Citrix端点管理与微软端点管理器集成

与Microsoft Endpoint Manager（MEM）的端点管理集成将Endpoint Management Micro VPN的值添加到Microsoft Intune Invelap应用程序，例如Microsoft Edge浏览器。

为了激活整合，联系Citrix云运营团队。

此版本支持以下用例:

• Intune MAM与端点管理MDM + MAM。

  本文重点介绍Intune MAM + Endpoint Management MDM+MAM用例。添加Citrix作为MDM提供商之后，配置Intune托管应用程序，以便将其发送到设备。

  重要：

  在这个用例中，Secure Mail不支持与Intune集成。安全邮件仅适用于MDX模式注册的设备。

• Intune MAM和Endpoint Management MDM。
• Intune老妈。
• Intune MAM和Intune MDM。Secure Mail for iOS支持此用例的单点登录。

易于遵循的图形指南，可以使用MEM设置端点管理集成，参见入门指南．

有关与Azure AD条件访问集成的信息，请参见与Azure AD条件访问集成．

下图概述了Citrix Endpoint Management与Microsoft Endpoint Manager的集成。

系统需求

MDX-enable

• MAM SDK.

  或

• MDX工具包

微软

• Azure Active Directory（AD）访问（具有租户管理员权限）
• Intune-enabled租户

防火墙规则

• 启用防火墙规则，允许来自Citrix网关子网IP的DNS和SSL流量到* .manage.microsoft.com，https://login.microsoftonline.com.,https://graph.windows.net(端口53和443)

先决条件

• 托管浏览器：移动应用SDK集成在Intune管理浏览器应用程序的iOS和Android。有关托管浏览器的详细信息，请参阅Microsoft托管浏览器页面．

• Citrix云账户:要注册Citrix账户并申请Citrix端点管理试验，请联系您的Citrix销售代表。等你准备好了，就去https://onboarding.cloud.com．有关请求Citrix Cloud帐户的更多信息，请参阅注册Citrix Cloud．

  注:

  您提供的电子邮件必须是一个与Azure AD无关的地址。你可以使用任何免费的电子邮件服务。

• iOS的APNs证书:请确保已为iOS配置APNs证书。要了解关于设置这些证书的更多信息，请参阅Citrix的这篇博文:新建并导入APNs证书．
• Azure AD Sync：在Azure AD和本地Active Directory之间建立同步。请勿在域控机器上安装AD同步工具。有关设置此同步的更多信息，请参阅Microsoft文档Azure活动目录．

Citrix网关配置

如果您正在设置新的端点管理部署，请安装以下其中一个Citrix Gateway设备:

• NetScaler网关VPX 3000系列或以上版本
• NetScaler网关MPX或专用SDX实例

使用Citrix网关与MEM的端点管理集成:

• 使用管理界面和子网IP配置Citrix Gateway。
• 将TLS 1.2用于所有客户端到服务器通信。有关为Citrix Gateway配置TLS 1.2的信息，请参阅CTX247095．

如果您正在使用端点管理与MEM集成以及端点管理MDM+MAM部署，请配置两个Citrix网关。MDX应用程序流量通过一个Citrix网关路由。Intune应用流量通过另一个Citrix网关路由。配置:

• 两个公共ip。
• 可选地，一个网络地址转换为IP。
• 两个DNS名称。例子：https://mam.company.com．
• 两个公共SSL证书。配置与保留的公共DNS名称匹配的证书或使用通配符证书。
• 具有内部不可路由RFC 1918 IP地址的MAM负载均衡器。
• LDAP Active Directory服务帐户。

同意授权提示符

对于需要用户认证的托管应用，应用请求由Microsoft Graph公开的应用权限。通过同意这些权限提示，应用程序可以访问所需的资源和api。有些应用程序需要微软Azure AD的全局管理员的同意。对于这些委托的权限，全局管理员必须授予Citrix Cloud请求令牌的权限。然后令牌启用以下权限。有关详细信息，请参见Microsoft Graph权限参考．

• 登录并阅读用户配置文件:此权限允许用户登录并连接到Azure AD。Citrix无法查看用户凭据。
• 阅读所有用户的基本资料:应用程序代表组织中的用户读取配置文件属性。属性包括组织中用户的显示名、姓和名、电子邮件地址和照片。
• 阅读所有组:此权限允许枚举Azure AD组以进行应用程序和策略分配。
• 以登录用户访问目录:此权限验证Intune订阅并启用Citrix网关和VPN配置。

• 读写Microsoft Intune应用程序：该应用程序可以读写以下内容:

  • Microsoft-managed属性
  • 分组作业和应用程序的状态
  • 应用程序配置
  • 应用保护政策

此外，在Citrix Gateway配置期间，Azure AD全局管理员必须：

此外，在Citrix Gateway配置期间，Azure AD全局管理员必须批准为Micro VPN选择的Active Directory。全局管理员还必须生成Citrix Gateway用于与Azure AD和Intune通信的客户端秘密。

全局管理员不能具有Citrix管理员的角色。相反，Citrix管理员将Azure AD帐户分配给具有适当Intune应用程序管理员权限的用户。然后，Intune管理员充当Citrix云管理员的角色，从Citrix云中管理Intune。

注:

Citrix只在设置过程中使用Intune全局管理员密码，并将身份验证重定向到Microsoft。Citrix无法访问密码。

配置与MEM的端点管理集成

有关集成的视频摘要，请观看：

1. 登录Citrix Cloud网站，请求试用端点管理。

2. 一名销售工程师与你安排了一次新员工会议。让他们知道您想要与MEM集成端点管理。当您的请求被批准后，单击管理．

3. 从这里你可以点击右上角的齿轮在你的网站或你可以点击配置网站．

4. 按照第一步到达的链接身份与访问管理页面。

5. 点击连接连接Azure AD安装。

6. 输入Azure AD管理员用于登录的唯一登录URL，然后单击确认．

7. 添加一个Azure AD全局管理员帐户，然后接受权限请求。

8. 确认Azure AD实例连接成功。为表示连接成功，不相连文字改为说启用．

9. 单击管理员选项卡，然后将Azure AD Intune管理员添加为Citrix Cloud管理员。从下拉菜单中选择Azure AD或Citrix Identity，然后搜索要添加的用户名，单击邀请然后授予用户完全访问或自定义访问在点击之前发送邀请．

   注:

   端点管理需要以下规则自定义访问:库和Citrix端点管理。

   因此，Azure AD Intune管理员会收到一封电子邮件，邀请其创建密码并登录到Citrix Cloud。在管理员登录之前，请确保您已注销所有其他帐户。

   Azure AD Intune管理员必须遵循这个过程中的其余步骤。

10. 在使用新帐户登录后端点管理,点击管理．如果配置正确，页面会显示Azure AD管理员已经登录，您的Intune订阅是有效的。

配置micro VPN的Citrix Gateway

要使用Intune的微VPN，您必须配置Citrix网关来验证Azure AD。现有的Citrix Gateway虚拟服务器不适用于此用例。

首先，配置Azure AD以与本地的Active Directory同步。此步骤是确保Intune和Citrix Gateway之间正确进行身份验证所必需的。

1. 从Citrix Cloud控制台，在端点管理,点击管理．

2. 旁边微vpn.,点击微VPN配置．

3. 输入micro VPN服务的名称和Citrix网关的外部URL，然后单击下一个．

   这个脚本配置Citrix网关以支持Azure AD和Intune应用程序。

4. 点击下载脚本．zip文件包括一个自述文件和实现该脚本的说明。即使您可以从这里保存和退出，microvpn没有设置，直到您在您的Citrix网关安装上运行脚本。

   注:

   当您完成Citrix Gateway配置过程时，如果您看到除了COMPLETE之外的OAuth Status，请参阅故障排除部分。

配置设备管理

如果你想在管理应用程序的同时管理设备，请选择设备管理方法。可以使用Endpoint Management MDM+MAM或Intune MDM。

注:

控制台默认为Intune MDM。要使用Intune作为MDM提供程序，请参阅Microsoft Intune文件．

1. 从Citrix Cloud控制台，在“与MEM集成的端点管理”下，单击管理．旁边设备管理—可选,点击配置MDM．

2. 输入唯一的站点名称，选择离您最近的Cloud区域，然后单击请求一个网站．当您的站点准备就绪时，一个提示会让您知道您收到了一封电子邮件。

3. 点击好啊关闭提示符。选择要与您的站点关联的Active Directory位置或创建资源位置，然后单击下一个．

4. 点击下载云连接器并按照屏幕上的说明安装云连接器。安装后,点击测试连接检查Citrix Cloud和Cloud Connector的连接情况。

5. 点击保存和退出完成。您的资源位置将出现。点击完成返回“设置”界面。

6. 现在，您可以从站点磁贴访问端点管理控制台。从这里，您可以执行MDM管理任务并分配设备策略。有关设备策略的更多信息，请参阅设备的政策．

配置Intune管理的应用程序，以交付到设备

配置Intune管理的应用程序交付:

• 将应用程序添加到Citrix Cloud库
• 创建端点管理设备策略来控制数据流
• 为应用程序和策略创建交付组

将微软Intune应用程序添加到Citrix云库

对于你想添加的每个应用程序:

1. 从Citrix Cloud控制台，单击菜单图标，然后单击图书馆．

2. 单击右上角的加号图标，然后单击添加移动应用程序．

   您可能需要等待一分钟，以让选项填充列表。

3. 如果您已经在端点管理控制台配置了Android Enterprise，请选择微软Intune应用下选择一个应用程序．选择要自定义或单击的应用程序模板上传自己的应用程序．

   Citrix提供现有的应用程序模板，每个模板都带有一组预先配置的默认策略。对于客户上传的应用，应用策略如下:

   • MDX文件:包括启用MAM SDK的应用程序或mdx包装的应用程序，如:
     • Intune应用程序保护策略和包中包含的默认MDX策略
     • 公共商店应用程序，如Intune应用程序保护策略和匹配bundle ID或包ID的默认MDX策略
   • 这个文件:Intune应用程序保护政策。
   • APK文件：Intune应用程序保护政策。

   注:

   如果应用程序没有包装Intune, Intune应用程序保护策略不适用。

4. 点击上传自己的应用程序并上传你的。mdx或Intune包装文件。

5. 输入应用程序的名称和描述，选择该应用程序是可选的还是必须的，然后单击下一个．

6. 配置应用程序设置。通过以下配置，端点管理和Intune容器可以相互传输数据。

   • 允许应用程序从其他应用程序接收数据:选择政策管理应用程序．
   • 允许应用程序传输数据到其他应用程序:选择所有应用程序．
   • 限制剪切，复制，粘贴与其他应用程序:选择政策管理应用程序．

7. 配置保存数据的存储库。为选择可以保存到哪些存储服务公司数据选择LocalStorage．

8. 可选:设置应用的“数据迁移策略”、“接入策略”和“PIN码策略”。单击下一个．

9. 查看app的总结，然后点击完成．

   应用程序配置过程可能需要几分钟。当流程完成时，一条消息表明应用程序已经发布到库中。

10. 单击，将用户组分配给应用分配用户．

11. 在搜索框中搜索用户组，单击添加用户组。不能添加个人用户。

12. 添加了所有想要的组后，单击X关闭窗口。

    添加用户组时可能会遇到错误。当用户组未被同步到本地Active Directory时发生此错误。

将Android企业应用程序添加到Citrix云库

为了将Android企业应用程序添加到Citrix云库，并设置Intune应用程序保护策略，配置您的云环境如下:

• 将Citrix云与您的Azure Active Directory（AAD）帐户联合。请参阅连接Azure Active Directory到Citrix Cloud．
• 在端点管理中配置LDAP和云连接器。
• 在终端管理中设置Android企业。确保Android企业设备注册MDM+MAM。要设置Android企业版，请参见Android的企业．

按照这个过程将Android企业应用程序同时添加到端点管理控制台和Intune控制台。对于每个你想添加的Android企业应用程序:

1. 从Citrix Cloud控制台，单击菜单图标，然后单击图书馆．

2. 单击右上角的加号图标，然后单击添加移动应用程序．

   您可能需要等待一分钟，以让选项填充列表。

3. 在下面选择一个应用程序选择Android的企业应用程序．

4. 搜索一个应用程序，并批准它在托管谷歌播放商店窗口。谷歌窗口关闭后，单击下一个．

5. 添加应用程序详细信息，然后单击下一个．

6. 如果您搜索并选择了Citrix移动办公应用，则可以配置Micro VPN策略。配置完成后，单击下一个．

7. 配置Intune应用保护策略。点击下一个．

8. 配置应用程序设置。通过以下配置，端点管理和Intune容器可以相互传输数据。

   • 允许应用程序从其他应用程序接收数据:选择政策管理应用程序．
   • 允许应用程序传输数据到其他应用程序:选择所有应用程序．
   • 限制剪切，复制，粘贴与其他应用程序:选择政策管理应用程序．

9. 配置保存数据的存储库。为选择可以保存到哪些存储服务公司数据选择LocalStorage．

10. 可选:设置应用的“数据迁移策略”、“接入策略”和“PIN码策略”。单击下一个．

11. 查看app的总结，然后点击完成．

    应用程序配置过程可能需要几分钟。当流程完成时，一条消息表明应用程序已经发布到库中。该应用程序可在终端管理和Intune控制台。在Endpoint Management控制台上，应用程序是一个新的交付组的一部分，并被标识为公共应用程序商店应用程序。

12. 单击，将用户组分配给应用分配用户．

13. 在搜索框中搜索用户组，单击添加用户组。不能添加个人用户。

14. 添加了所有想要的组后，单击X关闭窗口。

    添加用户组时可能会遇到错误。当用户组未被同步到本地Active Directory时发生此错误。

控制托管应用之间传输的数据类型

控制数据类型可以使用端点管理设备策略在端点管理或Intune容器之间传输托管应用程序。您可以配置限制策略以仅允许标记为“公司”的数据。配置应用程序配置策略以标记数据。

要配置限制设备策略，请执行以下操作：

1. 在端点管理控制台中，单击配置>设备策略．

2. 上设备的政策页面,点击添加．的添加新策略页面出现。

3. 点击限制从政策列表中。

4. 上策略信息页，键入策略的名称和(可选)描述。点击下一个．

5. 如果需要为iOS应用创建设备策略，选中iOS在平台窗格。

6. 在下面安全 - 允许,设置来自非托管应用程序的托管应用程序的文档来离开. 打开此设置离开还设置非托管应用程序读取托管联系人和托管应用程序写入非托管联系人来离开．点击下一个．

7. 点击下一个直到保存显示按钮。点击保存．

为每个应用程序配置应用程序配置设备策略：

1. 在端点管理控制台中，单击配置>设备策略．

2. 点击添加．的添加新策略页面出现。

3. 点击应用程序配置从政策列表中。

4. 上策略信息页，键入策略的名称和(可选)描述。点击下一个．

5. 如果需要为iOS应用创建设备策略，选中iOS在平台窗格。

6. 选择要配置的应用程序的标识符。

7. 对于iOS应用程序，添加以下文本字典的内容：

   < dict > <键> IntuneMAMUPN < /关键> <字符串> ${用户。userprincipalname} < /字符串> < / dict > < !——NeedCopy >

8. 点击查字典．

9. 点击下一个．

10. 点击保存．

配置应用下发组和设备策略下发组

1. 在端点管理控制台中，单击配置>下发组．

2. 上交付组页面,点击添加．的交付组信息页面出现。

3. 上交付组信息页，键入交付组的名称和(可选)描述。点击下一个．

4. 上作业页面，指定如何部署交付组：选择在端点管理中或在Citrix云．

5. 如果你选择在端点管理中：

   • 选择域：从列表中选择要从中选择用户的域。
   • 包括用户组：做以下其中之一:
     • 在用户组列表中，单击需要添加的用户组，选中的用户组将显示在选定的用户组列表。
     • 点击搜索查看所选域中所有用户组的列表。
     • 在“搜索”框中键入完整或部分组名称，然后单击搜索限制用户组列表。

     删除用户组选定的用户组在列表中，请执行以下操作之一：

     • 在选定的用户组列表中,点击X在每个要删除的组旁边。
     • 点击搜索查看所选域中所有用户组的列表。滚动列表并清除要删除的每个组的复选框。
     • 在“搜索”框中键入完整或部分组名称，然后单击搜索限制用户组列表。滚动列表并清除要删除的每个组的复选框。

6. 点击下一个．

7. 在政策页面中，从左到右拖动您创建的constraints策略和App Configuration策略。点击下一个．

8. 在应用程序页面，将您想要交付的应用程序从页面左侧拖到必需的应用程序或可选的软件．点击下一个．

9. 可选，配置设置媒体页，行动页面,入学页面。或者接受每个页面上的默认值并单击下一个．

10. 上总结页，查看投递组设置并单击保存创建传递组。

当在Intune控制台中发布应用程序时，选择强制管理应用程序. 系统会提示非监督设备上的用户允许管理应用程序。如果用户接受提示，则应用程序将在设备上进行管理。如果用户拒绝提示，则该应用程序在设备上不可用。

配置安全邮件

安全邮件现在支持各种配置。您可以将安全邮件封装在连接到内部Exchange服务器的Intune MAM容器中。您可以将安全邮件连接到托管的Exchange或Office 365帐户。但是，这个版本不支持基于证书的身份验证，所以使用LDAP代替。

重要：

要在MDX模式下使用安全邮件，必须使用Citrix Endpoint Management MDM+MAM。

安全邮件还会自动填充用户名。要启用此功能，您必须先配置以下自定义策略。

1. 从端点管理控制台转到设置>服务器属性然后点击添加．

2. 在列表中，单击自定义钥匙然后在钥匙字段，类型xms.store.idpuser_attrs．

3. 设置值真正的然后在显示名称、类型xms.store.idpuser_attrs．点击保存．

4. 点击客户属性然后点击添加．

5. 选择自定义钥匙然后类型发送LDAP属性在钥匙领域

6. 类型userPrincipalName = $ {user.userprincipalname},电子邮件= $ {user.mail}, displayname = $ {user.displayname}, sAMAccountName = $ {user.samaccountname}, aadupn = $ {user.id_token.upn}, aadtid = $ {user.id_token.tid}在价值字段中，输入说明，然后单击保存．

   以下步骤仅适用于iOS设备。

7. 去配置>设备策略，单击Add，然后选择应用程序配置政策。

8. 输入策略名称，然后单击下一个．

   在“标识符”列表中，单击添加新．在出现的文本框中，输入您的安全邮件应用程序的bundle ID。

9. 在字典内容框，键入以下文本。

    XenMobileUserAttributes  userPrincipalName ${user. name  ${user. name  }userprincipalname} <字符串> / <键>邮件< /关键> <字符串> ${用户。邮件}<字符串> / <键> displayname关键< / > <字符串> ${用户。displayname} <字符串> / <键> sAMAccountName < /关键> <字符串> ${用户。关键samaccountname}字符串< / > < > aadupn < /关键> <字符串> $ {user.id_token。upn} <字符串> / <键> aadtid < /关键> <字符串> $ {user.id_token。tid}  IntuneMAMUPN ${user.id_token. tid}upn} < /字符串> < / dict >

10. 清除Windows Phone和Windows桌面/平板电脑选中复选框，然后单击下一个．

11. 选择需要部署策略的用户组，单击保存．

故障排除

一般问题

问题:打开应用时，出现如下错误提示:app Policy Required。

决议：在Microsoft Graph API中添加策略。

问题:你有政策冲突。

决议：每个应用程序只允许一个单一的政策。

问题:您的应用程序无法连接到内部资源。

决议：确保打开正确的防火墙端口，使用正确的租户ID，等等。

Citrix网关问题

下表列出了Citrix Gateway配置的常见问题及其解决方案。如果需要进行故障处理，请启用更多日志，并进行如下检查:

1. 在命令行界面中执行如下命令:set audit syslogParams -logLevel ALL
2. 检查来自shell使用的日志tail - f /var/log/ns.log

问题	解决方案
在Azure上配置网关应用所需的权限不可用。	检查是否有适当的Intune许可可用。尝试使用manage.windowsazure.com门户，看看是否可以添加权限。如果问题仍然存在，请联系微软支持。
Citrix Gateway无法达到login.microsoftonline.com和graph.windows.net．	从NS shell，检查您是否能够到达以下Microsoft网站：旋度-v-khttps://login.microsoftonline.com．然后检查Citrix网关上是否配置了DNS，防火墙配置是否正确(以防DNS请求被防火墙屏蔽)。
配置OAuthAction后，ns.log中会出现错误。	检查是否启用了Intune许可，Azure网关应用程序是否设置了正确的权限。
Sh OAuthAction命令不将OAuth状态显示为完成。	检查Azure网关应用程序上的DNS设置和配置权限。
Android或iOS设备不显示双重身份验证提示。	检查双因素设备ID logonSchema是否绑定到身份验证虚拟服务器。

OAuth错误条件和状态

状态	错误条件
完整的	成功
AADFORGRAPH	无效机密，URL未解析，连接超时
MDMINFO	*manage.microsoft.com已关闭或无法访问
图形	图端点无法访问
CERTFETCH	无法与“令牌终结点”对话：https://login.microsoftonline.com.由于DNS错误。若要验证此配置，请转到shell并键入curl https://login.microsoftonline.com．此命令必须验证。

限制

以下条目描述了在Citrix端点管理中使用MEM的一些限制。

• 当您将应用程序与Citrix部署并启动以支持Micro VPN时：当用户提供用户名和密码访问摘要站点时，即使其凭据有效，则出现错误。[CXM-25227]
• 改变后分裂隧道从在…上来离开等待当前网关会话过期:外部流量直接通过Citrix网关，直到用户在Full VPN模式下启动内部站点。(cxm - 34922)
• 在改变开放政策之后托管应用程序仅仅是为了所有应用程序，用户无法在未托管应用中打开文档，直到他们关闭并重新启动安全邮件。[CXM-34990]
• 当分裂隧道是在…上在完整的VPN模式下，拆分DNS从本地到远程发生更改，内部站点无法加载。[CXM-35168]

已知问题

当mVPN策略启用http/https重定向(单点登录)禁用时，“安全邮件”功能将失效。(cxm - 58886)

第三方已知问题

在Android的安全邮件上，用户抽头创建新事件，则不会显示新的事件创建页面。(cxm - 23917)

当您部署Citrix Secure Mail for iOS, Citrix和Intune支持micro VPN时:不强制执行当用户将应用移动到后台时将安全邮件屏幕隐藏的应用策略。(cxm - 25032)