Citrix端点管理与微软端点管理器集成

端点管理与微软端点管理器(MEM)的集成增加了端点管理微VPN的价值，微软Intune感知应用程序，如微软Edge浏览器。

激活集成，联系Citrix云运营团队。

此版本支持以下用例：

• MAM与MDM+MAM端点管理集成。

  本文重点介绍Intune MAM+端点管理MDM+MAM用例。将Citrix添加为MDM提供程序后，配置Intune管理的应用程序以交付到设备。

  重要的是:

  在这个用例中，Secure Mail不支持与Intune集成。安全邮件仅适用于MDX模式注册的设备。

• Intune MAM和端点管理MDM。
• 英特内妈妈。
• Intune MAM和Intune MDM。iOS的安全邮件支持单点登录。

有关设置与MEM集成的端点管理的易于遵循的图形指南，请参阅入门指南．

有关与Azure AD条件访问集成的信息，请参见与Azure AD条件访问集成．

下图提供了Citrix端点管理与Microsoft端点管理器集成的概述。

系统需求

MDX-Enable.

• 老妈SDK

  或

• MDX工具包

微软

• Azure Active Directory (AD)访问(具有租户管理员权限)
• Intune-enabled租户

防火墙规则

• 启用防火墙规则，允许来自Citrix网关子网IP的DNS和SSL流量到* .manage.microsoft.com，https://login.microsoftonline.com,https://graph.windows.net(端口53和443)

先决条件

• 管理的浏览器:移动应用程序SDK集成在IOS和Android的Intune托管浏览器应用程序中。有关托管浏览器的更多信息，请参阅Microsoft浏览器页面管理．

• Citrix云账户:要注册Citrix帐户并请求Citrix Endpoint Management试验，请与Citrix销售代表联系。当你准备好继续，去https://onboarding.cloud.com.．有关请求Citrix Cloud帐户的更多信息，请参见注册Citrix Cloud．

  注意:

  您提供的电子邮件必须是与Azure AD无关的地址。您可以使用任何免费电子邮件服务。

• iOS的APNS证书：确保为iOS配置APNS证书。要了解有关设置这些证书的更多信息，请参阅此Citrix博客文章：新建并导入APNs证书．
• Azure广告同步:在Azure AD和本地Active Directory之间建立同步。请勿在域控机器上安装AD同步工具。有关设置此同步的更多信息，请参阅Microsoft文档Azure活动目录．

Citrix网关配置

如果您正在设置新的端点管理部署，请安装以下其中一个Citrix Gateway设备:

• NetScaler网关VPX 3000系列或以上版本
• NetScaler网关MPX或专用SDX实例

使用Citrix网关与MEM的端点管理集成:

• 为“Citrix Gateway”配置管理接口和子网IP。
• 对所有客户端和服务器通信使用TLS 1.2。关于Citrix Gateway的TLS 1.2配置，请参见CTX247095．

如果您正在使用端点管理与MEM集成以及端点管理MDM+MAM部署，请配置两个Citrix网关。MDX应用程序流量通过一个Citrix网关路由。Intune应用流量通过另一个Citrix网关路由。配置:

• 两只公共IP。
• 可选地，一个网络地址转换的IP。
• 两个DNS名称。例子:https://mam.company.com.．
• 两个公共SSL证书。配置与保留的公共DNS名称匹配的证书或使用通配符证书。
• 具有内部不可路由RFC 1918 IP地址的MAM负载均衡器。
• LDAP Active Directory服务帐户。

同意授权提示符

对于需要用户认证的托管应用，应用请求由Microsoft Graph公开的应用权限。通过同意这些权限提示，应用程序可以访问所需的资源和api。有些应用程序需要微软Azure AD的全局管理员的同意。对于这些委托的权限，全局管理员必须授予Citrix Cloud请求令牌的权限。然后令牌启用以下权限。有关详细信息，请参见Microsoft图表权限参考．

• 登录并阅读用户配置文件:该权限允许用户登录并连接到Azure AD。Citrix无法查看用户凭证。
• 阅读所有用户的基本资料:应用程序代表组织中的用户读取配置文件属性。这些属性包括组织中用户的显示名称、姓名、电子邮件地址和照片。
• 阅读所有组：此权限使Azure广告组能够为应用程序和策略分配枚举。
• 以登录用户访问目录:此权限验证Intune订阅，并启用Citrix Gateway和VPN配置。

• 阅读和编写微软Intune应用程序:应用程序可以读取和写入以下内容：

  • Microsoft-managed属性
  • 组分配和应用程序的状态
  • 应用配置
  • 应用程序保护政策

另外，在配置Citrix Gateway时，Azure AD全局管理员必须:

此外，在配置Citrix Gateway时，Azure AD全局管理员必须批准为微VPN选择的Active Directory。全局管理员还必须生成一个客户端机密，Citrix Gateway使用它与Azure AD和Intune通信。

全局管理员不能具有Citrix管理员角色。相反，Citrix管理员将Azure AD帐户分配给具有适当Intune应用程序管理权限的用户。然后，Intune管理员担任Citrix Cloud管理员的角色，在Citrix Cloud中管理Intune。

注意:

Citrix只在设置过程中使用Intune全局管理员密码，并将身份验证重定向到Microsoft。Citrix无法访问密码。

配置与MEM的端点管理集成

关于集成的视频总结，请看:

1. 登录Citrix云站点并请求对端点管理进行试用。

2. 销售工程师与您安排船上会面。让他们知道您希望与MEM的端点管理集成。当您的请求获得批准时，请单击管理．

3. 从这里你可以点击右上角的齿轮在你的网站或你可以点击配置网站．

4. 按照第一步中的链接到身份和访问管理页面。

5. 点击连接连接Azure AD安装。

6. 输入Azure AD管理员用于登录的唯一登录URL，然后单击确认．

7. 添加一个Azure AD全局管理员帐户，然后接受权限请求。

8. 确认Azure AD实例连接成功。为表示连接成功，没有连接文本变成了启用．

9. 点击管理员选项卡，然后将Azure AD Intune管理员添加为Citrix Cloud管理员。从下拉菜单中选择Azure AD或Citrix Identity，然后搜索要添加的用户名，单击邀请然后授予用户完全访问或自定义访问在点击之前发送邀请．

   注意:

   端点管理需要以下规则自定义访问:库和Citrix端点管理。

   因此，Azure AD Intune管理员会收到一封电子邮件，邀请其创建密码并登录Citrix云。在管理员登录之前，请确保您注销了所有其他帐户。

   Azure AD Intune管理员必须遵循这个过程中的其余步骤。

10. 用新账号登录后，在端点管理点击管理．如果正确配置所有内容，页面显示Azure AD管理员已登录，并且您的Intune订阅有效。

配置micro VPN的Citrix Gateway

要将micro VPN与Intune一起使用，必须将Citrix网关配置为向Azure AD进行身份验证。现有Citrix网关虚拟服务器不适用于此用例。

首先，配置Azure AD以与本地的Active Directory同步。此步骤是确保Intune和Citrix Gateway之间正确进行身份验证所必需的。

1. 从Citrix Cloud控制台，在端点管理点击管理．

2. 旁边微VPN点击配置微VPN．

3. 输入微VPN服务的名称和Citrix网关的外部URL，然后单击下一个．

   这个脚本配置Citrix网关以支持Azure AD和Intune应用程序。

4. 点击下载脚本．.zip文件包括一个具有用于实现脚本的说明的自述文件。即使您可以从此处保存和退出，但在Citrix网关安装上运行脚本之前，未设置Micro VPN。

   注意:

   完成Citrix网关配置过程后，如果看到OAuth状态不是“完成”，请参阅“疑难解答”部分。

配置设备管理

如果要管理设备除应用外，请选择一种设备管理方法。您可以使用端点管理MDM + MAM或Intune MDM。

注意:

控制台默认为Intune MDM。要使用Intune作为MDM提供程序，请参阅微软Intune文档．

1. 从Citrix Cloud控制台，在“与MEM集成的端点管理”下，单击管理．旁边设备管理—可选点击配置MDM.．

2. 输入唯一的站点名称，选择离您最近的Cloud区域，然后单击请求一个网站．当您的站点准备就绪时，一个提示会让您知道您收到了一封电子邮件。

3. 点击好吧关闭提示。选择要与站点关联的Active Directory位置或创建资源位置，然后单击下一个．

4. 点击下载云连接器并按照屏幕上的说明安装云连接器。安装完成后，单击测试连接检查Citrix Cloud和Cloud Connector的连接情况。

5. 点击保存和退出完成。您的资源位置将出现。点击完成返回“设置”界面。

6. 现在可以从站点平铺访问端点管理控制台。您可以在这里执行MDM管理任务，并分配设备策略。有关设备策略的详细信息，请参见设备的政策．

配置Intune管理的应用程序，以交付到设备

配置Intune管理的应用程序交付:

• 将应用程序添加到Citrix云库
• 创建端点管理设备策略来控制数据流
• 为应用程序和策略创建一个交付组

将微软Intune应用程序添加到Citrix云库

对于您要添加的每个应用程序：

1. 从Citrix Cloud控制台，单击菜单图标，然后单击图书馆．

2. 单击右上角的加号图标，然后单击添加移动应用程序．

   您可能需要等待一分钟，等待选项填充列表。

3. 如果您在端点管理控制台中配置了Android Enterprise，请选择微软Intune应用下选择一个应用程序．选择待定制的应用模板或单击上传自己的App．

   Citrix提供现有的应用程序模板，每个模板都附带一组预配置的默认策略。对于客户上载的应用，以下策略适用：

   • MDX文件：包括启用MAM SDK的应用程序或mdx包装的应用程序，如:
     • Intune应用程序保护策略和包中包含的默认MDX策略
     • 公共商店应用程序，如Intune App Protection策略和匹配Bundle ID或包ID的默认MDX策略
   • IPA文件：Intune应用程序保护政策。
   • APK文件:Intune应用程序保护政策。

   注意:

   如果应用程序未使用Intune包装，则Intune应用程序保护策略不适用。

4. 点击上传自己的App并上传您的.mdx或Intune包装文件。

5. 输入应用程序的名称和描述，选择该应用程序是可选的还是必须的，然后单击下一个．

6. 配置应用程序设置。通过以下配置，端点管理和Intune容器可以相互传输数据。

   • 允许应用程序从其他应用程序接收数据:选择政策管理应用程序．
   • 允许应用将数据传输到其他应用：选择所有应用程序．
   • 限制剪切，复制，粘贴与其他应用程序:选择政策管理应用程序．

7. 配置保存数据的存储库。为选择企业数据可以保存到的存储服务中,选择LocalStorage．

8. 可选:设置应用的“数据迁移策略”、“接入策略”和“PIN码策略”。单击下一个．

9. 查看app的总结，然后点击完成．

   应用程序配置过程可能需要几分钟。当流程完成时，一条消息表明应用程序已经发布到库中。

10. 单击，将用户组分配给应用分配用户．

11. 在搜索框中搜索用户组，单击添加用户组。不能添加个人用户。

12. 添加了所有想要的组后，单击X关闭窗口。

    添加用户组时可能会遇到错误。当用户组未被同步到本地Active Directory时发生此错误。

将Android企业应用程序添加到Citrix云库

要将Android企业应用程序添加到Citrix云库并设置Intune应用程序保护策略，请使用以下配置您的云环境：

• 使用您的Azure Active Directory (AAD)帐户联合Citrix云。看到将Azure Active Directory连接到Citrix Cloud．
• 在端点管理中配置LDAP和云连接器。
• 在端点管理中设置Android Enterprise。确保Android Enterprise设备注册MDM + MAM。要设置Android Enterprise，请参阅安卓企业．

按照这个过程将Android企业应用程序同时添加到端点管理控制台和Intune控制台。对于每个你想添加的Android企业应用程序:

1. 从Citrix Cloud控制台，单击菜单图标，然后单击图书馆．

2. 单击右上角的加号图标，然后单击添加移动应用程序．

   您可能需要等待一分钟，等待选项填充列表。

3. 下选择一个应用程序中,选择Android的企业应用程序．

4. 搜索一个应用程序，并批准它在托管谷歌播放商店窗口。谷歌窗口关闭后，单击下一个．

5. 添加应用程序详细信息，然后单击下一个．

6. 如果您搜索并选择了Citrix移动办公应用，则可以配置Micro VPN策略。配置完成后，单击下一个．

7. 配置Intune应用保护策略。点击下一个．

8. 配置应用程序设置。通过以下配置，端点管理和Intune容器可以相互传输数据。

   • 允许应用程序从其他应用程序接收数据:选择政策管理应用程序．
   • 允许应用将数据传输到其他应用：选择所有应用程序．
   • 限制剪切，复制，粘贴与其他应用程序:选择政策管理应用程序．

9. 配置保存数据的存储库。为选择企业数据可以保存到的存储服务中,选择LocalStorage．

10. 可选:设置应用的“数据迁移策略”、“接入策略”和“PIN码策略”。单击下一个．

11. 查看app的总结，然后点击完成．

    应用程序配置过程可能需要几分钟。该过程完成后，将显示一条消息，指示应用程序已发布到库中。该应用程序可在端点管理和Intune控制台中使用。在Endpoint Management控制台中，该应用是新交付组的一部分，并被标识为公共应用商店应用。

12. 单击，将用户组分配给应用分配用户．

13. 在搜索框中搜索用户组，单击添加用户组。不能添加个人用户。

14. 添加了所有想要的组后，单击X关闭窗口。

    添加用户组时可能会遇到错误。当用户组未被同步到本地Active Directory时发生此错误。

控制在托管应用程序之间传输的数据类型

使用端点管理设备策略控制可在端点管理或Intune容器内的托管应用程序之间传输的数据类型。您可以配置“限制”策略，只允许标记为“corporate”的数据。配置一个App Configuration策略来标记数据。

配置“限制”设备策略。

1. 在端点管理控制台中，单击配置>设备策略．

2. 在设备的政策页面,点击添加．这添加新策略出现页面。

3. 点击限制从政策列表中。

4. 在策略信息页面，键入名称和（可选地）策略的描述。点击下一个．

5. 如果需要为iOS应用创建设备策略，选中iOS在里面平台窗格。

6. 下安全——允许,设置非托管应用程序中的托管应用程序中的文档来从．把这个设置从还设置非托管应用程序读取托管联系人和托管应用程序写非托管联系人来从．点击下一个．

7. 点击下一个直到保存按钮出现。点击保存．

为每个应用配置“应用配置”设备策略:

1. 在端点管理控制台中，单击配置>设备策略．

2. 点击添加．这添加新策略出现页面。

3. 点击应用程序配置从政策列表中。

4. 在策略信息页面，键入名称和（可选地）策略的描述。点击下一个．

5. 要为iOS应用程序创建设备策略，请选择iOS在里面平台窗格。

6. 选择要配置的应用的标识符。

7. 对于iOS应用程序，将以下文本添加到字典内容：

   IntuneMAMUPN${user.userprincipalname}<--需要复制-->

8. 点击检查字典．

9. 点击下一个．

10. 点击保存．

为应用程序和设备策略配置传递组

1. 在端点管理控制台中，单击配置>交货组．

2. 在分娩组页面,点击添加．这交付组信息出现页面。

3. 在交付组信息页，键入交付组的名称和(可选)描述。点击下一个．

4. 在作业页，指定您希望如何部署投递组:选择在端点管理或在Citrix云．

5. 如果你选择在端点管理：

   • 选择域:从列表中选择要从中选择用户的域。
   • 包括用户组:执行以下操作之一：
     • 在用户组列表中，单击需要添加的用户组，选中的用户组将显示在选择用户组列表。
     • 点击搜索查看所选域中所有用户组的列表。
     • 在搜索框中键入完整或部分组名，然后单击搜索限制用户组列表。

     删除用户组选择用户组列表，做以下其中之一:

     • 在选择用户组列表中,点击X您要删除的每个组旁边。
     • 点击搜索查看所选域中所有用户组的列表。滚动列表并清除要删除的每个组的复选框。
     • 在搜索框中键入完整或部分组名，然后单击搜索限制用户组列表。滚动列表并清除要删除的每个组的复选框。

6. 点击下一个．

7. 在政策页面中，从左到右拖动您创建的constraints策略和App Configuration策略。点击下一个．

8. 在应用程序页面，将您想要交付的应用程序从页面左侧拖到所需的应用程序或可选的软件．点击下一个．

9. 可选，配置设置在媒体页面,行动第页，和入学页面。或接受每个页面上的默认值，然后单击下一个．

10. 在概括页，查看投递组设置并单击保存创建发送组。

在Intune控制台中发布应用程序时，请选择强制应用程序被管理．在无监督设备上的用户会被提示允许管理应用程序。如果用户接受这个提示，应用程序就在设备上被管理。如果用户拒绝提示，该应用程序将无法在设备上使用。

配置安全邮件

安全邮件现在支持各种配置。您可以将安全邮件封装在连接到内部Exchange服务器的Intune MAM容器中。您可以将安全邮件连接到托管的Exchange或Office 365帐户。但是，这个版本不支持基于证书的身份验证，所以使用LDAP代替。

重要的是:

要在MDX模式下使用安全邮件，必须使用Citrix Endpoint Management MDM+MAM。

安全邮件也会自动填充用户名。要启用该特性，必须先配置以下自定义策略。

1. 从端点管理控制台转到设置>服务器属性然后点击添加．

2. 在列表中，单击自定义键然后在关键字段,类型xms.store.idpuser_attrs．

3. 将值设置为真正的然后在显示名称， 类型xms.store.idpuser_attrs．点击保存．

4. 点击客户属性然后点击添加．

5. 选择自定义键然后输入SEND_LDAP_ATTRIBUTES在里面关键字段。

6. 类型userPrincipalName=${user.userPrincipalName}，email=${user.mail}，displayname=${user.displayname}，sAMAccountName=${user.sAMAccountName}，aadupn=${user.id_token.upn}，aadtid=${user.id_token.tid}在里面价值字段，输入描述，然后单击保存．

   以下步骤仅适用于iOS设备。

7. 去配置>设备策略，单击“添加”，然后选择应用程序配置政策。

8. 输入策略名称，然后单击下一个．

   在“标识符”列表中，单击新增．在出现的文本框中，输入您的安全邮件应用程序的bundle ID。

9. 在字典内容框，键入以下文本。

     xenmobileUserAttributes    userprincipalname   $ {user.userprincipalname}  电子邮件  $ {用户。mail}   displayname   $ {user.displayname}   samaccountname   $ {user.samaccountname}   aadupn   $ {user.id_token.upn}   aadtid   $ {user.id_token.tid}    intunemamupn   $ {user.id_token.upn}  

10. 清除Windows Phone和Windows桌面/平板电脑复选框，然后单击下一个．

11. 选择需要部署策略的用户组，单击保存．

故障排除

一般问题

问题:打开应用程序时，将显示以下错误消息：需要应用程序策略。

解决方法:在Microsoft Graph API中添加策略。

问题:你有政策冲突。

解决方法:每个应用程序只允许一个单一的政策。

问题:您的应用程序无法连接到内部资源。

解决方法:确保打开正确的防火墙端口，使用正确的租户ID，等等。

Citrix网关问题

下表列出了Citrix网关配置的常见问题及其解决方案。要进行故障排除，请启用更多日志并通过执行以下操作进行检查：

1. 在命令行界面中执行如下命令:设置审核syslogParams-logLevel ALL
2. 使用shell使用的日志tail - f /var/log/ns.log

问题	解决方案
在Azure上为Gateway应用程序配置所需的权限不可用。	检查是否有适当的Intune许可证。尝试使用manage.windowsazure.com门户网站查看是否可以添加权限。如果问题仍然存在，请联系Microsoft支持。
Citrix Gateway无法连接login.microsoftonline.com和graph.windows.net．	从NS Shell，检查你是否能够到达以下微软网站:-v -k https://login.microsoftonline.com．然后检查Citrix网关上是否配置了DNS，防火墙配置是否正确(以防DNS请求被防火墙屏蔽)。
配置OAuthAction后，在ns.log中出现错误。	检查Intune许可是否启用，Azure Gateway应用程序是否设置了适当的权限。
Sh OAuthAction命令没有显示OAuth状态为complete。	检查Azure Gateway App上的DNS设置和配置的权限。
Android或iOS设备没有显示双认证提示。	检查双因素设备ID logonSchema是否绑定到认证虚拟服务器。

OAuth错误条件和状态

状态	错误条件
完全的	成功
AADFORGRAPH	秘密无效，URL未解析，连接超时
MDMINFO	*manage.microsoft.com关闭或无法访问
图	图端点无法访问
CERTFETCH	无法与“令牌端点:https://login.microsoftonline.com因为DNS错误。要验证此配置，请转到shell并输入curl https://login.microsoftonline.com．此命令必须验证。

限制

以下项目描述了使用Citrix端点管理使用MEM的一些限制。

• 当您使用Citrix和Intune应用程序来支持微VPN时:当用户提供他们的用户名和密码来访问摘要站点时，即使他们的凭证是有效的，也会出现一个错误。(cxm - 25227)
• 后改变将隧道从在来从并等待当前网关会话到期：外部流量直接通过，而不通过Citrix网关，直到用户以完全VPN模式启动内部站点。[CXM-34922]
• 更改了Open-in策略后管理应用程序仅仅是为了所有应用程序，除非用户关闭并重新启动Secure Mail，否则无法打开未托管应用程序中的文档。(cxm - 34990)
• 当分裂隧道是在在Full VPN模式下，分裂DNS由本地变为远端，内部站点加载失败。(cxm - 35168)

已知的问题

当MVPN策略启用http/https重定向(单点登录)禁用时，“安全邮件”功能将失效。(cxm - 58886)

第三方已知问题

在Android的安全邮件中，当用户点击创建新事件，则不显示新事件创建页面。[CXM-23917]

当您使用Citrix部署iOS的Citrix安全邮件并打击以支持Micro VPN：当用户将应用程序移动到后台时，无法强制执行“应用程序”策略，该策略不会强制执行。[CXM-25032]