Einrichten der Citrix SSO-App in einer Intune Android Enterprise-Umgebung

Das Thema enthält Details zur Bereitstellung und Konfiguration der Citrix SSO-App über Microsoft Intune. In diesem Dokument wird davon ausgegangen, dass Intune bereits für die Unterstützung von Android Enterprise konfiguriert ist und die Gerätereregistrierung bereits abgeschlossen ist.

Voraussetzungen

  • Intune ist für Android Enterprise Support konfiguriert
  • Die Gerätereregistrierung ist abgeschlossen

So richten Sie die Citrix SSO-App in einer Intune Android Enterprise-Umgebung ein

  • Fügen Sie die Citrix SSO-App als verwaltete App hinzu
  • Konfigurieren der Richtlinie für verwaltete Apps für die Citrix SSO-App

Fügen Sie die Citrix SSO-App als verwaltete App hinzu

  1. Melden Sie sich bei Ihrem Azure-Portal an

  2. Klicken Sie im linken Navigationsblatt auf Intune.

  3. Klicken Sie im Microsoft Intune-Blade auf Client-Apps und dann im Blade der Client-Apps auf Apps.

  4. Klicken Sie in den Menüoptionen oben rechts auf +Link hinzufügen. Das Blade App-Konfiguration hinzufügen wird angezeigt.

  5. Wählen Sie Managed Google Play für den App-Typ aus.

    Dadurch wird die Google Play-Suche verwalten und Blade genehmigen hinzugefügt, wenn Sie Android Enterprise konfiguriert haben.

  6. Suchen Sie nach der Citrix SSO-App und wählen Sie sie aus der Liste der Apps aus.

    wählen SSO

    Hinweis: Wenn Citrix SSO nicht in der Liste angezeigt wird, bedeutet dies, dass die App in Ihrem Land nicht verfügbar ist.

  7. Klicken Sie auf GENEHMIGEN, um Citrix SSO für die Bereitstellung über den Managed Google Play Store zu genehmigen.

    Die Berechtigungen, die von der Citrix SSO-App benötigt werden, werden aufgeführt.

  8. Klicken Sie auf GENEHMIGEN, um die App für die Bereitstellung zu genehmigen.

  9. Klicken Sie auf Sync, um diese Auswahl mit Intune zu synchronisieren.

    Die Citrix SSO-App wird zur Liste der Client-Apps hinzugefügt. Möglicherweise müssen Sie nach der Citrix SSO-App suchen, wenn viele Apps hinzugefügt wurden.

  10. Klicken Sie auf Citrix SSO-App, um das Blade für App-Details zu öffnen.

  11. Klicken Sie im Details-Blade auf Zuweisungen . Citrix SSO - Assignments Blade wird angezeigt.

    wählen Sie SSO-Zuweisung

  12. Klicken Sie auf Gruppe hinzufügen, um die Benutzergruppen zuzuweisen, denen Sie Berechtigungen zum Installieren der Citrix SSO-App erteilen möchten, und klicken Sie auf Speichern.

  13. Schließen Sie das Blade mit den Details der Citrix SSO App.

Die Citrix SSO-App wurde hinzugefügt und für die Bereitstellung für Ihre Benutzer aktiviert.

Konfigurieren der Richtlinie für verwaltete Apps für die Citrix SSO-App

Nachdem die Citrix SSO-App hinzugefügt wurde, müssen Sie eine verwaltete Konfigurationsrichtlinie für die Citrix SSO-App erstellen, damit das VPN-Profil für die Citrix SSO-App auf dem Gerät bereitgestellt werden kann.

  1. Öffnen Sie Intune-Blade in Ihrem Azure-Portal.

  2. Öffnen Sie das Client-Apps-Blade vom Intune-Blade aus.

  3. Wählen Sie im Blade für Client-Apps das Element App-Konfigurationsrichtlinien aus und klicken Sie auf Hinzufügen, um das Blade für Konfigurationsrichtlinien zu öffnen.

  4. Geben Sie einen Namen für die Richtlinie ein und fügen Sie eine Beschreibung dafür hinzu.

  5. Wählen Sie unter Geräteregistrierungstyp die Option Verwaltete Geräte aus.

  6. Wählen Sie unter Plattform die Option Android aus.

    Dadurch wird eine weitere Konfigurationsoption für die zugehörige App hinzugefügt.

  7. Klicken Sie auf Zugehörige App und wählen Sie Citrix SSO App aus.

    Möglicherweise müssen Sie danach suchen, wenn Sie viele Apps haben.

  8. Klicken Sie auf OK. Eine Option für Konfigurationseinstellungen wird im Blade für Konfigurationsrichtlinien hinzufügen hinzugefügt.

  9. Klicken Sie auf Konfigurationseinstellungen .

    Ein Blade zum Konfigurieren der Citrix SSO-App wird angezeigt.

  10. Wählen Sie in den Konfigurationseinstellungen entweder Konfigurationsdesigner verwendenoder Geben Sie JSON-Daten ein, um die Citrix SSO-App zu konfigurieren.

Stellen Sie SSO für Intune

Hinweis:

Für einfache VPN-Konfigurationen wird empfohlen, den Konfigurationsdesigner zu verwenden.

VPN-Konfiguration mithilfe des Benutzerkonfigurationsdesigners

  1. Wählen Sie in den Konfigurationseinstellungen die Option Konfigurationsdesigner verwenden aus und klicken Sie auf Hinzufügen.

    Sie erhalten einen Bildschirm zur Eingabe von Schlüsselwerten zum Konfigurieren verschiedener Eigenschaften, die von der Citrix SSO-App unterstützt werden. Zumindest müssen Sie die Eigenschaften Serveradresse und VPN-Profilname konfigurieren. Sie können den Mauszeiger über den Abschnitt BESCHREIBUNG bewegen, um weitere Informationen zu jeder Eigenschaft zu erhalten.

  2. Wählen Sie beispielsweise Eigenschaften für VPN-Profilname und Serveradresse (*) aus und klicken Sie auf OK.

    Dadurch werden die Eigenschaften zum Konfigurationsdesigner hinzugefügt. Sie können die folgenden Eigenschaften konfigurieren.

    • VPN-Profilname. Geben Sie einen Namen für das VPN-Profil ein. Wenn Sie mehrere VPN-Profile erstellen, verwenden Sie für jedes Profil einen eindeutigen Namen. Wenn Sie keinen Namen angeben, wird die Adresse, die Sie in das Feld Serveradresse eingeben, als VPN-Profilname verwendet.

    • Serveradresse (*). Geben Sie Ihren Citrix Gateway Basis-FQDN ein. Geben Sie auch den Citrix Gateway-Port ein, wenn Sie nicht Port 443 verwenden. Verwenden Sie das URL-Format. Beispiel: https://vpn.mycompany.com:8443

    • Benutzername (optional). Geben Sie den Benutzernamen ein, den die Endbenutzer zur Authentifizierung beim Citrix Gateway verwenden. Sie können das Intune-Konfigurationswert-Token für dieses Feld verwenden, wenn das Gateway für die Verwendung konfiguriert ist (siehe Konfigurationswert-Token). Wenn Sie keinen Benutzernamen angeben, werden Benutzer aufgefordert, einen Benutzernamen anzugeben, wenn sie eine Verbindung zu Citrix Gateway herstellen.

    • Kennwort (optional). Geben Sie das Kennwort ein, mit dem Endbenutzer sich beim Citrix Gateway authentifizieren. Wenn Sie kein Kennwort angeben, werden Benutzer aufgefordert, ein Kennwort anzugeben, wenn sie eine Verbindung zu Citrix Gateway herstellen.

    • Zertifikat-Alias (optional). Geben Sie im Android KeyStore einen Zertifikatsalias an, der für die Authentifizierung von Clientzertifikaten verwendet werden soll. Dieses Zertifikat ist für Benutzer vorausgewählt, wenn Sie zertifikatbasierte Authentifizierung verwenden.

    • ServerCertificatePins (optional). JSON-Objekt, das für Citrix Gateway verwendete Zertifikat-Pins beschreibt. Beispiel-Wert: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Einzelheiten finden Sie unter Anheften des Citrix Gateway-Zertifikats mit Android Citrix SSO.

    • VPN-Typ pro App (optional). Wenn Sie mit Pro-App-VPN beschränken, welche Apps das VPN verwenden, können Sie diese Einstellung konfigurieren.

      • Wenn Sie Zulassen auswählen, wird der Netzwerkverkehr für App-Paketnamen, die in der PerAppVPN-App-Liste aufgeführt sind, über das VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird nicht über das VPN geleitet.
      • Wenn Sie Verbieten auswählen, wird der Netzwerkverkehr für App-Paketnamen, die in der PerAppVPN-App-Liste aufgeführt sind, außerhalb des VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird über das VPN geleitet. Die Standardeinstellung ist Zulassen.
    • PerAppVPN app list. Eine Liste aller Apps, deren Datenverkehr auf dem VPN zugelassen oder nicht zugelassen ist, festgelegt durch den Wert für Pro-App-VPN-Typ. Die App-Paketnamen sind durch Kommas oder Semikolons in der Liste getrennt. Die Groß- und Kleinschreibung wird berücksichtigt und die Schreibweise der App-Paketnamen in der Liste müssen mit dem Namen im Google Play Store identisch sein. Diese Liste ist optional. Beim Provisioning eines geräteweiten VPNs lassen Sie die Liste unausgefüllt.
    • Standard-VPN-Profil. Der VPN-Profilname, der verwendet wird, wenn Always On VPN für die Citrix SSO-App konfiguriert ist. Wenn dieses Feld leer ist, wird das Hauptprofil für die Verbindung verwendet. Wenn nur ein Profil konfiguriert ist, wird es als Standard-VPN-Profil markiert.

      Standard-VPN-Profiloption

    Hinweis:

    • Um die Citrix SSO-App in Intune als Always On VPN-App zu erstellen, verwenden Sie den VPN-Anbieter als benutzerdefiniert und com.citrix.CitrixVPN als App-Paketnamen.

    • Nur zertifikatbasierte Clientauthentifizierung wird für Always On VPN von der Citrix SSO-App unterstützt.

    • Administratoren müssen Clientauthentifizierung auswählen und Clientzertifikat im SSL-Profil oder in den SSL-Eigenschaften auf dem Citrix Gateway auf Obligatorisch festlegen, damit die SSO-App wie vorgesehen funktioniert.

    • Deaktivieren Sie Benutzerprofile
      • Wenn Sie diesen Wert auf true festlegen, können Benutzer keine neuen VPN-Profile auf ihren Geräten hinzufügen.
      • Wenn Sie diesen Wert auf false setzen, können Benutzer ihre eigenen VPNs auf ihren Geräten hinzufügen.

      Der Standardwert ist falsch.

    • Blockieren Sie nicht vertrauenswürdige Server
      • Legen Sie diesen Wert auf false fest, wenn Sie ein selbstsigniertes Zertifikat für Citrix Gateway verwenden oder wenn das Stammzertifikat für die CA, die das Citrix Gateway-Zertifikat ausstellt, nicht in der System-CA-Liste enthalten ist.
      • Setzen Sie diesen Wert auf true, damit das Android-Betriebssystem das Citrix Gateway-Zertifikat validiert. Wenn die Validierung fehlschlägt, wird die Verbindung nicht zugelassen.

      Der Standardwert ist Wahr.

  3. Geben Sie für die Eigenschaft Serveradresse (*) Ihre VPN-Gateway-Basis-URL ein (z. B. https://vpn.mycompany.com).

  4. Geben Sie für VPN-Profilnameeinen Namen ein, der für den Endbenutzer im Hauptbildschirm der Citrix SSO-App sichtbar ist (z. B. My Corporate VPN).

  5. Sie können andere Eigenschaften entsprechend Ihrer Citrix Gateway-Bereitstellung hinzufügen und konfigurieren. Klicken Sie auf OK, wenn Sie mit der Konfiguration fertig sind.

  6. Klicken Sie auf den Abschnitt Berechtigungen . In diesem Abschnitt können Sie die für die Citrix SSO-App erforderlichen Berechtigungen erteilen.

    • Wenn Sie die Intune NAC-Test verwenden, erfordert die Citrix SSO-App, dass Sie die Berechtigung zum Telefonstatus (Lesen) erteilen. Klicken Sie auf Hinzufügen, um das Berechtigungs-Blade zu Derzeit zeigt Intune eine umfangreiche Liste von Berechtigungen an, die für alle Apps verfügbar sind.

    • Wenn Sie Intune NAC Check verwenden, wählen Sie die Berechtigung Telefonstatus (lesen) und klicken Sie auf OK. Dadurch wird es zur Liste der Berechtigungen für die App hinzugefügt. Wählen Sie entweder Aufforderung oder Auto Grant aus, damit die Intune NAC-Prüfung funktionieren kann, und klicken Sie auf OK.

      Festlegen der SSO-Konfiguration

  7. Klicken Sie unten im Blade für App-Konfigurationsrichtlinien auf Hinzufügen, um die verwaltete Konfiguration für die Citrix SSO-App zu speichern.

  8. Klicken Sie im Blade für App-Konfigurationsrichtlinien auf Zuweisungen, um das Blade Zuweisungen zu öffnen

  9. Wählen Sie die Benutzergruppen aus, für die diese Citrix SSO-Konfiguration bereitgestellt und angewendet werden soll.

VPN-Konfiguration durch Eingabe von JSON-Daten

  1. Wählen Sie in den Konfigurationseinstellungendie Option Geben Sie JSON-Daten für die Konfiguration der Citrix SSO-App ein.

  2. Verwenden Sie die Schaltfläche JSON-Vorlage herunterladen, um eine Vorlage herunterzuladen, die eine detailliertere/komplexere Konfiguration für die Citrix SSO-App ermöglicht. Diese Vorlage ist eine Reihe von JSON-Schlüssel-Wert-Paaren, um alle möglichen Eigenschaften zu konfigurieren, die die Citrix SSO-App versteht.

    Eine Liste aller verfügbaren Eigenschaften, die konfiguriert werden können, finden Sie unter Verfügbare Eigenschaften für die Konfiguration des VPN-Profils in der Citrix SSO-App.

  3. Nachdem Sie eine JSON-Konfigurationsdatei erstellt haben, kopieren Sie den Inhalt und fügen Sie ihn in den Bearbeitungsbereich ein. Das Folgende ist beispielsweise die JSON-Vorlage für die Grundkonfiguration, die zuvor mit der Konfigurationsdesigner-Option erstellt wurde.

JSON-Konfiguration abgeschlossen

Damit ist das Verfahren zum Konfigurieren und Bereitstellen von VPN-Profilen für die Citrix SSO-App in der Microsoft Intune Android Enterprise-Umgebung abgeschlossen.

Wichtig:

Das für die clientzertifikatbasierte Authentifizierung verwendete Zertifikat wird mithilfe eines Intune SCEP-Profils bereitgestellt. Der Alias für dieses Zertifikat muss in der Eigenschaft Certificate Alias der verwalteten Konfiguration für die Citrix SSO-App konfiguriert werden.

Verfügbare Eigenschaften zum Konfigurieren des VPN-Profils in der Citrix SSO-App

|Konfigurations-Schlüssel|JSON-Feldname|Werttyp|Beschreibung| |— |— |— |— | |VPN-Profilname|VPNProfileName|Text|Name des VPN-Profils (falls nicht standardmäßig auf Serveradresse festgelegt).| |Serveradresse (*)|ServerAddress|URL|Basis-URL des Citrix Gateway für die Verbindung (https://host[:port]). Dies ist ein Pflichtfeld.| |Username (optional)|Username|Text|Benutzername, der für die Authentifizierung beim Citrix Gateway verwendet wird (optional) .| |Kennwort (optional) |Kennwort|Text|Kennwort des Benutzers für die Authentifizierung beim Citrix Gateway (optional) .| |Zertifikat-Alias (optional) |ClientCertalias|Text|Alias des Clientzertifikats im Android-Anmeldeinformationsspeicher zur Verwendung bei der zertifikatbasierten Clientauthentifizierung installiert (optional). Zertifikatalias ist ein erforderliches Feld, wenn die zertifikatbasierte Authentifizierung auf Citrix Gateway verwendet wird. | |Serverzertifikat-Pins (optional) |ServerCertificatePins|JSON Text|Eingebettetes JSON-Objekt, das die für Citrix Gateway verwendeten Zertifikat-Pins beschreibt. Beispiel-Wert: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Stellen Sie sicher, dass Sie diese eingebetteten JSON-Daten entkommen, wenn Sie den JSON-Konfigurator verwenden. | |Pro-App-VPN-Typ (optional) |PerAppVPN_allow_disallow_setting|Enum (Erlauben, Verbieten) |Sind die aufgelisteten Apps erlaubt (Zulassungsliste) oder nicht erlaubt (Sperrliste), den VPN-Tunnel zu verwenden?Wenn auf Zulassen gesetzt, dürfen nur aufgelistete Apps (in der PerAppVPN App-Listeneigenschaft) durch das VPN tunneln. Wenn auf Verbieten gesetzt, dürfen alle Apps mit Ausnahme der aufgelisteten über das VPN tunneln. Wenn keine Apps aufgeführt sind, dürfen alle Apps durch das VPN tunneln. | |PerAppVPN Appliste|PerAppName_AppNames|Text|Komma (,) oder Semikolon (;) getrennte Liste von App-Paketnamen für Pro-App-VPN. Die Paketnamen müssen genau so sein, wie sie in der URL der Google Play Store-App-Auflistungsseite angezeigt werden. Paketnamen unterscheiden zwischen Groß- und Klein | |Standard-VPN-Profil|DefaultProfileName|Text|Name des VPN-Profils, das verwendet werden soll, wenn das System den VPN-Dienst startet. Diese Einstellung wird zur Identifizierung des VPN-Profils verwendet, das verwendet werden soll, wenn Always On VPN auf dem Gerät konfiguriert ist. | |Benutzerprofile deaktivieren|DisableUserProfiles|Boolesch|Eigenschaft, um Endbenutzern das manuelle Erstellen von VPN-Profilen zu ermöglichen oder nicht. Setzen Sie diesen Wert auftrue, um Benutzern das Erstellen von VPN-Profilen zu verbieten. Der Standardwert istfalsch.| |Nicht vertrauenswürdige Server blockieren|BlockUntrustedServers|Boolean|Eigenschaft, um festzustellen, ob die Verbindung zu nicht vertrauenswürdigen Gateways (z. B. mit selbstsignierten Zertifikaten oder bei der Ausstellung von CA vom Android-Betriebssystem nicht vertraut wird) blockiert wird? Der Standardwert ist true (Blockverbindungen zu nicht vertrauenswürdigen Gateways) .| |Benutzerdefinierte Parameter (optional) |CustomParameters|List|Liste der benutzerdefinierten Parameter (optional), die von der Citrix SSO-App unterstützt werden. Einzelheiten finden Sie unterBenutzerdefinierte Parameter. In der Citrix Gateway-Produktdokumentation finden Sie verfügbare Optionen. | |Liste anderer VPN-Profile|bundle_profiles|Liste|Liste anderer VPN-Profile. Die meisten der zuvor genannten Werte für jedes Profil werden unterstützt. Einzelheiten finden Sie unter Eigenschaften, die für jedes VPN in der VPN-Profilliste unterstütztwerden .|

Benutzerdefinierte Parameter

Jeder benutzerdefinierte Parameter muss mit den folgenden Schlüssel-Wert-Namen definiert werden.

Key Werttyp Wert
ParameterName Text Name des benutzerdefinierten Parameters.
ParameterValue Text Wert des benutzerdefinierten Parameters.

Unterstützte Eigenschaften für jedes VPN in der VPN-Profilliste

Die folgenden Eigenschaften werden für jedes VPN-Profil unterstützt, wenn mehrere VPN-Profile mithilfe der JSON-Vorlage konfiguriert werden.

Konfigurations-Schlüssel JSON-Feldname Werttyp
VPN-Profilname bundle_VPNProfileName Text
Serveradresse (*) bundle_ServerAddress URL
Benutzername bundle_Username Text
Kennwort bundle_Password Text
Client-Cert-Alias bundle_ClientCertAlias Text
Serverzertifikat-Pins bundle_ServerCertificatePins Text
Pro-App-VPN-Typ bundle_PerAppVPN_Allow_Disallow_Setting Enum (Allow, Disallow)
PerAppVPN app list bundle_PerAppVPN_Appnames Text
Benutzerdefinierte Parameter bundle_CustomParameters Liste

Stellen Sie die Citrix SSO-App in Intune als Always On VPN-Anbieter ein

In Ermangelung einer On-Demand-VPN-Unterstützung in einem Android-VPN-Subsystem kann das Always On VPN als Alternative verwendet werden, um eine nahtlose VPN-Konnektivitätsoption zusammen mit der Clientzertifikatauthentifizierung mit der Citrix SSO-App bereitzustellen. Das VPN wird vom Betriebssystem beim Start oder beim Einschalten des Arbeitsprofils gestartet.

Um die Citrix SSO-App in Intune zu einer Always On VPN-App zu machen, müssen Sie die folgenden Einstellungen verwenden.

  • Wählen Sie die richtige Art der zu verwendenden verwalteten Konfiguration (in persönlichem Besitz mit Arbeitsprofil ODER vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil).

  • Erstellen Sie ein Gerätekonfigurationsprofil, wählen Sie Geräteeinschränkungen aus und gehen Sie dann zum Abschnitt Konnektivität. Wählen Sie Aktivieren für Always On VPN Einstellung.

  • Wählen Sie die Citrix SSO-App als VPN-Client. Wenn Citrix SSO nicht als Option verfügbar ist, können Sie Benutzerdefiniert als VPN-Client wählen und com.citrix.CitrixVPN in das Feld Paket-ID eingeben (Feld Paket-ID berücksichtigt die Groß-/Kleinschreibung)

  • Lassen Sie andere Optionen so wie sie sind. Es wird empfohlen, den Lockdown-Modus nicht zu aktivieren. Wenn diese Option aktiviert ist, verliert das Gerät möglicherweise die vollständige Netzwerkkonnektivität, wenn VPN nicht verfügbar ist.

  • Zusätzlich zu diesen Einstellungen können Sie auch den Per-App VPN-Typ und diePerAppVPN-App-App-Liste** auf der Seite **App-Konfigurationsrichtlinien festlegen, um Pro-App-VPN für Android zu aktivieren, wie in den vorherigen Abschnitten beschrieben.

Hinweis:

Always On VPN wird nur mit der Clientzertifikatauthentifizierung in der Citrix SSO-App unterstützt.

Referenzen

Weitere Informationen zum Einrichten von Konnektivitätsoptionen in Intune finden Sie in den folgenden Themen.

Einrichten der Citrix SSO-App in einer Intune Android Enterprise-Umgebung