Citrix Endpoint Management

Integración de Citrix Endpoint Management en Microsoft Endpoint Manager

La integración de Endpoint Management en Microsoft Endpoint Manager (MEM) agrega el valor de una red micro VPN de Endpoint Management a las aplicaciones compatibles con Microsoft Intune, como Microsoft Managed Browser.

Para activar la integración, póngase en contacto con el equipo Citrix Cloud Operations.

Esta versión admite los siguientes casos de uso:

  • MAM de Intune con MDM+MAM de Endpoint Management.

    Este artículo se centra en el caso de uso de MAM de Intune con MDM+MAM de Endpoint Management. Después de agregar Citrix como proveedor de MDM, configure las aplicaciones administradas de Intune para su entrega a dispositivos.

    Importante:

    Para este caso de uso, Secure Mail no admite la integración en Intune. Secure Mail solo funciona con dispositivos inscritos en modo MDX.

  • MAM de Intune y MDM de Endpoint Management.
  • MAM de Intune.
  • MAM de Intune y MDM de Intune. Secure Mail para iOS admite el inicio de sesión único (SSO) para este caso de uso.

Guía de introducción

Este documento es una guía gráfica, fácil de utilizar, para configurar la integración de Endpoint Management en MEM.

Requisitos del sistema

Habilitación de MDX

Microsoft

  • Acceso a Azure Active Directory (con privilegios de administrador de arrendatarios)
  • Arrendatario compatible con Intune

Regla de firewall

  • Habilite una regla de firewall para permitir el tráfico DNS y SSL desde una IP de subred de Citrix Gateway a *.manage.microsoft.com, https://login.microsoftonline.com y https://graph.windows.net (puerto 53 y 443)

Requisitos previos

  • Managed Browser: Mobile Apps SDK está integrado en la aplicación Intune Managed Browser para iOS y Android. Para obtener más información acerca de Managed Browser, consulte la página Managed Browser de Microsoft.
  • Cuenta de Citrix Cloud: Si quiere registrar una cuenta de Citrix y solicitar una prueba de Citrix Endpoint Management, póngase en contacto con un representante de Ventas de Citrix. Cuando tenga todo listo para continuar, vaya a https://onboarding.cloud.com. Para obtener más información sobre cómo solicitar una cuenta de Citrix Cloud, consulte Registrarse en Citrix Cloud.

    Nota:

    El correo electrónico que proporcione debe ser una dirección que no esté asociada a Azure AD. Puede utilizar cualquier servicio de correo electrónico gratuito.

  • Certificados APNs para iOS: Debe configurar certificados APNs para iOS. Para obtener más información sobre la configuración de estos certificados, consulte esta entrada del blog de Citrix: Creating and Importing APNs Certificates.
  • Sincronización de Azure AD: Configure la sincronización entre Azure AD y Active Directory local. No instale la herramienta de sincronización de AD en la máquina del controlador de dominio. Para obtener más información sobre cómo configurar esta sincronización, consulte la documentación de Microsoft en Azure Active Directory.

Configurar Citrix Gateway

Si va a configurar una nueva implementación de Endpoint Management, instale uno de estos dispositivos Citrix Gateway:

  • NetScaler Gateway, serie VPX 3000 o una posterior
  • NetScaler Gateway MPX o una instancia de SDX dedicada

Para usar Citrix Gateway con la integración de Endpoint Management en MEM:

  • Configure Citrix Gateway con una interfaz de administración y una IP de subred.
  • Utilice TLS 1.2 para todas las comunicaciones de cliente a servidor. Para obtener información sobre la configuración de TLS 1.2 para Citrix Gateway, consulte CTX247095.

Si utiliza la integración de Endpoint Management en MEM con una implementación MDM+MAM de Endpoint Management, configure dos dispositivos Citrix Gateway. El tráfico de las aplicaciones MDX se redirige a través de uno de esos dos dispositivos. El tráfico de las aplicaciones Intune se redirige a través del otro dispositivo Citrix Gateway. Configure:

  • Dos IP públicas.
  • Si quiere, una dirección IP de red traducida.
  • Dos nombres DNS. Ejemplo: https://mam.company.com.
  • Dos certificados SSL públicos. Configure los certificados que coincidan con el nombre DNS público reservado o utilice certificados comodín.
  • Un equilibrador de carga de MAM con una dirección IP de RFC 1918 interna y no redirigible.
  • Una cuenta de servicio LDAP de Active Directory.

Consentimiento a las solicitudes de permisos delegados

Para las aplicaciones administradas que requieren que los usuarios se autentiquen, las aplicaciones solicitan permisos de aplicación que Microsoft Graph indica al usuario. Tras dar su consentimiento a las solicitudes de permisos, la aplicación puede acceder a los recursos y las API pertinentes. Algunas aplicaciones requieren el consentimiento del administrador global de Microsoft Azure AD. Para estos permisos delegados, el administrador global debe conceder a Citrix Cloud el permiso de solicitar tokens. Tras ello, los tokens habilitan los siguientes permisos. Para obtener más detalles, consulte la Referencia sobre permisos de Microsoft Graph.

  • Permiso Iniciar sesión y leer el perfil del usuario: Este permiso permite a los usuarios iniciar sesión y conectarse a Azure AD. Citrix no puede ver las credenciales de usuario.
  • Permiso Leer los perfiles básicos de todos los usuarios: La aplicación lee las propiedades del perfil en nombre de los usuarios de la organización. Las propiedades incluyen el nombre simplificado, el nombre y el apellido, la dirección de correo electrónico y la foto de los usuarios de la organización.
  • Permiso Leer todos los grupos: Este permiso permite que los grupos de Azure AD se enumeren para la asignación de aplicaciones y directivas.
  • Permiso Acceder al directorio en nombre del usuario con la sesión iniciada: Este permiso verifica la suscripción de Intune y habilita las configuraciones de Citrix Gateway y VPN.
  • Permiso Leer y escribir en aplicaciones de Microsoft Intune: La aplicación puede leer y escribir lo siguiente:

    • Propiedades administradas por Microsoft
    • Asignaciones de grupos y estado de las aplicaciones
    • Configuración de aplicaciones
    • Directivas de protección de aplicaciones

Además, durante la configuración de Citrix Gateway, el administrador global de Azure AD debe:

Además, durante la configuración de Citrix Gateway, el administrador global de Azure AD debe aprobar el Active Directory elegido para la micro VPN. El administrador global también debe generar un secreto de cliente que Citrix Gateway use para comunicarse con Azure AD e Intune.

El administrador global no debe tener el rol de administrador de Citrix. En vez de ello, el administrador de Citrix asigna cuentas de Azure AD a los usuarios con los privilegios de administrador de aplicaciones de Intune adecuados. Entonces, el administrador de Intune cumple la función de administrador de Citrix Cloud para administrar Intune desde Citrix Cloud.

Nota:

Citrix solo utiliza la contraseña del administrador global de Intune durante la instalación y redirige la autenticación a Microsoft. Citrix no puede acceder a la contraseña.

Para configurar la integración de Endpoint Management en MEM

Para ver un resumen en vídeo de la integración, consulte:

Icono de vídeo

  1. Inicie sesión en el sitio de Citrix Cloud y solicite una versión de prueba para Endpoint Management.

  2. Un ingeniero de ventas organizará una reunión para incorporarlo como usuario. Dígale que quiere integrar Endpoint Management en MEM. Una vez aprobada la solicitud que haya realizado, haga clic en Administrar.

    Sitio de Citrix Cloud

  3. Desde aquí puede hacer clic en el icono de engranaje situado en la parte superior derecha del sitio web, o bien puede hacer clic en Configurar sitio.

    Sitio de Citrix Cloud

  4. Siga el enlace del primer paso a la página Administración de acceso e identidad.

    Enlace a Administración de acceso e identidad

  5. Haga clic en Conectar para conectar la instalación de Azure AD.

    Página Administración de acceso e identidad

  6. Escriba la dirección URL de inicio de sesión única que usa el administrador de Azure AD para iniciar sesión y, a continuación, haga clic en Confirmar.

    Pantalla con la URL de inicio de sesión y el botón Conectar

  7. Agregue una cuenta de administrador global de Azure AD y acepte la solicitud de permisos.

    Botón Usar otra cuenta

    Botón Aceptar

  8. Confirme que la instancia de Azure AD se conecta correctamente. Para indicar una conexión correcta, el texto No conectado cambia a Habilitado.

    Botón Desconectar

  9. Haga clic en la ficha Administradores y, a continuación, agregue al administrador de Azure AD Intune como administrador de Citrix Cloud. Seleccione Azure AD o Citrix Identity en el menú desplegable y, a continuación, busque el nombre de usuario que quiere agregar. Haga clic en Invitar y conceda acceso completo o acceso personalizado al usuario antes de hacer clic en Enviar invitación.

    Nota:

    Endpoint Management requiere las siguientes reglas para el acceso personalizado: Library y Citrix Endpoint Management.

    Una vez agregado, el administrador de Azure AD Intune recibe una invitación por correo electrónico para crear una contraseña e iniciar sesión en Citrix Cloud. Antes de que el administrador inicie sesión, debe cerrar sesión en todas las demás cuentas.

    El administrador de Azure AD Intune debe seguir los pasos restantes de este procedimiento.

    Opción Invitar para el administrador de Azure AD Intune

    Pantalla de confirmación

  10. Después de iniciar sesión con la nueva cuenta, en Endpoint Management, haga clic en Administrar. Si todo está configurado correctamente, la página muestra que el administrador de Azure AD ha iniciado sesión y que la suscripción de Intune es válida.

    Opción Administrar de Endpoint Management

Para configurar Citrix Gateway para micro VPN

Para usar una micro VPN con Intune, debe configurar Citrix Gateway para que se autentique en Azure AD. Un servidor virtual de Citrix Gateway que ya exista no funciona para este caso de uso.

En primer lugar, configure Azure AD para que se sincronice con Active Directory local. Este paso es necesario para que la autenticación entre Intune y Citrix Gateway se realice correctamente.

Sincronización de Active Directory

  1. En la consola de Citrix Cloud, en Endpoint Management, haga clic en Administrar.

  2. Junto a Micro VPN, haga clic en Configure Micro VPN.

    Botón para configuración de Micro VPN

  3. Escriba un nombre para el servicio micro VPN y la URL externa de Citrix Gateway y, a continuación, haga clic en Siguiente.

    Este script configura Citrix Gateway para que admita Azure AD y las aplicaciones de Intune.

    Página de detalles de Citrix Gateway

  4. Haga clic en Download Script. El archivo ZIP contiene un archivo Léame con instrucciones para implementar el script. Aunque puede guardar el proceso y salir a partir de este punto del procedimiento, la micro VPN no estará configurada hasta que ejecute el script en la instalación de Citrix Gateway.

    Botón para descarga de script

    Nota:

    Cuando termine el proceso de configuración de Citrix Gateway, si ve un estado de autenticación OAuth que no sea “COMPLETO”, consulte la sección “Solucionar problemas”.

Para configurar la administración de dispositivos

Si quiere administrar dispositivos además de aplicaciones, elija un método de administración de los dispositivos. Puede utilizar MDM+MAM de Endpoint Management o MDM de Intune.

Nota:

El valor predeterminado de la consola es MDM de Intune. Para usar Intune como proveedor de MDM, consulte Documentación de Microsoft Intune.

  1. Desde la consola de Citrix Cloud, en la integración de Endpoint Management en MEM, haga clic en Administrar. Junto a Device Management - Optional, haga clic en Configure MDM.

    Pantalla de configuración de MDM

  2. Introduzca un nombre de sitio único, seleccione la región de Cloud más cercana y, a continuación, haga clic en Request a Site. Un mensaje indica que recibirá un correo electrónico cuando su sitio esté listo.

    Página de nombre único del sitio

    Confirmación a la solicitud del sitio

  3. Haga clic en Aceptar para cerrar la solicitud. Seleccione una ubicación de Active Directory para asociarla al sitio o cree una ubicación de recursos y, a continuación, haga clic en Siguiente.

    Opción de ubicación de Active Directory

    Opción para crear una ubicación de recursos

  4. Haga clic en Download Cloud Connector y siga las instrucciones que aparecen en pantalla para instalar Citrix Cloud Connector. Después de la instalación, haga clic en Probar conexión para verificar la conexión entre Citrix Cloud y el Cloud Connector.

    Opción para descargar Cloud Connector

    Opción de prueba de conexión

  5. Haga clic en Guardar y salir para finalizar el proceso. Aparecerá la ubicación de recursos. Al hacer clic en Finalizar, volverá a la pantalla de configuración.

    Pantalla para guardar y salir

  6. Ahora ya puede acceder a la consola de Endpoint Management desde el icono del sitio. Desde aquí, puede realizar tareas de administración de MDM y asignar directivas de dispositivo. Consulte Directivas de dispositivo para obtener más información acerca de las directivas de dispositivos.

    Pantalla de administración del sitio

Configurar aplicaciones administradas de Intune para entrega a dispositivos

Para configurar las aplicaciones administradas de Intune para entrega:

  • Agregue las aplicaciones a la biblioteca de Citrix Cloud.
  • Cree directivas de dispositivo de Endpoint Management para controlar el flujo de datos.
  • Cree un grupo de entrega para las aplicaciones y directivas.

Agregar aplicaciones de Microsoft Intune a la biblioteca de Citrix Cloud

Para cada aplicación que quiera agregar:

  1. En la consola de Citrix Cloud, haga clic en el icono de menú y, a continuación, haga clic en Biblioteca.

    Página de la biblioteca de Citrix Cloud

  2. Haga clic en el icono azul del signo + situado en la parte superior derecha y, a continuación, haga clic en Add a Mobile app.

    Es posible que deba esperar un momento para que la lista se rellene con las opciones.

    Opción para agregar una aplicación móvil

  3. Si tiene Android Enterprise configurado en la consola de Endpoint Management, seleccione Aplicaciones de Microsoft Intune en Elegir una aplicación. Seleccione una plantilla de aplicación a personalizar o haga clic en Upload my own App.

    Directivas que configurar

    Citrix suministra las plantillas de aplicación existentes, cada una de las cuales incluye un conjunto de directivas preconfiguradas. Se aplican las siguientes directivas a las aplicaciones que carguen los clientes:

    • Archivos MDX: Incluye aplicaciones habilitadas para el SDK de MAM o aplicaciones empaquetadas con MDX, como:
      • Directivas de protección de aplicaciones de Intune y las directivas MDX predeterminadas contenidas en el paquete
      • Aplicaciones de tiendas públicas, como las directivas de protección de aplicaciones de Intune y las directivas MDX predeterminadas que coinciden con el ID del bundle o el ID del paquete
    • Archivos IPA: Directivas de protección de aplicaciones de Intune.
    • Archivos APK: Directivas de protección de aplicaciones de Intune.

    Nota:

    Si la aplicación no se empaqueta con Intune, la protección de aplicaciones Intune no se aplica.

  4. Haga clic en Upload my own App y cargue su archivo MDX o Intune empaquetado.

    Opción de carga de un archivo empaquetado propio

  5. Introduzca un nombre y una descripción para la aplicación, elija si la aplicación será opcional u obligatoria y, a continuación, haga clic en Siguiente.

  6. Configure los parámetros de la aplicación. Las siguientes configuraciones permiten que los contenedores de Intune y Endpoint Management transfieran datos entre sí.

    • Allow apps to receive data from other apps (Permitir que las aplicaciones reciban datos de otras aplicaciones): Seleccione Policy managed apps (Aplicaciones administradas por directivas).
    • Allow app to transfer data to other apps (Permitir que la aplicación transfiera datos a otras aplicaciones):Seleccione All apps (Todas las aplicaciones).
    • Restrict cut, copy, paste with other apps (Restringir cortar, copiar y pegar con otras aplicaciones): Seleccione Policy managed apps (Aplicaciones administradas por directivas).
  7. Configure los repositorios de almacenamiento para los datos guardados. En Select which storage services corporate data can be saved to (Seleccionar en qué servicios de almacenamiento se pueden guardar los datos corporativos), seleccione LocalStorage.

  8. Opcional: Establezca directivas de reubicación de datos, acceso y PIN para la aplicación. Haga clic en Siguiente.

  9. Revise el resumen de la aplicación y, a continuación, haga clic en Finalizar.

    Es posible que el proceso de configuración de la aplicación tarde unos instantes. Una vez completado el proceso, un mensaje indica que la aplicación se ha publicado en la biblioteca.

    Botón Finalizar

  10. Para asignar grupos de usuarios a la aplicación, haga clic en Asignar usuarios.

    Opción Asignar usuarios

  11. En el cuadro de búsqueda, busque los grupos de usuarios pertinentes y haga clic para agregarlos. No puede agregar usuarios individuales.

    Opción Agregar Suscriptores

  12. Cuando haya agregado todos los grupos, haga clic en la X para cerrar la ventana.

    Estado listo

    Es posible que se produzca un error al agregar grupos de usuarios. Este error se produce cuando el grupo de usuarios no se ha sincronizado con Active Directory local.

Agregar aplicaciones de Android Enterprise a la biblioteca de Citrix Cloud

Para agregar aplicaciones de Android Enterprise a la biblioteca de Citrix Cloud y establecer directivas de protección de aplicaciones de Intune, configure su entorno de nube de esta manera:

  • Federe Citrix Cloud con su cuenta de Azure Active Directory (AAD). Consulte Conectar Azure Active Directory a Citrix Cloud.
  • Configure LDAP y Cloud Connector en Endpoint Management.
  • Configure Android Enterprise en Endpoint Management. Compruebe que los dispositivos de Android Enterprise se hayan inscrito en MDM+MAM. Para configurar Android Enterprise, consulte Android Enterprise.

Con este procedimiento, se agregan aplicaciones de Android Enterprise a la consola de Endpoint Management y a la consola de Intune simultáneamente. Para cada aplicación de Android Enterprise que quiera agregar:

  1. En la consola de Citrix Cloud, haga clic en el icono de menú y, a continuación, haga clic en Biblioteca.

    Página de la biblioteca de Citrix Cloud

  2. Haga clic en el icono azul del signo + situado en la parte superior derecha y, a continuación, haga clic en Add a Mobile app.

    Es posible que deba esperar un momento para que la lista se rellene con las opciones.

    Opción para agregar una aplicación móvil

  3. En Elegir una aplicación, seleccione Aplicaciones de Android Enterprise.

    Elegir una aplicación

  4. Busque una aplicación y apruébela en la ventana de Google Play Store administrado. Una vez cerrada la ventana de Google, haga clic en Siguiente.

    Google Play Store

    Aplicación seleccionada

  5. Agregue los detalles de la aplicación y, a continuación, haga clic en Siguiente.

    Detalles de la aplicación

  6. Si buscó y seleccionó una aplicación móvil de productividad de Citrix, puede configurar directivas de micro VPN. Una vez configuradas dichas directivas, haga clic en Siguiente.

    Directivas de micro VPN

  7. Configure las directivas de protección de aplicaciones de Intune. Haga clic en Siguiente.

    Directivas de Intune

  8. Configure los parámetros de la aplicación. Las siguientes configuraciones permiten que los contenedores de Intune y Endpoint Management transfieran datos entre sí.

    • Allow apps to receive data from other apps (Permitir que las aplicaciones reciban datos de otras aplicaciones): Seleccione Policy managed apps (Aplicaciones administradas por directivas).
    • Allow app to transfer data to other apps (Permitir que la aplicación transfiera datos a otras aplicaciones):Seleccione All apps (Todas las aplicaciones).
    • Restrict cut, copy, paste with other apps (Restringir cortar, copiar y pegar con otras aplicaciones): Seleccione Policy managed apps (Aplicaciones administradas por directivas).
  9. Configure los repositorios de almacenamiento para los datos guardados. En Select which storage services corporate data can be saved to (Seleccionar en qué servicios de almacenamiento se pueden guardar los datos corporativos), seleccione LocalStorage.

  10. Opcional: Establezca directivas de reubicación de datos, acceso y PIN para la aplicación. Haga clic en Siguiente.

  11. Revise el resumen de la aplicación y, a continuación, haga clic en Finalizar.

    Es posible que el proceso de configuración de la aplicación tarde unos instantes. Una vez completado el proceso, un mensaje indica que la aplicación se ha publicado en la biblioteca. La aplicación está disponible en las consolas de Endpoint Management e Intune. En la consola de Endpoint Management, la aplicación forma parte de un nuevo grupo de entrega y se identifica como una aplicación de la tienda pública de aplicaciones.

    Botón Finalizar

  12. Para asignar grupos de usuarios a la aplicación, haga clic en Asignar usuarios.

    Opción Asignar usuarios

  13. En el cuadro de búsqueda, busque los grupos de usuarios pertinentes y haga clic para agregarlos. No puede agregar usuarios individuales.

    Opción Agregar Suscriptores

  14. Cuando haya agregado todos los grupos, haga clic en la X para cerrar la ventana.

    Estado listo

    Es posible que se produzca un error al agregar grupos de usuarios. Este error se produce cuando el grupo de usuarios no se ha sincronizado con Active Directory local.

Controlar el tipo de datos transferidos entre aplicaciones administradas

Gracias a directivas de Endpoint Management, puede controlar el tipo de datos incluidos en contenedores de Endpoint Management o Intune que se pueden transferir entre aplicaciones administradas. Puede configurar una directiva Restricciones para permitir solo los datos etiquetados como “corporativos”. Configure una directiva Configuración de aplicaciones para etiquetar los datos.

Para configurar la directiva Restricciones:

  1. En la consola de Endpoint Management, haga clic en Configurar > Directivas de dispositivo.

  2. En la página Directivas de dispositivo, haga clic en Agregar. Aparecerá la página Agregar nueva directiva.

    Pantalla de configuración Directivas de dispositivo

  3. En la lista de directivas, haga clic en Restricciones.

  4. En la página Información de directiva, escriba un nombre y (opcionalmente) una descripción para la directiva. Haga clic en Siguiente.

  5. Para crear una directiva de dispositivo para aplicaciones iOS, seleccione iOS en el panel Plataformas.

  6. En Seguridad: Permitir, desactive la opción Documentos de aplicaciones administradas en aplicaciones no administradas. Al desactivar esta opción, se desactivan también las opciones Las aplicaciones no administradas pueden leer contactos administrados y Las aplicaciones administradas pueden registrar contactos no administrados. Haga clic en Siguiente.

  7. Haga clic en Siguiente hasta que aparezca el botón Guardar. Haga clic en Guardar.

Configure la directiva Configuración de aplicaciones para cada aplicación:

  1. En la consola de Endpoint Management, haga clic en Configurar > Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá la página Agregar nueva directiva.

  3. En la lista de directivas, haga clic en Configuración de aplicaciones.

  4. En la página Información de directiva, escriba un nombre y (opcionalmente) una descripción para la directiva. Haga clic en Siguiente.

  5. Para crear una directiva de dispositivo para una aplicación iOS, seleccione iOS en el panel Plataformas.

  6. Seleccione el identificador de la aplicación que se va a configurar.

  7. Para las aplicaciones iOS, agregue el siguiente texto al Contenido del diccionario:

    <dict>
        <key>IntuneMAMUPN</key>
        <string>${user.userprincipalname}</string>
    </dict>
    
  8. Haga clic en Diccionario de comprobación.

  9. Haga clic en Siguiente.

  10. Haga clic en Guardar.

Configurar grupos de entrega para las directivas de aplicaciones y dispositivos

  1. En la consola de Endpoint Management, haga clic en Configurar > Grupos de entrega.

  2. En la página Grupos de entrega, haga clic en Agregar. Aparecerá la página Información del grupo de entrega.

  3. En la página Información del grupo de entrega, escriba un nombre y (opcionalmente) una descripción para el grupo de entrega y, a continuación, haga clic en Siguiente. Haga clic en Siguiente.

  4. En la página Asignaciones, especifique cómo desea implementar el grupo de entrega: Elija En Endpoint Management o En Citrix Cloud.

    Pantalla de configuración de grupos de entrega

  5. Si elige En Endpoint Management:

    • Seleccionar dominio: En la lista, seleccione el dominio del que se elegirá a los usuarios.
    • Incluir grupos de usuarios: Realice una de las siguientes acciones:
      • En la lista de grupos de usuarios, haga clic en los grupos a agregar. Los grupos seleccionados aparecerán en la lista Grupos de usuarios seleccionados.
      • Haga clic en Buscar para ver una lista de todos los grupos de usuarios del dominio seleccionado.
      • Escriba un nombre de grupo completo o parcial en el cuadro de búsqueda y, a continuación, haga clic en Buscar para limitar la lista de grupos de usuarios.

      Para quitar un grupo de usuarios de la lista Grupos de usuarios seleccionados, realice una de las siguientes acciones:

      • En la lista Grupos de usuarios seleccionados, haga clic en la X situada junto a cada uno de los grupos que quiera quitar.
      • Haga clic en Buscar para ver una lista de todos los grupos de usuarios del dominio seleccionado. Desplácese por la lista y desmarque la casilla de cada grupo que quiera quitar.
      • Escriba un nombre de grupo completo o parcial en el cuadro de búsqueda y, a continuación, haga clic en Buscar para limitar la lista de grupos de usuarios. Desplácese por la lista y desmarque la casilla de cada grupo que quiera quitar.
  6. Haga clic en Siguiente.

  7. En la página Directivas, arrastre la directiva Restricciones y la directiva Configuración de aplicaciones que cree de izquierda a derecha. Haga clic en Siguiente.

  8. En la página Aplicaciones, arrastre las aplicaciones que desee entregar desde el lado izquierdo de la página a Aplicaciones obligatorias o Aplicaciones opcionales. Haga clic en Siguiente.

  9. Opcionalmente, configure los parámetros de las páginas Medios, Acciones e Inscripciones. También puede aceptar los valores predeterminados de cada página y hacer clic en Siguiente.

  10. En la página Resumen, revise la configuración del grupo de entrega y haga clic en Guardar para crearlo.

Al publicar la aplicación en la consola de Intune, seleccione Forzar administración de la aplicación. A los usuarios de dispositivos no supervisados se les pide que autoricen la administración de la aplicación. Si los usuarios aceptan la solicitud, la aplicación se administra en el dispositivo. Si los usuarios rechazan la solicitud, la aplicación no estará disponible en el dispositivo.

Configurar Secure Mail

Ahora Secure Mail admite varias configuraciones. Puede empaquetar Secure Mail en un contenedor MAM de Intune que se conecte a un servidor Exchange local. Puede conectar Secure Mail a cuentas alojadas de Exchange u Office 365. Sin embargo, esta versión no admite la autenticación basada en certificados, por lo que utilice LDAP en su lugar.

Importante:

Para utilizar Secure Mail en el modo MDX, debe usar MDM+MAM de Citrix Endpoint Management.

Secure Mail también rellena automáticamente los nombres de usuario. Para habilitar esta función, debe configurar las siguientes directivas personalizadas.

  1. En la consola de Endpoint Management, vaya a Parámetros > Propiedades de servidor y, a continuación, haga clic en Agregar.

  2. En la lista, haga clic en Clave personalizada y, a continuación, en el campo Clave, escriba xms.store.idpuser_attrs.

  3. Establezca el valor en true y, a continuación, en Nombre simplificado, escriba xms.store.idpuser_attrs. Haga clic en Guardar.

  4. Haga clic en Propiedades de cliente y, a continuación, haga clic en Agregar.

  5. Seleccione Clave personalizada y, a continuación, escriba SEND_LDAP_ATTRIBUTES en el campo Clave.

  6. Escriba userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid} en el campo Valor, indique una descripción y, a continuación, haga clic en Guardar.

    Los siguientes pasos solo se aplican a los dispositivos iOS.

  7. Vaya a Configurar > Directivas de dispositivo, haga clic en “Agregar” y, a continuación, seleccione la directiva Configuración de aplicaciones.

  8. Escriba un nombre de directiva y, a continuación, haga clic en Siguiente.

    En la lista “Identificador”, haga clic en Agregar nuevo. En el cuadro de texto que aparece, indique el ID de paquete de la aplicación Secure Mail.

  9. En el cuadro Contenido del diccionario, escriba el texto siguiente.

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key>userPrincipalName</key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key>aadupn</key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. Desmarque las casillas Windows Phone y Windows Desktop/Tablet. A continuación, haga clic en Siguiente.

  11. Seleccione los grupos de usuarios a los que quiera implementar la directiva. A continuación, haga clic en Guardar.

Solucionar problemas

Problemas generales

Problema: Al abrir una aplicación, aparece el mensaje de error “Se requiere una directiva de aplicación”.

Solución: Agregue directivas en la API de Microsoft Graph.

Problema: Tiene conflictos de directiva.

Solución: Solo se permite una directiva por aplicación.

Problema: La aplicación no se puede conectar a recursos internos.

Solución: Compruebe que están abiertos los puertos del firewall correctos o rectifique ID de arrendatario, entre otros.

Problemas de Citrix Gateway

En la tabla siguiente se muestran los problemas comunes con las configuraciones de Citrix Gateway y sus soluciones respectivas. Para solucionar problemas, habilite más registros y consúltelos de la siguiente manera:

  1. En la interfaz de línea de comandos, ejecute el comando: set audit syslogParams -logLevel ALL
  2. Consulte los registros desde el shell mediante tail -f /var/log/ns.log
Problema Solución
No están disponibles los permisos que se deben configurar para la aplicación Gateway en Azure. Compruebe si dispone de una licencia adecuada de Intune. Intente utilizar el portal manage.windowsazure.com para ver si se pueden agregar los permisos. Contacte con la asistencia de Microsoft si el problema persiste.
Citrix Gateway no puede acceder a login.microsoftonline.com ni graph.windows.net. Desde NS Shell, compruebe si puede acceder al sitio web de Microsoft: curl -v -k https://login.microsoftonline.com. A continuación, compruebe si DNS está configurado en Citrix Gateway y si la configuración del firewall es correcta (en caso de que el firewall obstaculice las solicitudes DNS).
Aparece un error en ns.log después de configurar OAuthAction. Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados.
El comando Sh OAuthAction no muestra el estado de OAuth como completo. Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway.
El dispositivo Android o iOS no muestra la solicitud de autenticación dual. Compruebe si el ID de dispositivo de factor dual logonSchema está vinculado al servidor virtual de autenticación.

Estado y condición del error de OAuth

Estado Condición del error
COMPLETE Operación correctamente realizada.
AADFORGRAPH Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado
MDMINFO *manage.microsoft.com está inactivo o inaccesible
GRAPH El punto final del gráfico no está accesible
CERTFETCH No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, vaya a shell y escriba curl https://login.microsoftonline.com. Este comando debe validarse.

Limitaciones

En los siguientes elementos, se describen algunas limitaciones del uso de MEM con Citrix Endpoint Management.

  • Cuando implementa aplicaciones con Citrix e Intune para admitir la micro VPN, si los usuarios proporcionan el nombre de usuario y la contraseña para acceder a sitios de resumen, aunque sus credenciales sean válidas, aparece un error. [CXM-25227]
  • Después de cambiar el túnel dividido de a No y de esperar a que caduque la sesión de la puerta de enlace actual, el tráfico externo va directamente, sin pasar por Citrix Gateway, hasta que el usuario inicie un sitio interno en el modo VPN completo. [CXM-34922]
  • Después de cambiar la directiva “Abrir en” de solo aplicaciones administradas a todas las aplicaciones, los usuarios no pueden abrir documentos en aplicaciones no administradas hasta que cierren y reinicien Secure Mail. [CXM-34990]
  • Cuando el túnel dividido está activado en modo VPN completo y el DNS dividido cambia de local a remoto, los sitios internos no se pueden cargar. [CXM-35168]

Problemas conocidos

Cuando la directiva de mVPN Habilitar redirección de http/https (con SSO) está inhabilitada, Secure Mail no funciona. [CXM-58886]

Problemas conocidos de terceros

En Secure Mail para Android, cuando un usuario toca en la opción de crear un evento, la página de creación de eventos no se muestra. [CXM-23917]

Cuando implementa Citrix Secure Mail para iOS con Citrix e Intune para admitir la micro VPN, no se aplica la directiva de aplicación que oscurece la pantalla de Secure Mail cuando los usuarios mueven la aplicación al segundo plano. [CXM-25032]