macOS ユーザー向けCitrix Secure Accessのセットアップ
macOS向けCitrix SSOアプリは、Citrix Gateway が提供するクラス最高のアプリケーションアクセスおよびデータ保護ソリューションを提供します。ビジネスクリティカルなアプリケーション、仮想デスクトップ、企業データにいつでもどこからでも安全にアクセスできるようになりました。 Citrix SSOは、macOSデバイスからのVPN接続を作成および管理するためのCitrix Gatewayの次世代VPNクライアントです。Citrix SSOは、Appleのネットワーク拡張(NE)フレームワークを使用して構築されています。Apple の NE フレームワークは、macOS のコアネットワーク機能をカスタマイズおよび拡張するために使用できる API を含む最新のライブラリです。SSL VPN をサポートするネットワーク拡張は、macOS 10.11 以降を実行しているデバイスで利用できます。
Citrix Secure Accessは、macOSでモバイルデバイス管理(MDM)を完全にサポートします。管理者は、MDMサーバーを使用してデバイスレベルのVPNプロファイルやアプリごとのVPNプロファイルをリモートで構成して管理できるようになりました。 macOS向けCitrix Secure Accessは、Mac App Storeからインストールできます。
Citrix VPN、iOS向けCitrix SSO、macOS向けCitrix Secure Accessの機能比較
次の表では、Citrix VPN、iOS向けCitrix SSO、macOS向けCitrixセキュアアクセスでのさまざまな機能の可用性を比較しています。
| 機能 | Citrix VPN | iOS向けCitrix SSOおよびmacOS向けCitrix Secure Access |
|---|---|---|
| アプリの配信方法 | Citrixのダウンロードページ | App Store |
| トンネル接続の数 | 128 | 128 |
| ブラウザーからのアクセス | サポート | 未サポート |
| ネイティブアプリからのアクセス | サポート | サポート |
| 分割トンネル(オフ/オン/リバース) | サポート | サポート |
| 分割DNS(ローカル/リモート/両方) | リモート | リモート |
| ローカルLANアクセス | 有効/無効 | 常に有効 |
| Server Initiated Connections(SIC)のサポート | 未サポート | サポート |
| 転送ログオン | サポート | サポート |
| クライアント側のプロキシ | サポート | 未サポート |
| Classic/Opswat EPAのサポート | サポート | サポート |
| デバイス証明書のサポート | サポート | サポート |
| セッションタイムアウトのサポート | サポート | サポート |
| 強制的なタイムアウトのサポート | サポート | サポート |
| アイドルタイムアウトのサポート | サポート | 未サポート |
| IPV6 | 未サポート | サポート |
| ネットワークローミング(Wi-Fi、イーサネットなどの切り替え) | サポート | サポート |
| イントラネットアプリケーションのサポート | サポート | サポート |
| UDPのDTLSサポート | 未サポート | サポート |
| EULAサポート | サポート | サポート |
| アプリとReceiverの統合 | サポート | 未サポート |
| 認証 – ローカル、LDAP、RADIUS | サポート | サポート |
| クライアント証明書認証 | サポート | サポート |
| TLSサポート(TLS1、TLS1.1、TLS1.2) | サポート | サポート |
| 二要素認証 | サポート | サポート |
MDM 製品との互換性
macOS向けCitrix Secure Accessは、Citrix XenMobile、Microsoft Intune などのほとんどのMDMプロバイダーと互換性があります。ネットワークアクセス制御(NAC)と呼ばれる機能をサポートしています。これを使用して、MDM管理者はCitrix Gateway に接続する前にエンドユーザーデバイスのコンプライアンスを強制できます。Citrixセキュアアクセス上のNACを使用するには、XenMobileやCitrix GatewayなどのMDMサーバーが必要です。NACについて詳しくは、「 単一要素ログイン用のCitrix Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックの構成」を参照してください。
注:
MDMなしでCitrix Gateway VPNでCitrixセキュアアクセスを使用するには、VPN構成を追加する必要があります。macOSのVPN構成は、[Citrix Secure Access]構成ページから追加できます。
Citrix Secure Accessの MDM 管理対象VPNプロファイルを構成する
次のセクションでは、Citrix Endpoint Management(以前のXenMobile)を例として使用して、Citrix Secure Accessのデバイス全体のVPNプロファイルとアプリごとのVPNプロファイルの両方を構成する手順を説明します。他のMDMソリューションでは、Citrix Secure Accessを使用する際の参照としてこのドキュメントを使用できます。
注:
このセクションでは、基本的なデバイス全体およびアプリごとの VPN プロファイルの設定手順について説明します。また、Citrix Endpoint Management(旧XenMobile) のドキュメントまたはAppleのMDM VPNペイロード構成に従って、オンデマンド、常時オン、プロキシを構成することもできます。
デバイスレベルの VPN プロファイル
デバイスレベルの VPN プロファイルは、システム全体の VPN を設定するために使用されます。すべてのアプリとサービスからのトラフィックは、Citrix ADCで定義されたVPNポリシー(フルトンネル、スプリットトンネル、リバーススプリットトンネルなど)に基づいてCitrix Gateway にトンネリングされます。
Citrix Endpoint ManagementでデバイスレベルのVPNを構成するには
デバイスレベル VPN を設定するには、次の手順を実行します。
-
Citrix Endpoint Management MDMコンソールで、[ 構成 ]>[ デバイスポリシー ]>[ 新しいポリシーの追加]に移動します。
-
左側の [ポリシープラットフォーム] ペインで [ macOS ] を選択します。右側のペインで [ VPN ポリシー ] を選択します。
-
[ ポリシー情報 ] ページで、有効なポリシー名と説明を入力し、[ 次へ] をクリックします。
-
macOS の [ **ポリシーの詳細 ] ページで、有効な接続名を入力し、[接続の種類] で [ カスタム SSL ] を選択します。**
MDM VPN ペイロードでは、接続名は UserDefinedName キーに対応し、 VPN タイプキーはVPNに設定する必要があります。
-
[ カスタム SSL 識別子 (リバースDNS形式)] に com.citrix.netscalergateway.macos.appと入力します。macOS上のCitrix Secure Accessのバンドル識別子です。
MDM VPN ペイロードでは、カスタム SSL 識別子は vpnSubtype キーに対応します。
-
[ プロバイダーバンドル識別子 ] に com.citrix.netscalergateway.macos.app.VPnPluginと入力します。これは、Citrix Secure Accessアプリのバイナリに含まれるネットワーク拡張機能のバンドル識別子です。
MDM VPN ペイロードでは、プロバイダーバンドル識別子は providerBundleIdentifier キーに対応します。
-
[ サーバー名またはIPアドレス ]に、このCitrix Endpoint Managementインスタンスに関連付けられているCitrix ADC IPアドレスまたは完全修飾ドメイン名を入力します。
設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Managementのドキュメントを参照してください。
-
[Next] をクリックします。
-
[保存] をクリックします。
アプリごとの VPN プロファイル
アプリごとの VPN プロファイルは、特定のアプリケーションの VPN を設定するために使用されます。特定のアプリからのトラフィックのみが、Citrix Gateway にトンネリングされます。 Per-App VPN ペイロードは、デバイス全体の VPN のすべてのキーに加えて、その他いくつかのキーをサポートします 。
Citrix Endpoint ManagementでアプリごとのレベルのVPNを構成するには
次の手順を実行して、Citrix Endpoint Managementでアプリ単位VPNを構成します。
-
Citrix Endpoint ManagementでデバイスレベルのVPN構成を完了します。
-
[ アプリ単位 VPN] セクションの [ **アプリ単位 VPN を有効にする** ] スイッチをオンにします。
-
マッチアプリの起動時にCitrix Secure Accessを自動的に起動する必要がある場合は、[オンデマンドマッチアプリ有効]スイッチをオンにします 。これは、ほとんどのアプリごとのケースで推奨されます。
MDM VPN ペイロードでは、このフィールドは onDemandMatchAppEnabledキーに対応します。
-
Safari ドメインの設定はオプションです。Safariドメインが構成されている場合、ユーザーがSafariを起動し、[ ドメイン ]フィールドのURLに一致するURLに移動すると、Citrix SSOが自動的に起動します。特定のアプリの VPN を制限する場合、これはお勧めできません。
MDM VPN ペイロードでは、このフィールドはキー safariDomainsに対応します。
設定ページの残りのフィールドはオプションです。これらのフィールドの構成については、Citrix Endpoint Management(旧XenMobile)のドキュメントを参照してください。
-
[Next] をクリックします。
-
[保存] をクリックします。
VPN プロファイルをデバイス上の特定のアプリに関連付けるには、このガイドに従って、アプリインベントリポリシーと認証情報プロバイダーポリシーを作成する必要があります。 https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/
アプリ単位 VPN でのスプリットトンネルの設定
MDM のお客様は、Citrix Secure Access のアプリ単位VPNでスプリットトンネルを構成できます次のキーと値のペアは、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに追加する必要があります。
- Key = "PerAppSplitTunnel"
- Value = "true or 1 or yes"
キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。
注:
ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー全体で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。
以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。
以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。
ユーザー作成の VPN プロファイルの無効化
MDMのお客様は、ユーザーがCitrix Secure Access内からVPNプロファイルを手動で作成できないようにすることができます。これを行うには、MDM サーバで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。
- Key = "disableUserProfiles"
- Value = "true or 1 or yes"
キーは大文字と小文字が区別され、完全に一致する必要がありますが、値の大文字と小文字は区別されません。
注:
ベンダー構成を設定するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールのベンダー設定セクションを見つけるには、MDM ベンダーに問い合わせてください。
以下は、Citrix Endpoint Managementの構成(ベンダー固有の設定)のサンプルスクリーンショットです。
以下は、Microsoft Intune での構成 (ベンダー固有の設定) のサンプルスクリーンショットです。
DNSハンドリング
Citrix Secure Accessで推奨されるDNS設定は次のとおりです。
- スプリットトンネルが OFF に設定されている場合は、スプリット DNS > REMOTE。
- スプリットトンネルが ON に設定されている場合は、スプリット DNS **BOTH**。この場合、管理者はイントラネットドメインの DNS サフィックスを追加する必要があります。DNSサフィックスに属するFQDNのDNSクエリはCitrix ADCアプライアンスにトンネリングされ、残りのクエリはローカルルーターに送信されます。
注:
DNS 切り捨て修正フラグは常にON にすることをお勧めします。詳しくは、「https://support.citrix.com/article/CTX200243」を参照してください。
スプリットトンネルが ON に設定され、スプリット DNS が REMOTEに設定されている場合、VPN の接続後に DNS クエリーを解決する際に問題が発生する可能性があります。これは、ネットワーク拡張フレームワークがすべての DNS クエリをインターセプトしない場合に関連しています。
サポートされている EPA スキャン
サポートされているスキャンの完全なリストについては、 最新の EPA ライブラリを参照してください。
- [ OPSWAT v4 でサポートされているスキャンマトリックス] セクションで、[ MAC OS 固有 ] 列の [ サポートされるアプリケーションリスト] をクリックします。
- Excel ファイルで、[ クラシック EPA スキャン ] タブをクリックして詳細を表示します。
既知の問題
以下は、現在の既知の問題です。
- ユーザーが検疫グループに配置されている場合、EPA ログインは失敗します。
- 強制タイムアウト警告メッセージは表示されません。
- SSO アプリは、スプリットトンネルがオンで、イントラネットアプリが構成されていない場合、ログインを許可します。
制限事項
以下は、現在の制限事項です。
- サンドボックス化が原因で SSO アプリへのアクセスが制限されているため、次の EPA スキャンが失敗することがあります。
- ハードディスク暗号化 ‘type’ と ‘path’
- Web ブラウザの「デフォルト」と「実行中」
- パッチ管理「見つからないパッチ」
- EPA 中にプロセスの強制終了操作
- ポート/プロトコルに基づくスプリットトンネリングはサポートされていません。
- キーチェーンに同じ名前と有効期限を持つ証明書が 2 つ存在しないようにしてください。この場合、クライアントには両方の証明書ではなく 1 つの証明書のみが表示されます。
トラブルシューティング
Citrix SSOアプリの認証ウィンドウで[ EPAプラグインのダウンロード ]ボタンがエンドユーザーに表示される場合は、Citrix ADCアプライアンスのコンテンツセキュリティポリシーがURLcom.citrix.agmacepa://の呼び出しをブロックしていることを意味します。管理者は、com.citrix.agmacepa://が許可されるようにコンテンツセキュリティポリシーを変更する必要があります。