerdefiniertes SSL unter Verbindungstyp.

    In der MDM-VPN-Nutzlast entspricht der Verbindungsname dem UserDefinedName-Schlüssel und der VPN-Typschlüssel muss auf VPNeingestellt sein.

  5. Geben Sie unter Benutzerdefinierte SSL-Kennung (umgekehrtes DNS-Format)com.citrix.netscalerGateway.MacOS.appein. Dies ist die Bundle-ID für den Citrix Secure Access auf macOS.

    In der MDM-VPN-Nutzlast entspricht der Custom SSL Identifier dem Schlüssel VPNSubtype.

  6. Geben Sie unter Anbieter-Bundle-IDcom.citrix.netscalerGateway.macOS.App.VPNPluginein. Dies ist die Paket-ID der Netzwerkerweiterung, die in der Binärdatei des Citrix Secure Access-Clients enthalten ist.

    In der MDM-VPN-Nutzlast entspricht die Anbieter-Bundle-ID dem ProviderBundleIdentifier-Schlüssel.

  7. Geben Sie unter Servername oder IP-Adresse die IP-Adresse oder den FQDN des NetScaler ein, der dieser Citrix Endpoint Management-Instanz zugeordnet ist.

    Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Citrix Endpoint Management-Dokumentation.

  8. Klicken Sie auf Weiter.

    Seite mit CEM VPN-Richtlinien

  9. Klicken Sie auf Speichern.

Pro-App-VPN-Profile

Pro-App-VPN-Profile werden verwendet, um ein VPN für eine bestimmte Anwendung einzurichten. Der Datenverkehr nur von der bestimmten App wird zu NetScaler Gateway getunnelt. Die VPN-Nutzlast pro App unterstützt alle Schlüssel für geräteweites VPN sowie einige andere Schlüssel.

So konfigurieren Sie ein VPN auf App-Ebene auf Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein Pro-App-VPN auf Citrix Endpoint Management zu konfigurieren:

  1. Schließen Sie die VPN-Konfiguration auf Geräteebene in Citrix Endpoint Management ab.

  2. Schalten Sie den Schalter Pro-App-VPN aktivieren im Abschnitt Pro-App-VPN ein.

  3. Schalten Sie die Option App für On-Demand-Match aktiviert EIN, wenn Citrix Secure Access beim Start der Match-App automatisch gestartet werden muss. Dies wird für die meisten Per-App-Fälle empfohlen.

    In der MDM-VPN-Nutzlast entspricht dieses Feld dem Schlüssel onDemandMatchAppEnabled.

  4. Die Konfiguration der Safari-Domain ist optional. Wenn eine Safari-Domäne konfiguriert ist, wird Citrix Secure Access automatisch gestartet, wenn Benutzer Safari starten und zu einer URL navigieren, die mit der URL im Feld Domain übereinstimmt. Dies wird nicht empfohlen, wenn Sie das VPN für eine bestimmte App einschränken möchten.

    In der MDM-VPN-Nutzlast entspricht dieses Feld den wichtigsten SafariDomains.

    Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile).

    CEM-Konfiguration

  5. Klicken Sie auf Weiter.

  6. Klicken Sie auf Speichern.

    Um das VPN-Profil einer bestimmten App auf dem Gerät zuzuordnen, müssen Sie eine App-Inventarrichtlinie und eine Richtlinie für den Anbieter von Anmeldeinformationen erstellen, indem Sie diesem Handbuch folgen - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

Konfigurieren eines Split-Tunnels im Pro-App-VPN

MDM-Kunden können den geteilten Tunnel in Pro-App-VPN für Citrix Secure Access konfigurieren. Das folgende Schlüssel/Wert-Paar muss dem Abschnitt zur Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei den MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.

Split-Tunnel pro App in CEM

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.

Split-Tunnel pro App in Intune

Deaktivieren von Benutzern erstellten VPN-Profilen

MDM-Kunden können verhindern, dass Benutzer VPN-Profile von Citrix Secure Access aus manuell erstellen. Dazu muss das folgende Schlüssel/Wert-Paar zum Abschnitt Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei allen MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.

disable-VPN-CEM

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.

disable_VPN_Intune

DNS-Handhabung

Die empfohlenen DNS-Einstellungen für Citrix Secure Access lauten wie folgt:

  • DNS teilen > REMOTE, wenn der geteilte Tunnel auf AUS gestellt ist.
  • DNS teilen > BEIDE, wenn der geteilte Tunnel auf ONeingestellt ist. In diesem Fall müssen die Administratoren DNS-Suffixe für die Intranet-Domains hinzufügen. DNS-Abfragen für FQDNs, die zu DNS-Suffixen gehören, werden an die NetScaler Appliance getunnelt, und die verbleibenden Abfragen gehen an den lokalen Router.

Hinweis:

  • Es wird empfohlen, dass das DNS-Abkürzungsfix-Flag immer ON ist. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX200243.

  • Wenn der Split-Tunnel auf ON eingestellt ist und Split-DNS auf REMOTEeingestellt ist, kann es zu Problemen bei der Lösung von DNS-Abfragen kommen, nachdem das VPN verbunden ist. Dies hängt damit zusammen, dass das Network Extension-Framework nicht alle DNS-Abfragen abfängt.

Unterstützte EPA-Scans

Eine vollständige Liste der unterstützten Scans finden Sie unter Neueste EPA-Bibliotheken.

  1. Klicken Sie im Abschnitt Unterstützte Scanmatrix von OPSWAT v4unter der Spalte MAC OS-spezifisch auf Liste der unterstützten Anwendungen.
  2. Klicken Sie in der Excel-Datei auf die Registerkarte Klassische EPA-Scans, um die Details anzuzeigen.

Bekannte Probleme

Im Folgenden sind die derzeit bekannten Probleme aufgeführt.

  • Die EPA-Anmeldung schlägt fehl, wenn der Benutzer in die Quarantänegruppe aufgenommen wird.
  • Warnmeldung für erzwungenes Timeout wird nicht angezeigt.
  • Citrix Secure Access ermöglicht die Anmeldung, wenn der Split-Tunnel aktiviert ist und keine Intranet-Apps konfiguriert sind.

Einschränkungen

Im Folgenden sind die aktuellen Einschränkungen aufgeführt.

  • Die folgenden EPA-Scans schlagen möglicherweise fehl, weil der Zugriff auf Secure Access aufgrund von Sandboxing eingeschränkt ist.
    • Festplattenverschlüsselung “Typ” und “Pfad”
    • Webbrowser “Standard” und “läuft”
    • Patch-Verwaltung “fehlende Patches”
    • Beenden Sie den Prozessbetrieb während EPA
  • Split-Tunneling basierend auf Ports/Protokollen wird nicht unterstützt.
  • Stellen Sie sicher, dass Sie nicht zwei Zertifikate mit demselben Namen und Ablaufdatum im Schlüsselbund haben, da der Client dadurch nur eines der Zertifikate anstelle von beiden anzeigt.

Problembehandlung

Wenn den Endbenutzern im Authentifizierungsfenster von Citrix Secure Access die Schaltfläche EPA-Plug-in herunterladen angezeigt wird, bedeutet dies, dass die Inhaltssicherheitsrichtlinie auf der NetScaler Appliance den Aufruf der URL com.citrix.agmacepa://blockiert. Die Administratoren müssen die Inhaltssicherheitsrichtlinie so ändern, dass com.citrix.agmacepa:// zulässig ist.

Citrix Secure Access für macOS-Benutzer einrichten