Gateway

Citrix Gateway-Anwendung im Azure-Portal

Im folgenden Abschnitt werden Schritte zum Konfigurieren einer Citrix Gateway-Anwendung im Azure-Portal aufgeführt.

Voraussetzung

  • Globale Azure Admin-Anmeldeinformationen
  • Intune-Lizenzierung ist aktiviert
  • Für die Intune-Integration müssen Sie eine Citrix Gateway-Anwendung im Azure-Portal erstellen.
  • Konfigurieren Sie nach dem Erstellen der Citrix Gateway-Anwendung die OAuth-Richtlinie auf Citrix Gateway mithilfe der folgenden anwendungsspezifischen Informationen:
    • Client-ID/Anwendungs-ID
    • Client Secret/Anwendungsschlüssel
    • Azure-Tenant-ID
  • Citrix Gateway verwendet die App-Client-ID und das Clientgeheimnis, um mit Azure zu kommunizieren und die NAC-Konformität zu überprüfen.

So erstellen Sie die Citrix Gateway App in Azure

  1. Loggen Sie sich auf portal.azure.com ein
  2. Klicken Sie auf Azure Active Directory.
  3. Klicken Sie auf App-Registrierungen und dann auf Neue Registrierung.

    Azure-App-Registrierung

  4. Geben Sie auf der Seite Anwendung registrieren einen App-Namen ein und klicken Sie auf Registrieren.

    Name der App

  5. Navigieren Sie zu Authentifizierung, klicken Sie auf URI hinzufügen, geben Sie FDQN für Citrix Gateway ein und klicken Sie auf Speichern.

    Umleitungs-URL

  6. Navigieren Sie zur Übersichtsseite, um die Client-ID, die Mandanten-ID und die Objekt-ID abzurufen.

    Seite "Übersicht"

  7. Navigieren Sie zu API-Berechtigungen und klicken Sie auf Berechtigung hinzufügen.

    1. Scrolle nach unten und wähle Azure AD Graphaus.
    2. Wählen Sie Anwendungsberechtigungen, wählen Sie Application.Read.Allund klicken Sie dann auf Berechtigungen hinzufügen.
    3. Klicken Sie auf Admin-Zustimmung erteilen für <tenant> und wählen Sie Ja.
    4. Stellen Sie sicher, dass die Berechtigungen für Ihren Mandanten erteilt wurden.

    API-Berechtigung

    Hinweis:

    Für alle Azure AD-Anwendungen, die die Dienstendpunkte https://login.microsoftonline.com oder https://graph.windows.net aufrufen, muss die API-Berechtigung zugewiesen werden, damit das Gateway die NAC-API aufrufen kann. Die verfügbaren API-Berechtigungen sind:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.OwnedBy
    • Directory.Read.All

    Die bevorzugte Berechtigung ist Application.Read.All.

    Weitere Einzelheiten finden Sie unter https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-intune-service-discovery-api-endpoint-will-require/ba-p/2428040

  8. Klicken Sie auf die Microsoft Graph-Kachel, um API-Berechtigungen für Microsoft Graph zu konfigurieren

    MS-Diagramm

  9. Klicken Sie auf die Kachel Delegierte Berechtigungen.

    API-Berechtigung für MS-Diagramm

  10. Wählen Sie die folgenden Berechtigungen aus und klicken Sie auf Berechtigungen hinzufügen.

    • E-Mail
    • openid
    • Profil
    • Directory.AccessAsUser.All
    • User.Read
    • User.Read.All
    • User.ReadBasic.All

    API-Berechtigung 1

    API-Berechtigung 2

    API-Berechtigung 3

    Zusätzliche Berechtigung für Intune NAC-Prüfung:

    Alle Azure AD-Anwendungen, die die Dienstendpunkte https://login.microsoftonline.com oder https://graph.windows.net aufrufen, benötigen die API-Berechtigung, damit das Gateway die NAC-API aufrufen kann. Die verfügbaren API-Berechtigungen sind:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.OwnedBy
    • Directory.Read.All

    Die bevorzugte Berechtigung ist Application.Read.All.

    Weitere Einzelheiten finden Sie unter https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-intune-service-discovery-api-endpoint-will-require/ba-p/2428040

  11. Klicken Sie auf die Intune-Kachel, um API-Berechtigungen für Intune zu konfigurieren.

    Intune-Kachel

  12. Klicken Sie auf die Kachel Anwendungsberechtigungen und die Kachel Delegierte Berechtigungen, um Berechtigungen für get_device_Compliance bzw. get_Data_Warehouse hinzuzufügen.

    API-Erlaubnis für Intune

  13. Wählen Sie die folgenden Berechtigungen aus und klicken Sie auf Berechtigungen hinzufügen.
    • get_device_Compliance - Anwendungsberechtigungen
    • get_data_Warehouse - Delegierte Berechtigungen

    API-Erlaubnis Gerät abrufen

    API-Erlaubnis: Warehouse abrufen

  14. Auf der folgenden Seite sind die konfigurierten API-Berechtigungen aufgeführt.

    Liste der API-Berechtigungen

  15. Navigieren Sie zu Certificates & Secrets und klicken Sie auf Neuer

    Neues Clientgeheimnis

  16. Geben Sie auf der Seite Clientgeheimnis hinzufügen eine Beschreibung ein, wählen Sie Ablauf aus und klicken Sie auf Hinzufügen.

    API-Berechtigung

  17. Der folgende Bildschirm zeigt das konfigurierte Clientgeheimnis.

    Hinweis

    Das Client-Secret wird nur einmal angezeigt, wenn es generiert wird. Sie müssen das angezeigte Client-Geheimnis lokal kopieren. Verwenden Sie dasselbe Client-Geheimnis zusammen mit der Client-ID, die der neu registrierten App zugeordnet ist, während Sie die OAuth-Aktion auf der Citrix Gateway-Appliance für Intune konfigurieren.

    API-Berechtigung

Die Anwendungskonfiguration im Azure-Portal ist jetzt abgeschlossen.

Citrix Gateway-Anwendung im Azure-Portal