Configuration de Citrix Secure Access dans un environnement Intune Android Enterprise

Important :

Citrix SSO pour Android s’appelle désormais Citrix Secure Access. Nous mettons à jour notre documentation et les captures d’écran de l’interface utilisateur de manière à refléter ce changement de nom.

Cette rubrique fournit des informations sur le déploiement et la configuration de Citrix Secure Access via Microsoft Intune. Ce document suppose qu’Intune est déjà configuré pour la prise en charge d’Android Enterprise et que l’inscription des appareils est déjà terminée.

Logiciels requis

  • Intune est configuré pour le support Android Enterprise
  • L’inscription des appareils est terminée

Pour configurer Citrix Secure Access dans un environnement Intune Android Enterprise

  • Ajouter Citrix Secure Access en tant qu’application gérée
  • Configurer la stratégie des applications gérées pour Citrix Secure Access

Ajouter Citrix Secure Access en tant qu’application gérée

  1. Connectez-vous à votre portail Azure.

  2. Cliquez sur Intune dans le volet de navigation de gauche.

  3. Cliquez sur Applications clientes dans la lame Microsoft Intune, puis cliquez sur Applications dans la lame Applications clientes.

  4. Cliquez sur+Ajouter un lien dans les options du menu en haut à droite. La lame Ajouter une configuration d’application apparaît.

  5. Sélectionnez Google Play géré pour le type d’application.

    Cela ajoute Gérer la recherche Google Play et approuver la lame si vous avez configuré Android Enterprise.

  6. Recherchez Citrix Secure Access et sélectionnez-le dans la liste des applications.

    sélectionnez Secure Access

    Remarque :Si Citrix Secure Access n’apparaît pas dans la liste, cela signifie que l’application n’est pas disponible dans votre pays.

  7. Cliquez sur APPROUVER pour approuver le déploiement de Citrix Secure Access via le Google Play Store géré.

    Les autorisations requises par Citrix Secure Access sont répertoriées.

  8. Cliquez sur APPROUVER pour approuver le déploiement de l’application.

  9. Cliquez sur Synchroniser pour synchroniser cette sélection avec Intune.

    Citrix Secure Access est ajouté à la liste des applications clientes. Vous devrez peut-être rechercher Citrix Secure Access si de nombreuses applications ont été ajoutées.

  10. Cliquez sur l’application Citrix Secure Access pour ouvrir la fenêtre de détails de l’application.

  11. Cliquez sur Affectations dans la lame de détails. La lame Citrix Secure Access - Assignmentsapparaît.

    sélectionnez l'attribution d'accès sécurisé

  12. Cliquez sur Ajouter un groupe pour attribuer les groupes d’utilisateurs auxquels vous souhaitez autoriser l’installation de Citrix Secure Access, puis cliquez sur Enregistrer.

  13. Fermez la fenêtre de détails de Citrix Secure Access.

Citrix Secure Access est ajouté et activé pour être déployé auprès de vos utilisateurs.

Configurer la stratégie des applications gérées pour Citrix Secure Access

Une fois Citrix Secure Access ajouté, vous devez créer une stratégie de configuration gérée pour Citrix Secure Access afin que le profil VPN puisse être déployé sur Citrix Secure Access sur l’appareil.

  1. Ouvrez la lame Intune sur votre portail Azure.

  2. Ouvrez la lame Client Apps à partir de la lame Intune.

  3. Sélectionnez l’élément Stratégies de configuration d’application dans la lame Applications clientes et cliquez sur Ajouter pour ouvrir la lame Ajouter une stratégie de configuration.

  4. Entrez le nom de la stratégie et ajoutez-en une description.

  5. Dans Type d’inscription des appareils, sélectionnez Appareils gérés.

  6. Dans Platform, sélectionnez Android.

    Cela ajoute une autre option de configuration pour l’application associée.

  7. Cliquez sur Application associée et sélectionnez l’application Citrix Secure Access.

    Vous devrez peut-être le rechercher si vous disposez de nombreuses applications.

  8. Cliquez sur OK. Une option de paramètres de configuration est ajoutée dans la lame Ajouter une stratégie de configuration.

  9. Cliquez sur Paramètres de configuration.

    Une lame permettant de configurer Citrix Secure Access apparaît.

  10. Dans Paramètres de configuration, sélectionnez Utiliser le concepteur de configuration ou Entrez des données JSON pour configurer Citrix Secure Access.

Configurer Citrix Secure Access pour Intune

Remarque :

Pour les configurations VPN simples, il est recommandé d’utiliser le concepteur de configuration.

Configuration VPN à l’aide du concepteur de configuration

  1. Dans Paramètres de configuration, sélectionnez Utiliser le concepteur de configuration et cliquez sur Ajouter.

    Un écran de saisie des valeurs clés s’affiche pour configurer les différentes propriétés prises en charge par Citrix Secure Access. Au minimum, vous devez configurer les propriétés Adresse du serveur et Nom du profil VPN. Vous pouvez survoler la section DESCRIPTION pour obtenir plus d’informations sur chaque propriété.

  2. Par exemple, sélectionnez les propriétés Nom du profil VPN et Adresse du serveur (*), puis cliquez sur OK.

    Les propriétés sont ajoutées au concepteur de configuration. Vous pouvez configurer les propriétés suivantes.

    • Nom du profil VPN. saisissez un nom pour le profil VPN. Si vous créez plusieurs profils VPN, utilisez un nom unique pour chaque profil. Si vous ne fournissez pas de nom, l’adresse que vous entrez dans le champ Adresse du serveur est utilisée comme nom de profil VPN.

    • Adresse du serveur (*). Entrez le nom de domaine complet de base de NetScaler Gateway. Si votre port NetScaler Gateway n’est pas 443, saisissez également votre port. Utilisez le format URL. Par exemple, https://vpn.mycompany.com:8443.

    • Nom d’utilisateur (facultatif). Entrez le nom d’utilisateur que les utilisateurs finaux utilisent pour s’authentifier auprès de NetScaler Gateway. Vous pouvez utiliser le jeton de valeur de configuration Intune pour ce champ si la passerelle est configurée pour l’utiliser (voir jetons de valeur de configuration). Si vous ne fournissez pas de nom d’utilisateur, les utilisateurs sont invités à fournir un nom d’utilisateur lorsqu’ils se connectent à NetScaler Gateway.

    • Mot de passe (facultatif). Entrez le mot de passe que les utilisateurs finaux utilisent pour s’authentifier auprès de NetScaler Gateway. Si vous ne fournissez pas de mot de passe, les utilisateurs sont invités à fournir un mot de passe lorsqu’ils se connectent à NetScaler Gateway.

    • Alias de certificat (facultatif). Indiquez un alias de certificat dans le magasin de clés Android à utiliser pour l’authentification du certificat client. Ce certificat est présélectionné pour les utilisateurs si vous utilisez l’authentification basée sur des certificats.

    • Épingles de certificat Gateway (facultatif). Objet JSON décrivant les codes PIN de certificat utilisés pour NetScaler Gateway. Exemple de valeur : {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Pour plus de détails, consultez la section Épinglage de certificats NetScaler Gateway avec Android Citrix Secure Access.

    • Type de VPN par application (facultatif). Si vous utilisez un VPN par application pour restreindre les applications qui utilisent ce VPN, vous pouvez configurer ce paramètre.

      • Si vous sélectionnez Autoriser, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications PerAppVPN est acheminé via le VPN. Le trafic réseau de toutes les autres applications est acheminé en dehors du VPN.
      • Si vous sélectionnez Interrompre, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications PerAppVPN est acheminé en dehors du VPN. Le trafic réseau de toutes les autres applications est acheminé via le VPN. La valeur par défaut est Autoriser.
    • Liste des applications PerAppVPN. liste des applications dont le trafic est autorisé ou interdit sur le VPN en fonction de la valeur définie pour Type de VPN par application. Répertoriez les noms de packages d’applications en les séparant par des virgules ou des points-virgules. Les noms de packages d’applications sont sensibles à la casse et doivent apparaître sur cette liste tels qu’ils figurent dans Google Play Store. Cette liste est facultative. Gardez cette liste vide pour le provisioning de VPN à l’échelle de l’appareil.
    • Profil VPN par défaut. Le nom du profil VPN utilisé lorsque Always On VPN est configuré pour Citrix Secure Access. Si ce champ est vide, le profil principal est utilisé pour la connexion. Si un seul profil est configuré, il est marqué comme profil VPN par défaut.
    • VPN Always On (facultatif) : lorsqu’il est défini sur True, cela indique que le profil VPN est un profil VPN Always On. Cette propriété ne peut être définie que pour le profil VPN principal. Il ne peut pas être défini pour les profils VPN supplémentaires. Par défaut, cette propriété est définie sur False.

      Remarque :

      La propriété Always On VPN (optional) est disponible à partir de Citrix Secure Access pour Android 24.04.1.

    Option de profil VPN par défaut

    Remarque :

    • Pour faire de Citrix Secure Access une application VPN Always On dans Intune, utilisez le fournisseur VPN de manière personnalisée et com.citrix.CitrixVPNcomme nom du package de l’application.

    • Seule l’authentification client basée sur des certificats est prise en charge pour le VPN Always On de Citrix Secure Access.

    • Les administrateurs doivent sélectionner l’authentification du client et définir le certificat client sur Obligatoire dans le profilSSL ou dans les propriétés SSL sur NetScaler Gateway pour Citrix Secure Access pour fonctionner comme prévu.

    • Désactiver les profils utilisateur
      • Si vous définissez cette valeur sur true, les utilisateurs ne peuvent pas ajouter de nouveaux profils VPN sur leurs appareils.
      • Si vous définissez cette valeur sur false, les utilisateurs peuvent ajouter leur propre VPN sur leurs appareils.

      La valeur par défaut est false.

    • Bloquer les serveurs non fiables
      • Définissez cette valeur sur false lorsque vous utilisez un certificat autosigné pour NetScaler Gateway ou lorsque le certificat racine de l’autorité de certification qui émet le certificat NetScaler Gateway ne figure pas dans la liste des autorités de certification du système.
      • Définissez cette valeur sur true pour permettre au système d’exploitation Android de valider le certificat NetScaler Gateway. Si la validation échoue, la connexion n’est pas autorisée.

      La valeur par défaut est true.

  3. Pour la propriété Server Address (*), saisissez l’URL de base de votre passerelle VPN (par exemple, https://vpn.mycompany.com).

  4. Dans le champ Nom du profil VPN, entrez un nom visible par l’utilisateur final sur l’écran principal du client Citrix Secure Access (par exemple, My Corporate VPN).

  5. Vous pouvez ajouter et configurer d’autres propriétés en fonction de votre déploiement NetScaler Gateway. Cliquez sur OK lorsque vous avez terminé la configuration.

  6. Cliquez sur la section Autorisations. Vous pouvez accorder les autorisations suivantes requises par Citrix Secure Access :

    • Si vous utilisez le check Intune NAC, Citrix Secure Access nécessite que vous accordiez l’autorisation d’ état (lecture) du téléphone. Cliquez sur le bouton Ajouter pour ouvrir la lame d’autorisations. Actuellement, Intune affiche une liste importante des autorisations disponibles pour toutes les applications.

    • Si vous utilisez la vérification du NAC Intune, sélectionnez Autorisation d’état du téléphone (lecture) et cliquez sur OK. Cela l’ajoute à la liste des autorisations de l’application. Sélectionnez Prompt ou Auto grant pour que la vérification Intune NAC puisse fonctionner, puis cliquez sur OK.

      Définir la configuration de Citrix Secure Access

    • Il est conseillé d’accorder automatiquement des autorisations de notification à Citrix Secure Access.

    Remarque :

    Pour les utilisateurs d’Android 13+ utilisant Citrix Secure Access 23.12.1 et versions ultérieures, il est conseillé aux administrateurs MDM d’accorder l’autorisation de notification à Citrix Secure Access (ID du package : com.citrix.CitrixVPN) dans leur solution.

  7. Cliquez sur Ajouter en bas du panneau de stratégie de configuration de l’application pour enregistrer la configuration gérée de Citrix Secure Access.

  8. Cliquez sur Attributions dans la lame de stratégie de configuration des applications pour ouvrir la lame Attributions.

  9. Sélectionnez les groupes d’utilisateurs pour lesquels vous souhaitez que cette configuration Citrix Secure Access soit fournie et appliquée.

Configuration VPN en entrant des données JSON

  1. Dans Paramètres de configuration, sélectionnez Entrer les données JSON pour configurer Citrix Secure Access.

  2. Cliquez sur le bouton Télécharger le modèle JSON pour télécharger un modèle permettant de fournir une configuration plus détaillée/complexe pour Citrix Secure Access. Ce modèle est un ensemble de paires clé-valeur JSON permettant de configurer toutes les propriétés possibles comprises par Citrix Secure Access.

    Pour obtenir la liste de toutes les propriétés disponibles qui peuvent être configurées, consultez la section Propriétés disponibles pour configurer le profil VPN dans l’application Citrix Secure Access.

  3. Une fois que vous avez créé un fichier de configuration JSON, copiez et collez son contenu dans la zone d’édition. Par exemple, voici le modèle JSON pour la configuration de base créé précédemment à l’aide de l’option Concepteur de configuration.

Configuration JSON terminée

Ceci termine la procédure de configuration et de déploiement de profils VPN pour Citrix Secure Access dans l’environnement Microsoft Intune Android Enterprise.

Important :

Le certificat utilisé pour l’authentification basée sur les certificats clients est déployé à l’aide d’un profil Intune SCEP. L’alias de ce certificat doit être configuré dans la propriété Certificate Alias de la configuration gérée pour Citrix Secure Access.

Propriétés disponibles pour configurer le profil VPN dans Citrix Secure Access

Clé de configuration Nom du champ JSON Type de valeur Description
Nom du profil VPN VPNProfileName Texte Nom du profil VPN (s’il n’est pas défini par défaut sur l’adresse du serveur).
Adresse du serveur (*) ServerAddress Adresse URL URL de base de NetScaler Gateway pour la connexion (https://host[:port]). Il s’agit d’un champ obligatoire.
Username (facultatif) Nom d’utilisateur Texte Nom d’utilisateur utilisé pour l’authentification auprès de NetScaler Gateway (facultatif).
Mot de passe (facultatif) Mot de passe Texte Mot de passe de l’utilisateur pour s’authentifier auprès de NetScaler Gateway (facultatif).
Alias de certificat (facultatif) ClientCertAlias Texte Alias du certificat client installé dans la banque d’informations d’identification Android à utiliser dans le cadre de l’authentification client basée sur les certificats (facultatif). L’alias de certificat est un champ obligatoire lors de l’utilisation de l’authentification basée sur des certificats sur NetScaler Gateway.
Épingles de certificat Gateway (facultatif) ServerCertificatePins Texte JSON Objet JSON intégré décrivant les codes PIN de certificat utilisés pour NetScaler Gateway. Exemple de valeur : {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Assurez-vous d’échapper à ces données JSON intégrées lorsque vous utilisez le configurateur JSON.
Type de Per App VPN (facultatif) PerAppVPN_Allow_Disallow_Setting Enum (Allow, Disallow) Les applications répertoriées sont-elles autorisées (liste d’autorisation) ou interdites (liste de blocage) à utiliser le tunnel VPN ?Si cette option est définie sur Autoriser, seules les applications répertoriées (dans la propriété Liste des applications PerAppVPN) sont autorisées à passer par tunnel via le VPN. Si cette option est définie sur Refuser, toutes les applications, à l’exception de celles répertoriées, sont autorisées à passer par tunnel via le VPN. Si aucune application n’est répertoriée, toutes les applications sont autorisées à passer par le VPN.
PerAppVPN app list PerAppName_Appnames Texte Liste de noms de packages d’applications séparés par des virgules (,) ou des points-virgules (;) pour le Per App VPN. Les noms des packages doivent être identiques à ceux qui apparaissent sur l’URL de la page de liste des applications du Google Play Store. Les noms des packages distinguent les majuscules des minuscules.
Profil VPN par défaut DefaultProfileName Texte Nom du profil VPN à utiliser lorsque le système démarre le service VPN. Ce paramètre est utilisé pour identifier le profil VPN à utiliser lorsque le VPN Always On est configuré sur l’appareil.
VPN Always On (facultatif)
est toujours connecté au VPN
Booléen
Détermine si le profil VPN est un profil VPN Always ON ou non. Lorsqu’il est défini sur True, cela indique que le profil VPN est un profil VPN Always On. Cette propriété ne peut être définie que sur le profil VPN principal. Il ne peut pas être défini pour les profils VPN supplémentaires. La valeur par défaut est False.
Cette propriété est disponible à partir de la version 24.04.1 de Citrix Secure Access pour Android.
Désactiver les profils utilisateur DisableUserProfiles Booléen Propriété permettant ou non aux utilisateurs finaux de créer manuellement des profils VPN. Définissez cette valeur surtruepour empêcher les utilisateurs de créer des profils VPN. La valeur par défaut est False.
Bloquer les serveurs non fiables BlockUntrustedServers Booléen Propriété permettant de déterminer si la connexion à des passerelles non fiables (par exemple, à l’aide de certificats auto-signés ou lors de l’émission d’une autorité de certification n’est pas approuvée par le système d’exploitation Android) doit être bloquée ? La valeur par défaut est true (bloque les connexions à des passerelles non fiables).
Paramètres personnalisés (facultatif) CustomParameters Liste Liste des paramètres personnalisés (facultatif) pris en charge par Citrix Secure Access. Pour plus de détails, voir Paramètres personnalisés. Consultez la documentation du produit NetScaler Gateway pour connaître les options disponibles.
Liste des autres profils VPN bundle_profiles Liste Liste des autres profils VPN. La plupart des valeurs mentionnées précédemment pour chaque profil sont prises en charge. Pour plus de détails, consultez la section Propriétés prises en charge pour chaque VPN dans la liste des profils VPN.

Paramètres personnalisés

Chaque paramètre personnalisé doit être défini à l’aide des noms de valeurs-clés suivants.

Clé Type de valeur Valeur
Nom du paramètre Texte Nom du paramètre personnalisé.
Valeur du paramètre Texte Valeur du paramètre personnalisé.

Paramètres personnalisés pour la configuration d’Intune

Nom du paramètre Description Valeur
UserAgent Citrix Secure Access ajoute cette valeur de paramètre à l’en-tête HTTP de l’agent utilisateur, lors de la communication avec NetScaler Gateway, pour effectuer une vérification supplémentaire sur NetScaler Gateway. Spécifiez le texte que vous devez ajouter à l’en-tête HTTP de l’agent utilisateur. Le texte doit être conforme aux spécifications de l’agent utilisateur HTTP.
EnableDebugLogging Activez la journalisation du débogage sur Citrix Secure Access pour résoudre les problèmes de connectivité VPN en cas d’Always On VPN. Vous pouvez l’activer dans toutes les configurations VPN gérées. La journalisation du débogage prend effet lorsque les configurations gérées sont traitées. True : active la journalisation du débogage. Valeur par défaut : False.

Pour plus d’informations sur les paramètres personnalisés, voir Créer une configuration gérée par Android Enterprise pour Citrix Secure Access.

Propriétés prises en charge pour chaque VPN dans la liste des profils VPN

Les propriétés suivantes sont prises en charge pour chacun des profils VPN lors de la configuration de plusieurs profils VPN à l’aide du modèle JSON.

Clé de configuration Nom du champ JSON Type de valeur
Nom du profil VPN bundle_VPNProfileName Texte
Adresse du serveur (*) bundle_ServerAddress Adresse URL
Nom d’utilisateur bundle_Username Texte
Mot de passe Bundle_Password Texte
Alias de certificat client bundle_ClientCertAlias Texte
Épinglages de certificat Gateway bundle_ServerCertificatePins Texte
Type de VPN par application bundle_PerAppVPN_Allow_Disallow_Setting Enum (Allow, Disallow)
PerAppVPN app list Bundle_PerAppVPN_AppNames Texte
Paramètres personnalisés bundle_CustomParameters Liste

Définir Citrix Secure Access comme fournisseur VPN Always On dans Intune

En l’absence d’un support VPN à la demande dans un sous-système VPN Android, le VPN Always On peut être utilisé comme alternative pour fournir une option de connectivité VPN fluide ainsi qu’une authentification par certificat client avec Citrix Secure Access. Le VPN est démarré par le système d’exploitation lorsqu’il démarre ou lorsque le profil professionnel est activé.

Pour faire de Citrix Secure Access une application VPN Always On dans Intune, vous devez utiliser les paramètres suivants.

  • Choisissez le type de configuration gérée à utiliser (propriété personnelle avec profil de travail OU profil de travail entièrement géré, dédié et appartenant à l’entreprise).

  • Créez un profil de configuration d’appareil et sélectionnez Restrictions d’appareil, puis accédez à la section Connectivité. Sélectionnez Activer pour le paramètre VPN Always On.

  • Choisissez Citrix Secure Access comme client VPN. Si Citrix Secure Access n’est pas disponible en tant qu’option, vous pouvez choisir Personnaliseren tant que client VPN et saisir com.citrix.citrixvpn dans le champ Package ID (le champ Package ID distingue les majuscules et minuscules)

  • Laissez les autres options telles qu’elles sont. Il est recommandé de ne pas activer le mode Verrouillage. Lorsque cette option est activée, l’appareil risque de perdre la connectivité réseau complète si le VPN n’est pas disponible.

  • En plus de ces paramètres, vous pouvez également définir le type de VPN par application et la liste des applications PerAppVPN dans la page Stratégies de configuration de l’application pour activer le VPN par application pour Android, comme décrit dans les sections précédentes.

Remarque :

Le VPN Always On est uniquement pris en charge avec l’authentification par certificat client dans Citrix Secure Access.

Références

Pour plus d’informations sur la configuration des options de connectivité dans Intune, reportez-vous aux rubriques suivantes.

Redémarrage automatique du VPN Always On

À partir de Citrix SSO pour Android 23.8.1, Citrix Secure Access redémarre automatiquement le VPN Always On lorsqu’une application faisant partie de la liste d’autorisation ou de blocage est installée dans un profil professionnel ou un profil d’appareil.Le trafic provenant de l’application récemment installée est automatiquement tunnelisé via une connexion VPN sans redémarrer le profil professionnel ni redémarrer l’appareil.

Pour activer le redémarrage automatique du VPN Always On, les utilisateurs finaux doivent autoriser Citrix Secure Access à tous les packages Query. Une fois le consentement accordé, Citrix Secure Access :

  • Reçoit la notification d’installation du package en provenance du système d’exploitation.
  • Redémarre le VPN Always On.

Lorsqu’un utilisateur final se connecte à un profil VPN par application pour la première fois, il est invité à donner son consentement (requis par les règles de Google) pour collecter des informations sur le package installé. Si l’utilisateur final donne son consentement, la connexion VPN est initiée. Si l’utilisateur refuse son consentement, la connexion VPN est interrompue. L’écran d’autorisation ne réapparaît pas une fois que l’autorisation a été accordée. Pour plus d’informations sur les instructions destinées à l’utilisateur final, consultez la section Comment utiliser Citrix Secure Access depuis votre appareil Android.

Limitations

Les limitations suivantes s’appliquent au Per App VPN dans l’environnement Android Enterprise sur les appareils Android 11+ en raison des restrictions de visibilité des packages introduites dans Android 11 :

  • Si une application figurant dans la liste des applications autorisées/refusées est déployée sur un appareil après le démarrage de la session VPN, l’utilisateur final doit redémarrer la session VPN pour que l’application puisse acheminer son trafic via la session VPN.
  • Si le VPN par application est utilisé via une session VPN Always On, après avoir installé une nouvelle application sur l’appareil, l’utilisateur final doit redémarrer le profil professionnel ou redémarrer l’appareil pour que le trafic de l’application soit routé via la session VPN.

Remarque :

Ces limitations ne s’appliquent pas si vous utilisez Citrix SSO pour Android 23.8.1 ou des versions ultérieures. Consultez Redémarrage automatique d’Always On VPN pour plus de détails.

Configuration de Citrix Secure Access dans un environnement Intune Android Enterprise