Citrix Gateway

设置 Citrix Gateway 以便对 Microsoft Endpoint Manager 使用 Micro VPN

Citrix Micro VPN 与 Microsoft Endpoint Management 集成使您的应用程序能够访问本地资源。有关详细信息,请参阅Citrix Micro VPN 与 Microsoft Endpoint Manager 集成

系统要求

  • Citrix Gateway 版本 12.0.59.x 或 12.1.50.x 或更高版本。

    可以从 Citrix Gateway 下载页面下载最新版本的 Citrix Gateway。

  • 运行 Windows 7 或更高版本的 Windows 桌面(仅适用于 Android 应用程序打包)

  • Microsoft
    • Azure AD 访问权限(具有租户管理权限)
    • 启用了 Intune 的租户
  • 防火墙规则
    • 启用防火墙规则以允许 SSL 流量从 Citrix Gateway 子网 IP 传输到 *.manage.microsoft.comhttps://login.microsoftonline.comhttps://graph.windows.net(端口 443)
    • Citrix Gateway 必须能够在外部解析上述 URL。

必备条件

  • Intune 环境: 如果您没有 Intune 环境,请设置一个。有关说明,请参阅Microsoft 文档

  • Edge 浏览器应用程序: Micro VPN SDK 集成在适用于 iOS 和 Android 的 Microsoft Edge 应用程序和 Intune Managed Browser 应用程序中。有关 Managed Browser 的详细信息,请参阅 Microsoft Managed Browser 页面

授予 Azure Active Directory (AAD) 应用程序权限

  1. 同意 Citrix 多租户 AAD 应用程序,以允许 Citrix Gateway 使用 AAD 域进行身份验证。Azure 全局管理员必须访问以下 URL 并获得同意:

    https://login.windows.net/common/adminconsent?client_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40b&redirect_uri=https://www.citrix.com&state=consent

  2. 同意 Citrix 多租户 AAD 应用程序,以允许移动应用程序使用 Citrix Gateway 微型 VPN 进行身份验证。只有当 Azure 全局管理员已将用户可以注册应用程序的默认值从是更改为否时,才需要此链接。 此设置可以在 Azure 门户中的 Azure Active Directory > 用户 > 用户设置下找到。 Azure 全局管理员必须访问以下 URL 并同意(添加 租户 ID)https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b43a1-8aed-9902264a5af7

为微型 VPN 配置 Citrix Gateway

要将 Micro VPN 与 Intune 结合使用,必须将 Citrix Gateway 配置为对 Azure AD 进行身份验证。现有 Citrix Gateway 虚拟服务器不适用于此用例。 首先,将 Azure AD 配置为与本地 Active Directory 同步。此步骤对于确保 Intune 与 Citrix Gateway 之间正确进行身份验证是必要的。

下载脚本: .zip 文件包含一个自述文件,其中包含实施脚本的说明。您需要手动输入脚本所需的信息,并在 Citrix Gateway 上运行脚本以配置服务。您可以从下载脚本文件Citrix 下载页面

重要提示: 完成 Citrix Gateway 配置后,如果看到“完成”以外的 OAuth 状态,请参阅“疑难解答”部分。

配置 Microsoft Edge 浏览器

  1. 登录到 https://portal.azure.com/,然后导航到 Intune > 移动应用程序
  2. 正常发布 Edge 应用程序,然后添加应用程序配置策略。
  3. 管理下,单击应用程序配置策略
  4. 单击添加,然后为要创建的策略输入名称。对于“设备注册类型”,请选择“托管应用”。
  5. 点击一个分离的应用程序。
  6. 选择要应用策略的应用程序(Microsoft Edge 或 Intune 托管浏览器),然后单 击确定
  7. 单击配置设置
  8. 在“名称”字段中,输入下表中列出的其中一个策略的名称。
  9. 字段中,输入要为该策略应用的值。单击该字段以将策略添加到列表中。可以添加多个策略。
  10. 单击确定,然后单击添加

该策略将添加到您的策略列表中。

名称 (iOS/Android) 说明
MvpnGatewayAddress https://external.companyname.com Citrix Gateway 关的外部 URL
MvpnNetworkAccess MvpnNetworkAccessTunneledWebSSOor 不受限制 MvpnNetworkAccessTunneledWebSSO 为通道的默认设置
MvpnExcludeDomains 要排除的域名列表以逗号分隔 可选。默认值 = 空白

注意: Web SSO 是设置中 Secure Browse 的名称。该行为是相同的。

  • MvpnNetworkAccess - MvpnNetworkAccessTunneledWebSSO 通过 Citrix Gateway(也称为“通道 - Web SSO)启用 HTTP/HTTPS 重定向。Gateway 关在内联响应 HTTP 身份验证挑战,提供单点登录 (SSO) 体验。要使用 Web SSO,请将此策略设置为 MvpnNetworkAccessTunneledWebSSO。目前不支持完全隧道重定向。使用“不受限制”保持微型 VPN 隧道关闭状态。

  • MvpnExcludeDomains - 要排除的通过 Citrix Gateway 反向 Web 代理路由的主机或域名的逗号分隔列表。即使 Citrix Gateway 配置的拆分 DNS 设置可能会选择域或主机,也会排除主机或域名。

    注意: 此策略仅适用于 MvpnNetworkAccessTunneledWebSSO 连接。如果 MvpnNetworkAccess 设置为不受限制,则忽略此策略。

故障排除

常规问题

问题 解决方案
打开应用程序时显示“需要添加策略”消息 在 Microsoft Graph API 中添加策略
存在政策冲突 每个应用只允许使用单个策略
包装应用程序时会显示“无法打包应用程序”消息。 有关完整消息,请参阅下面的 该应用程序与 Intune SDK 集成。您不需要使用 Intune 包装应用程序
您的应用无法连接到内部资源 确保正确的防火墙端口处于打开状态,正确的租户 ID 等

无法打包应用程序错误消息:

Failed to package app. com.microsoft.intune.mam.apppackager.utils.AppPackagerException: This app already has the MAM SDK integrated.(无法打包应用程序。com.microsoft.intune.mam.apppackager.utils.AppPackagerException: 此应用程序已集成 MAM SDK。) com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113) com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198) com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56) The application cannot be wrapped.

Citrix Gateway 问题

问题 解决方案
为 Azure 上的 Gateway 应用配置所需的权限不可用。 检查是否有适当的 Intune 许可证可用。尝试使用manage.windowsazure.com门户查看是否可以添加权限。如果问题仍然存在,请与 Microsoft 支持部门联系。
Citrix Gateway 无法访问login.microsoftonline.comandgraph.windows.net 从 NS 壳,检查你是否能够访问以下 Microsoft 网站:curl-v-khttps://login.microsoftonline.com。然后,检查是否在 Citrix Gateway 上配置了 DNS。同时检查防火墙设置是否正确(如果 DNS 请求是防火墙)。
配置 OAuthAction 后,ns.log 中会出现错误。 检查 Intune 许可是否已启用,以及 Azure 网关应用程序是否设置了适当的权限。
Sh OAuthAction 命令不会显示 OAuth 状态为完成。 检查 Azure Gateway 应用程序的 DNS 设置和配置权限。
Android 或 iOS 设备不显示双重身份验证提示。 检查双重设备 ID 登录架构是否绑定到身份验证虚拟服务器。

Citrix Gateway OAuth 状态和错误条件

状态 错误状况
AADFORGRAPH 密钥无效、URL 未解析、连接超时
MDMINFO *manage.microsoft.com已关闭或无法访问
GRAPH 图形端点已关闭,无法访问
CERTFETCH 由于 DNS 错误无法与令牌端点 https://login.microsoftonline.com 通信。要验证此配置,请转到 shell 并键入 curlhttps://login.microsoftonline.com。此命令必须验证。

注意: 当 OAuth 状态成功时,状态将显示为“完成”。

设置 Citrix Gateway 以便对 Microsoft Endpoint Manager 使用 Micro VPN