Stratégie Configurations gérées
La stratégie Configurations gérées contrôle de nombreuses options de configuration et de restriction d’applications. Vous créez cette stratégie pour chaque application Android Enterprise que vous souhaitez contrôler.
Le développeur de l’application définit les options disponibles pour une application et les info-bulles. Si une info-bulle mentionne l’utilisation d’une « valeur basée sur un modèle », utilisez plutôt la macro Citrix Endpoint Management correspondante. Pour plus d’informations, consultez la page Remote configuration overview (sur le site développeur Android) et la section Macros.
Les paramètres de configuration de l’application peuvent inclure des éléments tels que :
- Paramètres de l’application de messagerie
- Autoriser ou bloquer les URL d’un navigateur Web
- Possibilité de contrôler la synchronisation du contenu de l’application via une connexion cellulaire ou uniquement via une connexion Wi-Fi
Pour plus d’informations sur les paramètres qui apparaissent pour vos applications, contactez le développeur de l’application.
Remarque :
Citrix SSO pour Android s’appelle désormais Citrix Secure Access. Nous mettons à jour notre documentation de manière à refléter ce changement de nom.
Logiciels requis
- Terminez les tâches de configuration d’Android Entreprise sur Google et connectez Android Entreprise à Google Play d’entreprise. Pour plus d’informations, consultez la section Android Enterprise.
- Ajoutez des applications Android Enterprise à Citrix Endpoint Management. Pour plus d’informations, consultez la section Ajout d’applications à Citrix Endpoint Management.
Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.
Configuration requise pour les réseaux Per App VPN
Pour créer une stratégie Per App VPN pour AE, vous devez effectuer des étapes supplémentaires, en plus de configurer la stratégie de configurations gérées. En outre, vous devez vérifier que les conditions préalables suivantes sont remplies :
- NetScaler Gateway sur site
- Les applications suivantes sont installées sur l’appareil :
- Citrix SSO
- Citrix Secure Hub
Voici un workflow général pour configurer une stratégie Per App VPN pour les appareils AE :
-
Configurez un profil VPN comme décrit dans cet article.
-
Configurez Citrix ADC pour accepter le trafic provenant du réseau Per App VPN. Pour de plus amples informations, consultez la section Full VPN setup on NetScaler Gateway.
Limitations
Les limitations suivantes s’appliquent au Per App VPN dans l’environnement Android Enterprise sur les appareils Android 11+ en raison des restrictions de visibilité des packages introduites dans Android 11 :
-
Si une application figurant dans la liste des applications autorisées/refusées est déployée sur un appareil après le début de la session VPN, l’utilisateur final doit redémarrer la session VPN pour que l’application puisse acheminer son trafic via la session VPN.
-
Si un Per App VPN est utilisé via une session VPN Always On, après avoir installé une nouvelle application sur l’appareil, l’utilisateur final doit redémarrer le profil professionnel ou l’appareil pour que le trafic de l’application soit acheminé via la session VPN.
Remarque :
Ces limitations ne s’appliquent pas si vous utilisez Citrix SSO pour Android 23.8.1 ou des versions ultérieures. Pour plus d’informations, consultez Redémarrage automatique du VPN Always On.
Paramètres Android Enterprise
Après avoir choisi d’ajouter une stratégie Configurations gérées, une invite permettant de sélectionner une application s’affiche. Si aucune application Android Enterprise n’a été ajoutée à Citrix Endpoint Management, vous ne pouvez pas continuer.
Après avoir sélectionné une application, configurez les paramètres de la stratégie. Les paramètres sont spécifiques à chaque application.
Configurer les profils VPN pour Android Enterprise
Rendez les profils VPN disponibles pour les appareils Android Enterprise à l’aide de l’application Citrix SSO avec la stratégie de configurations gérées.
Commencez par ajouter Citrix SSO à la console Citrix Endpoint Management en tant qu’application du magasin Google Play. Consultez la section Ajouter une application de magasin public.
Regardez cette vidéo pour en savoir plus :
Créer une configuration gérée par Android Enterprise pour Citrix SSO
Configurez la stratégie Configurations gérées afin de créer des profils VPN. Les appareils sur lesquels l’application Citrix SSO est installée et la stratégie déployée peuvent accéder aux profils VPN que vous créez.
Citrix Endpoint Management utilise le certificat utilisateur dans le magasin de clés de l’appareil si :
- NetScaler Gateway est configuré pour l’authentification par certificat.
- L’option Délivrer un certificat utilisateur pour l’authentification est activée dans la page Citrix Endpoint Management Paramètres > NetScaler Gateway.
Vous avez besoin du nom de domaine complet et du port NetScaler Gateway.
-
Dans la console Citrix Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. Cliquez sur Ajouter.
-
Sélectionnez Android Enterprise. Cliquez sur Configurations gérées.
-
Lorsque la fenêtre Sélectionner un ID d’application s’affiche, choisissez Citrix SSO dans la liste et cliquez sur OK.
-
Saisissez un nom et une description pour votre configuration VPN Citrix SSO. Cliquez sur Suivant.
-
Configurez les paramètres de profil VPN.
-
Nom du profil VPN : saisissez un nom pour le profil VPN. Si vous créez plusieurs profils VPN, utilisez un nom unique pour chaque profil. Si vous ne fournissez pas de nom, l’adresse que vous avez spécifiée dans le champ Adresse du serveur est utilisée comme nom de profil VPN.
-
Adresse du serveur (*) : saisissez votre nom de domaine complet NetScaler Gateway. Si le port NetScaler Gateway n’est pas 443, saisissez également le port. Utilisez le format URL. Par exemple,
https://gateway.mycompany.com:8443
. -
Nom d’utilisateur (facultatif) : indiquez le nom d’utilisateur que les utilisateurs utilisent pour s’authentifier auprès de NetScaler Gateway. Vous pouvez utiliser la macro Citrix Endpoint Management {user.username} pour ce champ. (Consultez Macros.) Si vous ne fournissez pas de nom d’utilisateur, les utilisateurs sont invités à fournir un nom d’utilisateur lors de la connexion à NetScaler Gateway.
-
Mot de passe (facultatif) : indiquez le mot de passe que les utilisateurs utilisent pour s’authentifier auprès de NetScaler Gateway. Si vous ne fournissez pas de mot de passe, les utilisateurs sont invités à fournir un mot de passe lors de la connexion à NetScaler Gateway.
-
Alias de certificat (facultatif) : saisissez un alias de certificat. L’alias de certificat permet à l’application d’accéder plus facilement au certificat. Lorsque le même alias de certificat est utilisé avec la stratégie d’informations d’identification, l’application récupère le certificat et authentifie le VPN sans aucune action des utilisateurs.
-
Pins de certificat Gateway (facultatif) : objet JSON décrivant les pins de certificat utilisés pour NetScaler Gateway. Exemple de valeur :
{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}
. Pour plus d’informations, consultez la section Certificate pinning NetScaler Gateway avec Android Citrix SSO. -
Type de VPN par application (facultatif) : si vous utilisez un VPN par application pour restreindre les applications qui utilisent ce VPN, vous pouvez configurer ce paramètre. Si vous sélectionnez Autoriser, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications Per App VPN est acheminé via le VPN. Le trafic réseau de toutes les autres applications est acheminé en dehors du VPN. Si vous sélectionnez Désactiver, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications Per App VPN est acheminé en dehors du VPN. Le trafic réseau de toutes les autres applications est acheminé via le VPN. La valeur par défaut est Autoriser.
-
Liste des applications Per App VPN : liste des applications dont le trafic est autorisé ou bloqué sur le VPN en fonction de la valeur définie pour Type de VPN par application. Répertoriez les noms de packages d’applications en les séparant par des virgules ou des points-virgules. Les noms de packages d’applications sont sensibles à la casse et doivent apparaître sur cette liste tels qu’ils figurent dans Google Play Store. Cette liste est facultative. Gardez cette liste vide pour le provisioning de VPN à l’échelle de l’appareil.
-
Profil VPN par défaut : saisissez le nom du profil VPN à utiliser lorsque les utilisateurs touchent le bouton de connexion dans l’application Citrix SSO au lieu d’un profil spécifique. Si ce champ est vide, le profil principal est utilisé pour la connexion. Si un seul profil est configuré, il est marqué comme profil par défaut. Pour un VPN Always On, ce champ doit être défini sur le nom du profil VPN à utiliser pour établir un VPN Always On.
-
VPN Always On (facultatif) : cet attribut indique si le profil VPN est configuré en tant que profil VPN Always On. Lorsqu’il est défini sur true, cela signifie que le profil VPN est un profil VPN Always On. La valeur par défaut est false. Cette propriété ne peut être attribuée qu’au profil VPN principal. L’activation de cette propriété est essentielle pour garantir le fonctionnement fiable d’un VPN Always On.
-
Désactiver les profils utilisateur : si ce paramètre est activé, les utilisateurs ne peuvent pas créer leurs propres VPN sur leurs appareils. Si ce paramètre est désactivé, les utilisateurs peuvent créer leurs propres VPN sur leurs appareils. La valeur par défaut est Désactivé.
-
Bloquer les serveurs non approuvés : ce paramètre est désactivé dans l’un des scénarios suivants :
- Lorsque vous utilisez un certificat auto-signé pour NetScaler Gateway
- Lorsque le certificat racine de l’autorité de certification qui émet le certificat NetScaler Gateway ne figure pas dans la liste d’autorité de certification système
Si ce paramètre est activé, le système d’exploitation Android valide le certificat NetScaler Gateway. Si la validation échoue, la connexion n’est pas autorisée. La valeur par défaut est Activé.
-
-
Vous pouvez également créer des paramètres personnalisés. Les paramètres personnalisés XenMobileDeviceId et UserAgent sont pris en charge. Sélectionnez la configuration VPN actuelle et cliquez sur Ajouter.
Nom du paramètre Description Valeur XenMobileDeviceId Il s’agit de l’ID d’appareil à utiliser pour la vérification d’accès au réseau en fonction de l’inscription de l’appareil dans Citrix Endpoint Management. Si Citrix Endpoint Management s’inscrit et gère l’appareil, la connexion VPN est autorisée. Sinon, l’authentification est refusée au moment de l’établissement du VPN. Pour que Citrix Endpoint Management détermine l’état d’inscription et de gestion des appareils, la valeur de XenMobileDeviceId est définie sur DeviceID_${device.id}
.UserAgent Ce texte a été ajouté à l’en-tête HTTP de l’agent utilisateur pour effectuer une vérification supplémentaire sur NetScaler Gateway. La valeur de ce texte est ajoutée à l’en-tête HTTP de l’agent utilisateur par l’application Citrix SSO lors de la communication avec NetScaler Gateway. saisissez le texte à ajouter à l’en-tête HTTP de l’agent utilisateur. Ce texte doit être conforme aux spécifications HTTP de l’agent utilisateur. EnableDebugLogging Activer la journalisation de débogage sur l’application Citrix SSO pour résoudre les problèmes de connectivité VPN en cas de VPN Always On. Vous pouvez l’activer dans toutes les configurations VPN gérées. La journalisation du débogage prend effet lorsque les configurations gérées sont traitées. True : active la journalisation du débogage. Valeur par défaut : False Pour créer un autre paramètre personnalisé, cliquez à nouveau sur Ajouter.
-
Vous pouvez également créer des configurations de profil VPN supplémentaires. Cliquez sur Ajouter dans la liste des configurations. Une nouvelle configuration apparaît dans la liste. Sélectionnez la nouvelle configuration et répétez l’étape 5 et, éventuellement, l’étape 6.
-
Lorsque vous avez créé tous les profils VPN de votre choix, cliquez sur Suivant.
-
Configurez les règles de déploiement associées à cette configuration gérée pour Citrix SSO.
-
Cliquez sur Enregistrer.
Cette configuration gérée pour Citrix SSO apparaît désormais dans la liste des stratégies d’appareil configurées.
Pour activer Always On pour les profils VPN que vous avez configurés, définissez la stratégie Options de Citrix Endpoint Management.
Remarque :
Citrix Secure Hub 19.5.5 ou supérieur est requis pour VPN Always-On pour Android Entreprise.
Accéder aux profils VPN à partir de l’appareil
Pour accéder aux profils VPN que vous avez créés, les utilisateurs Android Enterprise installent Citrix SSO à partir du Google Play Store d’entreprise.
Le ou les profils VPN que vous avez configurés apparaissent dans la zone Connexions gérées de l’application. Les utilisateurs touchent le profil VPN pour se connecter à l’aide de ce profil.
Une fois les utilisateurs authentifiés et connectés, une coche apparaît en regard du profil VPN. L’icône de clé indique que le VPN est connecté.
Gérer les appareils Zebra Android à l’aide de Zebra OEMConfig
Gérez les appareils Zebra Android à l’aide de l’outil d’administration OEMConfig de Zebra Technologies. Pour plus d’informations sur l’application Zebra OEMConfig, consultez le site Web Zebra Technologies.
Citrix Endpoint Management prend en charge Zebra OEMConfig version 9.2 et supérieure. Pour plus d’informations sur la configuration système requise pour installer Zebra OEMConfig sur les appareils, consultez Configuration d’OEMConfig sur le site Web de Zebra Technologies.
Nous prenons actuellement en charge les appareils Zebra suivants :
-
EC50, EC55, ET56
-
TC52x, TC52x-HC
-
TC52ax, TC52ax-HC
-
TC57x
Pour démarrer : dans la console Citrix Endpoint Management, ajoutez l’application Zebra OEMConfig en tant qu’application Google Play Store. Voir Ajouter une application de magasin public.
Créer une configuration gérée par Android Enterprise pour l’application Zebra OEMConfig
Configurez la stratégie Configurations gérées pour l’application Zebra OEMConfig. La stratégie s’applique aux appareils Zebra sur lesquels l’application Zebra OEMConfig est installée et la stratégie est déployée.
-
Dans la console Citrix Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. Cliquez sur Ajouter.
-
Sélectionnez Android Enterprise. Cliquez sur Configurations gérées.
-
Lorsque la fenêtre Sélectionner l’ID d’application apparaît, choisissez ZebraOEMConfig powered by MX dans la liste et cliquez sur OK .
-
Saisissez un nom et une description pour votre configuration Zebra OEMConfig. Cliquez sur Suivant.
-
Saisissez un nom pour la configuration de Zebra OEMConfig.
-
Configurez les paramètres disponibles. Par exemple :
- Pour désactiver l’appareil photo situé à l’avant de l’appareil, sélectionnez Camera Configuration et définissez Use of Front Camera sur Off.
- Pour modifier le format de l’heure des appareils, sélectionnez Clock Configuration et définissez Time Format sur 12 (12 heures) ou 24 (24 heures).
Pour obtenir une liste et une description de toutes les configurations disponibles, consultez Zebra Managed Configurations sur le site Web de Zebra Technologies.
-
Vous pouvez également créer des configurations Zebra OEMConfig supplémentaires. Cliquez sur Ajouter dans la liste des configurations. Une nouvelle configuration apparaît dans la liste. Sélectionnez la nouvelle configuration et configurez les paramètres.
-
Lorsque vous avez créé toutes les configurations Zebra OEMConfig souhaitées, cliquez sur Suivant.
-
Configurez les règles de déploiement associées à cette configuration gérée pour Zebra OEMConfig.
-
Cliquez sur Enregistrer.
Prise en charge des commentaires relatifs aux configurations gérées (Technical Preview)
Pour plus d’informations sur la fonctionnalité d’obtention de commentaires relatifs aux configurations gérées, consultez Prise en charge des commentaires relatifs aux configurations gérées.