Documentation produit
Citrix Endpoint Management™
Voir PDF

Contrôle d’accès réseau

April 20, 2026
Contributeur: 
C C

Vous pouvez utiliser votre solution de contrôle d’accès réseau (NAC) pour étendre l’évaluation de la sécurité des appareils Citrix Endpoint Management aux appareils Android et Apple. Votre solution NAC utilise l’évaluation de la sécurité de Citrix Endpoint Management pour faciliter et gérer les décisions d’authentification. Une fois que vous avez configuré votre appliance NAC, les stratégies d’appareil et les filtres NAC que vous configurez dans Citrix Endpoint Management sont appliqués.

  • L’utilisation de Citrix Endpoint Management avec une solution NAC ajoute une qualité de service (QoS) et un contrôle plus granulaire sur les appareils internes à votre réseau. Pour un résumé des avantages de l’intégration de NAC avec Citrix Endpoint Management, consultez Contrôle d’accès.

Citrix prend en charge les solutions suivantes pour l’intégration avec Citrix Endpoint Management :

  • NetScaler Gateway

  • ForeScout

    • Citrix® ne garantit pas l’intégration avec d’autres solutions NAC.

Avec une appliance NAC dans votre réseau :

-  Citrix Endpoint Management prend en charge NAC en tant que fonctionnalité de sécurité des points de terminaison pour les appareils iOS, Android Enterprise et Android.

-  Vous pouvez activer des filtres dans Citrix Endpoint Management pour définir les appareils comme conformes ou non conformes pour NAC, en fonction de règles ou de propriétés. Par exemple :

-  Si un appareil géré dans Citrix Endpoint Management ne répond pas aux critères spécifiés, Citrix Endpoint Management marque l'appareil comme non conforme. Une appliance NAC bloque les appareils non conformes sur votre réseau.

-  Si un appareil géré dans Citrix Endpoint Management a des applications non conformes installées, un filtre NAC peut bloquer la connexion VPN. Par conséquent, un appareil utilisateur non conforme ne peut pas accéder aux applications ou aux sites web via le VPN.

-  Si vous utilisez NetScaler Gateway pour NAC, vous pouvez activer le tunneling fractionné pour empêcher le plug-in NetScaler Gateway d'envoyer un trafic réseau inutile à NetScaler Gateway. Pour plus d'informations sur le tunneling fractionné, consultez [Configuration du tunneling fractionné](/en-us/citrix-gateway/13/vpn-user-config/configure-plugin-connections/ng-plugin-split-tunneling-tsk.html).

Filtres de conformité NAC pris en charge

Citrix Endpoint Management prend en charge les filtres de conformité NAC suivants :

Appareils anonymes : Vérifie si un appareil est en mode anonyme. Cette vérification est disponible si Citrix Endpoint Management ne peut pas réauthentifier l’utilisateur lorsqu’un appareil tente de se reconnecter.

Applications interdites : Vérifie si un appareil contient des applications interdites, telles que définies dans une stratégie d’accès aux applications. Pour plus d’informations sur cette stratégie, consultez Stratégies d’appareil d’accès aux applications.

Appareils inactifs : Vérifie si un appareil est inactif, tel que défini par le paramètre Seuil de jours d’inactivité de l’appareil dans les Propriétés du serveur. Pour plus de détails, consultez Propriétés du serveur.

Applications requises manquantes : Vérifie si un appareil ne contient pas d’applications requises, telles que définies dans une stratégie d’accès aux applications.

Applications non suggérées : Vérifie si un appareil contient des applications non suggérées, telles que définies dans une stratégie d’accès aux applications.

Mot de passe non conforme : Vérifie si le mot de passe de l’utilisateur est conforme. Sur les appareils iOS et Android, Citrix Endpoint Management peut déterminer si le mot de passe actuellement sur l’appareil est conforme à la stratégie de code d’accès envoyée à l’appareil. Par exemple, sur iOS, l’utilisateur dispose de 60 minutes pour définir un mot de passe si Citrix Endpoint Management envoie une stratégie de code d’accès à l’appareil. Avant que l’utilisateur ne définisse le mot de passe, le code d’accès peut être non conforme.

Appareils non conformes : Vérifie si un appareil est non conforme, en fonction de la propriété d’appareil Non conforme. Généralement, des actions automatisées ou des tiers utilisant les API Citrix Endpoint Management modifient cette propriété.

Statut révoqué : Vérifie si le certificat de l’appareil est révoqué. Un appareil révoqué ne peut pas se réinscrire tant qu’il n’est pas de nouveau autorisé.

Appareils Android rootés et iOS jailbreakés : Vérifie si un appareil Android ou iOS est jailbreaké.

  • Appareils non gérés : Vérifie si Citrix Endpoint Management gère un appareil. Par exemple, un appareil inscrit à MAM ou un appareil non inscrit n’est pas géré.

Remarque :

Le filtre Implicitement conforme/non conforme définit la valeur par défaut uniquement sur les appareils gérés par Citrix Endpoint Management. Par exemple, tout appareil ayant une application bloquée installée ou n’étant pas inscrit est marqué comme Non conforme. L’appliance NAC bloque ces appareils de votre réseau.

Vue d’ensemble de la configuration

Nous vous recommandons de configurer les composants NAC dans l’ordre indiqué.

  1. Configurez les stratégies d’appareil pour prendre en charge NAC :

    Pour les appareils iOS : Consultez Configurer la stratégie d’appareil VPN pour prendre en charge NAC.

    Pour les appareils Android Enterprise : Consultez Créer une configuration gérée Android Enterprise pour Citrix SSO.

    Pour les appareils Android : Consultez Configurer le protocole Citrix SSO pour Android.

  2. Activez les filtres NAC dans Citrix Endpoint Management.

  3. Configurez une solution NAC :

Activer les filtres NAC dans Citrix Endpoint Management

  1. Dans la console Citrix Endpoint Management, accédez à Paramètres > Contrôle d’accès réseau.

    Image des paramètres de contrôle d'accès réseau

  2. Cochez les cases des filtres Définir comme non conforme que vous souhaitez activer.

  3. Cliquez sur Enregistrer.

Mettre à jour les stratégies NetScaler Gateway pour prendre en charge NAC

Vous devez configurer des stratégies d’authentification avancées (non classiques) et de sessions VPN sur votre serveur virtuel VPN.

Ces étapes mettent à jour un NetScaler Gateway présentant l’une des caractéristiques suivantes :

  • Est intégré à Citrix Endpoint Management.
  • Ou, est configuré pour le VPN, ne fait pas partie de l’environnement Citrix Endpoint Management et peut atteindre Citrix Endpoint Management.

Sur votre serveur virtuel VPN, à partir d’une fenêtre de console, effectuez les opérations suivantes. Les noms de domaine complets (FQDN) et les adresses IP dans les commandes et les exemples sont fictifs.

  1. Si vous utilisez des stratégies classiques sur votre serveur virtuel VPN, supprimez et dissociez toutes les stratégies classiques. Pour vérifier, tapez :

    show vpn vserver <VPN_VServer>

    Supprimez tout résultat contenant le mot Classic. Par exemple : VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

    Pour supprimer la stratégie, tapez :

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Créez la stratégie de session avancée correspondante en saisissant ce qui suit.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Par exemple : add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Lie la stratégie à votre serveur virtuel VPN en saisissant ce qui suit.

    bind vpn vserver _XM_EndpointManagement -policy vpn_nac -priority 100

  4. Créez un serveur virtuel d’authentification en saisissant ce qui suit.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Par exemple : add authentication vserver authvs SSL 0.0.0.0 Dans cet exemple, 0.0.0.0 signifie que le serveur virtuel d’authentification n’est pas accessible publiquement.

  5. Lie un certificat SSL au serveur virtuel en saisissant ce qui suit.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>

    Par exemple : bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Associez un profil d’authentification au serveur virtuel d’authentification à partir du serveur virtuel VPN. Tout d’abord, créez le profil d’authentification en saisissant ce qui suit.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Par exemple :

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Associez le profil d’authentification au serveur virtuel VPN en saisissant ce qui suit.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Par exemple :

    set vpn vserver _XM_EndpointManagement -authnProfile xm_nac_prof

  8. Vérifiez la connexion entre NetScaler Gateway et un appareil en saisissant ce qui suit.

    curl -v -k https://<Endpoint Management_server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Par exemple, cette requête vérifie la connectivité en obtenant l’état de conformité du premier appareil (deviceid_1) inscrit dans l’environnement :

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Un résultat positif est similaire à l’exemple suivant.

    HTTP/1.1 200 OK
< Server: Apache-Coyote/1.1
< X-Citrix-Device-State: Non Compliant
< Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
<!--NeedCopy-->

  9. Lorsque l’étape précédente est réussie, créez l’action d’authentification Web pour Citrix Endpoint Management. Tout d’abord, créez une expression de stratégie pour extraire l’ID de l’appareil du plug-in VPN iOS. Saisissez ce qui suit.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envoyez la requête à Citrix Endpoint Management en saisissant ce qui suit. Dans cet exemple, l’adresse IP de Citrix Endpoint Management est 10.207.87.82 et le nom de domaine complet est example.em.cloud.com:4443.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: example.em.cloud.com:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    La sortie réussie pour le NAC de Citrix Endpoint Management est HTTP status 200 OK. L’en-tête X-Citrix-Device-State doit avoir la valeur Compliant.

  11. Créez une stratégie d’authentification à laquelle associer l’action en saisissant ce qui suit.

    add authentication Policy <policy name> -rule <rule> -action <web authentication action>

    Par exemple : add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Convertissez la stratégie LDAP existante en une stratégie avancée en saisissant ce qui suit.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>

    Par exemple : add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Ajoutez une étiquette de stratégie à laquelle associer la stratégie LDAP en saisissant ce qui suit.

    add authentication policylabel <policy_label_name>

    Par exemple : add authentication policylabel ldap_pol_label

  14. Associez la stratégie LDAP à l’étiquette de stratégie en saisissant ce qui suit.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Connectez un appareil conforme pour effectuer un test NAC afin de confirmer l’authentification LDAP réussie. Saisissez ce qui suit.

    bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Ajoutez l’interface utilisateur à associer au serveur virtuel d’authentification. Saisissez la commande suivante pour récupérer l’ID de l’appareil.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Lie le serveur virtuel d’authentification en saisissant ce qui suit.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Créez une stratégie d’authentification avancée LDAP pour activer la connexion Citrix Secure Hub. Saisissez ce qui suit.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

Contrôle d’accès réseau
April 20, 2026
Contributeur: 
C C
April 20, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.