Citrix Endpoint Management

Integration von Citrix Endpoint Management in Microsoft Intune/EMS

Durch die Integration von Endpoint Management in Microsoft Enterprise Mobility + Security (EMS)/Intune können Microsoft Intune-fähige Apps wie Microsoft Managed Browser die Vorteile von Endpoint Management Micro-VPN nutzen.

Wenden Sie sich an das Citrix Cloud Operations-Team, um die Integration zu aktivieren.

Hinweis:

Microsoft hat Intune in Microsoft Endpoint Manager integriert und nennt Intune gelegentlich auch Microsoft Endpoint Manager.

Dieses Release unterstützt die folgenden Anwendungsfälle:

  • Intune MAM mit Endpoint Management MDM+MAM.

    Dieser Artikel erläutert den Anwendungsfall Intune MAM + Endpoint Management MDM+MAM. Nachdem Sie Citrix als MDM-Anbieter hinzugefügt haben, konfigurieren Sie mit Intune verwaltete Apps für die Bereitstellung auf Geräten.

    Wichtig:

    In diesem Anwendungsfall unterstützt Secure Mail die Integration mit Intune nicht. Secure Mail funktioniert nur bei im MDX-Modus registrierten Geräten.

  • Intune MAM und Endpoint Management MDM.
  • Intune MAM.
  • Intune MAM und Intune MDM. Secure Mail für iOS unterstützt Single Sign-On für diesen Anwendungsfall.

Erste Schritte

Dieses Dokument enthält eine einfache grafische Anleitung zum Einrichten der Endpoint Management-Integration in EMS/Intune.

Systemanforderungen

MDX-fähig

Microsoft

  • Azure AD-Zugriff (mit Mandantenadministratorberechtigung)
  • Intune-fähiger Mandant

Firewallregel

  • Firewallregel, die DNS- und SSL-Datenverkehr von einer Citrix Gateway-Subnetz-IP an *.manage.microsoft.com, https://login.microsoftonline.com und https://graph.windows.net zulässt (Port 53 und 443)

Voraussetzungen

  • Managed Browser: Das SDK für mobile Apps ist in die Intune Managed Browser-App für iOS und Android integriert. Weitere Informationen zum Managed Browser finden Sie auf der Managed Browser-Seite von Microsoft.
  • Citrix Cloud-Konto: Wenden Sie sich an einen Citrix Vertriebsmitarbeiter, um sich für ein Citrix-Konto zu registrieren und eine Citrix Endpoint Management-Testversion anzufordern. Wenn Sie bereit sind fortzufahren, gehen Sie zu https://onboarding.cloud.com. Weitere Informationen zum Anfordern eines Citrix Cloud-Kontos finden Sie unter Registrierung bei Citrix Cloud.

    Hinweis:

    Die von Ihnen angegebene E-Mail-Adresse darf nicht mit Azure AD verknüpft sein. Sie können einen beliebigen kostenlosen E-Mail-Service nutzen.

  • APNs-Zertifikate für iOS: Konfigurieren Sie APNs-Zertifikate für iOS. Weitere Informationen zum Einrichten solcher Zertifikate finden Sie in dem Citrix Blogbeitrag Creating and Importing APNs Certificates.
  • Azure AD-Synchronisierung: Richten Sie die Synchronisierung zwischen Azure AD und dem On-Premises-Active Directory ein. Installieren Sie das Tool zur AD-Synchronisierung nicht auf dem Domänencontroller. Weitere Informationen zum Einrichten dieser Synchronisierung finden Sie in der Microsoft-Dokumentation: Azure Active Directory.

Konfigurieren von Citrix Gateway

Wenn Sie eine neue Bereitstellung von Endpoint Management einrichten, installieren Sie eines der folgenden Citrix Gateway-Geräte:

  • NetScaler Gateway VPX, Serie 3000 oder höher
  • NetScaler Gateway MPX oder dedizierte SDX-Instanz

Verwenden von Citrix Gateway mit der Endpoint Management-Integration in EMS/Intune:

  • Konfigurieren Sie Citrix Gateway mit einer Managementoberfläche und einer Subnetz-IP-Adresse.
  • Verwenden Sie TLS 1.2 für die gesamte Kommunikation zwischen Client und Server. Hinweise zum Konfigurieren von TLS 1.2 für Citrix Gateway finden Sie unter CTX247095.

Wenn Sie die Endpoint Management-Integration mit EMS/Intune mit einer MDM+MAM-Bereitstellung von Endpoint Management verwenden, konfigurieren Sie zwei Citrix Gateways. Der Datenverkehr der MDX-App wird über das eine Citrix Gateway geleitet. Der Datenverkehr der Intune-App wird über das andere Citrix Gateway geleitet. Konfigurieren Sie:

  • Zwei öffentliche IP-Adressen.
  • Optional eine IP-Adresse mit Netzwerkadressübersetzung.
  • Zwei DNS-Namen. Beispiel: https://mam.company.com.
  • Zwei öffentliche SSL-Zertifikate. Konfigurieren Sie Zertifikate, die dem reservierten öffentlichen DNS-Namen entsprechen, oder verwenden Sie Zertifikate mit Platzhalterzeichen.
  • Ein MAM-Load Balancer mit einer internen, nicht routbaren IP-Adresse nach RFC 1918.
  • Ein LDAP/Active Directory-Dienstkonto.

Zustimmung zu delegierten Berechtigungsaufforderungen

Bei einigen verwalteten Apps müssen Benutzer sich authentifizieren. Für diese Apps werden geforderte Anwendungsberechtigungen von Microsoft Graph bereitgestellt. Bei einer Zustimmung erhalten die Apps Zugriff auf erforderliche Ressourcen und APIs. Einige Apps erfordern die Zustimmung des globalen Azure AD-Administrators für Microsoft Azure AD. Für solche delegierten Berechtigungen muss der globale Administrator Citrix Cloud die Berechtigung erteilen, Token anzufordern. Die Token aktivieren dann die nachfolgend aufgeführten Berechtigungen. Siehe Microsoft Graph permissions reference.

  • Anmelden und Benutzerprofil lesen: Diese Berechtigung ermöglicht es Benutzern, sich anzumelden und eine Verbindung mit Azure AD herzustellen. Citrix kann die Benutzeranmeldeinformationen nicht sehen.
  • Grundlegende Profile aller Benutzer lesen: Die App liest Profileigenschaften für die Benutzer in der Organisation. Zu den Eigenschaften gehören Anzeigename, Vor- und Nachname, E-Mail-Adresse und das Foto von Benutzern in der Organisation.
  • Alle Gruppen lesen: Mit dieser Berechtigung können Azure AD-Gruppen für die Zuweisung von Apps und Richtlinien aufgelistet werden.
  • Als angemeldeter Benutzer auf das Verzeichnis zugreifen: Diese Berechtigung überprüft das Intune-Abonnement und aktiviert die Citrix Gateway- und VPN-Konfiguration.
  • Lesen und Schreiben für Microsoft Intune-Apps.: Die App hat Lese-/Schreibrechte für Folgendes:

    • Von Microsoft verwaltete Eigenschaften
    • Gruppenzuweisungen und App-Status
    • App-Konfigurationen
    • App-Schutzrichtlinien

Während der Citrix Gateway-Konfiguration muss der globale Administrator für Azure AD zudem Folgendes ausführen:

  • Genehmigen des Active Directory, das für das Micro-VPN ausgewählt wurde.
  • Generieren eines geheimen Clientschlüssels, der von Citrix Gateway für die Kommunikation mit Azure AD und Intune verwendet wird.

Der globale Administrator darf nicht die Rolle des Citrix Administrators haben. Der Citrix Administrator weist stattdessen Benutzern mit entsprechenden Administratorberechtigungen für Intune-Anwendungen Azure AD-Konten zu. Der Intune-Administrator übernimmt dann die Rolle eines Citrix Cloud-Administrators, um Intune in Citrix Cloud zu verwalten.

Hinweis:

Citrix verwendet das Kennwort des globalen Intune-Administrators nur während der Einrichtung und leitet die Authentifizierung an Microsoft weiter. Citrix hat keinen Zugriff auf das Kennwort.

Konfigurieren der Endpoint Management-Integration in EMS/Intune

Ein Video mit einer Zusammenfassung der Integration finden Sie unter:

Video-Symbol

  1. Melden Sie sich bei der Citrix Cloud-Site an und fordern Sie eine Testversion von Endpoint Management an.

  2. Ein Vertriebsingenieur vereinbart mit Ihnen ein Onboarding-Meeting. Teilen Sie ihm mit, dass Sie Endpoint Management in EMS/Intune integrieren möchten. Wenn Ihre Anforderung genehmigt wurde, klicken Sie auf Verwalten.

    Citrix Cloud-Site

  3. Von hier können Sie auf das Zahnrad in der oberen rechten Ecke Ihrer Website klicken oder auf Site konfigurieren.

    Citrix Cloud-Site

  4. Folgen Sie dem Link im ersten Schritt zur Seite Identitäts- und Zugriffsverwaltung.

    Link "Identitäts- und Zugriffsverwaltung"

  5. Klicken Sie auf Verbinden, um eine Verbindung mit Ihrem Azure AD herzustellen.

    Seite "Identitäts- und Zugriffsverwaltung"

  6. Geben Sie eine eindeutige Anmelde-URL ein, die der Azure AD-Administrator zur Anmeldung verwendet, und klicken Sie auf Bestätigen.

    Anmelde-URL-Seite und Schaltfläche "Verbinden"

  7. Fügen Sie ein globales Azure AD-Administratorkonto hinzu und akzeptieren Sie die Berechtigungsanforderung.

    Schaltfläche "Anderes Konto verwenden"

    Schaltfläche "Akzeptieren"

  8. Vergewissern Sie sich, dass Ihre Azure AD-Instanz erfolgreich eine Verbindung herstellen kann. Eine erfolgreiche Verbindung ist daran zu erkennen, dass der Text Nicht verbunden zu Aktiviert wechselt.

    Schaltfläche "Trennen"

  9. Klicken Sie auf die Registerkarte Administratoren und fügen Sie den Azure AD Intune-Administrator als Citrix Cloud-Administrator hinzu. Wählen Sie im Dropdownmenü entweder Azure AD oder Citrix Identität aus und suchen Sie nach dem Benutzernamen, den Sie hinzufügen möchten. Klicken Sie auf Einladen, gewähren Sie dem Benutzer Vollzugriff oder Benutzerdefinierten Zugriff, und klicken Sie auf Einladung senden.

    Hinweis:

    Für den benutzerdefinierten Zugriff in Endpoint Management sind folgende Regeln erforderlich: Bibliothek und Citrix Endpoint Management.

    Der Azure AD Intune-Administrator erhält dadurch eine E-Mail-Einladung zum Erstellen eines Kennworts und zur Anmeldung bei Citrix Cloud. Vor der Anmeldung des Administrators müssen Sie sich von allen anderen Konten abmelden.

    Der Azure AD Intune-Administrator muss die verbleibenden Schritte in diesem Verfahren ausführen.

    Option "Einladen" für den Azure AD Intune-Administrator

    Bestätigungsbildschirm

  10. Nach der Anmeldung mit dem neuen Konto klicken Sie unter Endpoint Management auf Verwalten. Bei korrekter Konfiguration wird auf der Seite angezeigt, dass der Azure AD-Administrator angemeldet und das Intune-Abonnement gültig ist.

    Option zum Verwalten von Endpoint Management

Konfigurieren von Citrix Gateway für Micro-VPN

Zur Verwendung von Micro-VPN in Intune müssen Sie Citrix Gateway für die Authentifizierung bei Azure AD konfigurieren. Ein vorhandener virtueller Citrix Gateway-Server kann in diesem Anwendungsfall nicht verwendet werden.

Konfigurieren Sie Azure AD zunächst zur Synchronisierung mit dem On-Premises-Active Directory. Dieser Schritt ist erforderlich, um eine einwandfreie Authentifizierung zwischen Intune und Citrix Gateway sicherzustellen.

Active Directory-Synchronisierung

  1. Klicken Sie in der Citrix Cloud-Konsole unter Endpoint Management auf Verwalten.

  2. Klicken Sie neben Micro-VPN auf Micro-VPN konfigurieren.

    Schaltfläche "Micro-VPN konfigurieren"

  3. Geben Sie einen Namen für den Micro-VPN-Dienst und die externe URL für das Citrix Gateway ein und klicken Sie auf Weiter.

    Das Skript konfiguriert Citrix Gateway zur Unterstützung von Azure AD und der Intune-Apps.

    Seite mit den Citrix Gateway-Details

  4. Klicken Sie auf Script herunterladen. Die ZIP-Datei enthält eine Readme-Datei mit Anweisungen zum Implementieren des Skripts. Sie können an dieser Stelle zwar speichern und beenden, das Micro-VPN wird jedoch erst eingerichtet, wenn Sie das Skript auf dem Citrix Gateway ausführen.

    Schaltfläche "Skript herunterladen"

    Hinweis:

    Wird nach der Citrix Gateway-Konfiguration ein anderer OAuth-Status als COMPLETE angezeigt, konsultieren Sie den Abschnitt “Problembehandlung”.

Konfigurieren der Geräteverwaltung

Wenn Sie außer Apps auch Geräte verwalten möchten, wählen Sie eine Methode zur Geräteverwaltung aus. Sie können Endpoint Management MDM+MAM oder Intune MDM verwenden.

Hinweis:

Standardmäßig ist Intune-MDM für die Konsole ausgewählt. Informationen zur Verwendung von Intune als MDM-Anbieter finden Sie in der Microsoft Intune-Dokumentation.

  1. Klicken Sie in der Citrix Cloud-Konsole im Bereich “Endpoint Management-Integration in EMS/Intune” auf Verwalten. Klicken Sie neben Geräteverwaltung - optional auf MDM konfigurieren.

    Seite "MDM konfigurieren"

  2. Geben Sie einen eindeutigen Sitenamen ein, wählen Sie die für Sie nächstgelegene Cloudregion und fordern Sie eine Site an. Sie werden nun darüber informiert, dass Sie eine E-Mail erhalten, wenn die Site bereitsteht.

    Seite zum Eingeben des Sitenamens

    Anfragebestätigung für Site

  3. Klicken Sie auf OK, um die Information zu schließen. Wählen Sie einen Active Directory-Ort zur Verknüpfung mit Ihrer Site oder erstellen Sie einen Ressourcenstandort und klicken Sie auf Weiter.

    Option für den Active Directory-Ort

    Option zum Erstellen eines Ressourcenstandorts

  4. Klicken Sie auf Cloud Connector herunterladen und folgen Sie den angezeigten Anweisungen, um den Cloud Connector zu installieren. Klicken Sie nach der Installation auf Verbindung testen, um die Verbindung zwischen Citrix Cloud und dem Cloud Connector zu überprüfen.

    Option zum Herunterladen des Cloud Connectors

    Option zum Testen der Verbindung

  5. Klicken Sie abschließend auf Speichern & Beenden. Der Ressourcenstandort wird angezeigt. Wenn Sie auf Fertig stellen klicken, gelangen Sie zurück zum Einstellungsbildschirm.

    Bildschirm zum Speichern und Beenden

  6. Sie können nun von Ihrer Sitekachel aus auf die Endpoint Management-Konsole zugreifen. Von hier aus können Sie MDM-Verwaltungsaufgaben ausführen und Geräterichtlinien zuweisen. Weitere Informationen zu Geräterichtlinien finden Sie unter Geräterichtlinien.

    Bildschirm "Site verwalten"

Konfigurieren der Bereitstellung von mit Intune verwalteten Apps auf Geräten

Das Bereitstellen von mit Intune verwalteten Apps umfasst folgende Schritte:

  • Hinzufügen der Apps zur Citrix Cloud-Bibliothek
  • Erstellen von Endpoint Management-Geräterichtlinien zur Datenflusssteuerung
  • Erstellen einer Bereitstellungsgruppe für die Apps und Richtlinien

Hinzufügen von mit Intune verwalteten Apps zur Citrix Cloud-Bibliothek

Führen Sie Folgendes für jede App aus, die Sie hinzufügen möchten:

  1. Klicken Sie in der Citrix Cloud-Konsole auf das Menüsymbol und dann auf Bibliothek.

    Seite "Bibliothek" in Citrix Cloud

  2. Klicken Sie oben rechts auf das blaue Pluszeichen und dann auf Mobile App hinzufügen.

    Möglicherweise dauert es eine Minute, bis die Optionen in der Liste angezeigt werden.

    Option "Mobile App hinzufügen"

  3. Wählen Sie eine App-Vorlage zum Anpassen aus oder klicken Sie auf Upload my own App.

    Zu konfigurierende Richtlinien

    Citrix stellt App-Vorlagen bereit, zu denen jeweils ein Satz vorkonfigurierter Standardrichtlinien gehört. Für von Kunden hochgeladene Apps gelten folgende Richtlinien:

    • MDX-Dateien: Enthält MAM-SDK-fähige Apps oder Apps, die mit MDX umschlossen wurden, zum Beispiel:
      • Intune App-Schutzrichtlinien und standardmäßige MDX-Richtlinien im Paket
      • Öffentliche Store-Apps, z. B. Intune App-Schutzrichtlinien und standardmäßige MDX-Richtlinien, die der Paket-ID entsprechen
    • IPA-Dateien: Intune-App-Schutzrichtlinien.
    • APK-Dateien: Intune-App-Schutzrichtlinien.

    Hinweis:

    Wenn eine App nicht mit Intune umschlossen ist, werden keine Intune-App-Schutzrichtlinien angewendet.

  4. Klicken Sie auf Upload my own App und laden Sie Ihre mit MDX bzw. Intune umschlossene Datei hoch.

    Seite zum Hochladen eigener umschlossener Apps

  5. Geben Sie einen Namen und eine Beschreibung für die App ein, wählen Sie aus, ob die App optional oder erforderlich sein soll, und klicken Sie auf Weiter.

  6. Konfigurieren Sie die Anwendungseinstellungen. Die folgenden Konfigurationen ermöglichen den Datentransfer zwischen Endpoint Management- und Intune-Containern.

    • Allow apps to receive data from other app: Wählen Sie Policy managed apps.
    • Allow app to transfer data to other apps: Wählen Sie All apps.
    • Restrict cut, copy, paste with other apps: Wählen Sie Policy managed apps.
  7. Konfigurieren Sie die Speicherrepositorys für gespeicherte Daten. Wählen Sie unter Select which storage services corporate data can be saved to die Option LocalStorage.

  8. Optional: Legen Sie Data Relocation-, Access- und PIN-Richtlinien für die App fest. Klicken Sie auf Weiter.

  9. Überprüfen Sie die Zusammenfassung und klicken Sie dann auf Fertig stellen.

    Die App-Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird gemeldet, dass die App in der Bibliothek veröffentlicht wurde.

    Schaltfläche "Fertig stellen"

  10. Um der App Benutzergruppen zuzuweisen, klicken Sie auf Benutzer zuweisen.

    Option "Benutzer zuweisen"

  11. Suchen Sie über das Suchfeld nach Benutzergruppen und klicken Sie auf diese, um sie hinzuzufügen. Sie können keine einzelnen Benutzer hinzufügen.

    Option "Abonnenten hinzufügen"

  12. Wenn Sie alle Gruppen hinzugefügt haben, können Sie auf das X klicken, um das Fenster zu schließen.

    Status "Bereit"

    Beim Hinzufügen von Benutzergruppen kann ein Fehler auftreten. Das ist der Fall, wenn die Benutzergruppe nicht mit Ihrem lokalen Active Directory synchronisiert wurde.

Steuerung des Datentransfertyps zwischen verwalteten Apps

Mit Endpoint Management-Geräterichtlinien können Sie festlegen, welche Daten zwischen verwalteten Apps in den Endpoint Management- oder Intune-Containern übertragen werden können. Sie können eine Einschränkungsrichtlinie konfigurieren, sodass nur Daten mit dem Tag “corporate” zugelassen werden. Konfigurieren Sie eine App-Konfigurationsrichtlinie, um Datentags hinzuzufügen.

Konfigurieren der Geräteeinschränkungsrichtlinie:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien.

  2. Klicken Sie auf der Seite Geräterichtlinien auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

    Konfigurationsbildschirm für Geräterichtlinien

  3. Um eine Geräterichtlinie für iOS-Apps zu erstellen, wählen Sie im Bereich Plattformen die Option iOS.

  4. Klicken Sie in der Liste der Richtlinien auf Einschränkungen.

  5. Geben Sie auf der Seite Richtlinieninformationen einen Namen und (optional) eine Beschreibung für die Richtlinie ein. Klicken Sie auf Weiter.

  6. Wählen Sie unter Sicherheit - Zulassen für die Option Dokumente von verwalteten Apps in nicht verwalteten Apps die Einstellung Aus. Bei Auswahl von Aus werden auch folgende Einstellungen auf Aus gesetzt: Nicht verwaltete Apps lesen verwaltete Kontakte und Verwaltete Apps schreiben nicht verwaltete Kontakte. Klicken Sie auf Weiter.

  7. Klicken Sie auf Weiter, bis die Schaltfläche Speichern angezeigt wird. Klicken Sie auf Speichern.

Konfigurieren Sie für jede App die Geräterichtlinie für die App-Konfiguration:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien.

  2. Klicken Sie auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

  3. Um eine Geräterichtlinie für eine iOS-App zu erstellen, wählen Sie im Bereich Plattformen die Option iOS.

  4. Geben Sie auf der Seite Richtlinieninformationen einen Namen und (optional) eine Beschreibung für die Richtlinie ein. Klicken Sie auf Weiter.

  5. Klicken Sie in der Liste der Richtlinien auf App-Konfiguration.

  6. Wählen Sie den Bezeichner für die zu konfigurierende App aus.

  7. Fügen Sie für iOS-Apps den folgenden Text zum Wörterbuchinhalt hinzu:

    <dict>
        <key>IntuneMAMUPN</key>
        <string>${user.userprincipalname}</string>
    </dict>
    
  8. Klicken Sie auf Wörterbuch prüfen.

  9. Klicken Sie auf Weiter.

  10. Klicken Sie auf Speichern.

Konfigurieren von Bereitstellungsgruppen für Apps und Geräterichtlinien

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Bereitstellungsgruppen.

  2. Klicken Sie auf der Seite Bereitstellungsgruppen auf Hinzufügen. Die Seite Bereitstellungsgruppeninformationen wird angezeigt.

  3. Geben Sie auf der Seite Bereitstellungsgruppeninformationen einen Namen und (optional) eine Beschreibung für die Bereitstellungsgruppe ein. Klicken Sie auf Weiter.

  4. Geben Sie auf der Seite Zuweisungen an, wie die Bereitstellungsgruppe bereitgestellt werden soll: Wählen Sie In Endpoint Management oder In Citrix Cloud.

    Konfigurationsbildschirm für Bereitstellungsgruppen

  5. Bei Auswahl von In Endpoint Management:

    • Domäne auswählen: Wählen Sie in der Liste die Domäne aus, in der Sie Benutzer auswählen möchten.
    • Benutzergruppen einschließen: Führen Sie einen der folgenden Schritte aus:
      • Klicken Sie in der Liste der Benutzergruppen auf die Gruppen, die Sie hinzufügen möchten. Die ausgewählten Gruppen werden in der Liste Ausgewählte Benutzergruppen angezeigt.
      • Klicken Sie auf Suchen, um eine Liste aller Benutzergruppen in der ausgewählten Domäne anzuzeigen.
      • Geben Sie den Gruppennamen vollständig oder teilweise in das Suchfeld ein und klicken Sie dann auf Suchen, um die Liste der Benutzergruppen einzuschränken.

      Zum Entfernen einer Benutzergruppe aus der Liste Ausgewählte Benutzergruppen führen Sie einen der folgenden Schritte aus:

      • Klicken Sie in der Liste Ausgewählte Benutzergruppen auf das X neben den Gruppen, die Sie entfernen möchten.
      • Klicken Sie auf Suchen, um eine Liste aller Benutzergruppen in der ausgewählten Domäne anzuzeigen. Navigieren Sie durch die Liste und deaktivieren Sie die Kontrollkästchen aller Gruppen, die Sie entfernen möchten.
      • Geben Sie den Gruppennamen vollständig oder teilweise in das Suchfeld ein und klicken Sie dann auf Suchen, um die Liste der Benutzergruppen einzuschränken. Navigieren Sie durch die Liste und deaktivieren Sie die Kontrollkästchen aller Gruppen, die Sie entfernen möchten.
  6. Klicken Sie auf Weiter.

  7. Ziehen Sie auf der Seite Richtlinien die Einschränkungsrichtlinie und die App-Konfigurationsrichtlinie, die Sie erstellt haben, von links nach rechts. Klicken Sie auf Weiter.

  8. Ziehen Sie auf der Seite Apps die Apps, die Sie bereitstellen möchten, von der linken Seite auf Erforderliche Apps oder Optionale Apps. Klicken Sie auf Weiter.

  9. Konfigurieren Sie optional die Einstellungen auf den Seiten Medien, Aktionen und Registrierungsprofil. Oder übernehmen Sie auf jeder Seite die Standardwerte und klicken Sie auf Weiter.

  10. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen für die Bereitstellungsgruppe und klicken Sie auf Speichern, um die Bereitstellungsgruppe zu erstellen.

Wählen Sie beim Veröffentlichen der App in der EMS-Konsole die Option Verwaltung der App erzwingen. Benutzer auf nicht betreuten Geräten werden aufgefordert, die Verwaltung der App zuzulassen. Wenn Benutzer die Eingabeaufforderung akzeptieren, wird die App auf dem Gerät verwaltet. Wenn Benutzer die Aufforderung ablehnen, ist die App auf dem Gerät nicht verfügbar.

Konfigurieren von Secure Mail

Secure Mail unterstützt jetzt verschiedene Konfigurationen. Sie können Secure Mail in einem Intune-MAM-Container umschließen, der mit einem On-Premises-Exchange Server verbunden ist. Sie können Secure Mail mit gehosteten Exchange- oder mit Office 365-Postfächern verbinden. Dieses Release unterstützt jedoch keine zertifikatbasierte Authentifizierung. Verwenden Sie stattdessen LDAP.

Wichtig:

Um Secure Mail im MDX-Modus zu verwenden, müssen Sie Citrix Endpoint Management MDM+MAM verwenden.

Secure Mail stellt außerdem automatisch die Benutzernamen bereit. Hierfür müssen Sie zunächst die folgenden benutzerdefinierten Richtlinien konfigurieren:

  1. Wechseln Sie in der Endpoint Management-Konsole zu Einstellungen > Servereigenschaften und klicken Sie dann auf Hinzufügen.

  2. Klicken Sie in der Liste auf Benutzerdefinierter Schlüssel und geben Sie im Feld Schlüssel xms.store.idpuser_attrs ein.

  3. Legen Sie den Wert auf true fest und geben Sie dann unter Anzeigename xms.store.idpuser_attrs ein. Klicken Sie auf Speichern.

  4. Klicken Sie auf Clienteigenschaften und dann auf Hinzufügen.

  5. Wählen Sie Benutzerdefinierter Schlüssel und geben Sie SEND_LDAP_ATTRIBUTES im Feld Schlüssel ein.

  6. Geben Sie userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid} im Feld Wert ein, geben Sie eine Beschreibung ein und klicken Sie auf Speichern.

    Die folgenden Schritte gelten nur für iOS-Geräte.

  7. Gehen Sie zu Konfigurieren > Geräterichtlinien klicken Sie auf “Hinzufügen” und wählen die Richtlinie App-Konfiguration.

  8. Geben Sie einen Richtliniennamen ein und klicken Sie auf Weiter.

    Klicken Sie in der Liste “ID” auf Hinzufügen. Geben Sie im angezeigten Textfeld die Paket-ID Ihrer Secure Mail-App ein.

  9. Geben Sie im Feld Wörterbuchinhalt Folgendes ein:

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key>userPrincipalName</key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key>aadupn</key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. Deaktivieren Sie die Kontrollkästchen Windows Phone und Windows Desktop/Tablet und klicken Sie auf Weiter.

  11. Wählen Sie die Benutzergruppen aus, für die die Richtlinie bereitgestellt werden soll, und klicken Sie dann auf Speichern.

Problembehandlung

Allgemeine Probleme

Problem: Beim Öffnen einer App wird folgende Fehlermeldung angezeigt: App-Richtlinie erforderlich.

Lösung: Fügen Sie Richtlinie der Microsoft Graph-API hinzu.

Problem: Es liegen Richtlinienkonflikte vor.

Lösung: Pro App ist nur eine Richtlinie zulässig.

Problem: Die App kann keine Verbindung zu internen Ressourcen herstellen.

Lösung: Stellen Sie sicher, dass die richtigen Firewallports geöffnet sind, Ihre Mandanten-ID korrekt ist usw.

Citrix Gateway-Probleme

In der folgenden Tabelle werden häufige Probleme mit der Citrix Gateway-Konfiguration sowie Lösungen aufgeführt. Zur Problembehandlung aktivieren Sie weitere Protokolle und überprüfen diese, wie folgt:

  1. Führen Sie an der Befehlszeilenschnittstelle den folgenden Befehl aus: set audit syslogParams -logLevel ALL
  2. Überprüfen Sie die Protokolle über eine Shell mit tail -f /var/log/ns.log.
Problem Lösung
Die für die Konfiguration der Gateway-App in Azure erforderlichen Berechtigungen sind nicht verfügbar. Überprüfen Sie, ob eine Intune-Lizenz verfügbar ist. Versuchen Sie eine Verwendung des Portals manage.windowsazure.com, um zu prüfen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht.
Citrix Gateway kann login.microsoftonline.com und graph.windows.net nicht erreichen. Überprüfen Sie in der NS-Shell, ob Sie die folgende Microsoft-Website erreichen können: curl -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf dem Citrix Gateway konfiguriert ist und ob die Firewalleinstellungen korrekt sind (falls DNS-Anforderungen die Firewall passieren).
Ein Fehler erscheint in ns.log nachdem Sie OAuthAction konfiguriert haben. Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt.
Der Befehl “OAuthAction” zeigt den OAuth-Status nicht als abgeschlossen an. Überprüfen Sie die DNS-Einstellungen und Berechtigungen für die Azure Gateway-App.
Auf dem Android- bzw. iOS-Gerät wird die Zweifaktor-Authentifizierungsaufforderung nicht angezeigt. Überprüfen Sie, ob das Zweifaktor-Geräte-ID-LogonSchema an den virtuellen Authentifizierungsserver gebunden ist.

OAuth-Fehlerbedingung und -status

Status Fehlerbedingung
COMPLETE Erfolg
AADFORGRAPH Ungültiger Schlüssel, URL nicht aufgelöst, Verbindungstimeout
MDMINFO *manage.microsoft.com ausgefallen oder nicht erreichbar
GRAPH Graph-Endpunkt nicht erreichbar
CERTFETCH Kommunikation mit Token Endpoint: https://login.microsoftonline.com wegen eines DNS-Fehlers nicht möglich. Um diese Konfiguration zu überprüfen, gehen Sie zur Shell und geben Sie curl https://login.microsoftonline.com ein. Der Befehl muss validieren.

Einschränkungen

Folgende Einschränkungen gelten bei der Verwendung von Microsoft EMS/Intune mit Citrix Endpoint Management.

  • Wenn Sie Apps mit Citrix und Intune zur Unterstützung von Micro-VPN bereitstellen: Wenn Benutzer ihren Benutzername und ihr Kennwort für den Zugriff auf Digest-Sites eingeben, erscheint ein Fehler, obwohl die Anmeldeinformationen gültig sind. [CXM-25227]
  • Nach dem Ändern von Split-Tunneling von Ein in Aus und Warten auf das Ablaufen der aktuellen Gateway-Sitzung wird externer Datenverkehr direkt und ohne Leitung über Citrix Gateway gesendet, bis der Benutzer eine interne Site im Modus “vollständiges VPN” startet. [CXM-34922]
  • Nach dem Ändern der Öffnen-in-Richtlinie von Nur verwaltete Apps in Alle Apps können Benutzer Dokumente erst dann in nicht verwalteten Apps öffnen, wenn sie Secure Mail geschlossen und neu gestartet haben. [CXM-34990]
  • Wenn im Modus “vollständiges VPN” Split-Tunneling auf Ein festgelegt ist und Split DNS von lokal zu remote wechselt, können interne Sites nicht geladen werden. [CXM-35168]

Bekannte Probleme

Wenn die mVPN-Richtlinie HTTP/HTTPS-Umleitung (mit SSO) aktivieren deaktiviert ist, funktioniert Secure Mail nicht. [CXM-58886]

Probleme mit Drittanbieterprodukten

Wenn ein Benutzer in Secure Mail für Android auf Neues Ereignis erstellentippt, wird die Seite zum Erstellen von Ereignissen nicht angezeigt. [CXM-23917]

Wenn Sie Citrix Secure Mail für iOS mit Citrix und Intune zur Unterstützung von Micro-VPN bereitstellen wird die App-Richtlinie, durch die der Secure Mail-Bildschirm verdeckt wird, wenn Benutzer die App in den Hintergrund verschieben, nicht erzwungen. [CXM-25032]