Richten Sie Citrix SSO für iOS-Benutzer und Citrix Secure Access für macOS-Benutzer ein

WICHTIG:

Citrix VPN kann nicht unter iOS 12 und höher verwendet werden. Verwenden Sie die Citrix SSO-App, um weiterhin VPN zu verwenden.

In der folgenden Tabelle wird die Verfügbarkeit verschiedener Funktionen zwischen Citrix VPN, Citrix SSO für iOS-Benutzer und Citrix Secure Access für macOS-Benutzer verglichen.

Feature Citrix VPN Citrix SSO für iOS-Benutzer/ Citrix Secure Access für macOS-Benutzer
VPN auf Geräteebene Unterstützt Unterstützt
Per-App-VPN (nur MDM) Unterstützt Unterstützt
Split-Tunnel per App Nicht unterstützt Unterstützt
Per MDM konfigurierte VPN-Profile Unterstützt Unterstützt
VPN bei Bedarf Unterstützt Unterstützt
Kennworttoken (T-OTP-basiert) Nicht unterstützt Unterstützt
Auf Pushbenachrichtigungen basierende Anmeldung (zweite Stufe per registriertes Telefon) Nicht unterstützt Unterstützt
Zertifikatbasierte Authentifizierung Unterstützt Unterstützt
Authentifizierung per Benutzername/Kennwort Unterstützt Unterstützt
Netzwerkzugriffssteuerung mit Citrix Endpoint Management (ehemals XenMobile) Nicht unterstützt Unterstützt
Netzwerkzugriffssteuerung mit Microsoft Intune Unterstützt Unterstützt
DTLS-Unterstützung Nicht unterstützt Unterstützt
Von Benutzern erstellte VPN-Profile sperren Unterstützt Unterstützt
Single Sign-On für native Apps, die von Citrix Cloud verwaltet werden Nicht unterstützt Unterstützt
Clientseitiger Proxy Unterstützt Unterstützt
Unterstützte Betriebssystemversion iOS 9, 10, 11 (funktioniert nicht ab iOS 12+) iOS 9+

Kompatibilität mit MDM-Produkten

Citrix SSO (iOS) und Citrix Secure Access (macOS) sind mit den meisten MDM-Anbietern wie Citrix Endpoint Management (ehemals XenMobile), Microsoft Intune usw. kompatibel.

Citrix SSO (iOS) und Citrix Secure Access (macOS) unterstützen auch eine Funktion namens Network Access Control (NAC). Weitere Informationen zu NAC finden Sie unter Konfigurieren des Geräts für die Netzwerkzugriffssteuerung. Überprüfen Sie den virtuellen Citrix Gateway-Server für die Einzelfaktor-Anmeldung Mit NAC können MDM-Administratoren die Konformität von Endbenutzergeräten durchsetzen, bevor sie eine Verbindung zur Citrix ADC Appliance herstellen. NAC auf Citrix SSO (iOS) und Citrix Secure Access (macOS) erfordert einen MDM-Server wie Citrix Endpoint Management oder Intune und Citrix ADC.

Hinweis:

Um die Citrix SSO-App unter iOS oder den Citrix Secure Access Agent unter macOS mit Citrix Gateway VPN ohne MDM zu verwenden, müssen Sie eine VPN-Konfiguration hinzufügen. Sie können die VPN-Konfiguration unter iOS von der Citrix SSO (iOS) und Citrix Secure Access (macOS) -Homepage hinzufügen.

Konfigurieren eines von MDM verwalteten VPN-Profils für die Citrix SSO-App (iOS) oder Citrix Secure Access Agent (macOS)

Im folgenden Abschnitt werden schrittweise Anweisungen zum Konfigurieren von geräteweiten und pro-App-VPN-Profilen für die Citrix SSO-App (iOS) oder den Citrix Secure Access Agent (macOS) mit Citrix Endpoint Management (früher XenMobile) als Beispiel beschrieben. Andere MDM-Lösungen können dieses Dokument als Referenz für die Arbeit mit Citrix SSO (iOS) und Citrix Secure Access (macOS) verwenden.

Hinweis:

In diesem Abschnitt werden die Konfigurationsschritte für ein grundlegendes geräteweites und pro-App-VPN-Profil erläutert. Sie können auch On-Demand-, Always-On- und Proxys konfigurieren, indem Sie der Citrix Endpoint Management-Dokumentation (ehemals XenMobile) oder der MDM-VPN-Nutzlastkonfigurationvon Apple folgen.

VPN-Profile auf Geräteebene

VPN-Profile auf Geräteebene werden verwendet, um ein systemweites VPN einzurichten. Der Datenverkehr von allen Apps und Diensten wird basierend auf den in Citrix ADC definierten VPN-Richtlinien (wie Full-Tunnel, Split-Tunnel, Reverse Split-Tunnel) an Citrix Gateway getunnelt.

So konfigurieren Sie ein VPN auf Geräteebene in Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein VPN auf Geräteebene in Citrix Endpoint Management zu konfigurieren.

  1. Navigieren Sie auf der Citrix Endpoint Management MDM-Konsole zu Konfigurieren > Geräterichtlinien > Neue Richtlinie hinzufügen.

  2. Wählen Sie im linken Bereich Policy Platform iOS aus. Wählen Sie im rechten Bereich VPN aus.

  3. Geben Sie auf der Seite Richtlinieninformationen einen gültigen Richtliniennamen und eine Beschreibung ein und klicken Sie auf Weiter.

  4. Geben Sie auf der Seite VPN-Richtlinie für iOS einen gültigen Verbindungsnamen ein und wählen Sie Benutzerdefiniertes SSL unter Verbindungstyp.

    In der MDM-VPN-Nutzlast entspricht der Verbindungsname dem UserDefinedName-Schlüssel und der VPN-Typschlüssel muss auf VPNeingestellt sein.

  5. Geben Sie unter Benutzerdefinierte SSL-Kennung (umgekehrtes DNS-Format)com.citrix.netscalergateway.ios.appein. Dies ist die Bundle-ID für die Citrix SSO App auf iOS.

    In der MDM-VPN-Nutzlast entspricht der Custom SSL Identifier dem Schlüssel VPNSubtype .

  6. Geben Sie unter Anbieter-Bundle-IDcom.citrix.netscalerGateway.ios.app.VPNPluginein. Dies ist die Bundle-ID der Netzwerkerweiterung, die in der Citrix SSO iOS-App-Binärdatei enthalten ist.

    In der MDM-VPN-Nutzlast entspricht die Anbieter-Bundle-ID dem ProviderBundleIdentifier-Schlüssel .

  7. Geben Sie unter Servername oder IP-Adresse die IP-Adresse oder den FQDN (vollqualifizierter Domänenname) des Citrix ADC ein, der dieser Citrix Endpoint Management-Instanz zugeordnet ist.

    Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile).

  8. Klicken Sie auf Weiter.

    Seite mit CEM VPN-Richtlinien

  9. Klicken Sie auf Speichern.

Pro-App-VPN-Profile

Pro-App-VPN-Profile werden verwendet, um das VPN für eine bestimmte Anwendung einzurichten. Der Datenverkehr nur von der bestimmten App wird zu Citrix Gateway getunnelt. Die Pro-App-VPN-Nutzlast unterstützt alle Schlüssel für das geräteweite VPN sowie einige andere Schlüssel.

So konfigurieren Sie ein VPN auf App-Ebene auf Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein Per-App VPN zu konfigurieren:

  1. Schließen Sie die VPN-Konfiguration auf Geräteebene in Citrix Endpoint Management ab.

  2. Schalten Sie den Switch VPN pro App aktivieren im Abschnitt VPN pro App ein.

  3. Schalten Sie den Schalter On-Demand-Match App aktiviert EIN, wenn Citrix SSO (iOS) und Citrix Secure Access (macOS) beim Start der Match App automatisch gestartet werden müssen. Dies wird für die meisten Per-App-Fälle empfohlen.

    In der MDM-VPN-Nutzlast entspricht dieses Feld dem Schlüssel onDemandMatchAppEnabled.

  4. Wählen Sie unter ProvidertypPacket Tunnelaus.

    In der MDM-VPN-Nutzlast entspricht dieses Feld dem Schlüsselanbietertyp.

  5. Die Konfiguration der Safari-Domain ist optional. Wenn eine Safari-Domäne konfiguriert ist, werden Citrix SSO (iOS) und Citrix Secure Access (macOS) automatisch gestartet, wenn Benutzer Safari starten und zu einer URL navigieren, die mit der im Feld Domäne übereinstimmt. Dies wird nicht empfohlen, wenn Sie das VPN für eine bestimmte App einschränken möchten.

    In der MDM-VPN-Nutzlast entspricht dieses Feld den wichtigsten SafariDomains.

    Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile).

    Seite mit CEM VPN-Richtlinien

  6. Klicken Sie auf Weiter.

  7. Klicken Sie auf Speichern.

Um dieses VPN-Profil einer bestimmten App auf dem Gerät zuzuordnen, müssen Sie eine App-Inventarrichtlinie und eine Richtlinie für den Anbieter von Anmeldeinformationen erstellen, indem Sie diesem Handbuch folgen - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.

Konfigurieren eines Split-Tunnels im Pro-App-VPN

MDM-Kunden können den geteilten Tunnel im Pro-App-VPN für Citrix SSO (iOS) und Citrix Secure Access (macOS) konfigurieren. Das folgende Schlüssel/Wert-Paar muss dem Abschnitt zur Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei allen MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.

Split-Tunnel-pro-App-CEM

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.

! [split-tunnel-per-app-Intune] (/en-us/citrix-gateway/media/split_tunnel_per_app_intune.png)

Deaktivieren von Benutzern erstellten VPN-Profilen

MDM-Kunden können verhindern, dass Benutzer VPN-Profile manuell in der Citrix SSO (iOS) -App und dem Citrix Secure Access (macOS) -Agenten erstellen. Dazu muss das folgende Schlüssel/Wert-Paar zum Abschnitt Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei allen MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.

disable-VPN-CEM

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.

disable_VPN_Intune

DNS-Handhabung

Die empfohlenen DNS-Einstellungen für die Citrix SSO-App oder Citrix Secure Access Agent lauten wie folgt:

  • Split DNS > REMOTE, wenn der geteilte Tunnel auf OFF gestellt ist.
  • Split DNS > BOTH, wenn der geteilte Tunnel auf ON eingestellt ist. In diesem Fall müssen die Administratoren DNS-Suffixe für die Intranet-Domains hinzufügen. DNS-Abfragen für FQDNs, die zu DNS-Suffixen gehören, werden an die Citrix ADC Appliance getunnelt, und die verbleibenden Abfragen gehen an den lokalen Router.

Hinweis:

  • Es wird empfohlen, dass das DNS-Abkürzungsfix-Flag immer ON ist. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX200243.

  • Wenn der Split-Tunnel auf ON eingestellt ist und Split-DNS auf REMOTEeingestellt ist, kann es zu Problemen bei der Lösung von DNS-Abfragen kommen, nachdem das VPN verbunden ist. Dies hängt damit zusammen, dass das Network Extension-Framework nicht alle DNS-Abfragen abfängt.

Bekannte Probleme

Problembeschreibung: Tunneln für FQDN-Adressen, die eine Domäne “.local”in Pro-App-VPN- oder On-Demand-VPN-Konfigurationen enthalten. Es gibt einen Fehler im Network Extension-Framework von Apple, der verhindert, dass FQDN-Adressen, die .local im Domain-Teil enthalten (z. B. http://wwww.abc.local), über die TUN-Schnittstelle des Systems getunnelt werden. Der Datenverkehr für diese Adresse wird stattdessen über die physische Schnittstelle des Geräts gesendet. Das Problem wird nur bei der Pro-App-VPN- oder On-Demand-VPN-Konfiguration beobachtet und tritt bei systemweiten VPN-Konfigurationen nicht auf. Citrix hat einen Radar-Fehlerbericht bei Apple eingereicht, und Apple hatte festgestellt https://tools.ietf.org/html/rfc6762, dass laut RFC-6762: local eine Multicast-DNS-Abfrage (mDNS) ist und daher kein Bug ist. Apple hat den Fehler jedoch noch nicht geschlossen und es ist nicht klar, ob das Problem in zukünftigen iOS-Versionen behoben wird.

Problemumgehung: Weisen Sie einen Domänennamen non .local für Adressen wie die Problemumgehung zu.

Einschränkungen

  • FQDN-basiertes Split-Tunneling wird noch nicht vollständig unterstützt.
  • Die Endpunktanalyse (EPA) wird unter iOS nicht unterstützt.
  • Split-Tunneling basierend auf Ports/Protokollen wird nicht unterstützt.
Richten Sie Citrix SSO für iOS-Benutzer und Citrix Secure Access für macOS-Benutzer ein