为 macOS 用户设置 Citrix Secure Access

重要提示：

适用于 iOS 的 Citrix SSO 现在称为 Citrix Secure Access。我们正在更新文档和用户界面屏幕截图，以反映此名称的更改。

适用于 macOS 的 Citrix Secure Access 客户端提供了 NetScaler Gateway 提供的一流应用程序访问和数据保护解决方案。现在，您可以随时随地安全地访问业务关键应用程序、虚拟桌面和企业数据。 Citrix Secure Access 是 NetScaler Gateway 的下一代 VPN 客户端，用于从 macOS 设备创建和管理 VPN 连接。Citrix Secure Access 是使用 Apple 的网络扩展 (NE) 框架构建的。Apple 的 NE 框架是一个现代库，其中包含可用于自定义和扩展 macOS 核心网络功能的 API。支持 SSL VPN 的网络扩展在运行 macOS 10.11+ 的设备上可用。

Citrix Secure Access 在 macOS 上提供完整的移动设备管理 (MDM) 支持。借助 MDM 服务器，管理员现在可以远程配置和管理设备级 VPN 配置文件和 PerApp VPN 配置文件。 适用于 macOS 的 Citrix Secure Access 可以从 Mac App Store 安装。

有关适用于 macOS 的 Citrix Secure Access 客户端支持的一些常用功能的列表，请参阅 NetScaler Gateway VPN 客户端和支持的功能。

与 MDM 产品的兼容性

适用于 macOS 的 Citrix Secure Access 与大多数 MDM 提供商兼容，例如 Citrix XenMobile、Microsoft Intune 等。它支持称为网络访问控制 (NAC) 的功能，使用该功能，MDM 管理员可以在连接到 NetScaler Gateway 之前强制执行最终用户设备合规性。Citrix Secure Access 上的 NAC 需要 XenMobile 和 NetScaler Gateway 等 MDM 服务器。有关 NAC 的详细信息，请参阅为 单因素登录配置 NetScaler Gateway 虚拟服务器的网络访问控制设备检查。

注意：

要在没有 MDM 的情况下将 Citrix Secure Access 与 NetScaler Gateway VPN 结合使用，必须添加 VPN 配置。您可以从 Citrix Secure Access 配置页面在 macOS 上添加 VPN 配置。

为 Citrix Secure Access 配置 MDM 托管 VPN 配置文件

以下部分介绍了使用 Citrix Endpoint Management（以前称为 XenMobile）为示例为 Citrix Secure Access 配置设备范围和 PerApp VPN 配置文件的分步说明。其他 MDM 解决方案在使用 Citrix Secure Access 时可以使用本文档作为参考。

注意：

本部分说明基本的设备范围和 PerApp VPN 配置文件的配置步骤。您也可以按照 Citrix Endpoint Management（前身为 XenMobile）文档或 Apple 的 MDM VPN 有效负载配置来配置按需代理、代理。

设备级 VPN 配置文件

设备级 VPN 配置文件用于设置系统范围的 VPN。根据 NetScaler 中定义的 VPN 策略（例如全通道、拆分通道、反向拆分通道），将来自所有应用程序和服务的流量通道传输到 NetScaler Gateway。

在 Citrix Endpoint Management 上配置设备级 VPN

执行以下步骤来配置设备级别的 VPN。

1. 在 Citrix Endpoint Management MDM 控制台上，导航到 配置 > 设备策 略 > 添加新策略。

2. 在左侧策略平台窗格中选择 macOS 。在右窗格中选择 VPN 策略 。

3. 在 策略信息 页面上，输入有效的策略名称和描述，然后单击 下一步。

4. 在 macOS 的 策略详细信息 页面上，键入有效的连接名称，然后在 连接类型 中选择 自定义 SSL。

   在 MDM VPN 有效负载中，连接名称对应于 UserDefinedName 密钥， VPN 类型密钥 必须设置为 VPN。

5. 在自定义 SSL 标识符（反向 DNS 格式）中，输入 com.citrix.NetScalerGateway.macos.app。这是 macOS 上 Citrix Secure Access 的捆绑包标识符。

   在 MDM VPN 有效负载中，自定义 SSL 标识符对应于 VPNSubType 密钥。

6. 在提供商捆绑包标识符 中输入 com.citrix.NetScalerGateway.macos.app.vpnplugin。这是 Citrix Secure Access 客户端二进制文件中包含的网络扩展的捆绑标识符。

   在 MDM VPN 有效负载中，提供程序捆绑包标识符与 ProviderBundleIdentifier 密钥相对应。

7. 在 服务器名称或 IP 地址 中，输入与此 Citrix Endpoint Management 实例关联的 NetScaler 的 IP 地址或 FQDN。

   配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management 文档中找到。

8. 单击下一步。

   

9. 单击“保存”。

PerApp VPN 配置文件

PerApp VPN 配置文件用于为特定应用程序设置 VPN。仅来自特定应用程序的流量会通过通道传输到 NetScaler Gateway。P er-App VPN 有效载荷支持设备范围 VPN 的所有 密钥以及其他一些密钥。

在 Citrix Endpoint Management 上配置每应用程序级别的 VPN

执行以下步骤在 Citrix Endpoint Management 上配置 PerApp VPN：

1. 在 Citrix Endpoint Management 上完成设备级别的 VPN 配置。

2. 打开“每应用程序 VPN”部分中的“启用每应用程序 VPN”开关。

3. 如果在启动 匹配应用程序时必须自动启动 Citrix Secure Access，请打开“按需匹配应用程序已启用”开关 。对于大多数每应用程序案例，建议使用此

   在 MDM VPN 有效负载中，此字段对应于键 OnDemandMatchAppEnabled。

4. Safari 域名配置是可选的。配置 Safari 域后，当用户启动 Safari 并导航到与“域”字段中的 URL 相匹配的 URL 时，Citrix Secure Access 会自动启动。如果要限制特定应用程序的 VPN，则不建议这样做。

   在 MDM VPN 有效负载中，此字段对应于密钥 SafariDomains。

   配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management（以前称为 XenMobile）文档中找到。

   

5. 单击下一步。

6. 单击“保存”。

   要将 VPN 配置文件与设备上的特定应用程序关联，您必须按照本指南创建应用程序清单策略和凭据提供程序策略- https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

在 PerApp VPN 中配置拆分通道

MDM 客户可以在 PerApp VPN 中为 Citrix Secure Access 配置拆分通道。必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

键区分大小写，必须完全匹配，而值不区分大小写。

注意：

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系，在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置（特定于供应商的设置）的示例屏幕截图。

以下是 Microsoft Intune 中配置（供应商特定设置）的示例屏幕截图。

禁用用户创建的 VPN 配置式

MDM 客户可以阻止用户从 Citrix Secure Access 中手动创建 VPN 配置文件。为此，必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

键区分大小写，必须完全匹配，而值不区分大小写。

注意：

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系，在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置（特定于供应商的设置）的示例屏幕截图。

以下是 Microsoft Intune 中配置（供应商特定设置）的示例屏幕截图。

DNS 处理

Citrix Secure Access 的建议使用 DNS 设置如下：

• 如果拆分通道设置为关，则拆分 DNS > REMOTE。
• 如果拆分通道设置为开，则拆分 DNS > BOTH。在这种情况下，管理员必须为 Intranet 域添加 DNS 后缀。属于 DNS 后缀的 FQDN 的 DNS 查询将通过通道传输到 NetScaler 设备，其余查询将转到本地路由器。

注意：

• 建议将 DNS 截断修复 标志始终打 开。有关更多详细信息，请参阅https://support.citrix.com/article/CTX200243。

• 当拆分通道设置为 开 并将拆分 DNS 设置为 REMOTE时，在连接 VPN 后解析 DNS 查询可能会出现问题。这与网络扩展框架未拦截所有 DNS 查询有关。

支持的 EPA 扫描

有关支持的扫描的完整列表，请参阅最新的 EPA 库。

1. 在 OPSWAT v4 支持的扫描列表部分中，单击 MAC OS 特定列下的支持的应用程序列表。
2. 在 Excel 文件中，单击经典 EPA 扫描选项卡以查看详细信息。

已知问题

以下是当前的已知问题。

• 如果将用户置于隔离组中，EPA 登录将失败。
• 不显示强制超时警告消息。
• 如果拆分通道处于开启状态且未配置任何内联网应用程序，则 Citrix Secure Access 允许登录。

限制

以下是目前的限制。

• 以下 EPA 扫描可能会失败，因为沙箱导致对安全访问的访问受到限制。
  • 硬盘加密“类型”和“路径”
  • Web 浏览器“默认”和“正在运行”
  • 修补程序管理“缺少补丁”
  • 在 EPA 期间终止进程操作
• 不支持基于端口/协议的拆分通道。
• 确保密钥链中没有两个具有相同名称和过期日期的证书，因为这会导致客户端只显示其中一个证书，而不是同时显示两个证书。

故障排除

如果在 Citrix Secure Access 的身份验证窗口中向最终用户显示下载 EPA 插件按钮，则表示 NetScaler 设备上的内容安全策略正在阻止调用 URL com.citrix.agmacepa://。 管理员必须修改内容安全策略，以便允许使用 com.citrix.agmacepa://。