MicrosoftエンドポイントマネージャーでマイクロVPNを使用するためのCitrix Gateway のセットアップ

Citrix micro VPN と Microsoft Endpoint Management との統合により、アプリはオンプレミスのリソースにアクセスできます。詳しくは、「マイクロソフトのエンドポイントマネージャーとCitrix マイクロVPNの統合」を参照してください。

システム要件

  • Citrix Gatewayバージョン12.0.59.xまたは12.1.50.x以降。

    Citrix Gatewayの最新バージョンは、Citrix Gatewayダウンロードページからダウンロードすることもできます。

  • Windows 7以降を実行しているWindowsデスクトップ(Androidアプリのラッピングにのみ対応)

  • Microsoft
    • Azure ADアクセス(テナントの管理者特権あり)
    • Intune対応のテナント
  • ファイアウォールのルール
    • ファイアウォールのルールを有効にして、Citrix GatewayのサブネットIPから*.manage.microsoft.comhttps://login.microsoftonline.comhttps://graph.windows.net(ポート443)に対するSSLのトラフィックを許可します。
    • Citrix Gateway は、前述のURLを外部から解決できる必要があります。

前提条件

  • Intune 環境: Intune 環境がない場合は、セットアップします。手順については、Microsoft社のドキュメントを参照してください。

  • エッジブラウザアプリ: マイクロ VPN SDK は、Microsoft Edge アプリと iOS および Android 用の Intune Managed Browser アプリに統合されています。Managed Browserについて詳しくは、MicrosoftのManaged Browserのページを参照してください。

Azure のActive Directory (AAD) アプリケーションのアクセス許可を付与する

  1. Citrix マルチテナントAADアプリケーションに同意し、Citrix Gateway がAADドメインで認証できるようにします。Azure グローバル管理者は、次の URL にアクセスして同意する必要があります。

    https://login.windows.net/common/adminconsent?client_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40b&redirect_uri=https://www.citrix.com&state=consent」を参照してください。

  2. CitrixマルチテナントAADアプリケーションに同意し、モバイルアプリケーションがCitrix GatewayのマイクロVPNで認証できるようにします。このリンクは、Azure グローバル管理者が [ユーザーがアプリケーションを登録できる] の既定値を [はい] から [いいえ] に変更した場合にのみ必要です。 この設定は、Azure ポータルの [ Active Directory] > [ユーザー] > [ユーザー設定]の下にあります。 Azure グローバル管理者は、次の URL にアクセスして同意する必要があります ( テナント ID を追加)https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b43a1-8aed-9902264a5af7

マイクロVPN用のCitrix Gateway の構成

IntuneでMicro VPNを使用するには、Citrix GatewayでAzure Active Directoryが認証されるように設定する必要があります。このユースケースでは、既存のCitrix Gateway仮想サーバーは利用できません。 まず、Azure ADがオンプレミスのActive Directoryと同期するように設定します。この手順は、IntuneとCitrix Gatewayとの間の認証を適切に行うために必要です。

ダウンロードスクリプト: .zip ファイルには、スクリプトを実装するための指示を含む readme が含まれています。スクリプトに必要な情報を手動で入力し、Citrix Gateway でスクリプトを実行してサービスを構成する必要があります。スクリプトファイルは、シトリックスのダウンロードページからダウンロードできます。

重要: Citrix Gateway の構成を完了した後、「完了」以外のOAuthステータスが表示された場合は、「トラブルシューティング」セクションを参照してください。

マイクロソフトのエッジブラウザーの構成

  1. https://portal.azure.com/にサインインし、[Intune] > [モバイルアプリ] の順に移動します。
  2. 通常どおりに Edge App を公開し、アプリ構成ポリシーを追加します。
  3. [管理][アプリ構成ポリシー] をクリックします。
  4. [追加] をクリックし、作成するポリシーの名前を入力します。[デバイスの登録の種類] で、[ 管理対象アプリ] を選択します。
  5. [関連付けられたアプリ] をクリックします。
  6. ポリシーを適用するアプリ (Microsoft Edge または Intune 管理対象ブラウザー) を選択し、[ OK] をクリックします。
  7. [構成設定] をクリックします。
  8. [ Name ] フィールドに、次の表に示すいずれかのポリシーの名前を入力します。
  9. [値] フィールドに、対象のポリシーに適用する値を入力します。フィールドの外をクリックすると、ポリシーがリストに追加されます。ポリシーは複数追加できます。
  10. [OK] をクリックしてから [追加] をクリックします。

ポリシーのリストにポリシーが追加されます。

名前(iOSまたはAndroid) 説明
MvpnGatewayAddress https://external.companyname.com Citrix Gateway の外部URL
MvpnNetworkAccess MvpnNetworkAccessTunneledWebSSOor Unrestricted MvpnNetworkAccessTunneledWebSSOは、トンネリングのデフォルトです。
MvpnExcludeDomains 除外するドメイン名のコンマ区切りリスト オプションです。Default=blank

注: Web SSO は、設定の「Secure Browse」の名前です。動作は同じです。

  • Mvpnネットワークアクセス -MvpnネットワークアクセストンネルWebSSOは、Citrix Gateway を介したHTTP/HTTPSリダイレクトを有効にします。これは、トンネリングされたWeb SSOとも呼ばれます。Gateway は HTTP 認証チャレンジにインラインで応答し、シングルサインオン (SSO) エクスペリエンスを提供します。Web SSO を使用するには、このポリシーを MvpnネットワークアクセストンネルWebSSOに設定します。フルトンネルリダイレクションは現在サポートされていません。マイクロ VPN トンネリングをオフにしておくには、[ Unlimited ] を使用します。

  • MvpnExcludeDomains -Citrix Gateway リバースWebプロキシ経由のルーティングから除外されるホストまたはドメイン名のコンマ区切りリスト。Citrix Gateway で構成されたスプリットDNS設定によってドメインまたはホストが選択される場合がありますが、ホスト名またはドメイン名は除外されます。

    注: このポリシーは、 MvpnNetworkAccessTunnedWebSSO接続に対してのみ適用されます。MvpnNetworkAccess が [制限なし]の場合、このポリシーは無視されます。

トラブルシューティング

一般的な問題

問題 解像度
アプリを開くと、「ポリシーの追加が必要です」というメッセージが表示されます。 Microsoft Graph API でポリシーを追加する
ポリシーの競合があります 1 つのアプリにつき 1 つのポリシーのみ許可されます。
アプリをラップすると、「アプリをパッケージ化できませんでした」というメッセージが表示されます。 完全なメッセージについては、以下を参照してください。 アプリは Intune SDK と統合されています。Intune でアプリをラップする必要はありません。
アプリが内部リソースに接続できない 正しいファイアウォールポートが開いていること、テナント ID が正しいことを確認します。

アプリのエラーメッセージをパッケージ化できませんでした:

Failed to package app. com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated. com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113) com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198) com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56) The application cannot be wrapped.

Citrix Gatewayの問題

問題 解像度
Azure のGateway アプリ用に構成するために必要なアクセス許可は使用できません。 適切なIntuneライセンスが利用可能かどうかを確認します。管理.ウィンドウサズure.comポータルを利用して、権限を追加できるかどうかを試してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
Citrix Gatewayはlogin.microsoftonline.comandgraph.windows.netにアクセスできません。 NSシェルから、次のMicrosoft Web サイトにアクセスできるかどうかを確認します。curl-v-khttps://login.microsoftonline.com。次に、Citrix Gateway でDNSが構成されているかどうかを確認します。また、ファイアウォール設定が正しいことを確認します(DNS要求がファイアウォールされている場合)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzure Gatewayアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthActionコマンドでOAuthのステータスが完了と表示されない。 DNS設定とAzure Gatewayアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

Citrix Gateway のOAuthステータスとエラー状態

ステータス エラー状態
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comがダウンしているか、到達不能です。
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのためトークンエンドポイント:https://login.microsoftonline.comと通信できない。この構成を検証するには、shell に移動し、curl https://login.microsoftonline.comと入力します。このコマンドは検証が必要です。

注: OAuth ステータスが成功すると、ステータスは COMPLETE と表示されます。