Configuration de l’application Citrix SSO dans un environnement Intune Android Enterprise

La rubrique présente des détails sur le déploiement et la configuration de l’application Citrix SSO via Microsoft Intune. Ce document suppose qu’Intune est déjà configuré pour la prise en charge d’Android Enterprise et que l’inscription des appareils est déjà terminée.

Conditions préalables

  • Intune est configuré pour le support Android Enterprise
  • L’inscription des appareils est terminée

Pour configurer l’application Citrix SSO dans un environnement Intune Android Enterprise

  • Ajouter l’application Citrix SSO en tant qu’application gérée
  • Configurer la stratégie d’application gérée pour l’application Citrix SSO

Ajouter l’application Citrix SSO en tant qu’application gérée

  1. Connectez-vous à votre portail Azure.

  2. Cliquez sur Intune dans le volet de navigation de gauche.

  3. Cliquez sur Applications clientes dans la lame Microsoft Intune, puis cliquez sur Applications dans la lame Applications clientes.

  4. Cliquez sur+Ajouter un lien dans les options du menu en haut à droite. La lame Ajouter une configuration d’application apparaît.

  5. Sélectionnez Google Play géré pour le type d’application.

    Cela ajoute Gérer la recherche Google Play et approuver la lame si vous avez configuré Android Enterprise.

  6. Recherchez l’application Citrix SSO et sélectionnez-la dans la liste des applications.

    sélectionnez SSO

    Remarque : Si Citrix SSO n’apparaît pas dans la liste, cela signifie que l’application n’est pas disponible dans votre pays.

  7. Cliquez sur APPROUVER pour approuver le déploiement de Citrix SSO via le Google Play Store géré.

    Les autorisations requises par l’application Citrix SSO sont répertoriées.

  8. Cliquez sur APPROUVER pour approuver le déploiement de l’application.

  9. Cliquez sur Synchroniser pour synchroniser cette sélection avec Intune.

    L’application Citrix SSO est ajoutée à la liste des applications clientes. Vous devrez peut-être rechercher l’application Citrix SSO si de nombreuses applications ont été ajoutées.

  10. Cliquez sur l’application Citrix SSO pour ouvrir la lame des détails de l’application.

  11. Cliquez sur Affectations dans la lame de détails. Citrix SSO - Lame Affectations s’affiche.

    sélectionner l'affectation SSO

  12. Cliquez sur Ajouter un groupe pour attribuer les groupes d’utilisateurs auxquels vous souhaitez accorder des autorisations pour installer l’application Citrix SSO, puis cliquez sur Enregistrer.

  13. Fermez la lame des détails de l’application Citrix SSO.

L’application Citrix SSO est ajoutée et activée pour être déployée auprès de vos utilisateurs.

Configurer la stratégie d’application gérée pour l’application Citrix SSO

Une fois l’application Citrix SSO ajoutée, vous devez créer une stratégie de configuration gérée pour l’application Citrix SSO afin que le profil VPN puisse être déployé sur l’application Citrix SSO sur l’appareil.

  1. Ouvrez la lame Intune dans votre portail Azure.

  2. Ouvrez la lame Client Apps à partir de la lame Intune.

  3. Sélectionnez l’élément Stratégies de configuration d’application dans la lame Applications clientes et cliquez sur Ajouter pour ouvrir la lame Ajouter une stratégie de configuration .

  4. Entrez le nom de la stratégie et ajoutez-en une description.

  5. Dans Type d’inscription des appareils, sélectionnez Appareils gérés.

  6. Dans Platform, sélectionnez Android.

    Cela ajoute une autre option de configuration pour l’application associée.

  7. Cliquez sur Application associée et sélectionnez l’application Citrix SSO .

    Vous devrez peut-être le rechercher si vous disposez de nombreuses applications.

  8. Cliquez sur OK. Une option de paramètres de configuration est ajoutée dans la lame Ajouter une stratégie de configuration.

  9. Cliquez sur Paramètres de configuration .

    Une lame permettant de configurer l’application Citrix SSO apparaît.

  10. Dans Paramètres de configuration, sélectionnez Utiliser le concepteur de configurationou Entrer les données JSON pour configurer l’application Citrix SSO.

Définir l'SSO pour Intune

Remarque :

Pour les configurations VPN simples, il est recommandé d’utiliser le concepteur de configuration.

Configuration VPN à l’aide du concepteur de configuration utilisateur

  1. Dans Paramètres de configuration, sélectionnez Utiliser le concepteur de configuration et cliquez sur Ajouter.

    Un écran de saisie de valeur de clé s’affiche pour configurer diverses propriétés prises en charge par l’application Citrix SSO. Au minimum, vous devez configurer les propriétés Adresse du serveur et Nom du profil VPN . Vous pouvez survoler la section DESCRIPTION pour obtenir plus d’informations sur chaque propriété.

  2. Par exemple, sélectionnez les propriétés Nom du profil VPN et Adresse du serveur (*), puis cliquez sur OK.

    Les propriétés sont ajoutées au concepteur de configuration. Vous pouvez configurer les propriétés suivantes.

    • Nom du profil VPN. saisissez un nom pour le profil VPN. Si vous créez plusieurs profils VPN, utilisez un nom unique pour chaque profil. Si vous ne fournissez pas de nom, l’adresse que vous entrez dans le champ Adresse du serveur est utilisée comme nom de profil VPN.

    • Adresse du serveur (*). Saisissez le nom de domaine complet de base Citrix Gateway. Si le port Citrix Gateway n’est pas 443, saisissez également le port. Utilisez le format URL. Par exemple, https://vpn.mycompany.com:8443.

    • Nom d’utilisateur (facultatif). Entrez le nom d’utilisateur utilisé par les utilisateurs finaux pour s’authentifier auprès de Citrix Gateway. Vous pouvez utiliser le jeton de valeur de configuration Intune pour ce champ si la passerelle est configurée pour l’utiliser (voir jetons de valeur de configuration). Si vous ne fournissez pas de nom d’utilisateur, les utilisateurs sont invités à fournir un nom d’utilisateur lorsqu’ils se connectent à Citrix Gateway.

    • Mot de passe (facultatif). Entrez le mot de passe utilisé par les utilisateurs finaux pour s’authentifier auprès de Citrix Gateway. Si vous ne fournissez pas de mot de passe, les utilisateurs sont invités à fournir un mot de passe lorsqu’ils se connectent à Citrix Gateway.

    • Alias de certificat (facultatif). Indiquez un alias de certificat dans le magasin de clés Android à utiliser pour l’authentification du certificat client. Ce certificat est présélectionné pour les utilisateurs si vous utilisez l’authentification basée sur des certificats.

    • ServerCertificatePins (facultatif). Objet JSON décrivant les broches de certificat utilisées pour Citrix Gateway. Exemple de valeur : {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Pour plus d’informations, consultez la section Épinglage de certificats Citrix Gateway avec Android Citrix SSO.

    • Type de VPN par application (facultatif). si vous utilisez un VPN par application pour restreindre les applications qui utilisent ce VPN, vous pouvez configurer ce paramètre.

      • Si vous sélectionnez Autoriser, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications PerAppVPN est acheminé via le VPN. Le trafic réseau de toutes les autres applications est acheminé en dehors du VPN.
      • Si vous sélectionnez Interrompre, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications PerAppVPN est acheminé en dehors du VPN. Le trafic réseau de toutes les autres applications est acheminé via le VPN. La valeur par défaut est Autoriser.
    • Liste des applications PerAppVPN. liste des applications dont le trafic est autorisé ou interdit sur le VPN en fonction de la valeur définie pour Type de VPN par application. Répertoriez les noms de packages d’applications en les séparant par des virgules ou des points-virgules. Les noms de packages d’applications sont sensibles à la casse et doivent apparaître sur cette liste tels qu’ils figurent dans Google Play Store. Cette liste est facultative. Gardez cette liste vide pour le provisioning de VPN à l’échelle de l’appareil.
    • Profil VPN par défaut. Le nom du profil VPN utilisé lorsque le VPN Always On est configuré pour l’application Citrix SSO. Si ce champ est vide, le profil principal est utilisé pour la connexion. Si un seul profil est configuré, il est marqué comme profil VPN par défaut.

      Option de profil VPN par défaut

    Remarque :

    • Pour faire de l’application Citrix SSO une application VPN Always On dans Intune, utilisez le fournisseur VPN personnalisé et com.citrix.CitrixVPN comme nom de package d’application.

    • Seule l’authentification client basée sur un certificat est prise en charge pour Always On VPN par l’application Citrix SSO.

    • Les administrateurs doivent sélectionner Authentificationdu client et définir le certificat clientsurObligatoiredans leprofilSSL ou les propriétés SSL sur Citrix Gateway pour que l’application SSO fonctionne comme prévu.

    • Désactiver les profils utilisateur
      • Si vous définissez cette valeur sur true, les utilisateurs ne peuvent pas ajouter de nouveaux profils VPN sur leurs appareils.
      • Si vous définissez cette valeur sur false, les utilisateurs peuvent ajouter leur propre VPN sur leurs appareils.

      La valeur par défaut est false.

    • Bloquer les serveurs non fiables
      • Définissez cette valeur sur false lorsque vous utilisez un certificat auto-signé pour Citrix Gateway ou lorsque le certificat racine de l’autorité de certification émettant le certificat Citrix Gateway ne figure pas dans la liste des CA système.
      • Définissez cette valeur sur true pour permettre au système d’exploitation Android de valider le certificat Citrix Gateway. Si la validation échoue, la connexion n’est pas autorisée.

      La valeur par défaut est true.

  3. Pour la propriété Server Address (*), saisissez l’URL de base de votre passerelle VPN (par exemple, https://vpn.mycompany.com).

  4. Pour Nom du profil VPN, entrez un nom visible par l’utilisateur final dans l’écran principal de l’application Citrix SSO (par exemple, My Corporate VPN).

  5. Vous pouvez ajouter et configurer d’autres propriétés en fonction de votre déploiement Citrix Gateway. Cliquez sur OK lorsque vous avez terminé la configuration.

  6. Cliquez sur la section Autorisations . Dans cette section, vous pouvez accorder les autorisations requises par l’application Citrix SSO.

    • Si vous utilisez la vérification Intune NAC, l’application Citrix SSO nécessite que vous accordiez l’autorisation d’état du téléphone (lecture) . Cliquez sur le bouton Ajouter pour ouvrir la lame d’autorisations. Actuellement, Intune affiche une liste importante des autorisations disponibles pour toutes les applications.

    • Si vous utilisez la vérification du NAC Intune, sélectionnez Autorisation d’état du téléphone (lecture) et cliquez sur OK. Cela l’ajoute à la liste des autorisations de l’application. Sélectionnez Prompt ou Auto grant pour que la vérification Intune NAC puisse fonctionner, puis cliquez sur OK.

      Définir la configuration SSO

  7. Cliquez sur Ajouter en bas de la lame de stratégie de configuration d’application pour enregistrer la configuration gérée de l’application Citrix SSO.

  8. Cliquez sur Attributions dans la lame de stratégie de configuration des applications pour ouvrir la lame Attributions .

  9. Sélectionnez les groupes d’utilisateurs pour lesquels vous souhaitez que cette configuration Citrix SSO soit fournie et appliquée.

Configuration VPN en entrant des données JSON

  1. Dans Paramètres de configuration, sélectionnez Saisir les données JSON pour configurer l’application Citrix SSO.

  2. Utilisez le bouton Télécharger le modèle JSON pour télécharger un modèle qui permet de fournir une configuration plus détaillée/complexe pour l’application Citrix SSO. Ce modèle est un ensemble de paires clé-valeur JSON permettant de configurer toutes les propriétés possibles que l’application Citrix SSO comprend.

    Pour obtenir la liste de toutes les propriétés disponibles qui peuvent être configurées, consultez Propriétés disponibles pour la configuration du profil VPN dans l’application Citrix SSO.

  3. Une fois que vous avez créé un fichier de configuration JSON, copiez et collez son contenu dans la zone d’édition. Par exemple, voici le modèle JSON pour la configuration de base créé précédemment à l’aide de l’option Concepteur de configuration.

Configuration JSON terminée

Ceci termine la procédure de configuration et de déploiement des profils VPN pour l’application Citrix SSO dans l’environnement Microsoft Intune Android Enterprise.

Important :

Le certificat utilisé pour l’authentification basée sur un certificat client est déployé à l’aide d’un profil Intune SCEP. L’alias de ce certificat doit être configuré dans la propriété Alias de certificat de la configuration gérée de l’application Citrix SSO.

Propriétés disponibles pour configurer le profil VPN dans l’application Citrix SSO

|Clé de configuration|Nom du champ JSON|Type de valeur|Description| |— |— |— |— | |Nom du profil VPN|VPNProfileName|Texte|Nom du profil VPN (s’il n’est pas défini par défaut sur l’adresse du serveur).| |Adresse du serveur (*)|ServerAddress|URL|URL de base de Citrix Gateway pour la connexion (https://host[:port]). Il s’agit d’un champ obligatoire.| |Username (optional)|Username|Texte|Nom d’utilisateur utilisé pour l’authentification auprès de Citrix Gateway (facultatif) .| |Mot de passe (facultatif) |Mot de passe |Texte|Mot de passe de l’utilisateur pour l’authentification auprès de Citrix Gateway (facultatif) .| |Alias de certificat (facultatif) |ClientCertalias|Text|Alias du certificat client installé dans le magasin d’informations d’identification Android pour une utilisation dans l’authentification client basée sur un certificat (facultatif). L’alias de certificat est un champ obligatoire lors de l’utilisation de l’authentification basée sur des certificats sur Citrix Gateway. | |Broches de certificat de serveur (facultatif) |ServerCertificatePins|Texte JSON|Objet JSON intégré décrivant les broches de certificat utilisées pour Citrix Gateway. Exemple de valeur : {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Assurez-vous d’échapper ces données JSON intégrées lorsque vous utilisez le configurateur JSON. | |Type de VPN par application (facultatif) |PerAppVPN_allow_disallow_setting|Enum (Autoriser, Interdire) |Les applications répertoriées sont-elles autorisées (liste d’autorisation) ou interdites (liste de blocage) à utiliser le tunnel VPN. Si cette option est définie sur Autoriser, seules les applications répertoriées (dans la propriété Liste des applications PerAppVPN) sont autorisées à passer par tunnel via le VPN. Si cette option est définie sur Refuser, toutes les applications, à l’exception de celles répertoriées, sont autorisées à passer par tunnel via le VPN. Si aucune application n’est répertoriée, toutes les applications sont autorisées à passer par tunnel via le VPN. | |Liste des applications PerAppVPN |PerAppName_AppNames|text|liste séparée par des virgules (,) ou un point-virgule (;) des noms de packages d’applications pour un VPN par application. Les noms des packages doivent être exactement les mêmes qu’ils apparaissent dans l’URL de la page de liste des applications du Google Play Store. Les noms de package sont sensibles à la casse. | |Profil VPN par défaut|DefaultProfilename|text|Nom du profil VPN à utiliser lorsque le système démarre le service VPN. Ce paramètre est utilisé pour identifier le profil VPN à utiliser lorsque le VPN Always On est configuré sur l’appareil. | |Désactiver les profils utilisateurs|DisableUserProfiles|Boolean|propriété pour autoriser ou non les utilisateurs finaux à créer manuellement des profils VPN. Définissez cette valeur surtruepour empêcher les utilisateurs de créer des profils VPN. La valeur par défaut estfalse.| |Bloquer les serveurs non approuvés|BlockUntrustedServers|Boolean|propriété pour déterminer si la connexion aux passerelles non approuvées (par exemple, à l’aide de certificats auto-signés ou lorsque l’autorité de certification n’est pas approuvée par le système d’exploitation Android) est bloquée ? La valeur par défaut est true (blocage des connexions aux passerelles non approuvées) .| |Paramètres personnalisés (facultatif) |CustomParameters|liste|Liste des paramètres personnalisés (facultatif) pris en charge par l’application Citrix SSO. Pour plus d’informations, consultez la sectionParamètres personnalisés. Consultez la documentation du produit Citrix Gateway pour connaître les options disponibles. | |Liste des autres profils VPN |Bundle_profiles|liste|Liste des autres profils VPN. La plupart des valeurs mentionnées précédemment pour chaque profil sont prises en charge. Pour plus d’informations, consultez la section Propriétés prises en charge pour chaque VPN dans la liste des profils VPN.|

Paramètres personnalisés

Chaque paramètre personnalisé doit être défini à l’aide des noms de valeurs-clés suivants.

Key Type de valeur Valeur
Nom du paramètre Texte Nom du paramètre personnalisé.
Valeur du paramètre Texte Valeur du paramètre personnalisé.

Propriétés prises en charge pour chaque VPN dans la liste des profils VPN

Les propriétés suivantes sont prises en charge pour chacun des profils VPN lors de la configuration de plusieurs profils VPN à l’aide du modèle JSON.

Clé de configuration Nom du champ JSON Type de valeur
Nom du profil VPN bundle_VPNProfileName Texte
Adresse du serveur (*) bundle_ServerAddress URL
Nom d’utilisateur bundle_Username Texte
mot de passe Bundle_Password Texte
Alias de certificat client bundle_ClientCertAlias Texte
Pin de certificat de serveur bundle_ServerCertificatePins Texte
Type de VPN par application bundle_PerAppVPN_Allow_Disallow_Setting Enum (Allow, Disallow)
PerAppVPN app list Bundle_PerAppVPN_AppNames Texte
Paramètres personnalisés bundle_CustomParameters Liste

Définir l’application Citrix SSO en tant que fournisseur VPN Always On dans Intune

En l’absence de prise en charge d’un VPN à la demande dans un sous-système VPN Android, le VPN Always On peut être utilisé comme alternative pour fournir une option de connectivité VPN transparente avec l’authentification par certificat client avec l’application Citrix SSO. Le VPN est démarré par le système d’exploitation au démarrage ou lorsque le profil professionnel est activé.

Pour faire de l’application Citrix SSO une application VPN Always On dans Intune, vous devez utiliser les paramètres suivants.

  • Choisissez le type de configuration gérée à utiliser (propriété personnelle avec profil de travail OU profil de travail entièrement géré, dédié et appartenant à l’entreprise).

  • Créez un profil de configuration d’appareil et sélectionnez Restrictions d’appareil, puis accédez à la section Connectivité . Sélectionnez Activer pour le paramètre VPN Always On.

  • Choisissez l’ application Citrix SSO en tant que client VPN. Si Citrix SSO n’est pas disponible en option, vous pouvez choisir Custom as VPN Client et entrer com.citrix.CitrixVPN dans le champ Package ID (le champ Package ID est sensible à la casse)

  • Laissez les autres options telles qu’elles sont. Il est recommandé de ne pas activer le mode Verrouillage. Lorsque cette option est activée, l’appareil risque de perdre la connectivité réseau complète si le VPN n’est pas disponible.

  • En plus de ces paramètres, vous pouvez également définir le type de VPN par application et la liste des applications PerAppVPN dans la page Stratégies de configuration de l’application pour activer le VPN par application pour Android, comme décrit dans les sections précédentes.

Remarque :

Le VPN Always On est pris en charge uniquement avec l’authentification par certificat client dans l’application Citrix SSO.

Références

Pour plus d’informations sur la configuration des options de connectivité dans Intune, reportez-vous aux rubriques suivantes.

Configuration de l’application Citrix SSO dans un environnement Intune Android Enterprise