Integration von Citrix Endpoint Management in Microsoft Intune/EMS

Durch die Integration von Endpoint Management in Microsoft Enterprise Mobility + Security (EMS)/Intune können Microsoft Intune-fähige Apps wie Microsoft Managed Browser die Vorteile von Endpoint Management Micro-VPN nutzen.

Bei einer Endpoint Management-Integration in EMS/Intune können unternehmenseigene Branchen-Apps außerdem mit Intune und Citrix umschlossen werden, um Micro-VPN-Funktionen in einem Intune-Container zur Mobilanwendungsverwaltung (MAM) bereitzustellen. Das Micro-VPN von Endpoint Management ermöglicht Apps den Zugang zu lokalen Ressourcen. Sie können Office 365-Apps, branchenspezifische Apps und Citrix Secure Mail in einem einzigen Container verwalten und bereitstellen und auf diese Weise Sicherheit und Produktivität weiter optimieren.

Dieses Release unterstützt die folgenden Anwendungsfälle:

  • Intune MAM
  • Intune MAM und Intune-Mobilgeräteverwaltung (MDM)
  • Intune MAM mit Endpoint Management nur-MDM
  • Intune MAM mit Endpoint Management MDM und MAM

    Wichtig:

    Secure Mail funktioniert in diesem Anwendungsfall nur im Citrix MAM-Modus.

Erste Schritte

Dieses Dokument enthält eine einfache grafische Anleitung zum Einrichten der Endpoint Management-Integration in EMS/Intune.

Systemanforderungen

  • Citrix Gateway, Version 12.0.59.x oder 12.1.50.x oder höher. Sie können die neueste Version von Citrix Gateway von der Citrix Gateway-Downloadseite herunterladen.
  • Windows-Desktop mit Windows 7 oder höher (nur für das Umschließen von Android-Apps)
  • Ein Mac mit macOS 10.10 oder höher (für das Umschließen von iOS- oder Android-Apps)
  • Mobile Plattformen:
    • iOS 11.x
    • Android 6.x, 7.x, 8.x

Microsoft

  • Azure AD-Zugriff (mit Mandantenadministratorberechtigung)
  • Intune-fähiger Mandant

Firewallregel

  • Firewallregel, die DNS- und SSL-Datenverkehr von einer Citrix Gateway-Subnetz-IP an *.manage.microsoft.com, https://login.microsoftonline.com und https://graph.windows.net zulässt (Port 53 und 443)

Voraussetzungen

  • Intune-Umgebung: Wenn Sie noch keine Intune-Umgebung eingerichtet haben, folgen Sie den Anweisungen in der Microsoft-Dokumentation.
  • Intune-App-Wrapper: Microsoft hostet die Wrapper in einem privaten GitHub-Repository, auf das nur auf Einladung zugegriffen werden kann. Wenn Sie eine Einladung erhalten haben, laden Sie die Wrapper von Microsoft herunter. Links zum Herunterladen der Wrapper finden Sie in der Microsoft Intune App SDK-Dokumentation.
  • Managed Browser: Das SDK für mobile Apps ist in die Intune Managed Browser-App für iOS und Android integriert. Weitere Informationen zum Managed Browser finden Sie auf der Managed Browser-Seite von Microsoft.
  • Android-SDK und Java-JDK installiert. Installieren Sie diese Komponenten auf der Maschine, mit der Sie Apps umschließen möchten. Weitere Informationen zum Intune SDK finden Sie unter Microsoft Intune App SDK for Android developer guide.
  • JDK-Umgebungsvariable. Legen Sie die JDK-Umgebungsvariable für das JDK fest, um den Pfad entsprechend der Version und des Speicherorts Ihres JDKs festzulegen. Beispiel: $env:Path += ";C:\\Program Files\\Java\\jdk1.8.0_121\\bin"
  • Citrix Cloud-Konto. Wenden Sie sich an einen Citrix Vertriebsmitarbeiter, um sich für ein Citrix-Konto zu registrieren und eine Citrix Endpoint Management-Testversion anzufordern. Wenn Sie bereit sind, fortzufahren, gehen Sie zu https://onboarding.cloud.com. Weitere Informationen zum Anfordern eines Citrix Cloud-Kontos finden Sie unter “Registrieren bei Citrix Cloud”.

    Hinweis:

    Die von Ihnen angegebene E-Mail-Adresse darf nicht mit Azure AD verknüpft sein. Sie können einen beliebigen kostenlosen E-Mail-Service nutzen.

  • APNs-Zertifikate für iOS. Konfigurieren Sie APNs-Zertifikate für iOS. Weitere Informationen zum Einrichten solcher Zertifikate finden Sie in dem Citrix Blogbeitrag Creating and Importing APNs Certificates.
  • Azure AD-Synchronisierung. Richten Sie die Synchronisierung zwischen Azure AD und dem On-premises-Active Directory ein. Installieren Sie das Tool zur AD-Synchronisierung nicht auf dem Domänencontroller. Weitere Informationen finden Sie in der Microsoft-Dokumentation: Integrate your on-premises directories with Azure Active Directory.

Zustimmung zu delegierten Berechtigungsaufforderungen

Verwaltete Apps, bei denen Benutzer sich authentifizieren müssen, fordern Anwendungsberechtigungen an, die von Microsoft Graph bereitgestellt werden. Bei einer Zustimmung erhalten die Apps Zugriff auf erforderliche Ressourcen und APIs. Einige Apps erfordern die Zustimmung des globalen Azure AD-Administrators für Microsoft Azure AD. Für solche delegierten Berechtigungen muss der globale Administrator Citrix Cloud die Berechtigung erteilen, Token anzufordern. Die Token aktivieren dann die nachfolgend aufgeführten Berechtigungen. Weitere Informationen finden Sie auf der Microsoft Graph permissions reference.

  • Anmelden und Benutzerprofil lesen. Diese Berechtigung ermöglicht es Benutzern, sich anzumelden und eine Verbindung mit Azure AD herzustellen. Für Citrix sind Benutzeranmeldeinformationen nicht transparent.
  • Lesen der grundlegenden Profile aller Benutzer. Die App liest Profileigenschaften für die Benutzer in der Organisation. Zu den Eigenschaften gehören Anzeigename, Vor- und Nachname, E-Mail-Adresse und das Foto von Benutzern in der Organisation.
  • Lesen aller Gruppen. Mit dieser Berechtigung können Azure AD-Gruppen für die Zuweisung von Apps und Richtlinien aufgelistet werden.
  • Verzeichniszugriff als angemeldeter Benutzer. Diese Berechtigung überprüft das Intune-Abonnement und aktiviert die Citrix Gateway- und VPN-Konfiguration.
  • Lesen und Schreiben für Microsoft Intune-Apps. Die App kann von Microsoft verwaltete Eigenschaften, Gruppenzuweisungen und den Status von Apps, App-Konfigurationen und App-Schutzrichtlinien lesen und bearbeiten.

Der globale Azure AD-Administrator muss außerdem bei der Citrix Gateway-Konfiguration das für Micro-VPN ausgewählte Active Directory genehmigen. Der globale Administrator muss außerdem einen Clientschlüssel erstellen, der von Citrix Gateway für die Kommunikation mit AAD und Intune verwendet wird.

Der globale Administrator darf nicht die Rolle des Citrix Administrators haben. Der Citrix Administrator weist stattdessen Benutzern mit entsprechenden Administratorberechtigungen für Intune-Anwendungen Azure AD-Konten zu. Der Intune-Administrator übernimmt dann die Rolle eines Citrix Cloud-Administrators, um Intune in Citrix Cloud zu verwalten.

Hinweis:

Citrix verwendet das Kennwort des globalen Intune-Administrators nur während der Einrichtung und leitet die Authentifizierung an Microsoft weiter. Citrix hat zu keinem Zeitpunkt Zugriff auf das Kennwort.

Konfigurieren der Endpoint Management-Integration in EMS/Intune

  1. Melden Sie sich bei der Citrix Cloud-Site an und fordern Sie eine Testversion von Endpoint Management an.

  2. Ein Vertriebsingenieur vereinbart mit Ihnen ein Onboarding-Meeting. Teilen Sie ihm mit, dass Sie Endpoint Management in EMS/Intune integrieren möchten. Wenn Ihre Anforderung genehmigt wurde, klicken Sie auf Verwalten.

    Abbildung der Citrix Cloud-Website

  3. Von hier können Sie auf das Zahnrad in der oberen rechten Ecke Ihrer Website klicken oder auf Site konfigurieren.

    Abbildung der Citrix Cloud-Website

  4. Folgen Sie dem Link in Schritt 1 zur Seite Identitäts- und Zugriffsverwaltung.

    Abbildung des Links "Identitäts- und Zugriffsverwaltung"

  5. Klicken Sie auf Verbinden, um eine Verbindung mit Ihrem Azure AD herzustellen.

    Abbildung der Seite "Identitäts- und Zugriffsverwaltung"

  6. Geben Sie eine eindeutige Anmelde-URL ein, die der Azure AD-Administrator zur Anmeldung verwendet, und klicken Sie auf Bestätigen.

    Abbildung der Anmelde-URL-Seite und der Schaltfläche "Verbinden"

  7. Fügen Sie ein globales Azure AD-Administratorkonto hinzu und akzeptieren Sie die Berechtigungsanforderung.

    Abbildung der Schaltfläche "Anderes Konto verwenden"

    Abbildung der Schaltfläche "Akzeptieren"

  8. Vergewissern Sie sich, dass Ihre Azure AD-Instanz erfolgreich eine Verbindung herstellen kann. Eine erfolgreiche Verbindung ist daran zu erkennen, dass der Text Nicht verbunden zu Aktiviert wechselt.

    Abbildung der Schaltfläche "Trennen"

  9. Klicken Sie auf die Registerkarte Administratoren und fügen Sie den Azure AD Intune-Administrator als Citrix Cloud-Administrator hinzu. Wählen Sie im Dropdownmenü entweder Azure AD oder Citrix Identität aus, und suchen Sie nach dem Benutzernamen, den Sie hinzufügen möchten. Klicken Sie auf Einladen, gewähren Sie dem Benutzer Vollzugriff oder Benutzerdefinierten Zugriff, und klicken Sie auf Einladung senden.

    Der Azure AD Intune-Administrator erhält dadurch eine E-Mail-Einladung zum Erstellen eines Kennworts und zur Anmeldung bei Citrix Cloud. Vor der Anmeldung des Administrators müssen Sie sich von allen anderen Konten abmelden.

    Der Azure AD Intune-Administrator muss die verbleibenden Schritte in diesem Verfahren ausführen.

    Abbildung der Option "Einladen" für den Azure AD Intune-Administrator

    Abbildung des Bestätigungsbildschirms

  10. Nach der Anmeldung mit dem neuen Konto klicken Sie unter Endpoint Management auf Verwalten. Wenn alles richtig konfiguriert ist, wird auf der Seite angezeigt, dass der Azure AD-Administrator angemeldet und das Intune-Abonnement gültig ist.

    Abbildung der Option zum Verwalten von Endpoint Management

Video

In diesem Video wird Schritt für Schritt gezeigt, wie Sie die Verbindung zur Endpoint Management-Integration in Intune/EMS herstellen.

Videosymbol

Konfigurieren von Citrix Gateway für Micro-VPN

Zur Verwendung von Micro-VPN in Intune müssen Sie Citrix Gateway für die Authentifizierung bei Azure AD konfigurieren. Ein vorhandener virtueller Citrix Gateway-Server kann in diesem Anwendungsfall nicht verwendet werden.

Konfigurieren Sie Azure AD zunächst zur Synchronisierung mit dem On-Premises-Active Directory. Dieser Schritt ist erforderlich, um eine einwandfreie Authentifizierung zwischen Intune und Citrix Gateway sicherzustellen.

Diagramm der Active Directory-Synchronisierung

  1. Klicken Sie in der Citrix Cloud-Konsole unter Endpoint Management auf Verwalten.

  2. Klicken Sie neben Micro-VPN auf Micro-VPN konfigurieren.

    Abbildung der Schaltfläche "Micro-VPN konfigurieren"

  3. Geben Sie einen Namen für den Micro-VPN-Dienst und die externe URL für das Citrix Gateway ein und klicken Sie auf Weiter.

    Das Skript konfiguriert Citrix Gateway zur Unterstützung von Azure AD und der Intune-Apps.

    Abbildung der Seite mit den Citrix Gateway-Details

  4. Klicken Sie auf Script herunterladen. Die ZIP-Datei enthält eine Readme-Datei mit Anweisungen zum Implementieren des Skripts. Sie können an dieser Stelle zwar speichern und beenden, das Micro-VPN wird jedoch erst eingerichtet, wenn Sie das Skript auf dem Citrix Gateway ausführen.

    Abbildung der Schaltfläche "Script herunterladen"

    Hinweis: Wird nach der Citrix Gateway-Konfiguration ein anderer OAuth-Status als COMPLETE angezeigt, konsultieren Sie den Abschnitt “Problembehandlung”.

Konfigurieren der Geräteverwaltung

Wenn Sie außer Apps auch Geräte verwalten möchten, wählen Sie eine Methode zur Geräteverwaltung aus. Sie können Endpoint Management-MDM oder Intune-MDM verwenden.

Hinweis:

Standardmäßig ist Intune-MDM für die Konsole ausgewählt. Um Intune als MDM-Anbieter zu verwenden, folgen Sie der Microsoft-Dokumentation unter Set the mobile device management authority.

  1. Klicken Sie in der Citrix Cloud-Konsole im Bereich “Endpoint Management-Integration in EMS/Intune” auf Verwalten. Klicken Sie neben Geräteverwaltung - optional auf MDM konfigurieren.

    Abbildung der Seite "MDM konfigurieren"

  2. Geben Sie einen eindeutigen Sitenamen ein, wählen Sie die für Sie nächstgelegene Cloudregion und fordern Sie eine Site an. Sie werden nun darüber informiert, dass Sie eine E-Mail erhalten, wenn die Site bereitsteht.

    Abbildung der Seite zum Eingeben des Sitenamens

    Abbildung der Anfragebestätigung

  3. Klicken Sie auf OK, um die Information zu schließen. Wählen Sie einen Active Directory-Ort zur Verknüpfung mit Ihrer Site oder erstellen Sie einen Ressourcenstandort und klicken Sie auf Weiter.

    Abbildung der Option für den Active Directory-Ort

    Abbildung der Option zur Erstellung eines Ressourcenstandorts

  4. Klicken Sie auf Cloud Connector herunterladen und folgen Sie den angezeigten Anweisungen, um den Cloud Connector zu installieren. Klicken Sie nach der Installation auf Verbindung testen, um die Verbindung zwischen Citrix Cloud und dem Cloud-Connector zu überprüfen.

    Abbildung der Option zum Herunterladen des Cloud Connectors

    Abbildung der Option zum Testen der Verbindung

  5. Klicken Sie abschließend auf Speichern & Beenden. Der Ressourcenstandort wird angezeigt. Wenn Sie auf Fertig stellen klicken, gelangen Sie zurück zum Einstellungsbildschirm.

    Abbildung des Bildschirms zum Speichern und Beenden

  6. Sie können nun von Ihrer Sitekachel aus auf die Endpoint Management-Konsole zugreifen. Von hier aus können Sie MDM-Verwaltungsaufgaben ausführen und Geräterichtlinien zuweisen. Weitere Informationen zu Geräterichtlinien finden Sie unter Geräterichtlinien.

    Abbildung des Bildschirms "Site verwalten"

Umschließen von iOS-Apps

Microsoft hat sein Intune-Tool zum Umschließen von Apps um den optionalen Parameter “-citrix” erweitert. Als letzten Schritt ruft dieser Parameter die Befehlszeilenschnittstelle (CLI) des MDX Toolkits CGAppCLPrepTool zum Umschließen der App auf. Anweisungen zum Umschließen von Apps mit Intune finden Sie unter Prepare line of business apps for MAM.

Wichtig:

Verwenden Sie das für dieses Release bereitgestellte Tool zum Umschließen und nicht das mit dem Artikel verlinkte.

Es gibt mehrere MDX-Optionen. Eine Beschreibung der einzelnen MDX-Varianten finden Sie in der folgenden Liste.

  • Reiner Netzwerk-MDX-Wrapper: Dieser Wrapper kann nur mit Intune MDM, Intune MAM und Endpoint Management im Nur-MDM-Modus verwaltet werden. Umschließen Sie die App mit dem Intune-Tool und geben Sie die Option “-citrix” an. Dieser Wrapper ist eine Minimalversion von MDX, die nur Micro-VPN ohne Beschränkung und Verschlüsselung unterstützt.
  • MDX-Wrapper: Unterstützt andere Arten von Richtlinien, einschließlich Beschränkung. Unterstützt keine Verschlüsselung. Umschließen Sie die App mit dem Intune-Tool und dann dem MDX Toolkit.
  • Citrix SDK für mobile Apps: Verwenden Sie das Citrix SDK für Apps, für die alle MDX-Funktionen einschließlich Verschlüsselung eingesetzt werden sollen.

Das gleiche Ergebnis erhalten Sie, wenn Sie beim Erstellen einer iOS-App das Citrix SDK-Framework und das Intune SDK-Framework verknüpfen. Weitere Informationen zum Citrix SDK für mobile Apps und zum Intune SDK finden Sie im MDX-Entwicklerdokumentation bzw. unter Intune App SDK overview.

Branchen-Apps, die das Intune SDK für Beschränkung oder Netzwerkzwecke verwenden.

Anwendungsbeispiele Intune Citrix MDX
Branchen-Apps, die das Intune SDK verwenden und Beschränkung oder Netzwerk erfordern Intune SDK Reiner Netzwerk-MDX-Wrapper
Mobile Produktivitätsapps von Citrix oder Branchen-Apps, die Beschränkung und Netzwerk erfordern Intune SDK Citrix SDK für mobile Apps
Branchen-Apps für reinen Netzwerk-MDX-Wrapper Intune-Wrapper Reiner Netzwerk-MDX-Wrapper
Verwendung von Microsoft Managed Browser Intune SDK bereits in App integriert Reine MDX-Netzwerkunterstützung bereits in App integriert

Umschließen von Android-Apps

Das Umschließen von Android-Apps funktioniert ähnlich wie bei iOS. Zum Umschließen von Android-Apps wird das Tool ManagedAppUtility.jar verwendet. Sie können Apps über ManagedAppUtility.jar mit der Vollversion oder der reinen Netzwerkversion von MDX umschließen. Zur Verwendung des reinen Netzwerk-Wrappers verwenden Sie den Parameter “-mVPN”.

Die folgende Tabelle enthält Beispiele für die Einsatzgebiete der Wrapper-Varianten.

Szenarios beim Umschließen von Android-Apps

Anwendungsbeispiele Intune Citrix MDX
Microsoft Managed Browser Intune SDK Reiner Netzwerk-MDX-Wrapper
Mobile Produktivitätsapps von Citrix Intune SDK MDX für mobile Produktivitätsapps von Citrix
Branchen-Apps für reinen Netzwerk-Wrapper Intune-Wrapper Reiner Netzwerk-MDX-Wrapper

Hinzufügen von Apps zur Endpoint Management-Integration in EMS/Intune

Gehen Sie folgendermaßen vor, um mit Intune verwaltete Apps hinzuzufügen.

  1. Klicken Sie in der Citrix Cloud-Konsole auf das Menüsymbol und dann auf Bibliothek.

    Abbildung der Seite "Bibliothek" in Citrix Cloud

  2. Klicken Sie oben rechts auf das blaue Pluszeichen und dann auf Mobile App hinzufügen.

    Möglicherweise dauert es eine Minute, bis die Optionen in der Liste angezeigt werden.

    Abbildung der Option "Mobile App hinzufügen"

  3. Wählen Sie eine App-Vorlage zum Anpassen aus oder klicken Sie auf Upload my own App.

    Abbildung der zu konfigurierenden Richtlinien

    Citrix stellt App-Vorlagen bereit, zu denen jeweils ein Satz vorkonfigurierter Standardrichtlinien gehört. Für von Kunden hochgeladene Apps gelten folgende Richtlinien:

    • MDX-Dateien: Umfasst MDX-umschlossene Apps, z. B. Intune-App-Schutzrichtlinien und die im Paket enthaltenen Standard-MDX-Richtlinien sowie Apps aus öffentlichen Stores, z. B. Intune-App-Schutzrichtlinien und die Standard-MDX-Richtlinien, die der Paket-ID entsprechen.
    • IPA-Dateien: Intune-App-Schutzrichtlinien
    • APK-Dateien: Intune-App-Schutzrichtlinien

    Hinweis:

    Wenn eine App nicht mit Intune umschlossen ist, werden keine Intune-App-Schutzrichtlinien angewendet.

  4. Wenn Sie auf Upload my own App geklickt haben, laden Sie Ihre mit MDX bzw. Intune umschlossene Datei hoch.

    Abbildung der Seite zum Hochladen eigener Apps

  5. Geben Sie einen Namen und eine Beschreibung für die App ein, wählen Sie aus, ob die App angeboten oder erforderlich sein soll, und klicken Sie auf Weiter.

  6. Legen Sie über die Richtlinie Netzwerkzugriff fest, ob und wie der Micro-VPN-Zugriff zugelassen werden soll. Durch die Aktivierung von Micro-VPN erhält die App gesteuerten Zugriff auf On-Premises-Ressourcen.

    • Uneingeschränkt: Deaktiviert den Micro VPN-Zugriff. Die App hat uneingeschränkten Zugriff auf das Netzwerk ohne Verwendung von Micro-VPN. Dies ist die Standardeinstellung.

      Hinweis:

      Wenn Sie in Version 18.12.0 uneingeschränkten Netzwerkzugriff konfigurieren und die Richtlinie Micro-VPN-Sitzung erforderlich auf Ja festlegen, ist das Netzwerk nicht verfügbar.

    • Tunnel - Vollständiges VPN: Ermöglicht die Umleitung über einen vollständigen Micro-VPN-Tunnel (TCP-Ebene).
    • Tunnel - Web-SSO: Aktiviert die HTTP/HTTPS-Umleitung (mit SSO) für Micro-VPN.
    • Tunnel - Vollständiges VPN und Web-SSO: Ermöglicht die Umleitung über einen vollständigen Micro-VPN-Tunnel und die HTTP/HTTPS-Umleitung (mit SSO).

      Diese Option ermöglicht die automatische Umschaltung zwischen vollständigem VPN und Web-SSO nach Bedarf. Wenn eine Netzwerkanforderung fehlschlägt, weil eine Authentifizierungsanfrage nicht im Modus “vollständiges VPN” verarbeitet werden konnte, wird sie in dem anderen Modus erneut versucht. Beispielsweise können im vollständigen VPN-Tunnel-Modus Serveraufforderungen für Clientzertifikate erfüllt werden. Der Web-SSO-Modus bedient eher HTTP-Authentifizierungsaufforderungen.

      Diese Einstellung entspricht der mittlerweile veralteten Richtlinie “PermitVPnModeSwitching”.

      Abbildung der Seite mit den Micro-VPN-Richtlinien

  7. Wenn Sie den Micro-VPN-Zugriff aktivieren, legen Sie über die Richtlinie Micro-VPN-Sitzung erforderlich fest, ob eine Onlinesitzung erforderlich ist, damit die App funktioniert. Wählen Sie Ja, damit eine Onlinesitzung erforderlich ist. Die Standardeinstellung ist Nein.

  8. Wenn Sie den Micro-VPN-Zugriff aktivieren, können Sie eine MVPN-Tunnel-Ausschlussliste aufstellen. Geben Sie in dieser die Domänen (durch Kommas getrennt) ein, die Sie von den Micro-VPN-Richtlinien ausschließen möchten.

    Weitere Informationen zu diesen Richtlinien finden Sie unter MDX-Richtlinien.

  9. Konfigurieren Sie weitere Richtlinien für die App und klicken Sie auf Weiter. Eine vollständige Liste der App-Richtlinien finden Sie unter MDX-Richtlinien auf einen Blick.

    Abbildung der Anwendungsrichtlinien

    Hinweis:

    Nicht alle Richtlinien sind verfügbar.

  10. Überprüfen Sie die Zusammenfassung und klicken Sie dann auf Fertig stellen.

    Die App-Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird gemeldet, dass die App in der Bibliothek veröffentlicht wurde.

    Abbildung der Schaltfläche "Fertig stellen"

  11. Um der App Benutzergruppen zuzuweisen, klicken Sie auf Benutzer zuweisen.

    Abbildung der Option "Benutzer zuweisen"

  12. Suchen Sie über das Suchfeld nach Benutzergruppen und klicken Sie auf diese, um sie hinzuzufügen. Sie können keine einzelnen Benutzer hinzufügen.

    Abbildung der Option "Abonnenten hinzufügen"

  13. Wenn Sie alle Gruppen hinzugefügt haben, können Sie das Fenster schließen, indem Sie auf das X klicken.

    Abbildung des Status "Bereit"

    Beim Hinzufügen von Benutzergruppen kann ein Fehler auftreten. Das ist der Fall, wenn die Benutzergruppe nicht mit dem lokalen Active Directory synchronisiert wurde.

MDX-Richtlinien

Wenn Sie eine App mit MDX umschließen oder das Citrix SDK für mobile Apps zum Erstellen der App verwenden, können Intune-Administratoren die MDX-Richtlinien konfigurieren. Die Richtlinien umfassen eine Teilmenge der Citrix MDX-Richtlinien, bei denen zur App-Verwaltung Secure Hub nicht erforderlich ist. Citrix empfiehlt die Verwendung der folgenden MDX-Richtlinien.

Die folgenden Intune-spezifischen Netzwerkverwaltungsrichtlinien steuern die Netzwerkrichtlinienkonfiguration für MDX (vollständige oder reine Netzwerkversion), wenn sie von Intune verwaltet werden. Einige dieser Richtlinien entsprechen Citrix MDX-Netzwerkbeschränkungsrichtlinien. Andere sind spezifisch für die Intune-Konfiguration und -steuerung.

Wichtig:

Das MDX-Toolkit Version 18.12.0 enthält neue Richtlinien, die ältere Richtlinien kombinieren oder ersetzen. Die Richtlinie “Netzwerkzugriff” kombiniert “Netzwerkzugriff”, “Bevorzugter VPN-Modus” und “VPN-Moduswechsel zulassen”. Die Richtlinie “Ausschlussliste” ersetzt “Split-Tunnelausschlussliste”. Die Richtlinie “Micro-VPN-Sitzung erforderlich” ersetzt “Micro-VPN-Sitzung”. Einzelheiten finden Sie unter Neue Features im MDX Toolkit 18.12.0.

“Tunnel - Web-SSO” ist der Name für Secure Browse in den Einstellungen. Das Verhalten ist dasselbe.

  • HTTP/HTTPS-Umleitung (mit SSO) aktivieren. Aktiviert oder deaktiviert die HTTP/HTTPS-Umleitung über den Citrix Gateway Reverse Webproxy-Endpunkt (Tunnel - Web-SSO). Bei der Einstellung Ein wird “Tunnel - Web-SSO” für den Webdatenverkehr verwendet. Bei Verwendung des “Tunnel - Web-SSO”-Endpunkts kann das Gateway inline auf HTTP-Authentifizierungsaufforderungen reagieren, sodass eine SSO-Erfahrung geboten wird. Um “Tunnel - Web-SSO” zu verwenden, legen Sie diese Richtlinie auf Ein fest. Volltunnelumleitung ist für Apps erforderlich, die Clientzertifikate für End-to-End-SSL mit gegenseitiger Authentifizierung verwenden. Für solche Apps muss die Option deaktiviert werden. Der Standardwert ist Ein.
  • Vollständige mVPN-Tunnelumleitung (TCP-Ebene) deaktivieren. Aktiviert oder deaktiviert die Umleitung auf TCP-Ebene über den Citrix Gateway VPN-Tunnelendpunkt. Diese Richtlinie lassen Sie normalerweise immer aktiviert. Die Behandlung von Web-SSO-Problemen ist jedoch oft einfacher, wenn der Eingriff in Webverkehr auf TCP-Ebene verhindert wird, den Standardfunktionen für den Eingriff nicht erfassen. Der Standardwert ist Ein.
  • mVPN-Sitzung erforderlich. Wenn Sie Ein festlegen, stellt das SDK sicher, dass das konfigurierte Gateway erreichbar ist und eine gültige Micro-VPN-Sitzung verfügbar ist, bevor die App aktiv werden kann. Ohne Netzwerk ist das Gateway nicht erreichbar bzw. es kann keine Anmeldesitzung eingerichtet werden. Die App bleibt gesperrt, bis eine funktionierende Micro-VPN-Sitzung bestätigt werden kann. Wenn Sie Aus festlegen, wird die App unabhängig vom Netzwerkzustand geöffnet. Eine Micro-VPN-Sitzung wird bei Bedarf initialisiert, wenn eine für den getunnelten Zugriff konfigurierte App versucht, eine der umgeleiteten Netzwerk-APIs zu verwenden. Der Standardwert ist Aus.
  • mVPN-Tunnelausschlussliste. Kommagetrennte Liste der Namen von Hosts oder Domänen, die von der Weiterleitung über den Citrix Gateway Reverse Webproxy ausgeschlossen werden sollen. Die Hosts bzw. Domänen werden ausgeschlossen, selbst wenn sie durch die für das Gateway konfigurierten Split DNS-Einstellungen eigentlich ausgewählt würden.

    Hinweis:

    Diese Richtlinie wird nur für “Tunnel - Web-SSO”-Verbindungen erzwungen. Wenn HTTP/HTTPS-Umleitung (mit SSO) aktivieren auf Aus festgelegt ist, wird diese Richtlinie ignoriert.

Weitere Informationen zu diesen Richtlinien finden Sie unter MDX-Richtlinien für iOS-Apps.

Bereitstellen von Richtlinien für Branchen-Apps

Wenn Sie Ihre Apps in Intune hochgeladen haben, führen Sie das nachfolgende Verfahren aus, um Richtlinien auf die Apps anzuwenden.

  1. Melden Sie sich bei https://portal.azure.com/ an und navigieren Sie zu Intune > Mobile Apps.
  2. Klicken Sie unter Verwalten auf App-Konfigurationsrichtlinien.
  3. Klicken Sie auf Hinzufügen und geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten. Wählen Sie für Registrierungstyp die Option Nicht mit Intune registriert aus. Diese Auswahl ist eine Einschränkung des aktuellen Systems.
  4. Klicken Sie auf Zugeordnete App, wählen Sie die Apps aus, auf die Sie die Richtlinie anwenden möchten, und klicken Sie auf OK.
  5. Klicken Sie auf Konfigurationseinstellungen.
  6. Geben Sie im Feld Name den Namen einer der Richtlinien ein, die im folgenden Abschnitt dieses Artikels aufgeführt sind.
  7. Geben Sie im Feld Wert den Wert ein, den Sie für diese Richtlinie anwenden möchten. Klicken Sie außerhalb des Felds, um die Richtlinie zur Liste hinzuzufügen. Sie können mehrere Richtlinien hinzufügen.
  8. Klicken Sie auf OK und dann auf Hinzufügen. Die Richtlinie wird der Liste hinzugefügt.
  9. Sie können die Richtlinie löschen. Wählen Sie dazu die Richtlinie aus und klicken Sie dann rechts auf Richtlinie löschen.

Branchenrichtlinien

In der folgenden Tabelle werden die Richtlinien aufgeführt, die Sie für Branchen-Apps bereitstellen können. Zusätzlich zu diesen Richtlinien können Sie auch die Richtlinien verwenden, die weiter oben in diesem Artikel für MDX aufgeführt werden. Weitere Informationen zu diesen Richtlinien finden Sie unter MDX-Richtlinien auf einen Blick.

Name (iOS/Android) Beschreibung Werte
AppLogLevel/DefaultLoggerLevel Steuert den Standarddetailgrad der Diagnoseprotokollierung für mobile Produktivitätsapps. Je größer die Zahl, umso detaillierter die Protokollierung. 1–5
AppLogTarget/DefaultLoggerOut Legt fest, welche Ausgabemedien standardmäßig von der Diagnoseprotokollierung für mobile Produktivitätsapps verwendet werden. Datei, Konsole oder beides
AppLogFileSize/MaxLogFileSize Beschränkt die Größe (in MB) der von der Diagnoseprotokollierung für mobile Produktivitätsapps beibehaltenen Protokolldateien, bevor mit der nächsten Datei fortgefahren wird. Mindestens 1 MB. Der Höchstwert ist 5 MB. 1–5
AppLogFileCount/MaxLogFiles Beschränkt die Anzahl der von der Diagnoseprotokollierung für mobile Produktivitätsapps beibehaltenen Protokolldateien, bevor sie überschrieben werden. Das Minimum ist 2. Das Maximum ist 8. 2–8

Konfigurieren von Secure Mail

Secure Mail unterstützt jetzt verschiedene Konfigurationen. Sie können Secure Mail in einem Intune-MAM-Container umschließen, der mit einem On-Premises-Exchange Server verbunden ist. Sie können Secure Mail mit gehosteten Exchange- oder mit Office 365-Postfächern verbinden. Dieses Release unterstützt jedoch keine zertifikatbasierte Authentifizierung. Verwenden Sie stattdessen LDAP.

Wichtig:

Um Secure Mail im MDM-Modus zu verwenden, müssen Sie Citrix Endpoint Management MDM und MAM verwenden.

Secure Mail stellt außerdem automatisch die Benutzernamen bereit. Hierfür müssen Sie zunächst die folgenden benutzerdefinierten Richtlinien konfigurieren:

  1. Wechseln Sie in der Endpoint Management-Konsole zu Einstellungen > Servereigenschaften und klicken Sie dann auf Hinzufügen.

  2. Klicken Sie in der Liste auf Benutzerdefinierter Schlüssel und geben Sie im Feld Schlüssel xms.store.idpuser_attrs ein.

  3. Legen Sie den Wert auf true fest und geben Sie dann unter Anzeigename xms.store.idpuser_attrs ein. Klicken Sie auf Speichern.

  4. Klicken Sie auf Clienteigenschaften und dann auf Hinzufügen.

  5. Wählen Sie Benutzerdefinierter Schlüssel und geben Sie SEND_LDAP_ATTRIBUTES im Feld Schlüssel ein.

  6. Geben Sie userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid} im Feld Wert ein, geben Sie eine Beschreibung ein und klicken Sie auf Speichern.

    Die folgenden Schritte gelten nur für iOS-Geräte.

  7. Gehen Sie zu Konfigurieren > Geräterichtlinien klicken Sie auf “Hinzufügen” und wählen die Richtlinie App-Konfiguration.

  8. Geben Sie einen Richtliniennamen ein und klicken Sie auf Weiter.

    Klicken Sie in der Liste “ID” auf Hinzufügen. Geben Sie im angezeigten Textfeld die Paket-ID Ihrer Secure Mail-App ein.

  9. Geben Sie im Feld Wörterbuchinhalt Folgendes ein:

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key>userPrincipalName</key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key>aadupn</key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. Deaktivieren Sie die Kontrollkästchen Windows Phone und Windows Desktop/Tablet und klicken Sie auf Weiter.

  11. Wählen Sie die Benutzergruppen aus, für die die Richtlinie bereitgestellt werden soll, und klicken Sie dann auf Speichern.

Problembehandlung

Allgemeine Probleme

Problem: Beim Öffnen einer App wird folgende Fehlermeldung angezeigt: App-Richtlinie erforderlich.

Lösung: Fügen Sie Richtlinie der Microsoft Graph-API hinzu.

Problem: Es liegen Richtlinienkonflikte vor.

Lösung: Pro App ist nur eine Richtlinie zulässig.

Problem: Beim Umschließen einer App wird folgender Fehler angezeigt:

Failed to package app.

com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated.

com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113)

com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198)

com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56)

The application could not be wrapped.

Lösung: Die App ist mit dem Intune SDK integriert. Sie müssen die App nicht mit dem Intune-Wrapper umschließen.

Problem:: Die App kann keine Verbindung zu internen Ressourcen herstellen.

Lösung: Stellen Sie sicher, dass die richtigen Firewallports geöffnet sind, korrigieren Sie ggf. die Mandanten-ID usw.

Citrix Gateway-Probleme

In der folgenden Tabelle werden häufige Probleme mit der Citrix Gateway-Konfiguration sowie Lösungen aufgeführt. Zur Problembehandlung aktivieren Sie weitere Protokolle und überprüfen diese, wie folgt:

  1. Führen Sie an der Befehlszeilenschnittstelle den folgenden Befehl aus: set audit syslogParams -logLevel ALL
  2. Überprüfen Sie die Protokolle über die Shell mit tail -f /var/log/ns.log.
Problem Lösung
Die für die Konfiguration der Gateway-App in Azure erforderlichen Berechtigungen sind nicht verfügbar. Überprüfen Sie, ob eine Intune-Lizenz verfügbar ist. Versuchen Sie eine Verwendung des Portals manage.windowsazure.com, um zu prüfen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht.
Citrix Gateway kann login.microsoftonline.com und graph.windows.net nicht erreichen. Überprüfen Sie in der NS-Shell, ob Sie die folgende Microsoft-Website erreichen können: curl -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf dem Citrix Gateway konfiguriert ist und ob die Firewalleinstellungen korrekt sind (falls DNS-Anforderungen die Firewall passieren).
Ein Fehler erscheint in ns.log nachdem Sie OAuthAction konfiguriert haben. Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt.
Der Befehl “OAuthAction” zeigt den OAuth-Status nicht als abgeschlossen an. Überprüfen Sie die DNS-Einstellungen und Berechtigungen für die Azure Gateway-App.
Auf dem Android- bzw. iOS-Gerät wird die Zweifaktor-Authentifizierungsaufforderung nicht angezeigt. Überprüfen Sie, ob das Zweifaktor-Geräte-ID-LogonSchema an den virtuellen Authentifizierungsserver gebunden ist.

OAuth-Fehlerbedingung und -status

Status Fehlerbedingung
COMPLETE Erfolg
AADFORGRAPH Ungültiger Schlüssel, URL nicht aufgelöst, Verbindungstimeout
MDMINFO *manage.microsoft.com ausgefallen oder nicht erreichbar
GRAPH Graph-Endpunkt nicht erreichbar
CERTFETCH Kommunikation mit “Token Endpoint: https://login.microsoftonline.com wegen eines DNS-Fehlers nicht möglich. Um diese Konfiguration zu überprüfen, gehen Sie zur Shell und geben Sie curl https://login.microsoftonline.com ein. Der Befehl muss validieren.

Bekannte Probleme

Wenn Sie Apps mit Citrix und Intune zur Unterstützung von Micro-VPN bereitstellen: Wenn Benutzer ihren Benutzername und ihr Kennwort für den Zugriff auf Digest-Sites eingeben, erscheint ein Fehler, obwohl die Anmeldeinformationen gültig sind. [CXM-25227]

Nach dem Ändern von Split-Tunneling von Ein in Aus und Warten auf das Ablaufen der aktuellen Gateway-Sitzung wird externer Datenverkehr direkt und ohne Leitung über Citrix Gateway gesendet, bis der Benutzer eine interne Site im Modus “vollständiges VPN” startet. [CXM-34922]

Nach dem Ändern der Öffnen-in-Richtlinie von Nur verwaltete Apps in Alle Apps können Benutzer Dokumente erst dann in nicht verwalteten Apps öffnen, wenn sie Secure Mail geschlossen und neu gestartet haben. [CXM-34990]

Wenn im Modus “vollständiges VPN” Split-Tunneling auf Ein festgelegt ist und Split DNS von lokal zu remote wechselt, können interne Sites nicht geladen werden. [CXM-35168]

Wenn die mVPN-Richtlinie HTTP/HTTPS-Umleitung (mit SSO) aktivieren deaktiviert ist, funktioniert Secure Mail nicht. [CXM-58886]

Probleme mit Drittanbieterprodukten

Wenn ein Benutzer in Secure Mail für Android auf Neues Ereignis erstellentippt, wird die Seite zum Erstellen von Ereignissen nicht angezeigt. [CXM-23917]

Wenn Sie Citrix Secure Mail für iOS mit Citrix und Intune zur Unterstützung von Micro-VPN bereitstellen wird die App-Richtlinie, durch die der Secure Mail-Bildschirm verdeckt wird, wenn Benutzer die App in den Hintergrund verschieben, nicht erzwungen. [CXM-25032]

Wenn Benutzer Secure Mail zum ersten Mal unter Intune MDM+MAM ausführen, werden sie durch den Workflow zur Auswahl von Intune MAM/Endpoint Management geleitet. [CXM-31272]