Citrix Gateway

単一要素ログイン用のCitrix Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックを構成する

このトピックでは、Microsoft Intune eが提供するネットワークアクセスコンプライアンス(NAC)セキュリティを使用して、モバイルデバイス(iOSおよびAndroid)から内部ネットワークに接続するようにCitrix Gateway を構成する方法について説明します。ユーザーがiOSまたはAndroid VPNクライアントからCitrix Gateway に接続しようとすると、ゲートウェイはまずデバイスが管理対象デバイスであり、準拠しているデバイスであるかどうかをIntune サービスで確認します。

  • 管理対象:デバイスは Intune 企業ポータルクライアントを使用して登録されます。
  • 準拠:Intune MDM サーバーからプッシュされた必須ポリシーが適用されます。

デバイスが管理対象で準拠している場合にのみ、VPN セッションが確立され、ユーザに内部リソースへのアクセスが提供されます。

注:

  • このセットアップでは、バックエンドのCitrix Gateway がIntune サービスと通信します。SSLプロファイルは、Citrix Gateway への着信接続を処理します。Citrix Gateway バックエンド通信は、バックエンドクラウドサービス(Intune)のSNI要件をすべて処理します。

  • DTLSゲートウェイ仮想サーバー用のSNIは、Citrix Gateway リリース13.0ビルド64.x以降でサポートされています。

  • Intune NAC チェックは、アプリごとの VPN またはデバイス全体の VPN でも、VPN プロファイルが Intune 管理ポータル(現在は Microsoft エンドポイントマネージャと呼ばれる)によってプロビジョニングされている場合にのみサポートされます。これらの機能は、エンドユーザが追加した VPN プロファイルではサポートされません。NAC チェックを使用するには、エンドユーザーデバイスの Intune 管理者によって Microsoft Endpoint Manager からデバイスに VPN プロファイルが展開されている必要があります。

ライセンス

この機能を使用するには、Citrix エンタープライズエディションのライセンスが必要です。

システム要件

  • Citrix Gateway リリース11.1ビルド51.21以降
  • iOS VPN — 10.6 以降
  • Android VPN — 2.0.13 以降
  • Microsoft
    • Azure AD アクセス (テナント権限と管理者権限を持つ)
    • Intune が有効なテナント
  • ファイアウォール サブネット IP アドレスからhttps://login.microsoftonline.comおよびhttps://graph.windows.net (ポート 53 およびポート 443) へのすべての DNS および SSLトラフィックに対するファイアウォールルールを有効にします。

前提条件

  • 既存の認証ポリシーはすべて、クラシックポリシーから高度なポリシーに変換する必要があります。クラシックポリシーから高度なポリシーに変換する方法については、https://support.citrix.com/article/CTX131024を参照してください。
  • Azure ポータルで Citrix Gateway アプリケーションを作成します。詳しくは、「 Azure ポータルでの Citrix Gateway アプリケーションの構成」を参照してください。
  • 次のアプリケーション固有の情報を使用して、作成したCitrix Gateway アプリケーションでOAuthポリシーを構成します。
    • クライアント ID/アプリケーション ID
    • クライアントシークレット/アプリケーションキー
    • Azure テナント ID

参照ドキュメント

ゲートウェイ展開用に nFactor を搭載した Citrix Gateway 仮想サーバーを追加するには

  1. Citrix Gateway]>[仮想サーバー]に移動します。

    [仮想サーバー] ページ

  2. [追加] をクリックします。

  3. 基本設定 」領域に必要な情報を入力し、 「OK」をクリックします。

    基本設定を設定する

  4. [ サーバー証明書] を選択します。

    サーバー証明書を選択

  5. 必要なサーバー証明書を選択し、[ バインド] をクリックします。

    サーバー証明書のバインド

  6. Intune NAC v2 API サポートの一環として、Citrix ADC アプライアンスがモバイルデバイスから有効な証明書を取得できるように、認証局ファイル(CA 証明書)をバインドする必要があります。Intune NAC v2 では、モバイルデバイスはクライアント証明書の一部としてデバイス ID を送信します。ここでバインドされる CA 証明書は、エンドユーザーの iOS および Android デバイスにクライアント証明書を発行するために使用される証明書である必要があります。中間証明書がある場合は、その証明書もここでバインドする必要があります。Intune の構成について詳しくは、「 Azure ポータルでの Citrix Gateway アプリケーションの構成」を参照してください。Intune NAC v2 API サポートの場合は、必要な CA 証明書を選択し、[ バインド] をクリックします。

    Intune 統合用のサーバー証明書のバインド

    Intune 統合用のサーバー証明書のバインド

  7. [続行] をクリックします。

  8. [続行] をクリックします。

  9. [続行] をクリックします。

  10. [ポリシー] の横にあるプラスアイコン[+]をクリックし、[ **ポリシーの選択 ] リストから [ セッション ] を選択し、[ タイプの選択 ] リストから [ 要求 ] を選択して [ 続行 ] をクリックします。**

  11. [ ポリシーの選択 ] の横にあるプラスアイコン [+]をクリックします。

  12. [Citrix Gateway セッションポリシーの作成 ]ページで、セッションポリシーの名前を入力します。

  13. プロファイル ]の横にあるプラスアイコン [+] をクリックし、[ Citrix Gateway セッションプロファイルの作成 ]ページでセッションプロファイルの名前を入力します。

  14. [ クライアントエクスペリエンス ] タブで、[ クライアントレスアクセス ] の横にあるチェックボックスをクリックし、リストから [ オフ ] を選択します。

  15. [ プラグインタイプ ] の横にあるチェックボックスをクリックし、リストから [Windows/Mac OS X] を選択します。

  16. [ 詳細設定 ] をクリックし、[ クライアントの選択 ] の横にあるチェックボックスをオンにし、その値を [ オン] に設定します。

  17. [ セキュリティ ] タブで、[ 既定の承認アクション ] の横にあるチェックボックスをクリックし、リストから [ 許可 ] を選択します。

  18. [ 公開アプリケーション ] タブで、[ ICAプロキシ ] の横にあるチェックボックスをクリックし、一覧から [ オフ ] を選択します。

  19. [ 作成] をクリックします。

  20. [Citrix Gateway セッションポリシーの作成 ]ページの[ ]領域で、修飾式を構成します。

  21. [Create] をクリックします。

  22. [バインド] をクリックします。

  23. [ 詳細設定 ] で [ 認証プロファイル] を選択します。

    認証プロファイルの選択

  24. プラスアイコン [+] をクリックし、認証プロファイルの名前を入力します。

    認証プロファイル名

  25. プラスアイコン [+] をクリックして、認証仮想サーバを作成します。

    認証仮想サーバーの追加

  26. 基本設定 ]領域で認証仮想サーバーの名前とIPアドレスの種類を指定し、[ OK]をクリックします。IP アドレスタイプは、 アドレス指定不可にもできます

    基本設定を設定する

  27. [ 認証ポリシー] をクリックします。

    認証ポリシー

  28. [Policy Binding] ビューで、プラスアイコン [+] をクリックして認証ポリシーを作成します。

    認証ポリシーの作成

  29. [ アクションタイプ ] として [ OAUTH ] を選択し、プラスアイコン [+] をクリックして NAC の OAuth アクションを作成します。

    OAuth アクションタイプの選択

  30. クライアント ID、 **クライアントシークレットおよびテナント ID**を使用して OAuth アクションを作成します。

    注:

    • クライアントIDクライアントシークレット、およびテナントIDは 、AzureポータルでCitrix Gateway アプリケーションを構成した後に生成されます。
    • クライアントID/アプリケーションID、クライアントシークレット/アプリケーションシークレット、およびAzureテナントIDの情報は、後でCitrix Gateway でOAuthアクションを作成する際に必要になるため、書き留めておきます。

    アプライアンスに適切な DNS ネームサーバが設定されていて、解決して到達できることを確認します。 - https://login.microsoftonline.com/, - https://graph.windows.net/, - *.manage.microsoft.com。

    Azure ポータルの ID とシークレット

  31. OAuth アクションの認証ポリシーを作成します

    ルール:

    http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN")))
    <!--NeedCopy-->
    

    認証ポリシールール

  32. プラスアイコン [+] をクリックして NextFactor ポリシーラベルを作成します。

    次の要素ポリシーラベルの作成

  33. プラスアイコン [+] をクリックして、ログインスキーマを作成します。

    ログインスキーマの作成

  34. 認証スキーマとしてnoschemaを選択し、[ 作成] をクリックします。

    認証スキーマの選択

  35. 作成したログインスキーマを選択したら、[ Continue] をクリックします。

    ![続ける] をクリックします](/en-us/netscaler-gateway/media/intune_18.jpg)

  36. [ポリシーの選択(Select Policy)] で、ユーザログイン用の既存の認証ポリシーを選択するか、プラスアイコン [ + ] をクリックして認証ポリシーを作成します。 認証ポリシーの作成について詳しくは、 [高度な認証ポリシーの構成およびLDAP認証の設定を参照してください](/ja-jp/citrix-gateway/current-release/authentication-authorization/configure-ldap.html)

    認証ポリシーを選択または作成します。

  37. [バインド] をクリックします。

    ![バインド] をクリックします](/en-us/netscaler-gateway/media/intune_21.jpg)

  38. [完了] をクリックします。

    「完了」をクリック

  39. [バインド] をクリックします。

    ![バインド] をクリックします](/en-us/netscaler-gateway/media/intune_23.jpg)

  40. [続行] をクリックします。

    ![続ける] をクリックします](/en-us/netscaler-gateway/media/intune_24.jpg)

  41. [完了] をクリックします。

    「完了」をクリック

  42. [Create] をクリックします。

    「作成」をクリック

  43. [OK] をクリックします。

    OK をクリックします。

  44. [完了] をクリックします。

    「完了」をクリック

認証ログインスキーマを認証仮想サーバーにバインドして、VPN プラグインが /cgi/login 要求の一部としてデバイス ID を送信するように指示するには

  1. セキュリティ > AAA-アプリケーショントラフィック > 仮想サーバに移動します

    [仮想サーバー] ページ

  2. 以前に選択した仮想サーバを選択し、[ 編集(Edit)] をクリックします。

    仮想サーバーを編集する

  3. [ 詳細設定 ] の [ ログインスキーマ] をクリックします。

    ログインスキーマの選択

  4. [ ログインスキーマ ] をクリックしてバインドします。

    ログインスキーマのバインド

  5. [>] をクリックして、NAC デバイスチェック用の既存のビルドインログインスキーマポリシーを選択してバインドします。

    ログインスキーマポリシーのバインド

  6. 認証展開に適した必要なログインスキーマポリシーを選択し、[選択( Select)] をクリックします。

    前述の展開では、単要素認証(LDAP)と NAC OAuth Action ポリシーが使用されます。したがって、 lschema_single_factor_deviceid が選択されます。

    単一要素認証ポリシーの選択

  7. [バインド] をクリックします。

    ![バインド] をクリックします](/en-us/netscaler-gateway/media/a_intune_7.jpg)

  8. [完了] をクリックします。

    「完了」をクリック

Intune NAC v2 API サポート

Intune NAC v2 API サポートの一環として、Citrix ADC アプライアンスがモバイルデバイスから有効な証明書を取得できるように、認証局ファイル(CA 証明書)をバインドする必要があります。Intune NAC v2 では、モバイルデバイスは CA 証明書の一部としてデバイス ID を送信します。ここでバインドされる CA 証明書は、エンドユーザーの iOS および Android デバイスにクライアント証明書を発行するために使用される証明書である必要があります。中間証明書がある場合は、その証明書もここでバインドする必要があります。

以下のサンプルコマンドを使用して CA 証明書をバインドできます。

bind ssl vserver intune_nac_check_443 -certkeyName clientca -CA -ocspCheck Optional
<!--NeedCopy-->

重要:

  • Intune NAC v2 API サポートは、Citrix Gateway バージョン 13.1 ビルド 12.50 以降、および 13.0 ビルド 84.11 以降で利用できます。

  • VPN および認証仮想サーバーでclientAuthを [ENABLED] およびclientCertを [OPTIONAL] に設定して、クライアント証明書ベースの認証を有効にする必要があります。Intune NAC チェックを必要としない他のエンドポイントが、クライアント証明書を提供しなくても同じ仮想サーバを介して認証できるように、 clientCert パラメータは OPTIONAL に設定されます。Android デバイスと iOS デバイスはクライアント証明書を提供する必要があります。そうしないと、Intune NAC チェックは失敗します。
  • モバイルデバイスの Intune 経由でプロビジョニングされるクライアント証明書の、「ネットワークアクセスコントロール用の新しい Microsoft Intune サービス」ドキュメントで示されている URI タイプの SAN フィールドに Intune デバイス ID が含まれていることを確認する必要があります。詳しくは、https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696を参照してください。 URI 値フィールドの形式は、次の図に示すものと同じである必要があります。また、Citrix SSOアプリはゲートウェイでの認証に同じ証明書を使用する必要があります。

Intune デバイス ID サンプル

トラブルシューティング

一般的な問題

問題 [解像度]
アプリを開くと、「ポリシーの追加が必要です」というメッセージが表示されます。 Microsoft Graph API でポリシーを追加する
ポリシーの競合がある アプリごとに許可されるポリシーは 1 つだけです。
アプリが内部リソースに接続できない 正しいファイアウォールポートが開いていること、正しいテナント ID が使用されていることなどを確認する

Citrix Gatewayの問題

問題 [解像度]
Azure 上のゲートウェイアプリに対して構成するために必要なアクセス許可は使用できません。 適切なIntuneライセンスが利用可能かどうかを確認します。 manage.windowsazure.com ポータルを使用して、権限を追加できるかどうかを確認してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
Citrix Gatewayはlogin.microsoftonline.comandgraph.windows.netに到達できません。 NS Shell から、次のMicrosoft Web サイトにアクセスできるかどうかを確認します。cURL-v-k https://login.microsoftonline.com。次に、Citrix Gateway でDNSが構成されているかどうかを確認します。また、ファイアウォールの設定が正しいことを確認します (DNS 要求がファイアウォールされている場合)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthAction コマンドで OAuth ステータスが完了と表示されない。 DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

Citrix Gateway OAuthのステータスとエラー状態

ステータス エラー状態
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comはダウンまたは到達不能です
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのため「トークンエンドポイント:https://login.microsoftonline.com」と通信できない。この構成を検証するには、シェルプロンプトに移動し、cURL https://login.microsoftonline.comと入力します。このコマンドは検証が必要です。

注: OAuth ステータスが成功すると、ステータスは「完了」と表示されます。

Intune 構成チェック

Citrix SSOの基本iOS VPN構成]>[ネットワークアクセス制御(NAC)を有効にする ]で、[ 同意する]チェックボックスをオンにします。そうでない場合、NAC チェックは機能しません。

単一要素ログイン用のCitrix Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックを構成する