Produktdokumentation
Citrix Endpoint Management™
PDF anzeigen

Citrix Endpoint Management-Integration mit Microsoft Endpoint Manager

April 17, 2026
Beitrag von: 
C C

Die Citrix Endpoint Management-Integration mit Microsoft Endpoint Manager (MEM) erweitert den Wert des Citrix Endpoint Management Micro-VPN auf Microsoft Intune-fähige Apps, wie den Microsoft Edge-Browser.

  • Um die Integration zu aktivieren, wenden Sie sich an das Citrix Cloud Operations-Team.

Diese Version unterstützt die folgenden Anwendungsfälle:

  • Intune MAM mit Citrix Endpoint Management MDM+MAM.

  • Dieser Artikel konzentriert sich auf den Anwendungsfall Intune MAM + Citrix Endpoint Management MDM+MAM. Nachdem Sie Citrix als Ihren MDM-Anbieter hinzugefügt haben, konfigurieren Sie Intune-verwaltete Apps für die Bereitstellung auf Geräten.

  • Wichtig:

    • Für diesen Anwendungsfall unterstützt Citrix Secure Mail keine Integration mit Intune.
    • Die Citrix Secure Mail-Integration mit Intune ist veraltet und wird in einer zukünftigen Version entfernt. Weitere Informationen finden Sie unter Neuerungen in Secure Mail.
  • Intune MAM und Citrix Endpoint Management MDM.
  • Intune MAM.

  • Intune MAM und Intune MDM. Citrix Secure Mail für iOS unterstützt Single Sign-On für diesen Anwendungsfall.

  • Eine leicht verständliche, grafische Anleitung zur Einrichtung der Citrix Endpoint Management-Integration mit MEM finden Sie im Getting Started Guide.

  • Informationen zur Integration mit Azure AD Conditional Access finden Sie unter Integration mit Azure AD Conditional Access.

Das folgende Diagramm bietet einen Überblick über die Citrix Endpoint Management-Integration mit Microsoft Endpoint Manager.

Übersicht

  • Systemanforderungen

MDX-Aktivierung

Microsoft

  • Azure Active Directory (AD)-Zugriff (mit Tenant-Administratorrechten)

  • Intune-fähiger Tenant

  • Firewallregel

  • Aktivieren Sie eine Firewallregel, um DNS- und SSL-Datenverkehr von einer NetScaler Gateway-Subnetz-IP zu *.manage.microsoft.com, https://login.microsoftonline.com und https://graph.windows.net (Port 53 und 443) zuzulassen.

  • Voraussetzungen

  • Microsoft Edge-Browser: Das Mobile Apps SDK ist in die Microsoft Edge-Browser-App für iOS und Android integriert. Weitere Informationen zu Microsoft Edge finden Sie in der Microsoft Edge-Dokumentation.

  • Citrix Cloud-Konto: Um sich für ein Citrix-Konto anzumelden und eine Citrix Endpoint Management-Testversion anzufordern, wenden Sie sich an Ihren Citrix-Vertriebsmitarbeiter. Wenn Sie bereit sind fortzufahren, gehen Sie zu https://onboarding.cloud.com. Weitere Informationen zur Anforderung eines Citrix Cloud-Kontos finden Sie unter Anmeldung für Citrix Cloud.

  • Hinweis:

  • Die von Ihnen angegebene E-Mail-Adresse darf keiner Azure AD zugeordnet sein. Sie können jeden kostenlosen E-Mail-Dienst verwenden.

  • APNs-Zertifikate für iOS: Stellen Sie sicher, dass Sie APNs-Zertifikate für iOS konfigurieren. Weitere Informationen zum Einrichten dieser Zertifikate finden Sie in diesem Citrix-Blogbeitrag: Erstellen und Importieren von APNs-Zertifikaten.
  • Azure AD-Synchronisierung: Richten Sie die Synchronisierung zwischen Azure AD und dem lokalen Active Directory ein. Installieren Sie das AD-Synchronisierungstool nicht auf dem Domänencontroller. Weitere Informationen zum Einrichten dieser Synchronisierung finden Sie in der Microsoft-Dokumentation zu Azure Active Directory.

Konfigurieren von NetScaler Gateway

  • Wenn Sie eine neue Citrix Endpoint Management-Bereitstellung einrichten, installieren Sie eine dieser NetScaler Gateway-Appliances:

  • NetScaler® Gateway VPX 3000-Serie oder höher
  • NetScaler Gateway MPX oder dedizierte SDX-Instanz

Um NetScaler Gateway mit der Citrix Endpoint Management-Integration mit MEM zu verwenden:

  • Konfigurieren Sie NetScaler Gateway mit einer Verwaltungsschnittstelle und einer Subnetz-IP.
    • Verwenden Sie TLS 1.2 für die gesamte Client-Server-Kommunikation. Informationen zum Konfigurieren von TLS 1.2 für NetScaler Gateway finden Sie unter CTX247095.

Wenn Sie die Citrix Endpoint Management-Integration mit MEM mit einer Citrix Endpoint Management MDM+MAM-Bereitstellung verwenden, konfigurieren Sie zwei Citrix Gateways. Der MDX-App-Datenverkehr wird über ein NetScaler Gateway geleitet. Der Intune-App-Datenverkehr wird über das andere NetScaler Gateway geleitet. Konfigurieren Sie:

-  Zwei öffentliche IPs.
-  Optional eine IP-Adresse mit Netzwerkadressübersetzung.
-  Zwei DNS-Namen. Beispiel: `https://mam.company.com`.
  • Zwei öffentliche SSL-Zertifikate. Konfigurieren Sie Zertifikate, die dem reservierten öffentlichen DNS-Namen entsprechen, oder verwenden Sie Wildcard-Zertifikate.
  • Einen MAM-Lastenausgleich mit einer internen, nicht routingfähigen RFC 1918-IP-Adresse.
  • Ein LDAP Active Directory-Dienstkonto.

Zustimmung zu Aufforderungen für delegierte Berechtigungen

Für verwaltete Apps, die eine Benutzerauthentifizierung erfordern, fordern die Apps Anwendungsberechtigungen an, die von Microsoft Graph bereitgestellt werden. Durch die Zustimmung zu diesen Berechtigungsaufforderungen kann die App auf die erforderlichen Ressourcen und APIs zugreifen. Einige Apps erfordern die Zustimmung des globalen Administrators für Microsoft Azure AD. Für diese delegierten Berechtigungen muss der globale Administrator Citrix Cloud die Berechtigung erteilen, Token anzufordern. Die Token ermöglichen dann die folgenden Berechtigungen. Weitere Informationen finden Sie unter Microsoft Graph-Berechtigungsreferenz.

  • Anmelden und Benutzerprofil lesen: Diese Berechtigung ermöglicht Benutzern die Anmeldung und Verbindung mit Azure AD. Citrix® kann Benutzeranmeldeinformationen nicht einsehen.
  • Grundlegende Profile aller Benutzer lesen: Die App liest Profileigenschaften für Benutzer in der Organisation. Die Eigenschaften umfassen den Anzeigenamen, den Vor- und Nachnamen sowie die E-Mail-Adresse und das Foto der Benutzer in der Organisation.
    • Alle Gruppen lesen: Diese Berechtigung ermöglicht die Angabe von Azure AD-Gruppen für die App- und Richtlinienzuweisung.
      • Verzeichnis als angemeldeter Benutzer zugreifen: Diese Berechtigung überprüft das Intune-Abonnement und ermöglicht NetScaler Gateway- und VPN-Konfigurationen.
      • Microsoft Intune-Apps lesen und schreiben: Die App kann Folgendes lesen und schreiben:
    • Von Microsoft verwaltete Eigenschaften
    • Gruppenzuweisungen und den Status von Apps
    • App-Konfigurationen
    • App-Schutzrichtlinien

Außerdem muss der globale Azure AD-Administrator während der NetScaler Gateway-Konfiguration Folgendes tun:

-  Genehmigen Sie das für Micro-VPN ausgewählte Active Directory. Der globale Administrator muss außerdem ein Client-Geheimnis generieren, das NetScaler Gateway für die Kommunikation mit Azure AD und Intune verwendet.
  • Nicht die Rolle des Citrix-Administrators innehaben. Stattdessen weist der Citrix-Administrator Azure AD-Konten Benutzern mit entsprechenden Intune-Anwendungsadministratorrechten zu. Der Intune-Administrator fungiert dann als Citrix Cloud-Administrator, um Intune innerhalb von Citrix Cloud zu verwalten.

Hinweis:

Citrix verwendet das Intune Global Administrator-Passwort nur während der Einrichtung und leitet die Authentifizierung an Microsoft weiter. Citrix kann nicht auf das Passwort zugreifen.

So konfigurieren Sie die Citrix Endpoint Management-Integration mit MEM

  1. Melden Sie sich bei der Citrix Cloud-Website an und fordern Sie eine Testversion für Citrix Endpoint Management an.

  2. Ein Vertriebsingenieur vereinbart ein Onboarding-Meeting mit Ihnen. Teilen Sie ihm mit, dass Sie die Citrix Endpoint Management-Integration mit MEM wünschen. Wenn Ihre Anfrage genehmigt wurde, klicken Sie auf Verwalten.

    Die Citrix Cloud-Website

  3. Von hier aus können Sie auf das Zahnrad oben rechts auf Ihrer Website klicken oder auf Site konfigurieren klicken.

    Die Citrix Cloud-Website

  4. Folgen Sie dem Link im ersten Schritt zur Seite Identitäts- und Zugriffsverwaltung.

    Der Link für Identitäts- und Zugriffsverwaltung

  5. Klicken Sie auf Verbinden, um Ihre Azure AD-Installation zu verbinden.

    Die Seite Identitäts- und Zugriffsverwaltung

  6. Geben Sie eine eindeutige Anmelde-URL ein, die der Azure AD-Administrator für die Anmeldung verwendet, und klicken Sie dann auf Bestätigen.

    Anmelde-URL-Bildschirm und Schaltfläche "Verbinden"

  7. Fügen Sie ein globales Azure AD-Administratorkonto hinzu und akzeptieren Sie dann die Berechtigungsanfrage.

    Die Schaltfläche "Anderes Konto verwenden"

  • Die Schaltfläche "Akzeptieren"

    1. Bestätigen Sie, dass Ihre Azure AD-Instanz erfolgreich verbunden ist. Um eine erfolgreiche Verbindung anzuzeigen, ändert sich der Text Nicht verbunden in Aktiviert.

    Die Schaltfläche "Trennen"

  1. Klicken Sie auf die Registerkarte Administratoren und fügen Sie dann Ihren Azure AD Intune-Administrator als Citrix Cloud-Administrator hinzu. Wählen Sie Azure AD oder Citrix Identity aus dem Dropdown-Menü aus und suchen Sie dann nach dem Benutzernamen, den Sie hinzufügen möchten. Klicken Sie auf Einladen und gewähren Sie dem Benutzer dann Vollzugriff oder Benutzerdefinierten Zugriff, bevor Sie auf Einladung senden klicken.

    Hinweis:

    Citrix Endpoint Management erfordert die folgenden Regeln für den Benutzerdefinierten Zugriff: Bibliothek und Citrix Endpoint Management.

    • Daraufhin erhält der Azure AD Intune-Administrator eine E-Mail-Einladung, um ein Passwort zu erstellen und sich bei Citrix Cloud anzumelden. Bevor sich der Administrator anmeldet, stellen Sie sicher, dass Sie sich von allen anderen Konten abgemeldet haben.

      • Der Azure AD Intune-Administrator muss die restlichen Schritte in diesem Verfahren befolgen.

    • Die Option "Einladen" für den Azure AD Intune-Administrator

    Der Bestätigungsbildschirm

  2. Nach der Anmeldung mit dem neuen Konto klicken Sie unter Citrix Endpoint Management auf Verwalten. Wenn Sie alles richtig konfiguriert haben, zeigt die Seite an, dass der Azure AD-Administrator angemeldet ist und Ihr Intune-Abonnement gültig ist.

    Die Option "Verwalten" für Citrix Endpoint Management

So konfigurieren Sie NetScaler Gateway für Micro-VPN

-  Um Micro-VPN mit Intune zu verwenden, müssen Sie NetScaler Gateway so konfigurieren, dass es sich bei Azure AD authentifiziert. Ein vorhandener virtueller NetScaler Gateway-Server funktioniert für diesen Anwendungsfall nicht.

Konfigurieren Sie zunächst Azure AD so, dass es mit dem lokalen Active Directory synchronisiert wird. Dieser Schritt ist notwendig, um sicherzustellen, dass die Authentifizierung zwischen Intune und NetScaler Gateway ordnungsgemäß erfolgt.

Active Directory-Synchronisierung

  1. Klicken Sie in der Citrix Cloud-Konsole unter Citrix Endpoint Management auf Verwalten.

  2. Klicken Sie neben Micro-VPN auf Micro-VPN konfigurieren.

    Schaltfläche "Micro-VPN konfigurieren"

  3. Geben Sie einen Namen für den Micro-VPN-Dienst und die externe URL für Ihr NetScaler Gateway ein und klicken Sie dann auf Weiter.

    Dieses Skript konfiguriert NetScaler Gateway so, dass es Azure AD und die Intune-Apps unterstützt.

    -  ![NetScaler Gateway Detailseite](/en-us/citrix-endpoint-management/integration-with-mem/media/cem-connector-for-ems13.png)

  4. Klicken Sie auf Skript herunterladen. Die ZIP-Datei enthält eine Readme-Datei mit Anweisungen zur Implementierung des Skripts. Auch wenn Sie hier speichern und beenden können, ist das Micro-VPN erst eingerichtet, wenn Sie das Skript auf Ihrer NetScaler Gateway-Installation ausführen.

    Schaltfläche „Skript herunterladen“

    Hinweis:

    Wenn Sie den NetScaler Gateway-Konfigurationsprozess abgeschlossen haben und ein OAuth-Status angezeigt wird, der nicht „COMPLETE“ lautet, lesen Sie den Abschnitt zur Fehlerbehebung.

Geräteverwaltung konfigurieren

Wenn Sie zusätzlich zu Apps auch Geräte verwalten möchten, wählen Sie eine Methode zur Geräteverwaltung. Sie können Citrix Endpoint Management MDM+MAM oder Intune MDM verwenden.

Hinweis:

Die Konsole verwendet standardmäßig Intune MDM. Um Intune als MDM-Anbieter zu verwenden, lesen Sie die Microsoft Intune-Dokumentation.

  1. Klicken Sie in der Citrix Cloud-Konsole unter „Citrix Endpoint Management-Integration mit MEM“ auf Verwalten. Klicken Sie neben Geräteverwaltung – Optional auf MDM konfigurieren.

    -  ![Bildschirm „MDM konfigurieren“](/en-us/citrix-endpoint-management/integration-with-mem/media/cem-connector-for-ems18.png)

  2. Geben Sie einen eindeutigen Site-Namen ein, wählen Sie die Ihnen am nächsten gelegene Cloud-Region aus und klicken Sie dann auf Site anfordern. Sie erhalten eine E-Mail, wenn Ihre Site bereit ist.

    Seite „Eindeutiger Site-Name“

    Bestätigung der Site-Anforderung

  3. Klicken Sie auf OK, um die Eingabeaufforderung zu schließen. Wählen Sie einen Active Directory-Standort aus, der Ihrer Site zugeordnet werden soll, oder erstellen Sie einen Ressourcenstandort und klicken Sie dann auf Weiter.

    Option „Active Directory-Standort“

    Option zum Erstellen eines Ressourcenstandorts

  4. Klicken Sie auf Cloud Connector herunterladen und folgen Sie den Anweisungen auf dem Bildschirm, um den Cloud Connector zu installieren. Klicken Sie nach der Installation auf Verbindung testen, um die Verbindung zwischen Citrix Cloud und dem Cloud Connector zu überprüfen.

    Option „Cloud Connector herunterladen“

    Option „Verbindung testen“

  5. Klicken Sie auf Speichern & Beenden, um den Vorgang abzuschließen. Ihr Ressourcenstandort wird angezeigt. Durch Klicken auf Fertig stellen gelangen Sie zurück zum Einstellungsbildschirm.

    Bildschirm „Speichern und Beenden“

  6. Sie können jetzt über Ihre Site-Kachel auf die Citrix Endpoint Management-Konsole zugreifen. Von hier aus können Sie MDM-Verwaltungsaufgaben ausführen und Geräterichtlinien zuweisen. Weitere Informationen zu Geräterichtlinien finden Sie unter Geräterichtlinien.

    Bildschirm „Site verwalten“

Intune-verwaltete Apps für die Bereitstellung auf Geräten konfigurieren

Hinweis:

Ab dem 1. April 2025 ist die Verwaltung von Microsoft Intune-Apps über die Bibliothek nicht mehr verfügbar. Wenn Sie Unterstützung bei relevanten Diensten benötigen, wenden Sie sich an den Citrix Support, um diese Funktion zu aktivieren.

So konfigurieren Sie Intune-verwaltete Apps für die Bereitstellung:

    -  Fügen Sie die Apps der Citrix Cloud-Bibliothek hinzu
    -  Erstellen Sie Citrix Endpoint Management-Geräterichtlinien, um den Datenfluss zu steuern
    -  Erstellen Sie eine Bereitstellungsgruppe für die Apps und Richtlinien

Microsoft Intune-Apps zur Citrix Cloud-Bibliothek hinzufügen

Für jede App, die Sie hinzufügen möchten:

  1. Klicken Sie in der Citrix Cloud-Konsole auf das Menüsymbol und dann auf Bibliothek.

    Citrix Cloud-Bibliotheksseite

  2. Klicken Sie oben rechts auf das Pluszeichen und dann auf Mobile App hinzufügen.

    -  ![Option „Mobile App hinzufügen“](/en-us/citrix-endpoint-management/integration-with-mem/media/cem-connector-for-ems36.png)

-  1.  Wenn Sie Android Enterprise in der Citrix Endpoint Management-Konsole konfiguriert haben, wählen Sie unter **Anwendung auswählen** die Option **Microsoft Intune-Apps** aus. Wählen Sie eine App-Vorlage zur Anpassung aus oder klicken Sie auf **Eigene App hochladen**.

    Zu konfigurierende Richtlinien

    -  Citrix stellt die vorhandenen App-Vorlagen bereit, von denen jede einen Satz vorkonfigurierter Standardrichtlinien enthält. Für Apps, die Kunden hochladen, gelten die folgenden Richtlinien:
    • MDX-Dateien: Umfasst MAM SDK-fähige Apps oder MDX-verpackte Apps, wie z. B.:
      • Intune-App-Schutzrichtlinien und die standardmäßigen MDX-Richtlinien im Paket
      • Apps aus öffentlichen Stores, wie z. B. Intune-App-Schutzrichtlinien und standardmäßige MDX-Richtlinien, die der Bundle-ID oder Paket-ID entsprechen
    • IPA-Dateien: Intune-App-Schutzrichtlinien.
    • APK-Dateien: Intune-App-Schutzrichtlinien.

    Hinweis:

    Wenn die App nicht mit Intune verpackt ist, gelten die Intune-App-Schutzrichtlinien nicht.

  3. Klicken Sie auf Eigene App hochladen und laden Sie Ihre .mdx- oder Intune-verpackte Datei hoch.

    Bildschirm zum Hochladen einer eigenen verpackten Datei

  4. Geben Sie einen Namen und eine Beschreibung für die App ein, wählen Sie, ob die App optional oder erforderlich ist, und klicken Sie dann auf Weiter.

  5. Konfigurieren Sie die Anwendungseinstellungen. Die folgenden Konfigurationen ermöglichen Citrix Endpoint Management- und Intune-Containern die Datenübertragung untereinander.

    • Apps dürfen Daten von anderen Apps empfangen: Wählen Sie Richtlinienverwaltete Apps.
    • App darf Daten an andere Apps übertragen: Wählen Sie Alle Apps.
    • Ausschneiden, Kopieren, Einfügen mit anderen Apps einschränken: Wählen Sie Richtlinienverwaltete Apps.

  6. Konfigurieren Sie die Speicher-Repositorys für gespeicherte Daten. Wählen Sie für Auswählen, in welchen Speicherdiensten Unternehmensdaten gespeichert werden können, die Option LocalStorage.

  7. Optional: Legen Sie Richtlinien für Datenverlagerung, Zugriff und PIN für die App fest. Klicken Sie auf Weiter.

  8. Überprüfen Sie die Zusammenfassung der App und klicken Sie dann auf Fertig stellen.

    Der App-Konfigurationsprozess kann einige Minuten dauern. Wenn der Prozess abgeschlossen ist, wird eine Meldung angezeigt, dass die App in der Bibliothek veröffentlicht wurde.

    Schaltfläche „Fertig stellen“

  9. Um Benutzergruppen der App zuzuweisen, klicken Sie auf Benutzer zuweisen.

    Option „Benutzer zuweisen“

  10. Suchen Sie im Suchfeld nach Benutzergruppen und klicken Sie, um sie hinzuzufügen. Sie können keine einzelnen Benutzer hinzufügen.

    Option „Abonnenten hinzufügen“

  11. Wenn Sie alle gewünschten Gruppen hinzugefügt haben, schließen Sie das Fenster, indem Sie auf das X klicken.

    Der Status „Bereit“

    Möglicherweise wird ein Fehler angezeigt, wenn Sie Benutzergruppen hinzufügen. Dieser Fehler tritt auf, wenn die Benutzergruppe nicht mit dem lokalen Active Directory synchronisiert wurde.

Android Enterprise-Apps zur Citrix Cloud Library hinzufügen

Um Android Enterprise-Apps zur Citrix Cloud Library hinzuzufügen und Intune-App-Schutzrichtlinien festzulegen, konfigurieren Sie Ihre Cloud-Umgebung wie folgt:

  • Föderieren Sie Citrix Cloud mit Ihrem Azure Active Directory (AAD)-Konto. Siehe Verbinden von Azure Active Directory mit Citrix Cloud.
  • Konfigurieren Sie LDAP und Cloud Connector in Citrix Endpoint Management.
  • Richten Sie Android Enterprise in Citrix Endpoint Management ein. Stellen Sie sicher, dass Android Enterprise-Geräte in MDM+MAM registriert sind. Informationen zum Einrichten von Android Enterprise finden Sie unter Android Enterprise.

Durch dieses Verfahren werden Android Enterprise-Apps gleichzeitig zur Citrix Endpoint Management-Konsole und zur Intune-Konsole hinzugefügt. Für jede Android Enterprise-App, die Sie hinzufügen möchten:

  1. Klicken Sie in der Citrix Cloud-Konsole auf das Menüsymbol und dann auf Bibliothek.

    Seite „Citrix Cloud Library“

  2. Klicken Sie oben rechts auf das Pluszeichen und dann auf Mobile App hinzufügen.

    Option „Mobile App hinzufügen“

  3. Wählen Sie unter Anwendung auswählen die Option Android Enterprise-Apps.

    Anwendung auswählen

  4. Suchen Sie nach einer App und genehmigen Sie sie im Fenster des Managed Google Play Store. Nachdem sich das Google-Fenster geschlossen hat, klicken Sie auf Weiter.

    Google Play Store

    App ausgewählt

  5. Fügen Sie Anwendungsdetails hinzu und klicken Sie dann auf Weiter.

  • Anwendungsdetails

    1. Wenn Sie eine mobile Citrix Produktivitäts-App gesucht und ausgewählt haben, können Sie Micro-VPN-Richtlinien konfigurieren. Nachdem Sie diese Richtlinien konfiguriert haben, klicken Sie auf Weiter.

    Micro-VPN-Richtlinien

  1. Konfigurieren Sie Intune-App-Schutzrichtlinien. Klicken Sie auf Weiter.

    Intune-Richtlinien

  2. Konfigurieren Sie die Anwendungseinstellungen. Die folgenden Konfigurationen ermöglichen Citrix Endpoint Management- und Intune-Containern die Datenübertragung untereinander.

    • Apps erlauben, Daten von anderen Apps zu empfangen: Wählen Sie Richtlinienverwaltete Apps.
    • App erlauben, Daten an andere Apps zu übertragen: Wählen Sie Alle Apps.
    • Ausschneiden, Kopieren, Einfügen mit anderen Apps einschränken: Wählen Sie Richtlinienverwaltete Apps.

  3. Konfigurieren Sie die Speicher-Repositorys für gespeicherte Daten. Wählen Sie für Auswählen, in welchen Speicherdiensten Unternehmensdaten gespeichert werden können die Option LocalStorage.

  4. Optional: Legen Sie Richtlinien für Datenverlagerung, Zugriff und PIN für die App fest. Klicken Sie auf Weiter.

  5. Überprüfen Sie die Zusammenfassung der App und klicken Sie dann auf Fertig stellen.

    Der App-Konfigurationsprozess kann einige Minuten dauern. Wenn der Prozess abgeschlossen ist, zeigt eine Meldung an, dass die App in der Bibliothek veröffentlicht wurde. Die App ist in den Citrix Endpoint Management- und Intune-Konsolen verfügbar. In der Citrix Endpoint Management-Konsole ist die App Teil einer neuen Bereitstellungsgruppe und wird als öffentliche App Store-App identifiziert.

    Schaltfläche „Fertig stellen“

  6. Um der App Benutzergruppen zuzuweisen, klicken Sie auf Benutzer zuweisen.

    Option „Benutzer zuweisen“

  7. Suchen Sie im Suchfeld nach Benutzergruppen und klicken Sie, um sie hinzuzufügen. Sie können keine einzelnen Benutzer hinzufügen.

    Option „Abonnenten hinzufügen“

  8. Wenn Sie alle gewünschten Gruppen hinzugefügt haben, schließen Sie das Fenster, indem Sie auf das X klicken.

    Der Status „Bereit“

    Beim Hinzufügen von Benutzergruppen kann ein Fehler auftreten. Dieser Fehler tritt auf, wenn die Benutzergruppe nicht mit dem lokalen Active Directory synchronisiert wurde.

Steuern des Datentyps, der zwischen verwalteten Apps übertragen wird

Steuern Sie den Datentyp, der zwischen verwalteten Apps innerhalb der Citrix Endpoint Management- oder Intune-Container übertragen werden kann, mithilfe von Citrix Endpoint Management-Geräterichtlinien. Sie können eine Einschränkungsrichtlinie konfigurieren, um nur Daten zuzulassen, die als „Unternehmensdaten“ gekennzeichnet sind. Konfigurieren Sie eine App-Konfigurationsrichtlinie, um die Daten zu kennzeichnen.

So konfigurieren Sie die Geräterichtlinie „Einschränkungen“:

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien.

  2. Klicken Sie auf der Seite Geräterichtlinien auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

    Konfigurationsbildschirm für Geräterichtlinien

  3. Klicken Sie in der Liste der Richtlinien auf Einschränkungen.

  4. Geben Sie auf der Seite Richtlinieninformationen einen Namen und (optional) eine Beschreibung für die Richtlinie ein. Klicken Sie auf Weiter.

  5. Um eine Geräterichtlinie für iOS-Apps zu erstellen, wählen Sie iOS im Bereich Plattformen aus.

  6. Legen Sie unter Sicherheit – Zulassen die Option Dokumente von verwalteten Apps in nicht verwalteten Apps auf Aus fest. Das Deaktivieren dieser Einstellung setzt auch Nicht verwaltete Apps lesen verwaltete Kontakte und Verwaltete Apps schreiben nicht verwaltete Kontakte auf Aus. Klicken Sie auf Weiter.

  7. Klicken Sie auf Weiter, bis die Schaltfläche Speichern angezeigt wird. Klicken Sie auf Speichern.

Konfigurieren Sie die Geräterichtlinie „App-Konfiguration“ für jede App:

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien.

  2. Klicken Sie auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

  3. Klicken Sie in der Liste der Richtlinien auf App-Konfiguration.

  4. Geben Sie auf der Seite Richtlinieninformationen einen Namen und (optional) eine Beschreibung für die Richtlinie ein. Klicken Sie auf Weiter.

  5. Um eine Geräterichtlinie für eine iOS-App zu erstellen, wählen Sie iOS im Bereich Plattformen aus.

  6. Wählen Sie den Bezeichner für die zu konfigurierende App aus.

  7. Fügen Sie für iOS-Apps den folgenden Text zum Wörterbuchinhalt hinzu:

    <dict>
    <key>IntuneMAMUPN</key>
    <string>${user.userprincipalname}</string>
</dict>
<!--NeedCopy-->

  8. Klicken Sie auf Wörterbuch prüfen.

  9. Klicken Sie auf Weiter.

  10. Klicken Sie auf Speichern.

Bereitstellungsgruppen für Apps und Geräterichtlinien konfigurieren

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Bereitstellungsgruppen.

  2. Klicken Sie auf der Seite Bereitstellungsgruppen auf Hinzufügen. Die Seite Informationen zur Bereitstellungsgruppe wird angezeigt.

  3. Geben Sie auf der Seite Informationen zur Bereitstellungsgruppe einen Namen und (optional) eine Beschreibung für die Bereitstellungsgruppe ein. Klicken Sie auf Weiter.

  4. Geben Sie auf der Seite Zuweisungen an, wie Sie die Bereitstellungsgruppe bereitstellen möchten: Wählen Sie In Citrix Endpoint Management oder In Citrix Cloud.

    Konfigurationsbildschirm für Bereitstellungsgruppen

  5. Wenn Sie In Citrix Endpoint Management gewählt haben:

    • Domäne auswählen: Wählen Sie aus der Liste die Domäne aus, aus der Benutzer ausgewählt werden sollen.
    • Benutzergruppen einschließen: Führen Sie einen der folgenden Schritte aus:
      • Klicken Sie in der Liste der Benutzergruppen auf die Gruppen, die Sie hinzufügen möchten. Die ausgewählten Gruppen werden in der Liste Ausgewählte Benutzergruppen angezeigt.
      • Klicken Sie auf Suchen, um eine Liste aller Benutzergruppen in der ausgewählten Domäne anzuzeigen.
      • Geben Sie einen vollständigen oder teilweisen Gruppennamen in das Suchfeld ein, und klicken Sie dann auf Suchen, um die Liste der Benutzergruppen einzuschränken.

    Um eine Benutzergruppe aus der Liste Ausgewählte Benutzergruppen zu entfernen, führen Sie einen der folgenden Schritte aus:

    -  Klicken Sie in der Liste **Ausgewählte Benutzergruppen** auf das **X** neben jeder Gruppe, die Sie entfernen möchten.
-  Klicken Sie auf **Suchen**, um eine Liste aller Benutzergruppen in der ausgewählten Domäne anzuzeigen. Scrollen Sie durch die Liste, und deaktivieren Sie das Kontrollkästchen jeder Gruppe, die Sie entfernen möchten.
-  Geben Sie einen vollständigen oder teilweisen Gruppennamen in das Suchfeld ein, und klicken Sie dann auf **Suchen**, um die Liste der Benutzergruppen einzuschränken. Scrollen Sie durch die Liste, und deaktivieren Sie das Kontrollkästchen jeder Gruppe, die Sie entfernen möchten.

  6. Klicken Sie auf Weiter.

  7. Ziehen Sie auf der Seite Richtlinien die von Ihnen erstellte Richtlinie für Einschränkungen und die App-Konfigurationsrichtlinie von links nach rechts. Klicken Sie auf Weiter.

  8. Ziehen Sie auf der Seite Apps die Apps, die Sie bereitstellen möchten, von der linken Seite der Seite in Erforderliche Apps oder Optionale Apps. Klicken Sie auf Weiter.

  9. Optional: Konfigurieren Sie die Einstellungen auf den Seiten Medien, Aktionen und Registrierungen. Oder übernehmen Sie die Standardwerte auf jeder Seite und klicken Sie auf Weiter.

  10. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen der Bereitstellungsgruppe und klicken Sie auf Speichern, um die Bereitstellungsgruppe zu erstellen.

Wenn Sie die App in der Intune-Konsole veröffentlichen, wählen Sie Apps zur Verwaltung erzwingen. Benutzer auf nicht überwachten Geräten werden aufgefordert, die Verwaltung der App zuzulassen. Wenn Benutzer die Aufforderung annehmen, wird die App auf dem Gerät verwaltet. Wenn Benutzer die Aufforderung ablehnen, ist die App auf dem Gerät nicht verfügbar.

Citrix Secure Mail konfigurieren

Hinweis:

Die Integration von Citrix Secure Mail in Intune ist veraltet und wird in einer zukünftigen Version entfernt. Weitere Informationen finden Sie unter Neuerungen in Secure Mail.

Citrix Secure Mail unterstützt jetzt verschiedene Konfigurationen. Sie können Citrix Secure Mail in einen Intune MAM-Container einschließen, der mit einem lokalen Exchange Server verbunden ist. Sie können Citrix Secure Mail mit gehosteten Exchange- oder Office 365-Konten verbinden. Diese Version unterstützt jedoch keine zertifikatbasierte Authentifizierung, verwenden Sie stattdessen LDAP.

Wichtig:

Um Citrix Secure Mail im MDX-Modus zu verwenden, müssen Sie Citrix Endpoint Management MDM+MAM verwenden.

Citrix Secure Mail füllt Benutzernamen auch automatisch aus. Um diese Funktion zu aktivieren, müssen Sie zuerst die folgenden benutzerdefinierten Richtlinien konfigurieren.

  1. Gehen Sie in Ihrer Citrix Endpoint Management-Konsole zu Einstellungen > Servereigenschaften und klicken Sie dann auf Hinzufügen.

  2. Klicken Sie in der Liste auf Benutzerdefinierter Schlüssel und geben Sie dann im Feld Schlüssel xms.store.idpuser_attrs ein.

  3. Setzen Sie den Wert auf true und geben Sie dann unter Anzeigename xms.store.idpuser_attrs ein. Klicken Sie auf Speichern.

  4. Klicken Sie auf Client-Eigenschaften und dann auf Hinzufügen.

  5. Wählen Sie Benutzerdefinierter Schlüssel aus und geben Sie dann SEND_LDAP_ATTRIBUTES in das Feld Schlüssel ein.

  6. Geben Sie userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid} in das Feld Wert ein. Geben Sie eine Beschreibung ein und klicken Sie dann auf Speichern.

    Die folgenden Schritte gelten nur für iOS-Geräte.

  7. Gehen Sie zu Konfigurieren > Geräterichtlinien, klicken Sie auf Hinzufügen und wählen Sie dann die Richtlinie App-Konfiguration aus.

  8. Geben Sie einen Richtliniennamen ein und klicken Sie dann auf Weiter.

    Klicken Sie in der Liste der Bezeichner auf Neu hinzufügen. Geben Sie in das angezeigte Textfeld die Bundle-ID für Ihre Citrix Secure Mail-App ein.

  9. Geben Sie im Inhaltsfeld Wörterbuch den folgenden Text ein.

    <dict>

<key>XenMobileUserAttributes</key>

<dict>

<key>userPrincipalName</key>

<string>${user.userprincipalname}</string>

<key>email</key>

<string>${user.mail}</string>

<key>displayname</key>

<string>${user.displayname}</string>

<key>sAMAccountName</key>

<string>${user.samaccountname}</string>

<key>aadupn</key>

<string>${user.id_token.upn}</string>

<key>aadtid</key>

<string>${user.id_token.tid}</string>

</dict>

<key>IntuneMAMUPN</key>

<string>${user.id_token.upn}</string>

</dict>

  10. Deaktivieren Sie das Kontrollkästchen Windows Desktop/Tablet, und klicken Sie dann auf Weiter.

  11. Wählen Sie die Benutzergruppen aus, für die Sie die Richtlinie bereitstellen möchten, und klicken Sie dann auf Speichern.

Fehlerbehebung

Allgemeine Probleme

Problem: Beim Öffnen einer App wird die folgende Fehlermeldung angezeigt: App-Richtlinie erforderlich.

Lösung: Fügen Sie Richtlinien in der Microsoft Graph API hinzu.

Problem: Es liegen Richtlinienkonflikte vor.

Lösung: Pro App ist nur eine einzige Richtlinie zulässig.

Problem: Ihre App kann keine Verbindung zu internen Ressourcen herstellen.

Lösung: Stellen Sie sicher, dass die richtigen Firewall-Ports geöffnet sind, Sie die richtige Mandanten-ID verwenden usw.

Probleme mit NetScaler Gateway

Die folgende Tabelle listet häufige Probleme mit NetScaler Gateway-Konfigurationen und deren Lösungen auf. Zur Fehlerbehebung aktivieren Sie weitere Protokolle und überprüfen diese wie folgt:

  1. Führen Sie in der Befehlszeilenschnittstelle den folgenden Befehl aus: set audit syslogParams -logLevel ALL
  2. Überprüfen Sie die Protokolle in der Shell mit tail -f /var/log/ns.log
Problem Lösung
Die für die Gateway-App in Azure zu konfigurierenden Berechtigungen sind nicht verfügbar. Überprüfen Sie, ob eine gültige Intune-Lizenz verfügbar ist. Versuchen Sie, das Portal manage.windowsazure.com zu verwenden, um zu prüfen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht.
NetScaler Gateway kann login.microsoftonline.com und graph.windows.net nicht erreichen. Überprüfen Sie in der NS Shell, ob Sie die folgende Microsoft-Website erreichen können: curl -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf NetScaler Gateway konfiguriert ist und ob die Firewall-Einstellungen korrekt sind (falls DNS-Anfragen durch eine Firewall blockiert werden).
Nach der Konfiguration von OAuthAction wird ein Fehler in ns.log angezeigt. Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt.
Der Befehl Sh OAuthAction zeigt den OAuth-Status nicht als abgeschlossen an. Überprüfen Sie die DNS-Einstellungen und die konfigurierten Berechtigungen für die Azure Gateway-App.
Das Android- oder iOS-Gerät zeigt die Aufforderung zur dualen Authentifizierung nicht an. Überprüfen Sie, ob das Anmeldeschema für die Dual Factor Device ID an den virtuellen Authentifizierungsserver gebunden ist.

OAuth-Fehlerbedingung und -Status

Status Fehlerbedingung
COMPLETE Erfolg
AADFORGRAPH Ungültiges Geheimnis, URL nicht aufgelöst, Verbindungs-Timeout
MDMINFO *manage.microsoft.com ist nicht verfügbar oder unerreichbar
GRAPH Graph-Endpunkt ist nicht verfügbar oder unerreichbar
CERTFETCH Kann nicht mit dem „Token-Endpunkt: https://login.microsoftonline.com“ kommunizieren, da ein DNS-Fehler vorliegt. Um diese Konfiguration zu überprüfen, wechseln Sie zur Shell und geben Sie curl https://login.microsoftonline.com ein. Dieser Befehl muss erfolgreich sein.

Einschränkungen

Die folgenden Punkte beschreiben einige Einschränkungen bei der Verwendung von MEM mit Citrix Endpoint Management.

  • Wenn Sie Apps mit Citrix und Intune bereitstellen, um Micro-VPN zu unterstützen: Wenn Benutzer ihren Benutzernamen und ihr Kennwort eingeben, um auf Digest-Sites zuzugreifen, wird ein Fehler angezeigt, obwohl ihre Anmeldeinformationen gültig sind. [CXM-25227]
  • Nachdem Split-Tunnel von Ein auf Aus geändert wurde und die aktuelle Gateway-Sitzung abgelaufen ist: Externer Datenverkehr wird direkt weitergeleitet, ohne NetScaler Gateway zu passieren, bis der Benutzer eine interne Site im Full-VPN-Modus startet. [CXM-34922]
  • Nachdem die Richtlinie „Öffnen in“ von nur Verwaltete Apps auf Alle Apps geändert wurde, können Benutzer keine Dokumente in nicht verwalteten Apps öffnen, bis sie Citrix Secure Mail schließen und neu starten. [CXM-34990]
  • Wenn Split-Tunneling im Full-VPN-Modus Ein ist und sich das Split-DNS von lokal auf remote ändert, können interne Sites nicht geladen werden. [CXM-35168]

Bekannte Probleme

Wenn die mVPN-Richtlinie HTTP/HTTPS-Umleitung (mit SSO) aktivieren deaktiviert ist, funktioniert Citrix Secure Mail nicht. [CXM-58886]

Bekannte Probleme von Drittanbietern

In Citrix Secure Mail für Android wird, wenn ein Benutzer auf Neues Ereignis erstellen tippt, die Seite zur Erstellung eines neuen Ereignisses nicht angezeigt. [CXM-23917]

Wenn Sie Citrix Secure Mail für iOS mit Citrix und Intune bereitstellen, um Micro-VPN zu unterstützen: Die App-Richtlinie, die den Citrix Secure Mail-Bildschirm verdeckt, wenn Benutzer die App in den Hintergrund verschieben, wird nicht erzwungen. [CXM-25032]

Citrix Endpoint Management-Integration mit Microsoft Endpoint Manager
April 17, 2026
Beitrag von: 
C C
April 17, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.