Configurer Citrix Secure Access pour les utilisateurs de macOS

Important :

Citrix SSO pour iOS s’appelle désormais Citrix Secure Access. Nous mettons à jour notre documentation et les captures d’écran de l’interface utilisateur pour refléter ce changement de nom.

Le client Citrix Secure Access pour macOS fournit la meilleure solution d’accès aux applications et de protection des données proposée par NetScaler Gateway. Vous pouvez désormais accéder en toute sécurité aux applications stratégiques, aux bureaux virtuels et aux données d’entreprise depuis n’importe où et à tout moment. Citrix Secure Access est le client VPN de nouvelle génération pour NetScaler Gateway qui permet de créer et de gérer des connexions VPN à partir d’appareils macOS. Citrix Secure Access est conçu à l’aide du framework Network Extension (NE) d’Apple. NE Framework d’Apple est une bibliothèque moderne qui contient des API pouvant être utilisées pour personnaliser et étendre les fonctionnalités réseau principales de macOS. L’extension réseau prenant en charge le VPN SSL est disponible sur les appareils exécutant macOS 10.11+.

Citrix Secure Access fournit une prise en charge complète de la gestion des appareils mobiles (MDM) sur macOS. Avec un serveur MDM, un administrateur peut désormais configurer et gérer à distance les profils VPN au niveau de l’appareil et les profils VPN par application. Citrix Secure Access pour macOS peut être installé à partir d’un Mac App Store.

Pour obtenir la liste des fonctionnalités couramment utilisées prises en charge par le client Citrix Secure Access pour macOS, consultez la section Clients VPN NetScaler Gateway et fonctionnalités prises en charge.

Compatibilité avec les produits MDM

Citrix Secure Access pour macOS est compatible avec la plupart des fournisseurs MDM tels que Citrix XenMobile, Microsoft Intune, etc. Il prend en charge une fonctionnalité appelée contrôle d’accès réseau (NAC) grâce à laquelle les administrateurs MDM peuvent faire respecter la conformité des appareils des utilisateurs finaux avant de se connecter à NetScaler Gateway. Le NAC sur Citrix Secure Access nécessite un serveur MDM tel que XenMobile et NetScaler Gateway. Pour plus d’informations sur le NAC, voir Configurer la vérification du périphérique de contrôle d’accès réseau pour le serveur virtuel NetScaler Gateway pourune connexion à facteur unique.

Remarque :

Pour utiliser le VPN Citrix Secure Access avec NetScaler Gateway sans MDM, vous devez ajouter une configuration VPN. Vous pouvez ajouter la configuration VPN sur macOS à partir de la page de configuration de Citrix Secure Access.

Configurer un profil VPN géré par MDM pour Citrix Secure Access

La section suivante présente des instructions détaillées pour configurer des profils VPN à la fois à l’échelle de l’appareil et par application pour Citrix Secure Access à l’aide de Citrix Endpoint Management (anciennement XenMobile) à titre d’exemple. D’autres solutions MDM peuvent utiliser ce document comme référence lors de l’utilisation de Citrix Secure Access.

Remarque :

Cette section explique les étapes de configuration d’un profil VPN de base à l’échelle de l’appareil et par application. Vous pouvez également configurer les proxys On-Demand en suivant la documentation de Citrix Endpoint Management (anciennement XenMobile) ou la configuration de la charge utile du VPN MDM d’Apple.

Profils VPN au niveau de l’appareil

Les profils VPN au niveau de l’appareil sont utilisés pour configurer un VPN à l’échelle du système. Le trafic provenant de toutes les applications et de tous les services est canalisé vers NetScaler Gateway en fonction des stratégies VPN (telles que Full-tunnel, Split-tunnel, Reverse Split tunnel) définies dans NetScaler.

Pour configurer un VPN au niveau de l’appareil sur Citrix Endpoint Management

Effectuez les étapes suivantes pour configurer un VPN au niveau de l’appareil.

  1. Sur la console Citrix Endpoint Management MDM, accédez à Configurer > Stratégies d’appareil > Ajouter une nouvelle stratégie.

  2. Sélectionnez macOS dans le volet de gauche Policy Platform. Sélectionnez Stratégie VPN dans le volet droit.

  3. Sur la page Informations sur la stratégie, saisissez un nom de stratégie et une description valides, puis cliquez sur Suivant.

  4. Sur la page de détails de la stratégie pour macOS, tapez un nom de connexion valide et choisissez SSL personnalisé dans Type de connexion.

    Dans la charge utile VPN MDM, le nom de connexion correspond à la clé UserDefinedName et la clé de type VPN doit être définie sur VPN.

  5. Dans Identificateur SSL personnalisé (format DNS inverse), saisissez com.citrix.netscalergateway.macOS.app. Il s’agit de l’identifiant du bundle pour Citrix Secure Access sur macOS.

    Dans la charge utile VPN MDM, l’identificateur SSL personnalisé correspond à la clé VPNSubtype.

  6. Dans l’identifiant du bundle fournisseur, saisissez com.citrix.NetScaler Gateway.macOS.App.VPNPlugin. Il s’agit de l’identifiant de bundle de l’extension réseau contenue dans le fichier binaire du client Citrix Secure Access.

    Dans la charge utile VPN MDM, l’identificateur de bundle de fournisseur correspond à la clé ProviderBundleIdentifier.

  7. Dans Nom du serveur ou adresse IP, entrez l’adresse IP ou le nom de domaine complet du NetScaler associé à cette instance de Citrix Endpoint Management.

    Les autres champs de la page de configuration sont facultatifs. Les configurations de ces champs sont disponibles dans la documentation Citrix Endpoint Management.

  8. Cliquez sur Suivant.

    Page de stratégie VPN CEM

  9. Cliquez sur Enregistrer.

Profils VPN par application

Les profils VPN par application sont utilisés pour configurer un VPN pour une application spécifique. Le trafic provenant uniquement de l’application spécifique est canalisé vers NetScaler Gateway. La charge utile VPN par application prend en charge toutes les clés du VPN à l’échelle de l’appareil, ainsi que quelques autres clés.

Pour configurer un VPN au niveau de l’application sur Citrix Endpoint Management

Effectuez les étapes suivantes pour configurer un VPN par application sur Citrix Endpoint Management :

  1. Terminez la configuration VPN au niveau de l’appareil sur Citrix Endpoint Management.

  2. Activez le commutateur Activer le VPN par application dans la section VPN par application.

  3. Activez le commutateur On-Demand Match App Enabled si Citrix Secure Access doit être démarré automatiquement lors du lancement de l’application Match. Cette option est recommandée pour la plupart des cas par application.

    Dans la charge utile VPN MDM, ce champ correspond à la clé OnDemandMatchAppEnabled.

  4. La configuration du domaine Safari est facultative. Lorsqu’un domaine Safari est configuré, Citrix Secure Access démarre automatiquement lorsque les utilisateurs lancent Safari et accèdent à une URL correspondant à celle du champ Domaine . Cette option n’est pas recommandée si vous souhaitez restreindre le VPN pour une application spécifique.

    Dans la charge utile VPN MDM, ce champ correspond à la clé SafariDomains.

    Les autres champs de la page de configuration sont facultatifs. Les configurations de ces champs sont disponibles dans la documentation Citrix Endpoint Management (anciennement XenMobile).

    Configuration CEM

  5. Cliquez sur Suivant.

  6. Cliquez sur Enregistrer.

    Pour associer le profil VPN à une application spécifique sur l’appareil, vous devez créer une stratégie d’inventaire des applications et une stratégie de fournisseur d’informations d’identification en suivant ce guide : https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

Configuration du split tunnel dans un VPN par application

Les clients MDM peuvent configurer le split tunnel dans le VPN par application pour Citrix Secure Access. La paire clé/valeur suivante doit être ajoutée à la section de configuration du fournisseur du profil VPN créé sur le serveur MDM.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

La clé est sensible à la casse et doit correspondre exactement à la casse, tandis que la valeur n’est pas sensible à la casse.

Remarque :

L’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard parmi les fournisseurs MDM. Contactez le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

Tunnel fractionné par application dans CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

Tunnel fractionné par application dans Intune

Désactivation des profils VPN créés par les utilisateurs

Les clients MDM peuvent empêcher les utilisateurs de créer manuellement des profils VPN à partir de Citrix Secure Access. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration du fournisseur du profil VPN créé sur le serveur MDM.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

La clé est sensible à la casse et doit correspondre exactement à la casse, tandis que la valeur n’est pas sensible à la casse.

Remarque :

L’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard parmi les fournisseurs MDM. Contactez le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

disable-VPN-CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

disable_VPN_Intune

Gestion DNS

Les paramètres DNS recommandés pour Citrix Secure Access sont les suivants :

  • Split DNS > REMOTE si le split tunnel est réglé sur OFF.
  • Split DNS > BOTH si le split tunnel est défini sur ON. Dans ce cas, les administrateurs doivent ajouter des suffixes DNS pour les domaines intranet. Les requêtes DNS pour les noms de domaine complets appartenant à des suffixes DNS sont acheminées vers l’appliance NetScaler et les requêtes restantes sont acheminées vers le routeur local.

Remarque :

  • Il est recommandé que l’indicateur de correction de troncature DNS soit toujours actif. Pour plus de détails, consultez https://support.citrix.com/article/CTX200243.

  • Lorsque le split tunnel est défini sur ON et que Split DNS est défini sur REMOTE, des problèmes peuvent survenir lors de la résolution des requêtes DNS après la connexion du VPN. Cela est lié au fait que le framework Network Extension n’intercepte pas toutes les requêtes DNS.

Analyses EPA prises en

Pour obtenir la liste complète des scans pris en charge, voir Dernières bibliothèques EPA.

  1. Dans la section Matrice d’analyse prise en charge par OPSWAT v4, cliquez sur Liste des applications prises en charge sous la colonne Spécifique à MAC OS.
  2. Dans le fichier Excel, cliquez sur l’onglet Analyses EPA classiques pour afficher les détails.

Problèmes connus

Voici les problèmes connus actuellement.

  • La connexion EPA échoue si l’utilisateur est placé dans le groupe de quarantaine.
  • Le message d’avertissement de délai d’expiration forcé n’est pas affiché.
  • Citrix Secure Access autorise la connexion si le split tunnel est activé et qu’aucune application intranet n’est configurée.

Limitations

Voici les limitations actuelles.

  • Les analyses EPA suivantes peuvent échouer en raison de l’accès restreint à Secure Access dû au sandboxing.
    • « Type » et « chemin » de chiffrement du disque dur
    • Navigateur Web « par défaut » et « en cours d’exécution »
    • Gestion des correctifs « correctifs manquants »
    • Fonctionnement du processus d’élimination pendant l’EPA
  • Le split tunneling basé sur les ports/protocoles n’est pas pris en charge.
  • Assurez-vous que le trousseau de clés ne contient pas deux certificats portant le même nom et la même date d’expiration, car cela fait en sorte que le client n’affiche qu’un seul des certificats au lieu des deux.

Dépannage

Si le bouton Télécharger le plug-in EPA est affiché aux utilisateurs finaux dans la fenêtre d’authentification de Citrix Secure Access, cela signifie que la politique de sécurité du contenu de l’appliance NetScaler bloque l’invocation de l’URLcom.citrix.agmacepa://. Les administrateurs doivent modifier la stratégie de sécurité du contenu de manière à ce que com.citrix.agmacepa:// soit autorisé.

Configurer Citrix Secure Access pour les utilisateurs de macOS