Intune Android Enterprise 環境でCitrix SSO アプリをセットアップする

このトピックでは、Microsoft Intune を介した Citrix SSO アプリの展開と構成について詳しく説明します。このドキュメントでは、Intune がすでに Android Enterprise サポート用に設定されており、デバイスの登録がすでに行われていることを前提としています。

前提条件

  • Intune は Android Enterprise サポート用に設定されています
  • デバイス登録が完了しました

Intune Android Enterprise 環境でCitrix SSO アプリをセットアップするには

  • Citrix SSOアプリを管理対象アプリとして追加する
  • Citrix SSOアプリの管理対象アプリポリシーを構成する

Citrix SSOアプリを管理対象アプリとして追加する

  1. Azure ポータルにログインします。

  2. 左側のナビゲーションブレードの Intune をクリックします。

  3. Microsoft Intune ブレードで [ クライアントアプリ ] をクリックし、[クライアントアプリ] ブレードの [アプリ] をクリックします。

  4. 右上のメニューオプションで [ + リンクを追加 ] をクリックします。[アプリ構成の追加] ブレードが表示されます。

  5. アプリの種類として [ 管理対象 Google Play ] を選択します。

    これにより、Android Enterprise を設定している場合、Google Play の検索を管理してブレードを承認するが追加されます。

  6. Citrix SSOアプリを検索し、アプリの一覧から選択します。

    [SSO] を選択します。

    注: Citrix SSOが一覧に表示されない場合は、そのアプリがお客様の国で利用できないことを意味します。

  7. 承認 ]をクリックして、管理対象Google Play ストアを通じたCitrix SSOの展開を承認します。

    Citrix SSOアプリに必要な権限が一覧表示されます。

  8. [ APPROVE ] をクリックして、アプリのデプロイを承認します。

  9. [ 同期 ] をクリックして、この選択を Intune と同期します。

    Citrix SSOアプリが[クライアントアプリ]リストに追加されます。追加されたアプリが多数ある場合は、Citrix SSOアプリを検索する必要があります。

  10. Citrix SSO アプリ]をクリックして、[アプリ詳細]ブレードを開きます。

  11. 詳細ブレードの [ 割り当て ] をクリックします。Citrix SSO-割り当てブレードが表示されます

    SSO 割り当てを選択

  12. グループの追加 ]をクリックして、Citrix SSOアプリをインストールする権限を付与するユーザーグループを割り当てて、[ 保存]をクリックします。

  13. Citrix SSO アプリの詳細ブレードを閉じます。

Citrix SSOアプリが追加され、ユーザーへの展開が有効になります。

Citrix SSOアプリの管理対象アプリポリシーを構成する

Citrix SSOアプリを追加したら、Citrix SSOアプリの管理された構成ポリシーを作成して、VPNプロファイルをデバイス上のCitrix SSOアプリに展開できるようにする必要があります。

  1. Azure ポータルで Intune ブレードを開きます。

  2. Intune ブレードから [ クライアントアプリケーション ] ブレードを開きます。

  3. [クライアントアプリケーション] ブレードから [ アプリ構成ポリシー ] 項目を選択し、[ 追加 ] をクリックして [ 構成ポリシーの追加 ] ブレードを開きます。

  4. ポリシーの名前を入力し、その説明を追加します。

  5. [ デバイス登録の種類] で、[ 管理対象デバイス] を選択します。

  6. [ プラットフォーム] で、[ Android] を選択します。

    これにより、関連付けられたアプリに別の構成オプションが追加されます。

  7. 関連付けられたアプリ ]をクリックし、[ Citrix SSOアプリ ]を選択します。

    アプリが多いなら検索しなきゃいけないかも

  8. [OK] をクリックします。構成設定オプションが [構成ポリシーの追加] ブレードに追加されます。

  9. [ 構成設定 ] をクリックします。

    Citrix SSOアプリを構成するためのブレードが表示されます。

  10. 構成設定]で、[ 構成デザイナーを使用する]または[ JSONデータの入力 ]のいずれかを選択して、Citrix SSOアプリを構成します。

Intune 用に SSO を設定する

注:

単純な VPN 構成の場合は、構成デザイナーを使用することをお勧めします。

ユーザ設定デザイナーを使用した VPN 設定

  1. [ 構成設定] で、[ 構成デザイナーを使用する ] を選択し、[ 追加] をクリックします。

    Citrix SSOアプリでサポートされているさまざまなプロパティを構成するためのキー値入力画面が表示されます。少なくとも、[ サーバーアドレス ] と [ VPN プロファイル名 ] プロパティを構成する必要があります。[ DESCRIPTION ] セクションにマウスポインターを合わせると、各プロパティの詳細が表示されます。

  2. たとえば、[ VPN プロファイル名 ]および[ サーバーアドレス(*) ]プロパティを選択し、[ OK]をクリックします。

    これにより、プロパティが構成デザイナーに追加されます。次のプロパティを設定できます。

    • VPN プロファイル名。VPNプロファイルの名前を入力します。複数のVPNプロファイルを作成している場合は、それぞれに一意の名前を使用します。名前を指定しない場合、[Server Address] フィールドに入力したアドレスが VPN プロファイル名として使用されます。

    • サーバーアドレス (*)。Citrix Gateway のベース完全修飾ドメイン名を入力します。Citrix Gatewayのポートが443ではない場合は、ポートも入力します。URL形式を使用します。例:https://vpn.mycompany.com:8443

    • ユーザー名 (オプション)。エンドユーザーがCitrix Gateway への認証に使用するユーザー名を入力します。ゲートウェイがそれを使用するように設定されている場合は、このフィールドに Intune設定値トークンを使用できます(設定値トークンを参照)。ユーザー名を指定しない場合、ユーザーはCitrix Gateway に接続するときにユーザー名の入力を求められます。

    • パスワード (オプション)。エンドユーザーがCitrix Gateway への認証に使用するパスワードを入力します。パスワードを指定しない場合、ユーザーはCitrix Gateway に接続するときにパスワードの入力を求められます。

    • 証明書エイリアス (オプション)。クライアント証明書認証に使用する証明書エイリアスを Android KeyStore に提供します。証明書ベースの認証を使用している場合、この証明書はユーザーに対して事前に選択されています。

    • サーバー証明書ピン (オプション)。Citrix Gateway で使用される証明書ピンを記述するJSONオブジェクト。値の例: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。詳しくは、「 Android Citrix SSOを使用したCitrix Gateway 証明書のピン留め」を参照してください。

    • アプリごとの VPN タイプ (オプション)。Per-App VPNを使用してこのVPNを使用するようにアプリを制限している場合、この設定を構成できます。

      • [ 許可] を選択すると、PerAppVPN アプリ一覧に表示されるアプリパッケージ名のネットワークトラフィックが VPN 経由でルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPN外でルーティングされます。
      • 許可しない] を選択すると、PerAppVPN アプリ一覧に表示されるアプリパッケージ名のネットワークトラフィックが VPN の外部にルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPNを介してルーティングされます。デフォルトは [許可] です。
    • perAppVPN アプリリスト。[Per-App VPNの種類] の値に応じ、トラフィックがVPNで許可されるか、または許可されないアプリの一覧。アプリパッケージ名がカンマまたはセミコロンで区切って一覧にされます。アプリパッケージ名は大文字と小文字が区別され、この一覧でもGoogle Playストアに表示されているのと同じように表示される必要があります。この一覧はオプションです。デバイス全体のVPNをプロビジョニングする場合は、この一覧を空のままにします。
    • デフォルトの VPN プロファイル。常時接続VPNがCitrix SSOアプリ用に構成されている場合に使用されるVPNプロファイル名。このフィールドが空の場合、メインプロファイルは接続に使用されます。プロファイルが 1 つだけ設定されている場合、そのプロファイルはデフォルトの VPN プロファイルとしてマークされます。

      デフォルトの VPN プロファイルオプション

    注:

    • Intune でCitrix SSOアプリを常時接続VPNアプリとして設定するには、VPNプロバイダーをカスタムとして使用し、com.citrix.citrixVPNをアプリパッケージ名として使用します。

    • Citrix SSOアプリによるAlways On VPNでは、証明書ベースのクライアント認証のみがサポートされています。

    • SSOアプリが意図したとおりに動作するには、管理者がCitrix Gateway **のSSLプロファイルまたはSSLプロパティで[ **クライアント認証]を選択し、[クライアント証明書 ]を[ 必須 ]に設定する必要があります。

    • ユーザープロファイルの無効化
      • この値を true に設定すると、ユーザーはデバイスに新しい VPN プロファイルを追加できません。
      • この値を false に設定すると、ユーザーは自分のデバイスに独自の VPN を追加できます。

      デフォルト値はfalseです。

    • 信頼できないサーバーをブロックする
      • Citrix Gateway で自己署名証明書を使用する場合、またはCitrix Gateway 証明書を発行するCAのルート証明書がシステムCAリストにない場合は、この値をfalseに設定します。
      • AndroidオペレーティングシステムがCitrix Gateway 証明書を検証できるようにするには、この値をtrueに設定します。検証に失敗した場合、接続は許可されません。

      デフォルト値はtrueです。

  3. [ サーバーアドレス (*) ] プロパティに、VPN ゲートウェイのベース URL(https://vpn.mycompany.comなど)を入力します。

  4. VPNプロファイル名]に、Citrix SSOアプリのメイン画面でエンドユーザーに表示される名前([企業VPN]など)を入力します。

  5. Citrix Gateway 展開環境には、必要に応じて他のプロパティを追加および構成できます。設定が完了したら、 「OK」 をクリックします。

  6. [ 権限 ] セクションをクリックします。このセクションでは、Citrix SSOアプリに必要なアクセス許可を付与できます。

    • Intune NACチェックを使用している場合、Citrix SSOアプリでは、 電話の状態(読み取り) 権限を付与する必要があります。[ 追加 ] ボタンをクリックして、[権限] ブレードを開きます。現在、Intune には、すべてのアプリで使用できるアクセス許可の重要なリストが表示されます。

    • Intune NAC チェックを使用している場合は、 電話の状態(読み取り) 権限を選択し、 OKをクリックします。これにより、アプリの権限のリストに追加されます。Intune NAC チェックが機能するように [ プロンプト ] または [ 自動許可 ] のいずれかを選択し、[ OK] をクリックします。

      SSO コンフィグを設定

  7. [アプリ構成ポリシー]ブレードの下部にある[ 追加 ]をクリックして、Citrix SSOアプリの管理対象構成を保存します。

  8. [アプリケーション構成ポリシー] ブレードの [ 割り当て ] をクリックして、[ 割り当て] ブレードを開きます。

  9. このCitrix SSO構成を配信および適用するユーザーグループを選択します。

JSON データを入力することによる VPN の設定

  1. 構成設定]で、[Citrix SSOアプリを構成するためのJSONデータの入力 ]を選択します。

  2. [JSONテンプレートのダウンロード]ボタンを使用して、Citrix SSOアプリのより詳細で複雑な構成を提供できるテンプレートをダウンロードします。このテンプレートは、Citrix SSOアプリが認識できるすべてのプロパティを構成するためのJSONキーと値のペアのセットです。

    構成可能なすべてのプロパティの一覧については、「 Citrix SSOアプリでのVPNプロファイルの構成に使用可能なプロパティ」を参照してください。

  3. JSON 設定ファイルを作成したら、その内容をコピーして編集領域に貼り付けます。たとえば、構成デザイナーオプションを使用して以前に作成された基本設定の JSON テンプレートを次に示します。

JSON 設定が完了しました

これで、Microsoft Intune Android Enterprise 環境でCitrix SSOアプリ用のVPNプロファイルを構成および展開する手順は完了です。

重要:

クライアント証明書ベースの認証に使用される証明書は、Intune SCEP プロファイルを使用して展開されます。この証明書のエイリアスは、Citrix SSOアプリの管理対象構成の[ 証明書エイリアス ]プロパティで構成する必要があります。

Citrix SSOアプリでVPNプロファイルを構成する際に使用できるプロパティ

|構成キー|JSON フィールド名|値のタイプ|説明| |— |— |— |— | |VPN プロファイル名|VPN プロファイル名|テキスト|VPN プロファイルの名前(デフォルトはサーバアドレスに設定されていない場合)。| |サーバーアドレス (*)|サーバーアドレス|URL|接続のCitrix Gateway のベースURL(https://host[:port])。これは必須フィールドです。| |Username (optional)|Username|テキスト|Citrix Gateway での認証に使用されるユーザー名(オプション)。| |パスワード(オプション)|パスワード|テキスト|Citrix Gateway で認証するためのユーザーのパスワード(オプション)。| |証明書エイリアス(オプション)|clientCertalias|テキスト|クライアント証明書のエイリアス証明書ベースのクライアント認証で使用するために Android クレデンシャルストアにインストールされます(オプション)。Citrix Gatewayで証明書ベースの認証を使用する場合、[証明書エイリアス ]は必須フィールドです。| |サーバー証明書ピン(オプション)|ServerCertificatePins|JSONテキスト|Citrix Gateway で使用される証明書ピンを記述する埋め込みJSONオブジェクト。値の例: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。JSON コンフィギュレータを使用するときは、この埋め込み JSON データをエスケープしてください。| |アプリごとの VPN の種類 (オプション) |perappVPN_allow_disallow_setting|列挙 (許可、禁止) |一覧表示されたアプリで、VPNトンネルの使用を許可するか (許可リスト)、または許可しない (ブロックリスト)。 許可] に設定すると、リストされているアプリ (perAppVPN アプリリストプロパティ内) のみが VPN 経由のトンネリングを許可されます。[ 許可しない] に設定すると、一覧表示されているアプリを除くすべてのアプリが VPN 経由のトンネリングを許可されます。アプリが一覧表示されない場合は、すべてのアプリが VPN 経由のトンネリングを許可されます。| |perAppVPN アプリリスト|perappName_appNames|テキスト|コンマ (,) またはセミコロン (;) で区切られたアプリごとのVPNのアプリパッケージ名のリスト。パッケージ名は、Google Play ストアアプリの掲載情報ページの URL に表示される名前とまったく同じである必要があります。パッケージ名は大文字と小文字が区別されます。| |デフォルトの VPN プロファイル|defaultProfileName|text|システムが VPN サービスを開始するときに使用する VPN プロファイルの名前。この設定は、デバイスで Always On VPN が構成されている場合に使用する VPN プロファイルを識別するために使用されます。| |ユーザープロファイルの無効化|DisableUserProfiles|Boolean|プロパティを使用して、エンドユーザーが手動で VPN プロファイルを作成することを許可または禁止します。ユーザが VPN プロファイルを作成できないようにするには、この値をtrueに設定します。デフォルト値はfalse です。| |信頼できないサーバーをブロックする|blockUntrustedServers|Boolean|信頼できないゲートウェイへの接続 (自己署名証明書の使用や、Androidオペレーティングシステムによって信頼されていない CA の発行など) をブロックするかどうかを決定するプロパティデフォルト値はtrue(信頼できないゲートウェイへの接続をブロックする)です。| |カスタムパラメーター(オプション)|customParameters|リスト|Citrix SSOアプリでサポートされているカスタムパラメーターのリスト(オプション)。詳細については、「カスタムパラメータ」を参照してください。使用可能なオプションについては、 Citrix Gateway 製品のドキュメントを参照してください 。| |他の VPN プロファイルのリスト|BUNDLE_profiles|list|他の VPN プロファイルのリスト。各プロファイルの前述の値のほとんどがサポートされています。詳細については、「VPN プロファイルリストの各 VPN でサポートされるプロパティ」を参照してください。|

カスタムパラメータ

各カスタムパラメータは、次のキーと値の名前を使用して定義する必要があります。

キー 値のタイプ
[パラメータ名] テキスト カスタムパラメータの名前。
パラメータ値 テキスト カスタムパラメータの値。

VPN プロファイルリストの各 VPN でサポートされるプロパティ

JSON テンプレートを使用して複数の VPN プロファイルを設定する場合、各 VPN プロファイルで次のプロパティがサポートされます。

構成キー JSON フィールド名 値のタイプ
VPN プロファイル名 bundle_vpnProfileName テキスト
サーバーアドレス (*) bundle_serverAddress URL
ユーザー名 bundle_username テキスト
[パスワード] bundle_password テキスト
クライアント証明書エイリアス bundle_clientCertalias テキスト
サーバー証明書ピン bundle_serverCertificatePins テキスト
アプリごとの VPN タイプ bundle_perappVPN_allow_disallow_setting 列挙型 (許可、不許可)
perAppVPN アプリリスト bundle_perappVPN_appnames テキスト
カスタムパラメータ bundle_customParameters 一覧

Intune で Citrix SSO アプリを常時オン VPN プロバイダーとして設定する

Android VPNサブシステムでオンデマンドVPNサポートがない場合、Always On VPNを代替として使用して、Citrix SSOアプリによるクライアント証明書認証とともにシームレスなVPN接続オプションを提供できます。VPN は、起動時または仕事用プロファイルがオンになったときに、オペレーティングシステムによって起動されます。

Intune でCitrix SSOアプリを常時接続VPNアプリにするには、次の設定を使用する必要があります。

  • 使用する適切な管理対象設定の種類(仕事用プロファイルで個人所有または完全管理型、専用型、および企業所有の仕事用プロファイル)を選択します。

  • デバイス構成プロファイルを作成し、[ デバイスの制限 ] を選択し、[ 接続 ] セクションに移動します。常時接続の VPN 設定で [有効] を選択します。

  • Citrix SSOアプリをVPNクライアントとして選択します 。Citrix SSOがオプションとして使用できない場合は、[ VPNクライアントとしてカスタム ]を選択し、[パッケージID]フィールドに com.citrix.citrixVPN と入力します([パッケージID]フィールドでは大文字と小文字が区別されます)。

  • 他のオプションはそのままにしておきます。ロックダウンモードを有効にしないことをお勧めします。有効にすると、VPN が利用できない場合、デバイスは完全なネットワーク接続を失う可能性があります。

  • これらの設定に加えて、前のセクションで説明したように、[ **アプリ構成ポリシー ] ページでアプリごとの VPN タイプと**PerAppVPN アプリリストを設定して 、Android 用のアプリごとの VPN を有効にすることもできます。

注:

Always On VPNは、Citrix SSOアプリのクライアント証明書認証でのみサポートされます。

参照ドキュメント

Intune での接続オプションの設定の詳細については、次のトピックを参照してください。

Intune Android Enterprise 環境でCitrix SSO アプリをセットアップする