Documentación de productos
Citrix Endpoint Management™
Ver PDF

Control de acceso a la red

April 21, 2026
Contribución de: 
C C

Puedes usar tu solución de control de acceso a la red (NAC) para ampliar la evaluación de seguridad de dispositivos de Citrix Endpoint Management para dispositivos Android y Apple. Tu solución NAC usa la evaluación de seguridad de Citrix Endpoint Management para facilitar y gestionar las decisiones de autenticación. Después de configurar tu dispositivo NAC, se aplican las directivas de dispositivo y los filtros NAC que configures en Citrix Endpoint Management.

  • El uso de Citrix Endpoint Management con una solución NAC añade QoS y un control más granular sobre los dispositivos que están dentro de tu red. Para obtener un resumen de las ventajas de integrar NAC con Citrix Endpoint Management, consulta Control de acceso.

Citrix admite estas soluciones para la integración con Citrix Endpoint Management:

  • NetScaler Gateway

  • ForeScout

    • Citrix® no garantiza la integración para otras soluciones NAC.

Con un dispositivo NAC en tu red:

-  Citrix Endpoint Management admite NAC como una función de seguridad de punto final para dispositivos iOS, Android Enterprise y Android.

-  Puedes habilitar filtros en Citrix Endpoint Management para establecer dispositivos como conformes o no conformes para NAC, según reglas o propiedades. Por ejemplo:

-  Si un dispositivo administrado en Citrix Endpoint Management no cumple con los criterios especificados, Citrix Endpoint Management marca el dispositivo como no conforme. Un dispositivo NAC bloquea los dispositivos no conformes en tu red.

-  Si un dispositivo administrado en Citrix Endpoint Management tiene aplicaciones no conformes instaladas, un filtro NAC puede bloquear la conexión VPN. Como resultado, un dispositivo de usuario no conforme no puede acceder a aplicaciones o sitios web a través de la VPN.

-  Si usas NetScaler Gateway para NAC, puedes habilitar la tunelización dividida para evitar que el complemento de NetScaler Gateway envíe tráfico de red innecesario a NetScaler Gateway. Para obtener más información sobre la tunelización dividida, consulta [Configurar la tunelización dividida](/en-us/citrix-gateway/13/vpn-user-config/configure-plugin-connections/ng-plugin-split-tunneling-tsk.html).

Filtros de cumplimiento de NAC compatibles

Citrix Endpoint Management admite los siguientes filtros de cumplimiento de NAC:

Dispositivos anónimos: Comprueba si un dispositivo está en modo anónimo. Esta comprobación está disponible si Citrix Endpoint Management no puede volver a autenticar al usuario cuando un dispositivo intenta volver a conectarse.

Aplicaciones prohibidas: Comprueba si un dispositivo tiene aplicaciones prohibidas, según lo definido en una directiva de acceso a aplicaciones. Para obtener más información sobre esa directiva, consulta Directivas de dispositivo de acceso a aplicaciones.

Dispositivos inactivos: Comprueba si un dispositivo está inactivo según lo definido por la configuración Umbral de días de inactividad del dispositivo en Propiedades del servidor. Para obtener más detalles, consulta Propiedades del servidor.

Faltan aplicaciones obligatorias: Comprueba si a un dispositivo le faltan aplicaciones obligatorias, según lo definido en una directiva de acceso a aplicaciones.

Aplicaciones no sugeridas: Comprueba si un dispositivo tiene aplicaciones no sugeridas, según lo definido en una directiva de acceso a aplicaciones.

Contraseña no conforme: Comprueba si la contraseña del usuario es conforme. En dispositivos iOS y Android, Citrix Endpoint Management puede determinar si la contraseña actual del dispositivo cumple con la directiva de código de acceso enviada al dispositivo. Por ejemplo, en iOS, el usuario tiene 60 minutos para establecer una contraseña si Citrix Endpoint Management envía una directiva de código de acceso al dispositivo. Antes de que el usuario establezca la contraseña, el código de acceso podría no ser conforme.

Dispositivos no conformes: Comprueba si un dispositivo no cumple con las normas, según la propiedad de dispositivo No conforme. Normalmente, las acciones automatizadas o terceros que usan las API de Citrix Endpoint Management cambian esa propiedad.

Estado revocado: Comprueba si el certificado del dispositivo está revocado. Un dispositivo revocado no puede volver a inscribirse hasta que se autorice de nuevo.

Dispositivos Android rooteados y iOS con jailbreak: Comprueba si un dispositivo Android o iOS tiene jailbreak.

  • Dispositivos no administrados: Comprueba si Citrix Endpoint Management está administrando un dispositivo. Por ejemplo, un dispositivo inscrito en MAM o un dispositivo no inscrito no se administra.

Nota:

El filtro implícito Conforme/No conforme establece el valor predeterminado solo en los dispositivos que Citrix Endpoint Management está administrando. Por ejemplo, cualquier dispositivo que tenga una aplicación bloqueada instalada o que no esté inscrito, se marca como No conforme. El dispositivo NAC bloquea esos dispositivos de tu red.

Descripción general de la configuración

Te recomendamos que configures los componentes NAC en el orden indicado.

  1. Configura las directivas de dispositivo para admitir NAC:

    Para dispositivos iOS: Consulta Configurar la directiva de dispositivo VPN para admitir NAC.

    Para dispositivos Android Enterprise: Consulta Crear una configuración administrada de Android Enterprise para Citrix SSO.

    Para dispositivos Android: Consulta Configurar el protocolo Citrix SSO para Android.

  2. Habilitar filtros NAC en Citrix Endpoint Management.

  3. Configura una solución NAC:

Habilitar filtros NAC en Citrix Endpoint Management

  1. En la consola de Citrix Endpoint Management, ve a Parámetros > Control de acceso a la red.

    Image of Network Access Control Settings

  2. Marca las casillas de los filtros Establecer como no conforme que quieras habilitar.

  3. Haz clic en Guardar.

Actualizar las directivas de NetScaler Gateway para admitir NAC

Debes configurar directivas avanzadas (no clásicas) de autenticación y de sesiones VPN en tu servidor virtual VPN.

Estos pasos actualizan un NetScaler Gateway con cualquiera de estas características:

  • Está integrado con Citrix Endpoint Management.
  • O bien, está configurado para VPN, no forma parte del entorno de Citrix Endpoint Management y puede acceder a Citrix Endpoint Management.

En tu servidor virtual VPN desde una ventana de consola, haz lo siguiente. Los FQDN y las direcciones IP de los comandos y ejemplos son ficticios.

  1. Si estás usando directivas clásicas en tu servidor virtual VPN, quita y desvincula todas las directivas clásicas. Para comprobarlo, escribe:

    show vpn vserver <VPN_VServer>

    Quita cualquier resultado que contenga la palabra Classic. Por ejemplo: VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

    Para quitar la directiva, escribe:

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Crea la política de sesión avanzada correspondiente escribiendo lo siguiente.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Por ejemplo: add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Vincula la política a tu servidor virtual VPN escribiendo lo siguiente.

    bind vpn vserver _XM_EndpointManagement -policy vpn_nac -priority 100

  4. Crea un servidor virtual de autenticación escribiendo lo siguiente.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Por ejemplo: add authentication vserver authvs SSL 0.0.0.0 En el ejemplo, 0.0.0.0 significa que el servidor virtual de autenticación no está expuesto públicamente.

  5. Vincula un certificado SSL al servidor virtual escribiendo lo siguiente.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>

    Por ejemplo: bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Asocia un perfil de autenticación al servidor virtual de autenticación desde el servidor virtual VPN. Primero, crea el perfil de autenticación escribiendo lo siguiente.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Por ejemplo:

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Asocia el perfil de autenticación al servidor virtual VPN escribiendo lo siguiente.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Por ejemplo:

    set vpn vserver _XM_EndpointManagement -authnProfile xm_nac_prof

  8. Comprueba la conexión desde NetScaler Gateway a un dispositivo escribiendo lo siguiente.

    curl -v -k https://<Endpoint Management_server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Por ejemplo, esta consulta verifica la conectividad obteniendo el estado de cumplimiento del primer dispositivo (deviceid_1) inscrito en el entorno:

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Un resultado satisfactorio es similar al siguiente ejemplo.

    HTTP/1.1 200 OK
< Server: Apache-Coyote/1.1
< X-Citrix-Device-State: Non Compliant
< Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
<!--NeedCopy-->

  9. Cuando el paso anterior sea satisfactorio, crea la acción de autenticación web para Citrix Endpoint Management. Primero, crea una expresión de política para extraer el ID del dispositivo del complemento VPN de iOS. Escribe lo siguiente.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envía la solicitud a Citrix Endpoint Management escribiendo lo siguiente. En este ejemplo, la IP de Citrix Endpoint Management es 10.207.87.82 y el FQDN es example.em.cloud.com:4443.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: example.em.cloud.com:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    La salida satisfactoria para el NAC de Citrix Endpoint Management es el estado HTTP 200 OK. El encabezado X-Citrix-Device-State debe tener el valor de Compliant.

  11. Crea una política de autenticación con la que asociar la acción escribiendo lo siguiente.

    add authentication Policy <policy name> -rule <rule> -action <web authentication action>

    Por ejemplo: add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Convierte la política LDAP existente en una política avanzada escribiendo lo siguiente.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>

    Por ejemplo: add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Agrega una etiqueta de política con la que asociar la política LDAP escribiendo lo siguiente.

    add authentication policylabel <policy_label_name>

    Por ejemplo: add authentication policylabel ldap_pol_label

  14. Asocia la política LDAP a la etiqueta de política escribiendo lo siguiente.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Conecta un dispositivo compatible para realizar una prueba NAC y confirmar la autenticación LDAP satisfactoria. Escribe lo siguiente.

    bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Agrega la interfaz de usuario para asociar con el servidor virtual de autenticación. Escribe el siguiente comando para recuperar el ID del dispositivo.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Vincula el servidor virtual de autenticación escribiendo lo siguiente.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Crea una política de autenticación avanzada LDAP para habilitar la conexión de Citrix Secure Hub. Escribe lo siguiente.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

Control de acceso a la red
April 21, 2026
Contribución de: 
C C
April 21, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.