macOSユーザー用にCitrix SSOをセットアップする

macOS用のCitrix SSO アプリは、Citrix Gateway が提供するクラス最高のアプリケーションアクセスとデータ保護ソリューションを提供します。ビジネスクリティカルなアプリケーション、仮想デスクトップ、企業データにいつでもどこからでも安全にアクセスできるようになりました。 Citrix SSO は、MacOSデバイスからのVPN接続を作成および管理するための次世代のVPNクライアントです。Citrix SSO は、Appleのネットワーク拡張(NE)フレームワークを使用して構築されています。AppleのNEフレームワークは、macOSのコアネットワーク機能をカスタマイズして拡張するために使用できるAPIを含む最新のライブラリです。SSL VPN をサポートするネットワーク拡張機能は、macOS 10.11+ を実行しているデバイスで使用できます。

Citrix SSO アプリは、カーネル拡張(KE)に基づいていた、従来のCitrix Gateway プラグインを置き換えます。このプラグインは、まもなくAppleによって廃止される予定です。Citrix SSO Appは、サーバー起動接続やDTLSなどの高度な機能をサポートしています。

Citrix SSOアプリは、macOSでのモバイルデバイス管理(MDM)を完全にサポートします。管理者は、MDMサーバーを使用してデバイスレベルのVPNプロファイルやアプリごとのVPNプロファイルをリモートで構成して管理できるようになりました。 MacOS用のCitrix SSO アプリは、Macアプリストアからインストールできます。

CitrixのVPNとCitrix のSSOの機能比較

以下は、さまざまな機能が使用可能かに関するCitrix VPNとCitrix SSOの比較表です。

機能 Citrix VPN Citrix SSO
アプリの配信方法 シトリックスのダウンロードページ App Store
トンネル接続の数 128 128
ブラウザーからのアクセス サポート対象 未サポート
ネイティブアプリからのアクセス サポート対象 サポート対象
分割トンネル(OFF/ON/REVERSE) サポート対象 サポート対象
分割DNS(LOCAL/REMOTE/BOTH) REMOTE REMOTE
ローカル LAN アクセス 有効/無効 常に有効
Server Initiated Connections(SIC)のサポート 未サポート サポート対象
転送ログオン サポート対象 サポート対象
クライアント側プロキシ サポート対象 未サポート
Classic/Opswat EPAのサポート サポート対象 サポート対象
デバイス証明書のサポート サポート対象 サポート対象
セッションタイムアウトのサポート サポート対象 サポート対象
強制的なタイムアウトのサポート サポート対象 サポート対象
アイドルタイムアウトのサポート サポート対象 未サポート
IPV6 未サポート サポート対象
ネットワークローミング(Wi-Fi、イーサネットなどの切り替え) サポート対象 サポート対象
イントラネットアプリケーションのサポート サポート対象 サポート対象
UDPのDTLSサポート 未サポート サポート対象
EULAサポート サポート対象 サポート対象
アプリとReceiverの統合 サポート対象 未サポート
認証 – ローカル、LDAP、RADIUS サポート対象 サポート対象
クライアント証明書認証 サポート対象 サポート対象
TLSサポート(TLS1、TLS1.1、TLS1.2) サポート対象 サポート対象
二要素認証 サポート対象 サポート対象

MDM製品との互換性

MacOS用のCitrix SSO は、Citrix XenMobile やMicrosoft Intune などのほとんどのMDMプロバイダと互換性があります。MDM管理者は、Citrix Gateway に接続する前にエンドユーザーデバイスのコンプライアンスを強制できる、ネットワークアクセス制御(NAC)と呼ばれる機能をサポートしています。Citrix SSO上のNACには、XenMobile またはIntune およびCitrix Gateway などのMDMサーバーが必要です。NAC の詳細については、ここをクリックしてください。

Citrix SSO 用の MDM 管理対象の VPN プロファイルを構成する

以下のセクションでは、例としてCitrix Endpoint Management(以前のXenMobile)を使用して、Citrix SSO のデバイス全体とアプリごとのVPNプロファイルの両方を設定する手順について説明します。他のMDMソリューションでは、Citrix SSO を使用する際には、このドキュメントを参照として使用できます。

注: このセクションでは、基本的なデバイス全体およびアプリケーションごとの VPN プロファイルの設定手順について説明します。また、Citrix Endpoint Management(以前のXenMobile)ドキュメントまたはAppleのMDM VPN ペイロード構成に従って、オンデマンド、常時オン、プロキシを構成することもできます。

デバイスレベルの VPN プロファイル

デバイスレベルの VPN プロファイルは、システム全体の VPN を設定するために使用されます。すべてのアプリケーションとサービスからのトラフィックは、Citrix ADCで定義されたVPNポリシー(フルトンネル、分割トンネル、リバース分割トンネルなど)に基づいてCitrix Gatewayにトンネリングされます。

Citrix Endpoint Management でデバイスレベルのVPNを構成するには

デバイスレベル VPN を設定するには、次の手順を実行します。

1. Citrix Endpoint Management MDMコンソールで、「 設定 」>「 デバイスポリシー 」>「 新しいポリシーの追加 」の順に選択します。

2. 左側の [ポリシープラットフォーム] ペインで [ macOS ] を選択します。右側のペインで [ VPN ポリシー ] を選択します。

3. [ ポリシー情報 ] ページで、有効なポリシー名と説明を入力し、[ 次へ ] をクリックします。

4. macOS の ポリシー詳細 ページで、有効な接続名を入力し、[ 接続の種類 ] で [カスタム SSL ] を選択します。

: MDM VPN ペイロードでは、接続名は UserDefinedNameキーに対応し、 VPN タイプキーVPNに設定する必要があります。

5.カスタムSSL識別子(逆DNS形式)に、「 com.citrix.NetScalerGateway.macos.app」と入力します。これは、macOS上のCitrix SSO アプリケーションのバンドル識別子です。

:MDM VPN ペイロードでは、カスタム SSL 識別子は VPNSubTypeキーに対応します。

6.プロバイダーバンドル識別子 に、「 com.citrix.NetScalerGateway.macos.vpnplugin 」と入力します。これは、Citrix SSO macOSアプリケーションバイナリに含まれるネットワーク拡張のバンドル識別子です。

: MDM VPN ペイロードでは、プロバイダーバンドル識別子は プロバイダーバンドル識別子キーに対応します。

7. [ サーバー名またはIPアドレス ] に、このCitrix Endpoint Management インスタンスに関連付けられたCitrix ADC IPアドレスまたはFQDNを入力します。

設定ページの残りのフィールドはオプションです。これらのフィールドの設定は、Citrix Endpoint Management ドキュメントに記載されています。

8. [ 次へ] をクリックします。

ローカライズされた画像

9.[保存] をクリックします。

アプリケーションごとの VPN プロファイル

アプリケーションごとの VPN プロファイルは、特定のアプリケーションの VPN を設定するために使用されます。特定のアプリケーションからのトラフィックのみがCitrix Gateway にトンネリングされます。アプリケーションごとの VPN ペイロードは、デバイス全体の VPN のすべてのキーに加えて、いくつかの追加キーをサポートします。

Citrix Endpoint Management でアプリケーションレベルごとのVPNを構成するには

Citrix Endpoint Management でアプリケーションごとの VPN を設定するには、次の手順を実行します。

1. Citrix Endpoint Management でデバイスレベルのVPN構成を完了します。

2. [アプリケーション ごとの VPN] セクションで、[アプリケーションごとの VPN を有効にする ] スイッチをONにします。

3.マッチアプリの起動時にCitrix SSO を自動的に起動する必要がある場合は、[オンデマンドマッチアプリ有効]スイッチをONにします 。これは、ほとんどのアプリごとのケースで推奨されます。

:MDM VPN ペイロードでは、このフィールドは OnDemandMatchAppEnabledキーに対応します。

5. Safari ドメインの設定はオプションです。Safariドメインが設定されている場合、ユーザーがSafariを起動し、[ ドメイン ]フィールドのURLと一致するURLに移動すると、Citrix SSO が自動的に起動します。特定のアプリで VPN を制限する場合は、これはお勧めできません。

: MDM VPN ペイロードでは、このフィールドはキー SafariDomainsに対応します。

設定ページの残りのフィールドはオプションです。これらのフィールドの設定は、Citrix Endpoint Management(以前のXenMobile の)ドキュメントに記載されています。

CEM 構成

13.[次へ] をクリックします。

14.[保存] をクリックします。

この VPN プロファイルをデバイス上の特定のアプリに関連付けるには、このガイド(https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/)に従ってApp Inventory ポリシーと認証情報プロバイダーポリシーを作成する必要があります。

アプリケーション単位の VPN での分割トンネルの設定

MDM のお客様は、Citrix SSO 用にアプリケーションごとの VPN で分割トンネルを設定できます。これを行うには、MDM サーバーで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。

-  キー =「アプリケーションごとの分割トンネル」
-  値 =「真または1またははい」

キーは大文字と小文字を区別し、完全に一致する必要があります。value は大文字と小文字を区別しません。

: ベンダー構成を構成するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールでベンダーの構成セクションを検索するのには、MDM の製造元に問い合わせる必要があります。

以下は、Citrix Endpoint Management の構成(ベンダー固有の設定)のサンプルスクリーンショットです。

split-tunnel-per-app-CEM

以下は、Microsoft Intune の構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

split-tunnel-per-app-Intune

ユーザが作成した VPN プロファイルの無効化

MDMのお客様は、ユーザーがCitrix SSO アプリケーション内からVPNプロファイルを手動で作成できないようにすることができます。これを行うには、MDM サーバーで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。

-  キー =「ユーザープロファイルの無効化」
-  値 =「真または1またははい」

キーは大文字と小文字を区別し、完全に一致する必要があります。value は大文字と小文字を区別しません。

: ベンダー構成を構成するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールでベンダーの構成セクションを検索するのには、MDM の製造元に問い合わせる必要があります。

以下は、Citrix Endpoint Management の構成(ベンダー固有の設定)のサンプルスクリーンショットです。

disable-VPN-CEM

以下は、Microsoft Intune の構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

disable_VPN_Intune

既知の問題

以下は、現在既知の問題です。

  • ユーザーが検疫グループに配置されている場合、EPA ログインは失敗します。
  • 強制タイムアウト警告メッセージは表示されません。
  • SSO アプリは、分割トンネルがONで、イントラネットアプリが設定されていない場合にログインを許可します。

制限事項

現在、以下の制限があります。

  • 一部のEPAスキャン(パッチ管理スキャン、Webブラウザスキャン、強制終了プロセスなど)は、サンドボックス化のためにSSOアプリケーションへのアクセスが制限されているため、失敗する可能性があります。
  • ポート/プロトコルに基づく分割トンネリングはサポートされていません。

よくあるご質問

このセクションでは、Citrix SSO アプリケーションに関するよくある質問について説明します。

Citrix SSO アプリとCitrixのVPNアプリとの違いは何ですか? Citrix SSO は、Citrix ADC 用の次世代の SSL VPN クライアントです。このアプリは、Appleのネットワーク拡張フレームワークを使用して、iOSおよびmacOSデバイス上のVPN接続を作成および管理します。Citrix VPNは、AppleのプライベートVPN APIを使用したレガシーVPNクライアントであり、現在は廃止されています。Citrix VPNのサポートは、今後数ヶ月以内にApp Storeから削除されます。

NEとは何ですか? Appleのネットワーク拡張(NE)フレームワークは、iOSとmacOSのコアネットワーク機能をカスタマイズして拡張するために使用できるAPIを含む最新のライブラリです。SSL VPN をサポートするネットワーク 拡張機能は、iOS 9 以降および macOS 10.11 以降を実行しているデバイスで使用できます。

Citrix SSOと互換性があるのはどのバージョンのCitrix ADCですか? Citrix SSOのVPN機能は、Citrix ADCバージョン10.5以降でサポートされています。TOTPは、Citrix ADCバージョン12.0以降で使用できます。Citrix ADCでのプッシュ通知は、まだ 公表されていません。アプリには、iOS 9以降とmacOS 10.11以降のバージョンが必要です。

MDM 以外のお客様に対する証明書ベースの認証はどのように機能しますか? Citrix VPNでクライアント証明書認証を実行するために電子メールまたはブラウザ経由で証明書を配布していたお客様は、Citrix SSO を使用するときにこの変更に注意する必要があります。これは、MDM サーバーを使用してユーザー証明書を配布しない非 MDM のお客様にほとんど当てはまります。証明書を配布するには、「電子メールによるCitrix SSO への証明書のインポート」を参照してください。

ネットワークアクセスコントロール(NAC)とは何ですか。Citrix SSO および Citrix Gateway を使用して NAC を設定するにはどうすればよいですか。 Microsoft Intune および Citrix Endpoint Management (以前のXenMobile) MDM のお客様は、Citrix SSO のネットワークアクセス制御 (NAC) 機能を利用できます。NAC を使用すると、管理者は MDM サーバによって管理されるモバイルデバイスの認証レイヤを追加することで、企業の内部ネットワークを保護できます。管理者は、Citrix SSO で認証時にデバイスの コンプライアンスチェックを強制することができます。

Citrix SSO で NAC を使用するには、Citrix Gateway と MDM サーバーの両方で NAC を有効にする必要があります。

  • Citrix ADC で NAC を有効にするには、これリンクを参照してください。
  • MDM ベンダーが Intune の場合は、これリンクを参照してください。
  • MDMベンダーがCitrix Endpoint Management(以前のXenMobile の)である場合は、これリンクを参照してください。

:サポートされるCitrix SSO の最小バージョンは1.1.6です。

macOSユーザー用にCitrix SSOをセットアップする