Citrix Endpoint Management

Intégration de Citrix Endpoint Management à Microsoft Endpoint Manager

L’intégration de Endpoint Management avec Microsoft Endpoint Manager (MEM) ajoute la valeur du micro VPN de Endpoint Management aux applications compatibles Microsoft Intune, telles que Microsoft Managed Browser.

Pour activer l’intégration, contactez l’équipe Citrix Cloud Operations.

Cette version prend en charge les cas d’utilisation suivants :

  • MAM Intune avec MDM+MAM Endpoint Management

    Cet article se concentre sur le cas d’utilisation Intune MAM + Endpoint Management MDM+MAM. Après avoir ajouté Citrix en tant que fournisseur MDM, configurez les applications gérées Intune en vue de les déployer sur les appareils.

    Important :

    Pour ce cas d’utilisation, Secure Mail ne prend pas en charge l’intégration à Intune. Secure Mail ne fonctionne que pour les appareils inscrits en mode MDX.

  • MAM Intune et MDM Endpoint Management.
  • MAM Intune.
  • MAM Intune et MDM Intune. Secure Mail pour iOS prend en charge l’authentification unique pour ce cas d’utilisation.

Guide de mise en route

Ce document est un guide graphique facile à suivre pour configurer l’intégration de Endpoint Management avec MEM.

Configuration système requise

Activation MDX

Microsoft

  • Accès Azure Active Directory (AD) (avec privilèges d’administrateur de locataires)
  • Locataire activé par Intune

Règle de pare-feu

  • Activer une règle de pare-feu pour autoriser le trafic DNS et SSL à partir d’une adresse IP de sous-réseau Citrix Gateway vers *.manage.microsoft.com, https://login.microsoftonline.com et https://graph.windows.net (ports 53 et 443)

Conditions préalables

  • Managed Browser : le SDK Applications mobiles est intégré à l’application Intune Managed Browser pour iOS et Android. Pour plus d’informations sur Managed Browser, consultez la page Managed Browser de Microsoft.
  • Compte Citrix Cloud : pour ouvrir un compte Citrix et demander une version d’évaluation de Citrix Endpoint Management, contactez votre représentant Citrix. Lorsque vous êtes prêt à continuer, accédez à https://onboarding.cloud.com. Pour plus d’informations sur la demande d’un compte Citrix Cloud, consultez Ouvrir un compte sur Citrix Cloud.

    Remarque :

    L’e-mail que vous fournissez doit être une adresse qui n’est pas associée à Azure AD. Vous pouvez utiliser n’importe quel service de messagerie gratuit.

  • Certificats APNs pour iOS : assurez-vous de configurer des certificats APNs pour iOS. Pour en savoir plus sur la configuration de ces certificats, consultez cet article de blog Citrix : Creating and Importing APNs Certificates.
  • Azure AD Sync : configurez la synchronisation entre Azure AD et le répertoire Active Directory local. N’installez pas l’outil de synchronisation AD sur la machine du contrôleur de domaine. Pour plus d’informations sur la configuration de cette synchronisation, consultez la documentation Microsoft sur Azure Active Directory.

Configurer Citrix Gateway

Si vous configurez un nouveau déploiement Endpoint Management, installez l’une des appliances Citrix Gateway suivantes :

  • NetScaler Gateway VPX 3000 ou version supérieure
  • Instance NetScaler Gateway MPX ou SDX dédiée

Pour utiliser Citrix Gateway avec l’intégration de Endpoint Management à MEM, procédez comme suit :

  • Configurez Citrix Gateway avec une interface de gestion et une adresse IP de sous-réseau.
  • Utilisez TLS 1.2 pour toutes les communications client-serveur. Pour plus d’informations sur la configuration de TLS 1.2 pour Citrix Gateway, consultez la section CTX247095.

Si vous utilisez l’intégration Endpoint Management à MEM avec un déploiement MDM+MAM Endpoint Management, configurez deux instances Citrix Gateway. Le trafic d’application MDX est acheminé via une instance Citrix Gateway. Le trafic d’application Intune est acheminé via l’autre instance Citrix Gateway. Configurez les éléments suivants :

  • Deux adresses IP publiques.
  • Eventuellement, une adresse IP définie via la traduction d’adresse réseau (NAT).
  • Deux noms DNS. Exemple : https://mam.company.com.
  • Deux certificats SSL publics. Configurez les certificats qui correspondent au nom DNS public réservé ou qui utilisent des certificats génériques.
  • Un équilibreur de charge MAM avec une adresse IP RFC 1918 interne non routable.
  • Un compte de service LDAP Active Directory.

Accepter les invites d’autorisations déléguées

Pour les applications gérées qui nécessitent l’authentification des utilisateurs, les applications demandent des autorisations d’applications exposées par Microsoft Graph. Lorsque les invites d’autorisation sont acceptées, l’application peut accéder aux ressources et API requises. Certaines applications nécessitent le consentement de l’administrateur global pour Microsoft Azure AD. Pour ces autorisations déléguées, l’administrateur global doit accorder à Citrix Cloud l’autorisation de demander des jetons. Les jetons activent ensuite les autorisations suivantes. Pour plus de détails, consultez Référence des autorisations de Microsoft Graph.

  • Se connecter et lire le profil utilisateur : cette autorisation permet aux utilisateurs de se connecter à Azure AD. Citrix ne peut pas afficher les informations d’identification de l’utilisateur.
  • Lire les profils de base de tous les utilisateurs : l’application lit les propriétés du profil au nom des utilisateurs de l’organisation. Les propriétés comprennent le nom d’affichage, le prénom et le nom, ainsi que l’adresse e-mail et la photo des utilisateurs de l’organisation.
  • Lire tous les groupes : cette autorisation permet d’énumérer les groupes Azure AD pour l’attribution d’applications et de stratégies.
  • Accéder au répertoire en tant qu’utilisateur connecté : cette autorisation vérifie l’abonnement Intune et active les configurations Citrix Gateway et VPN.
  • Lire et écrire des applications Microsoft Intune : l’application peut lire et écrire les éléments suivants :

    • Propriétés gérées par Microsoft
    • Affectations de groupe et état des applications
    • Configurations d’applications
    • Stratégies de protection des applications

En outre, au cours de la configuration de Citrix Gateway, l’administrateur global Azure AD doit :

En outre, lors de la configuration de Citrix Gateway, l’administrateur global d’Azure AD doit approuver le répertoire Active Directory choisi pour le micro VPN. L’administrateur global doit également générer un secret client que Citrix Gateway utilise pour communiquer avec Azure AD et Intune.

L’administrateur global ne doit pas avoir le rôle d’administrateur Citrix. L’administrateur Citrix attribue des comptes Azure AD aux utilisateurs dotés des privilèges d’administrateur d’application Intune appropriés. L’administrateur Intune a ensuite le rôle d’administrateur Citrix Cloud pour gérer Intune à partir de Citrix Cloud.

Remarque :

Citrix utilise uniquement le mot de passe de l’administrateur global Intune lors de l’installation et redirige l’authentification vers Microsoft. Citrix ne peut pas accéder au mot de passe.

Pour configurer l’intégration de Endpoint Management à MEM

Pour un résumé de l’intégration, visionnez la vidéo :

Icône vidéo

  1. Ouvrez une session sur le site Citrix Cloud et demandez une évaluation pour Endpoint Management.

  2. Un ingénieur commercial planifie une réunion d’intégration avec vous. Faites-lui savoir que vous souhaitez intégrer Endpoint Management à MEM. Lorsque votre demande est approuvée, cliquez sur Gérer.

    Site Citrix Cloud

  3. À partir de là, vous pouvez cliquer sur l’icône d’engrenage en haut à droite de votre site ou cliquer sur Configurer le site.

    Site Citrix Cloud

  4. Suivez le lien vers la page Gestion des identités et des accès fourni à la première étape.

    Lien pour Gestion des identités et des accès

  5. Cliquez sur Connecter pour connecter votre installation Azure AD.

    Page Gestion des identités et des accès

  6. Entrez une URL d’ouverture de session unique que l’administrateur Azure AD utilise pour ouvrir une session, puis cliquez sur Confirmer.

    Écran URL d'ouverture de session et bouton Connexion

  7. Ajoutez un compte administrateur global Azure AD, puis acceptez la demande d’autorisations.

    Bouton Utiliser un autre compte

    Bouton Accepter

  8. Vérifiez que votre instance Azure AD se connecte correctement. Pour indiquer une connexion réussie, le texte Non connecté devient Activé.

    Bouton Déconnecter

  9. Cliquez sur l’onglet Administrateurs, puis ajoutez votre administrateur Azure AD Intune en tant qu’administrateur Citrix Cloud. Sélectionnez Azure AD ou Citrix Identity dans le menu déroulant, puis recherchez le nom d’utilisateur que vous souhaitez ajouter. Cliquez sur Inviter, puis accordez à l’utilisateur un accès complet ou un accès personnalisé avant de cliquer sur Envoyer une invitation.

    Remarque :

    Endpoint Management nécessite les règles suivantes pour l’accès personnalisé : Bibliothèque et Citrix Endpoint Management.

    L’administrateur Azure AD Intune reçoit alors une invitation par e-mail pour créer un mot de passe et se connecter à Citrix Cloud. Avant que l’administrateur ne se connecte, assurez-vous de vous déconnecter de tous les autres comptes.

    L’administrateur Azure AD Intune doit suivre les étapes restantes de cette procédure.

    Option d'invitation d'administrateur Azure AD Intune

    Écran de confirmation

  10. Une fois connecté avec le nouveau compte, sous Endpoint Management, cliquez sur Gérer. Si vous configurez tout correctement, la page indique que l’administrateur Azure AD est connecté et que votre abonnement Intune est valide.

    Option Gérer sous Endpoint Management

Pour configurer Citrix Gateway pour micro VPN

Pour utiliser un micro VPN avec Intune, vous devez configurer Citrix Gateway pour l’authentification auprès d’Azure AD. Un serveur virtuel Citrix Gateway existant ne fonctionne pas pour ce cas d’utilisation.

Tout d’abord, configurez Azure AD pour qu’il se synchronise avec le répertoire Active Directory local. Cette étape est nécessaire pour s’assurer que l’authentification entre Intune et Citrix Gateway se produit correctement.

Synchronisation Active Directory

  1. Dans la console Citrix Cloud, sous Endpoint Management, cliquez sur Manage.

  2. En regard de Micro VPN, cliquez sur Configure Micro VPN.

    Bouton Configure Micro VPN

  3. Entrez un nom pour le service micro VPN et l’URL externe de votre Citrix Gateway, puis cliquez sur Next.

    Ce script configure Citrix Gateway pour la prise en charge d’Azure AD et des applications Intune.

    Page de détails Citrix Gateway

  4. Cliquez sur Download Script. Le fichier .zip comprend un fichier readme avec des instructions pour implémenter le script. Même si vous pouvez enregistrer et quitter à partir de cette étape, le micro VPN n’est pas configuré tant que vous n’avez pas exécuté le script sur votre installation Citrix Gateway.

    Bouton Télécharger le script

    Remarque :

    Lorsque vous avez terminé le processus de configuration de Citrix Gateway, si vous voyez un état OAuth autre que COMPLETE, reportez-vous à la section Dépannage.

Pour configurer la gestion des appareils

Si vous souhaitez gérer des appareils en plus des applications, choisissez une méthode de gestion des appareils. Vous pouvez utiliser Endpoint Management MDM+MAM ou Intune MDM.

Remarque :

La console est par défaut Intune MDM. Pour utiliser Intune en tant que fournisseur MDM, reportez-vous à la documentation Microsoft Intune.

  1. Dans la console Citrix Cloud, sous « Endpoint Management integration with MEM », cliquez sur Manage. En regard de Device Management - Optional, cliquez sur Configure MDM.

    Écran Configure MDM

  2. Entrez un nom de site unique, sélectionnez la région cloud la plus proche de vous, puis cliquez sur Request a Site. Une invite vous informe que vous recevrez un courrier électronique lorsque votre site sera prêt.

    Page de nom de site unique

    Confirmation de la demande du site

  3. Cliquez sur OK pour fermer l’invite. Sélectionnez un emplacement Active Directory à associer à votre site ou créez un emplacement de ressources, puis cliquez sur Suivant.

    Option d'emplacement Active Directory

    Option de création d'un emplacement de ressources

  4. Cliquez sur Download Cloud Connector et suivez les instructions à l’écran pour installer le connecteur. Après l’installation, cliquez sur Test Connection pour vérifier la connexion entre Citrix Cloud et le Cloud Connector.

    Option de téléchargement du connecteur cloud

    Option de connexion de test

  5. Cliquez sur Save & Exit pour terminer. Votre emplacement de ressources apparaît. Cliquez sur Finish pour revenir à l’écran des paramètres.

    Écran Save and Exit

  6. Vous pouvez désormais accéder à la console Endpoint Management à partir de la tuile de votre site. À partir de là, vous pouvez effectuer des tâches de gestion MDM et affecter des stratégies d’appareil. Consultez la section Stratégies d’appareil pour de plus amples informations sur les stratégies d’appareil.

    Écran de gestion de site

Configurer les applications gérées par Intune pour les distribuer sur les appareils

Pour configurer les applications gérées par Intune en vue de leur distribution :

  • Ajouter les applications à la bibliothèque Citrix Cloud
  • Créer des stratégies Endpoint Management pour contrôler le flux de données
  • Créer un groupe de mise à disposition pour les applications et les stratégies

Ajouter des applications Microsoft Intune à la bibliothèque Citrix Cloud

Pour chaque application que vous souhaitez ajouter :

  1. Dans la console Citrix Cloud, cliquez sur l’icône de menu, puis cliquez sur Bibliothèque.

    Page Bibliothèque Citrix Cloud

  2. Cliquez sur l’icône de signe plus en haut à droite, puis cliquez sur Add a Mobile app.

    Vous devrez peut-être attendre une minute pour que les options remplissent la liste.

    Option Add a Mobile app

  3. Si Android Enterprise est configuré dans la console Endpoint Management, sélectionnez Applications Microsoft Intune sous Choisir une application. Sélectionnez un modèle d’application à personnaliser ou cliquez sur Upload my own App.

    Stratégies à configurer

    Citrix fournit les modèles d’application existants, chacun accompagné d’un ensemble de stratégies par défaut préconfigurées. Pour les applications que les clients chargent, les stratégies suivantes s’appliquent :

    • Fichiers MDX : inclut les applications pour lesquelles le SDK MAM est activé ou les applications encapsulées avec MDX, telles que :
      • Stratégies de protection des applications Intune et stratégies MDX par défaut contenues dans le package
      • Applications du magasin public, telles que les stratégies de protection des applications Intune et les stratégies MDX par défaut qui correspondent à l’ID du bundle ou de l’ID du package
    • Fichiers IPA : stratégies de protection des applications Intune.
    • Fichiers APK : stratégies de protection des applications Intune.

    Remarque :

    Si l’application n’est pas encapsulée avec Intune, les stratégies de protection des applications Intune ne s’appliquent pas.

  4. Cliquez sur Upload my own App et chargez votre fichier encapsulé .mdx ou Intune.

    Écran Upload own wrapped file

  5. Entrez un nom et une description pour l’application, indiquez si l’application est facultative ou obligatoire, puis cliquez sur Suivant.

  6. Configurez les paramètres de l’application. Les configurations suivantes permettent aux conteneurs Endpoint Management et Intune d’échanger des données.

    • Autoriser les applications à recevoir des données provenant d’autres applications : sélectionnez Applications gérées par stratégie.
    • Autoriser l’application à transférer des données vers d’autres applications : sélectionnez Toutes les applications.
    • Restreindre les fonctions couper, copier et coller avec d’autres applications : sélectionnez Applications gérées par stratégie.
  7. Configurez les référentiels de stockage pour les données enregistrées. Pour Select which storage services corporate data can be saved to (Sélectionnez les services de stockage dans lesquels les données d’entreprise sont enregistrées), sélectionnez LocalStorage.

  8. Facultatif : définissez les stratégies Réadressage des données, Accès et Code PIN pour l’application. Cliquez sur Suivant.

  9. Consultez les informations récapitulatives de l’application, puis cliquez sur Terminer.

    Le processus de configuration de l’application peut prendre quelques minutes. Une fois le processus terminé, un message indique que l’application a été publiée dans la bibliothèque.

    Bouton Terminer

  10. Pour affecter des groupes d’utilisateurs à l’application, cliquez sur Attribuer des utilisateurs.

    Option Attribuer des utilisateurs

  11. Dans la zone de recherche, recherchez des groupes d’utilisateurs et cliquez pour les ajouter. Vous ne pouvez pas ajouter d’utilisateurs individuels.

    Option Ajouter des abonnés

  12. Lorsque vous avez ajouté tous les groupes souhaités, fermez la fenêtre en cliquant sur le X.

    État Prêt

    Vous pouvez rencontrer une erreur lors de l’ajout de groupes d’utilisateurs. Cette erreur se produit lorsque le groupe d’utilisateurs n’a pas été synchronisé avec le répertoire local Active Directory.

Ajouter des applications Android Enterprise à la bibliothèque Citrix Cloud

Pour ajouter des applications Android Enterprise à la bibliothèque Citrix Cloud, configurez d’abord Android Enterprise dans Endpoint Management. Consultez Android Entreprise.

Suivez cette procédure pour ajouter des applications Android Enterprise à la console Endpoint Management et à la console Intune simultanément. Pour chaque application Android Enterprise que vous souhaitez ajouter, procédez comme suit :

  1. Dans la console Citrix Cloud, cliquez sur l’icône de menu, puis cliquez sur Bibliothèque.

    Page Bibliothèque Citrix Cloud

  2. Cliquez sur l’icône de signe plus en haut à droite, puis cliquez sur Add a Mobile app.

    Vous devrez peut-être attendre une minute pour que les options remplissent la liste.

    Option Add a Mobile app

  3. Sous Choisir une application, sélectionnez Applications Android Enterprise.

    Choisir une application

  4. Recherchez une application et approuvez-la dans la fenêtre Google Play Store d’entreprise. Une fois la fenêtre Google fermée, cliquez sur Suivant.

    Google Play Store

    Application sélectionnée

  5. Ajoutez les détails de l’application, puis cliquez sur Suivant.

    Détails de l’application

  6. Si vous avez recherché et sélectionné une application de productivité mobile Citrix, vous pouvez configurer des stratégies Micro VPN. Après avoir configuré ces stratégies, cliquez sur Suivant.

    Stratégies Micro VPN

  7. Configurez les stratégies de protection des applications Intune. Cliquez sur Next.

    Stratégies Intune

  8. Configurez les paramètres de l’application. Les configurations suivantes permettent aux conteneurs Endpoint Management et Intune d’échanger des données.

    • Autoriser les applications à recevoir des données provenant d’autres applications : sélectionnez Applications gérées par stratégie.
    • Autoriser l’application à transférer des données vers d’autres applications : sélectionnez Toutes les applications.
    • Restreindre les fonctions couper, copier et coller avec d’autres applications : sélectionnez Applications gérées par stratégie.
  9. Configurez les référentiels de stockage pour les données enregistrées. Pour Select which storage services corporate data can be saved to (Sélectionnez les services de stockage dans lesquels les données d’entreprise sont enregistrées), sélectionnez LocalStorage.

  10. Facultatif : définissez les stratégies Réadressage des données, Accès et Code PIN pour l’application. Cliquez sur Suivant.

  11. Consultez les informations récapitulatives de l’application, puis cliquez sur Terminer.

    Le processus de configuration de l’application peut prendre quelques minutes. Une fois le processus terminé, un message indique que l’application a été publiée dans la bibliothèque. L’application est disponible sur les consoles Endpoint Management et Intune. Dans la console Endpoint Management, l’application fait partie d’un nouveau groupe de mise à disposition et est identifiée comme une application de magasin d’applications public.

    Bouton Terminer

  12. Pour affecter des groupes d’utilisateurs à l’application, cliquez sur Attribuer des utilisateurs.

    Option Attribuer des utilisateurs

  13. Dans la zone de recherche, recherchez des groupes d’utilisateurs et cliquez pour les ajouter. Vous ne pouvez pas ajouter d’utilisateurs individuels.

    Option Ajouter des abonnés

  14. Lorsque vous avez ajouté tous les groupes souhaités, fermez la fenêtre en cliquant sur le X.

    État Prêt

    Vous pouvez rencontrer une erreur lors de l’ajout de groupes d’utilisateurs. Cette erreur se produit lorsque le groupe d’utilisateurs n’a pas été synchronisé avec le répertoire local Active Directory.

Contrôler le type de données transférées entre les applications gérées

Contrôlez le type de données pouvant être transférées entre des applications gérées dans les conteneurs Endpoint Management ou Intune à l’aide des stratégies Endpoint Management. Vous pouvez configurer une stratégie Restrictions pour autoriser uniquement les données marquées comme « corporate » (entreprise). Configurez une stratégie Configuration de l’application pour baliser les données.

Pour configurer la stratégie Restrictions :

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil.

  2. Sur la page Stratégies d’appareil, cliquez sur Ajouter. La page Ajouter une nouvelle stratégie apparaît.

    Écran de configuration Stratégies d'appareil

  3. Cliquez sur Restrictions dans la liste des stratégies.

  4. Sur la page Informations sur la stratégie, tapez un nom et (éventuellement) une description pour la stratégie. Cliquez sur Next.

  5. Pour créer une stratégie pour les applications iOS, sélectionnez iOS dans le volet Plates-formes.

  6. Sous Sécurité - Autoriser, définissez Documents provenant d’applications gérées dans les applications non gérées sur Désactivé. La valeur Désactivé définit également Les applications non gérées lisent les contacts gérés et Les applications gérées écrivent sur les contacts non gérés sur Désactivé. Cliquez sur Next.

  7. Cliquez sur Suivant jusqu’à ce que le bouton Enregistrer s’affiche. Cliquez sur Enregistrer.

Configurez la stratégie Configuration de l’application pour chaque application :

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil.

  2. Cliquez sur Ajouter. La page Ajouter une nouvelle stratégie apparaît.

  3. Cliquez sur Configuration de l’application dans la liste des stratégies.

  4. Sur la page Informations sur la stratégie, tapez un nom et (éventuellement) une description pour la stratégie. Cliquez sur Next.

  5. Pour créer une stratégie une application iOS, sélectionnez iOS dans le volet Plates-formes.

  6. Sélectionnez l’identifiant de l’application à configurer.

  7. Pour les applications iOS, ajoutez le texte suivant à Contenu du dictionnaire :

    <dict>
        <key>IntuneMAMUPN</key>
        <string>${user.userprincipalname}</string>
    </dict>
    
  8. Cliquez sur Vérifier le dictionnaire.

  9. Cliquez sur Next.

  10. Cliquez sur Enregistrer.

Configurer des groupes de mise à disposition pour les applications et les stratégies

  1. Dans la console Endpoint Management, cliquez sur Configurer > Groupes de mise à disposition.

  2. Sur la page Groupes de mise à disposition, cliquez sur Ajouter. La page Informations sur le groupe de mise à disposition s’affiche.

  3. Sur la page Informations sur le groupe de mise à disposition, tapez un nom et (éventuellement) une description pour le groupe de mise à disposition. Cliquez sur Next.

  4. Sur la page Attributions, spécifiez le mode de déploiement du groupe de mise à disposition : choisissez Dans Endpoint Management ou Dans Citrix Cloud.

    Écran de configuration des groupes de mise à disposition

  5. Si vous avez choisi Dans Endpoint Management :

    • Sélectionner un domaine : sélectionnez le domaine à partir duquel choisir les utilisateurs dans la liste.
    • Inclure des groupes d’utilisateurs : effectuez l’une des opérations suivantes :
      • Dans la liste des groupes d’utilisateurs, cliquez sur les groupes que vous souhaitez ajouter. Les groupes sélectionnés s’affichent dans la liste Groupes d’utilisateurs sélectionnés.
      • Cliquez sur Rechercher pour afficher une liste de tous les groupes d’utilisateurs dans le domaine sélectionné.
      • Tapez un nom de groupe complet ou partiel dans la zone de recherche, puis cliquez sur Rechercher pour limiter la liste des groupes d’utilisateurs.

      Pour supprimer un groupe d’utilisateurs de la liste Groupes d’utilisateurs sélectionnés, effectuez l’une des opérations suivantes :

      • Dans la liste Groupes d’utilisateurs sélectionnés, cliquez sur le X en regard de chaque groupe que vous souhaitez supprimer.
      • Cliquez sur Rechercher pour afficher une liste de tous les groupes d’utilisateurs dans le domaine sélectionné. Parcourez la liste et décochez la case à cocher en regard de chaque groupe à supprimer.
      • Tapez un nom de groupe complet ou partiel dans la zone de recherche, puis cliquez sur Rechercher pour limiter la liste des groupes d’utilisateurs. Parcourez la liste et décochez la case à cocher en regard de chaque groupe à supprimer.
  6. Cliquez sur Next.

  7. Sur la page Stratégies, faites glisser la stratégie Restrictions et la stratégie Configuration de l’application que vous créez de gauche à droite. Cliquez sur Next.

  8. Sur la page Applications, faites glisser les applications que vous souhaitez distribuer du côté gauche de la page vers Applications requises ou Applications facultatives. Cliquez sur Next.

  9. (Facultatif) Configurez les paramètres sur la page Média, la page Actions et la page Inscriptions. Ou acceptez les valeurs par défaut sur chaque page et cliquez sur Suivant.

  10. Sur la page Résumé, passez en revue les paramètres du groupe de mise à disposition et cliquez sur Enregistrer pour créer le groupe de mise à disposition.

Lorsque vous publiez l’application dans la console Intune, sélectionnez Forcer l’application à être gérée. Les utilisateurs sur des appareils non supervisés sont invités à autoriser la gestion de l’application. Si les utilisateurs acceptent, l’application est gérée sur l’appareil. Si les utilisateurs refusent, l’application n’est pas disponible sur l’appareil.

Configurer Secure Mail

Secure Mail prend désormais en charge diverses configurations. Vous pouvez encapsuler Secure Mail dans un conteneur MAM Intune se connectant à un Exchange Server local. Vous pouvez connecter Secure Mail à des comptes Exchange ou Office 365 hébergés. Cependant, cette version ne prend pas en charge l’authentification basée sur les certificats, utilisez donc LDAP à la place.

Important :

Pour utiliser Secure Mail en mode MDX, vous devez utiliser le mode MDM+MAM de Citrix Endpoint Management.

Secure Mail remplit également automatiquement les noms d’utilisateur. Pour activer cette fonctionnalité, vous devez d’abord configurer les stratégies personnalisées suivantes :

  1. Depuis votre console Endpoint Management, accédez à Paramètres > Propriétés du serveur puis cliquez sur Ajouter.

  2. Dans la liste, cliquez sur Clé personnalisée puis dans le champ Clé, tapez xms.store.idpuser_attrs.

  3. Définissez la valeur sur vrai puis dans Nom d’affichage, tapez xms.store.idpuser_attrs. Cliquez sur Enregistrer.

  4. Cliquez sur Propriétés du client puis cliquez sur Ajouter.

  5. Sélectionnez Clé personnalisée puis tapez SEND_LDAP_ATTRIBUTES dans le champ Clé.

  6. Tapez userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid} dans le champ Valeur, entrez une description, puis cliquez sur Enregistrer.

    Les étapes suivantes s’appliquent uniquement aux appareils iOS.

  7. Accédez à Configurer > Stratégies d’appareil, cliquez sur Ajouter et sélectionnez la stratégie Configuration d’applications.

  8. Entrez un nom de stratégie, puis cliquez sur Suivant.

    Dans la liste Identificateur, cliquez sur Ajouter. Dans la zone de texte qui apparaît, entrez le Bundle ID pour votre application Secure Mail.

  9. Dans la zone de contenu Dictionnaire, tapez le texte suivant.

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key>userPrincipalName</key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key>aadupn</key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. Désélectionnez les cases Windows Phone et Windows Desktop/Tablet, puis cliquez sur Suivant.

  11. Sélectionnez les groupes d’utilisateurs sur lesquels vous souhaitez déployer la stratégie, puis cliquez sur Enregistrer.

Résolution des problèmes

Problèmes d’ordre général

Problème : lors de l’ouverture d’une application, le message d’erreur suivant s’affiche : Stratégie applicative requise.

Résolution : ajoutez des stratégies dans l’API Microsoft Graph.

Problème : vous rencontrez des conflits de stratégie.

Résolution : une seule stratégie par application est autorisée.

Problème : votre application ne peut pas se connecter aux ressources internes.

Résolution : assurez-vous que les ports de pare-feu appropriés sont ouverts, que l’ID du locataire est correct, etc.

Problèmes avec Citrix Gateway

Le tableau suivant répertorie les problèmes courants liés aux configurations Citrix Gateway et leurs solutions. Pour le dépannage, activez d’autres journaux et vérifiez-les en procédant comme suit :

  1. Dans l’interface de ligne de commande, exécutez la commande suivante : set audit syslogParams -logLevel ALL
  2. Vérifiez les journaux de l’interpréteur de commandes à l’aide de tail -f /var/log/ns.log
Problème Solution
Les autorisations devant être configurées pour l’application de passerelle sur Azure ne sont pas disponibles. Vérifiez si une licence Intune appropriée est disponible. Essayez d’utiliser le portail manage.windowsazure.com pour voir si l’autorisation peut être ajoutée. Contactez le support technique Microsoft si le problème persiste.
Citrix Gateway ne peut pas atteindre login.microsoftonline.com et graph.windows.net À partir de NS Shell, vérifiez si vous êtes en mesure d’accéder au site Microsoft suivant : curl -v -k https://login.microsoftonline.com. Ensuite, vérifiez si DNS est configuré sur Citrix Gateway et si les paramètres du pare-feu sont corrects (les demandes DNS pourraient rester derrière le pare-feu).
Une erreur apparaît dans ns.log après la configuration de OAuthAction. Vérifiez si la licence Intune est activée et si l’application de passerelle Azure dispose des autorisations appropriées.
La commande Sh OAuthAction n’affiche pas l’état OAuth comme terminé. Vérifiez les paramètres DNS et les autorisations configurées sur l’application de passerelle Azure.
L’appareil Android ou iOS n’affiche pas l’invite d’authentification double. Vérifiez si l’ID d’appareil à double facteur LogonSchema est lié au serveur virtuel d’authentification.

Condition et état de l’erreur OAuth

État Condition d’erreur
COMPLETE Succès
AADFORGRAPH Secret non valide, URL non résolue, expiration de la connexion
MDMINFO *manage.microsoft.com est en panne ou inaccessible
GRAPH Le point de terminaison graphique est inaccessible
CERTFETCH Communication impossible avec « Token Endpoint: https://login.microsoftonline.com » en raison d’une erreur DNS. Pour valider cette configuration, allez dans shell et tapez curl https://login.microsoftonline.com. Cette commande doit être validée.

Limitations

Les éléments suivants décrivent certaines limitations liées à l’utilisation de MEM avec Citrix Endpoint Management.

  • Lorsque vous déployez des applications avec Citrix et Intune pour prendre en charge le micro VPN : lorsque les utilisateurs fournissent leur nom d’utilisateur et leur mot de passe pour accéder aux sites Digest, même si leurs informations d’identification sont valides, une erreur apparaît. [CXM-25227]
  • Après avoir modifié le split tunneling de On à Off et en attente de l’expiration de la session de passerelle en cours : le trafic externe est transmis directement sans passer par Citrix Gateway jusqu’à ce que l’utilisateur lance un site interne en mode VPN complet. [CXM-34922]
  • Lorsque la stratégie d’ouverture passe de Applications gérées uniquement à Toutes les applications, les utilisateurs ne peuvent pas ouvrir de documents dans les applications non gérées jusqu’à ce qu’ils ferment et relancent Secure Mail. [CXM-34990]
  • Lorsque le split tunneling est activé en mode VPN complet et que le Split DNS passe de local à distant, les sites internes ne parviennent pas à se charger. [CXM-35168]

Problèmes connus

Lorsque la stratégie mVPN Activer la redirection http/https (avec SSO) est désactivée, Secure Mail ne fonctionne pas. [CXM-58886]

Problèmes tiers connus

Sur Secure Mail pour Android, lorsqu’un utilisateur appuie sur Créer un nouvel événement, la page de création d’un nouvel événement ne s’affiche pas. [CXM-23917]

Lorsque vous déployez Citrix Secure Mail pour iOS avec Citrix et Intune pour prendre en charge le micro VPN : la stratégie applicative qui obscurcit l’écran Secure Mail lorsque les utilisateurs déplacent l’application vers l’arrière-plan n’est pas appliquée. [CXM-25032]