Intune Android Enterprise 環境でCitrix SSO アプリをセットアップする

このトピックでは、Microsoft Intune を介した Citrix SSO アプリの展開と構成について詳しく説明します。このドキュメントでは、Intune がすでに Android Enterprise サポート用に設定されており、デバイスの登録がすでに行われていることを前提としています。

前提条件

• Intune は Android Enterprise サポート用に設定されています
• デバイス登録が完了しました

Intune Android Enterprise 環境でCitrix SSO アプリをセットアップするには

• Citrix SSOアプリを管理対象アプリとして追加する
• Citrix SSOアプリの管理対象アプリポリシーを構成する

Citrix SSOアプリを管理対象アプリとして追加する

1. Azure ポータルにログインします。

2. 左側のナビゲーションブレードの Intune をクリックします。

3. Microsoft Intune ブレードで [ クライアントアプリ ] をクリックし、[クライアントアプリ] ブレードの [アプリ] をクリックします。

4. 右上のメニューオプションで [ + リンクを追加 ] をクリックします。[アプリ構成の追加] ブレードが表示されます。

5. アプリの種類として [ 管理対象 Google Play ] を選択します。

   これにより、Android Enterprise を設定している場合、Google Play の検索を管理してブレードを承認するが追加されます。

6. Citrix SSOアプリを検索し、アプリの一覧から選択します。

   

   注： Citrix SSOがリストに表示されない場合は、アプリがお住まいの国では利用できないことを意味します。

7. ［ 承認 ］をクリックして、管理対象Google Play ストアを通じたCitrix SSOの展開を承認します。

   Citrix SSOアプリに必要な権限が一覧表示されます。

8. [ APPROVE ] をクリックして、アプリのデプロイを承認します。

9. [ 同期 ] をクリックして、この選択を Intune と同期します。

   Citrix SSOアプリが［クライアントアプリ］リストに追加されます。追加されたアプリが多数ある場合は、Citrix SSOアプリを検索する必要があります。

10. ［ Citrix SSO アプリ］をクリックして、［アプリ詳細］ブレードを開きます。

11. 詳細ブレードの [ 割り当て ] をクリックします。Citrix SSO-割り当てブレードが表示されます 。

    

12. ［ グループの追加 ］をクリックして、Citrix SSOアプリをインストールする権限を付与するユーザーグループを割り当てて、［ 保存］をクリックします。

13. Citrix SSO アプリの詳細ブレードを閉じます。

Citrix SSOアプリが追加され、ユーザーへの展開が有効になります。

Citrix SSOアプリの管理対象アプリポリシーを構成する

Citrix SSOアプリを追加したら、Citrix SSOアプリの管理された構成ポリシーを作成して、VPNプロファイルをデバイス上のCitrix SSOアプリに展開できるようにする必要があります。

1. Azure ポータルで Intune ブレードを開きます。

2. Intune ブレードから [ クライアントアプリケーション ] ブレードを開きます。

3. [クライアントアプリケーション] ブレードから [ アプリ構成ポリシー ] 項目を選択し、[ 追加 ] をクリックして [ 構成ポリシーの追加 ] ブレードを開きます。

4. ポリシーの名前を入力し、その説明を追加します。

5. [ デバイス登録の種類] で、[ 管理対象デバイス] を選択します。

6. [ プラットフォーム] で、[ Android] を選択します。

   これにより、関連付けられたアプリに別の構成オプションが追加されます。

7. ［ 関連付けられたアプリ ］をクリックし、［ Citrix SSOアプリ ］を選択します。

   アプリが多いなら検索しなきゃいけないかも

8. ［OK］ をクリックします。構成設定オプションが [構成ポリシーの追加] ブレードに追加されます。

9. [ 構成設定 ] をクリックします。

   Citrix SSOアプリを構成するためのブレードが表示されます。

10. ［ 構成設定］で、［ 構成デザイナーを使用する］または［ JSONデータの入力 ］のいずれかを選択して、Citrix SSOアプリを構成します。

注:

単純な VPN 構成の場合は、構成デザイナーを使用することをお勧めします。

ユーザ設定デザイナーを使用した VPN 設定

1. [ 構成設定] で、[ 構成デザイナーを使用する ] を選択し、[ 追加] をクリックします。

   Citrix SSOアプリでサポートされているさまざまなプロパティを構成するためのキー値入力画面が表示されます。少なくとも、[ サーバーアドレス ] と [ VPN プロファイル名 ] プロパティを構成する必要があります。[ DESCRIPTION ] セクションにマウスポインターを合わせると、各プロパティの詳細が表示されます。

2. たとえば、［ VPN プロファイル名 ］および［ サーバーアドレス（*） ］プロパティを選択し、［ OK］をクリックします。

   これにより、プロパティが構成デザイナーに追加されます。次のプロパティを設定できます。

   • VPN プロファイル名。VPNプロファイルの名前を入力します。複数のVPNプロファイルを作成している場合は、それぞれに一意の名前を使用します。名前を指定しない場合、[Server Address] フィールドに入力したアドレスが VPN プロファイル名として使用されます。

   • サーバーアドレス (*)。Citrix Gatewayのベース完全修飾ドメイン名を入力します。Citrix Gatewayのポートが443ではない場合は、ポートも入力します。URL形式を使用します。例：https://vpn.mycompany.com:8443。

   • ユーザー名 （オプション）。エンドユーザーがCitrix Gateway への認証に使用するユーザー名を入力します。ゲートウェイがそれを使用するように設定されている場合は、このフィールドに Intune設定値トークンを使用できます（設定値トークンを参照）。ユーザー名を指定しない場合、ユーザーはCitrix Gateway に接続するときにユーザー名の入力を求められます。

   • パスワード （オプション）。エンドユーザーがCitrix Gateway への認証に使用するパスワードを入力します。パスワードを指定しない場合、ユーザーはCitrix Gateway に接続するときにパスワードの入力を求められます。

   • 証明書エイリアス （オプション）。クライアント証明書認証に使用する証明書エイリアスを Android KeyStore に提供します。証明書ベースの認証を使用している場合、この証明書はユーザーに対して事前に選択されています。

   • サーバー証明書ピン （オプション）。Citrix Gateway で使用される証明書ピンを記述するJSONオブジェクト。値の例: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。詳しくは、「 Android Citrix SSOを使用したCitrix Gateway 証明書のピン留め」を参照してください。

   • Per-App VPNの種類（オプション）。Per-App VPNを使用してこのVPNを使用するようにアプリを制限している場合、この設定を構成できます。

     • ［許可］ を選択すると、PerAppVPN アプリ一覧に表示されるアプリパッケージ名のネットワークトラフィックが VPN 経由でルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPN外でルーティングされます。
     • ［許可しない］ を選択した場合、［Per-App VPNアプリ一覧］に含まれるアプリパッケージ名のネットワークトラフィックがVPN外でルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPNを介してルーティングされます。デフォルトは［許可］です。
   • perAppVPN アプリリスト。［Per-App VPNの種類］の値に応じ、トラフィックがVPNで許可されるか、または許可されないアプリの一覧。アプリパッケージ名がカンマまたはセミコロンで区切って一覧にされます。アプリパッケージ名は大文字と小文字が区別され、この一覧でもGoogle Playストアに表示されているのと同じように表示される必要があります。この一覧はオプションです。デバイス全体のVPNをプロビジョニングする場合は、この一覧を空のままにします。

   • デフォルトの VPN プロファイル。VPN常時接続がCitrix SSOアプリ用に構成されている場合に使用されるVPNプロファイル名。このフィールドが空の場合、メインプロファイルは接続に使用されます。プロファイルが 1 つだけ設定されている場合、そのプロファイルはデフォルトの VPN プロファイルとしてマークされます。

     

   注：

   • Intune でCitrix SSOアプリをVPN常時接続プリとして設定するには、VPNプロバイダーをカスタムとして使用し、com.citrix.citrixVPNをアプリパッケージ名として使用します。

   • Citrix SSOアプリでは、証明書ベースのクライアント認証のみがVPN常時接続でサポートされています。

   • SSOアプリが意図したとおりに動作するには、管理者がCitrix Gateway **のSSLプロファイルまたはSSLプロパティで［ **クライアント認証］を選択し、［クライアント証明書 ］を［ 必須 ］に設定する必要があります。

   • ユーザープロファイルの無効化
     • この値を true に設定すると、ユーザーはデバイスに新しい VPN プロファイルを追加できません。
     • この値を false に設定すると、ユーザーは自分のデバイスに独自の VPN を追加できます。

     デフォルト値はfalseです。

   • 信頼できないサーバーをブロックする
     • Citrix Gateway で自己署名証明書を使用する場合、またはCitrix Gateway 証明書を発行するCAのルート証明書がシステムCAリストにない場合は、この値をfalseに設定します。
     • AndroidオペレーティングシステムがCitrix Gateway 証明書を検証できるようにするには、この値をtrueに設定します。検証に失敗した場合、接続は許可されません。

     デフォルト値はtrueです。

3. [ サーバーアドレス (*) ] プロパティに、VPN ゲートウェイのベース URL（https://vpn.mycompany.comなど）を入力します。

4. ［ VPNプロファイル名］に、Citrix SSOアプリのメイン画面でエンドユーザーに表示される名前（［企業VPN］など）を入力します。

5. Citrix Gateway 展開環境には、必要に応じて他のプロパティを追加および構成できます。設定が完了したら、 「OK」 をクリックします。

6. [ 権限 ] セクションをクリックします。このセクションでは、Citrix SSOアプリに必要なアクセス許可を付与できます。

   • Intune NACチェックを使用している場合、Citrix SSOアプリでは、 電話の状態（読み取り） 権限を付与する必要があります。[ 追加 ] ボタンをクリックして、[権限] ブレードを開きます。現在、Intune には、すべてのアプリで使用できるアクセス許可の重要なリストが表示されます。

   • Intune NAC チェックを使用している場合は、 電話の状態（読み取り） 権限を選択し、 OKをクリックします。これにより、アプリの権限のリストに追加されます。Intune NAC チェックが機能するように [ プロンプト ] または [ 自動許可 ] のいずれかを選択し、[ OK] をクリックします。

     

7. ［アプリ構成ポリシー］ブレードの下部にある［ 追加 ］をクリックして、Citrix SSOアプリの管理対象構成を保存します。

8. [アプリケーション構成ポリシー] ブレードの [ 割り当て ] をクリックして、[ 割り当て] ブレードを開きます。

9. このCitrix SSO構成を配信および適用するユーザーグループを選択します。

JSON データを入力することによる VPN の設定

1. ［ 構成設定］で、［Citrix SSOアプリを構成するためのJSONデータの入力 ］を選択します。

2. ［JSONテンプレートのダウンロード］ボタンを使用して、Citrix SSOアプリのより詳細で複雑な構成を提供できるテンプレートをダウンロードします。このテンプレートは、Citrix SSOアプリが認識できるすべてのプロパティを構成するためのJSONキーと値のペアのセットです。

   構成可能なすべてのプロパティの一覧については、「 Citrix SSOアプリでのVPNプロファイルの構成に使用可能なプロパティ」を参照してください。

3. JSON 設定ファイルを作成したら、その内容をコピーして編集領域に貼り付けます。たとえば、構成デザイナーオプションを使用して以前に作成された基本設定の JSON テンプレートを次に示します。

これで、Microsoft Intune Android Enterprise 環境でCitrix SSOアプリ用のVPNプロファイルを構成および展開する手順は完了です。

重要:

クライアント証明書ベースの認証に使用される証明書は、Intune SCEP プロファイルを使用して展開されます。この証明書のエイリアスは、Citrix SSOアプリの管理対象構成の［ 証明書エイリアス ］プロパティで構成する必要があります。

Citrix SSOアプリでVPNプロファイルを構成する際に使用できるプロパティ

カスタムパラメータ

各カスタムパラメータは、次のキーと値の名前を使用して定義する必要があります。

VPN プロファイルリストの各 VPN でサポートされるプロパティ

JSON テンプレートを使用して複数の VPN プロファイルを設定する場合、各 VPN プロファイルで次のプロパティがサポートされます。

Intune で Citrix SSO アプリをVPN常時接続プロバイダーとして設定する

Android VPNサブシステムでオンデマンドVPNサポートがない場合、VPN常時接続を代替として使用して、Citrix SSOアプリによるクライアント証明書認証とともにシームレスなVPN接続オプションを提供できます。VPN は、起動時または仕事用プロファイルがオンになったときに、オペレーティングシステムによって起動されます。

Intune でCitrix SSOアプリをVPN常時接続アプリにするには、次の設定を使用する必要があります。

• 使用する適切な管理対象設定の種類（仕事用プロファイルで個人所有または完全管理型、専用型、および企業所有の仕事用プロファイル）を選択します。

• デバイス構成プロファイルを作成し、[ デバイスの制限 ] を選択し、[ 接続 ] セクションに移動します。VPN常時接続設定で [有効] を選択します。

• Citrix SSOアプリをVPNクライアントとして選択します 。Citrix SSOがオプションとして使用できない場合は、［ VPNクライアントとしてカスタム ］を選択し、［パッケージID］フィールドに com.citrix.citrixVPN と入力します（［パッケージID］フィールドでは大文字と小文字が区別されます）。

• 他のオプションはそのままにしておきます。ロックダウンモードを有効にしないことをお勧めします。有効にすると、VPN が利用できない場合、デバイスは完全なネットワーク接続を失う可能性があります。

• これらの設定に加えて、前のセクションで説明したように、[ **アプリ構成ポリシー ] ページでPer-App VPNの種類と**PerAppVPN アプリリストを設定して 、AndroidのPer-App VPNを有効にすることもできます。

注：

VPN常時接続は、Citrix SSOアプリのクライアント証明書認証でのみサポートされます。

参照ドキュメント

Intune での接続オプションの設定の詳細については、次のトピックを参照してください。

• 完全に管理された企業所有の専用デバイス

• 個人所有のデバイス

制限事項

Android 11 で導入されたパッケージの可視性制限により、Android 11 以降のデバイス上のAndroid Enterprise環境におけるPer-App VPNの制限は次のとおりです 。

• 許可/拒否リストに含まれるアプリが VPN セッションの開始後にデバイスにデプロイされた場合、アプリがそのトラフィックを VPN セッション経由でルーティングできるようにするには、エンドユーザーが VPN セッションを再起動する必要があります。
• Per-App VPNをVPN常時接続セッションで使用する場合、デバイスに新しいアプリをインストールした後、エンドユーザーは仕事用プロファイルを再起動するか、デバイスを再起動して、アプリのトラフィックを VPN セッション経由でルーティングする必要があります。