Configurer la vérification du périphérique de contrôle d’accès réseau pour le serveur virtuel NetScaler Gateway pour une connexion à facteur unique
Cette rubrique fournit des informations sur la configuration de NetScaler Gateway pour se connecter à un réseau interne à partir d’un appareil mobile (iOS et Android) avec la sécurité Network Access Compliance (NAC) proposée par Microsoft Intune. Lorsqu’un utilisateur essaie de se connecter à NetScaler Gateway à partir d’un client VPN iOS ou Android, la passerelle vérifie d’abord auprès du service Intune si l’appareil est géré et conforme.
- Géré : l’appareil est inscrit à l’aide du client du portail d’entreprise Intune.
- Conformité : les stratégies requises envoyées depuis le serveur MDM Intune sont appliquées.
Ce n’est que si l’appareil est géré et conforme que la session VPN est établie et que l’utilisateur a accès aux ressources internes.
Remarque :
Dans cette configuration, NetScaler Gateway du back-end communique avec le service Intune. Les profils SSL gèrent les connexions entrantes à NetScaler Gateway. La communication principale de NetScaler Gateway gère toutes les exigences SNI des services cloud principaux (Intune).
Le serveur virtuel de passerelle SNI pour DTLS est pris en charge dans NetScaler Gateway version 13.0 build 64.x et versions ultérieures.
La vérification NAC Intune, pour le VPN par application ou même le VPN à l’échelle de l’appareil, n’est prise en charge que lorsque le profil VPN est provisionné par le portail de gestion Intune (maintenant connu sous le nom de Microsoft Endpoint Manager). Ces fonctionnalités ne sont pas prises en charge pour les profils VPN ajoutés par l’utilisateur final. Le profil VPN de la machine de l’utilisateur final doit être déployé sur son appareil à partir de Microsoft Endpoint Manager par son administrateur Intune pour utiliser la vérification NAC.
Gestion des licences
Une licence Citrix Enterprise Edition est requise pour cette fonctionnalité.
Configuration système requise
- NetScaler Gateway version 11.1 build 51.21 ou ultérieure
- VPN iOS — 10.6 ou version ultérieure
- VPN Android — 2.0.13 ou version ultérieure
- Microsoft
- Accès Azure AD (avec des privilèges de locataire et d’administrateur)
- Locataire activé Intune
- Pare-feu
Activer les règles de pare-feu pour tout le trafic DNS et SSL depuis l’adresse IP du sous-réseau vers
https://login.microsoftonline.com
ethttps://graph.windows.net
(port 53 et port 443)
Pré-requis
- Toutes les stratégies d’authentification existantes doivent être converties des stratégies classiques aux stratégies avancées. Pour plus d’informations sur la conversion de stratégies classiques en stratégies avancées, reportez-vous à la section https://support.citrix.com/article/CTX131024.
- Créez une application NetScaler Gateway sur le portail Azure. Pour plus de détails, consultez Configuration d’une application NetScaler Gateway sur le portail Azure.
- Configurez la stratégie OAuth sur l’application NetScaler Gateway que vous avez créée à l’aide des informations spécifiques à l’application suivantes.
- ID client/ID de l’application
- Secret client/ Clé d’application
- ID de locataire Azure
Références
- Ce document capture la configuration de NetScaler Gateway. La plupart de la configuration du client Citrix SSO (iOS/Android) se fait du côté Intune. Pour plus d’informations sur la configuration du VPN Intune pour NAC, reportez-vous à la section https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
- Pour configurer le profil VPN d’une application iOS, reportez-vous à la section https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
- Pour configurer l’application NetScaler Gateway sur le portail Azure, consultez la section Configuration d’une application NetScaler Gateway sur leportail Azure.
Pour ajouter un serveur virtuel NetScaler Gateway avec nFactor pour le déploiement de la passerelle
-
Accédez à NetScaler Gateway > Serveurs virtuels.
-
Cliquez sur Ajouter.
-
Indiquez les informations requises dans la zone Paramètres de base, puis cliquez sur OK.
-
Sélectionnez Certificat de serveur.
-
Sélectionnez le certificat de serveur requis et cliquez sur Liaison.
-
Dans le cadre de la prise en charge de l’API Intune NAC v2, vous devez lier un fichier d’autorité de certification (certificat CA) pour garantir que l’appliance NetScaler obtient un certificat valide depuis les appareils mobiles. Dans Intune NAC v2, les appareils mobiles envoient des ID d’appareil dans le cadre du certificat client. Le certificat d’autorité de certification lié ici doit être celui utilisé pour émettre des certificats clients aux appareils iOS et Android des utilisateurs finaux. S’il existe des certificats intermédiaires, ceux-ci doivent également être liés ici. Pour en savoir plus sur la configuration d’Intune, consultez la section Configuration d’une application NetScaler Gateway sur leportail Azure. Pour prendre en charge l’API Intune NAC v2, sélectionnez le certificat d’autorité de certification requis et cliquez sur Lier.
-
Cliquez sur Continuer.
-
Cliquez sur Continuer.
-
Cliquez sur Continuer.
-
Cliquez sur l’icône plus [+] en regard de Stratégies et sélectionnez Session dans la liste Choisir une stratégie, sélectionnez Demande dans la liste Choisir un type, puis cliquez sur Continuer.
-
Cliquez sur l’icône plus [+] en regard de Sélectionner une stratégie.
-
Sur la page Create NetScaler Gateway Session Policy, attribuez un nom à la stratégie de session.
-
Cliquez sur l’icône plus [+] à côté de Profil et sur la page Créer un profil de session NetScaler Gateway, donnez un nom au profil de session.
-
Dans l’onglet Expérience client, cochez la case en regard de Accès sans client et sélectionnez Désactivé dans la liste.
-
Cochez la case en regard de Type de plug-in et sélectionnez Windows/Mac OS X dans la liste.
-
Cliquez sur Paramètres avancés, cochez la case en regard de Choix du client et définissez sa valeur sur ON.
-
Dans l’onglet Sécurité, cochez la case en regard de Action d’autorisation par défaut et sélectionnez Autoriser dans la liste.
-
Dans l’onglet Applications publiées, cochez la case en regard de Proxy ICA et sélectionnez DÉSACTIVÉ dans la liste.
-
Cliquez sur Créer.
-
Sur la page Create NetScaler Gateway Session Policy, dans la zone Expression, configurez l’expression qualificative.
-
Cliquez sur Créer.
-
Cliquez sur Bind.
-
Sélectionnez Profil d’authentification dans les paramètres avancés.
-
Cliquez sur l’icône plus [+] et saisissez un nom pour le profil d’authentification.
-
Cliquez sur l’icône plus [+] pour créer un serveur virtuel d’authentification.
-
Spécifiez le nom et le type d’adresse IP du serveur virtuel d’authentification dans la zone Paramètres de base, puis cliquez sur OK. Le type d’adresse IP peut également être non adressable.
-
Cliquez sur Stratégie d’authentification.
-
Dans la vue Liaison de stratégie, cliquez sur l’icône plus [+] pour créer une stratégie d’authentification.
-
Sélectionnez OAUTH comme type d’action et cliquez sur l’icône plus [+] pour créer une action OAuth pour NAC.
-
Créez une action OAuth à l’aide de l’ID client, du secret clientet de l’ ID de locataire.
Remarque :
- L’ID client, le secret client et l’ ID du locataire sont générés après la configuration de l’application NetScaler Gateway sur le portail Azure.
- Notez les informations relatives à l’ID client/à l’ID d’application, au secret du client/au secret d’application et à l’ID du locataire Azure, car elles sont requises lors de la création ultérieure d’une action OAuth sur NetScaler Gateway.
Assurez-vous que vous disposez d’un serveur de noms DNS approprié configuré sur votre appliance pour résoudre et atteindre ;
https://login.microsoftonline.com/,
- -https://graph.windows.net/
, - *.manage.microsoft.com. -
Créez une stratégie d’authentification pour OAuth Action.
Règle :
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
Cliquez sur l’icône plus [+] pour créer une étiquette de stratégie NextFactor.
-
Cliquez sur l’icône plus [+] pour créer un schéma de connexion.
-
Sélectionnez
noschema
en tant que schéma d’authentification, puis cliquez sur Créer. -
Après avoir sélectionné le schéma de connexion créé, cliquez sur Continuer.
-
Dans Sélectionner une stratégie, sélectionnez une stratégie d’authentification existante pour la connexion de l’utilisateur ou cliquez sur l’icône plus + pour créer une stratégie d’authentification. Pour plus d’informations sur la création d’une stratégie d’authentification, consultez Configuration des stratégies d’authentification avancées et Configuration de l’authentification LDAP.
-
Cliquez sur Bind.
-
Cliquez sur Terminé.
-
Cliquez sur Bind.
-
Cliquez sur Continuer.
-
Cliquez sur Terminé.
-
Cliquez sur Créer.
-
Cliquez sur OK.
-
Cliquez sur Terminé.
Pour lier le schéma de connexion d’authentification au serveur virtuel d’authentification afin d’indiquer que les plug-ins VPN doivent envoyer l’ID de périphérique dans le cadre de la demande /cgi/login
-
Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
-
Sélectionnez le serveur virtuel précédemment sélectionné, puis cliquez sur Modifier.
-
Cliquez sur Schémas de connexion sous Paramètres avancés.
-
Cliquez sur Schémas de connexion à lier.
-
Cliquez sur [>] pour sélectionner et lier les stratégies de schéma de connexion intégrées existantes pour la vérification des périphériques NAC.
-
Sélectionnez la stratégie de schéma de connexion requise appropriée à votre déploiement d’authentification, puis cliquez sur Sélectionner.
Dans le déploiement expliqué précédemment, l’authentification à facteur unique (LDAP) ainsi qu’une stratégie d’action OAuth NAC sont utilisées. Par conséquent, lschema_single_factor_deviceid est sélectionné.
-
Cliquez sur Bind.
-
Cliquez sur Terminé.
Prise en charge des API Intune NAC v2
Dans le cadre de la prise en charge de l’API Intune NAC v2, vous devez lier un fichier d’autorité de certification (certificat CA) pour garantir que l’appliance NetScaler obtient un certificat valide depuis les appareils mobiles. Dans Intune NAC v2, les appareils mobiles envoient des ID d’appareil dans le cadre du certificat de l’autorité de certification. Le certificat d’autorité de certification lié ici doit être celui utilisé pour émettre des certificats clients sur les appareils iOS et Android des utilisateurs finaux. S’il existe des certificats intermédiaires, ceux-ci doivent également être liés ici.
Vous pouvez utiliser l’exemple de commande suivant pour lier votre certificat d’autorité de certification.
bind ssl vserver intune_nac_check_443 -certkeyName clientca -CA -ocspCheck Optional
<!--NeedCopy-->
Important :
La prise en charge de l’API Intune NAC v2 est disponible dans les versions 13.1 build 12.50 ou ultérieure de NetScaler Gateway et 13.0 build 84.11 ou version ultérieure.
- Vous devez activer l’authentification basée sur un certificat client
clientAuth
en définissant sur ACTIVÉ etclientCert
sur FACULTATIF sur les serveurs virtuels VPN et d’authentification. Le paramètreclientCert
est défini sur FACULTATIF afin que les autres points de terminaison qui n’ont pas besoin de la vérification NAC Intune puissent s’authentifier via le même serveur virtuel sans fournir le certificat client. Les appareils Android et iOS doivent fournir le certificat client. Sinon, la vérification du NAC Intune échoue.- Vous devez vous assurer que les certificats clients provisionnés via Intune sur l’appareil mobile doivent avoir un ID d’appareil Intune dans le champ SAN de type URI, comme indiqué dans le document Nouveau service Microsoft Intune pour le contrôle d’accès réseau. Pour plus de détails, consultez https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696. Le format du champ de valeur URI doit être identique à celui indiqué dans la figure suivante. En outre, l’application Citrix SSO doit utiliser le même certificat pour s’authentifier auprès de la passerelle.
Dépannage
Problèmes d’ordre général
Problème | Résolution |
---|---|
Le message « Ajouter une stratégie requise » s’affiche lorsque vous ouvrez une application | Ajouter des stratégies dans l’API Microsoft Graph |
Il y a des conflits de stratégie | Une seule stratégie par application est autorisée |
Votre application ne peut pas se connecter aux ressources internes | Assurez-vous que les ports de pare-feu appropriés sont ouverts, que l’ID de locataire est correct, etc. |
Problèmes liés à NetScaler Gateway
Problème | Résolution |
---|---|
Les autorisations requises pour être configurées pour l’application passerelle sur Azure ne sont pas disponibles. | Vérifiez si une licence Intune appropriée est disponible. Essayez d’utiliser le portail manage.windowsazure.com pour voir si l’autorisation peut être ajoutée. Contactez le support technique Microsoft si le problème persiste. |
NetScaler Gateway ne peut pas atteindre. login.microsoftonline.comandgraph.windows.net
|
À partir de NS Shell, vérifiez si vous êtes en mesure d’accéder au site Web Microsoft suivant : cURL -v -k https://login.microsoftonline.com. Vérifiez ensuite si le DNS est configuré sur NetScaler Gateway. Vérifiez également que les paramètres du pare-feu sont corrects (dans le cas où les demandes DNS sont pare-feu). |
Une erreur apparaît dans ns.log après la configuration de OAuthAction. | Vérifiez si la licence Intune est activée et si l’application de passerelle Azure dispose des autorisations appropriées. |
La commande Sh OAuthAction n’affiche pas l’état OAuth comme étant terminé. |
Vérifiez les paramètres DNS et les autorisations configurées sur l’application de passerelle Azure. |
L’appareil Android ou iOS n’affiche pas l’invite d’authentification double. | Vérifiez si l’ID d’appareil à double facteur LogonSchema est lié au serveur virtuel d’authentification. |
État et état d’erreur de NetScaler Gateway OAuth
État | Condition d’erreur |
---|---|
AADFORGRAPH | Secret non valide, URL non résolue, expiration de la connexion |
MDMINFO |
*manage.microsoft.com est en panne ou inaccessible |
GRAPH | Le point de terminaison graphique est inaccessible |
CERTFETCH | Communication impossible avec Token Endpoint: https://login.microsoftonline.com en raison d’une erreur DNS. Pour valider cette configuration, accédez à l’invite Shell et tapez cURL https://login.microsoftonline.com. Cette commande doit être validée. |
Remarque : Lorsque l’état OAuth est réussi, l’état est affiché comme COMPLETE.
Vérification de la configuration Intune
Assurez-vous de cocher la case J’accepte dans Configuration VPN iOS de base pour Citrix SSO > Activer le contrôle d’accès réseau (NAC). Sinon, la vérification NAC ne fonctionne pas.
Dans cet article
- Gestion des licences
- Configuration système requise
- Pré-requis
- Références
- Pour ajouter un serveur virtuel NetScaler Gateway avec nFactor pour le déploiement de la passerelle
- Pour lier le schéma de connexion d’authentification au serveur virtuel d’authentification afin d’indiquer que les plug-ins VPN doivent envoyer l’ID de périphérique dans le cadre de la demande /cgi/login
- Prise en charge des API Intune NAC v2
- Dépannage