Citrix Endpoint Management 与 Microsoft Intune/EMS 的集成

Endpoint Management 与 Microsoft 企业移动性 + 安全性 (EMS)/Intune 的集成在 Microsoft Managed Browser 等 Microsoft Intune 感知应用程序中增加了 Endpoint Management Micro VPN 的价值。

Endpoint Management 与 EMS/Intune 的集成还允许企业通过 Intune 和 Citrix 打包自己的业务线应用,以在 Intune 移动应用程序管理 (MAM) 容器中提供 Micro VPN 功能。借助 Endpoint Management Micro VPN,您的应用程序能够访问本地资源。可以在一个容器中管理和交付 Office 365 应用程序、业务线应用和 Citrix Secure Mail,以实现终极安全和高效工作。

此版本支持以下用例:

  • Intune MAM
  • Intune MAM 和 Intune 移动设备管理 (MDM) Secure Mail for iOS 支持对此用例使用单点登录。
  • Intune MAM 以及 Endpoint Management MDM+MAM

    重要:

    在此用例中,Secure Mail 仅在 Citrix MAM 模式下运行。

入门指南

本文档是一个简单易懂的图形指南,用于设置 Endpoint Management 与 EMS/Intune 的集成。

系统要求

  • Citrix Gateway 版本 12.0.59.x 或 12.1.50.x 或更高版本。可以从 Citrix Gateway 下载页面 下载最新版本的 Citrix Gateway。
  • 运行 Windows 7 或更高版本的 Windows 桌面(仅适用于 Android 应用程序打包)
  • 运行 macOS 10.10 或更高版本的 Mac(适用于 iOS 或 Android 应用程序打包)
  • 移动平台:
    • iOS 11.x
    • Android 6.x、7.x、8.x

Microsoft

  • Azure AD 访问权限(具有租户管理权限)
  • 启用了 Intune 的租户

防火墙规则

  • 启用防火墙规则以允许 DNS 和 SSL 流量从 Citrix Gateway 子网 IP 传输到 *.manage.microsoft.comhttps://login.microsoftonline.comhttps://graph.windows.net(端口 53 和 443)

必备条件

  • Intune 环境: 如果您未设置 Intune 环境,请按照 Microsoft 文档中的步骤进行操作。
  • Intune 应用程序打包程序: Microsoft 将打包程序托管在您需要邀请访问的专用 GitHub 存储库中。收到邀请后,请从 Microsoft 下载打包程序。可以从 Microsoft Intune App SDK 文档找到下载打包程序的链接。
  • Managed Browser: 移动应用程序 SDK 集成在适用于 iOS 和 Android 的 Intune Managed Browser 应用程序中。有关 Managed Browser 的详细信息,请参阅 Microsoft Managed Browser 页面
  • Android SDK 和 Java JDK 的安装。在用于打包应用程序的计算机上安装这些 SDK。有关 Intune SDK 的详细信息,请参阅面向 Android 的 Microsoft Intune App SDK 开发人员指南
  • JDK 环境变量。为 JDK 设置 JDK 环境变量以更改路径以匹配您的 JDK 版本和安装位置。 示例: $env:Path += ";C:\\Program Files\\Java\\jdk1.8.0_121\\bin"
  • Citrix Cloud 帐户。要注册 Citrix 帐户并申请试用 Citrix Endpoint Management,请与您的 Citrix 销售代表联系。当您准备好继续操作时,请访问 https://onboarding.cloud.com。有关申请 Citrix Cloud 帐户的详细信息,请参阅注册Citrix Cloud

    注意:

    您提供的电子邮件必须是与 Azure AD 无关联的地址。可以使用任何免费的电子邮件服务。

  • 适用于 iOS 的 APNs 证书。确保您配置了适用于 iOS 的 APNs 证书。要了解有关设置这些证书的详细信息,请参阅此 Citrix 博客文章:创建和导入 APNs 证书
  • Azure AD 同步。在 Azure AD 与本地 Active Directory 之间设置同步。请勿在域控制器计算机上安装 AD 同步工具。有关设置此同步的详细信息,请参阅 Microsoft 文档将本地目录与 Azure Active Directory 相集成

同意委派权限提示

对于需要用户进行身份验证的托管应用程序,这些应用程序请求 Microsoft Graph 公开的应用程序权限。一旦同意这些权限提示,应用程序可以访问所需的资源和 API。某些应用程序需要得到 Microsoft Azure AD 的 Azure AD 全球管理员的同意。对于这些委派权限,全局管理员必须向 Citrix Cloud 授予请求令牌的权限。然后,令牌将启用以下权限。有关更多详细信息,请参阅 Microsoft Graph 权限参考

  • 登录并读取用户配置文件。此权限允许用户登录并连接到 Azure AD。请注意,Citrix 不查看用户凭据。
  • 阅读所有用户的基本配置文件。该应用程序代表组织中的用户读取配置文件属性。属性包括组织中用户的显示名称、名字和姓氏以及电子邮件地址和照片。
  • 阅读所有组。此权限允许为应用程序和策略分配枚举 Azure AD 组。
  • 以登录用户身份访问目录。此权限验证 Intune 订阅并启用 Citrix Gateway 和 VPN 配置。
  • 读取和写入 Microsoft Intune 应用程序。该应用程序可以读取和写入 Microsoft 托管的属性、组分配和应用程序状态、应用程序配置和应用程序保护策略。

此外,在 Citrix Gateway 配置期间,Azure AD 全局管理员必须批准为 Micro VPN 选择的 Active Directory。全局管理员还必须生成 Citrix Gateway 用于与 AAD 和 Intune 通信的客户端密钥。

全局管理员不得具有 Citrix 管理员角色。相反,Citrix 管理员将 Azure AD 帐户分配给具有适当 Intune 应用程序管理员权限的用户。然后,Intune 管理员担任 Citrix Cloud 管理员的角色,以从 Citrix Cloud 内部管理 Intune。

注意:

Citrix 仅在安装过程中使用 Intune 全局管理员密码,并将身份验证重定向到 Microsoft。Citrix 永远无法访问密码。

配置 Endpoint Management 与 EMS/Intune 的集成

  1. 登录到 Citrix Cloud 站点并申请 Endpoint Management 的试用版。

  2. 销售工程师安排与您的入门会议。让他们知道您希望将 Endpoint Management 与 EMS/Intune 相集成。批准您的请求后,单击管理

    Citrix Cloud 站点

  3. 在该站点,您可以单击站点右上角的齿轮,也可以单击配置站点

    Citrix Cloud 站点

  4. 按照第一步中的链接进入身份和访问管理页面。

    身份和访问管理链接

  5. 单击连接以连接您的 Azure AD 安装。

    “身份和访问管理”页面

  6. 输入 Azure AD 管理员用于登录的唯一登录 URL,然后单击确认

    “登录 URL”屏幕和“连接”按钮

  7. 添加 Azure AD 全局管理员帐户,然后接受权限申请。

    “使用其他帐户”按钮

    “接受”按钮

  8. 确认 Azure AD 实例已成功连接。要指示连接成功,未连接文本将更改为已启用

    “断开连接”按钮

  9. 单击管理员选项卡,然后将您的 Azure AD Intune 管理员添加为 Citrix Cloud 管理员。从下拉菜单中选择“Azure AD”或“Citrix 身份”,然后搜索要添加的用户名。单击邀请,然后在单击发送邀请之前授予用户完全访问权限自定义访问权限

    注意:

    Endpoint Management 需要针对自定义访问权限的以下规则:库和 Citrix Endpoint Management。

    因此,Azure AD Intune 管理员会收到一封电子邮件邀请,以创建密码并登录到 Citrix Cloud。在管理员登录之前,请确保您已注销所有其他帐户。

    Azure AD Intune 管理员必须遵循此过程中的其余步骤。

    Azure AD Intune 管理员邀请选项

    确认屏幕

  10. 使用新帐户登录后,在 Endpoint Management 下单击管理。如果所有内容都已正确配置,页面将显示 Azure AD 管理员已登录,并且您的 Intune 订阅有效。

    Endpoint Management 管理选项

视频帮助

观看此视频,了解如何逐步连接 Endpoint Management 与 Intune/EMS 的集成。

视频图标

为 Micro VPN 配置 Citrix Gateway

要将 Micro VPN 与 Intune 结合使用,必须将 Citrix Gateway 配置为对 Azure AD 进行身份验证。现有 Citrix Gateway 虚拟服务器不适用于此用例。

首先,将 Azure AD 配置为与本地 Active Directory 同步。此步骤对于确保 Intune 与 Citrix Gateway 之间正确进行身份验证是必要的。

Active Directory 同步

  1. 在 Citrix Cloud 控制台的 Endpoint Management 下,单击管理

  2. Micro VPN 旁边,单击配置 Micro VPN

    “配置 Micro VPN”按钮

  3. 输入 Micro VPN 服务的名称和 Citrix Gateway 的外部 URL,然后单击下一步

    此脚本将 Citrix Gateway 配置为支持 Azure AD 和 Intune 应用程序。

    Citrix Gateway 详细信息页面

  4. 点击下载脚本。.zip 文件包括一个自述文件,其中包含实施脚本的说明。即使可以在此处保存并退出,但在对 Citrix Gateway 安装运行脚本之前不会设置 Micro VPN。

    “下载脚本”按钮

    注意:

    完成 Citrix Gateway 配置过程后,如果看到“完成”以外的 OAuth 状态,请参阅“故障排除”部分。

配置设备管理

如果要管理除应用程序以外的设备,请选择一种设备管理方法。可以使用 Endpoint Management MDM+MAM 或 Intune MDM。

注意:

默认情况下,为控制台选择 Intune MDM。要使用 Intune 作为 MDM 提供程序,请按照网址为 设置移动设备管理授权 的 Microsoft 文档进行操作。

  1. 在 Citrix Cloud 控制台的“Endpoint Management 与 EMS/Intune 的集成”下,单击管理。在设备管理 - 可选旁边,单击配置 MDM

    “配置 MDM”屏幕

  2. 输入唯一的站点名称,选择离您最近的云区域,然后单击请求站点。站点准备就绪时,您会收到一封电子邮件。

    唯一的网站名称页面

    站点请求确认

  3. 单击确定关闭提示。选择要与您的站点关联的 Active Directory 位置或创建一个资源位置,然后单击下一步

    Active Directory 位置选项

    用于创建新资源位置的选项

  4. 单击下载 Cloud Connector,然后按照屏幕上的说明安装 Cloud Connector。安装后,单击测试连接以验证 Citrix Cloud 与 Cloud Connector 之间的连接。

    下载 Cloud Connector 选项

    测试连接选项

  5. 单击保存并退出以完成。此时将显示您的资源位置。单击完成将返回到设置屏幕。

    “保存并退出”屏幕

  6. 现在,您可以从站点磁贴访问 Endpoint Management 控制台。在此处,您可以执行 MDM 管理任务和分配设备策略。有关设备策略的详细信息,请参阅设备策略

    “管理站点”屏幕

打包 iOS 应用程序

Microsoft 已增强了其 Intune App Wrapping Tool 以添加可选参数“-Citrix”。作为最后一个步骤,此参数将调用 MDX Toolkit 命令行界面 (CLI) CGAppCLPrepTool 来打包应用程序。要使用 Intune 打包应用程序,请按照为 MAM 准备业务线应用中的说明进行操作。

重要:

请确保您使用针对此版本提供的打包工具,而非从文章中链接到的打包工具。

存在几个 MDX 选项。有关每个 MDX 变体的说明,请参见下面的列表。

  • MDX 仅网络打包程序: 只有 Intune MDM、Intune MAM 或 Endpoint Management MDM+MAM 可以管理此打包程序。使用 Intune App Wrapping Tool 打包应用程序并指定“-Citrix”选项。此打包程序是 MDX 的最小版本,仅支持 Micro VPN,无需遏制或加密。
  • MDX 打包程序: 支持其他类型的策略,包括遏制。不支持加密。依次使用 Intune App Wrapping Tool 和 MDX Toolkit 打包应用程序。
  • Citrix 移动应用软件 SDK: 在开发应用程序以访问所有 MDX 功能(包括加密)时,使用 Citrix 移动应用程序 SDK。

如果在构建 iOS 应用程序时链接 Citrix 移动应用程序 SDK 框架和 Intune SDK 框架,则可以获得相同的结果。有关 Citrix 移动应用程序 SDK 和 Intune SDK 的详细信息,请分别参阅 MDX 开发人员指南Intune 应用程序 SDK 概述

用于遏制或网络连接目的的 Intune SDK 的客户业务线应用。

用例示例 Intune Citrix MDX
使用 Intune SDK 的客户业务线需要遏制或网络连接。 Intune SDK MDX 仅网络打包程序
需要遏制和网络连接功能的 Citrix 移动生产力应用程序或业务线应用。 Intune SDK Citrix 移动应用程序 SDK
适用于仅网络打包程序的业务线应用。 Intune 打包程序 MDX 仅网络打包程序
使用 Microsoft Managed Browser。 已嵌入到应用程序中的 Intune SDK 已嵌入到应用程序中的 MDX 仅网络支持

打包 Android 应用程序

打包 Android 应用程序的工作原理与 iOS 类似。您用来打包 Android 应用程序的工具为 ManagedAppUtility.jar。可以使用 ManagedAppUtility.jar 通过完整版本的 MDX 或仅网络版本打包应用程序。要使用仅网络打包程序,请使用“-mVPN”参数。

有关何时使用每个打包变体的示例,请参见下表。

Android 打包场景

用例示例 Intune Citrix MDX
Microsoft Managed Browser Intune SDK MDX 仅网络打包程序
Citrix 移动生产力应用程序 Intune SDK 面向 Citrix 移动生产力应用程序的 MDX
适用于仅网络打包程序的业务线应用。 Intune 打包程序 MDX 仅网络打包程序

向 Endpoint Management 与 EMS/Intune 的集成中添加应用程序

要添加 Intune 托管应用程序,请按照下列步骤进行操作。

  1. 在 Citrix Cloud 控制台中,单击菜单图标,然后单击 Library(库)。

    Citrix Cloud 库页面

  2. 单击右上角的蓝色加号图标,然后单击 Add a Mobile app(添加移动应用程序)。

    您可能需要等待一分钟才能看到填充列表的选项。

    添加移动应用程序选项

  3. 选择要自定义的应用程序模板,或者单击 Upload my own App(上载我自己的应用程序)。

    要配置的策略

    Citrix 提供现有应用程序模板,每个模板都附带一组预配置的默认策略。对于客户上载的应用程序,以下策略适用:

    • MDX 文件: 包括 MDX 打包的应用程序,例如 Intune 应用程序保护策略和包中包含的默认 MDX 策略;以及公共应用商店应用程序,例如 Intune 应用程序保护策略和与捆绑包 ID 或软件包 ID 匹配的默认 MDX 策略。
    • IPA 文件。Intune 应用程序保护策略。
    • APK 文件。Intune 应用程序保护策略。

    注意:

    如果应用程序未使用 Intune 打包,Intune 应用程序保护策略不适用。

  4. 如果您单击 Upload my own App(上载我自己的应用程序),请上载您的 .mdx 或 Intune 打包的文件。

    上载自己的打包文件屏幕

  5. 输入应用程序的名称和说明,选择应用程序是特色应用程序还是必需应用程序,然后单击 Next(下一步)。

  6. 设置网络访问策略以选择是否允许以及如何允许 Micro VPN 访问。启用 Micro VPN 将允许应用程序控制访问本地资源。

    • 不限制: 禁用 Micro VPN 访问。应用程序可以访问网络,没有任何限制,无需使用 Micro VPN。此为默认设置。

      注意:

      在版本 18.12.0 中:如果配置不受限制的网络访问并将要求 Micro VPN 会话策略设置为,则网络不可用。

    • 通道 - 完整 VPN: 启用 Micro VPN 完整通道(TCP 级别)重定向。
    • 通道 - Web SSO: 为 Micro VPN 启用 HTTP/HTTPS 重定向(使用 SSO)重定向。
    • 通道 - 完整 VPN 和 Web SSO: 启用 Micro VPN 完整通道(TCP 级别)重定向和 HTTP/HTTPS 重定向(使用 SSO)重定向。

      此选项允许根据需要在完整 VPN 模式和 Web SSO 模式之间自动切换。如果网络请求由于不能在完整 VPN 模式下处理身份验证请求而失败,则会在备选模式下重试请求。例如,完整 VPN 可以接受服务器对客户端证书的质询。Web SSO 模式更有可能服务于 HTTP 身份验证质询。

      此设置相当于现在已弃用的策略 PermitVPNModeSwitching。

      Micro VPN 策略屏幕

  7. 如果启用 Micro VPN 访问,请设置要求 Micro VPN 会话策略以选择是否需要联机会话才能使应用程序运行。选择以要求联机会话。默认值为

  8. 如果启用 Micro VPN 访问,则可以指定 mVPN 通道排除列表。输入要从 micro VPN 策略中排除的域(以逗号分隔)。

    有关这些策略的详细信息,请参阅MDX 策略

  9. 为应用程序配置更多策略,然后单击下一步。有关应用程序策略的完整列表,请参阅MDX 策略概览

    应用程序策略

    注意:

    并非所有这些策略都可用。

  10. 查看应用程序的摘要,然后单击完成

    此应用程序配置过程可能需要几分钟时间。过程完成后,将显示一条消息,指示应用程序已发布到库。

    “完成”按钮

  11. 要将用户组分配给应用程序,请单击分配用户

    “分配用户”选项

  12. 在搜索框中,搜索用户组,然后单击以进行添加。无法添加单个用户。

    “添加订阅者”选项

  13. 添加所有组后,可以通过单击 X 来关闭窗口。

    就绪状态

    添加用户组时可能会遇到错误。当用户组尚未同步到本地 Active Directory 时会出现此错误。

MDX 策略

使用 MDX 技术打包应用程序或使用 Citrix 移动应用程序 SDK 构建应用程序时,Intune 管理员可以配置 MDX 策略。这些策略包括不需要 Secure Hub 来管理应用程序的 Citrix MDX 策略的子集。Citrix 建议您使用以下 MDX 策略。

下面一组 Intune 特定的网络管理策略控制由 Intune 进行托管时 MDX(完整或仅网络)的网络策略配置。其中一些策略与现有 Citrix MDX 网络遏制策略相对应。其他特定于 Intune 的配置和控制。

重要:

MDX Toolkit 版本 18.12.0 包含了合并或替换较旧的策略的新策略。 “网络访问”策略结合了“网络访问”、“首选 VPN 模式”和“允许 VPN 模式切换”。“排除列表”策略替换拆分通道排除列表。“要求 Micro VPN 会话”策略替换“要求 Micro VPN 会话”。有关详细信息,请参阅 MDX Toolkit 18.12.0 中的新增功能

“通道 - Web SSO”是设置中安全浏览的名称。该行为是相同的。

  • 启用 http/https 重定向。通过 Citrix Gateway 反向 Web 代理端点(也称为“通道 - Web SSO”)启用或禁用 HTTP/HTTPS 重定向。设置为时,“通道 - Web SSO”用于 Web 流量。使用“通道 - Web SSO 端点”时,网关能够内联响应 HTTP 身份验证质询,从而提供单点登录 (SSO) 体验。要使用“通道 - Web SSO”,请将此策略设置为。对于使用客户端证书进行端到端 SSL 和相互身份验证的应用程序,需要进行完整通道重定向。对于这些应用程序,需要禁用此选项。默认值为
  • 禁用 mVPN 完整通道(TCP 级)重定向。通过 Citrix Gateway VPN 通道端点启用或禁用 TCP 级别的网络级别重定向。在正常情况下,始终保持此策略处于启用状态。但是,在防止 TCP 级别拦截标准 Web 拦截功能无法捕获的 Web 流量时,对 Web SSO 问题进行故障排除通常更容易。默认值为
  • 需要建立 mVPN 会话。如果设置为,SDK 会确保可以访问配置的网关,并且可以使用有效的 Micro VPN 会话,然后才允许应用程序变为活动状态。如果没有网络,则无法访问网关或无法建立登录会话。应用程序始终被阻止,直到可以确认有效的 Micro VPN 会话。如果设置为,则无论网络状况如何,应用程序都会打开。当配置为通道访问的应用程序尝试使用其中一个重定向的网络 API 时,将根据需要初始化 Micro VPN 会话。默认值为
  • mVPN 通道排除列表。要排除的通过 Citrix Gateway 反向 Web 代理路由的主机或域名的逗号分隔列表。即使网关配置的拆分 DNS 设置可能会选择域或主机,也会排除主机或域名。

    注意:

    此策略仅针对“通道 - Web SSO”连接强制执行。如果启用 http/https 重定向设置为,请忽略此策略。

有关这些策略的详细信息,请参阅适用于 iOS 应用程序的 MDX 策略

为业务线应用部署策略

将应用程序上载到 Intune 后,请按照此步骤将策略应用到这些应用程序。

  1. 登录到 https://portal.azure.com/,然后导航到 Intune > 移动应用程序
  2. 管理下,单击应用程序配置策略
  3. 单击添加,然后为要创建的策略输入名称。对于注册类型,请选择未使用 Intune 注册。这种选择是当前系统的一种局限性。
  4. 单击关联的应用程序,选择要应用策略的应用程序,然后单击确定
  5. 单击配置设置
  6. 名称字段中,输入在本文下一部分节中指出的策略之一的名称。
  7. 字段中,输入要为该策略应用的值。单击该字段以将策略添加到列表中。可以添加多个策略。
  8. 单击确定,然后单击添加。该策略将添加到您的策略列表中。
  9. 可以删除该策略。为此,请选择策略,然后单击右侧的删除策略

业务线应用策略

下表列出了您可以为业务线应用部署的策略。除了这些策略外,还可以使用本文前面列出的 MDX 策略。有关这些策略的详细信息,请参阅MDX 策略概览

名称 (iOS/Android) 说明
AppLogLevel/DefaultLoggerLevel 控制移动生产力应用程序诊断日志记录工具的默认详细程度。较高级别的数字包括较详细的日志记录。 1–5
AppLogTarget/DefaultLoggerOut 确定移动生产力应用程序诊断日志记录工具默认使用的输出媒介。 文件、控制台或两者
AppLogFileSize/MaxLogFileSize 限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件的大小 (MB)。最小值为 1 MB。最大值为 5 MB。 1–5
AppLogFileCount/MaxLogFiles 限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件数。最小值为 2。最大值为 8。 2–8

配置 Secure Mail

Secure Mail 现在支持多种配置。可以在连接到本地 Exchange Server 的 Intune MAM 容器中打包 Secure Mail。可以将 Secure Mail 连接到托管 Exchange 或 Office 365 帐户。但是,此版本不支持基于证书的身份验证,因此改为使用 LDAP。

重要:

要在 MDX 模式下使用 Secure Mail,必须使用 Citrix Endpoint Management MDM+MAM。

Secure Mail 还会自动填充用户名。要启用此功能,必须先配置以下自定义策略:

  1. 在 Endpoint Management 控制台中,转至设置 > 服务器属性,然后单击添加

  2. 在列表中,单击自定义键,然后在密钥字段中,键入 xms.store.idpuser_attrs

  3. 将该值设置为 true,然后在显示名称中键入 xms.store.idpuser_attrs。单击保存

  4. 单击客户端属性,然后单击添加

  5. 选择自定义密钥,然后在密钥字段中键入 SEND_LDAP_ATTRIBUTES

  6. 字段中键入 userPrincipalName=${user.userprincipalname},email=${user.mail},displayname=${user.displayname},sAMAccountName=${user.samaccountname},aadupn=${user.id_token.upn},aadtid=${user.id_token.tid},输入说明,然后单击保存

    以下步骤仅适用于 iOS 设备。

  7. 转至配置 > 设备策略,单击“添加”,然后选择应用程序配置策略

  8. 输入策略名称,然后单击下一步

    在“标识符”列表中,单击新增。在显示的文本框中,输入 Secure Mail 应用程序的捆绑包 ID。

  9. 字典内容框中,键入以下文本。

    <dict>
    
    <key>XenMobileUserAttributes</key>
    
    <dict>
    
    <key>userPrincipalName</key>
    
    <string>${user.userprincipalname}</string>
    
    <key>email</key>
    
    <string>${user.mail}</string>
    
    <key>displayname</key>
    
    <string>${user.displayname}</string>
    
    <key>sAMAccountName</key>
    
    <string>${user.samaccountname}</string>
    
    <key>aadupn</key>
    
    <string>${user.id_token.upn}</string>
    
    <key>aadtid</key>
    
    <string>${user.id_token.tid}</string>
    
    </dict>
    
    <key>IntuneMAMUPN</key>
    
    <string>${user.id_token.upn}</string>
    
    </dict>
    
  10. 取消选中 Windows PhoneWindows Desktop/Tablet 复选框,然后单击下一步

  11. 选择要将此策略部署到的用户组,然后单击保存

故障排除

常规问题

问题: 打开应用程序时,将显示以下错误消息:需要应用程序策略。

解决方案: 在 Microsoft Graph API 中添加策略。

问题: 您有策略冲突。

解决方案: 仅允许为每个应用程序配置一个策略。

问题: 打包应用程序时,将出现以下错误:

Failed to package app.

com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated.

com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113)

com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198)

com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56)

The application could not be wrapped.

解决方案: 将该应用程序与 Intune SDK 集成。不需要使用 Intune 打包程序来打包应用程序。

问题: 您的应用程序无法连接到内部资源。

解决方法: 确保正确的防火墙端口处于打开状态、更正租户 ID 等。

Citrix Gateway 问题

下表列出了 Citrix Gateway 配置的常见问题及其解决方案。要进行故障排除,请启用更多日志并通过执行以下操作进行检查:

  1. 在命令行界面中,运行以下命令:set audit syslogParams -logLevel ALL
  2. 使用 tail -f /var/log/ns.log 从 shell 检查日志
问题 解决方案
为 Azure 上的网关应用程序配置所需的权限不可用。 检查是否有适当的 Intune 许可证可用。尝试使用 manage.windowsazure.com 门户来查看是否可以添加权限。如果问题仍然存在,请与 Microsoft 支持部门联系。
Citrix Gateway 无法访问 login.microsoftonline.comgraph.windows.net 在 NS Shell 中,检查您是否能够访问以下 Microsoft Web 站点:curl -v -k https://login.microsoftonline.com。然后,检查 Citrix Gateway 上是否配置了 DNS,以及防火墙设置是否正确(如果 DNS 请求有防火墙)。
配置 OAuthAction 后,ns.log 中会出现错误。 检查 Intune 许可是否已启用,以及 Azure 网关应用程序是否设置了适当的权限。
Sh OAuthAction 命令不会显示 OAuth 状态为完成。 检查 Azure Gateway 应用程序的 DNS 设置和配置权限。
Android 或 iOS 设备不显示双重身份验证提示。 检查双重设备 ID 登录架构是否绑定到身份验证虚拟服务器。

OAuth 错误情况和状态

状态 错误状况
COMPLETE 成功
AADFORGRAPH 密钥无效、URL 未解析、连接超时
MDMINFO *manage.microsoft.com 已关闭或无法访问
GRAPH 图形端点已关闭,无法访问
CERTFETCH 由于 DNS 错误无法与令牌端点 https://login.microsoftonline.com 通信。要验证此配置,请转到 shell 并键入 curl https://login.microsoftonline.com。此命令必须验证。

限制

以下各项描述了将 Microsoft EMS/Intune 与 Citrix Endpoint Management 结合使用的一些限制。

  • 使用 Citrix 和 Intune 部署应用程序以支持 Micro VPN 时:当用户提供其用户名和密码以访问摘要站点时,即使其凭据有效,也会出现错误。 [CXM-25227]
  • 将“拆分通道”从更改为,并等待当前网关会话过期后:用户在完整 VPN 模式下启动内部站点之前,外部流量无需通过 Citrix Gateway 即可直接通过。 [CXM-34922]
  • 将“打开方式”策略从仅托管应用程序更改为所有应用程序后,用户在关闭并重新启动 Secure Mail 之前,无法在非托管应用程序中打开文档。 [CXM-34990]
  • 在完整 VPN 模式下拆分通道设置为,并且拆分 DNS 从本地更改为远程时,内部站点无法加载。 [CXM-35168]

已知问题

禁用了 mVPN 策略启用 http/https 重定向(使用 SSO) 时,Secure Mail 不起作用。 [CXM-58886]

第三方已知问题

在 Secure Mail for Android 上,当用户轻按创建新事件时,不会显示新事件创建页面。 [CXM-23917]

使用 Citrix 和 Intune 部署 Citrix Secure Mail for iOS 以支持 Micro VPN 时:在用户将应用程序移动到后台时,不会强制执行隐藏 Secure Mail 屏幕的应用程序策略。 [CXM-25032]