设置Citrix网关使用microvpn与微软终端管理器
Citrix micro VPN与Microsoft Endpoint Management的集成使您的应用程序可以访问本地资源。详情见,Citrix微型VPN与微软端点管理器集成。
系统需求
- Citrix网关版本
- 13.0
- 12.1.50。x或晚
- 12.0.59。x或晚
您可以从Citrix Gateway下载页面下载最新版本的Citrix Gateway。
运行Windows 7或更高版本的Windows桌面(仅适用于Android应用包装)
- 微软
- Azure AD访问(具有租户管理员权限)
- Intune-enabled租户
- 防火墙规则
- 启用防火墙规则对Citrix网关子网IP的SSL流量
* .manage.microsoft.com,https://login.microsoftonline.com,https://graph.windows.net(端口443) - Citrix Gateway必须能够从外部解析上述url。
- 启用防火墙规则对Citrix网关子网IP的SSL流量
先决条件
Intune环境:如果你没有Intune环境,那就设置一个。有关说明,请参阅微软文档。
边缘浏览器应用程序:Micro VPN SDK集成在Microsoft Edge应用程序和Intune Managed Browser应用程序中,适用于iOS和Android。有关托管浏览器的详细信息,请参阅Microsoft浏览器页面管理。
授予Azure Active Directory (AAD)应用程序权限
同意Citrix多租户AAD应用程序,以允许Citrix网关使用AAD域进行身份验证。Azure全局管理员必须访问以下URL并获得同意:
同意Citrix多租户AAD应用程序,允许移动应用程序通过Citrix网关微VPN进行身份验证。只有当Azure Global Admin将用户注册应用程序的默认值从Yes更改为No时,才需要此链接。这个设置可以在Azure门户中找到Azure Active Directory >用户>用户设置。Azure全局管理员必须访问以下URL并获得同意(添加您的租户ID)https://login.microsoftonline.com/ [tenant_id] / adminconsent ? client_id = 9215 b80e - 186 b - 43 - a1 - 8 - aed a5af7——9902264。
配置micro VPN的“Citrix Gateway”
要使用Intune的微VPN,您必须配置Citrix网关来验证Azure AD。现有的Citrix Gateway虚拟服务器不适用于此用例。首先,配置Azure AD以与本地的Active Directory同步。此步骤是确保Intune和Citrix Gateway之间正确进行身份验证所必需的。
下载脚本:zip文件包括一个自述文件和实现该脚本的说明。您需要手动输入脚本所需的信息,并在Citrix Gateway上运行脚本进行配置。您可以从Citrix下载页面。
重要的是:完成Citrix Gateway配置后,如果看到OAuth Status不是COMPLETE,请参见故障处理部分。
配置Microsoft Edge浏览器
- 登录到https://endpoint.microsoft.com/然后导航到移动应用。
- 像往常一样发布Edge应用程序,然后添加应用程序配置策略。
- 下管理,点击应用程序配置策略。
- 点击添加然后输入要创建的策略的名称。在设备注册类型中,选择管理应用程序。
- 点击相关的应用程序。
- 选择要应用该策略的应用程序(Microsoft Edge或Intune托管浏览器),然后单击好吧。
- 点击配置设置。
- 在的名字字段,输入下表中列出的其中一个策略的名称。
- 在价值字段,输入要应用该策略的值。单击该字段以将策略添加到列表中。可以添加多条策略。
- 点击好吧然后点击添加。
该策略被添加到您的策略列表中。
| 名称(iOS和Android) | 价值 | 描述 |
|---|---|---|
| MvpnGatewayAddress | https://external.companyname.com |
您的Citrix网关的外部URL |
| mvpnnetworkaccess. | MvpnNetworkAccessTunneledWebSSOor无限制的 | MvpnNetworkAccessTunneledWebSSO是隧道的默认值 |
| MvpnExcludeDomains | 要排除的域名用逗号分隔的列表 | 可选的。默认=空白 |
注意:Web SSO是设置中安全浏览的名称。行为是一样的。
mvpnnetworkaccess.- MVPNNETWORKACCESTunneledWebsoSO通过Citrix Gateway启用HTTP / HTTPS重定向,也称为隧道Web SSO。网关在内联响应HTTP身份验证挑战,提供单点登录(SSO)体验。要使用Web SSO,请将此策略设置为MvpnNetworkAccessTunneledWebSSO。目前不支持全隧道重定向。使用不受限制的关闭微VPN隧道。
MvpnExcludeDomains—不允许通过Citrix Gateway反向web代理进行路由的主机或域名列表,以逗号分隔。即使Citrix网关配置的分割DNS设置可能会选择域或主机,主机或域名也被排除在外。
注意:本保单仅适用于MvpnNetworkAccessTunneledWebSSO连接。如果
mvpnnetworkaccess.是不受限制的,此政策忽略了。
故障排除
一般问题
| 问题 | 决议 |
|---|---|
| 当你打开一个应用程序时,会出现“Add Policy Required”消息 | 在Microsoft Graph API中添加策略 |
| 有政策冲突 | 每个应用程序只允许一个单一的政策 |
| 包装应用时会出现" Failed to package app "消息。完整消息见下表 | 该应用程序与Intune SDK集成。您无需将应用程序与Intune一起包装 |
| 您的应用程序无法连接到内部资源 | 确保打开了正确的防火墙端口、正确的租户ID,等等 |
打包应用程序失败错误信息:
Failed to package app.com .microsoft.intune.mam. appppackager . utis.appppackagerexception: This app already has the MAM SDK integrated。应用程序不能被包装。应用程序不能被包装。
Citrix网关问题
| 问题 | 决议 |
|---|---|
| 在Azure上配置网关应用所需的权限不可用。 | 检查是否有适当的Intune许可可用。试着使用manage.windowsazure.com门户,以查看是否可以添加权限。如果问题仍然存在,请联系微软支持。 |
Citrix Gateway无法连接login.microsoftonline.comandgraph.windows.net。 |
从NS Shell,检查你是否能够到达以下微软网站https://login.microsoftonline.com。检查“Citrix Gateway”上是否配置了DNS。还要检查防火墙设置是否正确(以防DNS请求被防火墙屏蔽)。 |
| 配置OAuthAction后,在ns.log中出现错误。 | 检查Intune许可是否启用,Azure Gateway应用程序是否设置了适当的权限。 |
| Sh OAuthAction命令没有显示OAuth状态为complete。 | 检查Azure Gateway App上的DNS设置和配置的权限。 |
| Android或iOS设备没有显示双认证提示。 | 检查双因素设备ID logonSchema是否绑定到认证虚拟服务器。 |
Citrix网关OAuth状态和错误条件
| 状态 | 错误条件 |
|---|---|
| AADFORGRAPH | 秘密无效,URL未解析,连接超时 |
| MDMINFO | * manage.microsoft.com是停机还是无法到达 |
| 图 | 图端点无法访问 |
| CERTFETCH | 无法与“令牌端点:https://login.microsoftonline.com因为DNS错误。要验证此配置,请转到shell并输入cURLhttps://login.microsoftonline.com。此命令必须验证。 |
注意:当OAuth状态成功时,状态显示为COMPLETE。