在 Intune Android Enterprise 环境中设置 Citrix SSO 应用

本主题介绍了有关通过 Microsoft Intune 部署和配置 Citrix SSO 应用程序的详细信息。本文档假定 Intune 已针对 Android Enterprise 支持进行了配置,并且设备注册已经完成。

必备条件

  • Intune 已针对 Android Enterprise 支持进行了配置
  • 设备注册已完成

在 Intune Android Enterprise 环境中设置 Citrix SSO 应用

  • 将 Citrix SSO 应用程序添加为托管应用程序
  • 为 Citrix SSO 应用程序配置托管应用程序策略

将 Citrix SSO 应用程序添加为托管应用程序

  1. 登录到你的 Azure 门户。

  2. 单击左侧导航刀片上的 Intune

  3. 在 Microsoft Intune Blade 中单击 客户端应用程 序,然后单击客户端应用程序 Blade 中的应用程序。

  4. 单击右上角菜单选项中的 + 添加链接 。将显示添加应用程序配置 Blade。

  5. 为应用类型选择 托管 Google Play

    如果您已配置 Android Enterprise,这将添加 “管理 Google Play” 搜索和批准 Blade。

  6. 搜索 Citrix SSO 应用程序,然后从应用程序列表中选择它。

    选择 SSO

    注意: 如果 Citrix SSO 未显示在列表中,则表示该应用程序在您所在的国家/地区不可用。

  7. 单击 批准 以批准 Citrix SSO 通过托管 Google Play 商店进行部署。

    将列出 Citrix SSO 应用程序所需的权限。

  8. 单击 批准 以批准应用程序进行部署。

  9. 单击 “ 同步 ” 以将此选择内容与 Intune 同步。

    Citrix SSO 应用程序将添加到客户端应用程序列表中。如果添加了许多应用程序,则可能必须搜索 Citrix SSO 应用程序。

  10. 单击 Citrix SSO 应用程序以 打开应用程序详细信息刀片。

  11. 单击详细信息刀片中的 “ 分配 ”。Citrix SSO-分配刀片式服务 器出现。

    选择 SSO 分配

  12. 单击 添加组 以分配要向其授予安装 Citrix SSO 应用程序权限的用户组,然后单击 保存

  13. 关闭 Citrix SSO 应用程序详细信息刀片。

Citrix SSO 应用程序已添加并启用以部署到您的用户。

为 Citrix SSO 应用程序配置托管应用程序策略

添加 Citrix SSO 应用程序后,必须为 Citrix SSO 应用程序创建托管配置策略,以便可以将 VPN 配置文件部署到设备上的 Citrix SSO 应用程序。

  1. 在 Azure 门户中打开 Intune 刀片式服务器。

  2. 从 Intune 刀片打开 客户端应用 刀片式服务器。

  3. 从客户端应用 程序 Blade 中选择应用程序配置策 略项,然后单击 添加 以打开 添加配置策略 Blade。

  4. 输入策略的名称并为其添加说明。

  5. 在设 备注册类型中,选择 托管设备

  6. 平台中,选择 Android

    这将为关联的应用程序添加另一个配置选项。

  7. 单击 关联的应用程序 并选择 Citrix SSO 应用程序。

    如果你有很多应用程序,你可能必须搜索它。

  8. 单击确定。添加配置策略 Blade 中添加了配置设置选项。

  9. 单击 配置 设置。

    将显示用于配置 Citrix SSO 应用程序的刀片式服务器。

  10. 配置设置中,选择 使用配置设计器输入 JSON 数据 来配置 Citrix SSO 应用程序。

为 Intune 设置 SSO

注意:

对于简单的 VPN 配置,建议使用配置设计器。

使用用户配置设计器配置 VPN

  1. 配置设置中,选择 使用配置设计器 ,然后单击 添加

    系统将显示一个键值输入屏幕,用于配置 Citrix SSO 应用程序支持的各种属性。至少必须配置 “ 服务器地址 ” 和 “ VPN 配置文件名称 ” 属性。您可以将鼠标悬停在 述部分上以获取有关每个属性的更多信息。

  2. 例如,选择 VPN 配置文件名称服务器地址 (*) 属性,然后单击 确定

    这会将属性添加到配置设计器中。您可以配置以下属性。

    • VPN 配置文件名称。键入 VPN 配置文件的名称。如果要创建多个 VPN 配置文件,请为每个配置文件使用唯一的名称。如果不提供名称,则在 “服务器地址” 字段中输入的地址将用作 VPN 配置文件名称。

    • 服务器地址 (*)。键入您的 Citrix Gateway 基本 FQDN。如果 Citrix Gateway 端口不是 443,请键入您的端口。使用 URL 格式。例如,https://vpn.mycompany.com:8443

    • 用户名(可选)。输入最终用户用于向 Citrix Gateway 进行身份验证的用户名。如果网关配置为使用 Intune 配置值令牌,则可以 为此字段使用 Intune 配置值令牌(请参阅配置值令牌)。如果不提供用户名,则系统会在用户连接到 Citrix Gateway 时提示他们提供用户名。

    • 密码(可选)。输入最终用户用于向 Citrix Gateway 进行身份验证的密码。如果不提供密码,则系统会在用户连接到 Citrix Gateway 时提示他们提供密码。

    • 证书别名(可选)。在 Android KeyStore 中提供用于客户端证书身份验证的证书别名。如果您使用的是基于证书的身份验证,则会为用户预先选择此证书。

    • 服务器证书 Pins(可选)。JSON 对象,描述用于 Citrix Gateway 的证书引脚。示例值: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。有关详细信息,请参阅 使用 Android Citrix SSO 固定 Citrix Gateway 证书

    • 每个应用程序的 VPN 类型(可选)。如果您使用 PerApp VPN 来限制哪些应用程序使用此 VPN,则可以配置此设置。

      • 如果选择 允许,PerappVPN 应用程序列表中列出的应用程序包名称的网络流量将通过 VPN 路由。所有其他应用程序的网络流量都会在 VPN 外部进行路由。
      • 如果选择 不允许,PerappVPN 应用程序列表中列出的应用程序包名称的网络流量将路由到 VPN 之外。所有其他应用程序的网络流量都通过 VPN 路由。默认设置为允许。
    • PerappVPN 应用程序列表。VPN 上允许或禁止其流量的应用程序列表,具体取决于 PerApp VPN 类型的值。列出以逗号或分号分隔的应用程序包的名称。应用程序包名称区分大小写,并且必须以与 Google Play 应用商店中完全一致的显示方式显示在此列表中。此列表是可选的。将此列表保留为空,以便预配设备范围的 VPN。
    • 默认 VPN 配置文件。为 Citrix SSO 应用程序配置始终可用的 VPN 时使用的 VPN 配置文件名称。如果此字段为空,则主配置文件用于连接。如果只配置了一个配置文件,则会将其标记为默认 VPN 配置文件。

      默认 VPN 配置文件选项

    注意:

    • 要在 Intune 中将 Citrix SSO 应用程序设为始终可用的 VPN 应用程序,请使用 VPN 提供程序作为自定义,使用 com.citrix.CitrixVPN 作为应用程序包名称。

    • Citrix SSO 应用程序仅支持始终可用的 VPN 的基于证书的客户端身份验证。

    • 管理员必须在 Citrix Gateway 上的 SSL 配置 文件或 SSL 中选择 客户端 **身 份验证** 并将客户端证书设置为强制,SSO 应用程序才能按预期工作。

    • 禁用用户资料
      • 如果将此值设置为 true,用户将无法在其设备上添加新的 VPN 配置文件。
      • 如果将此值设置为 false,则用户可以在其设备上添加自己的 VPN。

      默认值为 false。

    • 阻止不可信的服务器
      • 在为 Citrix Gateway 使用自签名证书或颁发 Citrix Gateway 证书的 CA 的根证书不在系统 CA 列表中时,将此值设置为 false。
      • 将此值设置为 true 可启用 Android 操作系统验证 Citrix Gateway 证书。如果验证失败,则不允许连接。

      默认值为 true。

  3. 在 “ 服务器地址 (*) ” 属性中,输入您的 VPN 网关基本 URL(例如, https://vpn.mycompany.com)。

  4. 对于 VPN 配置文件名称,输入最终用户在 Citrix SSO 应用程序主屏幕中可见的名称(例如,我的公司 VPN)。

  5. 您可以根据需要为 Citrix Gateway 部署添加和配置其他属性。完成配置后,单 击 “确定”

  6. 单击 “ 权限 ” 部分。在此部分中,您可以授予 Citrix SSO 应用程序所需的权限。

    • 如果您使用的是 Intune NAC 检查,Citrix SSO 应用程序要求您授予 电话状态(读取) 权限。点击 添加 按钮打开权限刀片。目前,Intune 显示了可供所有应用程序使用的重要权限列表。

    • 如果您使用的是 Intune NAC 检查,请选择 电话状态(读取) 权限,然后单击 确定。这会将其添加到应用程序的权限列表中。选择 “ 提示 ” 或 “ 自动授予 ”,以便 Intune NAC 检查可以正常工作,然后单击 “ 确定”

      设置 SSO 配置

  7. 单击应用程序配置策略刀片底部的 添加 以保存 Citrix SSO 应用程序的托管配置。

  8. 单击应用程序配置策略 Blade 中的分配以打开任务Blade。

  9. 选择要为其交付和应用此 Citrix SSO 配置的用户组。

通过输入 JSON 数据进行 VPN 配置

  1. 配置设置中,选择 输入 JSON 数据 以配置 Citrix SSO 应用程序。

  2. 使用下载 JSON 模板按钮下载允许为 Citrix SSO 应用程序提供更详细/更复杂的配置的模板。此模板是一组 JSON 键值对,用于配置 Citrix SSO 应用程序可以理解的所有可能属性。

    有关可配置的所有可用属性的列表,请参阅 在 Citrix SSO 应用程序中配置 VPN 配置文件的可用属性

  3. 创建 JSON 配置文件后,将其内容复制并粘贴到编辑区域中。例如,以下是之前使用配置设计器选项创建的基本配置的 JSON 模板。

JSON 配置已完成

这样就完成了在 Microsoft Intune Android Enterprise 环境中为 Citrix SSO 应用程序配置和部署 VPN 配置文件的过程。

重要提示:

使用 Intune SCEP 配置文件部署用于基于客户端证书的身份验证的证书。必须在 Citrix SSO 应用程序的托管配置的 “证书别名” 属性中配置此证书的别名。

在 Citrix SSO 应用程序中配置 VPN 配置文件的可用属性

|配置键|JSON 字段名称|值类型|说明| |— |— |— |— | |VPN 配置文件名称|VPN 配置文件名称|文本|VPN 配置文件的名称(如果未设置默认为服务器地址)。| |服务器地址 (*)|服务器/地址|URL|用于连接的 Citrix Gateway 的基本 URL (https://host[:port])。此字段为必填字段。| |Username (optional)|Username| 文本 | 用于通过 Citrix Gateway 进行身份验证的用户名(可选). | | 密码(可选)| 密码 | 文本 | 用于使用 Citrix Gateway 进行身份验证的用户的密码(可选).| | 证书别名(可选)|clientcertalias | 文本 | 客户端证书的别名安装在 Android 凭据存储中以用于基于证书的客户端身份验证(可选)。在 Citrix Gateway 上使用基于证书的身份验证时,证书别名 是必填字段。| | 服务器证书引脚(可选)| 服务器证书引脚 |JSON 文本 | 描述 Citrix Gateway 使用的证书引脚的嵌入式 JSON 对象。示例值: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。使用 JSON 配置器时,请务必转义此嵌入的 JSON 数据。| | 每个应用程序 VPN 类型(可选)|perappvpn_allow_disallow_settings | 枚举(允许、不允许)| 列出的应用程序是允许(允许列表)还是禁止(阻止列表)使用 VPN 隧道。如果设置为 许,则只允许列出的应用程序(在 PerappVPN 应用程序列表属性中)通过 VPN 建立隧道。如果设置为 “ 不允许”,则允许除列出的应用程序以外的所有应用程序通过 VPN 建立隧道。如果未列出任何应用程序,则允许所有应用程序通过 VPN 进行隧道传输。| |perappVPN 应用程序列表 |perappName_AppNames | 文本 | 逗号 (,) 或分号 (;) 分隔的每个应用程序 VPN 的应用程序包名称列表。软件包名称必须与 Google Play 商店应用列表页面 URL 中显示的软件包名称完全相同。软件包名称区分大小写。| | 默认 VPN 配置文件 | 默认配置文件名称 | 文本 | 系统启动 VPN 服务时要使用的 VPN 配置文件的名称。此设置用于标识在设备上配置了始终可用的 VPN 时要使用的 VPN 配置文件。| | 禁用用户配置文件 | 禁用用户配置文件 | 布尔 | 属性以允许或不允许最终用户手动创建 VPN 配置文件。将此值设置为true可禁止用户创建 VPN 配置文件。默认值为false。| | 阻止不受信任的服务器 |blockunTrustedServers|Boolean| 属性来确定是否阻止与不受信任网关的连接(例如,使用自签名证书或在 Android 操作系统不信任颁发 CA 时)?默认值为 true(阻止与不受信任网关的连接)。| | 自定义参数(可选)| 自定义参数 | 列表 | Citrix SSO 应用程序支持的自定义参数列表(可选)。有关详情,请参阅自定义参数。有关可用选项,请查看 Citrix Gateway 产品文档 。| | 其他 VPN 配置文件列表 |bundle _ 配置文件 | 列表 | 其他 VPN 配置文件列表。支持前面提到的每个配置文件的大多数值。有关详细信息,请参阅 VPN 配置文件列表中每个 VPN 支持的属性。|

自定义参数

必须使用以下键值名称定义每个自定义参数。

值类型
参数名称 文本 自定义参数的名称。
ParameterValue 文本 自定义参数的值。

VPN 配置文件列表中每个 VPN 支持的属性

使用 JSON 模板配置多个 VPN 配置文件时,每个 VPN 配置文件都支持以下属性。

配置键 JSON 字段名称 值类型
VPN 配置文件名称 bundle_VPNProfileName 文本
服务器地址 (*) bundle_ServerAddress URL
用户名 bundle_Username 文本
密码 bundle_Password 文本
客户端证书别名 Bundle_clientcertalias 文本
服务器证书 Pin bundle_ServerCertificatePins 文本
每个应用程序 VPN 类型 bundle_PerAppVPN_Allow_Disallow_Setting Enum (Allow, Disallow)
PerappVPN 应用程序列表 Bundle_perappvPNN_AppNames 文本
自定义参数 bundle_CustomParameters 清单

在 Intune 中将 Citrix SSO 应用程序设置为始终可用的 VPN 提供商

在 Android VPN 子系统中没有按需 VPN 支持的情况下,始终可用的 VPN 可用作提供无缝 VPN 连接选项以及 Citrix SSO 应用程序的客户端证书身份验证的替代方案。VPN 在启动或打开工作配置文件时由操作系统启动。

要使 Citrix SSO 应用程序成为 Intune 中的始终可用的 VPN 应用程序,必须使用以下设置。

  • 选择要使用的正确托管配置类型(个人拥有工作配置文件或完全托管、专用和公司拥有的工作配置文件)。

  • 创建设备配置文件并选择 设备限制 ,然后转到 连接 部分。为“始终可用的 VPN”设置选择启用。

  • 选择 Citrix SSO 应用程序 作为 VPN 客户端。如果 Citrix SSO 不可用作选项,则可以选择 自定义 为 VPN 客户端,然后在软件包 ID 字段中输入 com.citrix.CitrixVPN (包 ID 字段区分大小写)

  • 保留其他选项原样。建议不要启用锁定模式。启用后,如果 VPN 不可用,设备可能会失去完整的网络连接。

  • 除了这些设置之外,您还可以在 应用程序配置策略页面中设置每应用 VPN 类型**和 PerappVPN 应用程序 列表** ,以启用适用于 Android 的每应用 VPN,如前面部分所述。

注意:

只有 Citrix SSO 应用程序中的客户端证书身份验证才支持始终可用的 VPN。

引用

有关在 Intune 中设置连接选项的更多详细信息,请参阅以下主题。

在 Intune Android Enterprise 环境中设置 Citrix SSO 应用