为 macOS 用户设置 Citrix Secure Access
重要:
适用于 iOS 的 Citrix SSO 现在称为 Citrix Secure Access。我们正在更新文档和用户界面屏幕截图,以反映此名称的更改。
适用于 macOS 的 Citrix Secure Access 客户端提供了 NetScaler Gateway 提供的一流应用程序访问和数据保护解决方案。现在,您可以随时随地安全地访问业务关键应用程序、虚拟桌面和企业数据。 Citrix Secure Access 是 NetScaler Gateway 的下一代 VPN 客户端,用于从 macOS 设备创建和管理 VPN 连接。Citrix Secure Access 是使用 Apple 的网络扩展 (NE) 框架构建的。Apple 的 NE 框架是一个现代库,其中包含可用于自定义和扩展 macOS 核心网络功能的 API。支持 SSL VPN 的网络扩展在运行 macOS 10.11+ 的设备上可用。
Citrix Secure Access 在 macOS 上提供完整的移动设备管理 (MDM) 支持。借助 MDM 服务器,管理员现在可以远程配置和管理设备级 VPN 配置文件和 PerApp VPN 配置文件。 适用于 macOS 的 Citrix Secure Access 可以从 Mac App Store 安装。
有关适用于 macOS 的 Citrix Secure Access 客户端支持的一些常用功能的列表,请参阅 NetScaler Gateway VPN 客户端和支持的功能。
与 MDM 产品的兼容性
适用于 macOS 的 Citrix Secure Access 与大多数 MDM 提供商兼容,例如 Citrix XenMobile、Microsoft Intune 等。它支持称为网络访问控制 (NAC) 的功能,使用该功能,MDM 管理员可以在连接到 NetScaler Gateway 之前强制执行最终用户设备合规性。Citrix Secure Access 上的 NAC 需要 XenMobile 和 NetScaler Gateway 等 MDM 服务器。有关 NAC 的详细信息,请参阅为 单因素登录配置 NetScaler Gateway 虚拟服务器的网络访问控制设备检查。
注意:
要在没有 MDM 的情况下将 Citrix Secure Access 与 NetScaler Gateway VPN 结合使用,必须添加 VPN 配置。您可以从 Citrix Secure Access 配置页面在 macOS 上添加 VPN 配置。
为 Citrix Secure Access 配置 MDM 托管 VPN 配置文件
以下部分介绍了使用 Citrix Endpoint Management(以前称为 XenMobile)为示例为 Citrix Secure Access 配置设备范围和 PerApp VPN 配置文件的分步说明。其他 MDM 解决方案在使用 Citrix Secure Access 时可以使用本文档作为参考。
注意:
本部分说明基本的设备范围和 PerApp VPN 配置文件的配置步骤。您也可以按照 Citrix Endpoint Management(前身为 XenMobile)文档或 Apple 的 MDM VPN 有效负载配置来配置按需代理、代理。
设备级 VPN 配置文件
设备级 VPN 配置文件用于设置系统范围的 VPN。根据 NetScaler 中定义的 VPN 策略(例如全通道、拆分通道、反向拆分通道),将来自所有应用程序和服务的流量通道传输到 NetScaler Gateway。
在 Citrix Endpoint Management 上配置设备级 VPN
执行以下步骤来配置设备级别的 VPN。
-
在 Citrix Endpoint Management MDM 控制台上,导航到 配置 > 设备策 略 > 添加新策略。
-
在左侧策略平台窗格中选择 macOS 。在右窗格中选择 VPN 策略 。
-
在 策略信息 页面上,输入有效的策略名称和描述,然后单击 下一步。
-
在 macOS 的 策略详细信息 页面上,键入有效的连接名称,然后在 连接类型 中选择 自定义 SSL。
在 MDM VPN 有效负载中,连接名称对应于 UserDefinedName 密钥, VPN 类型密钥 必须设置为 VPN。
-
在自定义 SSL 标识符(反向 DNS 格式)中,输入 com.citrix.NetScalerGateway.macos.app。这是 macOS 上 Citrix Secure Access 的捆绑包标识符。
在 MDM VPN 有效负载中,自定义 SSL 标识符对应于 VPNSubType 密钥。
-
在提供商捆绑包标识符 中输入 com.citrix.NetScalerGateway.macos.app.vpnplugin。这是 Citrix Secure Access 客户端二进制文件中包含的网络扩展的捆绑标识符。
在 MDM VPN 有效负载中,提供程序捆绑包标识符与 ProviderBundleIdentifier 密钥相对应。
-
在 服务器名称或 IP 地址 中,输入与此 Citrix Endpoint Management 实例关联的 NetScaler 的 IP 地址或 FQDN。
配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management 文档中找到。
-
单击下一步。
-
单击保存。
PerApp VPN 配置文件
PerApp VPN 配置文件用于为特定应用程序设置 VPN。仅来自特定应用程序的流量会通过通道传输到 NetScaler Gateway。PerApp VPN 有效负载支持所有设备级 VPN 的密钥以及其他一些密钥。
在 Citrix Endpoint Management 上配置每应用程序级别的 VPN
执行以下步骤在 Citrix Endpoint Management 上配置 PerApp VPN:
-
在 Citrix Endpoint Management 上完成设备级别的 VPN 配置。
-
在“PerApp VPN”部分中打开“启用 PerApp VPN”开关。
-
如果在启动 匹配应用程序时必须自动启动 Citrix Secure Access,请打开“按需匹配应用程序已启用”开关 。对于大多数每应用程序案例,建议使用此选项。
在 MDM VPN 有效负载中,此字段对应于键 OnDemandMatchAppEnabled。
-
Safari 域名配置是可选的。配置 Safari 域后,当用户启动 Safari 并导航到与“域”字段中的 URL 相匹配的 URL 时,Citrix Secure Access 会自动启动。如果要限制特定应用程序的 VPN,则不建议这样做。
在 MDM VPN 有效负载中,此字段对应于密钥 SafariDomains。
配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management(以前称为 XenMobile)文档中找到。
-
单击下一步。
-
单击保存。
要将 VPN 配置文件与设备上的特定应用程序关联,您必须按照本指南创建应用程序清单策略和凭据提供程序策略- https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/
在 PerApp VPN 中配置拆分通道
MDM 客户可以在 PerApp VPN 中为 Citrix Secure Access 配置拆分通道。必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。
- Key = "PerAppSplitTunnel"
- Value = "true or 1 or yes"
键区分大小写,必须完全匹配,而值不区分大小写。
注意:
用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系,在 MDM 用户控制台上查找供应商配置部分。
以下是 Citrix Endpoint Management 中配置(特定于供应商的设置)的示例屏幕截图。
以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。
禁用用户创建的 VPN 配置式
MDM 客户可以阻止用户从 Citrix Secure Access 中手动创建 VPN 配置文件。为此,必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。
- Key = "disableUserProfiles"
- Value = "true or 1 or yes"
键区分大小写,必须完全匹配,而值不区分大小写。
注意:
用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系,在 MDM 用户控制台上查找供应商配置部分。
以下是 Citrix Endpoint Management 中配置(特定于供应商的设置)的示例屏幕截图。
以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。
DNS 处理
Citrix Secure Access 的建议使用 DNS 设置如下:
- 如果拆分通道设置为关,则拆分 DNS > REMOTE。
- 如果拆分通道设置为开,则拆分 DNS > BOTH。在这种情况下,管理员必须为 Intranet 域添加 DNS 后缀。属于 DNS 后缀的 FQDN 的 DNS 查询将通过通道传输到 NetScaler 设备,其余查询将转到本地路由器。
注意:
建议将 DNS 截断修复 标志始终打 开。有关更多详细信息,请参阅https://support.citrix.com/article/CTX200243。
当拆分通道设置为 开 并将拆分 DNS 设置为 REMOTE时,在连接 VPN 后解析 DNS 查询可能会出现问题。这与网络扩展框架未拦截所有 DNS 查询有关。
支持的 EPA 扫描
有关支持的扫描的完整列表,请参阅最新的 EPA 库。
- 在 OPSWAT v4 支持的扫描列表部分中,单击 MAC OS 特定列下的支持的应用程序列表。
- 在 Excel 文件中,单击经典 EPA 扫描选项卡以查看详细信息。
已知问题
以下是当前的已知问题。
- 如果将用户置于隔离组中,EPA 登录将失败。
- 不显示强制超时警告消息。
- 如果拆分通道处于开启状态且未配置任何Intranet应用程序,则 Citrix Secure Access 允许登录。
限制
以下是目前的限制。
- 以下 EPA 扫描可能会失败,因为沙箱导致对安全访问的访问受到限制。
- 硬盘加密“类型”和“路径”
- Web 浏览器“默认”和“正在运行”
- 修补程序管理“缺少补丁”
- 在 EPA 期间终止进程操作
- 不支持基于端口/协议的拆分通道。
- 确保密钥链中没有两个具有相同名称和过期日期的证书,因为这会导致客户端只显示其中一个证书,而不是同时显示两个证书。
故障排除
如果在 Citrix Secure Access 的身份验证窗口中向最终用户显示下载 EPA 插件按钮,则表示 NetScaler 设备上的内容安全策略正在阻止调用 URL com.citrix.agmacepa://
。 管理员必须修改内容安全策略,以便允许使用 com.citrix.agmacepa://
。