-
Konfiguration der VPN-Benutzererfahrung
-
So funktionieren Benutzerverbindungen mit dem Citrix Gateway-Plug-In
-
So konfigurieren Sie das vollständige VPN-Setup auf einer Citrix Gateway-Appliance
-
Bereitstellung von Citrix Gateway-Plug-Ins für den Benutzerzugriff
-
AlwaysOn-VPN vor der Windows-Anmeldung (formell AlwaysOn-Dienst)
-
-
Bereitstellung in einer Double-Hop-DMZ
-
Installation und Konfiguration von Citrix Gateway in einer Double-Hop-DMZ
-
Konfiguration der Einstellungen auf den virtuellen Servern auf dem Citrix Gateway Proxy
-
Konfiguration der Appliance für die Kommunikation mit dem Appliance-Proxy
-
Konfiguration von Citrix Gateway für die Verarbeitung des STA- und ICA-Datenverkehrs
-
Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ-Bereitstellung
-
-
Pflege und Überwachung des Systems
-
So stellen Benutzer eine Verbindung zu Anwendungen, Desktops und ShareFile her
-
Bereitstellung mit Citrix Endpoint Management, Citrix Virtual Apps und Citrix Virtual Desktops
-
Zugreifen auf Citrix Virtual Apps and Desktops-Ressourcen mit dem Webinterface
-
Integration von Citrix Gateway mit Citrix Virtual Apps and Desktops
-
Konfigurieren zusätzlicher Webinterface-Einstellungen auf NetScaler Gateway
-
Konfigurieren des Zugriffs auf Anwendungen und virtuelle Desktops im Webinterface
-
-
NetScaler Gateway mit Citrix Virtual Apps and Desktops integrieren
-
Einstellungen für Ihre Citrix Endpoint Management-Umgebungkonfigurieren
-
Lastausgleichsservern für Citrix Endpoint Management konfigurieren
-
Lastausgleichsserver für Microsoft Exchange mit E-Mail-Sicherheitsfilterung konfigurieren
-
Citrix Endpoint Management NetScaler Connector (XNC) ActiveSync-Filterung konfigurieren
-
Zugriff von Mobilgeräten mit Citrix Mobile Productivity Apps zulassen
-
Domänen- und Sicherheitstoken-Authentifizierung für Citrix Endpoint Management konfigurieren
-
Clientzertifikat- oder Clientzertifikat und Domänenauthentifizierung konfigurieren
-
-
NetScaler Gateway aktiviert PCoIP-Proxy-Unterstützung für VMware Horizon View
-
-
Wann sollte die integrierte Intune-MDM-Lösung verwendet werden?
-
Netzwerkzugriffssteuerungsgeräteprüfung für den virtuellen NetScaler Gateway-Server bei Bereitstellung von Einzelfaktor-Authentifizierung konfigurieren
-
NetScaler Gateway Virtual Server für die Microsoft ADAL Token-Authentifizierung konfigurieren
-
-
Automatische Proxy-Konfiguration für ausgehende Proxy-Unterstützung für NetScaler Gateway
-
NetScaler Gateway mit Citrix Virtual Apps and Desktops integrieren
-
Gerätezertifikat in nFactor als EPA-Komponente konfigurieren
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Konfigurieren Sie die Network Access Control-Geräteprüfung für den virtuellen Citrix Gateway-Server für die Bereitstellung der Einfaktorauthentifizierung
Dieses Thema enthält Informationen zum Konfigurieren von Citrix Gateway für die Verbindung mit einem internen Netzwerk von einem mobilen Gerät (iOS und Android) mit der von Microsoft Intune angebotenen Network Access Compliance (NAC) -Sicherheit. Wenn ein Benutzer versucht, von einem iOS- oder Android-VPN-Client aus eine Verbindung zu Citrix Gateway herzustellen, prüft das Gateway zunächst beim Intune-Dienst, ob das Gerät ein verwaltetes und ein kompatibles Gerät ist.
- Verwaltet: Das Gerät wird über den Intune Company Portal-Client registriert.
- Konform: Erforderliche Richtlinien, die vom Intune MDM-Server übertragen wurden, werden angewendet.
Nur wenn das Gerät sowohl verwaltet als auch konform ist, wird die VPN-Sitzung eingerichtet und der Benutzer erhält Zugriff auf die internen Ressourcen.
Hinweis:
In diesem Setup spricht Citrix Gateway im Back-End mit dem Intune-Dienst. Die SSL-Profile verarbeiten die eingehenden Verbindungen zum Citrix Gateway. Die Citrix Gateway-Back-End-Kommunikation verarbeitet alle SNI-Anforderungen der Back-End-Cloud-Dienste (Intune).
Intune NAC Check für das Pro-App-VPN oder sogar geräteweites VPN wird nur unterstützt, wenn das VPN-Profil vom Intune-Verwaltungsportal (jetzt als Microsoft Endpoint Manager bekannt) bereitgestellt wird. Diese Funktionen werden für vom Endbenutzer hinzugefügte VPN-Profile nicht unterstützt. Auf dem Endbenutzergerät muss das VPN-Profil von Microsoft Endpoint Manager von seinem Intune-Administrator auf seinem Gerät bereitgestellt werden, um die NAC-Prüfung verwenden zu können.
Lizenzierung
Für diese Funktion ist eine Citrix Enterprise Edition-Lizenz erforderlich.
Systemanforderungen
- Citrix Gateway Version 11.1 Build 51.21 oder höher
- iOS VPN — 10.6 oder höher
- Android VPN — 2.0.13 oder höher
- Microsoft
- Azure AD-Zugriff (mit Mandanten- und Administratorrechten)
- Mandant mit aktiviertem Intune
- Firewall
Aktivieren Sie Firewall-Regeln für den gesamten DNS- und SSL-Verkehr von der Subnetz-IP-Adresse zu
https://login.microsoftonline.com
undhttps://graph.windows.net
(Port 53 und Port 443)
Voraussetzungen
-
Alle bestehenden Authentifizierungsrichtlinien müssen von klassischen auf erweiterte Richtlinien umgestellt werden. Informationen zur Umstellung von klassischen Richtlinien auf erweiterte Richtlinien finden Sie unter https://support.citrix.com/article/CTX131024.
-
Erstellen Sie eine Citrix Gateway-Anwendung im Azure-Portal. Einzelheiten finden Sie unter Konfigurieren einer Citrix Gateway-Anwendung im Azure-Portal.
-
Konfigurieren Sie die OAuth-Richtlinie in der Citrix Gateway-Anwendung, die Sie mit den folgenden anwendungsspezifischen Informationen erstellt haben.
- Client-ID/Anwendungs-ID
- Client geheim/ Anwendungsschlüssel
- Azure-Tenant-ID
Referenzen
-
Dieses Dokument erfasst die Citrix Gateway-Setup-Konfiguration. Der größte Teil der Konfiguration des Citrix SSO-Clients (iOS/Android) erfolgt auf der Intune-Seite. Einzelheiten zur Intune-VPN-Konfiguration für NAC finden Sie unter https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
-
Informationen zum Konfigurieren des VPN-Profils für eine iOS-App finden Sie unter https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
-
Informationen zum Einrichten der Citrix Gateway-Anwendung im Azure-Portal finden Sie unter Konfigurieren einer Citrix Gateway-Anwendung im Azure-Portal.
So fügen Sie einen virtuellen Citrix Gateway-Server mit nFactor für die Gateway-Bereitstellung hinzu
-
Navigieren Sie unter dem Citrix Gateway-Baumknoten zu Virtuelle Server.
-
Geben Sie die erforderlichen Informationen im Bereich Grundeinstellungen ein und klicken Sie auf OK.
-
Wählen Sie Serverzertifikat.
-
Wählen Sie das erforderliche Serverzertifikat und klicken Sie auf Bind.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf das Pluszeichen [+] neben Richtlinien und wählen Sie Sitzung aus der Liste Richtlinie auswählen aus. Wählen Sie in der Liste Typ auswählen die Option Anforderung aus und klicken Sie auf Weiter.
-
Klicken Sie auf das Plus-Symbol [+] neben Richtlinie auswählen.
-
Geben Sie auf der Seite Create Citrix Gateway Sitzungsrichtlinie einen Namen für die Sitzungsrichtlinie an.
-
Klicken Sie auf das Plus-Symbol [+] neben Profil und geben Sie auf der Seite Citrix Gateway-Sitzungsprofil erstellen einen Namen für das Sitzungsprofil an.
-
Klicken Sie auf der Registerkarte Client Experience auf das Kontrollkästchen neben Clientless Access, und wählen Sie aus der Liste Aus.
-
Klicken Sie auf das Kontrollkästchen neben Plug-in-Typ und wählen Sie Windows/macOS aus der Liste aus.
-
Klicken Sie auf Erweiterte Einstellungen, aktivieren Sie das Kontrollkästchen neben Clientauswahl und setzen Sie den Wert auf ON.
-
Klicken Sie auf der Registerkarte Sicherheit auf das Kontrollkästchen neben Standardermächtigungsaktion und wählen Sie Zulassen aus der Liste aus.
-
Klicken Sie auf der Registerkarte Published Applications auf das Kontrollkästchen neben ICA-Proxy, und wählen Sie AUS in der Liste aus.
-
Klicken Sie auf Erstellen.
-
Enter NS_TRUE under Expression area on the Create NetScaler Gateway Session Policy page.
-
Klicken Sie auf Erstellen.
-
Klicken Sie auf Bind.
-
Wählen Sie unter Erweiterte EinstellungenAuthentifizierungsprofil.
-
Klicken Sie auf das Pluszeichen [+] und geben Sie einen Namen für das Authentifizierungsprofil ein.
-
Klicken Sie auf das Pluszeichen [+], um einen virtuellen Authentifizierungsserver zu erstellen.
-
Geben Sie im Bereich Grundeinstellungen den Namen und den IP-Adresstyp für den virtuellen Authentifizierungsserver an und klicken Sie auf OK.Der IP-Adresstyp kann auch nicht adressierbar sein.
-
Klicke auf Authentifizierungsrichtlinie.
-
Klicken Sie in der Ansicht Richtlinienbindung auf das Pluszeichen [+], um eine Authentifizierungsrichtlinie zu erstellen.
-
Wählen Sie OAUTH als Aktionstyp aus und klicken Sie auf das Plus-Symbol [+], um eine OAuth-Aktion für NAC zu erstellen.
-
Erstellen Sie eine OAuth Aktion mit Client-ID, Client Secretund Mandanten-ID.
Client-ID, Client Secret und Tenant ID werden nach der Konfiguration der NetScaler Gateway-Anwendung im Azure-Portal generiert.
Stellen Sie sicher, dass auf Ihrer Appliance ein geeigneter DNS-Nameserver konfiguriert ist, um
https://login.microsoftonline.com/
,https://graph.windows.net/
und *.manage.microsoft.com aufzulösen und zu erreichen. -
Erstellen Sie eine Authentifizierungsrichtlinie für OAuth Action.
Regel:
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
Klicken Sie auf das Plussymbol [+] , um das NextFactor-Richtlinienlabel zu erstellen.
-
Klicken Sie auf das Plus-Symbol [+], um ein Anmeldeschema zu erstellen.
-
Wählen Sie noschema als Authentifizierungsschema aus und klicken Sie auf Erstellen.
-
Klicken Sie nach Auswahl des erstellten Anmeldeschemas auf Weiter.
-
Wählen Sie unter Richtlinie auswähleneine bestehende Authentifizierungsrichtlinie für die Benutzeranmeldung aus oder klicken Sie auf das Plus-Symbol +, um eine Authentifizierungsrichtlinie zu erstellen. Einzelheiten zum Erstellen einer Authentifizierungsrichtlinie finden Sie unter Konfiguration erweiterter Authentifizierungsrichtlinien.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Fertig.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Fertig.
-
Klicken Sie auf Erstellen.
-
Klicken Sie auf OK.
-
Klicken Sie auf Fertig.
So binden Sie das Authentifizierungsanmeldeschema an den virtuellen Authentifizierungsserver, um VPN-Plug-Ins anzugeben, um die Geräte-ID als Teil der /cgi/login-Anfrage zu senden
-
Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server.
-
Wählen Sie den zuvor ausgewählten virtuellen Server aus und klicken Sie auf Bearbeiten.
-
Klicken Sie unter Erweiterte Einstellungen auf Anmeldeschemas.
-
Klicken Sie auf Login Schemas, um zu binden.
-
Klicken Sie auf [>], um die vorhandenen Richtlinien für das Build-In-Anmeldeschema für die NAC-Geräteprüfung auszuwählen und zu binden.
-
Wählen Sie die für Ihre Authentifizierungsbereitstellung geeignete Richtlinie für das Anmeldeschema aus und klicken Sie auf Auswählen
In der erläuterten Bereitstellung wird die Einfaktorauthentifizierung (LDAP) zusammen mit der NAC OAuth Action-Richtlinie verwendet, daher wurde lschema_single_factor_deviceid ausgewählt.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Fertig.
Problembehandlung
Allgemeine Probleme
Problem | Auflösung |
---|---|
Die Meldung “Richtlinie hinzufügen erforderlich” wird angezeigt, wenn Sie eine App öffnen | Hinzufügen von Richtlinien in der Microsoft Graph-API |
Es gibt Richtlinienkonflikte | Es ist nur eine einzige Richtlinie pro App zulässig |
Ihre App kann keine Verbindung zu internen Ressourcen herstellen | Stellen Sie sicher, dass die richtigen Firewall-Ports geöffnet sind, Sie die Mandanten-ID korrigieren und so weiter |
Citrix Gateway-Probleme
Problem | Auflösung |
---|---|
Die Berechtigungen, die für die Gateway-App auf Azure konfiguriert werden müssen, sind nicht verfügbar. | Überprüfen Sie, ob eine Intune-Lizenz verfügbar ist. Versuchen Sie, das Portal manage.windowsazure.com zu verwenden, um festzustellen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht. |
Citrix Gateway kann nicht erreichen login.microsoftonline.comandgraph.windows.net . |
Prüfen Sie von NS Shell aus, ob Sie die folgende Microsoft-Website erreichen können: cURL -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf Citrix Gateway konfiguriert ist. Vergewissern Sie sich auch, dass die Firewall-Einstellungen korrekt sind (falls DNS-Anfragen durch eine Firewall gespeichert sind). |
Ein Fehler erscheint in ns.log nachdem Sie OAuthAction konfiguriert haben. | Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt. |
Der Befehl “OAuthAction” zeigt den OAuth-Status nicht als abgeschlossen an. | Überprüfen Sie die DNS-Einstellungen und Berechtigungen für die Azure Gateway-App. |
Auf dem Android- bzw. iOS-Gerät wird die Zweifaktor-Authentifizierungsaufforderung nicht angezeigt. | Überprüfen Sie, ob das Zweifaktor-Geräte-ID-LogonSchema an den virtuellen Authentifizierungsserver gebunden ist. |
Status und Fehlerzustand von Citrix Gateway OAuth
Status | Zustand des Fehlers |
---|---|
AADFORGRAPH | Ungültiger Schlüssel, URL nicht aufgelöst, Verbindungstimeout |
MDMINFO |
*manage.microsoft.com ist ausgefallen oder nicht erreichbar |
GRAPH | Graph-Endpunkt nicht erreichbar |
CERTFETCH | Kommunikation mit Token Endpoint: https://login.microsoftonline.com wegen eines DNS-Fehlers nicht möglich. Um diese Konfiguration zu validieren, gehen Sie zur Shell-Eingabeaufforderung und geben cURL ein https://login.microsoftonline.com. Der Befehl muss validieren. |
Hinweis: Wenn der OAuth Status erfolgreich ist, wird der Status als COMPLETE angezeigt.
Intune-Konfigurationsprüfung
Stellen Sie sicher, dass Sie das Kontrollkästchen Ich stimme zu unter Basis-iOS-VPN-Konfiguration für Citrix SSO > Netzwerkzugriffskontrolle (NAC) aktivieren. Sonst funktioniert der NAC-Check nicht.
Teilen
Teilen
In diesem Artikel
- Lizenzierung
- Systemanforderungen
- Voraussetzungen
- Referenzen
- So fügen Sie einen virtuellen Citrix Gateway-Server mit nFactor für die Gateway-Bereitstellung hinzu
- So binden Sie das Authentifizierungsanmeldeschema an den virtuellen Authentifizierungsserver, um VPN-Plug-Ins anzugeben, um die Geräte-ID als Teil der /cgi/login-Anfrage zu senden
- Problembehandlung
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.