在Intune Android Enterprise环境中设置Citrix SSO应用程序

本主题捕获了通过Microsoft Intune部署和配置Citrix SSO应用程序的详细信息。本文档假设Intune已经为Android企业支持配置，并且设备注册已经完成。

先决条件

• Intune是为Android企业支持而配置的
• 设备注册已完成

在Intune Android Enterprise环境中设置Citrix SSO应用程序

• 将Citrix SSO应用添加为托管应用
• 配置Citrix单点登录应用的管理应用策略

将Citrix SSO应用添加为托管应用

1. 登录到Azure门户。

2. 点击Intune在左侧导航栏。

3. 点击客户端应用程序然后单击“客户端应用程序”刀片中的“应用程序”。

4. 点击+添加链接在右上角的菜单选项中。出现“添加应用程序配置刀片”。

5. 选择管理谷歌玩用于应用程序类型。

   这增加了管理谷歌播放搜索和批准刀片，如果你配置了Android企业。

6. 搜索“Citrix SSO”应用，从应用列表中选择。

   注意:如果Citrix SSO没有出现在列表中，这意味着该应用程序在您的国家不可用。

7. 点击批准批准通过Managed谷歌Play store部署的Citrix SSO。

   列出了Citrix SSO应用程序所需的权限。

8. 点击批准批准应用程序的部署。

9. 点击同步将此选择与Intune同步。

   “Citrix SSO app”添加到“Client apps”列表中。如果添加了很多应用程序，您可能需要搜索Citrix SSO应用程序。

10. 点击Citrix SSOApp打开App详细信息刀片。

11. 点击作业细枝末节。Citrix SSO - Assignments叶片出现。

12. 点击添加组来分配您想要授予其安装Citrix SSO应用程序权限的用户组，然后单击保存．

13. 关闭Citrix SSO应用详细信息刀片。

添加了Citrix SSO应用程序，并启用了部署到您的用户。

配置Citrix单点登录应用的管理应用策略

添加Citrix单点登录应用后，需要为Citrix单点登录应用创建管理配置策略，才能将VPN配置文件部署到设备的Citrix单点登录应用上。

1. 开放Intune您的Azure门户中的blade。

2. 开放客户端应用程序从Intune刀片。

3. 选择应用程序配置策略项，然后单击添加打开添加配置策略刀片。

4. 输入策略的名称并为其添加描述。

5. 在设备注册类型中,选择管理设备．

6. 在平台中,选择安卓．

   这将为相关的应用程序添加另一个配置选项。

7. 点击相关应用程序并选择Citrix SSO应用程序。

   如果你有很多应用程序，你可能需要搜索它。

8. 点击好吧．在“添加配置策略”刀片中增加了一个配置设置选项。

9. 点击配置设置。

   出现一个用于配置Citrix SSO应用程序的刀片。

10. 在配置设置,选择使用配置设计师或JSON数据输入配置Citrix单点登录应用。

注意:

对于简单的VPN配置，建议使用配置设计器。

使用用户配置设计器进行VPN配置

1. 在配置设置中,选择使用配置设计师并点击添加．

   您将看到一个键值输入屏幕，用于配置Citrix SSO应用程序支持的各种属性服务器地址和VPN配置文件名属性。你可以把鼠标悬停在描述节以获取关于每个属性的更多信息。

2. 例如,选择VPN配置文件名和服务器地址(*)然后单击属性好吧．

   这将属性添加到配置设计器中。您可以配置以下属性。

   • VPN配置文件名．为VPN配置文件输入名称。如果您正在创建多个VPN配置文件，请为每个配置文件使用唯一的名称。如果没有提供名称，则使用在“服务器地址”字段中输入的地址作为VPN配置文件的名称。

   • 服务器地址(*)．键入您的Citrix网关基础FQDN。如果您的Citrix Gateway端口不是443，也输入您的端口。使用URL格式。例如,https://vpn.mycompany.com:8443．

   • 用户名(可选)．输入终端用户向Citrix网关进行身份验证时使用的用户名。如果网关配置为使用该字段，则可以使用Intune配置值令牌(请参阅配置值令牌)。如果不提供用户名，则会提示用户在连接Citrix Gateway时提供用户名。

   • 密码(可选)．输入最终用户向Citrix网关进行认证时使用的密码。如果您没有提供密码，则会提示用户在连接Citrix Gateway时提供密码。

   • 证书别名(可选)．在Android KeyStore中提供用于客户端证书身份验证的证书别名。如果使用基于证书的身份验证，则为用户预先选择此证书。

   • ServerCertificatePins(可选)．描述Citrix Gateway使用的证书引脚的JSON对象。示例值:{“hash-alg”:“sha256”、“pinset”:[" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA = ", " BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB = ")}．有关详细信息,请参见Citrix网关证书与Android Citrix SSO绑定．

   • 全应用VPN类型(可选)．如果你使用每个应用的VPN来限制哪些应用使用这个VPN，你可以配置这个设置。

     • 如果您选择允许， PerAppVPN应用列表中列出的应用包名称对应的网络流量将通过VPN路由。其他所有应用的网络流量都在VPN之外路由。
     • 如果您选择不允许， PerAppVPN应用列表中列出的应用包名称的网络流量会路由到VPN之外。其他所有应用的网络流量都通过VPN路由。默认是允许的。
   • PerAppVPN应用列表．VPN中允许或不允许流量的应用列表，具体取决于“Per-App VPN Type”的值。列出以逗号或分号分隔的应用程序包名称。应用程序包名称是区分大小写的，并且必须与在谷歌Play store中显示的完全相同。这个列表是可选的。保持此列表为空，以便提供设备范围的VPN。

   • 默认的VPN配置文件．Citrix单点登录应用配置Always On VPN时使用的VPN配置文件名称。若为空，表示使用主配置文件连接。如果只配置了一个配置文件，则该配置文件被标记为缺省VPN配置文件。

   注意:

   • 在Intune中将Citrix SSO应用程序设置为Always On VPN应用程序，使用VPN provider作为自定义，使用com.citrix.CitrixVPN作为应用程序包名。

   • Citrix SSO app只支持Always On VPN的客户端证书认证。

   • 管理员必须选择客户端身份验证并设置客户端证书来强制性的在SSL配置文件或SSL属性以便SSO应用程序按预期工作。

   • 禁用用户配置文件
     • 如果设置为true，则用户无法在设备上添加新的VPN配置文件。
     • 如果设置为false，则用户可以在设备上添加自己的vpn。

     默认值为false。

   • 阻止不受信任的服务器
     • 当Citrix Gateway使用自签名证书时，或者颁发Citrix Gateway证书的CA的根证书不在系统CA列表中时，请将该值设置为false。
     • 设置该值为“true”，Android操作系统可以验证Citrix Gateway证书。如果验证失败，则不允许连接。

     默认值为true。

3. 为服务器地址(*)属性，输入您的VPN网关基础URL(例如，https://vpn.mycompany.com）.

4. 为VPN配置文件名，输入一个最终用户在Citrix SSO应用程序的主屏幕上可见的名称(例如，My Corporate VPN)。

5. 您可以根据需要为Citrix Gateway部署添加和配置其他属性。点击好吧当您完成配置时。

6. 点击权限部分。在本节中，您可以授予Citrix SSO应用程序所需的权限。

   • 如果您正在使用Intune NAC检查，Citrix SSO应用程序要求您授予手机状态(阅读)许可。点击添加按钮以打开权限刀片。目前，Intune显示了所有应用程序可用的重要权限列表。

   • 如果您正在使用Intune NAC检查，请选择手机状态(阅读)许可并单击好吧．这将它添加到应用程序的权限列表中。选择其中之一提示或汽车格兰特以便Intune NAC检查可以工作并单击好吧．

7. 点击添加保存Citrix SSO应用的管理配置。

8. 点击作业在App配置策略刀片中打开作业刀片。

9. 选择您希望为其交付和应用此Citrix SSO配置的用户组。

通过输入JSON数据配置VPN

1. 在配置设置中,选择JSON数据输入配置Citrix单点登录应用。

2. 使用下载JSON模板按钮下载一个模板，该模板允许为Citrix SSO应用程序提供更详细/复杂的配置。该模板是一组JSON键值对，用于配置Citrix SSO应用程序理解的所有可能的属性。

   有关可配置的所有可用属性的列表，请参见Citrix单点登录应用中配置VPN配置文件的可用属性．

3. 创建JSON配置文件后，将其内容复制并粘贴到编辑区域。例如，下面是之前使用配置设计器选项创建的基本配置的JSON模板。

这就完成了在Microsoft Intune Android Enterprise环境中为Citrix SSO应用程序配置和部署VPN配置文件的过程。

重要的是:

用于基于客户端证书的认证的证书使用Intune SCEP配置文件部署。此证书的别名必须在证书别名Citrix SSO应用程序管理配置的属性。

Citrix单点登录应用中配置VPN配置文件的可用属性

配置关键	JSON字段名	值类型	描述
VPN配置文件名	VPNProfileName	文本	VPN配置文件的名称(如果没有设置，默认为服务器地址)。
服务器地址(*)	ServerAddress	URL	连接Citrix网关的基础URL (https://host(港):）.这是必填项。
用户名(可选)|用户名	文本	与Citrix Gateway进行鉴权时使用的用户名(可选)。
密码(可选)	密码	文本	Citrix Gateway鉴权用户的密码(可选)。
证书别名(可选)	ClientCertAlias	文本	Android证书库中安装的客户端证书的别名，用于基于证书的客户端身份验证(可选)。证书别名是在Citrix Gateway上使用基于证书的身份验证时必须的字段。
服务器证书引脚(可选)	ServerCertificatePins	JSON文本	嵌入式JSON对象描述Citrix网关使用的证书引脚。示例值:{“hash-alg”:“sha256”、“pinset”:[" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA = ", " BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB = ")}．在使用JSON配置器时，请确保转义这个嵌入的JSON数据。
全应用VPN类型(可选)	PerAppVPN_Allow_Disallow_Setting	枚举(允许,不允许)	列出的应用是否允许(允许列表)或禁止(阻止列表)使用VPN隧道。如果设置为允许，只有已列出的应用(在PerAppVPN应用列表属性中)才允许通过VPN隧道。如果设置为不允许，除了列出的应用程序外，所有应用程序都可以通过VPN隧道。如果没有列出应用，则所有应用都允许通过VPN隧道。
PerAppVPN应用列表	PerAppName_Appnames	文本	每个应用的VPN由逗号(，)或分号(;)分隔的应用包名称列表。包名必须与谷歌Play store应用程序列表页面URL中显示的完全相同。包名区分大小写。
默认的VPN配置文件	DefaultProfileName	文本	系统启动VPN业务时使用的VPN配置文件名称。该设置用于标识设备上配置“Always On VPN”时使用的VPN配置文件。
禁用用户配置文件	DisableUserProfiles	布尔	属性设置为允许或不允许终端用户手动创建VPN配置文件。将此值设置为真正的，禁止用户创建VPN配置文件。默认值是假的。
阻止不受信任的服务器	BlockUntrustedServers	布尔	属性来确定到不受信任网关(例如，使用自签名证书或颁发CA时不受Android操作系统信任)的连接是否被阻止?默认值为true(阻止连接到不受信任的网关)。
自定义参数(可选)	CustomParameters	列表	Citrix单点登录应用支持的自定义参数列表(可选)，具体请参见自定义参数．检查Citrix Gateway产品文档可用的选项。
其他VPN配置文件列表	bundle_profiles	列表	其他VPN配置文件列表。支持前面提到的每个概要文件的大部分值。有关详细信息,请参见VPN配置文件列表中支持的每个VPN的属性．

自定义参数

每个自定义参数必须使用以下键值名称来定义。

关键	值类型	价值
ParameterName	文本	自定义参数的名称。
ParameterValue	文本	自定义参数值。

VPN配置文件列表中支持的每个VPN的属性

当使用JSON模板配置多个VPN配置文件时，每个VPN配置文件都支持以下属性。

配置关键	JSON字段名	值类型
VPN配置文件名	bundle_VPNProfileName	文本
服务器地址(*)	bundle_ServerAddress	URL
用户名	bundle_Username	文本
密码	bundle_Password	文本
客户端证书别名	bundle_ClientCertAlias	文本
服务器证书针	bundle_ServerCertificatePins	文本
每个应用VPN类型	bundle_PerAppVPN_Allow_Disallow_Setting	枚举(允许,不允许)
PerAppVPN应用列表	bundle_PerAppVPN_Appnames	文本
自定义参数	bundle_CustomParameters	列表

在Intune中将Citrix SSO app设置为Always On VPN provider

在缺乏一个随需应变的VPN支持Android VPN子系统,总是在VPN可以作为替代提供无缝的VPN连接选项以及与Citrix客户端证书身份验证SSO应用。VPN由操作系统启动时启动或当工作概要文件被打开。

在Intune中将Citrix单点登录应用设置为“Always On VPN”应用时，需要进行如下设置。

• 选择要使用的正确类型的托管配置(个人拥有的工作配置文件或完全管理的、专用的和公司拥有的工作配置文件)。

• 创建设备配置文件，并选择设备的限制然后转到连接部分。“始终开启VPN设置”选中“使能”。

• 选择Citrix SSO的应用随着VPN客户端。如果没有Citrix SSO选项，您可以选择自定义as VPN Client，输入com.citrix.CitrixVPN包ID字段(包ID字段区分大小写)

• 保持其他选项不变。建议不启用锁定模式。启用VPN后，如果VPN不可用，设备可能会失去完全的网络连通性。

• 除了这些设置，您还可以设置每个应用VPN类型和PerAppVPN应用列表在应用程序配置策略页面来为Android启用每个应用的VPN，如前所述。

注意:

“Always On VPN”仅支持在Citrix SSO应用中进行客户端证书认证。

参考文献

有关在Intune中设置连接选项的详细信息，请参阅以下主题。

• 完全管理的专用企业拥有的设备

• 个人拥有的设备