Configuration système requise et compatibilité
Systèmes d’exploitation pris en charge
L’application Citrix Workspace pour Mac prend en charge les systèmes d’exploitation suivants :
- macOS Sonoma 14.6
- macOS Ventura 13
- macOS Monterey 12
À tout moment, Citrix prend uniquement en charge les systèmes d’exploitation macOS les plus récents et les deux précédents (N, N-1 et N-2).
Produits Citrix compatibles
L’application Citrix Workspace est compatible avec toutes les versions actuellement prises en charge de Citrix Virtual Apps and Desktops, Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service), et de Citrix Gateway comme indiqué dans le tableau du cycle de vie des produits Citrix.
Navigateurs compatibles
L’application Citrix Workspace pour Mac est compatible avec les navigateurs suivants :
- Google Chrome
- Microsoft Edge
- Safari
Configuration matérielle requise
- 1 Go d’espace disque disponible
- Un réseau ou une connexion Internet pour la connexion aux serveurs
Connexions, certificats et authentification
Connexions
L’application Citrix Workspace pour Mac prend en charge les connexions suivantes à Citrix Virtual Apps and Desktops et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) :
- HTTPS
- ICA-over-TLS
- ICA-over-DTLS
L’application Citrix Workspace pour Mac prend en charge les configurations suivantes :
Pour les connexions LAN | Pour les connexions sécurisées à distance ou locales |
---|---|
StoreFront utilisant StoreFront Services ou un site Citrix Receiver pour Web | Citrix Gateway 12.x-13.x, y compris VPX |
Certificats
Important :
Si vous exécutez macOS 10.15, assurez-vous que votre système est conforme aux exigences d’Apple en matière de certificats de confiance dans macOS 10.15. Effectuez cette vérification avant de procéder à la mise à niveau vers l’application Citrix Workspace pour Mac version 2106.
Certificats privés (auto-signés)
Si un certificat privé est installé sur la passerelle distante, vous devez installer le certificat racine pour l’autorité de certification de l’organisation sur l’appareil de l’utilisateur. Ensuite, vous pouvez accéder aux ressources Citrix à l’aide de l’application Citrix Workspace pour Mac.
Remarque :
Lorsque le certificat de la passerelle distante ne peut pas être vérifié lors de la connexion, un avertissement relatif à un certificat non approuvé s’affiche car le certificat racine n’est pas inclus dans le keystore local. Lorsqu’un utilisateur continue d’ajouter un magasin, l’ajout du magasin échoue. Toutefois, sur le navigateur Web, l’utilisateur peut être en mesure de s’authentifier auprès du magasin, mais les connexions aux sessions échouent.
Importation de certificats racine pour les appareils
Obtenez le certificat racine auprès de l’émetteur du certificat et envoyez-le par e-mail à un configuré sur votre appareil. Lorsque vous cliquez sur la pièce jointe, vous êtes invité à importer le certificat racine.
Certificats génériques
Les certificats génériques remplacent les certificats de serveur individuel pour n’importe quel serveur situé dans le même domaine. L’application Citrix Workspace pour Mac prend en charge les certificats génériques.
Certificats intermédiaires avec Citrix Gateway
Si votre chaîne de certificat contient un certificat intermédiaire, ce dernier doit être mappé au certificat serveur de Citrix Gateway. Pour de plus amples informations sur cette tâche, reportez-vous à la documentation de Citrix Gateway. Pour plus d’informations sur l’installation, la liaison et la mise à jour des certificats, consultez How to Install and Link Intermediate Certificate with Primary CA on Citrix Gateway.
Stratégie de validation des certificats de serveur
La stratégie de validation des certificats de serveur de l’application Citrix Workspace pour Mac est plus stricte.
Important
Avant d’installer cette version de l’application Citrix Workspace pour Mac, vérifiez que les certificats sur le serveur ou la passerelle sont correctement configurés comme indiqué ci-dessous. Les connexions peuvent échouer si :
- la configuration du serveur ou de la passerelle inclut un certificat racine incorrect ;
- la configuration du serveur ou de la passerelle n’inclut pas tous les certificats intermédiaires ;
- la configuration du serveur ou de la passerelle inclut un certificat intermédiaire expiré ou non valide ;
- la configuration du serveur ou de la passerelle inclut un certificat intermédiaire avec signature croisée.
Lors de la validation d’un certificat de serveur, l’application Citrix Workspace pour Mac utilise tous les certificats fournis par le serveur (ou la passerelle). L’application Citrix Workspace pour Mac vérifie ensuite si les certificats sont approuvés. Si aucun des certificats n’est approuvé, la connexion échoue.
Cette stratégie est plus stricte que la stratégie de certificat des navigateurs web. De nombreux navigateurs Web comprennent un grand nombre de certificats racine auxquels ils font confiance.
Le serveur (ou la passerelle) doit être configuré avec le jeu correct de certificats. Un jeu incorrect de certificats peut entraîner l’échec de la connexion de l’application Citrix Workspace pour Mac.
Supposons qu’une passerelle soit configurée avec ces certificats valides. Cette configuration est recommandée pour les clients qui requièrent une validation stricte, en déterminant précisément quel certificat racine est utilisé par l’application Citrix Workspace pour Mac.
L’application Citrix Workspace pour Mac vérifie ensuite que tous ces certificats sont valides. L’application Citrix Workspace pour Mac vérifie également qu’elle fait déjà confiance au « Certificat racine ». Si l’application Citrix Workspace pour Mac ne fait pas confiance au « Certificat racine », la connexion échoue.
Important
Certaines autorités de certification disposent de plus d’un certificat racine. Si vous avez besoin de cette validation plus stricte, assurez-vous que votre configuration utilise le certificat racine approprié. Par exemple, il existe actuellement deux certificats (« DigiCert »/« GTE CyberTrust Global Root » et « DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») qui peuvent valider les mêmes certificats de serveur. Sur certaines machines utilisateur, les deux certificats racine sont disponibles. Sur les autres machines, seul le certificat « DigiCert Baltimore Root »/« Baltimore CyberTrust Root » est disponible. Si vous configurez « GTE CyberTrust Global Root » sur la passerelle, les connexions à l’application Citrix Workspace pour Mac sur ces machines utilisateur échouent. Consultez la documentation de l’autorité de certification pour déterminer quel certificat racine doit être utilisé. Les certificats racine finissent par expirer, comme tous les certificats.
Remarque :
Certains serveurs et certaines passerelles n’envoient jamais le certificat racine, même si cela est configuré. Une validation plus stricte n’est par conséquent pas possible.
Supposons maintenant qu’une passerelle soit configurée avec ces certificats valides. Cette configuration, qui ignore le certificat racine, est généralement recommandée :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
L’application Citrix Workspace pour Mac utilise ces deux certificats. Elle recherche ensuite un certificat racine sur la machine utilisateur. Si elle trouve un certificat approuvé qui est validé correctement, tel que « Certificat racine exemple », la connexion réussit. Sinon, la connexion échoue. Cette configuration fournit le certificat intermédiaire dont l’application Citrix Workspace pour Mac a besoin, mais permet également à l’application Citrix Workspace pour Mac de choisir un quelconque certificat racine valide et approuvé.
Supposons maintenant qu’une passerelle soit configurée avec ces certificats :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
- « Certificat racine incorrect »
Un navigateur Web peut ignorer le certificat racine incorrect. Toutefois, l’application Citrix Workspace pour Mac n’ignore pas le certificat racine incorrect et la connexion échoue.
Certaines autorités de certification disposent de plus d’un certificat intermédiaire. Dans ce cas, la passerelle est généralement configurée avec tous les certificats intermédiaires (mais pas le certificat racine) tels que :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple 1 »
- « Certificat intermédiaire exemple 2 »
Important
Certaines autorités de certification utilisent un certificat intermédiaire avec signature croisée, destiné aux situations où il existe plusieurs certificats racine. Un certificat racine antérieur est toujours utilisé en même temps qu’un certificat racine ultérieur. Dans ce cas, il y a au moins deux certificats intermédiaires. Par exemple, le certificat racine antérieur « Class 3 Public Primary Certification Authority » et le certificat intermédiaire avec signature croisée Verisign Class 3 Public Primary Certification Authority - G5 correspondant. Toutefois, un certificat racine antérieur « Verisign Class 3 Public Primary Certification Authority - G5 » correspondant est également disponible, et il remplace « Class 3 Public Primary Certification Authority ». Le certificat racine antérieur n’utilise pas de certificat intermédiaire avec signature croisée.
Remarque
Le certificat intermédiaire avec signature croisée et le certificat racine ont le même nom d’objet (délivré à), mais le certificat intermédiaire avec signature croisée a un nom d’émetteur différent (émis par). Cette différence au niveau du nom permet de différencier le certificat intermédiaire avec signature croisée d’un certificat intermédiaire ordinaire (tel « Certificat intermédiaire exemple 2 »).
Cette configuration, qui ignore le certificat racine et le certificat intermédiaire avec signature croisée, est généralement recommandée :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
Évitez de configurer la passerelle de manière à utiliser le certificat intermédiaire avec signature croisée, car cela entraîne la sélection du certificat racine antérieur :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
- « Certificat intermédiaire croisé exemple » [non recommandé]
Il n’est pas recommandé de configurer la passerelle avec le certificat de serveur uniquement :
- « Certificat de serveur exemple »
Dans ce cas, si l’application Citrix Workspace pour Mac ne peut pas trouver tous les certificats intermédiaires, la connexion échoue.
Authentification
Pour les connexions à StoreFront, l’application Citrix Workspace pour Mac prend en charge les méthodes d’authentification suivantes :
| Méthode d’authentification | Workspace pour Web utilisant des navigateurs | Site StoreFront Services (natif) | Citrix Gateway auprès de Workspace pour Web (navigateur) | Citrix Gateway auprès du site StoreFront Services (natif) | | ————————————— | ——————————- | ——————————— | —————————————- | ————————————— | ———————————————- | | Anonyme | Oui | Oui | | | | | Domaine | Oui | Oui | | Oui* | Oui* | | Authentification pass-through au domaine | | | | | | | Jeton de sécurité | | | | Oui* | Oui* | | Authentification à deux facteurs (domaine avec jeton de sécurité) | | | | Oui* | Oui* | | SMS | | | | Oui* | Oui* | | Carte à puce | Oui | Oui | | Oui* | Oui | | Certificat utilisateur | | | | Oui | Oui (Citrix Gateway Plug-in) |
*Disponible uniquement dans les déploiements incluant Citrix Gateway, avec ou sans l’installation du plug-in associé installé sur la machine.
Exigences en matière de connectivité
Gestion des feature flag
Si un problème survient avec l’application Citrix Workspace en production, nous pouvons désactiver dynamiquement une fonctionnalité affectée dans l’application Citrix Workspace même après la livraison de la fonctionnalité. Pour ce faire, nous utilisons des commutateurs de fonctionnalité et un service tiers appelé LaunchDarkly.
Vous n’avez pas besoin d’effectuer des configurations pour activer le trafic vers LaunchDarkly, sauf si un pare-feu ou un proxy bloque le trafic sortant. Dans ce cas, vous activez le trafic vers LaunchDarkly via des URL ou adresses IP spécifiques, en fonction des exigences de votre stratégie.
Vous pouvez activer le trafic et la communication vers LaunchDarkly des manières suivantes :
Activer le trafic vers les URL suivantes
events.launchdarkly.com
stream.launchdarkly.com
clientstream.launchdarkly.com
Firehose.launchdarkly.com
mobile.launchdarkly.com
Répertorier les adresses IP dans une liste verte
Si vous devez répertorier les adresses IP dans la liste verte, consultez la liste des adresses IP publiques de LaunchDarkly pour obtenir une liste de toutes les plages d’adresses IP actuelles. Vous pouvez utiliser cette liste pour vous assurer que les configurations du pare-feu sont mises à jour automatiquement en fonction des mises à jour de l’infrastructure. Pour plus d’informations sur l’état des modifications de l’infrastructure, consultez la page LaunchDarkly Statuspage.
Configuration système requise pour LaunchDarkly
Assurez-vous que les applications peuvent communiquer avec les services suivants si le split tunneling sur Citrix ADC est défini sur OFF :
- Service LaunchDarkly.
- Service d’écoute APNs
Possibilité de désactiver le service LaunchDarkly via l’outil MDM
À partir de la version 2210, vous pouvez désactiver le service LaunchDarkly sur l’application Citrix Workspace, que ses utilisateurs se trouvent à l’intérieur ou à l’extérieur du pare-feu de l’organisation. Pour désactiver le service LaunchDarkly, définissez la valeur du paramètre DisableFeatureFlag sur True.
Ce service est disponible pour les administrateurs qui gèrent des appareils Mac à l’aide de l’outil MDM.
Remarque :
La désactivation du FeatureFlag nécessite que l’administrateur redémarre l’appareil pour que ce paramètre prenne effet.
Pour plus d’informations sur l’utilisation de MDM, consultez la page Gestion des appareils mobiles.