Configurer Citrix Secure Access pour les utilisateurs de macOS

L’application Citrix SSO pour macOS fournit la meilleure solution d’accès aux applications et de protection des données proposée par Citrix Gateway. Vous pouvez désormais accéder en toute sécurité aux applications stratégiques, aux bureaux virtuels et aux données d’entreprise depuis n’importe où et à tout moment. Citrix SSO est le client VPN de nouvelle génération pour Citrix Gateway permettant de créer et de gérer des connexions VPN à partir d’appareils macOS. Citrix SSO est conçu à l’aide du framework Network Extension (NE) d’Apple. NE Framework d’Apple est une bibliothèque moderne qui contient des API pouvant être utilisées pour personnaliser et étendre les fonctionnalités réseau principales de macOS. L’extension réseau prenant en charge le VPN SSL est disponible sur les appareils exécutant macOS 10.11+.

Citrix Secure Access fournit une prise en charge complète de la gestion des appareils mobiles (MDM) sur macOS. Avec un serveur MDM, un administrateur peut désormais configurer et gérer à distance les profils VPN au niveau de l’appareil et les profils VPN par application. Citrix Secure Access pour macOS peut être installé à partir d’un Mac App Store.

Comparaison des fonctionnalités entre Citrix VPN, Citrix SSO pour iOS et Citrix Secure Access pour macOS

Le tableau suivant compare la disponibilité de différentes fonctionnalités entre Citrix VPN, Citrix SSO pour iOS et Citrix Secure Access pour macOS.

Fonctionnalité Citrix VPN Citrix SSO pour iOS et Citrix Secure Access pour macOS
Méthode de distribution des applications page de téléchargements Citrix Magasin d’applications
Nombre de connexions en tunnel 128 128
Accès depuis le navigateur Prise en charge Non pris en charge
Accès depuis l’application native Prise en charge Prise en charge
Split Tunneling (DÉSACTIVÉ/ACTIVÉ/INVERSE) Prise en charge Prise en charge
Split DNS (LOCAL/DISTANT/LES DEUX) DISTANT DISTANT
Accès au réseau local Activer/Désactiver Toujours activé
Prise en charge des connexions initiées par le serveur (SIC) Non pris en charge Prise en charge
Transférer la connexion Prise en charge Prise en charge
Proxy côté client Prise en charge Non pris en charge
Prise en charge d’EPA Classic/Opswat Prise en charge Prise en charge
Prise en charge des certificats d’appareil Prise en charge Prise en charge
Prise en charge du délai d’expiration de session Prise en charge Prise en charge
Prise en charge du délai d’expiration forcé Prise en charge Prise en charge
Prise en charge du délai d’inactivité Prise en charge Non pris en charge
IPV6 Non pris en charge Prise en charge
Itinérance du réseau (Basculer entre Wi-Fi, Ethernet, etc.) Prise en charge Prise en charge
Prise en charge des applications intranet Prise en charge Prise en charge
Prise en charge de DTLS pour UDP Non pris en charge Prise en charge
Prise en charge du CLUF Prise en charge Prise en charge
Intégration appli + Receiver Prise en charge Non pris en charge
Authentification — Local, LDAP, RADIUS Prise en charge Prise en charge
Authentification du certificat client Prise en charge Prise en charge
Prise en charge de TLS (TLS1, TLS1.1 et TLS1.2) Prise en charge Prise en charge
Authentification à deux facteurs Prise en charge Prise en charge

Compatibilité avec les produits MDM

Citrix Secure Access pour macOS est compatible avec la plupart des fournisseurs MDM tels que Citrix XenMobile, Microsoft Intune, etc. Il prend en charge une fonctionnalité appelée Network Access Control (NAC) à l’aide de laquelle les administrateurs MDM peuvent appliquer la conformité des machines des utilisateurs finaux avant de se connecter à Citrix Gateway. Le NAC sur Citrix Secure Access nécessite un serveur MDM tel que XenMobile et Citrix Gateway. Pour plus d’informations sur NAC, consultez Configurer la vérification des périphériques de contrôle d’accès réseau pour le serveur virtuel Citrix Gateway pour la connexion à facteur unique.

Remarque :

Pour utiliser Citrix Secure Access avec Citrix Gateway VPN sans MDM, vous devez ajouter une configuration VPN. Vous pouvez ajouter la configuration VPN sur macOS à partir de la page de configuration de Citrix Secure Access.

Configurer un profil VPN géré par MDM pour Citrix Secure Access

La section suivante présente des instructions détaillées pour configurer des profils VPN à la fois à l’échelle de l’appareil et par application pour Citrix Secure Access à l’aide de Citrix Endpoint Management (anciennement XenMobile) à titre d’exemple. D’autres solutions MDM peuvent utiliser ce document comme référence lors de l’utilisation de Citrix Secure Access.

Remarque :

Cette section explique les étapes de configuration d’un profil VPN de base à l’échelle de l’appareil et par application. Vous pouvez également configurer des proxies à la demande, toujours actifs, en suivant la documentation Citrix Endpoint Management (anciennement XenMobile) ou la configuration de la charge utile VPN MDMd’Apple.

Profils VPN au niveau de l’appareil

Les profils VPN au niveau de l’appareil sont utilisés pour configurer un VPN à l’échelle du système. Le trafic provenant de toutes les applications et services est acheminé vers Citrix Gateway en fonction des stratégies VPN (telles que tunnel complet, tunnel partagé, tunnel partagé inverse) définies dans Citrix ADC.

Pour configurer un VPN au niveau de l’appareil sur Citrix Endpoint Management

Effectuez les étapes suivantes pour configurer un VPN au niveau de l’appareil.

  1. Sur la console Citrix Endpoint Management MDM, accédez à Configurer > Stratégies d’appareil > Ajouter une nouvelle stratégie.

  2. Sélectionnez macOS dans le volet de gauche Policy Platform. Sélectionnez Stratégie VPN dans le volet droit.

  3. Sur la page Informations sur la stratégie, saisissez un nom de stratégie et une description valides, puis cliquez sur Suivant.

  4. Sur la page de détails de la stratégie pour macOS, tapez un nom de connexion valide et choisissez SSL personnalisé dans Type de connexion.

    Dans la charge utile VPN MDM, le nom de connexion correspond à la clé UserDefinedName et la clé de type VPN doit être définie sur VPN.

  5. Dans Identificateur SSL personnalisé (format DNS inverse), saisissez com.citrix.netscalergateway.MacOS.app. Il s’agit de l’identifiant du bundle pour Citrix Secure Access sur macOS.

    Dans la charge utile VPN MDM, l’identificateur SSL personnalisé correspond à la clé VPNSubtype .

  6. Dans l’identifiant du bundle fournisseur, saisissez com.citrix.NetScalerGateway.MacOS.App.VPNPlugin. Il s’agit de l’identifiant de bundle de l’extension réseau contenue dans le binaire de l’application Citrix Secure Access.

    Dans la charge utile VPN MDM, l’identificateur de bundle de fournisseur correspond à la clé ProviderBundleIdentifier .

  7. Dans Nom du serveur ou adresse IP, entrez l’adresse IP ou le nom de domaine complet du Citrix ADC associé à cette instance Citrix Endpoint Management.

    Les autres champs de la page de configuration sont facultatifs. Les configurations de ces champs sont disponibles dans la documentation Citrix Endpoint Management.

  8. Cliquez sur Suivant.

    Page de stratégie VPN CEM

  9. Cliquez sur Enregistrer.

Profils VPN par application

Les profils VPN par application sont utilisés pour configurer un VPN pour une application spécifique. Le trafic provenant uniquement de l’application spécifique est acheminé vers Citrix Gateway. La charge utile du VPN par application prend en charge toutes les clés pour le VPN à l’échelle de l’appareil, ainsi que quelques autres clés.

Pour configurer un VPN au niveau de l’application sur Citrix Endpoint Management

Effectuez les étapes suivantes pour configurer un VPN par application sur Citrix Endpoint Management :

  1. Terminez la configuration VPN au niveau de l’appareil sur Citrix Endpoint Management.

  2. Activez le commutateur Activer le VPN par application dans la section VPN par application.

  3. Activez le commutateur On-Demand Match App Enabled si Citrix Secure Access doit être démarré automatiquement lors du lancement de l’application Match. Cette option est recommandée pour la plupart des cas par application.

    Dans la charge utile VPN MDM, ce champ correspond à la clé OnDemandMatchAppEnabled.

  4. La configuration du domaine Safari est facultative. Lorsqu’un domaine Safari est configuré, Citrix SSO démarre automatiquement lorsque les utilisateurs lancent Safari et accèdent à une URL qui correspond à celle du champ Domaine . Cette option n’est pas recommandée si vous souhaitez restreindre le VPN pour une application spécifique.

    Dans la charge utile VPN MDM, ce champ correspond à la clé SafariDomains.

    Les autres champs de la page de configuration sont facultatifs. Les configurations de ces champs sont disponibles dans la documentation Citrix Endpoint Management (anciennement XenMobile).

    Configuration CEM

  5. Cliquez sur Suivant.

  6. Cliquez sur Enregistrer.

    Pour associer le profil VPN à une application spécifique sur l’appareil, vous devez créer une stratégie d’inventaire des applications et une stratégie de fournisseur d’informations d’identification en suivant ce guide : https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

Configuration du split tunnel dans un VPN par application

Les clients MDM peuvent configurer le split tunnel dans le VPN par application pour Citrix Secure Access. La paire clé/valeur suivante doit être ajoutée à la section de configuration du fournisseur du profil VPN créé sur le serveur MDM.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

La clé est sensible à la casse et doit correspondre exactement à la casse, tandis que la valeur n’est pas sensible à la casse.

Remarque :

L’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard parmi les fournisseurs MDM. Contactez le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

Tunnel fractionné par application dans CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

Tunnel fractionné par application dans Intune

Désactivation des profils VPN créés par les utilisateurs

Les clients MDM peuvent empêcher les utilisateurs de créer manuellement des profils VPN à partir de Citrix Secure Access. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration du fournisseur du profil VPN créé sur le serveur MDM.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

La clé est sensible à la casse et doit correspondre exactement à la casse, tandis que la valeur n’est pas sensible à la casse.

Remarque :

L’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard parmi les fournisseurs MDM. Contactez le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

disable-VPN-CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

disable_VPN_Intune

Gestion DNS

Les paramètres DNS recommandés pour Citrix Secure Access sont les suivants :

  • Split DNS > REMOTE si le split tunnel est réglé sur OFF.
  • Split DNS > BOTH si le split tunnel est défini sur ON. Dans ce cas, les administrateurs doivent ajouter des suffixes DNS pour les domaines intranet. Les requêtes DNS pour les noms de noms de noms de noms de famille (FQDN) appartenant à des suffixes DNS sont acheminées vers l’appliance Citrix ADC et les autres requêtes sont envoyées au routeur local.

Remarque :

  • Il est recommandé que l’indicateur de correction de troncature DNS soit toujours actif. Pour plus de détails, consultez https://support.citrix.com/article/CTX200243.

  • Lorsque le split tunnel est défini sur ON et que Split DNS est défini sur REMOTE, des problèmes peuvent survenir lors de la résolution des requêtes DNS après la connexion du VPN. Cela est lié au fait que le framework Network Extension n’intercepte pas toutes les requêtes DNS.

Analyses EPA prises en

Pour obtenir la liste complète des scans pris en charge, voir Dernières bibliothèques EPA.

  1. Dans la section Matrice d’analyse prise en charge par OPSWAT v4, cliquez sur Liste des applications prises en charge sous la colonne Spécifique à MAC OS.
  2. Dans le fichier Excel, cliquez sur l’onglet Analyses EPA classiques pour afficher les détails.

Problèmes connus

Voici les problèmes connus actuellement.

  • La connexion EPA échoue si l’utilisateur est placé dans le groupe de quarantaine.
  • Le message d’avertissement de délai d’expiration forcé n’est pas affiché.
  • L’application SSO autorise la connexion si le split tunnel est sur ON et qu’aucune application intranet n’est configurée.

Limitations

Voici les limitations actuelles.

  • Les analyses EPA suivantes peuvent échouer en raison d’un accès restreint à l’application SSO en raison du sandboxing.
    • « Type » et « chemin » de chiffrement du disque dur
    • Navigateur Web « par défaut » et « en cours d’exécution »
    • Gestion des correctifs « correctifs manquants »
    • Fonctionnement du processus d’élimination pendant l’EPA
  • Le split tunneling basé sur les ports/protocoles n’est pas pris en charge.
  • Assurez-vous que le trousseau de clés ne contient pas deux certificats portant le même nom et la même date d’expiration, car cela fait en sorte que le client n’affiche qu’un seul des certificats au lieu des deux.

Résolution des problèmes

Si le bouton Télécharger le plug-in EPA apparaît aux utilisateurs finaux dans la fenêtre d’authentification de l’application Citrix SSO, cela signifie que la stratégie de sécurité du contenu sur l’appliance Citrix ADC bloque l’appel de l’URL com.citrix.agmacepa://. Les administrateurs doivent modifier la stratégie de sécurité du contenu de manière à ce que com.citrix.agmacepa:// soit autorisé.