Citrix Endpoint ManagementとMicrosoft Intune/EMSとの統合

Endpoint ManagementとMicrosoft Enterprise Mobility + Security(EMS)/Intuneとの統合により、Endpoint ManagementMicro VPNの価値がMicrosoft Managed BrowserなどのMicrosoft Intune対応アプリに追加されます。

また、Endpoint ManagementとEMS/Intuneとの統合により、企業ではIntuneとCitrixの組み合わせで独自のLOBアプリをラップし、Intuneのモバイルアプリ管理(MAM:Mobile Application Management)コンテナ内でMicro VPN機能を利用することが可能になります。Endpoint ManagementでMicro VPNを利用すると、ご利用のアプリでオンプレミスリソースにアクセスできるようになります。Office 365アプリ、LOBアプリ、Citrix Secure Mailを1つのコンテナで管理し配信することで、究極のセキュリティと生産性を実現できます。

このリリースでは、次のユースケースがサポートされます:

  • Intune MAM
  • Intune MAMおよびIntuneモバイルデバイス管理(MDM:Mobile Device Management)
  • Intune MAMとEndpoint Management MDM+MAM

    重要:

    このユースケースでは、Secure MailはMAMモードでのみ動作します。

入門ガイド

このドキュメントは、EMS/IntuneとEndpoint Managementとの統合を設定する方法について、画像付きで分かりやすく説明しています。

システム要件

  • Citrix Gatewayバージョン12.0.59.xまたは12.1.50.x以降。Citrix Gatewayの最新バージョンは、Citrix Gatewayダウンロードページからダウンロードすることもできます。
  • Windows 7以降を実行しているWindowsデスクトップ(Androidアプリのラッピングにのみ対応)
  • macOS 10.10以降を実行しているMac(iOSまたはAndroidアプリのラッピングに対応)
  • モバイルプラットフォーム:
    • iOS 11.x
    • Android 6.x、7.x、8.x

Microsoft

  • Azure ADアクセス(テナントの管理者特権あり)
  • Intune対応のテナント

ファイアウォールのルール

  • ファイアウォールのルールを有効にして、Citrix GatewayのサブネットIPから*.manage.microsoft.comhttps://login.microsoftonline.com、およびhttps://graph.windows.net(ポート53および443)に対するDNSおよびSSLのトラフィックを許可します。

前提条件

  • Intune環境: Intune環境が設定されていない場合は、Microsoft社のドキュメントの手順を実施してください。
  • Intuneアプリラッパー: MicrosoftがGitHubのプライベートリポジトリにホストしているラッパーは、アクセスするために招待状が必要です。招待状を受け取ったら、Microsoftのページからラッパーをダウンロードします。ラッパーをダウンロードするためのリンクは、Microsoft Intune App SDKのドキュメントから入手できます。
  • Managed Browser: Mobile Apps SDKは、iOSおよびAndroid用のIntune Managed Browserアプリに統合されています。Managed Browserについて詳しくは、MicrosoftのManaged Browserのページを参照してください。
  • Android SDKとJava JDKのインストール。アプリのラップに使用するマシンに、これらのSDKをインストールします。Intune SDKについて詳しくは、Android開発者向けのMicrosoft Intune App SDKを参照してください。
  • JDK環境変数。JDKの環境変数を設定して、JDKのパスが、お使いのJDKのバージョンとインストールされている場所に一致するように変更します。 例: $env:Path += ";C:\\Program Files\\Java\\jdk1.8.0_121\\bin"
  • Citrix Cloudアカウント。Citrixアカウントを新規登録してCitrix Endpoint Managementのトライアルをリクエストするには、Citrixの営業担当者にお問い合わせください。オンボードの準備が整ったら、https://onboarding.cloud.comにアクセスします。Citrix Cloudアカウントのリクエストについて詳しくは、「Citrix Cloudへの登録」を参照してください。

    注:

    指定するメールは、Azure ADに関連付けられていないアドレスにする必要があります。任意のフリーメールのサービスを利用できます。

  • iOSのAPN証明書。iOSのAPN証明書を構成していることを確認します。この証明書の構成に関する詳細は、Citrixブログ:APN証明書の作成とインポートに関する記事を参照してください。
  • Azure ADとの同期。Azure ADとオンプレミスのActive Directoryの間で同期を設定します。AD同期ツールはドメインコントローラーマシンにはインストールしないでください。この同期の設定について詳しくは、Microsoft社のドキュメントIntegrate your on-premises directories with Azure Active Directoryを参照してください。

委任権限の要求に同意する

ユーザーの認証が必要な管理対象アプリの場合、アプリはMicrosoft Graphによって公開されているアプリの権限を要求します。これらの権限要求に同意することにより、アプリは必要なリソースとAPIにアクセスできます。Microsoft Azure ADのAzure ADグローバル管理者の同意が必要となるアプリもあります。これらの委任権限については、グローバル管理者はCitrix Cloudにトークンを要求する権限を与える必要があります。このトークンにより、以下の権限が有効になります。詳しくは、Microsoft Graph permissions referenceを参照してください。

  • サインインとユーザープロファイルの読み取り。この権限により、ユーザーはAzure ADにサインインして接続できるようになります。Citrixではユーザーの資格情報は確認しません。
  • すべてのユーザーの基本プロファイルの読み取り。組織のユーザーの代わりに、アプリがプロファイルのプロパティを読み取ります。プロパティには、組織のユーザーの表示名、姓名、メールアドレス、写真が含まれます。
  • すべてのグループの読み取り。この権限により、Azure ADグループを列挙してアプリとポリシーの割り当てを行うことができます。
  • ディレクトリに対するサインインしたユーザーと同じアクセス。この権限により、Intuneサブスクリプションを検証し、Citrix GatewayとVPNを設定できます。
  • Microsoft Intuneアプリの読み取りおよび書き込み。Microsoftが管理するプロパティ、グループ割り当て、アプリの状態、アプリの設定、およびアプリ保護ポリシーの読み取りと書き込みを、アプリが行えるようになります。

上記に加えて、Azure ADグローバル管理者は、Citrix Gatewayの設定時にMicro VPN用に選択されたActive Directoryを承認する必要があります。また、Citrix GatewayがAADおよびIntuneとの通信に使用するクライアントシークレットも生成する必要があります。

グローバル管理者がCitrix管理者の役割を持つことはできません。代わりに、Citrix管理者は適切なIntuneアプリの管理者権限を持つユーザーにAzure ADアカウントを割り当てます。そうすることでIntune管理者は、Citrix Cloud管理者としてCitrix Cloud内からIntuneを管理します。

注:

Citrixはセットアップ時にのみIntuneグローバル管理者のパスワードを使用して、認証をMicrosoftにリダイレクトします。Citrixにはパスワードへのアクセス権限は一切ありません。

Endpoint ManagementとEMS/Intuneとの統合を構成する

  1. Citrix Cloudのサイトにログオンし、Endpoint Managementのトライアルをリクエストします。

  2. セールスエンジニアがオンボードに関する打ち合わせを調整します。当社のエンジニアに、Endpoint ManagementとEMS/Intuneとの統合が必要であることを伝えます。リクエストが承認されたら、[管理] をクリックします。

    Citrix Cloudのサイトの画像

  3. サイトの右上の歯車をクリックして、[Configure Site] を選択できます。

    Citrix Cloudのサイトの画像

  4. 最初の手順にあった [IDおよびアクセス管理] ページへのリンクを使って移動します。

    [IDおよびアクセス管理]へのリンクの画像

  5. [接続] をクリックして、Azure ADのインストール環境に接続します。

    [IDおよびアクセス管理]ページの画像

  6. Azure AD管理者がログオンに使用する一意のログオンURLを入力し、[確認] をクリックします。

    ログオンURL画面と[接続]ボタンの画像

  7. Azure ADグローバル管理者アカウントを追加し、権限要求を承諾します。

    [別のアカウントを使用する]ボタンの画像

    [承諾]ボタンの画像

  8. Azure ADインスタンスが正常に接続されていることを確認します。接続が成功したことは、[接続されていません] ボタンの表示が [有効] に変わることで分かります。

    [切断]ボタンの画像

  9. [管理者] タブをクリックし、Azure AD Intune管理者をCitrix Cloud管理者として追加します。ドロップダウンメニューから[Azure AD]または[Citrix ID]を選択し、追加するユーザー名を検索します。[招待] 選択してユーザーに [フルアクセス] または [カスタムアクセス] を許可してから [招待を送信する] をクリックします。

    注:

    Endpoint Managementでは、カスタムアクセスに関する次の規則が必要です:ライブラリおよびCitrix Endpoint Management。

    追加するとAzure AD Intune管理者にメールで招待状が送られます。招待状経由でパスワードを作成して、Citrix Cloudにサインインできます。管理者がサインインする前に、他のすべてのアカウントからサインアウトします。

    この手順の残りの作業は、Azure AD Intune管理者が続ける必要があります。

    Azure AD Intune管理者の招待オプションの画像

    確認画面の画像

  10. 新しいアカウントでサインインした後、[Endpoint Management][管理] をクリックします。すべてが正しく設定されていれば、ページにはAzure AD管理者がサインインしていること、およびIntuneサブスクリプションが有効であることが表示されます。

    Endpoint Managementの[管理]オプションの画像

ビデオヘルプ

このビデオでは、手順に沿ってEndpoint ManagementとIntune/EMSを統合する方法をご覧いただけます。

ビデオアイコン

Citrix GatewayでMicro VPNが利用できるように設定する

IntuneでMicro VPNを使用するには、Citrix GatewayでAzure Active Directoryが認証されるように設定する必要があります。このユースケースでは、既存のCitrix Gateway仮想サーバーは利用できません。

まず、Azure ADがオンプレミスのActive Directoryと同期するように設定します。この手順は、IntuneとCitrix Gatewayとの間の認証を適切に行うために必要です。

Active Directoryの同期を説明する図の画像

  1. Citrix Cloudコンソールの [Endpoint Management] タイルで、[管理] をクリックします。

  2. [Micro VPN] の横にある [Micro VPNを設定] をクリックします。

    [Micro VPNを設定]ボタンの画像

  3. Micro VPNサービスの名前とCitrix Gatewayの外部URLを入力し、[次へ] をクリックします。

    このスクリプトにより、Citrix GatewayがAzure ADとIntuneアプリをサポートするように設定されます。

    Citrix Gatewayの詳細ページの画像

  4. [スクリプトのダウンロード] をクリックします。.zipファイルには、スクリプトの実行に関する説明付きのreadmeが同梱されています。保存してここで終了することもできますが、Citrix Gatewayのインストール環境でスクリプトを実行するまで、Micro VPNの設定は完了しません。

    [スクリプトのダウンロード]ボタンの画像

    注:

    Citrix Gatewayの設定プロセスが終了した後にCOMPLETE以外のOAuthステータスが表示されている場合は、「トラブルシューティング」のセクションを参照してください。

デバイス管理を設定する

アプリだけでなくデバイスも管理する場合は、デバイス管理の方法を選択します。Endpoint Management MDM+MAMまたはIntune MDMを使用できます。

注:

デフォルトでは、Intune MDMがコンソール用に選択されています。IntuneをMDMプロバイダーとして使用するには、Microsoftのドキュメントの「モバイルデバイス管理機関の設定」を実施してください。

  1. Citrix Cloudコンソールの[Endpoint ManagementとEMS/Intuneとの統合]で、[管理] をクリックします。[デバイス管理 - オプション] の横にある [MDMの構成] をクリックします。

    MDMの構成画面の画像

  2. 一意のサイト名を入力し、最も近い場所のクラウドリージョンを選択してから 「サイトを要求」 をクリックします。サイトの準備が整うと、その通知メールの受信をプロンプトが知らせてくれます。

    一意のサイト名のページの画像

    サイトの要求確認の画像

  3. [OK] をクリックしてページを閉じます。Active Directoryの場所を選択してサイトに関連付けるか、リソースの場所を作成してから [次へ] をクリックします。

    Active Directoryの場所オプションの画像

    新しいリソースの場所を作成するオプションの画像

  4. [Cloud Connectorをダウンロード] をクリックし、画面の指示に従ってCloud Connectorをインストールします。インストールが終わったら、[接続のテスト] をクリックして、Citrix CloudとCloud Connectorとの間の接続を確認します。

    [Cloud Connectorをダウンロード]オプションの画像

    [接続のテスト]オプションの画像

  5. [保存して終了] をクリックして終了します。リソースの場所が表示されます。[完了] をクリックすると、設定画面に戻ります。

    [保存して終了]画面の画像

  6. これで、サイトのタイルからEndpoint Managementコンソールにアクセスできるようになりました。ここから、MDM管理タスクを実行してデバイスポリシーを割り当てることができます。デバイスポリシーについて詳しくは、「デバイスポリシー」を参照してください。

    サイトの管理画面の画像

iOSアプリのラップ

IntuneアプリのラッピングツールはMicrosoftにより機能が強化され、オプションのパラメーターに「-citrix」が追加されました。このパラメーターによって、処理の最後でMDX Toolkitのコマンドラインインターフェイス(CLI)であるCGAppCLPrepToolが呼び出され、アプリがラップされます。Intuneでアプリをラップする方法については、Prepare line of business apps for MAMの手順を実施してください。

重要:

本記事からリンクされているラッピングツールは使用せず、このリリース用に提供されているラッピングツールを使用してください。

MDXオプションは複数あります。MDXの各バリエーションの説明については、以下のリストを参照してください。

  • MDXネットワーク専用ラッパー: Intune MDM、Intune MAM、またはMDM+MAMのEndpoint Managementだけが、このラッパーを管理できます。Intuneアプリラッピングツールを使用してアプリをラップし、「-citrix」オプションを指定します。このラッパーはコンテナ化や暗号化は行わず、Micro VPNのみをサポートするMDXの最小バージョンです。
  • MDXラッパー: コンテナ化などの、他の種類のポリシーをサポートします。暗号化はサポートされません。アプリをIntuneアプリラッピングツールでラップしたあとに、MDX Toolkitでラップします。
  • Citrix Mobile Apps SDK: アプリの開発に、暗号化を含むすべてのMDX機能にアクセスできるCitrix Mobile Apps SDKを使用します。

iOSアプリの構築時は、Citrix Mobile Apps SDKフレームワークとIntune SDKフレームワークをリンクすれば上記と同じになります。Citrix Mobile Apps SDKおよびIntune SDKの詳細については、「MDX開発者ガイド」とIntune App SDK overviewをそれぞれ参照してください。

コンテナ化やネットワーキングの目的でIntune SDKを使用するユーザーのLOBアプリ。

ユースケースの例 Intune Citrix MDX
コンテナ化やネットワーキングを必要とする、Intune SDKを使用するユーザーのLOBアプリ。 Intune SDK MDXネットワーク専用ラッパー
コンテナ化とネットワーキングの機能を必要とするCitrix業務用モバイルアプリまたはLOBアプリ。 Intune SDK CitrixモバイルアプリSDK
ネットワーク専用ラッパーをLOBアプリで使用。 Intuneラッパー MDXネットワーク専用ラッパー
Microsoft Managed Browserを使用。 Intune SDKはアプリに組み込み済み MDXネットワーク専用サポートはアプリに組み込み済み

Androidアプリのラップ

Androidアプリのラップは、iOSの場合と同様に動作します。Androidアプリのラップに使用するツールは、ManagedAppUtility.jarです。ManagedAppUtility.jarを使用すると、フルバージョンまたはネットワーク専用バージョンのMDXでアプリをラップすることができます。ネットワーク専用ラッパーを使用するには、「-mVPN」パラメーターを使用します。

各バリエーションのラップの使用例については、次の表を参照してください。

Androidでのラップのシナリオ

ユースケースの例 Intune Citrix MDX
Microsoft Managed Browser Intune SDK MDXネットワーク専用ラッパー
Citrix業務用モバイルアプリ Intune SDK Citrix業務用モバイルアプリにMDXを使用
ネットワーク専用ラッパーをLOBアプリで使用。 Intuneラッパー MDXネットワーク専用ラッパー

Endpoint ManagementとEMS/Intuneコンソールとの統合にアプリを追加する

Intune管理対象アプリを追加するには、次の手順を実行します。

  1. Citrix Cloudコンソールでメニューアイコンをクリックし、[ライブラリ] をクリックします。

    Citrix Cloudライブラリのページの画像

  2. 右上にある青色のプラス記号のアイコンをクリックし、[モバイルアプリを追加] をクリックします。

    オプションがリストに入力されるまでしばらくかかる場合があります。

    [モバイルアプリを追加]オプションの画像

  3. カスタマイズするアプリテンプレートを選択するか、[独自のアプリをアップロードする] をクリックします。

    構成するポリシーの画像

    Citrixでは既製のアプリテンプレートを提供しており、それぞれのテンプレートには事前に設定済みの、デフォルトのポリシーセットが付属します。ユーザーがアップロードするアプリの場合は、次のポリシーが適用されます:

    • MDXファイル: このファイルには、パッケージに含まれるIntuneアプリ保護ポリシーおよびデフォルトのMDXポリシーなどの、MDXでラップされたアプリが含まれます。また、バンドルIDまたはパッケージIDと一致するIntuneアプリ保護ポリシーおよびデフォルトのMDXポリシーなどの、パブリックストアアプリが含まれます。
    • IPAファイル。Intuneアプリ保護ポリシー。
    • APKファイル。Intuneアプリ保護ポリシー。

    注:

    アプリがIntuneでラップされていない場合、Intuneアプリ保護ポリシーは適用されません。

  4. [独自のアプリをアップロードする] をクリックした場合は、.mdxファイルまたはIntuneでラップされたファイルをアップロードします。

    ラップされた独自ファイルのアップロード画面の画像

  5. アプリの名前と説明を入力し、アプリを推奨にするか、または必須にするかを選択して [次へ] をクリックします。

  6. ネットワークアクセスポリシーを設定して、Micro VPNアクセスを許可するか、およびその方法を選択します。Micro VPNを許可すると、オンプレミスのリソースへのアクセスをアプリで制御できます。

    • 制限なし: Micro VPNアクセスを無効にします。アプリは、Micro VPNを使用せずに、制限なくネットワークにアクセスできます。これがデフォルトの設定です。

      注:

      バージョン18.12.0:制限なしのネットワークアクセスを構成し、[Micro VPNセッションを必須とする] ポリシーを [はい] に設定すると、ネットワークは使用できなくなります。

    • トンネル-完全VPN: Micro VPN完全トンネル(TCPレベル)リダイレクトを有効にします。
    • トンネル-Web SSO: Micro VPNの HTTP/HTTPSリダイレクト(SSOを使用)を有効にします。
    • トンネル-完全VPNおよびWeb SSO: Micro VPN完全トンネル(TCPレベル)リダイレクトおよびHTTP/HTTPSリダイレクト(SSOを使用)を有効にします。

      このオプションにより、必要に応じて完全VPNモードとWeb SSOモードの自動切り替えができます。認証要求を完全VPNモードで処理できないために失敗したネットワーク要求は、代替モードで再試行されます。たとえば、完全VPNでは、クライアント証明書のサーバーチャレンジを処理することができます。Web SSOモードは、HTTP認証チャレンジを処理する傾向が強いです。

      この設定は、現在では廃止されたポリシーであるPermitVPNModeSwitchingに相当します。

      Micro VPNポリシー画面の画像

  7. Micro VPNアクセスを有効にする場合、Micro VPNセッションを必須とするポリシーを設定して、アプリを動作させるためにオンラインセッションが必要かを選択します。オンラインセッションを必要とする場合は、[はい] を選択します。デフォルトは [いいえ] です。

  8. Micro VPNアクセスを有効にすると、mVPNトンネル除外対象一覧を指定できます。Micro VPNポリシーから除外するドメインをコンマで区切って入力します。

    これらのポリシー設定について詳しくは、「MDXポリシー」を参照してください。

  9. 他のアプリのポリシーも構成し、[次へ] をクリックします。アプリポリシーの一覧については、「MDXポリシーの概要」を参照してください。

    アプリポリシーの画像

    注:

    これらのポリシーのすべてを利用できるわけではありません。

  10. アプリの概要を確認し、[完了] をクリックします。

    このアプリ設定には数分かかる場合があります。処理が完了すると、アプリがライブラリに公開されたことを示すメッセージが表示されます。

    [完了]ボタンの画像

  11. ユーザーグループをアプリに割り当てるには、[ユーザーを割り当てる] をクリックします。

    [ユーザーを割り当てる]オプションの画像

  12. 検索ボックスでユーザーグループを検索し、クリックで追加します。ユーザーを個別に追加することはできません。

    [利用者の追加]オプションの画像

  13. すべてのグループを追加したら、[X]をクリックしてウィンドウを閉じることができます。

    準備完了ステータスの画像

    ユーザーグループを追加するときにエラーが発生することがあります。このエラーは、ユーザーグループがローカル環境のActive Directoryに同期されていない場合に発生します。

MDXポリシー

アプリをMDXテクノロジでラップする場合やCitrix Mobile Apps SDKを使用してアプリを構築する場合、Intune管理者はMDXポリシーを構成できます。これらのポリシーには、アプリの管理にSecure Hubを必要としないCitrix MDXポリシーのサブセットが含まれています。次のMDXポリシーを使用することをお勧めします。

Intuneで管理している場合は、次のIntune固有のネットワーク管理ポリシーのセットによって、MDX(フルまたはネットワーク専用)のネットワークポリシー構成を制御します。これらのポリシーの一部は、既存のCitrix MDXネットワークコンテナ化ポリシーに対応しています。それ以外はIntuneの設定および制御専用のポリシーです。

重要:

MDX Toolkitバージョン18.12.0リリースには、以前のポリシーを組み合わせたり置き換えたりした新しいポリシーが含まれています。 [ネットワークアクセス]ポリシーは[ネットワークアクセス]、[優先VPNモード]、[VPNモードの切り替えを許可]を組み合わせたものです。[除外の一覧]ポリシーは、[分割トンネルの除外対象一覧]に置き換えられます。[Micro VPNセッションを必須とする]ポリシーは、[Micro VPNセッションを必須とする]に置き換えられます。詳しくは、「MDX Toolkit 18.12.0の新機能」を参照してください。

[トンネル-Web SSO]は、この設定において[セキュアブラウズ]に相当する名前です。動作は同じです。

  • http/httpsリダイレクトを有効化。Citrix GatewayのリバースWebプロキシエンドポイント(トンネル - Web SSOとも呼ばれます)を介したHTTP/HTTPSリダイレクトを有効または無効にします。[オン] の場合、トンネル - Web SSOはWebトラフィックに使用されます。トンネル - Web SSOエンドポイントを使用する場合、ゲートウェイはHTTP認証チャレンジにインラインで対応可能なため、シングルサインオン(SSO)環境を実現できます。トンネル - Web SSOを使用するには、このポリシーを [オン] に設定します。相互認証でのエンドツーエンドSSLにクライアント証明書を使用するアプリでは、フルトンネルリダイレクトが必要となります。そのようなアプリの場合は、このオプションを無効にする必要があります。デフォルト値は [オン] です。
  • mVPN完全トンネル(TCPレベル)リダイレクトを無効化。Citrix Gateway VPNトンネリングエンドポイントを介したTCPレベルの、ネットワークレベルでのリダイレクトを有効または無効にします。通常は、このポリシーは有効のままにしておきます。ただし多くの場合、標準的なWebインターセプト機能が捕捉しないようなTCPレベルでのWebトラフィックのインターセプトを防止すると、Web SSOに関連する問題のトラブルシューティングが容易になります。デフォルト値は [オン] です。
  • mVPNセッションを必須とする。[オン] の場合は、設定されたゲートウェイに到達可能なこと、および有効なMicro VPNセッションを利用できる状態であることをSDKが確認したうえで、アプリがアクティブ化されます。ネットワークがない場合、ゲートウェイに到達できないか、またはログオンセッションを確立することができません。アプリはMicro VPNセッションが動作していることを確認できるまでブロックされた状態になります。[オフ] の場合、アプリはネットワークの状態に関係なくオープンされます。トンネル化されたアクセスができるように構成されたアプリが、リダイレクトされたネットワークAPIのいずれかを使用しようとすると、必要に応じてMicro VPNセッションが初期化されます。デフォルト値は [オフ] です。
  • mVPNトンネル除外対象一覧。Citrix GatewayリバースWebプロキシを介したルーティングの対象から除外するホスト名、またはドメイン名のカンマ区切りのリストです。ゲートウェイにスプリットDNS設定が構成されていた場合でも、構成されていなければ選択してしまう可能性のあるホスト名またはドメイン名は除外されます。

    注:

    このポリシーは、[トンネル - Web SSO]による接続に対してのみ適用されます。[http/httpsリダイレクトを有効化][オフ] の場合、このポリシーは無視されます。

これらのポリシーについて詳しくは、「iOSアプリのMDXポリシー」を参照してください。

LOBアプリのポリシーを展開する

Intuneにアプリをアップロードしたら、以下の手順に沿ってそれらのアプリにポリシーを適用します。

  1. https://portal.azure.com/にサインインし、[Intune] > [モバイルアプリ] の順に移動します。
  2. [管理][アプリ構成ポリシー] をクリックします。
  3. [追加] をクリックし、作成するポリシーの名前を入力します。[登録タイプ] で、[Intuneに登録しない] を選択します。これを選択すると現在のシステムに制限がかかります。
  4. [関連付けされたアプリ] をクリックし、ポリシーを適用するアプリを選択したら [OK] をクリックします。
  5. [構成設定] をクリックします。
  6. [名前] フィールドに、本記事の次のセクションで説明されているポリシーの名前を1つ入力します。
  7. [値] フィールドに、対象のポリシーに適用する値を入力します。フィールドの外をクリックすると、ポリシーがリストに追加されます。ポリシーは複数追加できます。
  8. [OK] をクリックしてから [追加] をクリックします。ポリシーのリストにポリシーが追加されます。
  9. ポリシーは削除できます。削除するには、対象のポリシーを選択してから右側の [ポリシーの削除] をクリックします。

基幹業務用ポリシー

次の表は、LOBアプリに展開できるポリシーの一覧です。これらのポリシーだけでなく、本記事で前述したMDXポリシーを使用することもできます。これらのポリシーについて詳しくは、「MDXポリシーの概要」を参照してください。

名前(iOSまたはAndroid) 説明
AppLogLevel/DefaultLoggerLevel 業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。番号のレベルが高いほど、より詳細なログが含まれます。 1~5
AppLogTarget/DefaultLoggerOut デフォルトで、業務用モバイルアプリ診断ログファシリティによってどの出力媒体が使用されるかを決定します。 ファイル、コンソール、または両方
AppLogFileSize/MaxLogFileSize ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。 1~5
AppLogFileCount/MaxLogFiles ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小は2です。最大は8です。 2~8

Secure Mailを構成する

Secure Mailではさまざまな構成がサポートされます。オンプレミスのExchange Serverに接続しているSecure Mailは、Intune MAMコンテナにラップすることができます。Secure Mailは、ホストされているExchangeまたはOffice 365アカウントに接続できます。ただし、このリリースでは証明書ベースの認証はサポートされていないため、代わりにLDAPを使用してください。

重要:

Secure MailをMDMモードで使用するには、Citrix Endpoint Management MDM+MAMモードを使用する必要があります。

また、Secure Mailではユーザー名が自動的に入力されます。この機能を有効にするには、まず以下のカスタムポリシーを構成する必要があります。

  1. Endpoint Managementコンソールから、[設定] > [サーバープロパティ] の順に移動し、[追加] をクリックします。

  2. リストから [カスタムキー] をクリックし、[キー] フィールドに「xms.store.idpuser_attrs」を入力します。

  3. 値をtrueに設定し、[表示名] に「xms.store.idpuser_attrs」を入力します。[Save] をクリックします。

  4. [クライアントプロパティ] をクリックし、[追加] をクリックします。

  5. [カスタムキー] を選択し、[キー] フィールドに「SEND_LDAP_ATTRIBUTES」を入力します。

  6. [値] フィールドに「userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid}」を入力し、説明を入力して [保存] をクリックします。

    以下の手順は、iOSデバイスにのみ適用されます。

  7. [構成]>[デバイスポリシー] に移動して[追加]をクリックし、次に [アプリ構成] ポリシーを選択します。

  8. ポリシー名を入力し、[次へ] をクリックします。

    識別子リストで、[新規追加] をクリックします。表示されたテキストボックスに、Secure MailアプリのバンドルIDを入力します。

  9. [ディクショナリ] の内容ボックスに、次のテキストを入力します。

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key> userPrincipalName </ key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key> aadupn </ key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. [Windows Phone] および [Windowsデスクトップ/タブレット] チェックボックスをオフにして、[次へ] をクリックします。

  11. ポリシーを展開するユーザーグループを選択し、[保存] をクリックします。

トラブルシューティング

一般的な問題

問題: アプリを開くと、次のエラーメッセージが表示される:アプリのポリシーが必要です。

解決策: Microsoft Graph APIにポリシーを追加します。

問題: ポリシーの競合が発生する。

解決策: アプリに対して許可されるポリシーは、1つだけです。

問題: アプリをラップすると、次のエラーが表示される:

Failed to package app.

com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated.

com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113)

com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198)

com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56)

The application could not be wrapped.

解決策: 対象のアプリはIntune SDKと統合されています。Intuneラッパーでアプリをラップする必要はありません。

問題: アプリが内部リソースに接続できない。

解決策: ファイアウォールで正しいポートが開いていることの確認やテナントIDの修正などを行って下さい。

Citrix Gatewayの問題

次の表は、Citrix Gatewayの構成における一般的な問題とその解決方法の一覧です。トラブルシューティングのために、取得するログの量を増やし、以下のことを行ってログを確認してください:

  1. コマンドラインインターフェイスから、次のコマンドを実行します: set audit syslogParams -logLevel ALL
  2. シェルから、次を使用してログを確認します:tail -f /var/log/ns.log
問題 解決策
Azureのゲートウェイアプリ用に設定する必要のある権限を使用できない。 適切なIntuneライセンスが利用可能かどうかを確認します。manage.windowsazure.comポータルを利用して、権限を追加できるかどうかを試してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
Citrix Gatewayがlogin.microsoftonline.comおよびgraph.windows.netに到達できない。 NSシェルから、次のMicrosoftのWebサイトにアクセスできるかどうかを確認します:curl -v -k https://login.microsoftonline.com。次に、Citrix GatewayでDNSが設定されているか、およびファイアウォールが正しく設定されているかを確認します(DNS要求がファイアウォールによってブロックされている可能性があるため)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthActionコマンドでOAuthのステータスが完了と表示されない。 DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

OAuthのエラーの状態とステータス

ステータス エラーの状態
COMPLETE 正常
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comがダウンしている、または到達不能
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのためトークンエンドポイント:https://login.microsoftonline.comと通信できない。この設定を検証するには、シェルを起動して「curl https://login.microsoftonline.com」を入力します。このコマンドは検証が必要です。

制限事項

以下は、Citrix Endpoint ManagementでMicrosoft EMS/Intuneを使用する場合の制限事項に関する項目です。

  • CitrixとIntuneの組み合わせで、Micro VPNをサポートするアプリを展開する場合:ユーザーがダイジェストサイトにアクセスするためにユーザー名とパスワードを入力すると、資格情報が有効であってもエラーが表示される。 [CXM-25227]
  • 分割トンネルを [オン] から [オフ] に変更した後で、その時点のゲートウェイセッションが期限切れになるのを待った場合:ユーザーが完全VPNモードで内部サイトを起動するまで、外部トラフィックがCitrix Gatewayを経由せずに直接通過する。 [CXM-34922]
  • [このアプリで開く]ポリシーの設定を、[管理対象アプリ] から [すべてのアプリ] に変更すると、Secure Mailを閉じて再起動するまで、非管理対象アプリでドキュメントを開けない。 [CXM-34990]
  • 完全VPNモードで分割トンネルが [オン] のときに、分割DNSをローカルからリモートに変更すると、内部サイトが読み込めない。 [CXM-35168]

既知の問題

mVPNポリシー「http/httpsリダイレクト(SSO使用)を有効化」がオフの場合、Secure Mailが機能しない。 [CXM-58886]

サードパーティの既知の問題

Secure Mail for Androidで、ユーザーが [イベントの新規作成] をタップしても新しいイベントの作成ページが表示されない。 [CXM-23917]

CitrixとIntuneの組み合わせでCitrix Secure Mail for iOSを配布して、Micro VPNをサポートする場合:ユーザーがアプリをバックグラウンドに移動した際にSecure Mailの画面を不鮮明にするアプリポリシーが適用されない。 [CXM-25032]