在Azure门户上配置Citrix Gateway应用程序
以下部分列出了在Azure门户上配置Citrix Gateway应用程序的步骤。
先决条件
- Azure全局管理凭据
- 已启用Intune授权
- 对于Intune Integration,您必须在Azure门户上创建Citrix Gateway应用程序。
- 创建Citrix Gateway应用程序后,使用以下应用程序特定信息在Citrix Gateway上配置OAuth策略:
- 客户端ID /应用ID
- 客户端密钥/应用程序密钥
- Azure租户ID
- Citrix Gateway使用应用客户端id和客户端秘密与Azure通信,并检查NAC合规性。
在Azure上创建Citrix网关应用程序
- 登录portal.azure.com
- 点击Azure Active Directory.
点击应用程序注册并点击新的注册.
在注册应用程序界面,输入应用名称,单击注册.
导航到身份验证,点击添加URI,在“Citrix Gateway”中输入“FDQN”,单击保存.
导航到概述页面获取“客户端ID”、“租户ID”和“对象ID”。
导航到API的权限并点击添加权限.
注意:
的所有Azure AD应用程序
https://login.microsoftonline.com,https://graph.microsoft.com,或https://graph.windows.com服务端点需要为网关分配API权限,以便能够调用NAC API。可用的API权限有:- Application.Read.All
- Application.ReadWrite.All
- 应用程序。保存的
- Directory.Read.All
首选权限为Application.Read.All.
单击微软图为microsoftgraph配置API权限。
单击委托权限瓷砖。
选择以下权限并单击添加权限.
- 电子邮件
openid- 配置文件
- Directory.AccessAsUser.All
- 用户。读
- User.Read.All
- User.ReadBasic.All
Intune NAC检查权限:
的所有Azure AD应用程序
https://login.microsoftonline.com,https://graph.microsoft.com,或https://graph.windows.com服务端点需要为网关分配API权限,以便能够调用NAC API。可用的API权限有:- Application.Read.All
- Application.ReadWrite.All
- 应用程序。保存的
- Directory.Read.All
首选权限为Application.Read.All.
注意:
如果客户仅使用Intune Action进行NAC检查,则所需的唯一权限为Application.Read.All在Microsoft Graph中。
单击Intune为Intune配置API权限。
单击应用程序权限瓦和委托权限为Get_device_compliance和Get_data_warehouse分别添加权限。
- 选择以下权限,然后单击添加权限.
- Get_device_compliance -应用程序权限
- Get_data_warehouse—委派的权限
注意:
对于Intune NAC检查,唯一需要的权限是Get_device_compliance.
下面的页面列出了配置的API权限。
导航到证书与秘密并点击新客户端秘密.
下添加客户端秘密页,输入描述,选择过期,单击添加.
下面的屏幕显示配置的客户端密钥。
请注意
客户端密钥在生成时只显示一次。将显示的客户端秘密复制到本地。在为Intune配置Citrix Gateway设备上的OAuth操作时,使用与新注册的应用相关联的客户端ID和相同的客户端密钥。
Azure门户上的应用程序配置现在已经完成。