Citrix Gateway

设置 Citrix Gateway 以便在微软端点管理器中使用微型 VPN

Citrix micro VPN 与微软 Endpoint Management 集成使您的应用程序能够访问本地资源。有关详细信息,请参阅 Citrix micro VPN 与微软端点管理器的集成

系统要求

  • Citrix Gateway 版本
    • 13.1
    • 13.0
    • 12.1.50.x 或更高版本
    • 12.0.59.x 或更高版本

    您可以从 Citrix Gateway 下载页面下载最新版本的 Citrix Gateway。

  • 运行 Windows 7 或更高版本的 Windows 桌面(仅适用于 Android 应用程序打包)

  • Microsoft
    • Azure AD 访问权限(具有租户管理权限)
    • 启用了 Intune 的租户
  • 防火墙规则
    • 为从 Citrix Gateway 子网 IP 到 *.manage.microsoft.comhttps://login.microsoftonline.comhttps://graph.windows.net (端口 443)的 SSL 流量启用防火墙规则
    • Citrix Gateway 必须能够从外部解析上述 URL。

必备条件

  • Intune 环境: 如果你没有 Intune 环境,请设置一个。有关说明,请参阅 微软文档

  • 边缘浏览器应用程序: 微型 VPN SDK 集成在适用于 iOS 和 Android 的微软 Edge 应用程序和 Intune Managed Browser 应用程序中。有关托管浏览器的详细信息,请参阅 Microsoft 托管浏览器页面

授予 Azure Active Directory (AAD) 应用程序权限

  1. 同意 Citrix 多租户 AAD 应用程序以允许 Citrix Gateway 使用 AAD 域进行身份验证。Azure 全局管理员必须访问以下 URL 并征得同意:

    https://login.windows.net/common/adminconsent?client_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40b&redirect_uri=https://www.citrix.com&state=consent

  2. 同意 Citrix 多租户 AAD 应用程序以允许移动应用程序使用 Citrix Gateway 微型 VPN 进行身份验证。仅当 Azure 全局管理员将默认值更改为 “用户可以注册应用程序” 从 “是” 更改为 “否” 时,才需要此链接。 此设置可以在 Azure 门户中的 Azure Active Directory > 用户 > 用户设置下找到。 Azure 全局管理员必须访问以下 URL 并征得同意(添加 租户 ID) https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7

为微型 VPN 配置 Citrix Gateway

要将 Micro VPN 与 Intune 结合使用,必须将 Citrix Gateway 配置为对 Azure AD 进行身份验证。现有 Citrix Gateway 虚拟服务器不适用于此用例。 首先,将 Azure AD 配置为与本地 Active Directory 同步。此步骤对于确保 Intune 与 Citrix Gateway 之间正确进行身份验证是必要的。

下载脚本:.zip 文件包含自述文件,其中包含实现脚本的说明。您需要手动输入脚本所需的信息,然后在 Citrix Gateway 上运行脚本来配置服务。您可以从 Citrix 下载页面下载脚本文件。

重要提示: 完成 Citrix Gateway 配置后,如果看到 OAuth 状态而不是完成,请参阅故障排除部分。

配置微软 Edge 浏览器

  1. 登录到 https://endpoint.microsoft.com/,然后导航到 Intune > 移动应用程序
  2. 像往常一样发布 Edge 应用程序,然后添加应用程序配置策略。
  3. 管理下,单击应用程序配置策略
  4. 单击添加,然后为要创建的策略输入名称。在 设备注册类型中,选择 托管应用程序
  5. 单击 关联应用程序。
  6. 选择要应用策略的应用程序(Microsoft Edge 或 Intune 托管浏览器),然后单击 “ 确定”
  7. 单击配置设置
  8. 名称 字段中,输入下表中列出的策略之一的名称。
  9. 字段中,输入要为该策略应用的值。单击该字段以将策略添加到列表中。可以添加多个策略。
  10. 单击确定,然后单击添加

该策略将添加到您的策略列表中。

名称 (iOS/Android) 说明
MvpngAteway 地址 https://external.companyname.com Citrix Gateway 的外部 URL
MVPN 网络访问 MVPN网络访问无障碍webssoor 不受限制 mvpnNetworkAccess unneledWebSSO 是隧道的默认设置
mvpnexcludeDomains 要排除的域名的逗号分隔列表 可选。默认值 = 空白

注意: Web SSO 是设置中 Secure Browse 的名称。该行为是相同的。

  • MVPN 网络访问 -MVPN 网络访问 unneledWebSSO 通过 Citrix Gateway(也称为隧道 Web SSO)启用 HTTP/HTTPS 重定向。网关内联响应 HTTP 身份验证质询,提供单点登录 (SSO) 体验。要使用 Web SSO,请将此策略设置为 mvpnNetworkAccess tunneledWebSSO。目前不支持全通道重定向。使用 “ 不受限制 ” 可关闭微型 VPN 隧道。

  • MvpnexcludeDomains -要排除通过 Citrix Gateway 反向 Web 代理路由的主机或域名的逗号分隔列表。即使 Citrix Gateway 配置的拆分 DNS 设置可能会选择域或主机,也会排除主机或域名。

    注意: 此策略仅适用于 mvpnNetworkAccess tunneledWebSSO 连接。如果设置 MvpnNetworkAccess 为 “ 不受限制”,则忽略此策略。

故障排除

常规问题

问题 解决方案
打开应用程序时,将显示 “需要添加策略” 消息 在 Microsoft Graph API 中添加策略
存在策略冲突 每个应用程序只允许使用一个策略
打包应用程序时会出现 “无法打包应用程序” 消息。有关完整消息,请参阅下表 该应用程序已与 Intune SDK 集成在一起。你不需要用 Intune 包装应用程序
您的应用无法连接到内部资源 确保打开了正确的防火墙端口、更正了租户 ID 等

无法打包应用程序错误消息:

无法打包应用程序。com.microsoft.intune.mam.apppacker.utils.apppacker.Utils.apppackageRexeption:此应用程序已经集成了 MAM SDK。 commicrosoft.intune.mam.apppacker.apppacker.apppacker.packageApp(应用程序包 .java:113) commicrosoft.intune.mam.apppacker.Packer.Packer.main.main 内部(包装主 .java:198) com.microsoft.intune.mam.apppacker.Package.Package.Package.PackageMain (包装主 .java:56) 应用程序不能被包裹起来。

Citrix Gateway 问题

问题 解决方案
为 Azure 上的网关应用程序配置所需的权限不可用。 检查是否有适当的 Intune 许可证可用。尝试使用 manage.windowsazure.com 门户来查看是否可以添加权限。如果问题仍然存在,请与 Microsoft 支持部门联系。
Citrix Gateway 无法访问 login.microsoftonline.comandgraph.windows.net 从 NS Shell,检查你是否能够访问以下微软网站:cURL-v-k https://login.microsoftonline.com。然后,检查是否在 Citrix Gateway 上配置了 DNS。还要检查防火墙设置是否正确(如果 DNS 请求被防火墙处理)。
配置 OAuthAction 后,ns.log 中会出现错误。 检查 Intune 许可是否已启用,以及 Azure 网关应用程序是否设置了适当的权限。
Sh OAuthAction 命令不会显示 OAuth 状态为完成。 检查 Azure Gateway 应用程序的 DNS 设置和配置权限。
Android 或 iOS 设备不显示双重身份验证提示。 检查双重设备 ID 登录架构是否绑定到身份验证虚拟服务器。

Citrix Gateway OAuth 状态和错误情况

状态 错误情况
AADFORGRAPH 密钥无效、URL 未解析、连接超时
MDMINFO *manage.microsoft.com已关闭或无法访问
GRAPH 图形端点已关闭,无法访问
CERTFETCH https://login.microsoftonline.com 由于 DNS 错误,无法与 “令牌终端节点:” 对话。要验证此配置,请转到 shell 并键入 cURL https://login.microsoftonline.com。此命令必须验证。

注意: 当 OAuth 状态成功时,状态将显示为 “完成”。

设置 Citrix Gateway 以便在微软端点管理器中使用微型 VPN