Citrix SSO-App in einer Intune Android Enterprise-Umgebung einrichten

Das Thema enthält Details zur Bereitstellung und Konfiguration der Citrix SSO-App über Microsoft Intune. In diesem Dokument wird davon ausgegangen, dass Intune bereits für die Unterstützung von Android Enterprise konfiguriert ist und die Gerätereregistrierung bereits abgeschlossen ist.

Voraussetzungen

• Intune ist für Android Enterprise Support konfiguriert
• Die Gerätereregistrierung ist abgeschlossen

So richten Sie die Citrix SSO-App in einer Intune Android Enterprise-Umgebung ein

• Fügen Sie die Citrix SSO-App als verwaltete App hinzu
• Konfigurieren der Richtlinie für verwaltete Apps für die Citrix SSO-App

Fügen Sie die Citrix SSO-App als verwaltete App hinzu

1. Melden Sie sich bei Ihrem Azure-Portal an

2. Klicken Sie im linken Navigationsblatt auf Intune.

3. Klicken Sie im Microsoft Intune-Blade auf Client-Apps und dann im Blade der Client-Apps auf Apps.

4. Klicken Sie in den Menüoptionen oben rechts auf +Link hinzufügen. Das Blade App-Konfiguration hinzufügen wird angezeigt.

5. Wählen Sie Managed Google Play für den App-Typ aus.

   Dadurch wird die Google Play-Suche verwalten und Blade genehmigen hinzugefügt, wenn Sie Android Enterprise konfiguriert haben.

6. Suchen Sie nach der Citrix SSO-App und wählen Sie sie aus der Liste der Apps aus.

   

   Hinweis: Wenn Citrix SSO nicht in der Liste erscheint, bedeutet dies, dass die App in Ihrem Land nicht verfügbar ist.

7. Klicken Sie auf GENEHMIGEN, um Citrix SSO für die Bereitstellung über den Managed Google Play Store zu genehmigen.

   Die Berechtigungen, die von der Citrix SSO-App benötigt werden, werden aufgeführt.

8. Klicken Sie auf GENEHMIGEN, um die App für die Bereitstellung zu genehmigen.

9. Klicken Sie auf Sync, um diese Auswahl mit Intune zu synchronisieren.

   Die Citrix SSO-App wird zur Liste der Client-Apps hinzugefügt. Möglicherweise müssen Sie nach der Citrix SSO-App suchen, wenn viele Apps hinzugefügt wurden.

10. Klicken Sie auf Citrix SSO-App, um das Blade für App-Details zu öffnen.

11. Klicken Sie im Details-Blade auf Zuweisungen . Citrix SSO - Assignments Blade wird angezeigt.

    

12. Klicken Sie auf Gruppe hinzufügen, um die Benutzergruppen zuzuweisen, denen Sie Berechtigungen zum Installieren der Citrix SSO-App erteilen möchten, und klicken Sie auf Speichern.

13. Schließen Sie das Blade mit den Details der Citrix SSO App.

Die Citrix SSO-App wurde hinzugefügt und für die Bereitstellung für Ihre Benutzer aktiviert.

Konfigurieren der Richtlinie für verwaltete Apps für die Citrix SSO-App

Nachdem die Citrix SSO-App hinzugefügt wurde, müssen Sie eine verwaltete Konfigurationsrichtlinie für die Citrix SSO-App erstellen, damit das VPN-Profil für die Citrix SSO-App auf dem Gerät bereitgestellt werden kann.

1. Öffnen Sie Intune-Blade in Ihrem Azure-Portal.

2. Öffnen Sie das Client-Apps-Blade vom Intune-Blade aus.

3. Wählen Sie im Blade für Client-Apps das Element App-Konfigurationsrichtlinien aus und klicken Sie auf Hinzufügen, um das Blade für Konfigurationsrichtlinien zu öffnen.

4. Geben Sie einen Namen für die Richtlinie ein und fügen Sie eine Beschreibung dafür hinzu.

5. Wählen Sie unter Geräteregistrierungstyp die Option Verwaltete Geräte aus.

6. Wählen Sie unter Plattform die Option Android aus.

   Dadurch wird eine weitere Konfigurationsoption für die zugehörige App hinzugefügt.

7. Klicken Sie auf Zugehörige App und wählen Sie Citrix SSO App aus.

   Möglicherweise müssen Sie danach suchen, wenn Sie viele Apps haben.

8. Klicken Sie auf OK. Eine Option für Konfigurationseinstellungen wird im Blade für Konfigurationsrichtlinien hinzufügen hinzugefügt.

9. Klicken Sie auf Konfigurationseinstellungen .

   Ein Blade zum Konfigurieren der Citrix SSO-App wird angezeigt.

10. Wählen Sie in den Konfigurationseinstellungen entweder Konfigurationsdesigner verwendenoder Geben Sie JSON-Daten ein, um die Citrix SSO-App zu konfigurieren.

Hinweis:

Für einfache VPN-Konfigurationen wird empfohlen, den Konfigurationsdesigner zu verwenden.

VPN-Konfiguration mit Benutzerkonfigurationsdesigner

1. Wählen Sie in den Konfigurationseinstellungen die Option Konfigurationsdesigner verwenden aus und klicken Sie auf Hinzufügen.

   Sie erhalten einen Bildschirm zur Eingabe von Schlüsselwerten zum Konfigurieren verschiedener Eigenschaften, die von der Citrix SSO-App unterstützt werden. Zumindest müssen Sie die Eigenschaften Serveradresse und VPN-Profilname konfigurieren. Sie können den Mauszeiger über den Abschnitt BESCHREIBUNG bewegen, um weitere Informationen zu jeder Eigenschaft zu erhalten.

2. Wählen Sie beispielsweise Eigenschaften für VPN-Profilname und Serveradresse (*) aus und klicken Sie auf OK.

   Dadurch werden die Eigenschaften zum Konfigurationsdesigner hinzugefügt. Sie können die folgenden Eigenschaften konfigurieren.

   • VPN-Profilname. Geben Sie einen Namen für das VPN-Profil ein. Wenn Sie mehrere VPN-Profile erstellen, verwenden Sie für jedes Profil einen eindeutigen Namen. Wenn Sie keinen Namen angeben, wird die Adresse, die Sie in das Feld Serveradresse eingeben, als VPN-Profilname verwendet.

   • Serveradresse (*). Geben Sie Ihren Citrix Gateway Basis-FQDN ein. Geben Sie auch den Citrix Gateway-Port ein, wenn Sie nicht Port 443 verwenden. Verwenden Sie das URL-Format. Beispiel: https://vpn.mycompany.com:8443.

   • Benutzername (optional). Geben Sie den Benutzernamen ein, den die Endbenutzer zur Authentifizierung beim Citrix Gateway verwenden. Sie können den Intune-Konfigurationswerttoken für dieses Feld verwenden, wenn das Gateway für die Verwendung konfiguriert ist (siehe Konfigurationswerttoken). Wenn Sie keinen Benutzernamen angeben, werden Benutzer aufgefordert, einen Benutzernamen anzugeben, wenn sie eine Verbindung zu Citrix Gateway herstellen.

   • Kennwort (optional). Geben Sie das Kennwort ein, mit dem Endbenutzer sich beim Citrix Gateway authentifizieren. Wenn Sie kein Kennwort angeben, werden Benutzer aufgefordert, ein Kennwort anzugeben, wenn sie eine Verbindung zu Citrix Gateway herstellen.

   • Zertifikat-Alias (optional). Geben Sie im Android KeyStore einen Zertifikatsalias an, der für die Authentifizierung von Clientzertifikaten verwendet werden soll. Dieses Zertifikat ist für Benutzer vorausgewählt, wenn Sie zertifikatbasierte Authentifizierung verwenden.

   • ServerCertificatePins (optional). JSON-Objekt, das für Citrix Gateway verwendete Zertifikat-Pins beschreibt. Beispiel-Wert: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Einzelheiten finden Sie unter Anheften des Citrix Gateway-Zertifikats mit Android Citrix SSO.

   • Pro-App-VPN-Typ (optional). Wenn Sie mit Pro-App-VPN beschränken, welche Apps das VPN verwenden, können Sie diese Einstellung konfigurieren.

     • Wenn Sie Zulassen auswählen, wird der Netzwerkverkehr für App-Paketnamen, die in der PerAppVPN-App-Liste aufgeführt sind, über das VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird nicht über das VPN geleitet.
     • Wenn Sie Verbieten auswählen, wird der Netzwerkverkehr für App-Paketnamen, die in der PerAppVPN-App-Liste aufgeführt sind, außerhalb des VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird über das VPN geleitet. Die Standardeinstellung ist Zulassen.
   • PerAppVPN app list. Eine Liste aller Apps, deren Datenverkehr auf dem VPN zugelassen oder nicht zugelassen ist, festgelegt durch den Wert für Pro-App-VPN-Typ. Die App-Paketnamen sind durch Kommas oder Semikolons in der Liste getrennt. Die Groß- und Kleinschreibung wird berücksichtigt und die Schreibweise der App-Paketnamen in der Liste müssen mit dem Namen im Google Play Store identisch sein. Diese Liste ist optional. Beim Provisioning eines geräteweiten VPNs lassen Sie die Liste unausgefüllt.

   • Standard-VPN-Profil. Der VPN-Profilname, der verwendet wird, wenn Always On VPN für die Citrix SSO-App konfiguriert ist. Wenn dieses Feld leer ist, wird das Hauptprofil für die Verbindung verwendet. Wenn nur ein Profil konfiguriert ist, wird es als Standard-VPN-Profil markiert.

     

   Hinweis:

   • Um die Citrix SSO-App in Intune als Always On VPN-App zu erstellen, verwenden Sie den VPN-Anbieter als benutzerdefiniert und com.citrix.CitrixVPN als App-Paketnamen.

   • Nur die zertifikatbasierte Clientauthentifizierung wird für Always On VPN von der Citrix SSO-App unterstützt.

   • Administratoren müssen Clientauthentifizierung auswählen und Clientzertifikat im SSL-Profil oder in den SSL-Eigenschaften auf dem Citrix Gateway auf Obligatorisch festlegen, damit die SSO-App wie vorgesehen funktioniert.

   • Deaktivieren Sie Benutzerprofile
     • Wenn Sie diesen Wert auf true festlegen, können Benutzer keine neuen VPN-Profile auf ihren Geräten hinzufügen.
     • Wenn Sie diesen Wert auf false setzen, können Benutzer ihre eigenen VPNs auf ihren Geräten hinzufügen.

     Der Standardwert ist falsch.

   • Blockieren Sie nicht vertrauenswürdige Server
     • Legen Sie diesen Wert auf false fest, wenn Sie ein selbstsigniertes Zertifikat für Citrix Gateway verwenden oder wenn das Stammzertifikat für die CA, die das Citrix Gateway-Zertifikat ausstellt, nicht in der System-CA-Liste enthalten ist.
     • Setzen Sie diesen Wert auf true, damit das Android-Betriebssystem das Citrix Gateway-Zertifikat validiert. Wenn die Validierung fehlschlägt, wird die Verbindung nicht zugelassen.

     Der Standardwert ist Wahr.

3. Geben Sie für die Eigenschaft Serveradresse (*) Ihre VPN-Gateway-Basis-URL ein (z. B. https://vpn.mycompany.com).

4. Geben Sie für VPN-Profilnameeinen Namen ein, der für den Endbenutzer im Hauptbildschirm der Citrix SSO-App sichtbar ist (z. B. My Corporate VPN).

5. Sie können andere Eigenschaften entsprechend Ihrer Citrix Gateway-Bereitstellung hinzufügen und konfigurieren. Klicken Sie auf OK, wenn Sie mit der Konfiguration fertig sind.

6. Klicken Sie auf den Abschnitt Berechtigungen . In diesem Abschnitt können Sie die für die Citrix SSO-App erforderlichen Berechtigungen erteilen.

   • Wenn Sie die Intune NAC-Test verwenden, erfordert die Citrix SSO-App, dass Sie die Berechtigung zum Telefonstatus (Lesen) erteilen. Klicken Sie auf Hinzufügen, um das Berechtigungsblatt zu öffnen. Derzeit zeigt Intune eine umfangreiche Liste von Berechtigungen an, die für alle Apps verfügbar sind.

   • Wenn Sie Intune NAC Check verwenden, wählen Sie die Berechtigung Telefonstatus (lesen) und klicken Sie auf OK. Dadurch wird es zur Liste der Berechtigungen für die App hinzugefügt. Wählen Sie entweder Aufforderung oder Auto Grant aus, damit die Intune NAC-Prüfung funktionieren kann, und klicken Sie auf OK.

     

7. Klicken Sie unten im Blade für App-Konfigurationsrichtlinien auf Hinzufügen, um die verwaltete Konfiguration für die Citrix SSO-App zu speichern.

8. Klicken Sie im Blade für App-Konfigurationsrichtlinien auf Zuweisungen, um das Blade Zuweisungen zu öffnen

9. Wählen Sie die Benutzergruppen aus, für die diese Citrix SSO-Konfiguration bereitgestellt und angewendet werden soll.

VPN-Konfiguration durch Eingabe von JSON-Daten

1. Wählen Sie in den Konfigurationseinstellungendie Option Geben Sie JSON-Daten für die Konfiguration der Citrix SSO-App ein.

2. Verwenden Sie die Schaltfläche JSON-Vorlage herunterladen, um eine Vorlage herunterzuladen, die eine detailliertere/komplexere Konfiguration für die Citrix SSO-App ermöglicht. Diese Vorlage ist eine Reihe von JSON-Schlüssel-Wert-Paaren, um alle möglichen Eigenschaften zu konfigurieren, die die Citrix SSO-App versteht.

   Eine Liste aller verfügbaren Eigenschaften, die konfiguriert werden können, finden Sie unter Verfügbare Eigenschaften für die Konfiguration des VPN-Profils in der Citrix SSO-App.

3. Nachdem Sie eine JSON-Konfigurationsdatei erstellt haben, kopieren Sie den Inhalt und fügen Sie ihn in den Bearbeitungsbereich ein. Das Folgende ist beispielsweise die JSON-Vorlage für die Grundkonfiguration, die zuvor mit der Konfigurationsdesigner-Option erstellt wurde.

Damit ist das Verfahren zum Konfigurieren und Bereitstellen von VPN-Profilen für die Citrix SSO-App in der Microsoft Intune Android Enterprise-Umgebung abgeschlossen.

Wichtig:

Das für die clientzertifikatsbasierte Authentifizierung verwendete Zertifikat wird mit einem Intune-SCEP-Profil bereitgestellt. Der Alias für dieses Zertifikat muss in der Eigenschaft Certificate Alias der verwalteten Konfiguration für die Citrix SSO-App konfiguriert werden.

Verfügbare Eigenschaften zum Konfigurieren des VPN-Profils in der Citrix SSO-App

Benutzerdefinierte Parameter

Jeder benutzerdefinierte Parameter muss mit den folgenden Schlüssel-Wert-Namen definiert werden.

Unterstützte Eigenschaften für jedes VPN in der VPN-Profilliste

Die folgenden Eigenschaften werden für jedes VPN-Profil unterstützt, wenn mehrere VPN-Profile mit der JSON-Vorlage konfiguriert werden.

Citrix SSO-App in Intune als Always-On-VPN-Anbieter festlegen

In Ermangelung einer On-Demand-VPN-Unterstützung in einem Android-VPN-Subsystem kann das Always On VPN als Alternative verwendet werden, um eine nahtlose VPN-Konnektivitätsoption zusammen mit der Clientzertifikatauthentifizierung mit der Citrix SSO-App bereitzustellen. Das VPN wird vom Betriebssystem beim Start oder beim Einschalten des Arbeitsprofils gestartet.

Um die Citrix SSO-App in Intune zu einer Always On VPN-App zu machen, müssen Sie die folgenden Einstellungen verwenden.

• Wählen Sie die richtige Art der zu verwendenden verwalteten Konfiguration (in persönlichem Besitz mit Arbeitsprofil ODER vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil).

• Erstellen Sie ein Gerätekonfigurationsprofil, wählen Sie Geräteeinschränkungen aus und gehen Sie dann zum Abschnitt Konnektivität. Wählen Sie Aktivieren für Always On VPN Einstellung.

• Wählen Sie die Citrix SSO-App als VPN-Client. Wenn Citrix SSO nicht als Option verfügbar ist, können Sie Benutzerdefiniert als VPN-Client wählen und com.citrix.CitrixVPN in das Feld Paket-ID eingeben (Feld Paket-ID berücksichtigt die Groß-/Kleinschreibung)

• Lassen Sie andere Optionen so wie sie sind. Es wird empfohlen, den Lockdown-Modus nicht zu aktivieren. Wenn diese Option aktiviert ist, verliert das Gerät möglicherweise die vollständige Netzwerkkonnektivität, wenn VPN nicht verfügbar ist.

• Zusätzlich zu diesen Einstellungen können Sie auch den Pro-App-VPN-Typ und die Pro-App-VPN-App-Liste auf der Seite App-Konfigurationsrichtlinien festlegen, um Pro-App-VPN für Android zu aktivieren, wie in den vorherigen Abschnitten beschrieben.

Hinweis:

Always-On-VPN wird nur mit der Clientzertifikatauthentifizierung in der Citrix SSO-App unterstützt.

Referenzen

Weitere Informationen zum Einrichten von Konnektivitätsoptionen in Intune finden Sie in den folgenden Themen.

• Vollständig verwaltete dedizierte Unternehmensgeräte

• Geräte in persönlichem Besitz

Einschränkungen

Im Folgenden sind die Einschränkungen für ein Pro-App-VPN in der Android Enterprise-Umgebung auf Geräten mit Android 11 und höher aufgrund der in Android 11 eingeführten Einschränkungen der Paketsichtbarkeit aufgeführt:

• Wenn eine App, die Teil der Liste “Zulässig/Verweigert” ist, nach dem Start der VPN-Sitzung auf einem Gerät bereitgestellt wird, muss der Endbenutzer die VPN-Sitzung neu starten, damit die App ihren Datenverkehr durch die VPN-Sitzung weiterleiten kann.
• Wenn das Pro-App-VPN über eine Always-On-VPN-Sitzung verwendet wird, muss der Endbenutzer nach der Installation einer neuen App auf dem Gerät das Arbeitsprofil oder das Gerät neu starten, damit der Datenverkehr der App über die VPN-Sitzung weitergeleitet wird.