Gateway

Konfigurieren Sie die Network Access Control-Geräteprüfung für den virtuellen Citrix Gateway-Server für die Bereitstellung der Einfaktorauthentifizierung

Dieses Thema enthält Informationen zum Konfigurieren von Citrix Gateway für die Verbindung mit einem internen Netzwerk von einem mobilen Gerät (iOS und Android) mit der von Microsoft Intune angebotenen Network Access Compliance (NAC) -Sicherheit. Wenn ein Benutzer versucht, von einem iOS- oder Android-VPN-Client aus eine Verbindung zu Citrix Gateway herzustellen, prüft das Gateway zunächst beim Intune-Dienst, ob das Gerät ein verwaltetes und ein kompatibles Gerät ist.

  • Verwaltet: Das Gerät wird über den Intune Company Portal-Client registriert.
  • Konform: Erforderliche Richtlinien, die vom Intune MDM-Server übertragen wurden, werden angewendet.

Nur wenn das Gerät sowohl verwaltet als auch konform ist, wird die VPN-Sitzung eingerichtet und der Benutzer erhält Zugriff auf die internen Ressourcen.

Hinweis:

  • In diesem Setup spricht Citrix Gateway im Back-End mit dem Intune-Dienst. Die SSL-Profile verarbeiten die eingehenden Verbindungen zum Citrix Gateway. Die Citrix Gateway-Back-End-Kommunikation verarbeitet alle SNI-Anforderungen der Back-End-Cloud-Dienste (Intune).

  • Intune NAC Check für das Pro-App-VPN oder sogar geräteweites VPN wird nur unterstützt, wenn das VPN-Profil vom Intune-Verwaltungsportal (jetzt als Microsoft Endpoint Manager bekannt) bereitgestellt wird. Diese Funktionen werden für vom Endbenutzer hinzugefügte VPN-Profile nicht unterstützt. Auf dem Endbenutzergerät muss das VPN-Profil von Microsoft Endpoint Manager von seinem Intune-Administrator auf seinem Gerät bereitgestellt werden, um die NAC-Prüfung verwenden zu können.

Lizenzierung

Für diese Funktion ist eine Citrix Enterprise Edition-Lizenz erforderlich.

Systemanforderungen

  • Citrix Gateway Version 11.1 Build 51.21 oder höher
  • iOS VPN — 10.6 oder höher
  • Android VPN — 2.0.13 oder höher
  • Microsoft
    • Azure AD-Zugriff (mit Mandanten- und Administratorrechten)
    • Mandant mit aktiviertem Intune
  • Firewall Aktivieren Sie Firewall-Regeln für den gesamten DNS- und SSL-Verkehr von der Subnetz-IP-Adresse zu https://login.microsoftonline.com und https://graph.windows.net (Port 53 und Port 443)

Voraussetzungen

  • Alle bestehenden Authentifizierungsrichtlinien müssen von klassischen auf erweiterte Richtlinien umgestellt werden. Informationen zur Umstellung von klassischen Richtlinien auf erweiterte Richtlinien finden Sie unter https://support.citrix.com/article/CTX131024.

  • Erstellen Sie eine Citrix Gateway-Anwendung im Azure-Portal. Einzelheiten finden Sie unter Konfigurieren einer Citrix Gateway-Anwendung im Azure-Portal.

  • Konfigurieren Sie die OAuth-Richtlinie in der Citrix Gateway-Anwendung, die Sie mit den folgenden anwendungsspezifischen Informationen erstellt haben.

    • Client-ID/Anwendungs-ID
    • Client geheim/ Anwendungsschlüssel
    • Azure-Tenant-ID

Referenzen

So fügen Sie einen virtuellen Citrix Gateway-Server mit nFactor für die Gateway-Bereitstellung hinzu

  1. Navigieren Sie unter dem Citrix Gateway-Baumknoten zu Virtuelle Server.

    Seite Virtuelle Server

  2. Geben Sie die erforderlichen Informationen im Bereich Grundeinstellungen ein und klicken Sie auf OK.

    Grundeinstellungen

  3. Wählen Sie Serverzertifikat.

    Serverzertifikat hinzufügen

  4. Wählen Sie das erforderliche Serverzertifikat und klicken Sie auf Bind.

    Serverzertifikat binden

  5. Klicken Sie auf Weiter.

  6. Klicken Sie auf Weiter.

  7. Klicken Sie auf Weiter.

  8. Klicken Sie auf das Pluszeichen [+] neben Richtlinien und wählen Sie Sitzung aus der Liste Richtlinie auswählen aus. Wählen Sie in der Liste Typ auswählen die Option Anforderung aus und klicken Sie auf Weiter.

  9. Klicken Sie auf das Plus-Symbol [+] neben Richtlinie auswählen.

  10. Geben Sie auf der Seite Create Citrix Gateway Sitzungsrichtlinie einen Namen für die Sitzungsrichtlinie an.

  11. Klicken Sie auf das Plus-Symbol [+] neben Profil und geben Sie auf der Seite Citrix Gateway-Sitzungsprofil erstellen einen Namen für das Sitzungsprofil an.

  12. Klicken Sie auf der Registerkarte Client Experience auf das Kontrollkästchen neben Clientless Access, und wählen Sie aus der Liste Aus.

  13. Klicken Sie auf das Kontrollkästchen neben Plug-in-Typ und wählen Sie Windows/macOS aus der Liste aus.

  14. Klicken Sie auf Erweiterte Einstellungen, aktivieren Sie das Kontrollkästchen neben Clientauswahl und setzen Sie den Wert auf ON.

  15. Klicken Sie auf der Registerkarte Sicherheit auf das Kontrollkästchen neben Standardermächtigungsaktion und wählen Sie Zulassen aus der Liste aus.

  16. Klicken Sie auf der Registerkarte Published Applications auf das Kontrollkästchen neben ICA-Proxy, und wählen Sie AUS in der Liste aus.

  17. Klicken Sie auf Erstellen.

  18. Enter NS_TRUE under Expression area on the Create NetScaler Gateway Session Policy page.

  19. Klicken Sie auf Erstellen.

  20. Klicken Sie auf Bind.

  21. Wählen Sie unter Erweiterte EinstellungenAuthentifizierungsprofil.

    Authentifizierungsprofil

  22. Klicken Sie auf das Pluszeichen [+] und geben Sie einen Namen für das Authentifizierungsprofil ein.

    Namen des Authentifizierungsprofils hinzufügen

  23. Klicken Sie auf das Pluszeichen [+], um einen virtuellen Authentifizierungsserver zu erstellen.

    Virtuellen Authentifizierungsserver erstellen

  24. Geben Sie im Bereich Grundeinstellungen den Namen und den IP-Adresstyp für den virtuellen Authentifizierungsserver an und klicken Sie auf OK.Der IP-Adresstyp kann auch nicht adressierbar sein.

    Grundeinstellungen aktualisieren

  25. Klicke auf Authentifizierungsrichtlinie.

    Richtlinie für die Authentifizierung

  26. Klicken Sie in der Ansicht Richtlinienbindung auf das Pluszeichen [+], um eine Authentifizierungsrichtlinie zu erstellen.

    Authentifizierungsrichtlinie erstellen

  27. Wählen Sie OAUTH als Aktionstyp aus und klicken Sie auf das Plus-Symbol [+], um eine OAuth-Aktion für NAC zu erstellen.

    Wählen Sie den Aktionstyp OAuth

  28. Erstellen Sie eine OAuth Aktion mit Client-ID, Client Secretund Mandanten-ID.

    Client-ID, Client Secret und Tenant ID werden nach der Konfiguration der NetScaler Gateway-Anwendung im Azure-Portal generiert.

    Stellen Sie sicher, dass auf Ihrer Appliance ein geeigneter DNS-Nameserver konfiguriert ist, um https://login.microsoftonline.com/, https://graph.windows.net/ und *.manage.microsoft.com aufzulösen und zu erreichen.

    ID und Geheimnis für Azure-Portal

  29. Erstellen Sie eine Authentifizierungsrichtlinie für OAuth Action.

    Regel:

    http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") &&    http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") &&    http.req.header("User-Agent").contains("CitrixVPN")))
    <!--NeedCopy-->
    

    OAuth-Regel

  30. Klicken Sie auf das Plussymbol [+] , um das NextFactor-Richtlinienlabel zu erstellen.

    Next Factor Policy Label

  31. Klicken Sie auf das Plus-Symbol [+], um ein Anmeldeschema zu erstellen.

    Erstellen eines Anmeldeschemas

  32. Wählen Sie noschema als Authentifizierungsschema aus und klicken Sie auf Erstellen.

    Authentifizierungsschema auswählen

  33. Klicken Sie nach Auswahl des erstellten Anmeldeschemas auf Weiter.

    Klicken Sie auf Weiter

  34. Wählen Sie unter Richtlinie auswähleneine bestehende Authentifizierungsrichtlinie für die Benutzeranmeldung aus oder klicken Sie auf das Plus-Symbol +, um eine Authentifizierungsrichtlinie zu erstellen. Einzelheiten zum Erstellen einer Authentifizierungsrichtlinie finden Sie unter Konfiguration erweiterter Authentifizierungsrichtlinien.

    Wählen Sie eine Richtlinie aus oder erstellen Sie eine

  35. Klicken Sie auf Bind.

    Klicken Sie auf Binden

  36. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

  37. Klicken Sie auf Bind.

    Klicken Sie auf Binden

  38. Klicken Sie auf Weiter.

    Klicken Sie auf Weiter

  39. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

  40. Klicken Sie auf Erstellen.

    Klicken Sie auf Erstellen.

  41. Klicken Sie auf OK.

    Klicken Sie auf OK

  42. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

So binden Sie das Authentifizierungsanmeldeschema an den virtuellen Authentifizierungsserver, um VPN-Plug-Ins anzugeben, um die Geräte-ID als Teil der /cgi/login-Anfrage zu senden

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server.

    Seite Virtueller Server

  2. Wählen Sie den zuvor ausgewählten virtuellen Server aus und klicken Sie auf Bearbeiten.

    Virtuellen Server bearbeiten

  3. Klicken Sie unter Erweiterte Einstellungen auf Anmeldeschemas.

    Klicken Sie auf Erweiterte Einstellungen

  4. Klicken Sie auf Login Schemas, um zu binden.

    Anmeldeschema wählen

  5. Klicken Sie auf [>], um die vorhandenen Richtlinien für das Build-In-Anmeldeschema für die NAC-Geräteprüfung auszuwählen und zu binden.

    Anmeldeschema binden

  6. Wählen Sie die für Ihre Authentifizierungsbereitstellung geeignete Richtlinie für das Anmeldeschema aus und klicken Sie auf Auswählen

    In der erläuterten Bereitstellung wird die Einfaktorauthentifizierung (LDAP) zusammen mit der NAC OAuth Action-Richtlinie verwendet, daher wurde lschema_single_factor_deviceid ausgewählt.

    Wählen Sie die Anmelderichtlinie

  7. Klicken Sie auf Bind.

    Klicken Sie auf Binden

  8. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

Problembehandlung

Allgemeine Probleme

Problem Auflösung
Die Meldung “Richtlinie hinzufügen erforderlich” wird angezeigt, wenn Sie eine App öffnen Hinzufügen von Richtlinien in der Microsoft Graph-API
Es gibt Richtlinienkonflikte Es ist nur eine einzige Richtlinie pro App zulässig
Ihre App kann keine Verbindung zu internen Ressourcen herstellen Stellen Sie sicher, dass die richtigen Firewall-Ports geöffnet sind, Sie die Mandanten-ID korrigieren und so weiter

Citrix Gateway-Probleme

Problem Auflösung
Die Berechtigungen, die für die Gateway-App auf Azure konfiguriert werden müssen, sind nicht verfügbar. Überprüfen Sie, ob eine Intune-Lizenz verfügbar ist. Versuchen Sie, das Portal manage.windowsazure.com zu verwenden, um festzustellen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht.
Citrix Gateway kann nicht erreichen login.microsoftonline.comandgraph.windows.net. Prüfen Sie von NS Shell aus, ob Sie die folgende Microsoft-Website erreichen können: cURL -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf Citrix Gateway konfiguriert ist. Vergewissern Sie sich auch, dass die Firewall-Einstellungen korrekt sind (falls DNS-Anfragen durch eine Firewall gespeichert sind).
Ein Fehler erscheint in ns.log nachdem Sie OAuthAction konfiguriert haben. Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt.
Der Befehl “OAuthAction” zeigt den OAuth-Status nicht als abgeschlossen an. Überprüfen Sie die DNS-Einstellungen und Berechtigungen für die Azure Gateway-App.
Auf dem Android- bzw. iOS-Gerät wird die Zweifaktor-Authentifizierungsaufforderung nicht angezeigt. Überprüfen Sie, ob das Zweifaktor-Geräte-ID-LogonSchema an den virtuellen Authentifizierungsserver gebunden ist.

Status und Fehlerzustand von Citrix Gateway OAuth

Status Zustand des Fehlers
AADFORGRAPH Ungültiger Schlüssel, URL nicht aufgelöst, Verbindungstimeout
MDMINFO *manage.microsoft.comist ausgefallen oder nicht erreichbar
GRAPH Graph-Endpunkt nicht erreichbar
CERTFETCH Kommunikation mit Token Endpoint: https://login.microsoftonline.com wegen eines DNS-Fehlers nicht möglich. Um diese Konfiguration zu validieren, gehen Sie zur Shell-Eingabeaufforderung und geben cURL ein https://login.microsoftonline.com. Der Befehl muss validieren.

Hinweis: Wenn der OAuth Status erfolgreich ist, wird der Status als COMPLETE angezeigt.

Intune-Konfigurationsprüfung

Stellen Sie sicher, dass Sie das Kontrollkästchen Ich stimme zu unter Basis-iOS-VPN-Konfiguration für Citrix SSO > Netzwerkzugriffskontrolle (NAC) aktivieren. Sonst funktioniert der NAC-Check nicht.

Konfigurieren Sie die Network Access Control-Geräteprüfung für den virtuellen Citrix Gateway-Server für die Bereitstellung der Einfaktorauthentifizierung