iOSユーザー向けCitrix Secure Accessのセットアップ
重要:
iOS向けCitrix SSOの名前がCitrix Secure Accessに変更されました。この名前の変更を反映するために、ドキュメントとUIスクリーンショットを更新しています。この移行期間中に、ドキュメントでCitrix SSOのリファレンスが使用されていることに気付くかもしれません。
VPN は iOS 12 以降では使用できません。VPNを引き続き使用するには、Citrix Secure Accessを使用してください。
iOS向けCitrix Secure Accessでサポートされている一般的に使用される機能の一覧については、「 NetScaler Gateway VPNクライアントとサポートされている機能」を参照してください。
MDM 製品との互換性
Citrix Secure Access(macOS/iOS)は、Citrix Endpoint Management(旧XenMobile)、Microsoft Intune などのほとんどのMDMプロバイダーと互換性があります。
Citrix Secure Access(macOS/iOS)は、ネットワークアクセス制御(NAC)と呼ばれる機能もサポートしています。NACについて詳しくは、「 単一要素ログイン用のNetScaler Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックの構成」を参照してください。NACを使用すると、MDM管理者はNetScaler ADCアプライアンスに接続する前にエンドユーザーデバイスのコンプライアンスを強制できます。Citrix Secure Access (macOS/iOS) 上の NAC には、Citrix Endpoint Management や Intune と NetScaler などの MDM サーバーが必要です。
注:
macOS/iOSでCitrix Secure AccessクライアントをMDMなしでNetScaler Gateway VPNで使用するには、VPN構成を追加する必要があります。iOSのVPN構成は、Citrix Secure Access(macOS/iOS)のホームページから追加できます。
Citrix Secure Access クライアント (macOS/iOS) 用の MDM マネージド VPN プロファイルの設定
次のセクションでは、例としてCitrix Endpoint Management(旧XenMobile)を使用して、Citrix Secure Accessクライアント(macOS/iOS)のデバイス全体のVPNプロファイルとアプリごとのVPNプロファイルの両方を構成する手順を段階的に説明します。他のMDMソリューションでは、Citrix Secure Access(macOS/iOS)を使用する際の参考資料としてこのドキュメントを使用できます。
注:
このセクションでは、基本的なデバイス全体およびアプリごとの VPN プロファイルの設定手順について説明します。また、Citrix Endpoint Management(旧XenMobile) のマニュアルまたはAppleのMDMVPNペイロード構成に従って、オンデマンドプロキシを構成することもできます。
デバイスレベルの VPN プロファイル
デバイスレベルの VPN プロファイルは、システム全体の VPN を設定するために使用されます。すべてのアプリとサービスからのトラフィックは、NetScaler ADCで定義されたVPNポリシー(フルトンネル、分割トンネル、リバース分割トンネルなど)に基づいてNetScaler Gateway にトンネリングされます。
Citrix Endpoint ManagementでデバイスレベルのVPNを構成するには
Citrix Endpoint ManagementでデバイスレベルのVPNを構成するには、次の手順を実行します。
-
Citrix Endpoint Management MDMコンソールで、[ 構成 ]>[ デバイスポリシー ]>[ 新しいポリシーの追加]に移動します。
-
左側の [ポリシープラットフォーム] ペインで [ iOS ] を選択します。右側のペインで [ VPN ] を選択します。
-
[ ポリシー情報 ] ページで、有効なポリシー名と説明を入力し、[ 次へ] をクリックします。
-
iOS の [ **VPN ポリシー ] ページで、有効な接続名を入力し、[接続の種類] で [ カスタム SSL ] を選択します。**
MDM VPN ペイロードでは、接続名は UserDefinedName キーに対応し、 VPN タイプキーはVPNに設定する必要があります。
-
[ カスタム SSL 識別子 (リバースDNS形式)] に com.citrix.NetScalerGateway.ios.appと入力します。これは、iOS上のCitrix Secure Accessのバンドル識別子です。
MDM VPN ペイロードでは、カスタム SSL 識別子は VPNSubType キーに対応します。
-
[ プロバイダーバンドル識別子 ] に com.citrix.NetScalerGateway.ios.app.vpnpluginと入力します。これは、Citrix Secure Access iOSアプリバイナリに含まれるネットワーク拡張のバンドル識別子です。
MDM VPN ペイロードでは、プロバイダーバンドル識別子は ProviderBundleIdentifier キーに対応します。
-
[ サーバー名またはIPアドレス ] に、このCitrix Endpoint Managementインスタンスに関連付けられたNetScaler ADC IPアドレスまたはFQDN(完全修飾ドメイン名)を入力します。
設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Management(旧XenMobile)のドキュメントを参照してください。
-
[次へ] をクリックします。
-
[保存] をクリックします。
アプリごとの VPN プロファイル
アプリごとの VPN プロファイルは、特定のアプリケーションの VPN を設定するために使用されます。特定のアプリからのトラフィックのみが、NetScaler Gateway にトンネリングされます。 Per-App VPN ペイロードは 、デバイス全体の VPN のすべてのキーに加えて、その他いくつかのキーをサポートします。
Citrix Endpoint ManagementでアプリごとのレベルのVPNを構成するには
アプリ単位 VPN を設定するには、次の手順を実行します。
-
Citrix Endpoint ManagementでデバイスレベルのVPN構成を完了します。
-
[アプリベース VPN] セクションの [ アプリベース VPN を有効にする ] スイッチをオンにします。
-
マッチアプリの起動時にCitrix Secure Access(macOS/iOS)を自動的に起動する必要がある場合は、「オンデマンドマッチアプリを有効にする」スイッチをオンにしてください 。これは、ほとんどのアプリごとのケースで推奨されます。
MDM VPN ペイロードでは、このフィールドは onDemandMatchAppEnabledキーに対応します。
-
[ プロバイダーの種類] で [ パケットトンネル] を選択します。
MDM VPN ペイロードでは、 このフィールドはキープロバイダータイプに対応します。
-
Safari ドメインの設定はオプションです。 Safariドメインを設定すると、ユーザーがSafariを起動し、「ドメイン」フィールドのURLと一致するURLに移動すると、Citrix Secure Access(macOS/iOS)が自動的に起動します。 特定のアプリの VPN を制限する場合、これはお勧めできません。
MDM VPN ペイロードでは、このフィールドはキー safariDomainsに対応します。
設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Management(旧XenMobile)のドキュメントを参照してください。
-
[ 次へ] をクリックします。
-
[保存] をクリックします。
この VPN プロファイルをデバイス上の特定のアプリに関連付けるには、このガイド()に従って、 アプリインベントリポリシーと認証情報プロバイダーポリシーを作成する必要があります。https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/。
アプリ単位 VPN での分割トンネルの設定
MDMのお客様は、Citrix Secure Access(macOS/iOS)用のアプリベースVPNで分割トンネルを構成できます。次のキーと値のペアは、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに追加する必要があります。
- Key = "PerAppSplitTunnel"
- Value = "true or 1 or yes"
<!--NeedCopy-->
キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。
注:
ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。
以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。
以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。
ユーザー作成の VPN プロファイルの無効化
MDMのお客様は、ユーザーがCitrix Secure Access(macOS/iOS)内から手動でVPNプロファイルを作成することを防ぐことができます。これを行うには、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。
- Key = "disableUserProfiles"
- Value = "true or 1 or yes"
<!--NeedCopy-->
キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。
注:
ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。
以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。
以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。
DNSハンドリング
Citrix Secure Accessクライアントの推奨DNS設定は次のとおりです:
- 分割トンネルが OFF に設定されている場合は、スプリット DNS > REMOTE。
- 分割トンネルが ON に設定されている場合は、スプリット DNS **BOTH**。この場合、管理者はイントラネットドメインの DNS サフィックスを追加する必要があります。DNSサフィックスに属するFQDNのDNSクエリはNetScaler ADCアプライアンスにトンネリングされ、残りのクエリはローカルルーターに送信されます。
注:
DNS 切り捨て修正フラグは常にON にすることをお勧めします。詳しくは、「https://support.citrix.com/article/CTX200243」を参照してください。
分割トンネルが ON に設定され、スプリット DNS が REMOTEに設定されている場合、VPN の接続後に DNS クエリーを解決する際に問題が発生する可能性があります。これは、ネットワーク拡張フレームワークがすべての DNS クエリをインターセプトしない場合に関連しています。
既知の問題
問題の説明:アプリ単位 VPN またはオンデマンド VPN構成の“.local”ドメインを含む FQDN アドレスのトンネリング。AppleのNetwork Extensionフレームワークには、ドメイン部分(たとえば http://wwww.abc.local) .local に含まれるFQDNアドレスがシステムのTUNインターフェイスを介してトンネリングされないようにするバグがあります。代わりに、FQDN アドレスのトラフィックは、クライアントデバイスの物理インターフェイスを介して送信されます。この問題は、アプリ単位 VPN またはオンデマンド VPN の設定でのみ発生し、システム全体の VPN 設定では発生しません。Citrix はAppleにレーダーバグレポートを提出しており、Appleは、RFC-6762によると https://tools.ietf.org/html/rfc6762、ローカルはマルチキャストDNS(mDNS)クエリであり、したがってバグではないと述べています。しかし、Appleはまだバグをクローズしておらず、この問題が将来のiOSリリースで対処されるかどうかは明らかではありません。
回避策:回避策として、このようなアドレスにnon .localドメイン名を割り当てます。
制限事項
- エンドポイント分析 (EPA) は iOS ではサポートされていません。
- ポート/プロトコルに基づく分割トンネリングはサポートされていません。