Guía de PoC: accesso secguro a Office 365 con Citrix Secure Private Access

与一般

media que los usuarios accessial contenido confidential de Microsoft 365 (Office 365)， las organizaciones debdeben powder simplificar las operaciones de inicio de sesión de los usuarios y, al mismo time, application los estándares de autenticación。Las organizaciones deben der proteger Microsoft 365 unique exista más all de los límites del centro de datos。思杰工作空间的比例和组织控制的安全备忘录，在微软365。

因此，在Citrix工作空间中介Active Directory目录中使用非常用的认证目录。

Si Citrix安全的私人访问服务esta asignado la suscripcion de Citrix se aplican politica de seguridad mejoradas,是范desde la aplicacion de马卡·德·阿瓜basadas en la pantalla这不restriccion de las accion de impresion y descarga las restricciones de captura de pantalla la ofuscacion del teclado y la proteccion de los usuarios de捆扎略confiables,尤其对las aplicaciones de微软365。

通过保护Citrix安全私有访问(Secure Private Access)，登录Microsoft 365 con SSO的特殊权限为:signuente animación。

Esta demostración图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆图书馆Esta guía de PoC tamamicasten承认unflujo de SSO iniciado和el SP . en el que el惯常意图的加入和la aplicación SaaS directente desdessunavegador首选。

Esta guía de proeba de conceptodemuestra cómo:

1. Configuración de Citrix Workspace
2. 通常原则下的积分
3. 合并inicio de sesión único para applicaciones SaaS
4. 明确的指令，以过滤网络的情况
5. Validar la configuración

Configuración de Citrix Workspace

创建Citrix Workspace para organización，包括以下内容

1. Configuración de la URL del espacio de trabajo
2. Habilitación de los servicios appropiados

建立dirección URL de espacio

1. Conectese一Citrix云E inicie sesión como su cuenta de administrador
2. 在Citrix工作空间中Configuración de WorkspaceDesde el menú superior izquierdo
3. En la fichaAcceso，通过seleccione Habilitado介绍网址única para la organización

Habilitar servicios

Desde la fichaIntegración de servicios例如，在SaaS中，用户可以访问web服务或其他应用程序。

1. 安全私人访问
2. 安全浏览器

Verificar

Citrix Workspace tarda notos可以通过访问configuración de URL来实现丢失的服务。基于explorer web，编译了一个URL personizizada del espacio de trabajo estestual activa。在此之前，我们已经建立了sesión estar可废弃的系统，并通过配置通常的系统来定义它。

Integración de undirectoro de usuario principal

在“工作空间”中，请查看配置文件通常情况下的主管．通常情况下的主要目录为única identidad que required El usuario，通常情况下的基本目录为应用程序的主要目录，工作空间的基本目录为sesión único para identiades secondary。

Una organización puede usar cualquiera de los siguentes directordirectorde usuario primarios con Microsoft 365:

• 活动目录: para habilitar la autenticación de Active Directory，执行以下命令:execute unconnector de number . conf . conf . conf . conf . conf . confinstalación de Cloud Connector．
• Active Directory con contraseña de unsolo uso basada en timepo: la autenticación basada和Active Directory tamamacimen - 3包括autenticación多因素con和contraseña de un solo uso basada en time (TOTP)。问好guiaDetalla los pasos necesarios para abilitar esta opción de autenticación。
• Azure Active Directory:在Citrix工作空间中，通常使用的验证方法与Azure Active Directory相同。问好guiaDetalla los pasos necesarios para abilitar esta opción de autenticación。

  背板

  我的意思是说，我的意思是说，我的意思是说，我的意思是我的意思是我的意思是我的意思是我的意思是我的意思是我的意思是我的意思是我的意思是我的意思。因此，Debe federar UN dominio nuevo．

  最近的一项研究表明，这是一项新的研究成果immutableIDestablecido;de de lo contrario, la autenticación fallarar y aprecer . el mensaje de error: las cuentas sincronizadas de Azure AD Connect deAADSTS51004
  Obtienen este attribute to establecido automáticamente。

• Citrix网关: as organizaciones pueden utility un Citrix Gateway local para que actúe como provider de identidad para Citrix Workspace。问好guiaProporciona详述了sorbre la integración。
• Okta:所有的组织都使用了Okta的通用目录和Citrix工作空间的主目录。在门guia请按比例说明，请配置如下opción。

Federar la autenticación de Azure en Citrix Workspace

在Citrix工作空间中对microsoft365进行了联邦修正，管理员将其定义为:

• 配置la aplicación SaaS
• automizar la aplicación SaaS
• 验证domino de autenticación
• 配置federación de dominos

配置la aplicación SaaS

在Azure中创建一个管理验证程序，在Citrix工作空间中创建一个配置程序aplicación SaaS de Microsoft 365。

• 思杰云，精选Administraren el mosaic de Secure Private Access。

• En el menú de Secure Private Access，选择Aplicaciones
• En la sección Aplicación, seleccione加油，加油aplicación

Aplicaciones: Plantilla

• En el assistente para elegir una plantilla, seleccioneOffice 365

• SeleccionarSiguiente

applications: dealles de la aplicación

• 恩拉secciónDetalles de la aplicación， cambie。数量eliconoy拉descripcionSegún在cambiar las entradas retes中有必要。

*背板: tamamicans puede rerigir el tráfico和travamicans del Connector Appliance的实施在数据中心。穷穷穷穷，穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷穷

• SeleccionarSiguiente

应用:单点登录

• En la ventana单点登录我很满意Formato del identificador del nombre = persistenty厄尔ID del nombre = GUID de Active Directory（1)
• En Atributos avanzados, comrube elnombre del attribute = IDPEmailelformato del attribute =特定属性y厄尔英勇的属性= correo electrónico(2)

背板

乙级联赛La opcion de atributo avanzado se agrega automaticamente对位suprimir de autenticacion de La solicitud MFA cuando el usuario丫ha introducido La MFA杜兰特拉autenticacion de usuario en Citrix工作区。

属性名:http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
归因形式:未指明的
英勇:自定义值
英勇personalizado:http://schemas.microsoft.com/claims/multipleauthn

Para Azure AD accept esta afirmación, debemos aggregar un parámetro-SupportsMfa真正的美元Al configurar la federación de dominos。

Hay dos opciones para continuar: Configuración manual o automática de la federación de dominos。
这是一个非常实用的过程自动化(PowerShell脚本)， vaya a la secciónConfiguración automatizada de la federación de dominos．

Configuración manual de la federación de dominos

• SeleccioneDescargarPara捕获el证书basado en CRT．（3)
• Junto a laURL初始化De sesión, seleccione el botónCopiarpara capture la URL de inicio de sesión。Esta URL se utilitzar más adelante。(4)
• 选择，选择，选择metadatos SAML(5)

• En el archivo de metadatos SAML, buqueEntityID．Copia la URL完全通过guárdala para usarla más adelante。“没有俘虏”，“没有档案”，“没有档案”，“没有档案”。

• SeleccionarSiguiente
• Salte la siguente sección y continúe con应用程序:连接的应用程序

Configuración de federación de dominos automatizada

• SeleccioneIniciar sesión en Azure AD，在Azure AD para . autenticación中，可以看到一个新的数据门户。（3)
• 具体来说，指定“全局管理员”的权限时，需要指定“全局管理员”的权限。
• Deberías over el siguente mensaje si el inicio de sesión se realizó correctamente

• 拉opción选择MFA通常决赛预定形能人。
• Haga clic enHaga clic aquí para recoverar los dominos de Azure AD我不知道我的名字。(4)
• 选择一种方式，即选择一种方式，选择一种方式，选择一种方式。(5)
• Haga clic enFederar“dominio”．(6)

背板

• Al - hacher - hacher - hacherFederar“dominio”， PowerShell的脚本可以在后台执行，也可以在后台执行domino estfederado。
• 必要时，在PowerShell界面上卸载脚本。En elscript de PowerShell de federación de dominos，介绍了Azure AD(7)的虚拟机Descargar(8)。

• SeleccionarSiguiente

应用程序:连接的应用程序

• En la ventana连接和应用， verify cómo debe rerigirise el tráfico (en este caso, directente del client和la aplicación SaaS)。

• SeleccionarSiguiente
• SeleccioneFinalizarpara complete la configuración de las applicaciones SaaS de Microsoft Office 365。

通过configura unsecuridad mejorada自动登录aplicación SaaS

• En el menú安全私有访问，选择“1”准入指令
• En la sección Directiva de accesso, seleccioneCrear directiva．

• 我的名单很令人遗憾Aplicaciones，“Office365”y selecciónelo。
• 联盟los usuarios/ groupos approproados que estasten authorizados para iniciar la aplicación
• 特别需要注意的是，这是一种特殊的方式，它可以被称为aplicación。
  捕到的是一群没有被逮捕的人，没有被逮捕的人。
  “必要的安全备忘录”、“许可进入”或“许可进入限制”是目前最常用的“通信选项”。

*背板:关于安全问题，请按下列规定执行:“关于安全问题，请按下列规定执行:opción”。Abrir在浏览器网页远程“configurada *。

验证domino de autenticación

Azure听头verificar el滑道“dominio”completo对位federar la autenticacion en Citrix工作区。在Azure Portal中，haga标识:

• 获取Azure活动目录
• SeleccionarNombres de dominio personalizadosEn la ventana de navegación
• Seleccione集体自治和个性化
• 介绍了一种新的命名方法

• Seleccione在“dominio”
• Azure比例注册器para并入所有注册器de nombres de domino。Una vez hecho to, selectiononaVerificar．

• 一个完整的世界，一个完整的大陆

配置federación de dominos

背板

Puede omitir esta sección si se utilizó laConfiguración de federación de dominos automatizada．
Diríjase a la secciónValidar．

在Azure中使用Citrix工作空间(workworkworkworkcomomautoridad federada para el dominoverificado)，最终生成configuración。La configuración de La federación debe realizarse con PowerShell。

• Iniciar PowerShell
• Agregue los módulos appropiados con los siguentes commandos

Install-Module AzureAD -Force Import-Module AzureAD -Force Install-Module MSOnline -Force Import-Module MSOnline -Force 

• consamcese a Microsoft Online和transsamcese de PowerShell通过outsamcese中间连接到Microsoft (p. j.)。admin.user@onmicrosoft.com）

Connect-MSOLService < !——NeedCopy >

• compuebe que el dominio estconfigurado actualmentenAdministradozh Azure的ejecutando和PowerShell的通用命令

Get-MsolDomain < !——NeedCopy >

• 使用el siguente código在脚本中创建PowerShell参数转换器FederadoCambiando认为变量para que se alineen consuentorno

$dom = "workspaces.wwco.net" #在Azure中验证的完全限定域名$fedBrandName = "CitrixWorkspaceSAMLIdP" #一个帮助记住配置目的的名称$uri = "https://app.netscalergateway.net/ngs/[entityID]/saml/login?APPID=[APPID]" # Office365应用程序配置的登录URL $logoffuri = "https://app.netscalergateway.net/cgi/logout" #所有人的标准入口。不要更改$cert = New-Object system . security . cryptographic . x509 certificates。X509Certificate2("<从Citrix安全私有访问服务下载的证书的位置/filename.crt>") #从Office 365应用程序配置中下载的证书文件的路径(例如，C:\temp\filename.crt) $certData = [system.convert]::tobase64string($cert.rawdata) $IssuerUri = "//m.giftsix.com/[entityID]" #从Office365应用程序配置中获取的entityID。SAML元数据文件Set-MsolDomainAuthentication ' -DomainName $dom ' -federationBrandName $fedBrandName ' -Authentication Federated ' -PassiveLogOnUri $uri ' -LogOffUri $logoffuri ' -SigningCertificate $certData ' -IssuerUri $IssuerUri ' -PreferredAuthenticationProtocol SAMLP用于禁止MFA认证Set-MsolDomainAuthentication ' -DomainName $dom ' -federationBrandName $fedBrandName ' -Authentication Federated ' -PassiveLogOnUri $uri ' -LogOffUri $logoffuri ' -SigningCertificate $certData ' -IssuerUri $IssuerUri ' -PreferredAuthenticationProtocol SAMLP ' -SupportsMfa $true 

• compuebe que el dominio estconfigurado actualmentenFederadozh Azure的ejecutando和PowerShell的通用命令

Get-MsolDomain < !——NeedCopy >

• 编译成configuración de federación en Azure ejecutandel siguente comande PowerShell

Get-MsolDomainFederationSettings -DomainName $dom 

背板

以下是必要的步骤:消除la configuración de la federación，在PowerShell中执行el siguente命令:
Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed

Validar

Validación iniciada可怜的国内流离失所者

• Inicie sesión en Citrix Workspace como uuario
• 选择下载aplicación Office365。
• 观察URL para verla rerigirse brevenement和transames de Azure
• portal de Office365 se inicia correctamente

Validación iniciada poor SP

• 探险家
• 从URL定义到URL定义，从URL定义到URL定义，从URL定义到URL定义，从URL定义到URL定义，从aplicación SaaS开始
• explorer web重新配置一个Azure Active Directory y、一个continuación、一个Citrix Workspace para autenticación。
• 如果你不知道你的上司是谁，你的上司是谁，你的上司是谁，你的上司是谁，你的上司是谁，你的上司是谁

明确的指令，以过滤网络的情况

Citrix Secure Private Access office对应用程序中的web场景进行过滤，通过SaaS para - ududar对web场景进行过滤，并对通常情况下的web场景进行过滤。一个continuación se muestra cómo配置指令为filtrado de sitos web。

• Desde Citrix Cloud，administredentro del马赛克安全私人访问

• 见siguió esta guía, los pasosConfigurar la autenticación de usuario finaly在SaaS、应用程序和虚拟机中配置可访问性范围completos。Seleccione需要使用．
• Cambie是一名律师Filtrado网络．
• SeleccioneModificar
• Habilitarla opcion滤器categorías de sitos web
• 再见属于bloqueadas, selecciona需要在
• 选择的方法是categorías para impedir que los usuarios accedan

• 关东的选择在今天是categorías适用的，选择需要在

• Haga lo mismo para las categorías permitidas
• Haga lo mismo para las categorías redirigidas。Estas categorías se reregen a una instance de Secure Browser
• 如有必要，管理员将执行过滤后的访问权限，允许重新访问URL (URL) específicas (URL)或重新访问URL (URL) categorías (URL)。Las URL de sitsiweb tienen优先级soberlas categorías。

Validar la configuración

Validación iniciada可怜的国内流离失所者

• Inicie sesión en Citrix Workspace como uuario
• Seleccione Office365。
  在居民安全评估中心，在aplicación网站上浏览本地网页。De lo contrario, se utilitzar， el navegador empresarial。
• El usuario inicia sesión automáticamente en la aplicación
• 它们适用于“安全指令”(directivas de seguridad mejoradas adecuadas)
• 在estestconfigurado中，选择一个URL dentro de la aplicación SaaS que se encuentre en las categorías块数据，允许重新配置
• 在est_configurado中，选择一个URL URL URL URL URL URL URL URL URL URL URL URL URL URL，允许重新配置
• La aplicación SaaS se inicia con samxito

Validación iniciada poor SP

• 探险家
• Vaya所有站点web deOffice 365y seleccioneIniciar对话
• 简介:el nombre de uuario。
• El explorer重新配置El explorer到Citrix Workspace para autenticación
• “如果你想知道你是谁，你就必须知道你是谁”，“你必须知道你是谁”，“你必须知道你是谁”。
  例如，在Office365中安装安全浏览器。

微软365的Dominios亲戚

在Citrix安全私人服务中，您可以使用此服务。关于安全的指令，关于利用的指令，关于关系的指令，关于确定的指令cuándo。

该siguente列表包含了Microsoft 365的实际关联程序和其他应用程序。

*注:爱你的人，爱你的人，爱你的人

• * .office.com
• * .office365.com
• * .sharepoint.com
• * .live.com
• * .onenote.com
• * .microsoft.com
• * .powerbi.com
• * .dynamics.com
• * .microsoftstream.com
• * .powerapps.com
• * .yammer.com
• * .windowsazure.com
• * .msauth.net
• * .msauthimages.net
• * .msocdn.com
• * .microsoftonline.com
• * .windows.net
• * .microsoftonline-p.com
• * .akamaihd.net
• * .sharepointonline.com
• * .officescriptsservice.com
• * .live.net
• * .office.net
• * .msftauth.net

application de microsoft365

Supongamos que是首选的lanzar una aplicación específica de Microsoft 365 (Word, PowerPoint或Excel)在lugar del portal de Microsoft 365。同样，管理员也可以创建一个实例:aplicación独立的Citrix安全私有访问服务(Secure Private Access Service)节点aplicación。Cada aplicación tiene una URL única, que debe include el valor correcto para el domino federado configurado en esta guía。联邦自治领信息门户网站和Azure信息门户网站configuración联邦自治领信息门户网站。

*背板: El flujo iniciado贫穷的国内流离失所者没有尊重El estado de retransmisión。美国el flujo iniciado和el SP副法律主管a la aplicación.*

• Palabra:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FWord%3Fauth%3D2&whr=“Dominio”federado
• 幻灯片:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=“Dominio”federado
• 擅长:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FExcel%3Fauth%3D2&whr=“Dominio”federado
• CRM /动态在线:https:// <租户> .crm.dynamics.com/ ? whr =“Dominio”federado
• OneDrive表示:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F <租户> -my.sharepoint.com % 2 f&whr =“Dominio”federado
• 展望日历:https://outlook.office.com/owa/?realm=“Dominio”federado路径= /日历/视图/月
• Outlook Web在线访问Exchange:https://outlook.com/owa/“Dominio”federado
• SharePoint在线:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F <租户> .sharepoint.com % 2 f&whr =“Dominio”federado
• 的球队:https://login.microsoftonline.com/common/oauth2/authorize?client_id=cc15fd57-2c6c-4117-a88c-83b1d56b4bbe&response_mode=form_post&response_type=code+id_token&scope=openid+profile&redirect_uri=https%3a%2f%2fteams.microsoft.com%2f&domain_hint=“Dominio”federado

Mantengase conectado

在configuración预先确定的情况下，Azure Active Directory数据库运行在diálogo上的运行进程运行在sesión上的运行进程允许运行在sesión上的正常运行进程。

estes una configuración de Azure que se puede cambiar fácilmente haciendo lo signente:

• 在Azure中，选择Azure Active Directory
• Seleccionar皇后之殇
• Seleccione la configuración区域能人
• 面板修改后的marca de presa，选择没有在洛杉矶opción Mostrar para seguir iniciando sesión．

• SeleccioneGuardar

Solución de problemas

在任何方向上都不存在惯常的趋势

在使用微软365时，可能会出现一些常见的错误。
AADSTS51004: GUID目录下不存在“account name”用户。要登录此应用程序，必须将帐户添加到目录中。

Las siguentes son sugerencias sobre cómo resolver estestproblem:

• 从Microsoft 365下载到administración de Microsoft 365。
• 编译器:dirección de correo electrónico与通常的主目录、Azure Active Directory和Microsoft 365相一致的识别和错误。

• 可归因性immutableIdestestresteecido en el object de uuario。(Este no es el caso en entornos de ad puros)
  immutableId在PowerShell中使用如下命令:

  $userUPN="john.doh@company.com" #在执行Install-Module AzureAD -Force Import-Module AzureAD -Force Install-Module MSOnline -Force Import-Module MSOnline -Force Connect-MsolService $userObjectID=(Get-MsolUser -UserPrincipalName $userUPN)之前更改userpriicipalname。objecd $userImmutableId=[System.Convert]::ToBase64String([System.Guid]::New($userObjectID).ToByteArray()) Set-MsolUser -UserPrincipalName $userUPN -ImmutableId $userImmutableId 

反对Dominio de Federación

Durante la validación，不寻常地接收到错误提示:
AADSTS50107:请求的联合域对象“https:///adfs/services/trust”不存在。

因此，我们需要一个独立的、独立的、可验证的联邦政府。修订las siguentes secciones de la guía de PoC:

• 验证domino de autenticación
• 配置federación de dominos

纪念安全指令之夜

Los uarios在la directiva de seguridad mejorada (marca de agua, impresión o accesdoal portapeles)上进行了实验。Normalmente, to succeed porque la aplicación SaaS utilitza varios nombres de domino。Dentro de los ajuses de configuración de la aplicación SaaS, había una entrada para人群Relacionados．

《安全条例》的规定适用于所有家庭成员。La seccion微软365的Dominios亲戚de esta guía de PoC大陆将连接到官方的dominios亲戚，就像微软的合并和合并一样。

Aún是必要的统一和统一的关系，但没有必要的统一和统一的关系，因为没有必要的统一和统一的关系，因为没有必要的统一和统一的关系。Para相同的名称de dominio que faltan, unadministrator_puede - accder和la aplicación SaaS con explorator_local_haccer_log_signente:

• Vaya a la sección de la aplicación en la que fallan las directivas
• 在Google Chrome浏览器和Microsoft Edge浏览器(versión Chrome)中，选中的文件将显示在浏览器中，显示在浏览器中，显示在浏览器中，显示在浏览器中，显示在浏览器中，显示在浏览器中。
• SeleccioneMas herramientas．
• SeleccionarHerramientas de desarrollador
• Dentro de las herramientas de desarrollador, seleccione富恩特斯．1 .按下列比例编制的名单:获得有关资料的领土名单sección de la aplicación。Para habilitar as directivas de securididad mejoradas Para partite de la aplicación, esos nombres de dominio dedeen引入了一个新的campo人群relacionadosDentro de la configuración de la aplicación。我的亲戚们都很喜欢我的朋友们* .domain.com