Produktdokumentation
XenMobile® Server
PDF anzeigen

Network Access Control

April 29, 2026
Beitrag von: 
C C

Sie können die Network Access Control (NAC)-Lösung verwenden, um die XenMobile®-Gerätesicherheitsbewertung für Android- und Apple-Geräte zu erweitern. Die NAC-Lösung nutzt die XenMobile-Sicherheitsbewertung, um Authentifizierungsentscheidungen zu erleichtern und zu verwalten. Nachdem Sie Ihre NAC-Appliance konfiguriert haben, werden die in XenMobile konfigurierten Geräterichtlinien und NAC-Filter durchgesetzt.

Die Verwendung von XenMobile mit einer NAC-Lösung bietet QoS und eine granularere Kontrolle über Geräte, die sich in Ihrem Netzwerk befinden. Eine Zusammenfassung der Vorteile der Integration von NAC mit XenMobile finden Sie unter Zugriffssteuerung.

Citrix® unterstützt die folgenden Lösungen für die Integration mit XenMobile:

  • Citrix Gateway
  • Cisco Identity Services Engine (ISE)
  • ForeScout

Citrix garantiert keine Integration für andere NAC-Lösungen.

Mit einer NAC-Appliance in Ihrem Netzwerk:

  • XenMobile unterstützt NAC als Endpunktsicherheitsfunktion für iOS-, Android Enterprise- und Android-Geräte.

  • Sie können Filter in XenMobile aktivieren, um Geräte basierend auf Regeln oder Eigenschaften als NAC-konform oder nicht-konform festzulegen. Zum Beispiel:

    • Wenn ein verwaltetes Gerät in XenMobile die angegebenen Kriterien nicht erfüllt, kennzeichnet XenMobile das Gerät als nicht-konform. Eine NAC-Appliance blockiert nicht-konforme Geräte in Ihrem Netzwerk.

    • Wenn auf einem verwalteten Gerät in XenMobile nicht-konforme Apps installiert sind, kann ein NAC-Filter die VPN-Verbindung blockieren. Infolgedessen kann ein nicht-konformes Benutzergerät über das VPN nicht auf Apps oder Websites zugreifen.

    • Wenn Sie Citrix Gateway für NAC verwenden, können Sie Split-Tunneling aktivieren, um zu verhindern, dass das Citrix Gateway-Plug-in unnötigen Netzwerkverkehr an Citrix Gateway sendet. Weitere Informationen zum Split-Tunneling finden Sie unter Konfigurieren von Split-Tunneling.

Unterstützte NAC-Konformitätsfilter

XenMobile Server unterstützt die folgenden NAC-Konformitätsfilter:

Anonyme Geräte: Überprüft, ob sich ein Gerät im anonymen Modus befindet. Diese Überprüfung ist verfügbar, wenn XenMobile den Benutzer nicht erneut authentifizieren kann, wenn ein Gerät versucht, die Verbindung wiederherzustellen.

Fehlgeschlagene Samsung Knox-Attestierung: Überprüft, ob ein Gerät eine Abfrage des Samsung Knox-Attestierungsservers nicht bestanden hat.

Verbotene Apps: Überprüft, ob ein Gerät verbotene Apps enthält, wie in einer App-Zugriffs-Geräterichtlinie definiert. Informationen zu dieser Richtlinie finden Sie unter App-Zugriffs-Geräterichtlinien.

Inaktive Geräte: Überprüft, ob ein Gerät inaktiv ist, wie durch die Einstellung Schwellenwert für Gerätinaktivität in Tagen in den Servereigenschaften definiert. Details finden Sie unter Servereigenschaften.

Fehlende erforderliche Apps: Überprüft, ob auf einem Gerät erforderliche Apps fehlen, wie in einer App-Zugriffsrichtlinie definiert.

Nicht vorgeschlagene Apps: Überprüft, ob ein Gerät nicht vorgeschlagene Apps enthält, wie in einer App-Zugriffsrichtlinie definiert.

Nicht-konformes Kennwort: Überprüft, ob das Benutzerkennwort konform ist. Auf iOS- und Android-Geräten kann XenMobile feststellen, ob das aktuell auf dem Gerät vorhandene Kennwort der an das Gerät gesendeten Passcode-Richtlinie entspricht. Wenn XenMobile beispielsweise unter iOS eine Passcode-Richtlinie an das Gerät sendet, hat der Benutzer 60 Minuten Zeit, ein Kennwort festzulegen. Bevor der Benutzer das Kennwort festlegt, ist der Passcode möglicherweise nicht konform.

Nicht-konforme Geräte: Überprüft, ob ein Gerät nicht konform ist, basierend auf der Geräteeigenschaft „Nicht konform“. Typischerweise ändern automatisierte Aktionen oder Drittanbieter, die XenMobile-APIs verwenden, diese Geräteeigenschaft.

Widerrufener Status: Überprüft, ob das Gerätezertifikat widerrufen wurde. Ein widerrufenes Gerät kann sich erst wieder registrieren, wenn es erneut autorisiert wurde.

Gerootete Android- und Jailbroken iOS-Geräte: Überprüft, ob ein Android- oder iOS-Gerät gerootet oder jailbroken ist.

Nicht verwaltete Geräte: Überprüft, ob sich ein Gerät noch in einem verwalteten Zustand unter XenMobile-Kontrolle befindet. Beispielsweise ist ein in MAM registriertes oder ein nicht registriertes Gerät nicht verwaltet.

Hinweis:

Der Filter „Implizit konform/nicht konform“ legt den Standardwert nur für Geräte fest, die von XenMobile verwaltet werden. Beispielsweise werden alle Geräte, auf denen eine blockierte App installiert ist oder die nicht registriert sind, als nicht konform gekennzeichnet. Die NAC-Appliance blockiert diese Geräte in Ihrem Netzwerk.

Konfigurationsübersicht

Wir empfehlen Ihnen, die NAC-Komponenten in der angegebenen Reihenfolge zu konfigurieren.

  1. Konfigurieren Sie Geräterichtlinien zur Unterstützung von NAC:

    Für iOS-Geräte: Siehe Konfigurieren der VPN-Geräterichtlinie zur Unterstützung von NAC.

    Für Android Enterprise-Geräte: Siehe Erstellen einer Android Enterprise Managed-Konfiguration für Citrix SSO.

    Für Android-Geräte: Siehe Konfigurieren des Citrix SSO-Protokolls für Android.

  2. NAC-Filter in XenMobile aktivieren.

  3. Konfigurieren Sie eine NAC-Lösung:

NAC-Filter in XenMobile aktivieren

  1. Navigieren Sie in der XenMobile-Konsole zu Einstellungen > Network Access Control.

    Abbildung der Network Access Control-Einstellungen

  2. Aktivieren Sie die Kontrollkästchen für die Filter Als nicht konform festlegen, die Sie aktivieren möchten.

  3. Klicken Sie auf Speichern.

Citrix Gateway-Richtlinien zur Unterstützung von NAC aktualisieren

Sie müssen erweiterte (nicht klassische) Authentifizierungs- und VPN-Sitzungsrichtlinien auf Ihrem virtuellen VPN-Server konfigurieren.

Diese Schritte aktualisieren ein Citrix Gateway mit einer der folgenden Eigenschaften:

  • Ist in eine XenMobile Server-Umgebung integriert.
  • Oder ist für VPN eingerichtet, nicht Teil der XenMobile Server-Umgebung und kann XenMobile erreichen.

Führen Sie auf Ihrem virtuellen VPN-Server in einem Konsolenfenster die folgenden Schritte aus. Die IP-Adressen in den Befehlen und Beispielen sind fiktiv.

  1. Wenn Sie klassische Richtlinien auf Ihrem virtuellen VPN-Server verwenden, entfernen und entbinden Sie alle klassischen Richtlinien. Geben Sie zur Überprüfung Folgendes ein:

    show vpn vserver <VPN_VServer>

    Entfernen Sie jedes Ergebnis, das das Wort Classic enthält. Zum Beispiel: VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

    Geben Sie zum Entfernen der Richtlinie Folgendes ein:

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Erstellen Sie die entsprechende erweiterte Sitzungsrichtlinie, indem Sie Folgendes eingeben.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Zum Beispiel: add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Binden Sie die Richtlinie an Ihren virtuellen VPN-Server, indem Sie Folgendes eingeben.

    bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100

  4. Erstellen Sie einen virtuellen Authentifizierungsserver, indem Sie Folgendes eingeben.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Zum Beispiel: add authentication vserver authvs SSL 0.0.0.0 Im Beispiel bedeutet 0.0.0.0, dass der virtuelle Authentifizierungsserver nicht öffentlich zugänglich ist.

  5. Binden Sie ein SSL-Zertifikat an den virtuellen Server, indem Sie Folgendes eingeben.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>

    Zum Beispiel: bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Ordnen Sie dem virtuellen Authentifizierungsserver vom virtuellen VPN-Server aus ein Authentifizierungsprofil zu. Erstellen Sie zunächst das Authentifizierungsprofil, indem Sie Folgendes eingeben.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Zum Beispiel:

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Ordnen Sie das Authentifizierungsprofil dem virtuellen VPN-Server zu, indem Sie Folgendes eingeben.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Zum Beispiel:

    set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof

  8. Überprüfen Sie die Verbindung von Citrix Gateway zu einem Gerät, indem Sie Folgendes eingeben.

    curl -v -k https://<XenMobile server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Diese Abfrage überprüft beispielsweise die Konnektivität, indem sie den Konformitätsstatus für das erste im System registrierte Gerät (deviceid_1) abruft:

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Ein erfolgreiches Ergebnis ähnelt dem folgenden Beispiel.

    HTTP/1.1 200 OK
< Server: Apache-Coyote/1.1
< X-Citrix-Device-State: Non Compliant
< Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
<!--NeedCopy-->

  9. Wenn der vorherige Schritt erfolgreich war, erstellen Sie die Web-Authentifizierungsaktion für XenMobile. Erstellen Sie zunächst einen Richtlinienausdruck, um die Geräte-ID aus dem iOS VPN-Plug-in zu extrahieren. Geben Sie Folgendes ein.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Senden Sie die Anfrage an XenMobile, indem Sie Folgendes eingeben. In diesem Beispiel ist die XenMobile Server-IP 10.207.87.82 und der FQDN example.em.server.com:4443.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: example.em.server.com:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    Die erfolgreiche Ausgabe für den XenMobile NAC ist HTTP status 200 OK. Der Header X-Citrix-Device-State muss den Wert Compliant haben.

  11. Erstellen Sie eine Authentifizierungsrichtlinie, der die Aktion zugeordnet werden soll, indem Sie Folgendes eingeben.

    add authentication Policy <policy name> -rule <rule> -action <web authentication action>

    Zum Beispiel: add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Konvertieren Sie die vorhandene LDAP-Richtlinie in eine erweiterte Richtlinie, indem Sie Folgendes eingeben.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>

    Zum Beispiel: add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Fügen Sie ein Richtlinienlabel hinzu, dem die LDAP-Richtlinie zugeordnet werden soll, indem Sie Folgendes eingeben.

    add authentication policylabel <policy_label_name>

    Zum Beispiel: add authentication policylabel ldap_pol_label

  14. Ordnen Sie die LDAP-Richtlinie dem Richtlinienlabel zu, indem Sie Folgendes eingeben.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Verbinden Sie ein konformes Gerät, um einen NAC-Test durchzuführen und die erfolgreiche LDAP-Authentifizierung zu bestätigen. Geben Sie Folgendes ein.

    bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Fügen Sie die Benutzeroberfläche hinzu, die dem virtuellen Authentifizierungsserver zugeordnet werden soll. Geben Sie den folgenden Befehl ein, um die Geräte-ID abzurufen.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Binden Sie den virtuellen Authentifizierungsserver, indem Sie Folgendes eingeben.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Erstellen Sie eine erweiterte LDAP-Authentifizierungsrichtlinie, um die Secure Hub-Verbindung zu aktivieren. Geben Sie Folgendes ein.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

Network Access Control
April 29, 2026
Beitrag von: 
C C
April 29, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.