Citrix端点管理与微软Intune / EMS的集成

端点管理与微软企业移动性+安全性(EMS) / Intune的集成在微软浏览器等管理微软Intune感知应用程序中增加了端点管理微VPN的价值。

注意：

微软已经使Intune成为微软端点管理器的一部分,有时将Intune称微软为端点管理器。

此版本支持以下用例：

• MDM +老妈Intune老妈以及终端管理。

  本文重点介绍了Intune老妈+端点管理MDM +老妈用例。将Citrix添加为MDM提供程序后,请配置Intune托管应用程序以传送到设备。

  重要：

  对于此用例、安全邮件不支持与Intune的集成。安全邮件仅适用于在MDX模式下注册的设备。

• MDM Intune老妈和端点管理。
• Intune Mam。
• Intune老妈和Intune MDM。安全的邮件iOS支持在此用例中使用单点登录。

入门指南

本文档是一个简单易懂的图形指南,用于设置端点管理与EMS / Intune的集成。

系统要求

启用MDX

• 老妈SDK

  或

• MDX工具包和MDX服务

微软

• Azure广告访问权限(具有租户管理权限)
• 启用了Intune的租户

防火墙规则

• 启用防火墙规则以允许DNS和SSL流量从Citrix网关子网IP传输到* .manage.microsoft.com、https://login.microsoftonline.com和https://graph.windows.net（端口 53 和 443）

必备条件

• 管理的浏览器:移动应用程序SDK集成在适用于iOS和Android的浏览器Intune管理应用程序中。有关了浏览器的详细信息,请参阅微软管理浏览器页面。
• Citrix云帐户:要注册Citrix帐户并申请试用Citrix端点管理,请与您的Citrix销售代表联系。当您准备好继续操作时，请访问https://onboarding.cloud.com.。有关申请Citrix云帐户的详细信息,请参阅注册Citrix云。

  注意：

  您提供的电子邮件必须是与Azure广告无关联的地址。可以使用任何免费的电子邮件服务。

• 使用于iOS的APNS证书：确保您配置了适用于iOS的前置证书。要了解有关设置这些证书的详细信息,请参阅此Citrix博客文章:创建和导入前置证书。
• Azure广告：在Azure广告与本地活动目录之间设置同步。请勿在域控制器计算机上安装广告同步工具。有关设置此同步的详细信息，请参阅Azure活动目录上的微软文档。

配置Citrix网关

如果要设置新端点管理部署,请安装以下Citrix网关设备之一:

• NetScaler网关VPX 3000系列或更高版本
• NetScaler网关MPX或专用有关实例

要将Citrix网关与EMS / Intune集成的端点管理结合使用,请执行以下操作:

• 使用管理接口和子网IP配置Citrix网关。
• 对所有客户端到服务器的通信使用TLS 1.2。有关为Citrix网关配置TLS 1.2的信息,请参阅CTX247095。

如果您在端点管理MDM +老妈部署中使用端点管理与EMS / Intune的集成,请配置两个Citrix网关。MDX应用程序流量通过一个Citrix网关路由。Intune应用程序流量通过其他Citrix网关路由。配置：

• 两个公用IP。
• 或者,一个网络地址转换的IP。
• 两个DNS名称。示例：https://mam.company.com.。
• 两个公用SSL证书。配置与保留的公用DNS名称匹配的证书或使用通配符证书。
• 具有内部不可路由RFC 1918 IP地址的老妈负载平衡器。
• Active Directory LDAP服务帐户。

同意委派权限提示

Microsoft Graph公用，Microsoft Graph公用，Microsoft Adipls，Microsoft Azure AD，Microsoft Graphers overs，Microsoft Grapher Provings，Microsoft Graphers，Microsoft Graphers，Microsoft Graphers，Microsoft Azure AD，Microsoft Azure AD的天然气广告全球管理的同意。对于对于委派权权权权必须必须向向向cloud cloud cloud cloud cloud令牌的幂。请请微软图权限参考。

• -此权限允许用户登录并连接到Azure广告。Citrix无法查看用户凭据。
• 读取所有用用作的基本配置文：该该用程序组织组织中的用途读取配置文体属性。
• 读取所有组：此权限允许为应用程序和策略分配枚举Azure广告组。
• 以已登录用户身份访问目录：此权限验证Intune订阅并启用Citrix网关和VPN配置。

• 读写微软Intune应用程序:该应用程序可以读取和写入以下内容：

  • 微软托管的属性
  • 组分配和应用程序的状态
  • 应用程序配置
  • 应用程序保护策略

此外,在Citrix网关配置期间,Azure广告全局管理员必须:

• 批准为微VPN选择的Active Directory。
• 生成Citrix网关用于与Azure广告和Intune通信的客户端密钥。

全局管理员不得具有Citrix管理员角色。相反,Citrix管理员将Azure广告帐户分配给具有适当Intune应用程序管理员权限的用户。然后,Intune管理员担任Citrix云管理员的角色,以从Citrix云内部管理Intune。

注意：

Citrix仅在安装过程中使用Intune全局管理员密码,并将身份验证重定向到微软。Citrix无法访问密码。

配置端点管理与EMS / Intune的集成

有关集成的视频摘要，请观看：

1. 登录到Citrix云站点并申请端点管理的试用版。

2. 销售工程师安排与您的入门会议。让他们知道您希望将端点管理与EMS / Intune相集成。批准您的请求后，单击管理。

3. 在该站点，您可以单击站点右上角的齿轮，也可以单击配置站点。

4. 按照第一步中的链接进入身份识别和致理性页面。

5. 单击连接以连接您的Azure广告安装。

6. 输入澳洲广告管理员登录登录的第一次url，然后单程确认。

7. 添加Azure广告全局管理员帐户,然后接受权限申请。

8. 确认Azure广告实例已成功连接。要指示连接成功，未连接文本将更改为已启用。

9. 单击管理员选项卡,然后将您的Azure广告Intune管理员添加为Citrix云管理员。从下拉菜单中选择“Azure广告”或“Citrix身份”,然后搜索要添加的用户名。单击邀请，然后在单击发送邀请之前授予用户完全访问限制性或自定义访问权限。

   注意：

   端点管理需要针对自定义访问权限的以下规则:库和Citrix端点管理。

   因此,Azure广告Intune管理员会收到一封电子邮件邀请,以创建密码并登录到Citrix云。在管理员登录之前，请确保您已注销所有其他帐户。

   Azure广告Intune管理员必须遵循此过程中的其余步骤。

10. 使用新帐户登录后，在端点管理下单击管理。如果配置正确，则页面显示澳大利亚广告已已登录登录并且并且已登录登录登录登录登录登录登录登录效效。

为微VPN配置Citrix网关

要将微型VPN与Intune综合使用，必须将Citrix网关配置为对Azure广告身份验证。

首先,将Azure广告配置为与本地Active Directory同步。此步骤对于确保Intune与Citrix网关之间正确进行身份验证是必要的。

1. 在Citrix云控制台的端点管理下，单击管理。

2. 在微VPN旁边，单击配置微VPN。

3. 输入微VPN服务的名称和Citrix网关的外部URL,然后单击下一步。

   此脚本将Citrix网关配置为支持Azure广告和Intune应用程序。

4. 点击下载脚本. . zip文件包括一个自述文件,其中包含实施脚本的说明。即使可以在此处保存并退出,但在对Citrix网关安装运行脚本之前不会设置微VPN。

   注意：

   完成Citrix网关配置过程后,如果看到“完成“以外的OAuth状态,请参阅”故障排除“部分。

配置设备管理

如果要管理除应用程序以外的设备，请选择一种设备管理方法。可以使用端点管理MDM +老妈或Intune MDM。

注意：

默认情况下,为控制台选择Intune MDM。要使用Intune作为MDM提供程序,请参阅微软Intune文档。

1. 在Citrix云控制台的“端点管理与EMS / Intune的集成”下,单击管理。在设备管理 - 可选旁边，单击配置MDM。

2. 输入唯一的站点名称，选择离您最近的云区域，然后单个请求站点。站点准备就绪时，您会收到一封电子邮件。

3. 单击确定关闭提示。选择要与您的站点关联的 Active Directory 位置或创建一个资源位置，然后单击下一步。

4. 单击下载云连接器,然后按照屏幕上的说明安装云连接器。安装后，单击测试连接以验证Citrix云与云连接器之间的连接。

5. 单击保存并退出以完成。此时将显示您的资源位置。单击完成将返回到设置屏幕。

6. 现在,您可以从站点磁贴访问端点管理控制台。在此处,您可以执行MDM管理任务和分配设备策略。有关设备策略的详细信息，请参阅备份。

配置Intune托管应用程序以交付到设备

要配置Intune托管应用程序进行交付,请执行以下操作:

• 将应用程序添加到Citrix云库
• 创建端点管理设备策略以控制数据流
• 为应用程序和策略创建交付组

将Intune托管应用程序添加到Citrix云库

对于要添加的每个应用程序：

1. 在Citrix云控制台中,单击菜单图标,然后单击图书馆（库）。

2. 单击右上角的蓝色加号图标，然后单击添加移动应用程序（添加移动应用程序）。

   您可能需要等待一分钟才能看到填充列表的选项。

3. 选择要自定义的应用程序模板，或者单击上传自己的App（上载我自己的应用程序）。

   Citrix提供现有应用程序模板,每个模板都附带一组预配置的默认策略。对于客户上载的应用程序，以下策略适用：

   • MDX文件:包括实用了MAM SDK的使用程度或MDX包装的使用程序，例如：
     • Intune使用程序程序策略和软件包中间的默认mdx策略
     • 公共应用商店应用程序,例如Intune应用程序保护策略和与捆绑包ID匹配的默认MDX策略
   • 异丙醇文件:Intune应用程序保护策略。
   • APK文件:Intune应用程序保护策略。

   注意：

   如果应用程序未使用Intune封装,Intune应用程序保护策略不适用。

4. 单击上传自己的App(上载我自己的应用程序)后,上载您的中或Intune封装的文件。

5. 输入应用程序的名称和说明，选择应用程序是可选应用程序还是必需应用程序，然后单击下一个（下一步）。

6. 配置应用程序设置。以下配置使数据端点管理和Intune容器能够相互传输数据。

   • 允许应用程序从其他应用程序接收数据（允许应用程序接收来自其他应用程序的数据）：选择政策管理应用程序（策略托管的使用程序）。
   • 允许应用程序传输数据到其他应用程序（允许应用程序将数据传输到其他应用程序）：选择所有应用程序（所有应用程序）。
   • 限制剪切，复制，粘贴与其他应用程序（限制与其他应用程序的剪切、复制、粘贴操作）：选择政策管理应用程序（策略托管的使用程序）。

7. 为保存的数据配置存储库。在选择企业数据可以保存到的存储服务（选择可以将哪些存储存储业数码保存到）中，选择LocalStorage（本地存储）。

8. 可选:为应用程序设置数据重定位,访问权限和销策略。单击下一步。

9. 查看应用程序的摘要，然后单击完成。

   此应用程序配置过程可能需要几分钟时间。过程完成后，将显示一条消息，指示应用程序已发布到库。

10. 要将用户组分配给应用程序，请单击分配用户。

11. 在搜索搜索中，搜索用作，然后单位以进行。

12. 添加所有组后,可以通过单击X来关闭窗口。

    添加用户组时可能会遇到错误。当用户组尚未同步到您的本地活动目录时会出现此错误。

控制在托管应用程序之间传输的数据类型

控制可以使用端点管理设备策略在端点管理中的托管应用程序或Intune容器之间传输的数据类型。可以将“限制”策略配置为仅允许标记为“企业”的数据。配置”应用程序配置“策略以标记数据。

要配置“限制”设备策略,请执行以下操作:

1. 在端点管理控制台中,单击配置>设备策略。

2. 在备份页面上，单击添加。将显示添加新策略页面。

3. 要为iOS应用程序创建设备策略,请在平台窗格中选择iOS。

4. 单击策略列表中的限制。

5. 在策略信息页面上，键入策略的名称和说明（可选）。单击下一步。

6. 在安全性 - 允许下，将在非托管非托管用程中中间站立使用内部使用内部的文章设置为关。设置关会导致以下设置更改为关：非托管应用程序取托管联系人和托管应用程序写入非托管联系人。单击下一步。

7. 单击下一步，直到出现保存按钮。单击保存。

为每个应用程序配置”应用程序配置“设备策略:

1. 在端点管理控制台中,单击配置>设备策略。

2. 单击添加。将显示添加新策略页面。

3. 要为iOS应用程序创建设备策略,请在平台窗格中选择iOS。

4. 在策略信息页面上，键入策略的名称和说明（可选）。单击下一步。

5. 在策略列表中单击应用程序配置。

6. 选择要配置的应用程序的标识符。

7. 对于iOS应用程序，请将将下文本页字典内容中：

   < dict > <键> IntuneMAMUPN < /关键> <字符串> ${用户。userprincipalname} < /字符串> < / dict > < !——NeedCopy >

8. 单击检查字典。

9. 单击下一步。

10. 单击保存。

为使用内部和设备策略交付组

1. 在端点管理控制台中,单击配置 > 交付组。

2. 在交付组页面上，单击添加。此时将显示交付组信息页面。

3. 在交付组信息页面中，键入交付组的名称和说明（可选）。单击下一步。

4. 在分配页面上，指定部署交付组的方式：选择在端点管理中或在Citrix云中。

5. 如果您选择了端点管理：

   • 选择域：在列表中，选择要从中选择用户的域。
   • 施用：执行以下操作之一：
     • 在用户组列表中，单击要添加的组。选定的组将显示在选定用户组列表中。
     • 单击搜索以查看选定域中所有用户组的列表。
     • 在搜索框中键入完整或部分组名称，然后单击搜索以限制用户组列表。

     要从选定用户组列表中删除某个用户组，请执行以下操作之一：

     • 在选定用户组列表中，单击要删除的每个组旁边的X。
     • 单击搜索以查看选定域中所有用户组的列表。滚动列表，并取消选中要删除的各个组旁边的复选框。
     • 在搜索框中键入完整或部分组名称，然后单击搜索以限制用户组列表。滚动列表，并取消选中要删除的各个组旁边的复选框。

6. 单击下一步。

7. 在策略页面中,从左到右拖动您创建的“限制”策略和“应用程序配置“策略。单击下一步。

8. 在应用程序页面中，将要提供的应用程序从页面左侧拖动到必需应用程序或可选应用程序。单击下一步。

9. （可选）配置媒体页面、操作页面和注册页面上的设置。或者接受每个页面上的默认值，然后单击下一步。

10. 在摘要页面上，查看交付组设置，然后单击保存以创建交付组。

在ems控制控制中发布应用程钟时，选择强制致理性管理程序。系统会提示使用未受监督的设备的用户允许管理此应用程序。如果用户接受该提示，应用程序将在设备上进行托管。如果用户拒绝该提示，应用程序在设备上将不可用。

配置安全邮件

安全邮件现处于更多种配置。可以在连接到本地交流服务器的Intune Mam容仪中装固定邮件。可靠邮件连接连接托管托管托管托管到办公室365帐户。所以，此版本不再基于书籍的身份验证，因此改为使用LDAP。

重要：

要在MDX模式下使用安全的邮件,必须使用Citrix端点管理MDM +老妈。

安全邮件还会自动填充用户名。要启用此功能，必须先配置以下自定义策略：

1. 在端点管理控制台中,转至设置>仪器属性，然后单击添加。

2. 在列表中，单击自定义键，然后密钥字段中，键入xms.store.idpuser_attrs。

3. 将该值设置为真正的，然后显示名称中键入xms.store.idpuser_attrs。单击保存。

4. 单击客户端属性，然后单击添加。

5. 选择自定义密钥，然后密钥字段中键入SEND_LDAP_ATTRIBUTES。

6. 在值字段中键入userPrincipalName = $ {user.userprincipalname},电子邮件= $ {user.mail}, displayname = $ {user.displayname}, sAMAccountName = $ {user.samaccountname}, aadupn = $ {user.id_token.upn}, aadtid = $ {user.id_token.tid}，输入说明，然后单击保存。

   以下步骤仅适用于iOS设备。

7. 转至配置>设备策略,单击“添加”,然后选择应用程序配置策略。

8. 输入策略名称，然后单击下一步。

   在“标识符”列表中,单击新增。在包的文本中，输入安全邮件应用程。

9. 在字典内容框中，键入以下文本。

     xenmobileUserAttributes    userprincipalname   $ {user.userprincipalname}  电子邮件  $ {用户。mail}   displayname   $ {user.displayname}   samaccountname   $ {user.samaccountname}   aadupn   $ {user.id_token.upn}   aadtid   $ {user.id_token.tid}    intunemamupn   $ {user.id_token.upn}  

10. 取消选中Windows Phone和Windows桌面/平板电脑复选框，然后单击下一步。

11. 选择选择要将此此策略部署的用词，然后单位保存。

故障排除

常规问题

问题：打开应用程序时，将显示以下错误消息：需要应用程序策略。

解决方案：在微软图形API中添加策略。

问题：您有策略冲突。

解决方案：仅允许为每个应用程序配置一个策略。

问题：您的应用程序无法连接到内部资源。

解决方法：确保正式的防火墙端口处于打开着，租户id正常无误。

Citrix网关问题

下表列出了Citrix网关配置的常见问题及其解决方案。要进行故障排除，请启用更多日志并通过执行以下操作进行检查：

1. 在命令行界面中，运行以下命令：set audit syslogParams -logLevel ALL
2. 使用tail - f /var/log/ns.log从壳检查日志

问题	解决方案
为Azure上的网关应用程序配置所需的权限不可用。	检查是有毛的Intune许可证可用。尝试尝试用作Manage.Windowsazure.com门户来查看可根据。
Citrix网关无法访问login.microsoftonline.com和graph.windows.net。	在ns shell中，检查您是能够访问以下面Microsoft网页站点：-v -k https://login.microsoftonline.com。然后，检查citrix网关上是配置配置了dns，以及防火墙设置是正式（如果dns oille防火墙）。
配置OAuthAction后,ns.log中会出现错误。	检查Intune许可是否已启用,以及Azure网关应用程序是否设置了适当的权限。
Sh OAuthAction命令不会显示OAuth状态为完成。	检查Azure门户应用程序的DNS设置和配置权限。
Android或iOS设备不显示双重身份验证提示。	检查双重设备身份证登录架构是否绑定到身份验证虚拟服务器。

OAuth错误错误和状态

状态	错误状况
完全的	成功
AADFORGRAPH	密钥无效、URL未解析,连接超时
MDMINFO	* manage.microsoft.com已关闭或无法访问
图	图形端点已关闭，无法访问
CERTFETCH	由于DNS错误无法与令牌端点https://login.microsoftonline.com通信。要验证此配置,请转到shell并键入curl https://login.microsoftonline.com。此命令必须验证。

限制

以下各项描述了将微软EMS / Intune与Citrix端点管理结合使用的一些限制。

• 使用Citrix和Intune部署应用程序以支持微VPN时:当用户提供其用户名和密码以访问摘要站点时,即使凭据有效,也会出现错误。(cxm - 25227)
• 将拆分通道从开更改为之关,并等待当前网关会话过期后:用户在完整VPN模式下启动内部站点之前,外部流量无需通过Citrix网关即可直接通过。(cxm - 34922)
• 将“打开方式”策略从仅托管应用程序更改为之所有应用程序后,用户在关闭并重新启动安全邮件之前,无法在非托管应用程序中打开文档。(cxm - 34990)
• 在完整vpn模式下分数通行为开,并且拆分DNS从本地更改为远程时,内部站点无法加载。(cxm - 35168)

已知问题

禁用了mVPN策略启用http / https重定向(使用SSO)时,安全邮件不起作用。(cxm - 58886)

第三方已知问题

在安全的邮件为Android上,当用户轻按创建新事件时，不会显示新事件创建页面。(cxm - 23917)

使用Citrix和Intune部署Citrix安全iOS的邮件以支持微VPN时:在用户将应用程序移动到后台时,不会强制执行隐藏安全邮件屏幕的应用程序策略。(cxm - 25032)