Systemanforderungen und Kompatibilität
Unterstützte Betriebssysteme
Die Citrix Workspace-App für Mac unterstützt folgende Betriebssysteme:
- macOS Sonoma 14.6
- macOS Ventura 13
- macOS Monterey 12
Zu jedem Zeitpunkt unterstützt Citrix nur das neueste und die beiden vorherigen macOS-Betriebssysteme (N, N-1 und N-2).
Kompatible Citrix Produkte
Die Citrix Workspace-App ist auch kompatibel mit allen derzeit unterstützten Versionen von Citrix Virtual Apps and Desktops, Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) und Citrix Gateway, die in der Citrix Product Lifecycle Matrix aufgeführt sind.
Kompatible Browser
Die Citrix Workspace-App für Mac ist mit den folgenden Browsern kompatibel:
- Google Chrome
- Microsoft Edge
- Safari
Hardwareanforderungen
- 1 GB freier Datenträgerspeicher
- Eine funktionierende Netzwerk- oder Internetverbindung für die Verbindung mit Servern
Verbindungen, Zertifikate und Authentifizierung
Verbindungen
Die Citrix Workspace-App für Mac unterstützt folgende Verbindungen mit Citrix Virtual Apps and Desktops und Citrix DaaS (früher Citrix Virtual Apps and Desktops Service):
- HTTPS
- ICA-über-TLS
- ICA-über-DTLS
Die Citrix Workspace-App für Mac unterstützt folgende Konfigurationen:
Für LAN-Verbindungen | Für sichere Remote- oder lokale Verbindungen |
---|---|
StoreFront mit StoreFront Services oder Citrix Receiver für Web-Site | Citrix Gateway 12.x-13.x, einschließlich VPX |
Zertifikate
Wichtig:
Wenn Sie macOS 10.15 ausführen, stellen Sie sicher, dass Ihr System mit den Anforderungen für vertrauenswürdige Zertifikate in macOS 10.15 von Apple kompatibel ist. Überprüfen Sie dies, bevor Sie das Upgrade auf die Citrix Workspace-App für Mac Version 2106 durchführen.
Private (selbstsignierte) Zertifikate
Wenn ein privates Zertifikat auf dem Remotegateway installiert ist, müssen Sie das Stammzertifikat für die Zertifizierungsstelle des Unternehmens auf dem Benutzergerät installieren. Anschließend können Sie mit der Citrix Workspace-App für Mac erfolgreich auf Citrix-Ressourcen zugreifen.
Hinweis:
Wenn das Zertifikat des Remotegateways beim Herstellen der Verbindung nicht verifiziert werden kann, wird eine Warnung über ein nicht vertrauenswürdiges Zertifikat angezeigt, da das Stammzertifikat nicht im lokalen Schlüsselspeicher vorhanden ist. Wenn ein Benutzer versucht, einen Store hinzuzufügen, schlägt der Vorgang fehl. Im Webbrowser kann der Benutzer sich möglicherweise beim Store authentifizieren, Verbindungen zu Sitzungen schlagen jedoch fehl.
Importieren von Stammzertifikaten für Geräte
Rufen Sie das Stammzertifikat des Zertifikatausstellers ab und senden Sie es an ein Konto, das auf dem Gerät konfiguriert ist. Wenn Sie auf den Anhang klicken, werden Sie zum Importieren des Stammzertifikats aufgefordert.
Zertifikate mit Platzhalterzeichen
Zertifikate mit Platzhalterzeichen werden statt einzelner Serverzertifikate für jeden Server in derselben Domäne verwendet. Die Citrix Workspace-App für Mac unterstützt Zertifikate mit Platzhalterzeichen.
Zwischenzertifikate mit Citrix Gateway
Wenn die Zertifikatkette ein Zwischenzertifikat enthält, muss das Zwischenzertifikat dem Citrix Gateway-Serverzertifikat zugeordnet werden. Weitere Informationen hierzu finden Sie in der Dokumentation zu Citrix Gateway. Weitere Informationen zum Installieren, Verknüpfen und Aktualisieren von Zertifikaten finden Sie unter How to Install and Link Intermediate Certificate with Primary CA on Citrix Gateway.
Validierungsrichtlinie für Serverzertifikate
Die Citrix Workspace-App für Mac hat eine strenge Validierungsrichtlinie für Serverzertifikate.
Wichtig
Bestätigen Sie vor der Installation dieser Version der Citrix Workspace-App für Mac, dass die Server- oder Gateway-Zertifikate wie hier beschrieben konfiguriert sind. Aufgrund folgender Ursachen können Verbindungen fehlschlagen:
- Die Server- oder Gatewaykonfiguration enthält ein falsches Stammzertifikat
- Die Server- oder Gatewaykonfiguration enthält nicht alle Zwischenzertifikate
- Die Server- oder Gatewaykonfiguration enthält ein abgelaufenes oder anderweitig ungültiges Zwischenzertifikat
- Die Server- oder Gatewaykonfiguration enthält ein übergreifendes Zwischenzertifikat
Beim Validieren eines Serverzertifikats verwendet die Citrix Workspace-App für Mac alle Zertifikate, die vom Server oder Gateway bereitgestellt werden. Die Citrix Workspace-App für Mac prüft dann, ob die Zertifikate vertrauenswürdig sind. Wenn keines der Zertifikate vertrauenswürdig ist, schlägt die Verbindung fehl.
Diese Richtlinie ist strenger als die Zertifikatrichtlinie in Webbrowsern. Viele Webbrowser enthalten eine große Anzahl Stammzertifikate, denen sie vertrauen.
Der Server bzw. das Gateway muss mit den richtigen Zertifikaten konfiguriert sein. Sind nicht die richtigen Zertifikate vorhanden, schlägt die Verbindung mit der Citrix Workspace-App für Mac u. U. fehl.
Angenommen, ein Gateway ist mit gültigen Zertifikaten konfiguriert. Diese Konfiguration wird für Kunden empfohlen, die eine strengere Validierung benötigen. Dabei wird genau ermittelt, welches Stammzertifikat die Citrix Workspace-App für Mac verwendet.
Die Citrix Workspace-App für Mac überprüft, ob alle Zertifikate gültig sind. Die Citrix Workspace-App für Mac überprüft ebenfalls, ob dem “Stammzertifikat” bereits vertraut wird. Wenn die Citrix Workspace-App für Mac dem “Stammzertifikat” nicht vertraut, schlägt die Verbindung fehl.
Wichtig
Einige Zertifizierungsstellen haben mehr als ein Stammzertifikat. Wenn Sie diese strengere Validierung benötigen, stellen Sie sicher, dass Ihre Konfiguration das entsprechende Stammzertifikat verwendet. Beispielsweise gibt es derzeit zwei Zertifikate (“DigiCert/GTE CyberTrust Global Root” und “DigiCert Baltimore Root/Baltimore CyberTrust Root”), mit denen die gleichen Serverzertifikate validiert werden können. Auf einigen Benutzergeräten sind beide Stammzertifikate verfügbar. Auf anderen Geräten ist nur eins verfügbar (“DigiCert Baltimore Root/Baltimore CyberTrust Root”). Wenn Sie “GTE CyberTrust Global Root” auf dem Gateway konfigurieren, schlagen die Citrix Workspace-App für Mac-Verbindungen auf diesen Benutzergeräten fehl. Aus der Dokumentation der Zertifizierungsstelle erfahren Sie, welches Stammzertifikat zu verwenden ist. Stammzertifikate laufen wie alle Zertifikate irgendwann ab.
Hinweis:
Einige Server und Gateways senden nie das Stammzertifikat, selbst wenn es konfiguriert ist. Ein strengere Validierung ist dann nicht möglich.
Angenommen, ein Gateway ist mit diesen gültigen Zertifikaten konfiguriert. Wir empfehlen die folgende Konfiguration ohne das Stammzertifikat:
- “Beispielserverzertifikat”
- “Beispielzwischenzertifikat”
Die Citrix Workspace-App für Mac verwendet dann die beiden Zertifikate. Dann sucht die App nach einem Stammzertifikat auf dem Benutzergerät. Wird ein vertrauenswürdiges Zertifikat gefunden, das korrekt validiert wird, z. B. “Beispielstammzertifikat”, ist die Verbindung erfolgreich. Andernfalls schlägt die Verbindung fehl. Diese Konfiguration stellt das von der Citrix Workspace-App für Mac benötigte Zwischenzertifikat zur Verfügung, ermöglicht der Citrix Workspace-App für Mac aber auch die Wahl eines gültigen, vertrauenswürdigen Stammzertifikats.
Nehmen wir nun an, ein Gateway ist mit den folgenden Zertifikaten konfiguriert:
- “Beispielserverzertifikat”
- “Beispielzwischenzertifikat”
- “Falsches Stammzertifikat”
Ein Webbrowser ignoriert eventuell das falsche Stammzertifikat. Die Citrix Workspace-App für Mac ignoriert das falsche Stammzertifikat jedoch nicht und die Verbindung schlägt fehl.
Einige Zertifizierungsstellen verwenden mehr als ein Zwischenzertifikat. In diesem Fall ist das Gateway normalerweise wie folgt mit allen Zwischenzertifikaten konfiguriert, jedoch nicht mit dem Stammzertifikat:
- “Beispielserverzertifikat”
- “Beispielzwischenzertifikat 1”
- “Beispielzwischenzertifikat 2”
Wichtig
Einige Zertifizierungsstellen verwenden ein übergreifendes Zwischenzertifikat, das für Situationen gedacht ist, in denen es mehr als ein Stammzertifikat gibt. Ein früher ausgestelltes Stammzertifikat wird gleichzeitig mit einem später ausgestellten Stammzertifikat verwendet. In diesem Fall sind mindestens zwei Zwischenzertifikate vorhanden. Beispielsweise hat das früher ausgestellte Stammzertifikat “Class 3 Public Primary Certification Authority” das entsprechende übergreifende Zwischenzertifikat “Verisign Class 3 Public Primary Certification Authority - G5”. Ein entsprechendes später ausgestelltes Stammzertifikat “Verisign Class 3 Public Primary Certification Authority - G5” ist ebenfalls verfügbar und es ersetzt “Class 3 Public Primary Certification Authority”. Das später ausgestellte Stammzertifikat verwendet kein übergreifendes Zwischenzertifikat.
Hinweis
Das übergreifende Zwischenzertifikat und das Stammzertifikat haben denselben Antragstellernamen (Ausgestellt für), das übergreifende Zwischenzertifikat hat jedoch einen anderen Ausstellernamen (Ausgestellt von). Dieser Unterschied im Namen unterscheidet das übergreifende Zwischenzertifikat von einem normalen Zwischenzertifikat (wie Beispielzwischenzertifikat 2).
Normalerweise empfiehlt sich die folgende Konfiguration ohne das Stammzertifikat und das übergreifende Zwischenzertifikat:
- “Beispielserverzertifikat”
- “Beispielzwischenzertifikat”
Konfigurieren Sie das Gateway nicht für die Verwendung des übergreifenden Zwischenzertifikats, weil es sonst das früher ausgestellte Stammzertifikat auswählt:
- “Beispielserverzertifikat”
- “Beispielzwischenzertifikat”
- “Übergreifendes Beispielzwischenzertifikat” [nicht empfohlen]
Es wird nicht empfohlen, das Gateway nur mit dem Serverzertifikat zu konfigurieren:
- “Beispielserverzertifikat”
In diesem Fall schlägt die Verbindung fehl, wenn die Citrix Workspace-App für Mac nicht alle Zwischenzertifikate finden kann.
Authentifizierung
Für Verbindungen mit StoreFront unterstützt die Citrix Workspace-App für Mac die folgenden Authentifizierungsmethoden:
| Authentifizierungsmethode | Workspace für Web über Browser | StoreFront Services-Site (nativ) | Citrix Gateway bei Workspace für Web (Browser) | Citrix Gateway bei StoreFront Services-Site (nativ) | | ————————————— | ——————————- | ——————————— | —————————————- | ————————————— | ———————————————- | | Anonym | Ja | Ja | | | | | Domäne | Ja | Ja | | Ja* | Ja* | | Domänen-Passthrough | | | | | | | Sicherheitstoken | | | | Ja* | Ja* | | Zweistufige Authentifizierung (Domäne mit Sicherheitstoken) | | | | Ja* | Ja* | | SMS | | | | Ja* | Ja* | | Smartcard | Ja | Ja | | Ja* | Ja | | Benutzerzertifikat | | | | Ja | Ja (Citrix Gateway-Plug-In) |
* Nur für Bereitstellungen verfügbar, die Citrix Gateway mit oder ohne installiertem zugeordneten Plug-In auf dem Gerät enthalten.
Konnektivitätsanforderungen
Featureflags verwalten
Wenn ein Problem mit der Citrix Workspace-App in der Produktion auftritt, können wir ein betroffenes Feature dynamisch in der Citrix Workspace-App deaktivieren, auch nachdem das Feature bereitgestellt wurde. Hierfür verwenden wir Featureflags und den Drittanbieterdienst “LaunchDarkly”.
Sie müssen das Aktivieren des Datenverkehrs über LaunchDarkly nur dann konfigurieren, wenn Sie den ausgehenden Datenverkehr durch eine Firewall oder einen Proxyserver blockieren. In diesem Fall aktivieren Sie den Datenverkehr über LaunchDarkly Ihren Richtlinienanforderungen entsprechend über bestimmte URLs oder IP-Adressen.
Sie können den Datenaustausch und die Kommunikation mit LaunchDarkly wie folgt ermöglichen:
Datenverkehr für folgende URLs zulassen
events.launchdarkly.com
stream.launchdarkly.com
clientstream.launchdarkly.com
Firehose.launchdarkly.com
mobile.launchdarkly.com
IP-Adressen in einer Positivliste auflisten
Wenn Sie IP-Adressen in einer Positivliste auflisten müssen, konsultieren Sie die Liste der aktuellen IP-Adressbereiche unter Liste öffentlicher IP-Adressen von LaunchDarkly. Mithilfe dieser Liste können Sie sicherstellen, dass Ihre Firewallkonfigurationen automatisch anhand der Infrastrukturupdates aktualisiert werden. Einzelheiten zum Status der Änderungen der Infrastruktur finden Sie auf der Statusseite von LaunchDarkly.
LaunchDarkly-Systemanforderungen
Wenn Sie Split-Tunneling in Citrix ADC für die folgenden Dienste auf OFF festgelegt haben, müssen die Apps mit den folgenden Diensten kommunizieren können:
- LaunchDarkly-Dienst.
- APNs-Listenerdienst
Möglichkeit des Deaktivierens des LaunchDarkly-Diensts per MDM-Tool
Ab Version 2210 können Sie den LaunchDarkly-Dienst in der Citrix Workspace-App deaktivieren, unabhängig davon, ob die Benutzer sich innerhalb oder außerhalb der Firewall des Unternehmens befinden. Um den LaunchDarkly-Dienst zu deaktivieren, legen Sie den Wert für die Einstellung DisableFeatureFlag auf “True” fest.
Dieser Dienst ist für Administratoren verfügbar, die Mac-Geräte mit dem MDM-Tool verwalten.
Hinweis:
Das Deaktivieren der FeatureFlag-Einstellung erfordert einen Geräteneustart, damit die Einstellung wirksam wird.
Informationen zur Verwendung von MDM finden Sie unter Mobilgeräteverwaltung (MDM).