Configurar Citrix Secure Access para usuarios de macOS

Importante:

Citrix SSO para iOS ahora se llama Citrix Secure Access. Estamos actualizando nuestra documentación y las capturas de pantalla de la interfaz de usuario para reflejar este cambio de nombre.

El cliente de Citrix Secure Access para macOS ofrece la mejor solución de acceso a las aplicaciones y protección de datos que ofrece NetScaler Gateway. Ahora puede acceder de forma segura a las aplicaciones críticas para el negocio, los escritorios virtuales y los datos corporativos en cualquier momento y desde cualquier lugar. Citrix Secure Access es el cliente de VPN de próxima generación para que NetScaler Gateway cree y administre conexiones VPN desde dispositivos macOS. Citrix Secure Access se creó con el marco de extensión de red (NE) de Apple. NE framework de Apple es una biblioteca moderna que contiene API que se pueden usar para personalizar y ampliar las funciones de red principales de macOS. La extensión de red compatible con SSL VPN está disponible en dispositivos con macOS 10.11 o una versión posterior.

Citrix Secure Access proporciona compatibilidad completa con la administración de dispositivos móviles (MDM) en macOS. Con un servidor MDM, un administrador ahora puede configurar y administrar de forma remota perfiles VPN a nivel de dispositivo y por aplicación. Citrix Secure Access para macOS se puede instalar desde una tienda de aplicaciones de Mac.

Para obtener una lista de algunas funciones de uso común que admite el cliente de Citrix Secure Access para macOS, consulte Clientes de VPN de NetScaler Gateway y funciones compatibles.

Compatibilidad con productos MDM

Citrix Secure Access para macOS es compatible con la mayoría de los proveedores de MDM, como Citrix XenMobile, Microsoft Intune, etc. Es compatible con una función denominada Control de acceso a la red (NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispositivos del usuario final antes de conectarse a NetScaler Gateway. El NAC en Citrix Secure Access requiere un servidor MDM como XenMobile y NetScaler Gateway. Para obtener más información sobre NAC, consulte Configurar la comprobación del dispositivo de control de acceso a la red para el servidor virtual de NetScaler Gateway para el inicio de sesiónde

Nota:

Para usar Citrix Secure Access con NetScaler Gateway VPN sin MDM, debe agregar una configuración de VPN. Puede agregar la configuración de VPN en macOS desde la página de configuración de Citrix Secure Access.

Configurar un perfil de VPN administrada por MDM para Citrix Secure Access

En la siguiente sección se muestran instrucciones paso a paso para configurar perfiles de VPN para todo el dispositivo y por aplicación para Citrix Secure Access mediante Citrix Endpoint Management (anteriormente XenMobile) como ejemplo. Otras soluciones de MDM pueden usar este documento como referencia cuando trabajan con Citrix Secure Access.

Nota:

En esta sección se explican los pasos de configuración de un perfil VPN básico para todo el dispositivo y por aplicación. También puede configurar Proxies bajo demanda siguiendo la documentación de Citrix Endpoint Management (anteriormente XenMobile) o la configuración de carga útil de VPN de MDM de Apple.

Perfiles VPN a nivel de dispositivo

Los perfiles VPN a nivel de dispositivo se utilizan para configurar una VPN para todo el sistema. El tráfico de todas las aplicaciones y servicios se dirige a NetScaler Gateway en función de las directivas de VPN (como túnel completo, túnel dividido, túnel dividido inverso) definidas en NetScaler.

Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN a nivel de dispositivo.

  1. En la consola de Citrix Endpoint Management MDM, vaya a Configurar > Directivas de dispositivo > Agregar nueva directiva.

  2. Seleccione macOS en el panel de la izquierda Plataforma de directivas. Seleccione Directiva VPN en el panel derecho.

  3. En la página Información de directiva, introduzca un nombre y una descripción de directiva válidos y haga clic en Siguiente.

  4. En la página de detalles de directiva para macOS, escriba un nombre de conexión válido y elija SSL personalizado en Tipo de conexión.

    En la carga útil de VPN de MDM, el nombre de la conexión corresponde a la clave UserDefinedName y la clave de tipo VPN debe establecerse en VPN.

  5. En Identificador SSL personalizado (formato DNS inverso), escriba com.citrix.NetScalerGateway.macos.app. Este es el identificador del paquete de Citrix Secure Access en macOS.

    En la carga útil de VPN de MDM, el identificador SSL personalizado corresponde a la clave VPNSubType.

  6. En el identificador del paquete del proveedor, escriba com.citrix.NetScalerGateway.macos.app.vpnplugin. Es el identificador del paquete de la extensión de red contenida en el binario del cliente Citrix Secure Access.

    En la carga útil de VPN de MDM, el identificador del paquete de proveedores corresponde a la clave ProviderBundleIdentifier.

  7. En Nombre del servidor o dirección IP, introduzca la dirección IP o FQDN del NetScaler asociado a esta instancia de Citrix Endpoint Management.

    El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management.

  8. Haga clic en Siguiente.

    Página de directivas de VPN de CEM

  9. Haga clic en Guardar.

Perfiles VPN por aplicación

Los perfiles VPN por aplicación se utilizan para configurar una VPN para una aplicación específica. El tráfico de la aplicación específica se canalizará únicamente a NetScaler Gateway. La carga útil de VPN por aplicación admite todas las claves de la VPN en todo el dispositivo, además de algunas otras claves.

Para configurar una VPN por aplicación en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN por aplicación en Citrix Endpoint Management:

  1. Complete la configuración VPN a nivel de dispositivo en Citrix Endpoint Management.

  2. Active el interruptor Habilitar VPN por aplicación en la sección VPN por aplicación .

  3. Active la opción On-Demand Match App Enabled si Citrix Secure Access debe iniciarse automáticamente cuando se inicia la aplicación Match. Esto se recomienda para la mayoría de los casos por aplicación.

    En la carga útil de VPN de MDM, este campo corresponde a la clave OnDemandMatchAppEnabled.

  4. La configuración de Safari Domain es opcional. Cuando se configura un dominio de Safari, Citrix Secure Access se inicia automáticamente cuando los usuarios inician Safari y navegan hasta una URL que coincide con la del campo Dominio . Esto no es recomendable si quieres restringir la VPN para una aplicación específica.

    En la carga útil de VPN de MDM, este campo corresponde a la clave SafariDomains.

    El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management (anteriormente XenMobile).

    Configuración CEM

  5. Haga clic en Siguiente.

  6. Haga clic en Guardar.

    Para asociar el perfil VPN a una aplicación específica del dispositivo, debe crear una directiva de inventario de aplicaciones y una directiva del proveedor de credenciales siguiendo esta guía - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

Configuración de túnel dividido en VPN por aplicación

Los clientes de MDM pueden configurar el túnel dividido en VPN por aplicación para Citrix Secure Access. El siguiente par clave/valor debe agregarse a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas

Nota:

La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Túnel dividido por aplicación en CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

Túnel dividido por aplicación en Intune

Inhabilitar los perfiles VPN creados por el usuario

Los clientes de MDM pueden evitar que los usuarios creen perfiles de VPN manualmente desde Citrix Secure Access. Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas

Nota:

La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

disable-VPN-CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

disable_VPN_Intune

Manejo DNS

La configuración de DNS recomendada para Citrix Secure Access es la siguiente:

  • Dividir DNS > REMOTE si el túnel dividido está en OFF.
  • DNS dividido > BOTH si el túnel dividido está activado. En este caso, los administradores tienen que agregar sufijos DNS para los dominios de la intranet. Las consultas DNS de los FQDN pertenecientes a sufijos DNS se tunelizan al dispositivo NetScaler y las consultas restantes se dirigen al enrutador local.

Nota:

  • Se recomienda que el indicador de corrección de truncamiento de DNS esté siempre activado. Para obtener más información detallada, consulte https://support.citrix.com/article/CTX200243.

  • Cuando el túnel dividido se establece en ON y DNS dividido en REMOTE, puede haber problemas para resolver las consultas DNS después de conectar la VPN. Esto se relaciona con que el marco de extensión de red no intercepta todas las consultas DNS.

Escaneos EPA compatibles

Para obtener una lista completa de las exploraciones admitidas, consulte Bibliotecas de la EPA

  1. En la sección Matriz de exploración admitida por OPSWAT v4, haga clic en Lista de aplicaciones compatibles en la columna Específico de MAC OS.
  2. En el archivo de Excel, haga clic en la ficha Escaneos clásicos de la EPA para ver los detalles.

Problemas conocidos

Los siguientes son los problemas conocidos actualmente.

  • El inicio de sesión de la EPA falla si el usuario se coloca en el grupo de cuarentena.
  • No se muestra el mensaje de advertencia de tiempo de espera forzado.
  • Citrix Secure Access permite iniciar sesión si el túnel dividido está activado y no hay ninguna aplicación de intranet configurada.

Limitaciones

Las siguientes son las limitaciones actuales.

  • Los siguientes escaneos de la EPA pueden fallar debido a la restricción del acceso a Secure Access debido al aislamiento.
    • “Tipo” y “ruta” de cifrado de disco duro
    • Explorador web “predeterminado” y “en ejecución”
    • Administración de parches “parches faltantes”
    • Desactivar la operación del proceso durante el EPA
  • No se admite la tunelización dividida basada en puertos/protocolos.
  • Asegúrese de que no tiene dos certificados con el mismo nombre y fecha de caducidad en el llavero, ya que esto hace que el cliente muestre solo uno de los certificados en lugar de ambos.

Solución de problemas

Si se muestra a los usuarios finales el botón Descargar el complemento EPA en la ventana de autenticación de Citrix Secure Access, significa que la política de seguridad del contenido del dispositivo NetScaler bloquea la invocación de la URLcom.citrix.agmacepa://. Los administradores deben modificar la directiva de seguridad de contenido para que com.citrix.agmacepa:// esté permitida.

Configurar Citrix Secure Access para usuarios de macOS