Configurar Citrix Secure Access en un entorno de Intune Android Enterprise

Importante:

Citrix SSO para Android ahora se llama Citrix Secure Access. Estamos actualizando nuestra documentación y las capturas de pantalla de la interfaz de usuario para reflejar este cambio de nombre.

El tema captura detalles sobre la implementación y la configuración de Citrix Secure Access a través de Microsoft Intune. En este documento se supone que Intune ya está configurado para la compatibilidad con Android Enterprise y que la inscripción de dispositivos ya se ha realizado.

Requisitos previos

  • Intune está configurado para la compatibilidad con Android Enterprise
  • Se ha completado la inscripción de dispositivos

Para configurar Citrix Secure Access en un entorno Intune Android Enterprise

  • Agregue Citrix Secure Access como aplicación administrada
  • Configurar la directiva de aplicaciones administradas para Citrix Secure Access

Agregue Citrix Secure Access como aplicación administrada

  1. Inicie sesión en el portal de Azure.

  2. Haga clic en Intune en la hoja de navegación izquierda.

  3. Haga clic en Aplicaciones cliente en el blade Microsoft Intune y, a continuación, haga clic en Aplicaciones en el blade Aplicaciones cliente.

  4. Haga clic en +Agregar enlace en las opciones del menú superior derecho. Aparece el blade de configuración Agregar aplicación.

  5. Selecciona Google Play administrado para el tipo de aplicación.

    Esto agrega Gestionar búsqueda en Google Play y aprobar blade si ha configurado Android Enterprise.

  6. Busque Citrix Secure Access y selecciónelo en la lista de aplicaciones.

    seleccione Secure Access

    Nota:Si Citrix Secure Access no aparece en la lista, significa que la aplicación no está disponible en su país.

  7. Haga clic en APROBAR para aprobar Citrix Secure Access para su implementación a través de la tienda gestionada de Google Play.

    Se enumeran los permisos que requiere Citrix Secure Access.

  8. Haga clic en APROBAR para aprobar la aplicación para su implementación.

  9. Haga clic en Sincronizar para sincronizar esta selección con Intune.

    Citrix Secure Access se agrega a la lista de aplicaciones cliente. Puede que tenga que buscar Citrix Secure Access si se han agregado muchas aplicaciones.

  10. Haga clic en la aplicación Citrix Secure Access para abrir el módulo de detalles de la aplicación.

  11. Haga clic en Asignaciones en la hoja de detalles. Aparece el módulo Citrix Secure Access: Assignments.

    seleccione la asignación de acceso seguro

  12. Haga clic en Agregar grupo para asignar los grupos de usuarios a los que quiere conceder permiso para instalar Citrix Secure Access y, a continuación, haga clic en Guardar.

  13. Cierre el módulo de detalles de Citrix Secure Access.

Citrix Secure Access se agrega y habilita para su implementación entre los usuarios.

Configurar la directiva de aplicaciones administradas para Citrix Secure Access

Una vez agregado Citrix Secure Access, debe crear una directiva de configuración administrada para Citrix Secure Access de modo que el perfil VPN se pueda implementar en Citrix Secure Access en el dispositivo.

  1. Abra el blade de Intune en su portal de Azure.

  2. Abra el blade Client Apps desde el blade de Intune.

  3. Seleccione el elemento Directivas de configuración de aplicaciones en el blade Aplicaciones cliente y haga clic en Agregar para abrir el blade Agregar directiva de configuración.

  4. Introduzca un nombre para la directiva y agregue una descripción.

  5. En Tipo de inscripción de dispositivos, selecciona Dispositivos administrados.

  6. En Plataforma, selecciona Android.

    Esto agrega otra opción de configuración para la aplicación asociada.

  7. Haga clic en Aplicación asociada y seleccione la aplicación Citrix Secure Access.

    Es posible que tengas que buscarlo si tiene muchas aplicaciones.

  8. Haga clic en Aceptar. Se agrega una opción de configuración en el blade Agregar directiva de configuración.

  9. Haga clic en Configuración.

    Aparece un blade para configurar Citrix Secure Access.

  10. En Parámetros configuración, seleccione Usar el diseñador de configuración o Introducir datos JSON para configurar Citrix Secure Access.

Configurar Citrix Secure Access para Intune

Nota:

Para configuraciones VPN sencillas, se recomienda utilizar el diseñador de configuración.

Configuración de VPN mediante el diseñador de configuración

  1. En Configuración, seleccione Usar diseñador de configuración y haga clic en Agregar.

    Se le presenta una pantalla de introducción de valores clave para configurar varias propiedades compatibles con Citrix Secure Access. Como mínimo, debe configurar las propiedades Dirección del servidor y Nombre del perfil de VPN. Puede pasar el ratón por encima de la sección DESCRIPCIÓN para obtener más información sobre cada propiedad.

  2. Por ejemplo, seleccione las propiedades Nombre de perfil VPN y dirección del servidor (*) y haga clic en Aceptar.

    Esto agrega las propiedades al diseñador de configuración. Puede configurar las siguientes propiedades.

    • Nombre del perfil de VPN. Escriba un nombre para el perfil VPN. Si va a crear más de un perfil de VPN, utilice un nombre único para cada perfil. Si no proporciona un nombre, la dirección que introduzca en el campo Dirección del servidor se utilizará como nombre del perfil de VPN.

    • Dirección del servidor(*). Escriba el FQDN base de NetScaler Gateway. Si el puerto de NetScaler Gateway no es 443, escriba también el puerto. Utilice un formato de URL. Por ejemplo, https://vpn.mycompany.com:8443.

    • Nombre de usuario (opcional). Introduzca el nombre de usuario que utilizan los usuarios finales para autenticarse en NetScaler Gateway. Puede usar el token de valor de configuración de Intune para este campo si la puerta de enlace está configurada para utilizarlo (consulte tokens de valor de configuración). Si no proporciona un nombre de usuario, se pide a los usuarios que proporcionen un nombre de usuario cuando se conectan a NetScaler Gateway.

    • Contraseña (opcional). Introduzca la contraseña que utilizan los usuarios finales para autenticarse en NetScaler Gateway. Si no proporciona una contraseña, se pedirá a los usuarios que proporcionen una contraseña cuando se conecten a NetScaler Gateway.

    • Alias de certificado (opcional). Proporcione un alias de certificado en el almacén de claves de Android para utilizarlo en la autenticación de certificados de cliente. Este certificado está preseleccionado para los usuarios si utiliza la autenticación basada en certificados.

    • Pins de certificados de Gateway (opcionales). Objeto JSON que describe los pines de certificado utilizados para NetScaler Gateway. Valor de ejemplo:.{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]} Para obtener más información, consulte Fijación de certificados de NetScaler Gateway con Citrix Secure Access para Android.

    • Tipo de VPN por aplicación (opcional). Si usa una VPN por aplicación para restringir qué aplicaciones usan esta VPN, puede configurar esta configuración.

      • Si selecciona Permitir, el tráfico de red para los nombres de paquetes de aplicaciones que figuran en la lista de aplicaciones PerAppVPN se enruta a través de la VPN. El tráfico de red de todas las demás aplicaciones se redirige fuera de la VPN.
      • Si selecciona No permitir, el tráfico de red de los nombres de paquetes de aplicaciones que figuran en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN. El tráfico de red de todas las demás aplicaciones se redirige a través de la VPN. El valor predeterminado es Permitir.
    • Lista de aplicaciones PerAppVPN. Una lista de aplicaciones cuyo tráfico está permitido o no permitido en la VPN, en función del valor de Tipo de VPN por aplicación. Indique los nombres de los paquetes de aplicaciones separados por comas o puntos y comas. Los nombres de los paquetes de aplicaciones distinguen entre mayúsculas y minúsculas y deben estar escritos en esta lista tal y como lo están en la tienda de Google Play. Esta lista es opcional. Mantenga esta lista vacía para aprovisionar la VPN en todo el dispositivo.
    • Perfil VPN predeterminado. El nombre del perfil de VPN que se utiliza cuando Always On VPN está configurado para Citrix Secure Access. Si este campo está vacío, se utiliza el perfil principal para la conexión. Si solo se configura un perfil, se marca como perfil VPN predeterminado.
    • VPN permanente (opcional): cuando se establece en True, indica que el perfil de VPN es un perfil de VPN permanente. Esta propiedad solo se puede establecer para el perfil de VPN principal. No se puede configurar para los perfiles VPN adicionales. De forma predeterminada, esta propiedad está establecida en False.

      Nota:

      La propiedad Always On VPN (optional) está disponible a partir de la versión 24.04.1 de Citrix Secure Access para Android.

    Opción de perfil VPN predeterminado

    Nota:

    • Para convertir Citrix Secure Access en una aplicación VPN permanente en Intune, utilice el proveedor de VPN como personalizado y com.citrix.CitrixVPNcomo nombre del paquete de la aplicación.

    • Citrix Secure Access solo admite la autenticación de clientes basada en certificados para Always On VPN.

    • Los administradores deben seleccionar la autenticación de clientes y establecer el certificado de cliente como obligatorio en el perfilSSL o las propiedades SSL de NetScaler Gateway para que Citrix Secure Access funcione según lo previsto.

    • Inhabilitar perfiles de usuario
      • Si establece este valor en true, los usuarios no pueden agregar nuevos perfiles VPN en sus dispositivos.
      • Si establece este valor en false, los usuarios pueden agregar sus propias VPN en sus dispositivos.

      El valor predeterminado es false.

    • Bloquear servidores no fiables
      • Establezca este valor en false cuando utilice un certificado autofirmado para NetScaler Gateway o cuando el certificado raíz de la CA que emite el certificado de NetScaler Gateway no esté en la lista de CA del sistema.
      • Establezca este valor en true para permitir que el sistema operativo Android valide el certificado de NetScaler Gateway. Si se produce un error en la validación, no se permite la conexión.

      El valor predeterminado es true.

  3. En la propiedad Dirección del servidor (*), introduzca la URL base de la puerta de enlace VPN (por ejemplo, https://vpn.mycompany.com).

  4. En Nombre de perfil de VPN, introduzca un nombre que esté visible para el usuario final en la pantalla principal del cliente Citrix Secure Access (por ejemplo, My Corporate VPN).

  5. Puede agregar y configurar otras propiedades según corresponda a su implementación de NetScaler Gateway. Haga clic en Aceptar cuando haya terminado con la configuración.

  6. Haga clic en la sección Permisos. Puede conceder los siguientes permisos requeridos por Citrix Secure Access:

    • Si utiliza la comprobación NAC de Intune, Citrix Secure Access requiere que conceda el permiso de estado (lectura) del teléfono. Haga clic en el botón Agregar para abrir la hoja de permisos. En la actualidad, Intune muestra una lista significativa de permisos disponibles para todas las aplicaciones.

    • Si utiliza la comprobación de NAC de Intune, seleccione Permiso de estado del teléfono (lectura) y haga clic en Aceptar. Esto lo agrega a la lista de permisos de la aplicación. Seleccione Solicitar o Concesión automática para que la comprobación de NAC de Intune funcione y haga clic en Aceptar.

      Establecer la configuración de Citrix Secure Access

    • Se recomienda conceder automáticamente permisos de notificación a Citrix Secure Access.

    Nota:

    Para los usuarios de Android 13+ que utilizan Citrix Secure Access 23.12.1 y versiones posteriores, se recomienda a los administradores de MDM que concedan el permiso de notificación a Citrix Secure Access (ID de paquete: com.citrix.CitrixVPN) en su solución.

  7. Haga clic en Agregar en la parte inferior del módulo de directivas de configuración de aplicaciones para guardar la configuración administrada de Citrix Secure Access.

  8. Haga clic en Asignaciones en el blade de directivas de configuración de aplicaciones para abrir el blade Asignaciones.

  9. Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuración de Citrix Secure Access.

Configuración de VPN mediante la introducción de datos JSON

  1. En Parámetros de configuración, seleccione Introducir datos JSON para configurar Citrix Secure Access.

  2. Utilice el botón Descargar plantilla JSON para descargar una plantilla que permita proporcionar una configuración más detallada o compleja para Citrix Secure Access. Esta plantilla es un conjunto de pares clave-valor JSON para configurar todas las propiedades posibles que Citrix Secure Access entiende.

    Para obtener una lista de todas las propiedades disponibles que se pueden configurar, consulte Propiedades disponibles para configurar el perfil VPN en la aplicación Citrix Secure Access.

  3. Una vez creado un archivo de configuración JSON, copie y pegue su contenido en el área de modificación. Por ejemplo, a continuación se muestra la plantilla JSON para la configuración básica creada previamente con la opción del diseñador de configuración.

Configuración JSON completada

Esto completa el procedimiento de configuración e implementación de perfiles VPN para Citrix Secure Access en el entorno Microsoft Intune Android Enterprise.

Importante:

El certificado utilizado para la autenticación basada en certificados de cliente se implementa mediante un perfil SCEP de Intune. El alias de este certificado debe configurarse en la propiedad Certificate Alias de la configuración administrada de Citrix Secure Access.

Propiedades disponibles para configurar el perfil VPN en Citrix Secure Access

Clave de configuración Nombre de campo JSON Tipo de valor Descripción
Nombre del perfil VPN VPNProfileName Texto Nombre del perfil VPN (si no se establece el valor predeterminado en la dirección del servidor).
Dirección del servidor (*) ServerAddress URL URL base de NetScaler Gateway para la conexión (https://host[:port]). Este campo es obligatorio.
Username (optativo) Nombre de usuario Texto Nombre de usuario utilizado para la autenticación con NetScaler Gateway (opcional).
Contraseña (opcional) Contraseña Texto Contraseña del usuario para autenticarse con NetScaler Gateway (opcional).
Alias de certificado (opcional) ClientCertAlias Texto Alias del certificado de cliente instalado en el almacén de credenciales de Android para su uso en la autenticación de clientes basada en certificados (opcional). El alias del certificado es un campo obligatorio cuando se utiliza la autenticación basada en certificados en NetScaler Gateway.
Pins de certificados de Gateway (opcionales) ServerCertificatePins Texto JSON Objeto JSON incrustado que describe los pines de certificado utilizados en NetScaler Gateway. Valor de ejemplo:.{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]} Asegúrese de escapar de estos datos JSON incrustados cuando utilice el configurador JSON.
Tipo de VPN por aplicación (opcional) PerAppVPN_Allow_Disallow_Setting Enum (Permitir, No permitir) ¿Se permite o no utilizar el túnel VPN a las aplicaciones de la lista (lista de permitidos) o no (lista de bloqueados)?Si se establece en Permitir, solo las aplicaciones de la lista (en la propiedad de lista de aplicaciones PerAppVPN) pueden realizar un túnel a través de la VPN. Si se establece en No permitir, todas las aplicaciones excepto las que aparecen en la lista pueden realizar un túnel a través de la VPN. Si no aparece ninguna aplicación en la lista, todas las aplicaciones pueden hacer túneles a través de la VPN.
Lista de aplicaciones PerAppVPN PerAppName_Appnames Texto Lista de nombres de paquetes de aplicaciones separados por comas (,) o puntos y comas (;) para una VPN por aplicación. Los nombres de los paquetes deben ser los mismos que aparecen en la URL de la página de listado de aplicaciones de Google Play Store. Los nombres de los paquetes distinguen entre mayúsculas y minúsculas.
Perfil de VPN predeterminado DefaultProfileName Texto Nombre del perfil de VPN que se utilizará cuando el sistema inicie el servicio de VPN. Esta configuración se usa para identificar el perfil de VPN que se utilizará cuando la VPN permanente esté configurada en el dispositivo.
VPN permanente (opcional)
IsAlwaysOnVpn
Booleano
Determina si el perfil de VPN es un perfil de VPN permanente o no. Cuando se establece en True, indica que el perfil de VPN es un perfil de VPN permanente. Esta propiedad solo se puede establecer en el perfil de VPN principal. No se puede configurar para los perfiles VPN adicionales. El valor predeterminado es False.
Esta propiedad está disponible a partir de la versión 24.04.1 de Citrix Secure Access para Android.
Inhabilitar perfiles de usuario DisableUserProfiles Booleano Propiedad que permite o no a los usuarios finales crear perfiles de VPN manualmente. Establezca este valor en true para impedir que los usuarios creen perfiles VPN. El valor predeterminado es falso.
Bloquear servidores no fiables BlockUntrustedServers Booleano ¿Propiedad para determinar si se bloquea la conexión a puertas de enlace que no son de confianza (por ejemplo, si se utilizan certificados autofirmados o cuando el sistema operativo Android no confía en la CA emisora)? El valor predeterminado es true (bloquea las conexiones a puertas de enlace que no son de confianza).
Parámetros personalizados (opcional) CustomParameters Lista Lista de parámetros personalizados (opcionales) compatibles con Citrix Secure Access. Para obtener más información, consulte Parámetros personalizados. Consulte la documentación del producto NetScaler Gateway para ver las opciones disponibles.
Lista de otros perfiles de VPN bundle_profiles Lista Lista de otros perfiles de VPN. Se admiten la mayoría de los valores mencionados anteriormente para cada perfil. Para obtener más información, consulte Propiedades compatibles para cada VPN en la lista de perfiles de VPN.

Parámetros personalizados

Cada parámetro personalizado debe definirse con los siguientes nombres de clave-valor.

Clave Tipo de valor Valor
ParameterName Texto Nombre del parámetro personalizado.
ParameterValue Texto Valor del parámetro personalizado.

Parámetros personalizados para la configuración de Intune

Nombre del parámetro Descripción Valor
UserAgent Citrix Secure Access agrega este valor de parámetro al encabezado HTTP del agente de usuario, cuando se comunica con NetScaler Gateway, para realizar una comprobación adicional en NetScaler Gateway. Especifique el texto que debe adjuntar al encabezado HTTP del agente de usuario. El texto debe cumplir con las especificaciones del agente de usuario HTTP.
EnableDebugLogging Habilite el registro de depuración en Citrix Secure Access para ayudar a solucionar problemas de conectividad VPN en caso de Always On VPN. Puede habilitarlos en cualquiera de las configuraciones de VPN administradas. Los registros de depuración surten efecto cuando se procesan las configuraciones administradas. True: Habilita los registros de depuración. Valor predeterminado: False.

Para obtener más información sobre los parámetros personalizados, consulte Crear una configuración administrada de Android Enterprise para Citrix Secure Access.

Propiedades admitidas para cada VPN en la lista de perfiles de VPN

Se admiten las siguientes propiedades para cada perfil de VPN al configurar varios perfiles VPN mediante la plantilla JSON.

Clave de configuración Nombre de campo JSON Tipo de valor
Nombre del perfil VPN bundle_VPNProfileName Texto
Dirección del servidor (*) bundle_ServerAddress URL
Nombre de usuario bundle_username Texto
Contraseña bundle_password Texto
Alias de certificado de cliente bundle_ClientCertAlias Texto
Pins de certificados de Gateway bundle_ServerCertificatePins Texto
Tipo de VPN por aplicación bundle_PerAppVPN_Allow_Disallow_Setting Enum (Permitir, No permitir)
Lista de aplicaciones PerAppVPN bundle_PerAppVPN_Appnames Texto
Parámetros personalizados bundle_CustomParameters Lista

Configure Citrix Secure Access como proveedor de VPN siempre activo en Intune

En ausencia de una compatibilidad con VPN bajo demanda en un subsistema VPN de Android, la VPN Always On se puede utilizar como alternativa para ofrecer una opción de conectividad VPN perfecta junto con la autenticación de certificados de cliente con Citrix Secure Access. El sistema operativo inicia la VPN cuando se inicia o cuando se activa el perfil de trabajo.

Para convertir Citrix Secure Access en una aplicación VPN Always On en Intune, debe usar la siguiente configuración.

  • Elija el tipo correcto de configuración administrada que quiere utilizar (propiedad personal con perfil de trabajo O perfil de trabajo totalmente administrado, dedicado y propiedad de la empresa).

  • Cree un perfil de configuración de dispositivo y seleccione Restricciones de dispositivos y, a continuación, vaya a la sección Conectividad. Seleccione habilitar para la configuración VPN siempre activa.

  • Elija Citrix Secure Access como cliente VPN. Si Citrix Secure Access no está disponible como opción, puede elegir Personalizarcomo cliente VPN e introducir com.citrix.CitrixVPN en el campo ID del paquete (el campo ID del paquete distingue entre mayúsculas y minúsculas)

  • Deja las demás opciones tal cual. Se recomienda no habilitar el modo de bloqueo. Si está habilitado, el dispositivo podría perder la conectividad de red completa si la VPN no está disponible.

  • Además de esta configuración, también puede establecer el tipo de VPN por aplicación y la lista de aplicaciones PerAppVPN en la página Directivas de configuración de aplicaciones para habilitar la VPN por aplicación para Android, tal y como se describe en las secciones anteriores.

Nota:

Always On VPN solo es compatible con la autenticación de certificados de cliente en Citrix Secure Access.

Referencias

Consulte los temas siguientes para obtener más información sobre cómo configurar las opciones de conectividad en Intune.

Reinicio automático de Always On VPN

A partir de Citrix SSO para Android 23.8.1, Citrix Secure Access reinicia automáticamente la VPN Always On cuando una aplicación que forma parte de la lista de permitidos o bloqueados se instala en un perfil de trabajo o de dispositivo. El tráfico de la aplicación recién instalada se canaliza automáticamente a través de una conexión VPN sin reiniciar el perfil de trabajo ni reiniciar el dispositivo.

Para habilitar el reinicio automático de Always On VPN, los usuarios finales deben conceder a la consulta todos los paquetes su consentimiento a Citrix Secure Access. Una vez otorgado el consentimiento, Citrix Secure Access:

  • Recibe la notificación de instalación del paquete del sistema operativo.
  • Reinicia la VPN Always On.

Cuando un usuario final se conecta a un perfil de VPN por aplicación por primera vez, se le pide que dé su consentimiento (exigido por las directivas de Google) para recopilar información del paquete instalado. Si el usuario final otorga el consentimiento, se inicie la conexión VPN. Si el usuario niega el consentimiento, se interrumpe la conexión VPN. La pantalla de consentimiento no vuelve a aparecer una vez que se ha otorgado el consentimiento. Para obtener más información sobre las instrucciones para el usuario final, consulte Cómo utilizar Citrix Secure Access desde un dispositivo Android.

Limitaciones

Estas limitaciones se aplican a las VPN por aplicación en dispositivos Android 11 o con una versión posterior en el entorno Android Enterprise debido a restricciones de visibilidad de los paquetes incorporadas en Android 11:

  • Si una aplicación que forma parte de la lista de permitidos o denegados se implementa en un dispositivo después de que se haya iniciado la sesión de VPN, el usuario final debe reiniciar la sesión de VPN para que la aplicación pueda enrutar su tráfico a través de la sesión VPN.
  • Si la VPN por aplicación se usa a través de una sesión de Always On VPN, después de instalar una nueva aplicación en el dispositivo, el usuario final debe reiniciar el perfil de trabajo o reiniciar el dispositivo para que el tráfico de la aplicación se enrute a través de la sesión de VPN.

Nota:

Estas limitaciones no se aplican si utiliza Citrix SSO para Android 23.8.1 o una versión posterior. Consulte Reinicio automático de Always On VPN para obtener más información.

Configurar Citrix Secure Access en un entorno de Intune Android Enterprise