Citrix Endpoint ManagementとMicrosoft Intune/EMSとの統合

Endpoint ManagementとMicrosoft Enterprise Mobility + Security(EMS)/Intuneとの統合により、Endpoint ManagementMicro VPNの価値がMicrosoft Managed BrowserなどのMicrosoft Intune対応アプリに追加されます。

また、Endpoint ManagementとEMS/Intuneとの統合により、企業ではIntuneとCitrixの組み合わせで独自のLOBアプリをラップし、Intuneのモバイルアプリ管理(MAM:Mobile Application Management)コンテナ内でMicro VPN機能を利用することが可能になります。Endpoint ManagementでMicro VPNを利用すると、ご利用のアプリでオンプレミスリソースにアクセスできるようになります。Office 365アプリ、LOBアプリ、Citrix Secure Mailを1つのコンテナで管理し配信することで、究極のセキュリティと生産性を実現できます。

このリリースでは、次のユースケースがサポートされます:

  • Intune MAM
  • Intune MAMおよびIntuneモバイルデバイス管理(MDM:Mobile Device Management)
  • Intune MAMとEndpoint Management MDM-only
  • Intune MAMとEndpoint Management MDMおよびMAM

    重要:

    このユースケースでは、Secure MailはMAMモードでのみ動作します。

入門ガイド

このドキュメントは、EMS/IntuneとEndpoint Managementとの統合を設定する方法について、画像付きで分かりやすく説明しています。

システム要件

  • Citrix Gatewayバージョン11.1.51.26以降。Citrix Gatewayの最新バージョンは、Citrix Gatewayダウンロードページからダウンロードすることもできます。
  • Windows 7以降を実行しているWindowsデスクトップ(Androidアプリのラッピングにのみ対応)
  • macOS 10.10以降を実行しているMac(iOSまたはAndroidアプリのラッピングに対応)
  • モバイルプラットフォーム:
    • iOS 10.x、11.x
    • Android 5.x、6.x、7.x、8.x

Microsoft

  • Azure ADアクセス(テナントの管理者特権あり)
  • Intune対応のテナント

ファイアウォールのルール

  • ファイアウォールのルールを有効にして、Citrix GatewayのサブネットIPから*.manage.microsoft.comhttps://login.microsoftonline.com、およびhttps://graph.windows.net(ポート53および443)に対するDNSおよびSSLのトラフィックを許可します。

前提条件

  • Intune環境: Intune環境が設定されていない場合は、Microsoftのドキュメントの手順を実施してください。
  • Intuneアプリラッパー: MicrosoftがGitHubのプライベートリポジトリにホストしているラッパーは、アクセスするために招待状が必要です。招待状を受け取ったら、GitHubのCitrixのページからラッパーをダウンロードします。
  • Managed Browser: Mobile Apps SDKは、iOSおよびAndroid用のIntune Managed Browserアプリに統合されています。Managed Browserの詳細については、MicrosoftのManaged Browserのページを参照してください。
  • Android SDKとJava JDKのインストール。アプリのラップに使用するマシンに、これらのSDKをインストールします。Intune SDKの詳細については、「Android用Microsoft Intune App SDKの開発者ガイド」を参照してください。
  • JDK環境変数。JDKの環境変数を設定して、JDKのパスが、お使いのJDKのバージョンとインストールされている場所に一致するように変更します。 例: $env:Path += ";C:\\Program Files\\Java\\jdk1.8.0\_121\\bin"
  • Citrix Cloudアカウント。Citrixアカウントを新規登録してCitrix Endpoint Managementのトライアルをリクエストするには、Citrixの営業担当者にお問い合わせください。準備が整い次第、https://onboarding.cloud.comにアクセスします。Citrix Cloudアカウントのリクエストについて詳しくは、「Citrix Cloudへの登録」を参照してください。注: 指定するメールは、Azure ADに関連付けられていないアドレスにする必要があります。任意のフリーメールのサービスを利用できます。
  • iOSのAPN証明書。iOSのAPN証明書を構成していることを確認します。この証明書の構成に関する詳細は、Citrixブログ:APN証明書の作成とインポートに関する記事を参照してください。
  • Google Play資格情報を構成します。Androidパブリックストアアプリを使用する予定の場合は、Google Playの資格情報を構成してください。資格情報の構成について詳しくは、「Google Play資格情報」を参照してください。
  • Azure ADとの同期。Azure ADとオンプレミスのActive Directoryの間で同期を設定します。AD同期ツールはドメインコントローラーマシンにはインストールしないでください。この同期設定の詳細については、Microsoftのドキュメント「オンプレミスのディレクトリとAzure Active Directoryの統合」を参照してください。

委任権限の要求に同意する

ユーザーの認証が必要な管理対象アプリの場合、アプリはMicrosoft Graphによって公開されているアプリの権限を要求します。これらの権限要求に同意することにより、アプリは必要なリソースとAPIにアクセスできます。Microsoft Azure ADのAzure ADグローバル管理者の同意が必要となるアプリもあります。これらの委任権限については、グローバル管理者はCitrix Cloudにトークンを要求する権限を与える必要があります。このトークンにより、以下の権限が有効になります。詳細については、「Microsoft Graphのアクセス許可のリファレンス」を参照してください。

  • サインインとユーザープロファイルの読み取り。この権限により、ユーザーはAzure ADにサインインして接続できるようになります。Citrixではユーザーの資格情報は確認しません。
  • すべてのユーザーの基本プロファイルの読み取り。組織のユーザーの代わりに、アプリがプロファイルのプロパティを読み取ります。プロパティには、組織のユーザーの表示名、姓名、メールアドレス、写真が含まれます。
  • すべてのグループの読み取り。この権限により、Azure ADグループを列挙してアプリとポリシーの割り当てを行うことができます。
  • ディレクトリに対するサインインしたユーザーと同じアクセス。この権限により、Intuneサブスクリプションを検証し、Citrix GatewayとVPNを設定できます。
  • Microsoft Intuneアプリの読み取りおよび書き込み。Microsoftが管理するプロパティ、グループ割り当て、アプリの状態、アプリの設定、およびアプリ保護ポリシーの読み取りと書き込みを、アプリが行えるようになります。

上記に加えて、Azure ADグローバル管理者は、Citrix Gatewayの設定時にMicro VPN用に選択されたActive Directoryを承認する必要があります。また、Citrix GatewayがAADおよびIntuneとの通信に使用するクライアントシークレットも生成する必要があります。

グローバル管理者は、Citrix管理者のロールを持っていてはいけません。代わりに、Citrix管理者は適切なIntuneアプリの管理者権限を持つユーザーにAzure ADアカウントを割り当てます。そうすることでIntune管理者は、Citrix Cloud管理者としてCitrix Cloud内からIntuneを管理します。

注:

Citrixはセットアップ時にのみIntuneグローバル管理者のパスワードを使用して、認証をMicrosoftにリダイレクトします。Citrixにはパスワードへのアクセス権限は一切ありません。

Endpoint ManagementとEMS/Intuneとの統合を構成する

  1. Citrix Cloudのサイトにログオンし、Endpoint Managementのトライアルをリクエストします。

  2. セールスエンジニアがオンボードに関する打ち合わせを調整します。当社のエンジニアに、Endpoint ManagementとEMS/Intuneとの統合が必要であることを伝えます。リクエストが承認されたら、[管理]をクリックします。

    Citrix Cloudのサイトの画像

  3. 最初の手順にあった [IDおよびアクセス管理] ページへのリンクを使って移動します。

    [IDおよびアクセス管理]へのリンクの画像

  4. 次のいずれかを行います:

    • [接続] をクリックして、Azure ADのインストール環境に接続します。
    • すでにAzure ADのインストール環境をフェデレーション済みである場合は、[アップグレード]をクリックします。

    [IDおよびアクセス管理]ページの画像

  5. Azure AD管理者がログオンに使用する一意のログオンURLを入力し、[接続]をクリックします。

    ログオンURL画面と[接続]ボタンの画像

  6. Azure ADグローバル管理者アカウントを追加し、権限要求を承諾します。

    [別のアカウントを使用する]ボタンの画像

    [承諾]ボタンの画像

  7. Azure ADインスタンスが正常に接続されていることを確認します。接続が成功したことは、[接続]ボタンの表示が [切断] に変わることで分かります。

    [切断]ボタンの画像

  8. [管理者] タブをクリックし、Azure AD Intune管理者をCitrix Cloud管理者として追加します。

    追加するとAzure AD Intune管理者にメールで招待状が送られます。招待状経由でパスワードを作成して、Citrix Cloudにサインインできます。管理者がサインインする前に、他のすべてのアカウントからサインアウトします。

    この手順の残りの作業は、Azure AD Intune管理者が続ける必要があります。

    Azure AD Intune管理者の招待オプションの画像

    確認画面の画像

  9. 新しいアカウントでサインインした後、[Endpoint Management][管理] をクリックします。すべてが正しく設定されていれば、ページにはAzure AD管理者がサインインしていること、およびIntuneサブスクリプションが有効であることが表示されます。

    Endpoint Managementの[管理]オプションの画像

ビデオヘルプ

このビデオでは、手順に沿ってEndpoint ManagementとIntune/EMSを統合する方法をご覧いただけます。

ビデオアイコン

Citrix GatewayでMicro VPNが利用できるように設定する

IntuneでMicro VPNを使用するには、Citrix GatewayでAzure Active Directoryが認証されるように設定する必要があります。このユースケースでは、既存のCitrix Gateway仮想サーバーは利用できません。

まず、Azure ADがオンプレミスのActive Directoryと同期するように設定します。この手順は、IntuneとCitrix Gatewayとの間の認証を適切に行うために必要です。

Active Directoryの同期を説明する図の画像

  1. Citrix Cloudコンソールの [Endpoint Management] タイルで、[管理] をクリックします。

  2. [Micro VPN] の横にある [Micro VPNを設定] をクリックします。

    [Micro VPNを設定]ボタンの画像

  3. Micro VPNサービスの名前とCitrix Gatewayの外部URLを入力し、[次へ] をクリックします。

    このスクリプトにより、Citrix GatewayがAzure ADとIntuneアプリをサポートするように設定されます。

    Citrix Gatewayの詳細ページの画像

  4. [スクリプトのダウンロード] をクリックします。.zipファイルには、スクリプトの実行に関する説明付きのreadmeが同梱されています。保存してここで終了することもできますが、Citrix Gatewayのインストール環境でスクリプトを実行するまで、Micro VPNの設定は完了しません。

    [スクリプトのダウンロード]ボタンの画像

    注: Citrix Gatewayの設定プロセスが終了した後にCOMPLETE以外のOAuthステータスが表示されている場合は、「トラブルシューティング」のセクションを参照してください。

デバイス管理を設定する

アプリだけでなくデバイスも管理する場合は、デバイス管理の方法を選択します。Endpoint Management MDMまたはIntune MDMを使用できます。

注: デフォルトでは、Intune MDMがコンソール用に選択されています。IntuneをMDMプロバイダーとして使用するには、Microsoftのドキュメントの「モバイルデバイス管理機関の設定」を実施してください。

  1. Citrix Cloudコンソールの[Endpoint ManagementとEMS/Intuneとの統合]で、[管理] をクリックします。[デバイス管理 - オプション] の横にある [MDMの構成] をクリックします。

    MDMの構成画面の画像

  2. 一意のサイト名を入力し、最も近い場所のクラウドリージョンを選択してから 「サイトを要求」 をクリックします。サイトの準備が整うと、その通知メールの受信をプロンプトが知らせてくれます。

    一意のサイト名のページの画像

    サイトの要求確認の画像

  3. [OK] をクリックしてページを閉じます。Active Directoryの場所を選択してサイトに関連付けるか、リソースの場所を作成してから [次へ] をクリックします。

    Active Directoryの場所オプションの画像

    新しいリソースの場所を作成するオプションの画像

  4. [Cloud Connectorをダウンロード] をクリックし、画面の指示に従ってCloud Connectorをインストールします。インストールが終わったら、[接続のテスト] をクリックして、Citrix CloudとCloud Connectorとの間の接続を確認します。

    [Cloud Connectorをダウンロード]オプションの画像

    [接続のテスト]オプションの画像

  5. [保存して終了] をクリックして終了します。リソースの場所が表示されます。[完了] をクリックすると、設定画面に戻ります。

    [保存して終了]画面の画像

  6. これで、サイトのタイルからEndpoint Managementコンソールにアクセスできるようになりました。ここから、MDM管理タスクを実行してデバイスポリシーを割り当てることができます。デバイスポリシーについて詳しくは、「デバイスポリシー」を参照してください。

    サイトの管理画面の画像

iOSアプリのラップ

IntuneアプリのラッピングツールはMicrosoftにより機能が強化され、オプションのパラメーターに「-citrix」が追加されました。このパラメーターによって、処理の最後でMDX Toolkitのコマンドラインインターフェイス(CLI)であるCGAppCLPrepToolが呼び出され、アプリがラップされます。Intuneでアプリをラップする方法については、「基幹業務アプリをMAM用に準備する」の手順を実施してください。

重要: 本記事からリンクされているラッピングツールは使用せず、このリリース用に提供されているラッピングツールを使用してください。

MDXオプションは複数あります。MDXの各バリエーションの説明については、以下のリストを参照してください。

  • MDXネットワーク専用ラッパー: Intune MDM、Intune MAM、またはMDM-onlyのEndpoint Managementだけが、このラッパーを管理できます。Intuneアプリラッピングツールを使用してアプリをラップし、「-citrix」オプションを指定します。このラッパーはコンテナ化や暗号化は行わず、Micro VPNのみをサポートするMDXの最小バージョンです。
  • MDXラッパー: コンテナ化などの、他の種類のポリシーをサポートします。暗号化はサポートされません。アプリをIntuneアプリラッピングツールでラップしたあとに、MDX Toolkitでラップします。
  • Citrix Mobile Apps SDK: アプリの開発に、暗号化を含むすべてのMDX機能にアクセスできるCitrix Mobile Apps SDKを使用します。

iOSアプリの構築時は、Citrix Mobile Apps SDKフレームワークとIntune SDKフレームワークをリンクすれば上記と同じになります。Citrix Mobile Apps SDKおよびIntune SDKの詳細については、「MDX開発者ガイド」と「Intune App SDKの概要」をそれぞれ参照してください。

コンテナ化やネットワーキングの目的でIntune SDKを使用するユーザーのLOBアプリ。

ユースケースの例 Intune Citrix MDX
コンテナ化やネットワーキングを必要とする、Intune SDKを使用するユーザーのLOBアプリ。 Intune SDK MDXネットワーク専用ラッパー
コンテナ化とネットワーキングの機能を必要とするCitrix業務用モバイルアプリまたはLOBアプリ。 Intune SDK CitrixモバイルアプリSDK
ネットワーク専用ラッパーをLOBアプリで使用。 Intuneラッパー MDXネットワーク専用ラッパー
Microsoft Managed Browserを使用。 Intune SDKはアプリに組み込み済み MDXネットワーク専用サポートはアプリに組み込み済み

Androidアプリのラップ

Androidアプリのラップは、iOSの場合と同様に動作します。Androidアプリのラップに使用するツールは、ManagedAppUtility.jarです。ManagedAppUtility.jarを使用すると、フルバージョンまたはネットワーク専用バージョンのMDXでアプリをラップすることができます。ネットワーク専用ラッパーを使用するには、「-mVPN」パラメーターを使用します。

各バリエーションのラップの使用例については、次の表を参照してください。

Androidでのラップのシナリオ

ユースケースの例 Intune Citrix MDX
Microsoft Managed Browser Intune SDK MDXネットワーク専用ラッパー
Citrix業務用モバイルアプリ Intune SDK Citrix業務用モバイルアプリにMDXを使用
ネットワーク専用ラッパーをLOBアプリで使用。 Intuneラッパー MDXネットワーク専用ラッパー

Endpoint ManagementとEMS/Intuneコンソールとの統合にアプリを追加する

Intune管理対象アプリを追加するには、次の手順を実行します。

  1. Citrix Cloudコンソールでメニューアイコンをクリックし、[ライブラリ]をクリックします。

    Citrix Cloudライブラリのページの画像

  2. 右上にある青色のプラス記号のアイコンをクリックし、[モバイルアプリを追加]をクリックします。

    オプションがリストに入力されるまでしばらくかかる場合があります。

    [モバイルアプリを追加]オプションの画像

  3. カスタマイズするアプリテンプレートを選択するか、[独自のアプリをテンプレートに追加する]をクリックします。Citrixでは既製のアプリテンプレートを提供しており、それぞれのテンプレートには事前に設定済みの、デフォルトのポリシーセットが付属します。ユーザーがアップロードするアプリの場合は、次のポリシーが適用されます:

    • MDXファイル: このファイルには、パッケージに含まれるIntuneアプリ保護ポリシーおよびデフォルトのMDXポリシーなどの、MDXでラップされたアプリが含まれます。また、バンドルIDまたはパッケージIDと一致するIntuneアプリ保護ポリシーおよびデフォルトのMDXポリシーなどの、パブリックストアアプリが含まれます。
    • IPAファイル。Intuneアプリ保護ポリシー。
    • APKファイル。Intuneアプリ保護ポリシー。

      注: アプリがIntuneでラップされていない場合、Intuneアプリ保護ポリシーは適用されません。

  4. 次のポリシーを新たに設定します。

    構成するポリシーの画像

  5. [独自のアプリをテンプレートに追加する] をクリックした場合は、.mdxファイルまたはIntuneでラップされたファイルをアップロードします。

    ラップされた独自ファイルのアップロード画面の画像

  6. アプリの名前と説明を入力し、アプリを推奨にするか、または必須にするかを選択して [次へ] をクリックします。

  7. Micro VPNを許可するかどうかを選択します。Micro VPNを許可すると、アプリはオンプレミスのリソースにアクセスできます。

  8. Micro VPNを許可する場合は、推奨設定を適用するか、独自の設定を選択することができます。ポリシーは次のとおりです:

    • SSOを使用するWebトラフィックをMicro VPNでリダイレクトする: ユーザーにSecure Browseを使用させるには、[True]を選択します。
    • Micro VPNセッションが必要: アプリのオンラインセッションを有効にする必要がある場合は、[True]を選択します。
    • ドメインを除外: Micro VPNポリシーから除外するドメインをコンマで区切って入力します。
    • TCPリダイレクトを無効にする: 完全VPNをオフにする場合は、[有効]を選択します。

    これらのポリシーについて詳しくは、「MDXポリシー」を参照してください。

    Micro VPNポリシー画面の画像

  9. 他のアプリのポリシーも構成し、[次へ]をクリックします。アプリポリシーの一覧については、「MDXポリシーの概要」を参照してください。

    アプリポリシーの画像

    注: これらすべてのポリシーを利用できるわけではありません。

  10. 構成が必要な展開ポリシーはありません。[次へ] をクリックします。

    展開ポリシーセクションの画像

  11. アプリの概要を確認し、[完了]をクリックします。

    このアプリ設定には数分かかる場合があります。処理が完了すると、アプリがライブラリに公開されたことを示すメッセージが表示されます。

    [完了]ボタンの画像

  12. ユーザーグループをアプリに割り当てるには、[ユーザーを割り当てる]をクリックします。

    [ユーザーを割り当てる]オプションの画像

  13. [利用者の追加] リストから、AADインスタンスを選択します。次に、検索ボックスでユーザーグループを検索し、クリックで追加します。ユーザーを個別に追加することはできません。

    [利用者の追加]オプションの画像

  14. 追加したグループは保留中ステータスになったあと、準備完了ステータスに移行します。すべてのグループを追加し準備が完了したら、[X]をクリックしてウィンドウを閉じることができます。

    保留ステータスの画像

    準備完了ステータスの画像

    ユーザーグループを追加するときにエラーが発生することがあります。このエラーは、ユーザーグループがローカル環境のActive Directoryに同期されていない場合に発生します。

MDXポリシー

アプリをMDXテクノロジでラップする場合やCitrix Mobile Apps SDKを使用してアプリを構築する場合、Intune管理者はMDXポリシーを構成できます。これらのポリシーには、アプリの管理にSecure Hubを必要としないCitrix MDXポリシーのサブセットが含まれています。次のMDXポリシーを使用することをお勧めします。

Intuneで管理している場合は、次のIntune固有のネットワーク管理ポリシーのセットによって、MDX(フルまたはネットワーク専用)のネットワークポリシー構成を制御します。これらのポリシーの一部は、既存のCitrix MDXネットワークコンテナ化ポリシーに対応しています。それ以外はIntuneの設定および制御専用のポリシーです。

  • MvpnGatewayAddress。アプリが使用するゲートウェイの、パブリックに解決可能な完全修飾ドメイン名(FQDN)のアドレスです。デフォルト値は空です。特定の企業用ゲートウェイを介したトンネリングを有効にするには、このパラメータを対象のゲートウェイアドレスに設定します。このアドレスは、ゲートウェイのパブリック向けアドレスのFQDNをhttps://mygateway.domain.comの形式で表したものです。これは名前リソースIDとベースURLとして、Azureでのゲートウェイアプリの登録時に使用されます。ネットワークリダイレクトが有効になるようにこのパラメーターを設定する必要があります。空のままにしておくと、企業用ゲートウェイ経由のMicro VPNネットワークのリダイレクトが無効になります。
  • MvpnRedirectWebTrafficWithSSO。Citrix GatewayのリバースWebプロキシエンドポイント(Secure Browseとも呼ばれます)を介したリダイレクトによるHTTP/HTTPSのインターセプトを有効または無効にします。Trueの場合、WebトラフィックにSecure Browseが使用されます。Secure Browseエンドポイントを使用する場合、ゲートウェイはHTTP認証チャレンジにインラインで対応可能なため、シングルサインオン(SSO)を利用できる環境を実現できます。デフォルト値はTrueです。相互認証でのエンドツーエンドSSLにクライアント証明書を使用するアプリでは、フルトンネルリダイレクトが必要となります。そのようなアプリの場合は、このオプションを無効にする必要があります。
  • MvpnSessionRequired。Trueの場合は、設定されたゲートウェイに到達可能なこと、および有効なMicro VPNセッションを利用できる状態であることをSDKが確認したうえで、アプリがアクティブ化されます。ネットワークがない場合、ゲートウェイに到達できないか、またはログオンセッションを確立することができません。アプリはMicro VPNセッションが動作していることを確認できるまでブロックされた状態になります。Falseの場合、アプリはネットワークの状態に関係なくオープンされます。トンネル化されたアクセスができるように構成されたアプリが、リダイレクトされたネットワークAPIのいずれかを使用しようとすると、必要に応じてMicro VPNセッションが初期化されます。デフォルト値はFalseです。
  • MvpnExcludeDomains。Citrix GatewayリバースWebプロキシを介したルーティングの対象から除外するホスト名、またはドメイン名のカンマ区切りのリストです。ゲートウェイにスプリットDNS設定が構成されていた場合でも、構成されていなければ選択してしまう可能性のあるホスト名またはドメイン名は除外されます。

    注: このポリシーは、Secure Browseによる接続に対してのみ適用されます。MvpnRedirectWebTrafficWithSSOがFalseの場合、このポリシーは無視されます。

  • MvpnDisableTcpRedirect。Citrix Gateway VPNトンネリングエンドポイントを介したTCPレベルの、ネットワークレベルでのリダイレクトを有効または無効にします。通常は、このポリシーは有効のままにしておきます。ただし多くの場合、標準的なWebインターセプト機能が捕捉しないようなTCPレベルでのWebトラフィックのインターセプトを防止すると、Web SSOに関連する問題のトラブルシューティングが容易になります。

これらのポリシーについて詳しくは、「iOSアプリのXenMobile MDXポリシー」を参照してください。

LOBアプリのポリシーを展開する

Intuneにアプリをアップロードしたら、以下の手順に沿ってそれらのアプリにポリシーを適用します。

  1. https://portal.azure.com/にサインインし、[Intune] > [モバイルアプリ] の順に移動します。
  2. [管理][アプリ構成ポリシー] をクリックします。
  3. [追加] をクリックし、作成するポリシーの名前を入力します。[登録タイプ] で、[Intuneに登録しない] を選択します。これを選択すると現在のシステムに制限がかかります。
  4. [関連付けされたアプリ] をクリックし、ポリシーを適用するアプリを選択したら [OK] をクリックします。
  5. [構成設定] をクリックします。
  6. [名前] フィールドに、本記事の次のセクションで説明されているポリシーの名前を1つ入力します。
  7. [値] フィールドに、対象のポリシーに適用する値を入力します。フィールドの外をクリックすると、ポリシーがリストに追加されます。ポリシーは複数追加できます。
  8. [OK] をクリックしてから [追加] をクリックします。ポリシーのリストにポリシーが追加されます。
  9. ポリシーは削除できます。削除するには、対象のポリシーを選択してから右側の [ポリシーの削除] をクリックします。

基幹業務用ポリシー

次の表は、LOBアプリに展開できるポリシーの一覧です。これらのポリシーだけでなく、本記事で前述したMDXポリシーを使用することもできます。これらのポリシーについて詳しくは、「MDXポリシーの概要」を参照してください。

名前(iOSまたはAndroid) 説明
AppLogLevel/DefaultLoggerLevel 業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。番号のレベルが高いほど、より詳細なログが含まれます。 1~5
AppLogTarget/DefaultLoggerOut デフォルトで、業務用モバイルアプリ診断ログファシリティによってどの出力媒体が使用されるかを決定します。 ファイル、コンソール、または両方
AppLogFileSize/MaxLogFileSize ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。 1~5
AppLogFileCount/MaxLogFiles ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小は2です。最大は8です。 2~8

Secure Mailを構成する

Secure Mailではさまざまな構成がサポートされます。オンプレミスのExchange Serverに接続しているSecure Mailは、Intune MAMコンテナにラップすることができます。Secure Mailは、ホストされているExchangeまたはOffice 365アカウントに接続できます。ただし、このリリースでは証明書ベースの認証はサポートされていないため、代わりにLDAPを使用してください。

重要:

Secure MailをMDMモードで使用するには、Citrix Endpoint Management MDMおよびMAMモードを使用する必要があります。

また、Secure Mailではユーザー名が自動的に入力されます。この機能を有効にするには、まず以下のカスタムポリシーを構成する必要があります。

  1. Endpoint Managementコンソールから、[設定] > [サーバープロパティ]の順に移動し、[追加]をクリックします。

  2. リストから [カスタムキー] をクリックし、[キー] フィールドに「xms.store.idpuser\_attrs」を入力します。

  3. 値をtrue に設定し、[表示名] に「xms.store.idpuser\_attrs」を入力します。[Save] をクリックします。

  4. [クライアントプロパティ] をクリックし、[追加]をクリックします。

  5. [カスタムキー] を選択し、[キー]フィールドに「SEND_LDAP_ATTRIBUTES」を入力します。

  6. [値] フィールドに「*userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id\_token.upn},aadtid=${user.id\_token.tid}」を入力し、説明を入力して [保存] をクリックします。

    以下の手順は、iOSデバイスにのみ適用されます。

  7. [構成]>[デバイスポリシー] に移動して[追加]をクリックし、次に [アプリ構成] ポリシーを選択します。

  8. ポリシー名を入力し、[次へ]をクリックします。

    識別子リストで、[新規追加]をクリックします。表示されたテキストボックスに、Secure MailアプリのバンドルIDを入力します。

  9. [ディクショナリ] の内容ボックスに、次のテキストを入力します。

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key> userPrincipalName </ key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key> aadupn </ key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. [Windows Phone] および [Windowsデスクトップ/タブレット] のチェックボックスをオフにして、[次へ] をクリックします。

  11. ポリシーを展開するユーザーグループを選択し、[保存] をクリックします。

トラブルシューティング

一般的な問題

問題: アプリを開くと、次のエラーメッセージが表示される:アプリのポリシーが必要です。

解決策: Microsoft Graph APIにポリシーを追加します。

問題: ポリシーの競合が発生する。

解決策: アプリに対して許可されるポリシーは、1つだけです。

問題: アプリをラップすると、次のエラーが表示される:

Failed to package app.

com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated.

com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113)

com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198)

com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56)

The application could not be wrapped.

解決策: 対象のアプリはIntune SDKと統合されています。Intuneラッパーでアプリをラップする必要はありません。

問題: アプリが内部リソースに接続できない。

解決策: ファイアウォールで正しいポートが開いていることの確認やテナントIDの修正などを行って下さい。

Citrix Gatewayの問題

次の表は、Citrix Gatewayの構成における一般的な問題とその解決方法の一覧です。トラブルシューティングのために、取得するログの量を増やし、以下のことを行ってログを確認してください:

  1. コマンドラインインターフェイスから、次のコマンドを実行します: set audit syslogParams -logLevel ALL
  2. シェルから、次を使用してログを確認します:tail -f /var/log/ns.log
問題 解決策
Azureのゲートウェイアプリ用に設定する必要のある権限を使用できない。 適切なIntuneライセンスが利用可能かどうかを確認します。manage.windowsazure.comポータルを利用して、権限を追加できるかどうかを試してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
Citrix Gatewayがlogin.microsoftonline.comおよびgraph.windows.netに到達できない。 NSシェルから、次のMicrosoftのWebサイトにアクセスできるかどうかを確認します:curl -v -k https://login.microsoftonline.com。次に、Citrix GatewayでDNSが設定されているか、およびファイアウォールが正しく設定されているかを確認します(DNS要求がファイアウォールによってブロックされている可能性があるため)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthActionコマンドでOAuthのステータスが完了と表示されない。 DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

OAuthのエラーの状態とステータス

ステータス エラーの状態
COMPLETE 正常
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comがダウンしている、または到達不能
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのためトークンエンドポイント:https://login.microsoftonline.comと通信できない。この設定を検証するには、シェルを起動して「curl https://login.microsoftonline.com」を入力します。このコマンドは検証が必要です。

既知の問題

CitrixとIntuneの組み合わせで、Micro VPNをサポートするアプリを展開する場合:ユーザーがダイジェストサイトにアクセスするためにユーザー名とパスワードを入力すると、資格情報が有効であってもエラーが表示される。[CXM-25227]

分割トンネルを [オン] から [オフ] に変更した後で、その時点のゲートウェイセッションが期限切れになるのを待った場合:ユーザーが完全VPNモードで内部サイトを起動するまで、外部トラフィックがCitrix Gatewayを経由せずに直接通過する。[CXM-34922]

[このアプリで開く]ポリシーの設定を、[管理対象アプリ] から [すべてのアプリ] に変更すると、Secure Mailを閉じて再起動するまで、非管理対象アプリでドキュメントを開けない。[CXM-34990]

完全VPNモードで分割トンネルが [オン] のときに、分割DNSをローカルからリモートに変更すると、内部サイトが読み込めない。[CXM-35168]

サードパーティの既知の問題

Secure Mail for Androidで、ユーザーが [イベントの新規作成] をタップしても新しいイベントの作成ページが表示されない。[CXM-23917]

CitrixとIntuneの組み合わせでCitrix Secure Mail for iOSを配布して、Micro VPNをサポートする場合:ユーザーがアプリをバックグラウンドに移動した際にSecure Mailの画面を不鮮明にするアプリポリシーが適用されない。[CXM-25032]

ユーザーがIntune MDM+MAMで初めてSecure Mailを実行すると、ワークフローを通じてIntune MAMまたはEndpoint Managementを選択するようセットアッププログラムから求められる。[CXM-31272]