Richten Sie Citrix Secure Access für macOS-Benutzer ein

Die Citrix SSO-App für macOS bietet eine erstklassige Anwendungszugriffs- und Datenschutzlösung, die von Citrix Gateway angeboten wird. Mit Citrix SSO können Sie überall und jederzeit sicher auf Anwendungen, virtuelle Desktops und Unternehmensdaten zugreifen, die entscheidend für den Geschäftserfolg Ihres Unternehmens sind. Citrix SSO ist der VPN-Client der nächsten Generation für Citrix Gateway zum Erstellen und Verwalten von VPN-Verbindungen von macOS-Geräten. Citrix SSO wird mithilfe des Network Extension (NE) -Frameworks von Apple erstellt. NE-Framework von Apple ist eine moderne Bibliothek, die APIs enthält, mit denen die Kernnetzwerkfunktionen von macOS angepasst und erweitert werden können. Die Netzwerkerweiterung mit Unterstützung für SSL VPN ist auf Geräten verfügbar, auf denen macOS 10.11+ ausgeführt wird.

Citrix Secure Access bietet vollständige Unterstützung für Mobile Device Management (MDM) unter macOS. Mit einem MDM-Server kann ein Administrator nun VPN-Profile auf Geräteebene und VPN-Profile per App konfigurieren und verwalten. Citrix Secure Access für macOS kann von einem Mac App Store aus installiert werden.

Funktionsvergleich zwischen Citrix VPN, Citrix SSO für iOS und Citrix Secure Access für macOS

In der folgenden Tabelle wird die Verfügbarkeit verschiedener Funktionen zwischen Citrix VPN, Citrix SSO für iOS und Citrix Secure Access für macOS verglichen.

Feature Citrix VPN Citrix SSO für iOS und Citrix Secure Access für macOS
App-Verteilungsmethode Citrix-Downloadseite App Store
Anzahl der getunnelten Verbindungen 128 128
Zugriff über den Browser Unterstützt Nicht unterstützt
Zugriff über native App Unterstützt Unterstützt
Split-Tunnel (OFF/ON/REVERSE) Unterstützt Unterstützt
Split DNS (LOCAL/REMOTE/BOTH) REMOTE REMOTE
Lokaler LAN-Zugriff Aktivieren/Deaktivieren Immer aktiviert
Unterstützung für serverinitiierte Verbindungen (SIC) Nicht unterstützt Unterstützt
Anmeldung übertragen Unterstützt Unterstützt
Clientseitiger Proxy Unterstützt Nicht unterstützt
Unterstützung für klassische/Opswat EPA Unterstützt Unterstützt
Unterstützung für Gerätezertifikate Unterstützt Unterstützt
Unterstützung für Sitzungstimeout Unterstützt Unterstützt
Unterstützung für erzwungenes Timeout Unterstützt Unterstützt
Unterstützung für Leerlauftimeout Unterstützt Nicht unterstützt
IPV6 Nicht unterstützt Unterstützt
Netzwerkroaming (Wechseln zwischen WLAN, Ethernet usw.) Unterstützt Unterstützt
Unterstützung für Intranetanwendungen Unterstützt Unterstützt
DTLS-Unterstützung für UDP Nicht unterstützt Unterstützt
EULA-Unterstützung Unterstützt Unterstützt
Integration von App + Receiver Unterstützt Nicht unterstützt
Authentifizierung - Lokal, LDAP, RADIUS Unterstützt Unterstützt
Clientzertifikatauthentifizierung Unterstützt Unterstützt
Unterstützung für TLS (TLS1, TLS1.1 und TLS1.2) Unterstützt Unterstützt
Zweistufige Authentifizierung Unterstützt Unterstützt

Kompatibilität mit MDM-Produkten

Citrix Secure Access für macOS ist mit den meisten MDM-Anbietern wie Citrix XenMobile, Microsoft Intune usw. kompatibel. Es unterstützt eine Funktion namens Network Access Control (NAC), mit der MDM-Administratoren die Konformität von Endbenutzergeräten erzwingen können, bevor sie eine Verbindung zu Citrix Gateway herstellen. NAC auf Citrix Secure Access erfordert einen MDM-Server wie XenMobile und Citrix Gateway. Weitere Informationen zu NAC finden Sie unter Konfigurieren des Geräts für die Netzwerkzugriffssteuerung. Überprüfen Sie den virtuellen Citrix Gateway-Server für die Einzelfaktor-Anmeldung

Hinweis:

Um Citrix Secure Access mit Citrix Gateway VPN ohne MDM zu verwenden, müssen Sie eine VPN-Konfiguration hinzufügen. Sie können die VPN-Konfiguration unter macOS von der Citrix Secure Access-Konfigurationsseite hinzufügen.

Konfigurieren eines von MDM verwalteten VPN-Profils für Citrix Secure Access

Im folgenden Abschnitt werden schrittweise Anweisungen zum Konfigurieren von geräteweiten und anwendungsspezifischen VPN-Profilen für Citrix Secure Access mit Citrix Endpoint Management (ehemals XenMobile) als Beispiel beschrieben. Andere MDM-Lösungen können dieses Dokument als Referenz für die Arbeit mit Citrix Secure Access verwenden.

Hinweis:

In diesem Abschnitt werden die Konfigurationsschritte für ein grundlegendes geräteweites und pro-App-VPN-Profil erläutert. Sie können auch On-Demand-, Always-On- und Proxys konfigurieren, indem Sie der Citrix Endpoint Management-Dokumentation (ehemals XenMobile) oder der MDM-VPN-Nutzlastkonfigurationvon Apple folgen.

VPN-Profile auf Geräteebene

VPN-Profile auf Geräteebene werden verwendet, um ein systemweites VPN einzurichten. Der Datenverkehr von allen Apps und Diensten wird basierend auf den in Citrix ADC definierten VPN-Richtlinien (wie Full-Tunnel, Split-Tunnel, Reverse Split-Tunnel) an Citrix Gateway getunnelt.

So konfigurieren Sie ein VPN auf Geräteebene in Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein VPN auf Geräteebene zu konfigurieren.

  1. Navigieren Sie auf der Citrix Endpoint Management MDM-Konsole zu Konfigurieren > Geräterichtlinien > Neue Richtlinie hinzufügen.

  2. Wählen Sie im linken Bereich Policy Platform macOS aus. Wählen Sie im rechten Bereich VPN-Richtlinie aus.

  3. Geben Sie auf der Seite Richtlinieninformationen einen gültigen Richtliniennamen und eine Beschreibung ein und klicken Sie auf Weiter.

  4. Geben Sie auf der Richtliniendetailseite für macOS einen gültigen Verbindungsnamen ein und wählen Sie Benutzerdefiniertes SSL unter Verbindungstyp.

    In der MDM-VPN-Nutzlast entspricht der Verbindungsname dem UserDefinedName-Schlüssel und der VPN-Typschlüssel muss auf VPNeingestellt sein.

  5. Geben Sie unter Benutzerdefinierte SSL-Kennung (umgekehrtes DNS-Format)com.citrix.netscalerGateway.MacOS.appein. Dies ist die Bundle-ID für den Citrix Secure Access auf macOS.

    In der MDM-VPN-Nutzlast entspricht der Custom SSL Identifier dem Schlüssel VPNSubtype .

  6. Geben Sie unter Anbieter-Bundle-IDcom.citrix.netscalerGateway.macOS.App.VPNPluginein. Dies ist die Bundle-ID der Netzwerkerweiterung, die in der Citrix Secure Access-App-Binärdatei enthalten ist

    In der MDM-VPN-Nutzlast entspricht die Anbieter-Bundle-ID dem ProviderBundleIdentifier-Schlüssel .

  7. Geben Sie unter Servername oder IP-Adresse die IP-Adresse oder den FQDN des Citrix ADC ein, der dieser Citrix Endpoint Management-Instanz zugeordnet ist.

    Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Citrix Endpoint Management-Dokumentation.

  8. Klicken Sie auf Weiter.

    Seite mit CEM VPN-Richtlinien

  9. Klicken Sie auf Speichern.

Pro-App-VPN-Profile

Pro-App-VPN-Profile werden verwendet, um ein VPN für eine bestimmte Anwendung einzurichten. Der Datenverkehr nur von der bestimmten App wird zu Citrix Gateway getunnelt. Die Pro-App-VPN-Nutzlast unterstützt alle Schlüssel für das geräteweite VPN sowie einige andere Schlüssel.

So konfigurieren Sie ein VPN auf App-Ebene auf Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein Pro-App-VPN auf Citrix Endpoint Management zu konfigurieren:

  1. Schließen Sie die VPN-Konfiguration auf Geräteebene in Citrix Endpoint Management ab.

  2. Schalten Sie den Switch VPN pro App aktivieren im Abschnitt VPN pro App ein.

  3. Schalten Sie die Option App für On-Demand-Match aktiviert EIN, wenn Citrix Secure Access beim Start der Match-App automatisch gestartet werden muss. Dies wird für die meisten Per-App-Fälle empfohlen.

    In der MDM-VPN-Nutzlast entspricht dieses Feld dem Schlüssel onDemandMatchAppEnabled.

  4. Die Konfiguration der Safari-Domain ist optional. Wenn eine Safari-Domäne konfiguriert ist, wird Citrix SSO automatisch gestartet, wenn Benutzer Safari starten und zu einer URL navigieren, die mit der im Feld Domäne übereinstimmt. Dies wird nicht empfohlen, wenn Sie das VPN für eine bestimmte App einschränken möchten.

    In der MDM-VPN-Nutzlast entspricht dieses Feld den wichtigsten SafariDomains.

    Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile).

    CEM-Konfiguration

  5. Klicken Sie auf Weiter.

  6. Klicken Sie auf Speichern.

    Um das VPN-Profil einer bestimmten App auf dem Gerät zuzuordnen, müssen Sie eine App-Inventarrichtlinie und eine Richtlinie für den Anbieter von Anmeldeinformationen erstellen, indem Sie diesem Handbuch folgen - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

Konfigurieren eines Split-Tunnels im Pro-App-VPN

MDM-Kunden können den geteilten Tunnel in Pro-App-VPN für Citrix Secure Access konfigurieren. Das folgende Schlüssel/Wert-Paar muss dem Abschnitt zur Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei den MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.

Split-Tunnel pro App in CEM

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.

Split-Tunnel pro App in Intune

Deaktivieren von Benutzern erstellten VPN-Profilen

MDM-Kunden können verhindern, dass Benutzer VPN-Profile von Citrix Secure Access aus manuell erstellen. Dazu muss das folgende Schlüssel/Wert-Paar zum Abschnitt Herstellerkonfiguration des auf dem MDM-Server erstellten VPN-Profils hinzugefügt werden.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

Der Schlüssel berücksichtigt die Groß-/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß- und Kleinschreibung beachtet

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei allen MDM-Anbietern nicht Standard. Wenden Sie sich an den MDM-Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM-Benutzerkonsole zu finden.

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Citrix Endpoint Management.

disable-VPN-CEM

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellungen) in Microsoft Intune.

disable_VPN_Intune

DNS-Handhabung

Die empfohlenen DNS-Einstellungen für Citrix Secure Access lauten wie folgt:

  • DNS teilen > REMOTE, wenn der geteilte Tunnel auf AUS gestellt ist.
  • DNS teilen > BEIDE, wenn der geteilte Tunnel auf ONeingestellt ist. In diesem Fall müssen die Administratoren DNS-Suffixe für die Intranet-Domains hinzufügen. DNS-Abfragen für FQDNs, die zu DNS-Suffixen gehören, werden an die Citrix ADC Appliance getunnelt, und die verbleibenden Abfragen gehen an den lokalen Router.

Hinweis:

  • Es wird empfohlen, dass das DNS-Abkürzungsfix-Flag immer ON ist. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX200243.

  • Wenn der Split-Tunnel auf ON eingestellt ist und Split-DNS auf REMOTEeingestellt ist, kann es zu Problemen bei der Lösung von DNS-Abfragen kommen, nachdem das VPN verbunden ist. Dies hängt damit zusammen, dass das Network Extension-Framework nicht alle DNS-Abfragen abfängt.

Unterstützte EPA-Scans

Eine vollständige Liste der unterstützten Scans finden Sie unter Neueste EPA-Bibliotheken.

  1. Klicken Sie im Abschnitt Unterstützte Scanmatrix von OPSWAT v4unter der Spalte MAC OS-spezifisch auf Liste der unterstützten Anwendungen.
  2. Klicken Sie in der Excel-Datei auf die Registerkarte Klassische EPA-Scans, um die Details anzuzeigen.

Bekannte Probleme

Im Folgenden sind die derzeit bekannten Probleme aufgeführt.

  • Die EPA-Anmeldung schlägt fehl, wenn der Benutzer in die Quarantänegruppe aufgenommen wird.
  • Warnmeldung für erzwungenes Timeout wird nicht angezeigt.
  • Die SSO-App ermöglicht die Anmeldung, wenn der Split-Tunnel eingeschaltet ist und keine Intranet-Apps konfiguriert sind.

Einschränkungen

Im Folgenden sind die aktuellen Einschränkungen aufgeführt.

  • Die folgenden EPA-Scans schlagen möglicherweise aufgrund des eingeschränkten Zugriffs auf die SSO-App aufgrund von Sandboxing fehl.
    • Festplattenverschlüsselung “Typ” und “Pfad”
    • Webbrowser “Standard” und “läuft”
    • Patch-Verwaltung “fehlende Patches”
    • Beenden Sie den Prozessbetrieb während EPA
  • Split-Tunneling basierend auf Ports/Protokollen wird nicht unterstützt.
  • Stellen Sie sicher, dass Sie nicht zwei Zertifikate mit demselben Namen und Ablaufdatum im Schlüsselbund haben, da der Client dadurch nur eines der Zertifikate anstelle von beiden anzeigt.

Problembehandlung

Wenn den Endbenutzern im Authentifizierungsfenster der Citrix SSO-App die Schaltfläche EPA-Plug-In herunterladen angezeigt wird, bedeutet dies, dass die Inhaltssicherheitsrichtlinie auf der Citrix ADC Appliance den Aufruf der URL blockiert com.citrix.agmacepa://. Die Administratoren müssen die Inhaltssicherheitsrichtlinie so ändern, dass com.citrix.agmacepa:// zulässig ist.