iOSユーザーにはCitrix SSOを、macOSユーザーにはCitrix Secure Accessをセットアップする

重要:

Citrix VPNはiOS 12以降では使用できません。VPNを続行するには、Citrix SSOアプリを使用します。

次の表では、Citrix VPN、iOSユーザー向けCitrix SSO、macOSユーザー向けCitrixセキュアアクセスでのさまざまな機能の可用性を比較しています。

機能 Citrix VPN iOSユーザー向けCitrix SSO/macOSユーザー向けCitrix Secure Access
デバイスレベルのVPN サポート サポート
Per-App VPN(MDMのみ) サポート サポート
Per-App分割トンネル 未サポート サポート
MDM構成済みVPNプロファイル サポート サポート
オンデマンドVPN サポート サポート
パスワードトークン(T-OTPベース) 未サポート サポート
プッシュ通知ベースのログイン(登録済みスマートフォンからの第2要素) 未サポート サポート
証明書ベースの認証 サポート サポート
ユーザー名/パスワード認証 サポート サポート
Citrix Endpoint Management(XenMobileの新名称)によるネットワークアクセス制御チェック 未サポート サポート
Microsoft Intuneによるネットワークアクセス制御チェック サポート サポート
DTLSサポート 未サポート サポート
ユーザーが作成したVPNプロファイルをブロック サポート サポート
Citrix Cloud管理のネイティブアプリでのシングルサインオン 未サポート サポート
クライアント側プロキシ サポート サポート
サポートされるOSバージョン iOS 9、10、11(iOS 12以降では機能しません) iOS 9+

MDM 製品との互換性

Citrix SSO(iOS)およびCitrix Secure Access(macOS)は、Citrix Endpoint Management(旧XenMobile)やMicrosoft Intune など、ほとんどのMDMプロバイダーと互換性があります。

Citrix SSO(iOS)およびCitrix Secure Access(macOS)では、ネットワークアクセス制御(NAC)と呼ばれる機能もサポートされています。NACについて詳しくは、「 単一要素ログイン用のCitrix Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックの構成」を参照してください。NACを使用すると、MDM管理者はCitrix ADCアプライアンスに接続する前にエンドユーザーデバイスのコンプライアンスを強制できます。Citrix SSO(iOS)およびCitrixセキュアアクセス(macOS)上のNACを使用するには、Citrix Endpoint ManagementまたはIntune およびCitrix ADCなどのMDMサーバーが必要です。

注:

iOSではCitrix SSOアプリ、macOSではCitrix Secure AccessエージェントをMDMなしでCitrix Gateway VPNとともに使用するには、VPN構成を追加する必要があります。iOSのVPN構成は、Citrix SSO(iOS)およびCitrixセキュアアクセス(macOS)のホームページから追加できます。

Citrix SSOアプリ(iOS)またはCitrixセキュアアクセスエージェント(macOS)用のMDM管理対象VPNプロファイルを構成する

次のセクションでは、Citrix Endpoint Management(以前のXenMobile)を例として使用して、Citrix SSOアプリ(iOS)またはCitrix Secure Accessエージェント(macOS)のデバイス全体のVPNプロファイルとアプリごとのVPNプロファイルの両方を構成する手順を説明します。他のMDMソリューションでは、Citrix SSO(iOS)およびCitrixセキュアアクセス(macOS)を操作する際に、このドキュメントをリファレンスとして使用できます。

注:

このセクションでは、基本的なデバイス全体およびアプリごとの VPN プロファイルの設定手順について説明します。また、Citrix Endpoint Management(旧XenMobile) のドキュメントまたはAppleのMDM VPNペイロード構成に従って、オンデマンド、常時オン、プロキシを構成することもできます。

デバイスレベルの VPN プロファイル

デバイスレベルの VPN プロファイルは、システム全体の VPN を設定するために使用されます。すべてのアプリとサービスからのトラフィックは、Citrix ADCで定義されたVPNポリシー(フルトンネル、スプリットトンネル、リバーススプリットトンネルなど)に基づいてCitrix Gateway にトンネリングされます。

Citrix Endpoint ManagementでデバイスレベルのVPNを構成するには

Citrix Endpoint ManagementでデバイスレベルのVPNを構成するには、次の手順を実行します。

  1. Citrix Endpoint Management MDMコンソールで、[ 構成 ]>[ デバイスポリシー ]>[ 新しいポリシーの追加]に移動します。

  2. 左側の [ポリシープラットフォーム] ペインで [ iOS ] を選択します。右側のペインで [ VPN ] を選択します。

  3. [ ポリシー情報 ] ページで、有効なポリシー名と説明を入力し、[ 次へ] をクリックします。

  4. iOS の [ **VPN ポリシー ] ページで、有効な接続名を入力し、[接続の種類] で [ カスタム SSL ] を選択します。**

    MDM VPN ペイロードでは、接続名は UserDefinedName キーに対応し、 VPN タイプキーはVPNに設定する必要があります。

  5. [ カスタム SSL 識別子 (リバースDNS形式)] に com.citrix.netscalergateway.ios.appと入力します。これは、iOS上のCitrix SSOアプリのバンドル識別子です。

    MDM VPN ペイロードでは、カスタム SSL 識別子は vpnSubtype キーに対応します。

  6. [ プロバイダーバンドル識別子 ] に com.citrix.netscalergateway.ios.app.VPnPluginと入力します。これは、Citrix SSO iOSアプリバイナリに含まれるネットワーク拡張のバンドル識別子です。

    MDM VPN ペイロードでは、プロバイダーバンドル識別子は providerBundleIdentifier キーに対応します。

  7. [ サーバー名またはIPアドレス ] に、このCitrix Endpoint Managementインスタンスに関連付けられたCitrix ADC IPアドレスまたはFQDN(完全修飾ドメイン名)を入力します。

    設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Management(旧XenMobile)のドキュメントを参照してください。

  8. [Next] をクリックします。

    CEM VPN ポリシーページ

  9. [保存] をクリックします。

アプリごとの VPN プロファイル

アプリごとの VPN プロファイルは、特定のアプリケーションの VPN を設定するために使用されます。特定のアプリからのトラフィックのみが、Citrix Gateway にトンネリングされます。 Per-App VPN ペイロードは 、デバイス全体の VPN のすべてのキーと、その他のいくつかのキーをサポートします。

Citrix Endpoint ManagementでアプリごとのレベルのVPNを構成するには

アプリ単位 VPN を設定するには、次の手順を実行します。

  1. Citrix Endpoint ManagementでデバイスレベルのVPN構成を完了します。

  2. アプリベース VPN]セクションの[アプリベース VPN を有効にする ]スイッチをオンにします。

  3. マッチアプリの起動時にCitrix SSO(iOS)とCitrixセキュアアクセス(macOS)を自動的に起動する必要がある場合は、[オンデマンドマッチアプリ有効]スイッチをオンにします 。これは、ほとんどのアプリごとのケースで推奨されます。

    MDM VPN ペイロードでは、このフィールドは onDemandMatchAppEnabledキーに対応します。

  4. [ プロバイダーの種類] で [ パケットトンネル] を選択します。

    MDM VPN ペイロードでは、 このフィールドはキープロバイダータイプに対応します

  5. Safari ドメインの設定はオプションです。Safariドメインを構成すると、ユーザーがSafariを起動して Citrix ドメイン ]フィールドのURLと一致するURLに移動すると、Citrix SSO(iOS)とCitrixセキュアアクセス(macOS)が自動的に起動します。特定のアプリの VPN を制限する場合、これはお勧めできません。

    MDM VPN ペイロードでは、このフィールドはキー safariDomainsに対応します。

    設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Management(旧XenMobile)のドキュメントを参照してください。

    CEM VPN ポリシーページ

  6. [ 次へ] をクリックします。

  7. [保存] をクリックします。

この VPN プロファイルをデバイス上の特定のアプリに関連付けるには、このガイド()に従って、 アプリインベントリポリシーと認証情報プロバイダーポリシーを作成する必要があります。https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

アプリ単位 VPN でのスプリットトンネルの設定

MDMのお客様は、Citrix SSO(iOS)およびCitrixセキュアアクセス(macOS)用のアプリ単位VPNでスプリットトンネルを構成できます。次のキーと値のペアは、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに追加する必要があります。

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。

注:

ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。

以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。

アプリケーションごとのスプリットトンネル CEM

以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

![split-tunnel-per-app-Intune] (/en-us/citrix-gateway/media/split_tunnel_per_app_intune.png)

ユーザー作成の VPN プロファイルの無効化

MDMのお客様は、Citrix SSO(iOS)アプリおよびCitrixセキュアアクセス(macOS)エージェント内からVPNプロファイルを手動で作成できないようにすることができます。これを行うには、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。

注:

ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。

以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。

disable-VPN-CEM

以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

disable_VPN_Intune

DNSハンドリング

Citrix SSOアプリまたはCitrix Secure Accessエージェントに推奨されるDNS設定は次のとおりです。

  • スプリットトンネルがオフに設定されている場合は、[スプリット DNS] > [リモート]。
  • スプリットトンネルがON** に設定されている場合は、[スプリット DNS] > [両方**]。この場合、管理者はイントラネットドメインの DNS サフィックスを追加する必要があります。DNSサフィックスに属するFQDNのDNSクエリはCitrix ADCアプライアンスにトンネリングされ、残りのクエリはローカルルーターに送信されます。

注:

  • DNS 切り捨て修正フラグは常にON にすることをお勧めします。詳しくは、「https://support.citrix.com/article/CTX200243」を参照してください。

  • スプリットトンネルが ON に設定され、スプリット DNS が REMOTEに設定されている場合、VPN の接続後に DNS クエリーを解決する際に問題が発生する可能性があります。これは、ネットワーク拡張フレームワークがすべての DNS クエリをインターセプトしない場合に関連しています。

既知の問題

問題の説明:アプリ単位 VPN またはオンデマンド VPN構成の“.local”ドメインを含む FQDN アドレスのトンネリング。Apple のネットワーク拡張フレームワークに、ドメイン部分(http://wwww.abc.localなど)で.local を含むFQDN アドレスがシステムの TUN インターフェイス経由でトンネリングされないようにするバグがあります。このアドレスのトラフィックは、代わりにデバイスの物理インターフェイスを介して送信されます。この問題は、アプリ単位 VPN またはオンデマンド VPN の設定でのみ発生し、システム全体の VPN 設定では発生しません。Citrix はAppleにレーダーのバグレポートを提出しており、AppleはRFC-6762:によれば https://tools.ietf.org/html/rfc6762、ローカルはマルチキャストDNS(mDNS) クエリであり、したがってバグではないと指摘していた。しかし、Appleはまだバグをクローズしておらず、この問題が将来のiOSリリースで対処されるかどうかは明らかではありません。

回避策:回避策として、このようなアドレスにnon .localドメイン名を割り当てます。

制限事項

  • FQDN ベースのスプリットトンネリングはまだ完全にはサポートされていません。
  • エンドポイント分析 (EPA) は iOS ではサポートされていません。
  • ポート/プロトコルに基づくスプリットトンネリングはサポートされていません。
iOSユーザーにはCitrix SSOを、macOSユーザーにはCitrix Secure Accessをセットアップする