Intégration de Citrix Endpoint Management avec Microsoft Intune/EMS

L’intégration de Endpoint Management à Microsoft Enterprise Mobility + Security (EMS) / Intune ajoute la valeur du micro VPN de Endpoint Management aux applications compatibles Microsoft Intune, telles que Microsoft Managed Browser.

L’intégration de Endpoint Management à EMS/Intune permet également aux entreprises d’encapsuler leurs propres applications métier avec Intune et Citrix pour fournir des fonctionnalités de micro-VPN à l’intérieur d’un conteneur de gestion des applications mobiles (MAM) Intune. Le micro VPN de Endpoint Management permet à vos applications d’accéder aux ressources locales. Vous pouvez effectuer la gestion et la mise à disposition des applications Office 365, des applications métier et de Citrix Secure Mail dans un même conteneur, pour une sécurité et une productivité optimales.

Cette version prend en charge les cas d’utilisation suivants :

  • Gestion des applications mobiles (MAM) Intune
  • Gestion des applications mobiles (MAM) et gestion des appareils mobiles (MDM) Intune
  • Gestion des applications mobiles (MAM) Intune avec Endpoint Management en mode MDM exclusif
  • Gestion des applications mobiles (MAM) Intune avec Endpoint Management en mode MDM et MAM

    Important :

    Secure Mail ne fonctionne qu’en mode Citrix MAM dans ce cas d’utilisation.

Guide de mise en route

Ce document est un guide graphique facile à suivre pour configurer l’intégration de Endpoint Management avec EMS/Intune.

Configuration système requise

  • Citrix Gateway version 12.0.59.x ou 12.1.50.x ou ultérieure. Vous pouvez télécharger la dernière version de Citrix Gateway à partir de la page de téléchargement de Citrix Gateway.
  • Un bureau Windows exécutant Windows 7 ou version ultérieure (pour encapsuler les applications Android uniquement)
  • Un Mac exécutant macOS 10.10 ou version ultérieure (pour iOS ou Android)
  • Plates-formes mobiles :
    • iOS 11.x
    • Android 6.x, 7.x, 8.x

Microsoft

  • Accès Azure AD (avec privilèges d’administrateur de locataires)
  • Locataire activé par Intune

Règle de pare-feu

  • Activer une règle de pare-feu pour autoriser le trafic DNS et SSL à partir d’une adresse IP de sous-réseau Citrix Gateway vers *.manage.microsoft.com, https://login.microsoftonline.com et https://graph.windows.net (ports 53 et 443)

Conditions préalables

  • Environnement Intune : si aucun environnement Intune n’est configuré, suivez les étapes décrites dans la documentation Microsoft.
  • Wrappers d’application Intune : Microsoft héberge les wrappers dans un référentiel GitHub privé ; vous avez besoin d’une invitation pour y accéder. Après avoir reçu une invitation, téléchargez les wrappers à partir de la page Citrix GitHub.
  • Managed Browser : le SDK Applications mobiles est intégré à l’application Intune Managed Browser pour iOS et Android. Pour plus d’informations sur Managed Browser, consultez la page Managed Browser de Microsoft.
  • Installations du SDK Android et du JDK Java. Installez ces SDK sur la machine que vous utilisez pour encapsuler les applications. Pour plus d’informations sur le SDK Intune, consultez le guide du développeur du SDK d’application Microsoft Intune pour Android.
  • Variable d’environnement JDK. Définissez la variable d’environnement JDK pour que le JDK change le chemin d’accès et qu’il corresponde à votre version JDK et à l’emplacement d’installation. Exemple : $env:Path += ";C:\\Program Files\\Java\\jdk1.8.0\_121\\bin"
  • Compte Citrix Cloud. Pour ouvrir un compte Citrix et demander une version d’évaluation de Citrix Endpoint Management, contactez votre représentant Citrix. Lorsque vous êtes prêt à continuer, accédez à https://onboarding.cloud.com. Pour plus d’informations sur la demande d’un compte Citrix Cloud, voir S’inscrire à Citrix Cloud. Remarque : l’e-mail que vous fournissez doit être une adresse qui n’est pas associée à Azure AD. Vous pouvez utiliser n’importe quel service de messagerie gratuit.
  • Certificats APNs pour iOS. Assurez-vous de configurer des certificats APNs pour iOS. Pour en savoir plus sur la configuration de ces certificats, consultez cet article de blog Citrix : Creating and Importing APNs Certificates.
  • Azure AD Sync. Configurez la synchronisation entre Azure AD et le répertoire Active Directory local. N’installez pas l’outil de synchronisation AD sur la machine du contrôleur de domaine. Pour plus d’informations sur la configuration de cette synchronisation, consultez la documentation Microsoft Intégrer vos répertoires locaux avec Azure Active Directory.

Accepter les invites d’autorisations déléguées

Pour les applications gérées qui nécessitent l’authentification des utilisateurs, les applications demandent des autorisations d’applications exposées par Microsoft Graph. Lorsque ces invites d’autorisation sont acceptées, l’application peut accéder aux ressources et API requises. Certaines applications nécessitent le consentement de l’administrateur global Azure AD pour Microsoft Azure AD. Pour ces autorisations déléguées, l’administrateur global doit accorder à Citrix Cloud l’autorisation de demander des jetons. Les jetons activent ensuite les autorisations suivantes. Pour plus de détails, consultez la référence des autorisations de Microsoft Graph.

  • Se connecter et lire le profil utilisateur. Cette autorisation permet aux utilisateurs de se connecter à Azure AD. Notez que Citrix n’affiche pas les informations d’identification de l’utilisateur.
  • Lire les profils de base de tous les utilisateurs. L’application lit les propriétés du profil au nom des utilisateurs de l’organisation. Les propriétés comprennent le nom d’affichage, le prénom et le nom, ainsi que l’adresse e-mail et la photo des utilisateurs de l’organisation.
  • Lire tous les groupes. Cette autorisation permet d’énumérer les groupes Azure AD pour l’attribution d’applications et de stratégies.
  • Accéder au répertoire en tant qu’utilisateur connecté. Cette autorisation vérifie l’abonnement Intune et active les configurations Citrix Gateway et VPN.
  • Lire et écrire des applications Microsoft Intune. L’application peut lire et écrire les propriétés gérées par Microsoft, les affectations de groupe et l’état des applications, les configurations d’application et les stratégies de protection d’application.

En outre, lors de la configuration de Citrix Gateway, l’administrateur global d’Azure AD doit approuver le répertoire Active Directory choisi pour le micro VPN. L’administrateur global doit également générer un secret client que Citrix Gateway utilise pour communiquer avec AAD et Intune.

L’administrateur global ne doit pas avoir le rôle d’administrateur Citrix. L’administrateur Citrix attribue des comptes Azure AD aux utilisateurs dotés des privilèges d’administrateur d’application Intune appropriés. L’administrateur Intune a ensuite le rôle d’administrateur Citrix Cloud pour gérer Intune à partir de Citrix Cloud.

Remarque :

Citrix utilise uniquement le mot de passe de l’administrateur global Intune lors de l’installation et redirige l’authentification vers Microsoft. Citrix n’a jamais accès au mot de passe.

Pour configurer l’intégration de Endpoint Management avec EMS/Intune

  1. Ouvrez une session sur le site Citrix Cloud et demandez une évaluation pour Endpoint Management.

  2. Un ingénieur commercial planifie une réunion d’intégration avec vous. Faites-lui savoir que vous souhaitez intégrer Endpoint Management avec EMS/Intune. Lorsque votre demande est approuvée, cliquez sur Gérer.

    Image du site Citrix Cloud

  3. Suivez le lien vers la page Gestion des identités et des accès fourni à la première étape.

    Image du lien pour Gestion des identités et des accès

  4. Procédez comme suit :

    • Cliquez sur Connecter pour connecter votre installation Azure AD.
    • Si vous avez déjà fédéré votre installation Azure AD, cliquez sur Mettre à niveau.

    Image de la page Gestion des identités et des accès

  5. Entrez une URL d’ouverture de session unique que l’administrateur Azure AD utilise pour ouvrir une session, puis cliquez sur Connecter.

    Image de l'écran d'URL d'ouverture de session et du bouton Connecter

  6. Ajoutez un compte administrateur global Azure AD, puis acceptez la demande d’autorisations.

    Image du bouton Utiliser un autre compte

    Image du bouton Accepter

  7. Vérifiez que votre instance Azure AD se connecte correctement. Pour indiquer une connexion réussie, le bouton Connecter devient Déconnecter.

    Image du bouton Déconnecter

  8. Cliquez sur l’onglet Administrateurs, puis ajoutez votre administrateur Azure AD Intune en tant qu’administrateur Citrix Cloud.

    L’administrateur Azure AD Intune reçoit alors une invitation par e-mail pour créer un mot de passe et se connecter à Citrix Cloud. Avant que l’administrateur ne se connecte, assurez-vous de vous déconnecter de tous les autres comptes.

    L’administrateur Azure AD Intune doit suivre les étapes restantes de cette procédure.

    Image de l'option d'invitation d'administrateur Azure AD Intune

    Image de l'écran de confirmation

  9. Une fois connecté avec le nouveau compte, sous Endpoint Management, cliquez sur Gérer. Si tout est configuré correctement, la page indique que l’administrateur Azure AD est connecté et que votre abonnement Intune est valide.

    Image de l'option Gérer sous Endpoint Management

Vidéo d’aide

Regardez cette vidéo pour voir, étape par étape, comment connecter l’intégration Endpoint Management avec Intune /EMS.

Icône vidéo

Pour configurer Citrix Gateway pour micro VPN

Pour utiliser un micro VPN avec Intune, vous devez configurer Citrix Gateway pour l’authentification auprès d’Azure AD. Un serveur virtuel Citrix Gateway existant ne fonctionne pas pour ce cas d’utilisation.

Tout d’abord, configurez Azure AD pour qu’il se synchronise avec le répertoire Active Directory local. Cette étape est nécessaire pour s’assurer que l’authentification entre Intune et Citrix Gateway se produit correctement.

Image du diagramme de synchronisation Active Directory

  1. Dans la console Citrix Cloud, sous Endpoint Management, cliquez sur Manage.

  2. En regard de Micro VPN, cliquez sur Configure Micro VPN.

    Image du bouton Configure Micro VPN

  3. Entrez un nom pour le service micro VPN et l’URL externe de votre Citrix Gateway, puis cliquez sur Next.

    Ce script configure Citrix Gateway pour la prise en charge d’Azure AD et des applications Intune.

    Image de la page de détails Citrix Gateway

  4. Cliquez sur Download Script. Le fichier .zip comprend un fichier readme avec des instructions pour implémenter le script. Même si vous pouvez enregistrer et quitter à partir de cette étape, le micro VPN n’est pas configuré tant que vous n’avez pas exécuté le script sur votre installation Citrix Gateway.

    Image du bouton Download Script

    Remarque : lorsque vous avez terminé le processus de configuration de Citrix Gateway, si vous voyez un état OAuth autre que COMPLETE, reportez-vous à la section Dépannage.

Pour configurer la gestion des appareils

Si vous souhaitez gérer des appareils en plus des applications, choisissez une méthode de gestion des appareils. Vous pouvez utiliser Endpoint Management MDM ou Intune MDM.

Remarque : par défaut, Intune MDM est sélectionné pour la console. Pour utiliser Intune en tant que fournisseur MDM, suivez la documentation Microsoft sur Définir l’autorité de gestion des appareils mobiles.

  1. Dans la console Citrix Cloud, sous Endpoint Management integration with EMS/Intune, cliquez sur Manage. En regard de Device Management - Optional, cliquez sur Configure MDM.

    Image de l'écran Configure MDM

  2. Entrez un nom de site unique, sélectionnez la région cloud la plus proche de vous, puis cliquez sur Request a Site. Une invite vous informe que vous recevrez un courrier électronique lorsque votre site sera prêt.

    Image de la page de nom de site unique

    Image de la confirmation de la demande de site

  3. Cliquez sur OK pour fermer l’invite. Sélectionnez un emplacement Active Directory à associer à votre site ou créez un emplacement de ressources, puis cliquez sur Suivant.

    Image de l'option d'emplacement Active Directory

    Image de l'option de création d'un nouvel emplacement de ressources

  4. Cliquez sur Download Cloud Connector et suivez les instructions à l’écran pour installer le connecteur. Après l’installation, cliquez sur Test Connection pour vérifier la connexion entre Citrix Cloud et le Cloud Connector.

    Image de l'option de téléchargement du cloud connector

    Image de l'option de test de connexion

  5. Cliquez sur Save & Exit pour terminer. Votre emplacement de ressources apparaît. Cliquez sur Finish pour revenir à l’écran des paramètres.

    Image de l'écran Save and Exit

  6. Vous pouvez désormais accéder à la console Endpoint Management à partir de la tuile de votre site. À partir de là, vous pouvez effectuer des tâches de gestion MDM et affecter des stratégies d’appareil. Consultez la section Stratégies d’appareil pour de plus amples informations sur les stratégies d’appareil.

    Image de l'écran de gestion de site

Encapsulation des applications iOS

Microsoft a amélioré son outil d’encapsulation d’applications Intune pour ajouter le paramètre facultatif « -citrix ». À la dernière étape, ce paramètre appelle l’interface de ligne de commande MDX Toolkit CGAppClPrepTool pour encapsuler l’application. Pour encapsuler l’application avec Intune, suivez les instructions disponibles sous Préparer les applications métier aux stratégies de protection des applications.

Important : assurez-vous d’utiliser l’outil d’encapsulation fourni pour cette version et non celui indiqué dans l’article.

Plusieurs options MDX existent. Voir la liste ci-dessous pour une description de chaque variante MDX.

  • Wrapper réseau seul MDX : seul Intune MDM, Intune MAM ou Endpoint Management MDM exclusif peut gérer ce wrapper. Encapsulez l’application à l’aide de l’outil d’encapsulation d’applications Intune et spécifiez l’option « -citrix ». Ce wrapper est une version minimale de MDX qui ne prend en charge que le micro VPN sans confinement ni chiffrement.
  • Wrapper MDX : prend en charge d’autres types de stratégie, y compris le confinement. Ne prend pas en charge le chiffrement. Encapsulez l’application avec l’outil d’encapsulation d’applications Intune, puis le MDX Toolkit.
  • SDK Applications mobiles Citrix : utilisez le SDK Applications mobiles Citrix lors du développement d’une application pour accéder à toutes les fonctionnalités MDX, y compris le chiffrement.

Vous pouvez obtenir le même résultat si, lors de la création de votre application iOS, vous associez l’infrastructure SDK Applications mobiles Citrix et l’infrastructure SDK Intune. Pour plus d’informations sur le SDK Applications mobiles Citrix et le SDK Intune, consultez le guide du développeur MDX (en anglais) et la présentation du Kit SDK d’application Microsoft Intune respectivement.

Applications métier qui utilisent le SDK Intune à des fins de confinement ou de mise en réseau.

Exemple d’utilisation Accordé Citrix MDX
Applications métier qui utilisent le SDK Intune à des fins de confinement ou de mise en réseau. SDK Intune Wrapper réseau seul MDX
Applications de productivité mobiles Citrix ou applications métier nécessitant des capacités de confinement et de mise en réseau. SDK Intune SDK Applications mobiles Citrix
Applications métier pour wrapper réseau seul Wrapper Intune Wrapper réseau seul MDX
Utiliser Microsoft Managed Browser. SDK Intune déjà intégré dans l’application Prise en charge réseau seul MDX déjà intégrée dans l’application

Encapsulation d’applications Android

L’encapsulation d’une application Android fonctionne de la même manière qu’avec iOS. L’outil que vous utilisez pour encapsuler les applications Android est ManagedAppUtility.jar. Vous pouvez utiliser ManagedAppUtility.jar pour encapsuler les applications avec la version complète de MDX ou avec la version réseau seul. Pour utiliser le wrapper réseau seul, utilisez le paramètre « -mVPN ».

Reportez-vous au tableau suivant pour obtenir des exemples d’utilisation de chaque variante d’encapsulation.

Scénarios d’encapsulation Android

Exemple d’utilisation Accordé Citrix MDX
Microsoft Managed Browser SDK Intune Wrapper réseau seul MDX
Applications de productivité mobiles Citrix SDK Intune MDX pour les applications de productivité mobiles Citrix
Applications métier pour wrapper réseau seul Wrapper Intune Wrapper réseau seul MDX

Pour ajouter des applications à l’intégration de Endpoint Management avec la console EMS/Intune

Pour ajouter des applications gérées par Intune, procédez comme suit.

  1. Dans la console Citrix Cloud, cliquez sur l’icône de menu, puis cliquez sur Bibliothèque.

    Image de la page Bibliothèque Citrix Cloud

  2. Cliquez sur l’icône de signe plus bleu en haut à droite, puis cliquez sur Add a Mobile app.

    Vous devrez peut-être attendre une minute pour que les options remplissent la liste.

    Image de l'option Add a Mobile app

  3. Sélectionnez un modèle d’application à personnaliser ou cliquez sur Upload my own App.

    Image des stratégies à configurer

    Citrix fournit les modèles d’application existants, chacun accompagné d’un ensemble de stratégies par défaut préconfigurées. Pour les applications que les clients chargent, les stratégies suivantes s’appliquent :

    • Fichiers MDX : inclut les applications encapsulées par MDX, telles que les stratégies de protection des applications Intune et les stratégies MDX par défaut contenues dans le package ; et les applications de magasin public, telles que les stratégies de protection des applications Intune et les stratégies MDX par défaut qui correspondent au bundle ID ou à l’ID de package.
    • Fichiers IPA. Stratégies de protection des applications Intune.
    • Fichiers APK. Stratégies de protection des applications Intune.

    Remarque : si l’application n’est pas encapsulée avec Intune, les stratégies de protection des applications Intune ne s’appliquent pas.

  4. Si vous avez cliqué sur Upload my own App, chargez votre fichier encapsulé .mdx ou Intune.

    Image de l'écran Upload my own App

  5. Entrez un nom et une description pour l’application, indiquez si l’application est recommandée ou obligatoire, puis cliquez sur Suivant.

  6. Définissez la stratégie Accès réseau pour indiquer si et comment autoriser l’accès micro VPN. L’activation du micro VPN permet de contrôler l’accès de l’application aux ressources locales.

    • Non restreint : désactive l’accès au micro VPN. L’application a accès au réseau sans restriction, sans utiliser le micro VPN. C’est le réglage par défaut.

      Remarque :

      dans la version 18.12.0 : si vous configurez un accès réseau sans restriction et que vous définissez la stratégie Session micro VPN requise sur Oui, le réseau n’est pas disponible.

    • Tunnel - VPN complet : active la redirection du tunnel complet (niveau TCP) par le micro VPN.
    • Tunnel - SSO Web : active la redirection de la redirection HTTP/HTTPS (avec SSO) pour le micro VPN.
    • Tunnel - VPN complet et SSO Web : active la redirection de la redirection HTTP/HTTPS (avec SSO) et la redirection du tunnel complet (niveau TCP) par le micro VPN.

      Cette option permet de basculer automatiquement entre les modes VPN complet et SSO Web selon les besoins. Si une demande réseau qui a échoué en raison d’une demande d’authentification qui ne peut pas être traitée dans le Mode VPN complet, la demande est de nouveau tentée dans un autre mode. Par exemple, le mode Tunnel VPN complet peut utiliser des demandes d’accès au serveur pour les certificats clients. Le mode SSO Web est plus susceptible de répondre aux demandes d’authentification HTTP.

      Ce paramètre est l’équivalent de la stratégie maintenant obsolète, PermitVPNModesWitching.

    Image de l'écran des stratégies Micro VPN

  7. Si vous activez l’accès micro VPN, définissez la stratégie Session micro VPN requise pour exiger ou non une session en ligne pour que l’application fonctionne. Sélectionnez Oui pour exiger une session en ligne. La valeur par défaut est Non.

  8. Si vous activez l’accès micro VPN, vous pouvez spécifier une liste d’exclusion du tunnel mVPN. Entrez les domaines, séparés par des virgules, que vous souhaitez exclure des stratégies micro VPN.

    Pour plus d’informations sur ces stratégies, consultez la section Stratégies MDX.

  9. Configurez d’autres stratégies pour l’application, puis cliquez sur Suivant. Pour une liste complète des stratégies applicatives, consultez la section Synopsis des stratégies MDX.

    Image des stratégies applicatives

    Remarque : ces stratégies ne sont pas toutes disponibles.

  10. Il n’y a pas de stratégies de déploiement à configurer. Cliquez sur Suivant.

    Image de la section de stratégie de déploiement

  11. Consultez les informations récapitulatives de l’application, puis cliquez sur Terminer.

    Ce processus de configuration de l’application peut prendre quelques minutes. Une fois le processus terminé, un message indique que l’application a été publiée dans la bibliothèque.

    Image du bouton Terminer

  12. Pour affecter des groupes d’utilisateurs à l’application, cliquez sur Attribuer des utilisateurs.

    Image de l'option Attribuer des utilisateurs

  13. Dans la liste Ajouter des abonnés, sélectionnez votre instance AAD. Ensuite, dans la zone de recherche, recherchez des groupes d’utilisateurs et cliquez pour les ajouter. Vous ne pouvez pas ajouter d’utilisateurs individuels.

    Image de l'option Ajouter des abonnés

  14. Les groupes ajoutés apparaissent comme étant en attente, puis passent à un état prêt. Lorsque vous avez ajouté tous les groupes et qu’ils apparaissent comme prêts, vous pouvez fermer la fenêtre en cliquant sur le X.

    Image de l'état En attente

    Image de l'état Prêt

    Vous pouvez rencontrer une erreur lors de l’ajout de groupes d’utilisateurs. Cette erreur se produit lorsque le groupe d’utilisateurs n’a pas été synchronisé avec le répertoire local Active Directory.

Stratégies MDX

Lorsque vous encapsulez une application avec la technologie MDX ou que vous utilisez le SDK Applications mobiles Citrix pour créer l’application, les administrateurs Intune peuvent configurer les stratégies MDX. Ces stratégies incluent un sous-ensemble de stratégies Citrix MDX qui ne nécessitent pas Secure Hub pour gérer l’application. Citrix vous recommande d’utiliser les stratégies MDX suivantes.

L’ensemble suivant de stratégies de gestion réseau spécifiques à Intune contrôle la configuration de stratégies réseau pour MDX (complet ou réseau seul) lors d’une gestion par Intune. Certaines de ces stratégies correspondent aux stratégies de confinement réseau Citrix MDX existantes. D’autres sont spécifiques à la configuration et au contrôle Intune.

Important :

La version 18.12.0 de MDX Toolkit inclut de nouvelles stratégies combinant ou remplaçant des stratégies plus anciennes. La stratégie Accès réseau combine Accès réseau, Mode VPN préféré et Autoriser le basculement vers le mode VPN. La stratégie Liste d’exclusion remplace Liste d’exclusion de split tunneling. La stratégie Session micro VPN requise remplace Session micro VPN requise. Pour de plus amples informations, consultez la section Nouveautés dans le MDX Toolkit 18.12.0.

Tunnel - SSO Web est le nom de Secure Browse dans les paramètres. Le comportement est le même.

  • Activer la redirection HTTP/HTTPS. Active ou désactive la redirection HTTP /HTTPS via le point de terminaison proxy Web inverse de Citrix Gateway, également connu sous le nom de Tunnel - SSO Web. Lorsque l’option est activée, Tunnel - SSO Web est utilisé pour le trafic Web. Lorsque vous utilisez le point de terminaison Tunnel - SSO Web, la passerelle est capable de répondre aux demandes d’authentification HTTP en ligne, offrant une expérience d’authentification Single-Sign-On (SSO). Pour utiliser Tunnel - SSO Web, définissez cette stratégie sur Activé. La redirection du tunnel complet est requise pour les applications qui utilisent des certificats client pour SSL de bout en bout avec authentification mutuelle. Pour ces applications, cette option doit être désactivée. La valeur par défaut est Activé.
  • Désactivez la redirection (au niveau TCP) du tunnel complet mVPN. Activez ou désactivez la redirection au niveau du réseau au niveau TCP via le point de terminaison de tunnel VPN Citrix Gateway. Dans des circonstances normales, laissez toujours cette stratégie activée. Toutefois, le dépannage des problèmes d’interface utilisateur Web est souvent plus facile lorsque vous empêchez l’interception au niveau TCP du trafic Web que les fonctions d’interception Web standard ne détectent pas. La valeur par défaut est Activé.
  • Session mVPN requise. Si cette stratégie est définie sur Activé, le SDK garantit que la passerelle configurée est accessible et qu’une session micro VPN valide est disponible avant d’autoriser l’application à devenir active. S’il n’y a pas de réseau, la passerelle est inaccessible ou une session d’ouverture de session ne peut pas être établie. L’application reste bloquée jusqu’à ce qu’une session micro VPN fonctionnelle puisse être confirmée. Si la stratégie est définie sur Désactivé, l’application s’ouvre indépendamment de l’état du réseau. Une session micro VPN est initialisée si nécessaire lorsqu’une application configurée pour un accès en tunnel tente d’utiliser l’une des API de réseau redirigées. La valeur par défaut est Désactivé.
  • Liste d’exclusion du tunnel mVPN. Liste séparée par des virgules des noms d’hôte ou de domaine à exclure du routage via le proxy Web inverse Citrix Gateway. Les noms d’hôte ou de domaine sont exclus même si les paramètres Split DNS configurés de la passerelle pourraient normalement sélectionner le domaine ou l’hôte.

    Remarque : cette stratégie est appliquée uniquement pour les connexions Tunnel - SSO Web. Si Activer la redirection http/https est défini sur Désactivé, cette stratégie est ignorée.

Pour plus d’informations sur ces stratégies, consultez la section Stratégies MDX pour applications iOS.

Déploiement de stratégies pour les applications métier

Après avoir téléchargé vos applications sur Intune, suivez cette procédure pour appliquer des stratégies à ces applications.

  1. Connectez-vous à https://portal.azure.com/, puis accédez à Intune > Applications mobiles.
  2. Sous Gérer, cliquez sur Stratégies de configuration des applications.
  3. Cliquez sur Ajouter, puis entrez un nom pour la stratégie que vous souhaitez créer. Pour Type d’inscription, sélectionnez Non inscrit avec Intune. Cette sélection est une limitation du système actuel.
  4. Cliquez sur Application associée, sélectionnez les applications auxquelles vous souhaitez appliquer la stratégie, puis cliquez sur OK.
  5. Cliquez sur Paramètres de configuration.
  6. Dans le champ Nom, entrez le nom de l’une des stratégies décrites dans la section suivante de cet article.
  7. Dans le champ Valeur, entrez la valeur à appliquer pour cette stratégie. Cliquez sur le champ pour ajouter la stratégie à la liste. Vous pouvez ajouter plusieurs stratégies.
  8. Cliquez sur OK, puis sur Ajouter. La stratégie est ajoutée à votre liste de stratégies.
  9. Vous pouvez supprimer la stratégie. Pour ce faire, sélectionnez la stratégie, puis cliquez sur Supprimer la stratégie sur la droite.

Stratégies métier

Le tableau suivant répertorie les stratégies que vous pouvez déployer pour les applications métier. En plus de ces stratégies, vous pouvez également utiliser les stratégies répertoriées précédemment dans cet article pour MDX. Pour de plus amples informations sur ces stratégies, veuillez consulter la section Synopsis des stratégies MDX.

Nom (iOS /Android) Description Valeurs
AppLogLevel/DefaultLoggerLevel Contrôle le niveau de détail par défaut de la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile. Plus le numéro est élevé, plus la journalisation est détaillée. 1-5
AppLogTarget/DefaultLoggerOut Détermine quels supports de sortie sont utilisés par défaut par la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile. Fichier, console ou les deux
AppLogFileSize/MaxLogFileSize Limite la taille en Mo des fichiers journaux conservés par la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile avant le déploiement. La valeur minimale est de 1 Mo. La valeur maximale est de 5 Mo. 1-5
AppLogFileCount/MaxLogFiles Limite le nombre de fichiers journaux conservés par la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile avant le déploiement. La valeur minimale est de 2. La valeur maximale est de 8. 2-8

Pour configurer Secure Mail

Secure Mail prend désormais en charge diverses configurations. Vous pouvez encapsuler Secure Mail dans un conteneur MAM Intune se connectant à un Exchange Server local. Vous pouvez connecter Secure Mail à des comptes Exchange ou Office 365 hébergés. Cependant, cette version ne prend pas en charge l’authentification basée sur les certificats, utilisez donc LDAP à la place.

Important :

pour utiliser Secure Mail en mode MDM, vous devez utiliser les modes MDM et MAM de Citrix Endpoint Management.

Secure Mail remplit également automatiquement les noms d’utilisateur. Pour activer cette fonctionnalité, vous devez d’abord configurer les stratégies personnalisées suivantes :

  1. Depuis votre console Endpoint Management, accédez à Paramètres > Propriétés du serveur puis cliquez sur Ajouter.

  2. Dans la liste, cliquez sur Clé personnalisée puis dans le champ Clé, tapez *xms.store.idpuser\_attrs*.

  3. Définissez la valeur sur vrai puis dans Nom d’affichage, tapez *xms.store.idpuser\_attrs*. Cliquez sur Enregistrer.

  4. Cliquez sur Propriétés du client puis cliquez sur Ajouter.

  5. Sélectionnez Clé personnalisée puis tapez SEND_LDAP_ATTRIBUTES dans le champ Clé.

  6. Tapez *userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id\_token.upn},aadtid=${user.id\_token.tid} dans le champ Valeur, entrez une description, puis cliquez sur Enregistrer.

    Les étapes suivantes s’appliquent uniquement aux appareils iOS.

  7. Accédez à Configurer > Stratégies d’appareil, cliquez sur Ajouter et sélectionnez la stratégie Configuration d’applications.

  8. Entrez un nom de stratégie, puis cliquez sur Suivant.

    Dans la liste Identificateur, cliquez sur Ajouter. Dans la zone de texte qui apparaît, entrez le Bundle ID pour votre application Secure Mail.

  9. Dans la zone de contenu Dictionnaire, tapez le texte suivant.

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key>userPrincipalName</key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key>aadupn</key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. Désélectionnez les cases Windows Phone et Windows Desktop/Tablet, puis cliquez sur Suivant.

  11. Sélectionnez les groupes d’utilisateurs sur lesquels vous souhaitez déployer la stratégie, puis cliquez sur Enregistrer.

Résolution des problèmes

Problèmes d’ordre général

Problème : lors de l’ouverture d’une application, le message d’erreur suivant s’affiche : Stratégie applicative requise.

Résolution : ajoutez des stratégies dans l’API Microsoft Graph.

Problème : vous rencontrez des conflits de stratégie.

Résolution : une seule stratégie par application est autorisée.

Problème : lors de l’encapsulage d’une application, l’erreur suivante s’affiche :

Failed to package app.

com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated.

com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113)

com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198)

com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56)

The application could not be wrapped.

Résolution : l’application est intégrée au SDK Intune. Vous n’avez pas besoin d’encapsuler l’application avec le wrapper Intune.

Problème : votre application ne peut pas se connecter aux ressources internes.

Résolution : assurez-vous que les ports de pare-feu appropriés sont ouverts, que l’ID du locataire est correct, etc.

Problèmes avec Citrix Gateway

Le tableau suivant répertorie les problèmes courants liés aux configurations Citrix Gateway et leurs solutions. Pour le dépannage, activez d’autres journaux et vérifiez-les en procédant comme suit :

  1. Dans l’interface de ligne de commande, exécutez la commande suivante : set audit syslogParams -logLevel ALL
  2. Vérifiez les journaux de l’interpréteur de commandes à l’aide de tail -f /var/log/ns.log
Problème Solution
Les autorisations devant être configurées pour l’application de passerelle sur Azure ne sont pas disponibles. Vérifiez si une licence Intune appropriée est disponible. Essayez d’utiliser le portail manage.windowsazure.com pour voir si l’autorisation peut être ajoutée. Contactez le support technique Microsoft si le problème persiste.
Citrix Gateway ne peut pas atteindre login.microsoftonline.com et graph.windows.net À partir de NS Shell, vérifiez si vous êtes en mesure d’accéder au site Microsoft suivant : curl -v -k https://login.microsoftonline.com. Ensuite, vérifiez si DNS est configuré sur Citrix Gateway et si les paramètres du pare-feu sont corrects (les demandes DNS pourraient rester derrière le pare-feu).
Une erreur apparaît dans ns.log après la configuration de OAuthAction. Vérifiez si la licence Intune est activée et si l’application de passerelle Azure dispose des autorisations appropriées.
La commande Sh OAuthAction n’affiche pas l’état OAuth comme terminé. Vérifiez les paramètres DNS et les autorisations configurées sur l’application de passerelle Azure.
L’appareil Android ou iOS n’affiche pas l’invite d’authentification double. Vérifiez si l’ID d’appareil à double facteur LogonSchema est lié au serveur virtuel d’authentification.

Condition et état de l’erreur OAuth

État Condition d’erreur
COMPLETE Réussite
AADFORGRAPH Secret non valide, URL non résolue, expiration de la connexion
MDMINFO *manage.microsoft.com est en panne ou inaccessible
GRAPH Le point de terminaison graphique est inaccessible
CERTFETCH Communication impossible avec « Token Endpoint: https://login.microsoftonline.com » en raison d’une erreur DNS. Pour valider cette configuration, allez dans shell et tapez curl https://login.microsoftonline.com. Cette commande doit être validée.

Problèmes connus

Lorsque vous déployez des applications avec Citrix et Intune pour prendre en charge le micro VPN : lorsque les utilisateurs fournissent leur nom d’utilisateur et leur mot de passe pour accéder aux sites Digest, même si leurs informations d’identification sont valides, une erreur apparaît. [CXM-25227]

Après avoir modifié le split tunneling de On à Off et en attente de l’expiration de la session de passerelle en cours : le trafic externe est transmis directement sans passer par Citrix Gateway jusqu’à ce que l’utilisateur lance un site interne en mode VPN complet. [CXM-34922]

Lorsque la stratégie d’ouverture passe de Applications gérées uniquement à Toutes les applications, les utilisateurs ne peuvent pas ouvrir de documents dans les applications non gérées jusqu’à ce qu’ils ferment et relancent Secure Mail. [CXM-34990]

Lorsque le split tunneling est activé en mode VPN complet et que le Split DNS passe de local à distant, les sites internes ne parviennent pas à se charger. [CXM-35168]

Lorsque la stratégie mVPN Activer la redirection http/https (avec SSO) est désactivée, Secure Mail ne fonctionne pas. [CXM-58886]

Problèmes tiers connus

Sur Secure Mail pour Android, lorsqu’un utilisateur appuie sur Créer un nouvel événement, la page de création d’un nouvel événement ne s’affiche pas. [CXM-23917]

Lorsque vous déployez Citrix Secure Mail pour iOS avec Citrix et Intune pour prendre en charge le micro VPN : la stratégie applicative qui obscurcit l’écran Secure Mail lorsque les utilisateurs déplacent l’application vers l’arrière-plan n’est pas appliquée. [CXM-25032]

Lorsque les utilisateurs exécutent Secure Mail pour la première fois sur Intune MDM+MAM, l’installation dirige les utilisateurs via un workflow pour sélectionner Intune MAM /Endpoint Management. [CXM-31272]