Citrix Gateway

MicrosoftエンドポイントマネージャーでマイクロVPNを使用するようにCitrix Gateway をセットアップする

Citrix Micro VPNとMicrosoft Endpoint Management との統合により、アプリはオンプレミスのリソースにアクセスできます。詳しくは、 Citrix マイクロVPNとMicrosoft Endpoint Managerの統合を参照してください

システム要件

  • Citrix Gateway バージョン
    • 13.1
    • 13.0
    • 12.1.50.x またはそれ以降
    • 12.0.59.x またはそれ以降

    Citrix Gatewayの最新バージョンは、Citrix Gatewayダウンロードページからダウンロードすることもできます。

  • Windows 7以降を実行しているWindowsデスクトップ(Androidアプリのラッピングにのみ対応)

  • Microsoft
    • Azure ADアクセス(テナントの管理者特権あり)
    • Intune対応のテナント
  • ファイアウォール規則
    • Citrix Gateway サブネットIPから*.manage.microsoft.comhttps://login.microsoftonline.comおよびhttps://graph.windows.net (ポート443)へのSSLトラフィックに対するファイアウォールルールを有効にする
    • Citrix Gateway は、前述のURLを外部で解決できる必要があります。

前提条件

  • Intune 環境: Intune 環境がない場合は、セットアップします。手順については、 Microsoft のドキュメントを参照してください

  • エッジブラウザーアプリ: マイクロ VPN SDK は、iOS および Android 用の Microsoft Edge アプリと Intune Managed Browser アプリに統合されています。Managed Browserについて詳しくは、MicrosoftのManaged Browserのページを参照してください。

Azure Active Directory (AAD) アプリケーションのアクセス許可を付与する

  1. Citrix Gateway がAADドメインで認証することを許可することを、CitrixマルチテナントAADアプリケーションに同意します。Azure グローバル管理者は、次の URL にアクセスして同意する必要があります。

    https://login.windows.net/common/adminconsent?client_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40b&redirect_uri=https://www.citrix.com&state=consent

  2. Citrix マルチテナント AAD アプリケーションに同意して、モバイルアプリケーションがCitrix Gateway Micro VPNで認証できるようにします。このリンクは、Azure グローバル管理者が [ユーザーはアプリケーションを登録できます] の既定値を [はい] から [いいえ] に変更した場合にのみ必要です。 この設定は、Azure ポータルの [ Azure Active Directory] > [ユーザー] > [ユーザー設定]の下にあります。 Azure グローバル管理者は、次の URL にアクセスして同意 ( テナント IDを追加) する必要があります。https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7

Citrix Gateway をマイクロVPN用に構成する

IntuneでマイクロVPNを使用するには、Citrix GatewayでAzure Active Directoryが認証されるように設定する必要があります。このユースケースでは、既存のCitrix Gateway仮想サーバーは利用できません。 まず、Azure ADがオンプレミスのActive Directoryと同期するように設定します。この手順は、IntuneとCitrix Gatewayとの間の認証を適切に行うために必要です。

スクリプトのダウンロード:.zip ファイルには、スクリプトの実装手順を含む readme が含まれています。スクリプトに必要な情報を手動で入力し、Citrix Gateway でスクリプトを実行してサービスを構成する必要があります。スクリプトファイルは、 [Citrix Downloads]ページからダウンロードできます

重要: Citrix Gateway の構成が完了し、OAuthステータスがCOMPLETE以外に表示される場合は、「トラブルシューティング」セクションを参照してください。

Microsoft Edge Browserの設定

  1. https://endpoint.microsoft.com/にサインインし、[Intune] > [モバイルアプリ] の順に移動します。
  2. 通常どおり Edge アプリを公開し、アプリ構成ポリシーを追加します。
  3. [管理][アプリ構成ポリシー] をクリックします。
  4. [追加] をクリックし、作成するポリシーの名前を入力します。[ デバイスの登録の種類] で、[ 管理対象アプリ] を選択します。
  5. [ 関連アプリ] をクリックします。
  6. ポリシーを適用するアプリ(Microsoft Edge または Intune 管理対象ブラウザ)を選択し、[ OK]をクリックします。
  7. [構成設定] をクリックします。
  8. [ Name ] フィールドに、次の表に示すいずれかのポリシーの名前を入力します。
  9. [値] フィールドに、対象のポリシーに適用する値を入力します。フィールドの外をクリックすると、ポリシーがリストに追加されます。ポリシーは複数追加できます。
  10. [OK] をクリックしてから [追加] をクリックします。

ポリシーのリストにポリシーが追加されます。

名前(iOSまたはAndroid) 説明
MvpnGatewayAddress https://external.companyname.com Citrix Gateway の外部 URL
MvpnNetworkAccess MvpnNetworkAccessTunneledWebSSOor Unrestricted MvpnNetworkAccessTunneledWebSSOがトンネリングのデフォルトです
MvpnExcludeDomains 除外するドメイン名のカンマ区切りリスト オプションです。既定値は [空白] です。

注: Web SSO は設定でSecure Browse の名前です。動作は同じです。

  • mvpnNetworkAccess -mvpnNetworkAccessTunneledWebSSOを使用すると、Citrix Gateway(トンネルウェブSSOとも呼ばれる)を介したHTTP/HTTPSリダイレクトが可能になります。ゲートウェイは HTTP 認証チャレンジにインラインで応答し、シングルサインオン (SSO) エクスペリエンスを提供します。ウェブ SSO を使用するには、このポリシーを mvpnNetworkAccessTunneledWebSSOに設定します。フルトンネルリダイレクションは現在サポートされていません。マイクロ VPN トンネリングをオフのままにするには、[ 制限なし ] を使用します。

  • mvpnExcludeDomains -Citrix Gateway リバースWebプロキシ経由のルーティングから除外されるホスト名またはドメイン名のカンマ区切りのリスト。Citrix Gateway 構成のスプリットDNS設定でドメインまたはホストが選択される場合がありますが、ホストまたはドメイン名は除外されます。

    注: このポリシーは、 mvpnNetworkAccessTunneledWebSSO 接続にのみ適用されます。MvpnNetworkAccessUnrestrictedの場合、このポリシーは無視されます。

トラブルシューティング

一般的な問題

問題 [解像度]
アプリを開くと、「ポリシーの追加が必要です」というメッセージが表示されます。 Microsoft Graph API でポリシーを追加する
ポリシーの競合がある アプリごとに許可されるポリシーは 1 つだけです。
アプリをラップすると、「アプリのパッケージ化に失敗しました」というメッセージが表示されます。完全なメッセージについては、次の表を参照してください。 アプリは Intune SDK と統合されています。Intune でアプリをラップする必要はありません
アプリが内部リソースに接続できない 正しいファイアウォールポートが開いていること、テナント ID が正しいことなどを確認します。

アプリのパッケージ化に失敗しました。エラーメッセージ:

アプリのパッケージ化に失敗しました。com.microsoft.intune.mam.appPackager.utils.appPackageException: このアプリにはすでに MAM SDK が統合されています。 com.microsoft.intune.mam.appPackager.appPackager.appPackagerApp (appPackager.java: 113) com.microsoft.intune.mam.appPackager.Packager.PackagerMain.mainInternal (packagerMain.java: 198) com.microsoft.intune.mam.appPackager.Packager.PackagerMAIN.main (packagerMain.MAIN .java:56) アプリケーションはラッピングできません。

Citrix Gatewayの問題

問題 [解像度]
Azure 上のゲートウェイアプリに対して構成するために必要なアクセス許可は使用できません。 適切なIntuneライセンスが利用可能かどうかを確認します。 manage.windowsazure.com ポータルを使用して、権限を追加できるかどうかを確認してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
Citrix Gatewayはlogin.microsoftonline.comandgraph.windows.netに到達できません。 NS Shell から、次のMicrosoft Web サイトにアクセスできるかどうかを確認します。cURL-v-k https://login.microsoftonline.com。次に、Citrix Gateway でDNSが構成されているかどうかを確認します。また、ファイアウォールの設定が正しいことを確認します (DNS 要求がファイアウォールされている場合)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthActionコマンドでOAuthのステータスが完了と表示されない。 DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

Citrix Gateway OAuthのステータスとエラー状態

ステータス エラー状態
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comはダウンまたは到達不能です
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのため「トークンエンドポイント:https://login.microsoftonline.com」と通信できない。この設定を検証するには、shell に移動して cURL https://login.microsoftonline.comと入力します。このコマンドは検証が必要です。

注: OAuth ステータスが成功すると、ステータスは「完了」と表示されます。

MicrosoftエンドポイントマネージャーでマイクロVPNを使用するようにCitrix Gateway をセットアップする