NetScaler Gatewayクライアント

macOS ユーザー向けCitrix Secure Accessのセットアップ

重要:

iOS向けCitrix SSOは、Citrix Secure Accessと呼ばれるようになりました。この名前の変更を反映するために、ドキュメントとUIスクリーンショットを更新しています。

macOS向けCitrix Secure Accessクライアントは、NetScaler Gatewayが提供するクラス最高のアプリケーションアクセスおよびデータ保護ソリューションを提供します。ビジネスクリティカルなアプリケーション、仮想デスクトップ、企業データにいつでもどこからでも安全にアクセスできるようになりました。 Citrix Secure Accessは、macOSデバイスからのVPN接続を作成および管理するためのNetScaler Gateway用の次世代VPNクライアントです。Citrix Secure Accessは、Appleのネットワーク拡張(NE)フレームワークを使用して構築されています。Apple の NE フレームワークは、macOS のコアネットワーク機能をカスタマイズおよび拡張するために使用できる API を含む最新のライブラリです。SSL VPN をサポートするネットワーク拡張は、macOS 10.11 以降を実行しているデバイスで利用できます。

Citrix Secure Accessは、macOSでモバイルデバイス管理(MDM)を完全にサポートします。管理者は、MDMサーバーを使用してデバイスレベルのVPNプロファイルやアプリごとのVPNプロファイルをリモートで構成して管理できるようになりました。 macOS向けCitrix Secure Accessは、Mac App Storeからインストールできます。

macOS向けCitrix Secure Accessクライアントでサポートされる一般的に使用される機能のリストについては、「 NetScaler Gateway VPNクライアントとサポートされている機能」を参照してください。

MDM 製品との互換性

macOS向けCitrix Secure Accessは、Citrix XenMobile、Microsoft Intune などのほとんどのMDMプロバイダーと互換性があります。ネットワークアクセス制御(NAC)と呼ばれる機能をサポートしています。これを使用して、MDM管理者はNetScaler Gateway に接続する前にエンドユーザーデバイスのコンプライアンスを強制できます。Citrix Secure Access上のNACを使用するには、XenMobileやNetScaler GatewayなどのMDMサーバーが必要です。NACについて詳しくは、「 単一要素ログイン用のNetScaler Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックの構成」を参照してください。

注:

MDMなしでNetScaler Gateway VPNでCitrix Secure Accessを使用するには、VPN構成を追加する必要があります。macOSのVPN構成は、[Citrix Secure Access]構成ページから追加できます。

Citrix Secure Accessの MDM 管理対象VPNプロファイルを構成する

次のセクションでは、Citrix Endpoint Management(以前のXenMobile)を例として使用して、Citrix Secure Accessのデバイス全体のVPNプロファイルとアプリごとのVPNプロファイルの両方を構成する手順を説明します。他のMDMソリューションでは、Citrix Secure Accessを使用する際の参照としてこのドキュメントを使用できます。

注:

このセクションでは、基本的なデバイス全体およびアプリごとの VPN プロファイルの設定手順について説明します。また、Citrix Endpoint Management(旧XenMobile) のマニュアルまたはAppleのMDMVPNペイロード構成に従って、オンデマンドプロキシを構成することもできます。

デバイスレベルの VPN プロファイル

デバイスレベルの VPN プロファイルは、システム全体の VPN を設定するために使用されます。すべてのアプリとサービスからのトラフィックは、NetScaler ADCで定義されたVPNポリシー(フルトンネル、分割トンネル、リバース分割トンネルなど)に基づいてNetScaler Gateway にトンネリングされます。

Citrix Endpoint ManagementでデバイスレベルのVPNを構成するには

デバイスレベル VPN を設定するには、次の手順を実行します。

  1. Citrix Endpoint Management MDMコンソールで、[ 構成 ]>[ デバイスポリシー ]>[ 新しいポリシーの追加]に移動します。

  2. 左側の [ポリシープラットフォーム] ペインで [ macOS ] を選択します。右側のペインで [ VPN ポリシー ] を選択します。

  3. [ ポリシー情報 ] ページで、有効なポリシー名と説明を入力し、[ 次へ] をクリックします。

  4. macOS の [ **ポリシーの詳細 ] ページで、有効な接続名を入力し、[接続の種類] で [ カスタム SSL ] を選択します。**

    MDM VPN ペイロードでは、接続名は UserDefinedName キーに対応し、 VPN タイプキーはVPNに設定する必要があります。

  5. [ カスタム SSL 識別子 (リバースDNS形式)] に com.citrix.netscalergateway.macos.appと入力します。macOS上のCitrix Secure Accessのバンドル識別子です。

    MDM VPN ペイロードでは、カスタム SSL 識別子は VPNSubType キーに対応します。

  6. [ プロバイダーバンドル識別子 ] に com.citrix.NetScalerGateway.macos.app.VPnPluginと入力します。これは、Citrix Secure Accessクライアントバイナリに含まれるネットワーク拡張のバンドル識別子です。

    MDM VPN ペイロードでは、プロバイダーバンドル識別子は ProviderBundleIdentifier キーに対応します。

  7. サーバー名またはIPアドレス ]に、このCitrix Endpoint Managementインスタンスに関連付けられているNetScaler ADC IPアドレスまたは完全修飾ドメイン名を入力します。

    設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Managementのドキュメントを参照してください。

  8. [次へ] をクリックします。

    CEM VPN ポリシーページ

  9. [保存] をクリックします。

アプリごとの VPN プロファイル

アプリごとの VPN プロファイルは、特定のアプリケーションの VPN を設定するために使用されます。特定のアプリからのトラフィックのみが、NetScaler Gateway にトンネリングされます。 Per-App VPN ペイロードは、デバイス全体の VPN のすべてのキーに加えて、その他いくつかのキーをサポートします 。

Citrix Endpoint ManagementでアプリごとのレベルのVPNを構成するには

次の手順を実行して、Citrix Endpoint Managementでアプリ単位VPNを構成します。

  1. Citrix Endpoint ManagementでデバイスレベルのVPN構成を完了します。

  2. [アプリベース VPN] セクションの [ アプリベース VPN を有効にする ] スイッチをオンにします。

  3. マッチアプリの起動時にCitrix Secure Accessを自動的に起動する必要がある場合は、[オンデマンドマッチアプリ有効]スイッチをオンにします 。これは、ほとんどのアプリごとのケースで推奨されます。

    MDM VPN ペイロードでは、このフィールドは onDemandMatchAppEnabledキーに対応します。

  4. Safari ドメインの設定はオプションです。Safariドメインが構成されている場合、ユーザーがSafariを起動し、「 ドメイン 」フィールドのURLと一致するURLに移動すると、Citrix Secure Accessが自動的に起動します。特定のアプリの VPN を制限する場合、これはお勧めできません。

    MDM VPN ペイロードでは、このフィールドはキー safariDomainsに対応します。

    設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Management(旧XenMobile)のドキュメントを参照してください。

    CEM 構成

  5. [次へ] をクリックします。

  6. [保存] をクリックします。

    VPN プロファイルをデバイス上の特定のアプリに関連付けるには、このガイドに従って、アプリインベントリポリシーと認証情報プロバイダーポリシーを作成する必要があります。 https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

アプリ単位 VPN での分割トンネルの設定

MDM のお客様は、Citrix Secure Access のアプリ単位VPNで分割トンネルを構成できます次のキーと値のペアは、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに追加する必要があります。

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。

注:

ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー全体で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。

以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。

CEM のアプリケーションごとの分割トンネル

以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

Intune でアプリごとにトンネルを分割する

ユーザー作成の VPN プロファイルの無効化

MDMのお客様は、ユーザーがCitrix Secure Access内からVPNプロファイルを手動で作成できないようにすることができます。これを行うには、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。

注:

ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。

以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。

disable-VPN-CEM

以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

disable_VPN_Intune

DNSハンドリング

Citrix Secure Accessで推奨されるDNS設定は次のとおりです。

  • 分割トンネルが OFF に設定されている場合は、スプリット DNS > REMOTE
  • 分割トンネルが ON に設定されている場合は、スプリット DNS **BOTH**。この場合、管理者はイントラネットドメインの DNS サフィックスを追加する必要があります。DNSサフィックスに属するFQDNのDNSクエリはNetScaler ADCアプライアンスにトンネリングされ、残りのクエリはローカルルーターに送信されます。

注:

  • DNS 切り捨て修正フラグは常にON にすることをお勧めします。詳しくは、「https://support.citrix.com/article/CTX200243」を参照してください。

  • 分割トンネルが ON に設定され、スプリット DNS が REMOTEに設定されている場合、VPN の接続後に DNS クエリーを解決する際に問題が発生する可能性があります。これは、ネットワーク拡張フレームワークがすべての DNS クエリをインターセプトしない場合に関連しています。

サポートされている EPA スキャン

サポートされているスキャンの完全なリストについては、 最新の EPA ライブラリを参照してください

  1. [ OPSWAT v4 でサポートされているスキャンマトリックス] セクションで、[ MAC OS 固有 ] 列の [ サポートされるアプリケーションリスト] をクリックします。
  2. Excel ファイルで、[ クラシック EPA スキャン ] タブをクリックして詳細を表示します。

既知の問題

以下は、現在の既知の問題です。

  • ユーザーが検疫グループに配置されている場合、EPA ログインは失敗します。
  • 強制タイムアウト警告メッセージは表示されません。
  • Citrix Secure Accessでは、分割トンネルがオンで、イントラネットアプリが構成されていない場合にログインできます。

制限事項

以下は、現在の制限事項です。

  • 次の EPA スキャンは、サンドボックス化によりセキュアアクセスへのアクセスが制限されているために失敗する可能性があります。
    • ハードディスク暗号化 ‘type’ と ‘path’
    • Web ブラウザの「デフォルト」と「実行中」
    • パッチ管理「見つからないパッチ」
    • EPA 中にプロセスの強制終了操作
  • ポート/プロトコルに基づく分割トンネリングはサポートされていません。
  • キーチェーンに同じ名前と有効期限を持つ証明書が 2 つ存在しないようにしてください。この場合、クライアントには両方の証明書ではなく 1 つの証明書のみが表示されます。

トラブルシューティング

Citrix Secure Accessの認証ウィンドウにエンドユーザーに[EPAプラグインのダウンロード ]ボタンが表示される場合は、NetScalerアプライアンスのコンテンツセキュリティポリシーがURLcom.citrix.agmacepa://の呼び出しをブロックしていることを意味します。 管理者は、com.citrix.agmacepa://が許可されるようにコンテンツセキュリティポリシーを変更する必要があります。

macOS ユーザー向けCitrix Secure Accessのセットアップ