Integrar Endpoint Management en Microsoft Intune/EMS

La integración de Endpoint Management en Microsoft Enterprise Mobility + Security (EMS)/Intune agrega todo el valor de una red micro VPN de Endpoint Management a las aplicaciones compatibles con Microsoft Intune, como Managed Browser de Microsoft.

Asimismo, la integración de Endpoint Management en Microsoft EMS/Intune permite a las empresas empaquetar sus propias aplicaciones de línea de negocio con Intune y Citrix para ofrecer capacidades micro VPN dentro de un contenedor de administración de aplicaciones móviles (MAM) de Intune. La micro VPN de Endpoint Management permite a las aplicaciones acceder a recursos locales. Puede administrar y entregar aplicaciones Office 365, aplicaciones de línea de negocio y Citrix Secure Mail en un solo contenedor para obtener la máxima seguridad y productividad.

Esta versión admite los siguientes casos de uso:

  • MAM de Intune
  • MAM y MDM de Intune
  • MAM de Intune con solo MDM de Endpoint Management
  • MAM de Intune con MDM y MAM de Endpoint Management

    Importante:

    Secure Mail solo funciona en modo Citrix MAM en este caso de uso.

Guía de introducción

Este documento es una guía gráfica, fácil de utilizar, para configurar la integración de Endpoint Management en EMS/Intune.

Requisitos del sistema

  • Citrix Gateway versión 12.0.59.x, 12.1.50.x, o posteriores. Puede descargar la versión más reciente de Citrix Gateway desde la página de descargas de Citrix Gateway.
  • Un escritorio con Windows 7 o posterior (solo para empaquetar aplicaciones Android)
  • Un Mac con macOS 10.10 o posterior (para empaquetar aplicaciones iOS o Android)
  • Plataformas móviles:
    • iOS 11.x
    • Android 6.x, 7.x, 8.x

Microsoft

  • Acceso a Azure AD (con privilegios de administrador de inquilinos)
  • Inquilino compatible con Intune

Regla de firewall

  • Habilite una regla del Firewall para permitir el tráfico DNS y SSL desde una IP de subred de Citrix Gateway a *.manage.microsoft.com, https://login.microsoftonline.com y https://graph.windows.net (puerto 53 y 443)

Requisitos previos

  • Entorno de Intune: Si no tiene configurado ningún entorno de Intune, siga los pasos descritos en la documentación de Microsoft.
  • Empaquetadores de aplicaciones Intune: Microsoft aloja a los empaquetadores en un repositorio privado de GitHub cuyo acceso no se hace sin invitación. Después de recibir una invitación, podrá descargar los empaquetadores desde la página GitHub de Citrix.
  • Managed Browser: Mobile Apps SDK está integrado en la aplicación Managed Browser de Intune para iOS y Android. Para obtener más información acerca de Managed Browser, consulte la página de Managed Browser de Microsoft.
  • Instalaciones de Android SDK y Java JDK. Instale estos SDK en la máquina que va a utilizar para empaquetar las aplicaciones. Para obtener información detallada sobre Intune SDK, consulte Microsoft Intune App SDK for Android developer guide.
  • Variable de entorno JDK. Establezca la variable de entorno JDK para que JDK cambie la ruta de manera que coincida con su versión de JDK y la ubicación instalada. Ejemplo: $env:Path += ";C:\\Program Files\\Java\\jdk1.8.0\_121\\bin"
  • Cuenta de Citrix Cloud. Si quiere registrarse para una cuenta de Citrix y solicitar una prueba de Citrix Endpoint Management, contacte con su representante de ventas de Citrix. Cuando esté listo para continuar, vaya a https://onboarding.cloud.com. Para obtener más información sobre cómo solicitar una cuenta de Citrix Cloud, consulte Registrarse en Citrix Cloud. Nota: El correo electrónico que proporcione debe ser una dirección que no esté asociada a Azure AD. Puede utilizar cualquier servicio de correo electrónico gratuito.
  • Certificados APNs para iOS. Debe configurar certificados APNs para iOS. Para obtener más información sobre la configuración de estos certificados, consulte esta entrada del blog de Citrix: Creating and Importing APNs Certificates.
  • Sincronización de Azure AD. Configure la sincronización entre Azure AD y Active Directory local. No instale la herramienta de sincronización de AD en la máquina del controlador de dominio. Para obtener más información sobre cómo configurar esta sincronización, consulte Integrate your on-premises directories with Azure Active Directory en la documentación de Microsoft.

Consentimiento a las solicitudes de permisos delegados

Para las aplicaciones administradas que requieren que los usuarios se autentiquen, las aplicaciones solicitan permisos de aplicación que Microsoft Graph indica al usuario. Tras dar su consentimiento a estas solicitudes de permisos, la aplicación puede acceder a los recursos y las API pertinentes. Algunas aplicaciones requieren el consentimiento del administrador global de Azure AD para Microsoft Azure AD. Para estos permisos delegados, el administrador global debe conceder a Citrix Cloud el permiso de solicitar tokens. Tras ello, los tokens habilitan los siguientes permisos. Para obtener más información, consulte la referencia sobre permisos de Microsoft Graph.

  • Permiso Iniciar sesión y leer el perfil del usuario. Este permiso permite a los usuarios iniciar sesión y conectarse a Azure AD. Tenga en cuenta que Citrix no ve las credenciales de usuario.
  • Permiso Leer los perfiles básicos de todos los usuarios. La aplicación lee las propiedades del perfil en nombre de los usuarios de la organización. Las propiedades son: nombre simplificado, nombre y apellido, dirección de correo electrónico y foto de los usuarios de la organización.
  • Permiso Leer todos los grupos. Este permiso permite que los grupos de AD de Azure se enumeren para la asignación de aplicaciones y directivas.
  • Permiso Acceder al directorio en nombre del usuario con la sesión iniciada. Este permiso verifica la suscripción de Intune y habilita las configuraciones de Citrix Gateway y VPN.
  • Permiso Leer y escribir en aplicaciones de Microsoft Intune. La aplicación puede leer y escribir en las propiedades, las asignaciones de grupo y el estado de las aplicaciones, las configuraciones de las aplicaciones y las directivas de protección de las aplicaciones que administre Microsoft.

Además, durante la configuración de Citrix Gateway, el administrador global de Azure AD debe aprobar el Active Directory elegido para la micro VPN. El administrador global también debe generar un secreto de cliente que Citrix Gateway use para comunicarse con AAD e Intune.

El administrador global no debe tener el rol de administrador de Citrix. En vez de ello, el administrador de Citrix asigna cuentas de Azure AD a los usuarios con los privilegios de administrador de aplicaciones de Intune adecuados. Entonces, el administrador de Intune cumple la función de administrador de Citrix Cloud para administrar Intune desde Citrix Cloud.

Nota:

Citrix solo utiliza la contraseña del administrador global de Intune durante la instalación y redirige la autenticación a Microsoft. Citrix no tiene acceso a la contraseña en ningún momento.

Para configurar la integración de Endpoint Management en EMS/Intune

  1. Inicie sesión en el sitio de Citrix Cloud y solicite una versión de prueba para Endpoint Management.

  2. Un ingeniero de ventas organizará una reunión para incorporarlo como usuario. Dígale que quiere integrar Endpoint Management en EMS/Intune. Una vez aprobada la solicitud que haya realizado, haga clic en Administrar.

    Imagen del sitio de Citrix Cloud

  3. Siga el enlace del primer paso a la página Administración de acceso e identidad.

    Imagen del enlace a la Administración de acceso e identidad

  4. Lleve a cabo una de las siguientes acciones:

    • Haga clic en Conectar para conectar la instalación de Azure AD.
    • Si ya ha federado la instalación de Azure AD, haga clic en Actualizar.

    Imagen de la página Administración de acceso e identidad

  5. Escriba la dirección URL de inicio de sesión única que usa el administrador de Azure AD para iniciar sesión y, a continuación, haga clic en Conectar.

    Imagen de la pantalla con la URL de inicio de sesión y el botón Conectar

  6. Agregue una cuenta de administrador global de Azure AD y acepte la solicitud de permisos.

    Imagen del botón Usar otra cuenta

    Imagen del botón Aceptar

  7. Confirme que la instancia de Azure AD se conecta correctamente. Para indicar una conexión correcta, el botón Conectar cambia a Desconectar.

    Imagen del botón Desconectar

  8. Haga clic en la ficha Administradores y, a continuación, agregue al administrador de Azure AD Intune como administrador de Citrix Cloud.

    Una vez agregado, el administrador de Azure AD Intune recibe una invitación por correo electrónico para crear una contraseña e iniciar sesión en Citrix Cloud. Antes de que el administrador inicie sesión, debe cerrar sesión en todas las demás cuentas.

    El administrador de Azure AD Intune debe seguir los pasos restantes de este procedimiento.

    Imagen de la opción Invitar para el administrador de Azure AD Intune

    Imagen de la pantalla de confirmación

  9. Después de iniciar sesión con la nueva cuenta, en Endpoint Management, haga clic en Administrar. Si todo está configurado correctamente, la página muestra que el administrador de Azure AD ha iniciado sesión y que la suscripción de Intune es válida.

    Imagen de la opción Administrar de Endpoint Management

Vídeo de ayuda

Puede consultar este vídeo para ver, paso a paso, cómo conectar la integración de Endpoint Management en Intune/EMS.

Icono de vídeo

Para configurar Citrix Gateway para micro VPN

Para usar una micro VPN con Intune, debe configurar Citrix Gateway para que se autentique en Azure AD. Un servidor virtual de Citrix Gateway que ya exista no funciona para este caso de uso.

En primer lugar, configure Azure AD para que se sincronice con Active Directory local. Este paso es necesario para que la autenticación entre Intune y Citrix Gateway se realice correctamente.

Diagrama de la sincronización de Active Directory

  1. En la consola de Citrix Cloud, en Endpoint Management, haga clic en Administrar.

  2. Junto a Micro VPN, haga clic en Configure Micro VPN.

    Imagen del botón Configure Micro VPN

  3. Escriba un nombre para el servicio micro VPN y la URL externa de Citrix Gateway y, a continuación, haga clic en Siguiente.

    Este script configura Citrix Gateway para que admita Azure AD y las aplicaciones de Intune.

    Imagen de la página de detalles de Citrix Gateway

  4. Haga clic en Download Script. El archivo ZIP contiene un archivo Léame con instrucciones para implementar el script. Aunque puede guardar el proceso y salir a partir de este punto del procedimiento, la micro VPN no estará configurada hasta que ejecute el script en la instalación de Citrix Gateway.

    Imagen del botón Download Script

    Nota: Cuando termine el proceso de configuración de Citrix Gateway, si ve un estado de autenticación OAuth que no sea “COMPLETO”, consulte la sección “Solucionar problemas”.

Para configurar la administración de dispositivos

Si quiere administrar dispositivos además de aplicaciones, elija un método de administración de los dispositivos. Puede utilizar MDM de Endpoint Management o MDM de Intune.

Nota: De forma predeterminada, está seleccionada la administración MDM de Intune para la consola. Para usar Intune como proveedor MDM, siga las instrucciones descritas en Establecer la entidad de administración de dispositivos móviles en la documentación de Microsoft.

  1. Desde la consola de Citrix Cloud, en la integración de Endpoint Management en EMS/Intune, haga clic en Administrar. Junto a Device Management - Optional, haga clic en Configure MDM.

    Imagen de la pantalla Configure MDM

  2. Introduzca un nombre de sitio único, seleccione la región de Cloud más cercana y, a continuación, haga clic en Request a Site. Un mensaje indica que recibirá un correo electrónico cuando su sitio esté listo.

    Imagen de la página de nombre único del sitio

    Imagen de la confirmación a la solicitud del sitio

  3. Haga clic en Aceptar para cerrar la solicitud. Seleccione una ubicación de Active Directory para asociarla al sitio o cree una ubicación de recursos y, a continuación, haga clic en Siguiente.

    Imagen de la opción de ubicación de Active Directory

    Imagen de la opción para crear una ubicación de recursos

  4. Haga clic en Download Cloud Connector y siga las instrucciones que aparecen en pantalla para instalar Citrix Cloud Connector. Después de la instalación, haga clic en Probar conexión para verificar la conexión entre Citrix Cloud y el Cloud Connector.

    Imagen de la opción para descargar el Citrix Cloud Connector

    Imagen de la opción Probar conexión

  5. Haga clic en Guardar y salir para finalizar el proceso. Aparecerá la ubicación de recursos. Al hacer clic en Finalizar, volverá a la pantalla de configuración.

    Imagen de la pantalla Guardar y salir

  6. Ahora ya puede acceder a la consola de Endpoint Management desde el icono del sitio. Desde aquí, puede realizar tareas de administración de MDM y asignar directivas de dispositivo. Consulte Directivas de dispositivo para obtener más información acerca de las directivas de dispositivo.

    Imagen de la pantalla Manage Site

Empaquetar aplicaciones iOS

Microsoft ha mejorado su herramienta de empaquetado de aplicaciones Intune y ha agregado el parámetro opcional “-citrix”. Como último paso del proceso, este parámetro invoca el comando CGAppCLPrepTool de la interfaz de línea de comandos (CLI) del MDX Toolkit para empaquetar la aplicación. Para empaquetar la aplicación con Intune, siga las instrucciones indicadas en Prepare line of business apps for MAM.

Importante: Debe utilizar la herramienta de empaquetado suministrada para esta versión, no la indicada en el artículo.

Existen varias opciones de MDX. Consulte la siguiente lista para ver una descripción de cada variante de MDX.

  • Empaquetador MDX de solo red: Solo MDM de Intune, MAM de Intune o solo MDM de Endpoint Management pueden administrar este empaquetador. Empaquete la aplicación utilizando la herramienta de empaquetado de aplicaciones de Intune y especifique la opción “-citrix”. Este empaquetador es una versión mínima de MDX que solo admite la micro VPN sin contención ni cifrado.
  • Empaquetador MDX: Admite otros tipos de directiva, incluida la contención. No admite el cifrado. Empaquete la aplicación con la herramienta de empaquetado de aplicaciones de Intune y, a continuación, con el MDX Toolkit.
  • Citrix Mobile Apps SDK: Utilice el Citrix Mobile Apps SDK cuando desarrolle una aplicación para acceder a todas las funciones de MDX, incluido el cifrado.

Puede lograr el mismo resultado si, al crear su aplicación iOS, vincula el framework de Citrix Mobile Apps SDK con el framework del SDK de Intune. Para obtener más información sobre Citrix Mobile Apps SDK y del SDK de Intune, consulte MDX Developer Guide e Introducción al SDK para aplicaciones de Microsoft Intune, respectivamente.

Aplicaciones de línea de negocio de clientes que utilizan el SDK de Intune para la contención o la red.

Ejemplo de caso de uso Microsoft Intune Citrix MDX
Aplicaciones de línea de negocio de clientes que necesitan el SDK de Intune para la contención o la red. SDK de Intune Empaquetador MDX de solo red
Aplicaciones móviles de productividad de Citrix o aplicaciones de línea de negocio que requieren capacidades de contención y red. SDK de Intune Citrix Mobile Apps SDK
Aplicaciones de línea de negocio para empaquetadores de solo red. Empaquetador de Intune Empaquetador MDX de solo red
Uso de Managed Browser de Microsoft. SDK de Intune ya incrustado en la aplicación Compatibilidad de solo red MDX ya incrustada en la aplicación

Empaquetar aplicaciones Android

El empaquetado de una aplicación Android funciona de manera similar a iOS. La herramienta que se usa para empaquetar aplicaciones Android es ManagedAppUtility.jar. Puede usar ManagedAppUtility.jar para empaquetar aplicaciones con la versión completa de MDX o con la versión de solo red. Para el empaquetador de solo red, utilice el parámetro “-mVPN”.

Consulte la tabla siguiente para ver ejemplos de cuándo utilizar cada variante de empaquetado.

Casos de empaquetado para Android

Ejemplo de caso de uso Microsoft Intune Citrix MDX
Microsoft Managed Browser SDK de Intune Empaquetador MDX de solo red
Aplicaciones móviles de productividad de Citrix SDK de Intune MDX para aplicaciones móviles de productividad de Citrix
Aplicaciones de línea de negocio para empaquetadores de solo red Empaquetador de Intune Empaquetador MDX de solo red

Para agregar aplicaciones a la integración de Endpoint Management en la consola EMS/Intune

Para agregar aplicaciones administradas de Intune, siga estos pasos.

  1. En la consola de Citrix Cloud, haga clic en el icono de menú y, a continuación, haga clic en Biblioteca.

    Imagen de la página Biblioteca de Citrix Cloud

  2. Haga clic en el icono azul del signo más, situado en la parte superior derecha y, a continuación, haga clic en Add a Mobile app.

    Puede que deba esperar un momento para que la lista se rellene con las opciones.

    Imagen de la opción Add a Mobile app

  3. Seleccione una plantilla de aplicación a personalizar o haga clic en Upload my own App.

    Imagen de las directivas a configurar

    Citrix suministra las plantillas de aplicación existentes, cada una de las cuales incluye un conjunto de directivas preconfiguradas. Se aplican las siguientes directivas a las aplicaciones que carguen los clientes:

    • Archivos MDX: Contiene aplicaciones MDX empaquetadas (como las directivas de protección de aplicaciones de Intune y las directivas MDX predeterminadas que contenga el paquete) y aplicaciones de tienda pública (como las directivas de protección de aplicaciones de Intune y las directivas MDX predeterminadas que tengan el ID del paquete).
    • Archivos IPA. Directivas de protección de aplicaciones de Intune.
    • Archivos APK. Directivas de protección de aplicaciones de Intune.

    Nota: Si la aplicación no se empaqueta con Intune, la protección de aplicaciones Intune no se aplica.

  4. Si ha hecho clic en Upload my own App, cargue su archivo .mdx o Intune empaquetado.

    Imagen de la pantalla para cargar un archivo empaquetado propio

  5. Introduzca un nombre y una descripción para la aplicación, elija si la aplicación será destacada u obligatoria y, a continuación, haga clic en Siguiente.

  6. Defina la directiva Acceso de red y seleccione si permitir el acceso a la micro VPN y cómo hacerlo. Habilitar la micro VPN permite controlar el acceso de las aplicaciones a los recursos locales.

    • Sin restricciones: Inhabilita el acceso a la micro VPN. La aplicación tiene acceso a la red sin restricciones, sin utilizar la micro VPN. Esta es la opción predeterminada.

      Nota:

      En la versión 18.12.0, si configura el acceso a la red sin restricciones y establece la directiva Sesión micro VPN requerida en , la red no está disponible.

    • Túnel - VPN completo: Habilita la redirección (nivel TCP) de túnel completo de micro VPN.
    • SSO Web en túnel: Habilita la redirección HTTP/HTTPS (con SSO) para la micro VPN.
    • Túnel - VPN completo y SSO web: Habilita la redirección (nivel TCP) de túnel completo de micro VPN y la redirección HTTP/HTTPS (con SSO).

      Esta opción permite cambiar automáticamente entre los modos VPN completo y SSO web según sea necesario. Si la solicitud de red no llega a realizarse debido a una solicitud de autenticación que no se puede resolver en el modo de VPN completo, se vuelve a intentar en el modo alternativo. Por ejemplo, los desafíos de servidor ante certificados de cliente pueden aceptarse en el modo “VPN completo”. Es probable que el modo “SSO web” sea más relevante en los desafíos de autenticación HTTP.

      Esta configuración es el equivalente a la directiva PermitVPNModeWitching, ahora obsoleta.

    Imagen de la pantalla de directivas de micro VPN

  7. Si habilita el acceso de micro VPN, establezca la directiva Sesión micro VPN requerida y seleccione si requerir una sesión en línea para que la aplicación funcione. Seleccione para requerir una sesión en línea. El valor predeterminado es No.

  8. Si habilita el acceso a la micro VPN, puede especificar una lista de exclusión de túnel mVPN. Introduzca los dominios, separados por comas, que quiera excluir de las directivas de micro VPN.

    Para obtener más información sobre estas directivas, consulte Directivas MDX.

  9. Configure más directivas para la aplicación y, a continuación, haga clic en Siguiente. Para ver una lista completa de las directivas de aplicación, consulte Resumen de directivas MDX.

    Imagen de las directivas de aplicación

    Nota: No todas estas directivas están disponibles.

  10. No hay directivas de implementación que configurar. Haga clic en Next.

    Imagen de la sección de directivas de implementación

  11. Revise el resumen de la aplicación y, a continuación, haga clic en Finalizar.

    Este proceso de configuración de la aplicación puede tardar un momento. Una vez completado el proceso, un mensaje indica que la aplicación se ha publicado en la biblioteca.

    Imagen del botón Finalizar

  12. Para asignar grupos de usuarios a la aplicación, haga clic en Asignar usuarios.

    Imagen de la opción Asignar usuarios

  13. En la lista Agregar suscriptores, seleccione su instancia de AAD. A continuación, en el cuadro de búsqueda, busque los grupos de usuarios pertinentes y haga clic para agregarlos. No puede agregar usuarios individuales.

    Imagen de la opción Agregar suscriptores

  14. Los grupos agregados se muestran al principio como pendientes y, a continuación, pasan al estado de listos. Cuando haya agregado todos los grupos y aparezcan como listos, puede cerrar la ventana haciendo clic en el aspa (X).

    Imagen del estado pendiente

    Imagen del estado listo

    Puede darse un error al agregar grupos de usuarios. Este error se produce cuando el grupo de usuarios no se ha sincronizado con Active Directory local.

Directivas MDX

Cuando una aplicación se empaqueta con tecnología MDX o se utiliza el Citrix Mobile Apps SDK para crearla, los administradores de Intune pueden configurar directivas MDX. Esas directivas incluyen un subconjunto de directivas de Citrix MDX que no requieren Secure Hub para administrar la aplicación. Citrix recomienda utilizar las siguientes directivas MDX.

El siguiente conjunto de directivas de administración de red específicas de Intune permiten controlar la configuración de directivas de red para MDX (completo o solo de red) cuando se administran mediante Intune. Algunas de estas directivas corresponden a directivas MDX de contención de red que ya ofrece Citrix. Otras son específicas para configurar y controlar Intune.

Importante:

La versión 18.12.0 de MDX Toolkit incluía nuevas directivas que combinaban o reemplazaban directivas anteriores. La directiva Acceso de red combina las directivas: Acceso de red, Modo VPN preferido y Permitir cambio de modo VPN. La directiva Lista de exclusión sustituye a Lista de exclusión de túnel dividido. La directiva Sesión micro VPN requerida reemplaza la Sesión de micro VPN requerida. Para obtener detalles, consulte Novedades en MDX Toolkit 18.12.0.

SSO Web en túnel es el nombre de Secure Browser en los parámetros. El comportamiento es el mismo.

  • Habilitar redirección de http/https. Habilita o inhabilita la redirección HTTP/HTTPS a través del proxy web inverso de Citrix Gateway, también conocido como SSO Web en túnel. Cuando está activada, SSO Web en túnel se utiliza para el tráfico web. Cuando se utiliza el dispositivo de punto final de SSO Web en túnel, la puerta de enlace puede responder a desafíos de autenticación HTTP en línea, con lo que ofrece una experiencia de inicio de sesión único (SSO). Para usar SSO Web en túnel, establezca esta directiva en . La redirección de túnel completo es necesaria para las aplicaciones que utilizan certificados de cliente para SSL de extremo a extremo con la autenticación mutua. Para esas aplicaciones, esta opción debe estar inhabilitada. El valor predeterminado es .
  • Inhabilitar redirección de túnel completo mVPN (nivel TCP). Habilita o inhabilita la redirección de red a nivel TCP a través del punto final de túnel VPN de Citrix Gateway. En circunstancias habituales, deje siempre activada esta directiva. Sin embargo, solucionar problemas de SSO web suele ser más fácil cuando se impide la intercepción del tráfico web a nivel TCP que las funciones de intercepción web estándar no detectan. El valor predeterminado es Activado.
  • Sesión mVPN requerida. Si la directiva está activada, el SDK garantiza que la puerta de enlace configurada sea accesible y que esté disponible una sesión de micro VPN válida antes de permitir que la aplicación se active. Si no hay red, no se puede acceder a la puerta de enlace o no se puede establecer ningún inicio de sesión. La aplicación permanece bloqueada hasta que se pueda confirmar una sesión de micro VPN en funcionamiento. En cambio, si la directiva está desactivada, la aplicación se abre independientemente de la condición de la red. Una sesión micro VPN se inicializa según sea necesario cuando una aplicación configurada para el acceso por túnel intenta utilizar una de las API de red redirigidas. El valor predeterminado es No.
  • Lista de exclusión de túnel mVPN. Lista, separada por comas, de nombres de host o dominio que se excluirán del enrutamiento a través del proxy web inverso de Citrix Gateway. Los nombres de host o dominio se excluyen aunque los parámetros de DNS dividido configurados de la puerta de enlace seleccionen esos dominios o hosts.

    Nota: Esta directiva solo se aplica para conexiones de SSO Web en túnel. Si la directiva Habilitar redirección de http/https está desactivada, esta directiva se ignora.

Para obtener más información acerca de estas directivas, consulte Directivas MDX para aplicaciones iOS.

Implementar directivas para aplicaciones de línea de negocio

Después de cargar las aplicaciones en Intune, siga este procedimiento para aplicar directivas a esas aplicaciones.

  1. Inicie sesión en https://portal.azure.com/ y, a continuación, vaya a Intune > Aplicaciones móviles.
  2. En Administrar, haga clic en Directivas de configuración de aplicaciones.
  3. Haga clic en Agregar y, a continuación, escriba un nombre para la directiva que quiere crear. En el tipo de inscripción, seleccione la opción de dispositivo no inscrito en Intune. Esta selección es una limitación del sistema actual.
  4. Haga clic en la opción de aplicación asociada, seleccione las aplicaciones a las que aplicar la directiva y, a continuación, haga clic en Aceptar.
  5. Haga clic en las opciones de configuración.
  6. En el campo del nombre, escriba el nombre de una de las directivas indicadas en la sección siguiente de este artículo.
  7. En el campo del valor, escriba el valor que quiere aplicar a esa directiva. Haga clic fuera del campo para agregar la directiva a la lista. Puede agregar varias directivas.
  8. Haga clic en Aceptar y, a continuación, en Agregar. La directiva se agrega a la lista de directivas.
  9. Puede eliminar la directiva. Para ello, seleccione la directiva en cuestión y, a continuación, haga clic en la opción de eliminar directiva situada a la derecha.

Directivas de línea de negocio

En la tabla siguiente se indican las directivas que puede implementar para aplicaciones de línea de negocio. Además de estas directivas, también puede utilizar las directivas indicadas anteriormente en este artículo para MDX. Para obtener más información sobre esas directivas, consulte Resumen de las directivas MDX.

Nombre (iOS/Android) Descripción Valores
AppLogLevel/DefaultLoggerLevel Controla el nivel predeterminado de detalle del registro que ofrece la función de registro de diagnósticos de las aplicaciones móviles de productividad. Los números de nivel superior implican registros más detallados. Del 1 al 5
AppLogTarget/DefaultLoggerOut Determina los medios de salida predeterminados que utilizarán las funciones de registro de diagnósticos de las aplicaciones móviles de productividad. Archivo, consola o ambos
AppLogFileSize/MaxLogFileSize Limita el tamaño en MB de los archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 1 MB. El valor máximo es 5 MB. Del 1 al 5
AppLogFileCount/MaxLogFiles Limita la cantidad de archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 2. El valor máximo es 8. Del 2 al 8

Para configurar Secure Mail

Ahora Secure Mail admite varias configuraciones. Puede empaquetar Secure Mail en un contenedor MAM de Intune que se conecte a un servidor Exchange local. Puede conectar Secure Mail a cuentas alojadas de Exchange u Office 365. Sin embargo, esta versión no admite la autenticación basada en certificados, por lo que utilice LDAP en su lugar.

Importante:

Para utilizar Secure Mail en el modo MDM, debe usar la administración MDM y MAM de Citrix Endpoint Management.

Secure Mail también rellena automáticamente los nombres de usuario. Para habilitar esta función, debe configurar las siguientes directivas personalizadas.

  1. En la consola de Endpoint Management, vaya a Parámetros > Propiedades de servidor y, a continuación, haga clic en Agregar.

  2. En la lista, haga clic en Clave personalizada y, a continuación, en el campo Clave, escriba *xms.store.idpuser\_attrs*.

  3. Establezca el valor en true y, a continuación, en Nombre simplificado, escriba *xms.store.idpuser\_attrs*. Haga clic en Guardar.

  4. Haga clic en Propiedades de cliente y, a continuación, haga clic en Agregar.

  5. Seleccione Clave personalizada y, a continuación, escriba SEND_LDAP_ATTRIBUTES en el campo Clave.

  6. Escriba *userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id\_token.upn},aadtid=${user.id\_token.tid} en el campo Valor, indique una descripción y, a continuación, haga clic en Guardar.

    Los siguientes pasos solo se aplican a los dispositivos iOS.

  7. Vaya a Configurar > Directivas de dispositivo, haga clic en “Agregar” y, a continuación, seleccione la directiva Configuración de aplicaciones.

  8. Escriba un nombre de directiva y, a continuación, haga clic en Siguiente.

    En la lista “Identificador”, haga clic en Agregar nuevo. En el cuadro de texto que aparece, indique el ID de paquete de la aplicación Secure Mail.

  9. En el cuadro Contenido del diccionario, escriba el texto siguiente.

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key>userPrincipalName</key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key>aadupn</key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. Desmarque las casillas Windows Phone y Windows Desktop/Tablet. A continuación, haga clic en Siguiente.

  11. Seleccione los grupos de usuarios a los que quiera implementar la directiva. A continuación, haga clic en Guardar.

Solucionar problemas

Problemas generales

Problema: Al abrir una aplicación, aparece el mensaje de error “Se requiere una directiva de aplicación”.

Solución: Agregue directivas en la API de Microsoft Graph.

Problema: Tiene conflictos de directiva.

Solución: Solo se permite una directiva por aplicación.

Problema: Al empaquetar una aplicación, aparece el siguiente error:

Failed to package app.

com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated.

com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113)

com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198)

com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56)

The application could not be wrapped.

Solución: La aplicación está integrada en el SDK de Intune. No es necesario que empaquete la aplicación con el empaquetador de Intune.

Problema: La aplicación no se puede conectar a recursos internos.

Solución: Compruebe que están abiertos los puertos del firewall correctos o rectifique ID de inquilino, entre otros.

Problemas de Citrix Gateway

En la tabla siguiente se muestran los problemas comunes con las configuraciones de Citrix Gateway y sus soluciones respectivas. Para solucionar problemas, habilite más registros y consúltelos de la siguiente manera:

  1. En la interfaz de línea de comandos, ejecute el comando: set audit syslogParams -logLevel ALL
  2. Consulte los registros desde el shell mediante tail -f /var/log/ns.log
Problema Solución
No están disponibles los permisos que se deben configurar para la aplicación Gateway en Azure. Compruebe si dispone de una licencia adecuada de Intune. Intente utilizar el portal manage.windowsazure.com para ver si se pueden agregar los permisos. Contacte con la asistencia de Microsoft si el problema persiste.
Citrix Gateway no puede acceder a login.microsoftonline.com ni graph.windows.net. Desde NS Shell, compruebe si puede acceder al sitio web de Microsoft: curl -v -k https://login.microsoftonline.com. A continuación, compruebe si DNS está configurado en Citrix Gateway y si la configuración del firewall es correcta (en caso de que el firewall obstaculice las solicitudes DNS).
Aparece un error en ns.log después de configurar OAuthAction. Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados.
El comando Sh OAuthAction no muestra el estado de OAuth como completo. Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway.
El dispositivo Android o iOS no muestra la solicitud de autenticación dual. Compruebe si el ID de dispositivo de factor dual LogonSchema está vinculado al servidor virtual de autenticación.

Estado y condición del error de OAuth

Estado Condición del error
COMPLETE Operación correctamente realizada.
AADFORGRAPH Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado
MDMINFO *manage.microsoft.com está inactivo o inaccesible
GRAPH El punto final del gráfico no está accesible
CERTFETCH No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, vaya a shell y escriba curl https://login.microsoftonline.com. Este comando debe validarse.

Problemas conocidos

Cuando implementa aplicaciones con Citrix e Intune para admitir la micro VPN, si los usuarios proporcionan el nombre de usuario y la contraseña para acceder a sitios de resumen, aunque sus credenciales sean válidas, aparece un error. [CXM-25227]

Después de cambiar el túnel dividido de a No y de esperar a que caduque la sesión de la puerta de enlace actual, el tráfico externo pasa directamente sin pasar por Citrix Gateway hasta que el usuario inicie un sitio interno en el modo VPN completo. [CXM-34922]

Después de cambiar la directiva “Abrir en” de solo aplicaciones administradas a todas las aplicaciones, los usuarios no pueden abrir documentos en aplicaciones no administradas hasta que cierren y reinicien Secure Mail. [CXM-34990]

Cuando el túnel dividido está activado en modo VPN completo y el DNS dividido cambia de local a remoto, los sitios internos no se pueden cargar. [CXM-35168]

Cuando la directiva de mVPN Habilitar redirección de http/https (con SSO) está inhabilitada, Secure Mail no funciona. [CXM-58886]

Problemas conocidos de terceros

En Secure Mail para Android, cuando un usuario toca en la opción de crear un evento, la página de creación de eventos no se muestra. [CXM-23917]

Cuando implementa Citrix Secure Mail para iOS con Citrix e Intune para admitir la micro VPN, no se aplica la directiva de aplicación que oscurece la pantalla de Secure Mail cuando los usuarios mueven la aplicación al segundo plano. [CXM-25032]

La primera vez que los usuarios ejecutan Secure Mail en el modo MDM+MAM de Intune, el instalador guía a los usuarios por un flujo de trabajo para seleccionar MAM de Intune o Endpoint Management. [CXM-31272]