为 iOS 用户设置 Citrix Secure Access

重要提示：

• Citrix SSO for iOS 现已重命名为 Citrix Secure Access。我们正在更新文档和用户界面屏幕截图，以反映此名称的更改。在此过渡期间，您可能会注意到文档中使用的 Citrix SSO 参考资料。

• 无法在 iOS 12 及更高版本上使用 VPN。要继续使用 VPN，请使用 Citrix Secure Access。

有关适用于 iOS 的 Citrix Secure Access 支持的一些常用功能的列表，请参见 NetScaler Gateway VPN 客户端和支持功能。

与 MDM 产品的兼容性

Citrix Secure Access（macOS/iOS）与大多数 MDM 提供商兼容，例如 Citrix Endpoint Management（前身为 XenMobile）、Microsoft Intune 等。

Citrix Secure Access (macOS/iOS) 还支持一项名为网络访问控制 (NAC) 的功能。有关 NAC 的详细信息，请参阅为 单因素登录配置 NetScaler Gateway 虚拟服务器的网络访问控制设备检查。借助 NAC，MDM 管理员可以在连接到 NetScaler 设备之前强制执行最终用户设备合规性。Citrix Secure Access (macOS/iOS) 上的 NAC 需要 MDM 服务器，例如 Citrix Endpoint Management 或 Intune 和 NetScaler。

注意：

要在 macOS/iOS 上将 Citrix Secure Access 客户端与不带 MDM 的 NetScaler Gateway VPN 一起使用，必须添加 VPN 配置。您可以从 Citrix Secure Access (macOS/iOS) 主页在 iOS 上添加 VPN 配置。

为 Citrix Secure Access 客户端 (macOS/iOS) 配置 MDM 托管的 VPN 配置文件

以下部分介绍了以 Citrix Endpoint Management（前身为 XenMobile）为例，为 Citrix Secure Access 客户端（macOS/iOS）配置全设备和每个应用程序 VPN 配置文件的分步说明。其他 MDM 解决方案在使用 Citrix Secure Access (macOS/iOS) 时可以使用本文档作为参考。

注意：

本部分说明基本的设备范围和 PerApp VPN 配置文件的配置步骤。您也可以按照 Citrix Endpoint Management（前身为 XenMobile）文档或 Apple 的 MDM VPN 有效负载配置来配置按需代理、代理。

设备级 VPN 配置文件

设备级 VPN 配置文件用于设置系统范围的 VPN。根据 NetScaler 中定义的 VPN 策略（例如全通道、拆分通道、反向拆分通道），将来自所有应用程序和服务的流量通道传输到 NetScaler Gateway。

在 Citrix Endpoint Management 上配置设备级 VPN

执行以下步骤在 Citrix Endpoint Management 上配置设备级别的 VPN。

1. 在 Citrix Endpoint Management MDM 控制台上，导航到 配置 > 设备策 略 > 添加新策略。

2. 在左侧的“策略平台”窗格中选择 iOS 。在右窗格中选择 VPN 。

3. 在 策略信息 页面上，输入有效的策略名称和描述，然后单击 下一步。

4. 在适用于 iOS 的 VPN 策略 页面上，键入有效的连接名称，然后在 连接类型 中选择 自定义 SSL。

   在 MDM VPN 有效负载中，连接名称对应于 UserDefinedName 密钥， VPN 类型密钥 必须设置为 VPN。

5. 在自定义 SSL 标识符（反向 DNS 格式）中，输入 com.citrix.NetScalerGateway.ios.app。这是 iOS 上 Citrix Secure Access 的捆绑标识符。

   在 MDM VPN 有效负载中，自定义 SSL 标识符对应于 VPNSubType 密钥。

6. 在提供商捆绑包标识符中输入 com.citrix.NetScalerGateway.ios.app.vpnplugin。这是 Citrix Secure Access iOS 应用程序二进制文件中包含的网络扩展的包标识符。

   在 MDM VPN 有效负载中，提供程序捆绑包标识符与 ProviderBundleIdentifier 密钥相对应。

7. 在 服务器名称或 IP 地址 中，输入与此 Citrix Endpoint Management 实例关联的 NetScaler 的 IP 地址或 FQDN（完全限定域名）。

   配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management（以前称为 XenMobile）文档中找到。

8. 单击下一步。

   

9. 单击“保存”。

PerApp VPN 配置文件

PerApp VPN 配置文件用于为特定应用程序设置 VPN。仅来自特定应用程序的流量会通过通道传输到 NetScaler Gateway。P er-App VPN 有效负载 支持设备级 VPN 的所有密钥以及其他一些密钥。

在 Citrix Endpoint Management 上配置每应用程序级别的 VPN

要配置 PerApp VPN，请执行以下步骤：

1. 在 Citrix Endpoint Management 上完成设备级别的 VPN 配置。

2. 在“每应用程序 VPN”部分中打开“启用 每应用程序 VPN”开关。

3. 如果启动 匹配应用程序时必须自动启动 Citrix Secure Access (macOS/iOS)，请打开“启用按需匹配应用程序”开关 。对于大多数每应用程序案例，建议使用此

   在 MDM VPN 有效负载中，此字段对应于键 OnDemandMatchAppEnabled。

4. 在 提供商类型中，选择 数据包通道。

   在 MDM VPN 有效负载中，此字段对应于密钥提 供程序类型。

5. Safari 域名配置是可选的。 配置 Safari 域后，当用户启动 Safari 并导航到与“域”字段中的 URL 匹配的 URL 时，Citrix Secure Access (macOS/iOS) 会自动启动。 如果要限制特定应用程序的 VPN，则不建议这样做。

   在 MDM VPN 有效负载中，此字段对应于密钥 SafariDomains。

   配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management（以前称为 XenMobile）文档中找到。

   

6. 单击“下一步”。

7. 单击“保存”。

要将此 VPN 配置文件与设备上的特定应用程序关联，您必须按照本指南创建 应用程序清单策略和凭据提供程序策略- https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/。

在 PerApp VPN 中配置拆分通道

MDM 客户可以在 Per-App VPN 中为 Citrix Secure Access (macOS/iOS) 配置拆分通道。必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

键区分大小写，必须完全匹配，而值不区分大小写。

注意：

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系，在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置（特定于供应商的设置）的示例屏幕截图。

以下是 Microsoft Intune 中配置（供应商特定设置）的示例屏幕截图。

禁用用户创建的 VPN 配置式

MDM 客户可以阻止用户在 Citrix Secure Access (macOS/iOS) 中手动创建 VPN 配置文件。为此，必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

键区分大小写，必须完全匹配，而值不区分大小写。

注意：

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系，在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置（特定于供应商的设置）的示例屏幕截图。

以下是 Microsoft Intune 中配置（供应商特定设置）的示例屏幕截图。

DNS 处理

Citrix Secure Access 客户端的推荐的 DNS 设置如下：

• 如果拆分通道设置为关，则拆分 DNS > REMOTE。
• 如果拆分通道设置为开，则拆分 DNS > BOTH。在这种情况下，管理员必须为 Intranet 域添加 DNS 后缀。属于 DNS 后缀的 FQDN 的 DNS 查询将通过通道传输到 NetScaler 设备，其余查询将转到本地路由器。

注意：

• 建议将 DNS 截断修复 标志始终打 开。有关更多详细信息，请参阅https://support.citrix.com/article/CTX200243。

• 当拆分通道设置为 开 并将拆分 DNS 设置为 REMOTE时，在连接 VPN 后解析 DNS 查询可能会出现问题。这与网络扩展框架未拦截所有 DNS 查询有关。

已知问题

问题描述：为包含 PerApp VPN 或按需 VPN 配置中的 “.local” 域的 FQDN 地址进行通道传输。Apple 的网络扩展框架存在一个错误，它阻止了域部分（例如 http://wwww.abc.local）中包含 .local 的 FQDN 地址通过系统的 TUN 接口进行通道传输。取而代之的是，FQDN 地址的流量通过客户端设备的物理接口发送。仅在 PerApp VPN 或按需 VPN 配置中观察到此问题，而在系统范围的 VPN 配置中不会出现此问题。Citrix 已向 Apple 提交了一份雷达错误报告，Apple 指出，根据 RFC-6762: https://tools.ietf.org/html/rfc6762，local 是一个多播 DNS (mDNS) 查询，因此不是错误。但是，Apple 尚未关闭该错误，目前尚不清楚该问题是否会在未来的 iOS 版本中得到解决。

解决办法：为解决方法之类的地址分配 non .local 域名。

限制

• iOS 不支持端点分析 (EPA)。
• 不支持基于端口/协议的拆分通道。