Configurar Citrix Secure Access para usuarios de macOS

La aplicación Citrix SSO para macOS proporciona la mejor solución de protección de datos y acceso a aplicaciones que ofrece Citrix Gateway. Ahora puede acceder de forma segura a las aplicaciones críticas para el negocio, los escritorios virtuales y los datos corporativos en cualquier momento y desde cualquier lugar. Citrix SSO es el cliente VPN de última generación para Citrix Gateway para crear y administrar conexiones VPN desde dispositivos macOS. Citrix SSO se basa en el marco Network Extension (NE) de Apple. NE framework de Apple es una biblioteca moderna que contiene API que se pueden usar para personalizar y ampliar las funciones de red principales de macOS. La extensión de red compatible con SSL VPN está disponible en dispositivos con macOS 10.11 o una versión posterior.

Citrix Secure Access proporciona compatibilidad completa con la administración de dispositivos móviles (MDM) en macOS. Con un servidor MDM, un administrador ahora puede configurar y administrar de forma remota perfiles VPN a nivel de dispositivo y por aplicación. Citrix Secure Access para macOS se puede instalar desde una tienda de aplicaciones de Mac.

Comparación de funciones entre Citrix VPN, Citrix SSO para iOS y Citrix Secure Access para macOS

En la siguiente tabla se compara la disponibilidad de varias funciones entre Citrix VPN, Citrix SSO para iOS y Citrix Secure Access para macOS.

Función Citrix VPN Citrix SSO para iOS y Citrix Secure Access para macOS
Método de distribución de aplicaciones página Descargas de Citrix App Store
Número de conexiones en túnel 128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicación nativa Se admite Se admite
Túnel dividido (DESACTIVADO/ACTIVADO/INVERSO) Se admite Se admite
DNS dividido (LOCAL/REMOTO/AMBOS) REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad con conexiones iniciadas por el servidor (SIC) No se admite Se admite
Transferir el inicio de sesión Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPA clásico/Opswat Se admite Se admite
Compatibilidad con certificados de dispositivo Se admite Se admite
Compatibilidad con tiempo de espera de sesión Se admite Se admite
Compatibilidad con tiempo de espera forzado Se admite Se admite
Compatibilidad con tiempo de espera inactivo Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red (conmutación entre Wi-Fi, Ethernet, etc.) Se admite Se admite
Compatibilidad con aplicaciones de intranet Se admite Se admite
Compatibilidad con DTLS para UDP No se admite Se admite
Compatibilidad con contrato de licencia de usuario final Se admite Se admite
Integración de aplicaciones + Receiver Se admite No se admite
Autenticación: local, LDAP, RADIUS Se admite Se admite
Autenticación de certificados de cliente Se admite Se admite
Compatibilidad con TLS (TLS1, TLS1.1 y TLS1.2) Se admite Se admite
Autenticación de dos factores Se admite Se admite

Compatibilidad con productos MDM

Citrix Secure Access para macOS es compatible con la mayoría de los proveedores de MDM, como Citrix XenMobile, Microsoft Intune, etc. Es compatible con una función denominada Control de acceso a la red (NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix Gateway. El NAC en Citrix Secure Access requiere un servidor MDM como XenMobile y Citrix Gateway. Para obtener más información sobre NAC, consulte Configurar la comprobación del dispositivo de control de acceso a la red para el servidor virtual Citrix Gateway para el inicio de sesiónde

Nota:

Para usar Citrix Secure Access con Citrix Gateway VPN sin MDM, debe agregar una configuración de VPN. Puede agregar la configuración de VPN en macOS desde la página de configuración de Citrix Secure Access.

Configurar un perfil de VPN administrada por MDM para Citrix Secure Access

En la siguiente sección se muestran instrucciones paso a paso para configurar perfiles de VPN para todo el dispositivo y por aplicación para Citrix Secure Access mediante Citrix Endpoint Management (anteriormente XenMobile) como ejemplo. Otras soluciones de MDM pueden usar este documento como referencia cuando trabajan con Citrix Secure Access.

Nota:

En esta sección se explican los pasos de configuración de un perfil VPN básico para todo el dispositivo y por aplicación. También puede configurar servidores proxy bajo demanda, siempre activos siguiendo la documentación de Citrix Endpoint Management (anteriormente XenMobile) o la configuración de carga útil de VPN de MDMde Apple.

Perfiles VPN a nivel de dispositivo

Los perfiles VPN a nivel de dispositivo se utilizan para configurar una VPN para todo el sistema. El tráfico de todas las aplicaciones y servicios se dirige a Citrix Gateway en función de las directivas de VPN (como túnel completo, túnel dividido, túnel dividido inverso) definidas en Citrix ADC.

Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN a nivel de dispositivo.

  1. En la consola de Citrix Endpoint Management MDM, vaya a Configurar > Directivas de dispositivo > Agregar nueva directiva.

  2. Seleccione macOS en el panel de la izquierda Plataforma de directivas. Seleccione Directiva VPN en el panel derecho.

  3. En la página Información de directiva, introduzca un nombre y una descripción de directiva válidos y haga clic en Siguiente.

  4. En la página de detalles de directiva para macOS, escriba un nombre de conexión válido y elija SSL personalizado en Tipo de conexión.

    En la carga útil de VPN de MDM, el nombre de la conexión corresponde a la clave UserDefinedName y la clave de tipo VPN debe establecerse en VPN.

  5. En Identificador SSL personalizado (formato DNS inverso), escriba com.citrix.NetScalerGateway.macos.app. Este es el identificador del paquete de Citrix Secure Access en macOS.

    En la carga útil de VPN de MDM, el identificador SSL personalizado corresponde a la clave VPNSubType.

  6. En el identificador del paquete del proveedor, escriba com.citrix.NetScalerGateway.macos.app.vpnplugin. Este es el identificador del paquete de la extensión de red contenida en el binario de la aplicación Citrix Secure Access.

    En la carga útil de VPN de MDM, el identificador del paquete de proveedores corresponde a la clave ProviderBundleIdentifier.

  7. En Nombre del servidor o dirección IP, introduzca la dirección IP o FQDN del Citrix ADC asociado a esta instancia de Citrix Endpoint Management.

    El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management.

  8. Haga clic en Next.

    Página de directivas de VPN de CEM

  9. Haga clic en Save.

Perfiles VPN por aplicación

Los perfiles VPN por aplicación se utilizan para configurar una VPN para una aplicación específica. El tráfico de la aplicación específica se canalizará únicamente a Citrix Gateway. La carga útil de VPN por aplicación admite todas las claves de la VPN para todo el dispositivo, además de algunas otras claves.

Para configurar una VPN por aplicación en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN por aplicación en Citrix Endpoint Management:

  1. Complete la configuración VPN a nivel de dispositivo en Citrix Endpoint Management.

  2. Active el interruptor Habilitar VPN por aplicación en la sección VPN por aplicación.

  3. Active el conmutador On-Demand Match App Enabled si Citrix Secure Access debe iniciarse automáticamente cuando se inicia la aplicación Match. Esto se recomienda para la mayoría de los casos por aplicación.

    En la carga útil de VPN de MDM, este campo corresponde a la clave OnDemandMatchAppEnabled.

  4. La configuración de Safari Domain es opcional. Cuando se configura un dominio de Safari, Citrix SSO se inicia automáticamente cuando los usuarios inician Safari y navegan a una URL que coincide con la del campo Dominio. Esto no es recomendable si quieres restringir la VPN para una aplicación específica.

    En la carga útil de VPN de MDM, este campo corresponde a la clave SafariDomains.

    El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management (anteriormente XenMobile).

    Configuración CEM

  5. Haga clic en Next.

  6. Haga clic en Save.

    Para asociar el perfil VPN a una aplicación específica del dispositivo, debe crear una directiva de inventario de aplicaciones y una directiva del proveedor de credenciales siguiendo esta guía - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

Configuración de túnel dividido en VPN por aplicación

Los clientes de MDM pueden configurar el túnel dividido en VPN por aplicación para Citrix Secure Access. El siguiente par clave/valor debe agregarse a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas

Nota:

La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Túnel dividido por aplicación en CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

Túnel dividido por aplicación en Intune

Inhabilitar los perfiles VPN creados por el usuario

Los clientes de MDM pueden evitar que los usuarios creen perfiles de VPN manualmente desde Citrix Secure Access. Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas

Nota:

La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Inhabilitar-VPN-CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

Disable_VPN_Intune

Manejo DNS

La configuración de DNS recomendada para Citrix Secure Access es la siguiente:

  • Dividir DNS > REMOTE si el túnel dividido está en OFF.
  • DNS dividido > BOTH si el túnel dividido está activado. En este caso, los administradores tienen que agregar sufijos DNS para los dominios de la intranet. Las consultas DNS de los FQDN pertenecientes a sufijos DNS se tunelizan al dispositivo Citrix ADC y las consultas restantes se dirigen al enrutador local.

Nota:

  • Se recomienda que el indicador de corrección de truncamiento de DNS esté siempre activado. Para obtener más información detallada, consulte https://support.citrix.com/article/CTX200243.

  • Cuando el túnel dividido se establece en ON y DNS dividido en REMOTE, puede haber problemas para resolver las consultas DNS después de conectar la VPN. Esto se relaciona con que el marco de extensión de red no intercepta todas las consultas DNS.

Escaneos EPA compatibles

Para obtener una lista completa de las exploraciones admitidas, consulte Bibliotecas de la EPA

  1. En la sección Matriz de exploración admitida por OPSWAT v4, haga clic en Lista de aplicaciones compatibles en la columna Específico de MAC OS.
  2. En el archivo de Excel, haga clic en la ficha Escaneos clásicos de la EPA para ver los detalles.

Problemas conocidos

Los siguientes son los problemas conocidos actualmente.

  • El inicio de sesión de la EPA falla si el usuario se coloca en el grupo de cuarentena.
  • No se muestra el mensaje de advertencia de tiempo de espera forzado.
  • La aplicación SSO permite el inicio de sesión si el túnel dividido está activado y no hay ninguna aplicación de intranet configurada.

Limitaciones

Las siguientes son las limitaciones actuales.

  • Las siguientes exploraciones de la EPA pueden fallar debido al acceso restringido a la aplicación SSO debido a la zona protegida.
    • “Tipo” y “ruta” de cifrado de disco duro
    • Explorador web “predeterminado” y “en ejecución”
    • Administración de parches “parches faltantes”
    • Desactivar la operación del proceso durante el EPA
  • No se admite la tunelización dividida basada en puertos/protocolos.
  • Asegúrese de que no tiene dos certificados con el mismo nombre y fecha de caducidad en el llavero, ya que esto hace que el cliente muestre solo uno de los certificados en lugar de ambos.

Solución de problemas

Si a los usuarios finales se les presenta el botón Descargar complemento EPA en la ventana de autenticación de la aplicación Citrix SSO, significa que la directiva de seguridad de contenido en el dispositivo Citrix ADC bloquea la invocación de la URL com.citrix.agmacepa://. Los administradores deben modificar la directiva de seguridad de contenido para que com.citrix.agmacepa:// esté permitida.