Citrix Endpoint Management

Citrix Endpoint ManagementとMicrosoft Intune/EMSとの統合

Endpoint ManagementとMicrosoft Enterprise Mobility + Security(EMS)/Intuneとの統合により、Endpoint ManagementマイクロVPNの価値がMicrosoft Managed BrowserなどのMicrosoft Intune対応アプリに追加されます。

統合をアクティブ化するには、Citrix Cloud運用チームに連絡してください。

注:

MicrosoftはIntuneをMicrosoft Endpoint Managerの一部にしており、IntuneをMicrosoft Endpoint Managerと呼ぶこともあります。

このリリースでは、次のユースケースがサポートされます:

  • Intune MAMとEndpoint Management MDM+MAM

    この資料では、Intune MAMとEndpoint Management MDM+MAMのユースケースについて説明します。CitrixをMDMプロバイダーとして追加したら、デバイスに配信するIntune管理対象アプリを構成します。

    重要:

    このユースケースでは、Secure MailはIntuneとの統合をサポートしていません。Secure MailはMDXモードで登録されているデバイスでのみ動作します。

  • Intune MAMおよびEndpoint Management MDM。
  • Intune MAM。
  • Intune MAMおよびIntune MDM。Secure Mail for iOSは、このユースケースでのシングルサインオンをサポートしています。

入門ガイド

このドキュメントは、EMS/IntuneとEndpoint Managementとの統合を設定する方法について、画像付きで分かりやすく説明しています。

システム要件

MDX対応

Microsoft

  • Azure ADアクセス(テナントの管理者特権あり)
  • Intune対応のテナント

ファイアウォールのルール

  • ファイアウォールのルールを有効にして、Citrix GatewayのサブネットIPから*.manage.microsoft.comhttps://login.microsoftonline.com、およびhttps://graph.windows.net(ポート53および443)に対するDNSおよびSSLのトラフィックを許可します。

前提条件

  • Managed Browser: Mobile Apps SDKは、iOSおよびAndroid用のIntune Managed Browserアプリに統合されています。Managed Browserについて詳しくは、MicrosoftのManaged Browserのページを参照してください。
  • Citrix Cloudアカウント: シトリックスアカウントを新規登録してCitrix Endpoint Managementのトライアルをリクエストするには、シトリックスの営業担当者にお問い合わせください。準備が整ったら、https://onboarding.cloud.comにアクセスします。Citrix Cloudアカウントのリクエストについて詳しくは、「Citrix Cloudへのサインアップ」を参照してください。

    注:

    指定するメールは、Azure ADに関連付けられていないアドレスにする必要があります。任意のフリーメールのサービスを利用できます。

  • iOSのAPNs証明書: iOSのAPNs証明書を構成していることを確認します。この証明書の構成に関する詳細は、Citrixブログ:APNs証明書の作成とインポートに関する記事を参照してください。
  • Azure ADとの同期: Azure ADとオンプレミスのActive Directoryの間で同期を設定します。AD同期ツールはドメインコントローラーマシンにはインストールしないでください。この同期の設定について詳しくは、Azure Active DirectoryのMicrosoft社のドキュメントを参照してください。

Citrix Gatewayの構成

新しいEndpoint Managementの展開を設定している場合、次のCitrix Gatewayアプライアンスのいずれかをインストールします:

  • NetScaler Gateway VPX 3000シリーズ以上
  • NetScaler Gateway MPXまたは専用SDXインスタンス

Endpoint ManagementとEMS/Intuneとの統合でCitrix Gatewayを使用するには:

  • 管理インターフェイスとサブネットIPでCitrix Gatewayを構成します。
  • すべてのクライアントからサーバーへの通信でTLS 1.2を使用します。Citrix GatewayでのTLS 1. 2の構成について詳しくは、「CTX247095」を参照してください。

Endpoint Management MDM+MAM展開でEndpoint ManagementとEMS/Intuneとの統合を使用している場合は、Citrix Gatewayを2つ構成します。一方のCitrix Gatewayを経由してMDXアプリのトラフィックがルーティングされます。もう一方のCitrix Gatewayを経由してIntuneアプリのトラフィックがルーティングされます。構成:

  • 2つのパブリックIPアドレス。
  • 必要に応じて、ネットワークアドレス変換されたIPを1つ。
  • 2つのDNS名。例:https://mam.company.com
  • 2つのパブリックSSL証明書。予約済みのパブリックDNS名と一致する証明書を構成するか、ワイルドカード証明書を使用します。
  • 内部でルーティング不可能なRFC 1918 IPアドレスを使用するMAMロードバランサー。
  • LDAP Active Directoryサービスアカウント。

委任権限の要求に同意する

一部の管理対象アプリでは、ユーザーが認証する必要があります。これらのアプリでは、Microsoft Graphが要求アプリケーションの権限を公開します。これらの権限要求に同意することにより、アプリは必要なリソースとAPIにアクセスできます。Microsoft Azure ADのAzure ADグローバル管理者の同意が必要となるアプリもあります。これらの委任権限については、グローバル管理者はCitrix Cloudにトークンを要求する権限を与える必要があります。このトークンにより、以下の権限が有効になります。「Microsoft Graph permissions reference」を参照してください。

  • サインインとユーザープロファイルの読み取り: この権限により、ユーザーはAzure ADにサインインして接続できるようになります。シトリックスにはユーザーの資格情報を表示する権限はありません。
  • すべてのユーザーの基本プロファイルの読み取り: 組織のユーザーの代わりに、アプリがプロファイルのプロパティを読み取ります。プロパティには、組織のユーザーの表示名、姓名、メールアドレス、写真が含まれます。
  • すべてのグループの読み取り: この権限により、Azure ADグループを列挙してアプリとポリシーの割り当てを行うことができます。
  • ディレクトリに対するサインインしたユーザーと同じアクセス: この権限により、Intuneサブスクリプションを検証し、Citrix GatewayとVPNを設定できます。
  • Microsoft Intuneアプリの読み取りと書き込み: アプリは次の読み取りと書き込みを行うことができます:

    • マイクロソフトが管理するプロパティ
    • グループの割り当てとアプリのステータス
    • アプリ構成
    • アプリ保護ポリシー

また、Citrix Gatewayの構成中に、Azure ADのグローバル管理者が次のことを行う必要があります:

  • マイクロVPN用に選択されたActive Directoryを承認します。
  • Citrix GatewayがAzure ADおよびIntuneとの通信に使用するクライアントシークレットを生成します。

グローバル管理者がCitrix管理者の役割を持つことはできません。代わりに、Citrix管理者は適切なIntuneアプリの管理者権限を持つユーザーにAzure ADアカウントを割り当てます。そうすることでIntune管理者は、Citrix Cloud管理者としてCitrix Cloud内からIntuneを管理します。

注:

Citrixはセットアップ時にのみIntuneグローバル管理者のパスワードを使用して、認証をMicrosoftにリダイレクトします。シトリックスにはパスワードにアクセスする権限はありません。

Endpoint ManagementとEMS/Intuneとの統合を構成する

統合のビデオ概要については、以下をご覧ください:

ビデオアイコン

  1. Citrix Cloudのサイトにログオンし、Endpoint Managementのトライアルをリクエストします。

  2. セールスエンジニアがオンボードに関する打ち合わせを調整します。当社のエンジニアに、Endpoint ManagementとEMS/Intuneとの統合が必要であることを伝えます。リクエストが承認されたら、[管理] をクリックします。

    Citrix Cloudのサイト

  3. サイトの右上の歯車をクリックして、[Configure Site] を選択できます。

    Citrix Cloudのサイト

  4. 最初の手順にあった [IDおよびアクセス管理] ページへのリンクを使って移動します。

    [IDおよびアクセス管理]へのリンク

  5. [接続] をクリックして、Azure ADのインストール環境に接続します。

    [IDおよびアクセス管理]ページ

  6. Azure AD管理者がログオンに使用する一意のログオンURLを入力し、[確認] をクリックします。

    ログオンURL画面と[接続]ボタン

  7. Azure ADグローバル管理者アカウントを追加し、権限要求を承諾します。

    [別のアカウントを使用する]ボタン

    [承諾]ボタン

  8. Azure ADインスタンスが正常に接続されていることを確認します。接続が成功したことは、[接続されていません] ボタンの表示が [有効] に変わることで分かります。

    [切断]ボタン

  9. [管理者] タブをクリックし、Azure AD Intune管理者をCitrix Cloud管理者として追加します。ドロップダウンメニューから[Azure AD]または[Citrix ID]を選択し、追加するユーザー名を検索します。[招待] 選択してユーザーに [フルアクセス] または [カスタムアクセス] を許可してから [招待を送信する] をクリックします。

    注:

    Endpoint Managementでは、カスタムアクセスに関する次の規則が必要です:ライブラリおよびCitrix Endpoint Management。

    追加するとAzure AD Intune管理者にメールで招待状が送られます。招待状経由でパスワードを作成して、Citrix Cloudにサインインできます。管理者がサインインする前に、他のすべてのアカウントからサインアウトします。

    この手順の残りの作業は、Azure AD Intune管理者が続ける必要があります。

    Azure AD Intune管理者の招待オプション

    確認画面

  10. 新しいアカウントでサインインした後、[Endpoint Management][管理] をクリックします。構成が正しければ、Azure AD管理者がサインインしていること、およびIntuneサブスクリプションが有効であることがページに表示されます。

    Endpoint Managementの[管理]オプション

Citrix GatewayでマイクロVPNが利用できるように設定する

IntuneでマイクロVPNを使用するには、Citrix GatewayでAzure Active Directoryが認証されるように設定する必要があります。このユースケースでは、既存のCitrix Gateway仮想サーバーは利用できません。

まず、Azure ADがオンプレミスのActive Directoryと同期するように設定します。この手順は、IntuneとCitrix Gatewayとの間の認証を適切に行うために必要です。

Active Directoryの同期

  1. Citrix Cloudコンソールの [Endpoint Management] タイルで、[管理] をクリックします。

  2. [マイクロVPN] の横にある [マイクロVPNを設定] をクリックします。

    [マイクロVPNを設定]ボタン

  3. マイクロVPNサービスの名前とCitrix Gatewayの外部URLを入力し、[次へ] をクリックします。

    このスクリプトにより、Citrix GatewayがAzure ADとIntuneアプリをサポートするように設定されます。

    Citrix Gatewayの詳細ページ

  4. [スクリプトのダウンロード] をクリックします。.zipファイルには、スクリプトの実行に関する説明付きのreadmeが同梱されています。保存してここで終了することもできますが、Citrix Gatewayのインストール環境でスクリプトを実行するまで、マイクロVPNの設定は完了しません。

    [スクリプトのダウンロード]ボタン

    注:

    Citrix Gatewayの設定プロセスが終了した後にCOMPLETE以外のOAuthステータスが表示されている場合は、「トラブルシューティング」のセクションを参照してください。

デバイス管理を設定する

アプリだけでなくデバイスも管理する場合は、デバイス管理の方法を選択します。Endpoint Management MDM+MAMまたはIntune MDMを使用できます。

注:

デフォルトでは、Intune MDMがコンソール用に選択されています。IntuneをMDMプロバイダーとして使用するには、「Microsoft Intuneのドキュメント」を参照してください。

  1. Citrix Cloudコンソールの[Endpoint ManagementとEMS/Intuneとの統合]で、[管理] をクリックします。[デバイス管理 - オプション] の横にある [MDMの構成] をクリックします。

    MDMの構成画面

  2. 一意のサイト名を入力し、最も近い場所のクラウドリージョンを選択してから 「サイトを要求」 をクリックします。サイトの準備が整うと、その通知メールの受信をプロンプトが知らせてくれます。

    一意のサイト名のページ

    サイトの要求確認

  3. [OK] をクリックしてページを閉じます。Active Directoryの場所を選択してサイトに関連付けるか、リソースの場所を作成してから [次へ] をクリックします。

    Active Directoryの場所オプション

    リソースの場所を作成するオプション

  4. [Cloud Connectorをダウンロード] をクリックし、画面の指示に従ってCloud Connectorをインストールします。インストールが終わったら、[接続のテスト] をクリックして、Citrix CloudとCloud Connectorとの間の接続を確認します。

    [Cloud Connectorをダウンロード]オプション

    [接続のテスト]オプション

  5. [保存して終了] をクリックして終了します。リソースの場所が表示されます。[完了] をクリックすると、設定画面に戻ります。

    [保存して終了]画面

  6. これで、サイトのタイルからEndpoint Managementコンソールにアクセスできるようになりました。ここから、MDM管理タスクを実行してデバイスポリシーを割り当てることができます。デバイスポリシーについて詳しくは、「デバイスポリシー」を参照してください。

    サイトの管理画面

Intune管理対象アプリをデバイスへの配信用に構成する

Intune管理対象アプリを配信用に構成するには:

  • アプリをCitrix Cloudライブラリに追加する
  • データのフローを制御するためのEndpoint Managementデバイスポリシーを作成する
  • アプリとポリシーのデリバリーグループを作成する

Intune管理対象アプリをCitrix Cloudライブラリに追加する

追加するアプリごとに:

  1. Citrix Cloudコンソールでメニューアイコンをクリックし、[ライブラリ] をクリックします。

    Citrix Cloudライブラリのページ

  2. 右上にある青色のプラス記号のアイコンをクリックし、[モバイルアプリを追加] をクリックします。

    オプションがリストに入力されるまでしばらくかかる場合があります。

    [モバイルアプリを追加]オプション

  3. カスタマイズするアプリテンプレートを選択するか、[独自のアプリをアップロードする] をクリックします。

    構成するポリシー

    Citrixでは既製のアプリテンプレートを提供しており、それぞれのテンプレートには事前に設定済みの、デフォルトのポリシーセットが付属します。ユーザーがアップロードするアプリの場合は、次のポリシーが適用されます:

    • MDXファイル: 以下のような、MAM SDK対応アプリまたはMDXでラップされたアプリが含まれます:
      • Intuneアプリ保護ポリシーとパッケージに含まれるデフォルトのMDXポリシー
      • パブリックストアアプリ。Intuneアプリ保護ポリシーやバンドルIDまたはパッケージIDに一致するデフォルトのMDXポリシーなど
    • IPAファイル: Intuneアプリ保護ポリシー。
    • APKファイル: Intuneアプリ保護ポリシー。

    注:

    アプリがIntuneでラップされていない場合、Intuneアプリ保護ポリシーは適用されません。

  4. [独自のアプリをアップロードする] をクリックして、.mdxファイルまたはIntuneでラップされたファイルをアップロードします。

    ラップされた独自ファイルのアップロード画面

  5. アプリの名前と説明を入力し、そのアプリを任意にするか必須にするかを選択して [次へ] をクリックします。

  6. アプリケーション設定を構成します。次の構成により、データEndpoint ManagementとIntuneコンテナが互いにデータを転送できるようになります。

    • アプリが他のアプリからのデータを受信することを許可する: [ポリシー管理対象アプリ] を選択します 。
    • アプリが他のアプリにデータを転送することを許可する: [すべてのアプリ] を選択します 。
    • 他のアプリとの切り取り、コピー、貼り付けを制限する: [ポリシー管理対象アプリ] を選択します 。
  7. 保存データ用のストレージリポジトリを構成します。[企業データを保存できるストレージサービスを選択してください] で、[LocalStorage]を選択します。

  8. 任意:アプリのデータの再配置、アクセス、およびPINポリシーを設定します。[次へ]をクリックします。

  9. アプリの概要を確認し、[完了] をクリックします。

    このアプリ設定には数分かかる場合があります。処理が完了すると、アプリがライブラリに公開されたことを示すメッセージが表示されます。

    [完了]ボタン

  10. ユーザーグループをアプリに割り当てるには、[ユーザーを割り当てる] をクリックします。

    [ユーザーを割り当てる]オプション

  11. 検索ボックスでユーザーグループを検索し、クリックで追加します。ユーザーを個別に追加することはできません。

    [利用者の追加]オプション

  12. すべてのグループを追加したら、[X]をクリックしてウィンドウを閉じることができます。

    準備完了ステータス

    ユーザーグループを追加するときにエラーが発生することがあります。このエラーは、ユーザーグループがローカル環境のActive Directoryに同期されていない場合に発生します。

管理対象アプリ間で転送されるデータの種類を制御する

Endpoint Managementデバイスポリシーを使用して、Endpoint ManagementまたはIntuneコンテナ内の管理対象アプリ間で転送できるデータの種類を制御します。「企業」というタグが付けられたデータのみを許可するよう制限ポリシーを構成できます。データにタグを付けるようアプリ構成ポリシーを構成します。

制限デバイスポリシーを構成するには:

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] の順にクリックします。

  2. [デバイスポリシー] ページで、[追加] をクリックします。[新しいポリシーの追加] ページが開きます。

    デバイスポリシー構成画面

  3. iOSアプリのデバイスポリシーを作成するには、[プラットフォーム] ペインで [iOS] を選択します。

  4. ポリシーのリストから [制限] をクリックします。

  5. [ポリシー情報] ページで、ポリシーの名前と(任意で)説明を入力します。[次へ] をクリックします。

  6. [セキュリティ - 許可] で、[管理対象アプリから非管理対象アプリへのドキュメントの移動][オフ] に設定します 。これを [オフ] に設定すると、以下が [オフ] に変更されます: [非管理対象アプリによる管理対象アカウント連絡先の読み取り] および [管理対象アプリによる非管理対象アカウント連絡先への書き込み][次へ] をクリックします。

  7. [保存] ボタンが表示されるまで [次へ] をクリックします。[保存] をクリックします。

各アプリのアプリ構成デバイスポリシーを構成する:

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] の順にクリックします。

  2. [追加] をクリックします。[新しいポリシーの追加] ページが開きます。

  3. iOSアプリのデバイスポリシーを作成するには、[プラットフォーム] ペインで [iOS] を選択します。

  4. [ポリシー情報] ページで、ポリシーの名前と(任意で)説明を入力します。[次へ] をクリックします。

  5. ポリシーのリストから [アプリ構成] をクリックします。

  6. 構成するアプリの識別子を選択します。

  7. iOSアプリの場合、次のテキストを [辞書コンテンツ] に追加します:

    <dict>
        <key>IntuneMAMUPN</key>
        <string>${user.userprincipalname}</string>
    </dict>
    
  8. [ディクショナリをチェック] をクリックします。

  9. [次へ] をクリックします。

  10. [保存] をクリックします。

アプリとデバイスポリシーのデリバリーグループを構成する

  1. Endpoint Managementコンソールで、[構成]>[デリバリーグループ] の順にクリックします。

  2. [デリバリーグループ] ページで、[追加] をクリックします。[デリバリーグループ情報] ページが開きます。

  3. [デリバリーグループ情報] ページで、デリバリーグループの名前と(任意で)説明を入力します。[次へ] をクリックします。

  4. [割り当て] ページで、デリバリーグループの展開方法を指定します:[Endpoint Management使用]または [Citrix Cloud使用] を選択します。

    デリバリーグループ構成画面

  5. [Endpoint Management使用] を選択した場合:

    • ドメインを選択:一覧から、ユーザーを選択するドメインを選択します。
    • ユーザーグループを含める: 次のいずれかを行います:
      • ユーザーグループの一覧で、追加するグループを選択します。選択したグループが [選択したユーザーグループ] 一覧に表示されます。
      • [検索] をクリックして、選択したドメイン内のすべてのユーザーグループの一覧を表示します。
      • グループ名の全体または一部を検索ボックスに入力して [検索] をクリックし、ユーザーグループの一覧を絞り込みます。

      [選択したユーザーグループ] の一覧からユーザーグループを削除するには、次のいずれかを実行します:

      • [選択したユーザーグループ] の一覧で、削除する各グループの横にある [X] をクリックします。
      • [検索] をクリックして、選択したドメイン内のすべてのユーザーグループの一覧を表示します。一覧をスクロールし、削除する各グループのチェックボックスをオフにします。
      • グループ名の全体または一部を検索ボックスに入力して [検索] をクリックし、ユーザーグループの一覧を絞り込みます。一覧をスクロールし、削除する各グループのチェックボックスをオフにします。
  6. [次へ] をクリックします。

  7. [ポリシー] ページで、作成した制限ポリシーとアプリ構成ポリシーを左から右にドラッグします。[次へ] をクリックします。

  8. [アプリ] ページで、配信するアプリをページの左側から [必須アプリ] または [任意アプリ] にドラッグします。[次へ] をクリックします。

  9. 任意で、[メディア]ページ、[操作]ページ、[登録]ページの設定を構成します。または、各ページをデフォルトのままにして、[次へ]をクリックします。

  10. [概要] ページで、デリバリーグループの設定を確認し、[保存] をクリックしてデリバリーグループを作成します 。

EMSコンソールでアプリを公開する場合は、[アプリを管理対象にする] を選択します。監視されていないデバイスのユーザーは、アプリの管理を許可するよう求められます。ユーザーが要求を受け入れると、アプリはそのデバイスで管理対象となります。ユーザーが要求を拒否した場合、アプリはそのデバイスで利用できません。

Secure Mailを構成する

Secure Mailではさまざまな構成がサポートされます。オンプレミスのExchange Serverに接続しているSecure Mailは、Intune MAMコンテナにラップすることができます。Secure Mailは、ホストされているExchangeまたはOffice 365アカウントに接続できます。ただし、このリリースでは証明書ベースの認証はサポートされていないため、代わりにLDAPを使用してください。

重要:

Secure MailをMDXモードで使用するには、Citrix Endpoint Management MDM+MAMモードを使用する必要があります。

また、Secure Mailではユーザー名が自動的に入力されます。この機能を有効にするには、まず以下のカスタムポリシーを構成する必要があります。

  1. Endpoint Managementコンソールから、[設定] > [サーバープロパティ] の順に移動し、[追加] をクリックします。

  2. リストから [カスタムキー] をクリックし、[キー] フィールドに「xms.store.idpuser_attrs」を入力します。

  3. 値をtrueに設定し、[表示名] に「xms.store.idpuser_attrs」を入力します。[保存] をクリックします。

  4. [クライアントプロパティ] をクリックし、[追加] をクリックします。

  5. [カスタムキー] を選択し、[キー] フィールドに「SEND_LDAP_ATTRIBUTES」を入力します。

  6. [値] フィールドに「userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid}」を入力し、説明を入力して [保存] をクリックします。

    以下の手順は、iOSデバイスにのみ適用されます。

  7. [構成]>[デバイスポリシー] に移動して[追加]をクリックし、次に [アプリ構成] ポリシーを選択します。

  8. ポリシー名を入力し、[次へ] をクリックします。

    識別子リストで、[新規追加] をクリックします。表示されたテキストボックスに、Secure MailアプリのバンドルIDを入力します。

  9. [ディクショナリ] の内容ボックスに、次のテキストを入力します。

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key> userPrincipalName </ key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key> aadupn </ key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. [Windows Phone] および [Windowsデスクトップ/タブレット] チェックボックスをオフにして、[次へ] をクリックします。

  11. ポリシーを展開するユーザーグループを選択し、[保存] をクリックします。

トラブルシューティング

一般的な問題

問題: アプリを開くと、次のエラーメッセージが表示される:アプリのポリシーが必要です。

解決策: Microsoft Graph APIにポリシーを追加します。

問題: ポリシーの競合が発生する。

解決策: アプリに対して許可されるポリシーは、1つだけです。

問題: アプリが内部リソースに接続できない。

解決策: 正しいファイアウォールポートが開いているか、テナントIDが正しいかなどを確認してください。

Citrix Gatewayの問題

次の表は、Citrix Gatewayの構成における一般的な問題とその解決方法の一覧です。トラブルシューティングのために、取得するログの量を増やし、以下のことを行ってログを確認してください:

  1. コマンドラインインターフェイスから、次のコマンドを実行します: set audit syslogParams -logLevel ALL
  2. tail -f /var/log/ns.logを使用して、シェルからログを確認します
問題 解決策
Azureのゲートウェイアプリ用に設定する必要のある権限を使用できない。 適切なIntuneライセンスが利用可能かどうかを確認します。manage.windowsazure.comポータルを利用して、権限を追加できるかどうかを試してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
Citrix Gatewayがlogin.microsoftonline.comおよびgraph.windows.netに到達できない。 NSシェルから、次のMicrosoftのWebサイトにアクセスできるかどうかを確認します:curl -v -k https://login.microsoftonline.com。次に、Citrix GatewayでDNSが設定されているか、およびファイアウォールが正しく設定されているかを確認します(DNS要求がファイアウォールによってブロックされている可能性があるため)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthActionコマンドでOAuthのステータスが完了と表示されない。 DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

OAuthのエラーの状態とステータス

ステータス エラーの状態
COMPLETE 成功
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comがダウンしている、または到達不能
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのためトークンエンドポイント:https://login.microsoftonline.comと通信できない。この設定を検証するには、シェルを起動して「curl https://login.microsoftonline.com」を入力します。このコマンドは検証が必要です。

制限事項

以下は、Citrix Endpoint ManagementでMicrosoft EMS/Intuneを使用する場合の制限事項に関する項目です。

  • CitrixとIntuneの組み合わせで、マイクロVPNをサポートするアプリを展開する場合:ユーザーがダイジェストサイトにアクセスするためにユーザー名とパスワードを入力すると、資格情報が有効であってもエラーが表示される。 [CXM-25227]
  • 分割トンネル[オン] から [オフ] に変更した後で、その時点のゲートウェイセッションが期限切れになるのを待った場合:ユーザーが完全VPNモードで内部サイトを起動するまで、外部トラフィックがCitrix Gatewayを経由せずに直接通過する。 [CXM-34922]
  • [このアプリで開く]ポリシーの設定を、[管理対象アプリ] から [すべてのアプリ] に変更すると、Secure Mailを閉じて再起動するまで、非管理対象アプリでドキュメントを開けない。 [CXM-34990]
  • 完全VPNモードで分割トンネルが [オン] のときに、分割DNSをローカルからリモートに変更すると、内部サイトが読み込めない。 [CXM-35168]

既知の問題

mVPNポリシー「http/httpsリダイレクト(SSO使用)を有効化」がオフの場合、Secure Mailが機能しない。 [CXM-58886]

サードパーティの既知の問題

Secure Mail for Androidで、ユーザーが [イベントの新規作成] をタップしても新しいイベントの作成ページが表示されない。 [CXM-23917]

CitrixとIntuneの組み合わせでCitrix Secure Mail for iOSを配布して、マイクロVPNをサポートする場合:ユーザーがアプリをバックグラウンドに移動した際にSecure Mailの画面を不鮮明にするアプリポリシーが適用されない。 [CXM-25032]