-
Pflege und Überwachung von NetScaler Gateway-Systemen
-
VPN-Konfiguration auf einem NetScaler Gateway-Gerät
-
So stellen Benutzer eine Verbindung mit dem Citrix Secure Access-Client her
-
Citrix Secure Access-Clients für den Benutzerzugriff bereitstellen
-
Citrix Secure Access-Client in die Citrix Workspace-App integrieren
-
Verbindungen für den Citrix Secure Access-Client konfigurieren
-
Erweiterte Richtlinienunterstützung für Enterprise-Lesezeichen
-
-
Virtuellen DTLS-VPN-Server über den virtuellen SSL-VPN-Server konfigurieren
-
NetScaler Gateway mit Citrix Produkten integrieren
-
So verbinden sich Benutzer mit Anwendungen, Desktops und ShareFile
-
NetScaler Gateway mit Citrix Virtual Apps and Desktops integrieren
-
Einstellungen für Ihre Citrix Endpoint Management-Umgebung konfigurieren
-
Lastausgleichsserver für Citrix Endpoint Management konfigurieren
-
Lastausgleichsserver für Microsoft Exchange mit Email Security-Filterung konfigurieren
-
Citrix Endpoint Management NetScaler Connector (XNC) ActiveSync-Filterung konfigurieren
-
Zugriff mit Mobilgeräten über mobile Produktivitätsapps von Citrix zulassen
-
Domänen- und Sicherheitstoken-Authentifizierung für Citrix Endpoint Management konfigurieren
-
Clientzertifikat- oder Clientzertifikat und Domänenauthentifizierung konfigurieren
-
-
-
-
Wann sollte die integrierte Intune-MDM-Lösung verwendet werden?
-
NetScaler Gateway Virtual Server für die Microsoft ADAL Token-Authentifizierung konfigurieren
-
NetScaler Gateway für Micro-VPN mit Microsoft Endpoint Manager einrichten
-
-
NetScaler Gateway aktiviert PCoIP-Proxy-Unterstützung für VMware Horizon View
-
Automatische Proxy-Konfiguration für ausgehende Proxy-Unterstützung für NetScaler Gateway
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler Gateway für Micro-VPN mit Microsoft Endpoint Manager einrichten
Die Citrix Micro VPN-Integration in Microsoft Endpoint Management ermöglicht Ihren Apps den Zugriff auf on-premises Ressourcen. Einzelheiten finden Sie unter Citrix Micro VPN-Integration mit Microsoft Endpoint Manager.
Systemanforderungen
- NetScaler Gateway Versionen
- 13.1
- 13.0
- 12.1.50.x oder höher
- 12.0.59.x oder höher
Sie können die neueste Version von NetScaler Gateway von der NetScaler Gateway-Downloadseite herunterladen.
-
Windows-Desktop mit Windows 7 oder höher (nur für das Umschließen von Android-Apps)
- Microsoft
- Azure AD-Zugriff (mit Mandantenadministratorberechtigung)
- Intune-fähiger Mandant
- Firewallregeln
- Aktivieren einer Firewallregel für SSL-Datenverkehr von einer NetScaler Gateway-Subnetz-IP zu
*.manage.microsoft.comhttps://login.microsoftonline.com, undhttps://graph.windows.net(Port 443) - NetScaler Gateway muss in der Lage sein, die vorhergehenden URLs extern aufzulösen.
- Aktivieren einer Firewallregel für SSL-Datenverkehr von einer NetScaler Gateway-Subnetz-IP zu
Voraussetzungen
-
Intune-Umgebung: Wenn Sie keine Intune-Umgebung haben, richten Sie eine ein. Anweisungen finden Sie in der Microsoft-Dokumentation.
-
Edge-Browser-App: Das Micro VPN SDK ist in die Microsoft Edge-App und die Intune Managed Browser-App für iOS und Android integriert. Weitere Informationen zum Managed Browser finden Sie auf der Microsoft-Seite zum Managed Browser.
-
Citrix Endpoint Management-Berechtigung: Stellen Sie sicher, dass Sie über eine aktive Citrix Endpoint Management-Berechtigung verfügen, um das Micro-VPN-SDK in einem mobilen Microsoft Edge-Browser (iOS und Android) weiterhin unterstützen zu können. Weitere Informationen erhalten Sie von Ihrem Vertriebsmitarbeiter, Kundenbetreuer oder Partnervertreter.
Erteilen Sie Azure Active Directory (AAD) -Anwendungsberechtigungen
-
Zustimmung zur Mandantenanten-AAD-Anwendung von Citrix, NetScaler Gateway die Authentifizierung bei der AAD-Domäne zu ermöglichen. Der Azure Global Administrator muss die folgende URL und Zustimmung aufrufen:
-
Zustimmung zur Mandantenanten-AAD-Anwendung von Citrix, um mobilen Anwendungen die Authentifizierung mit dem NetScaler Gateway Micro VPN zu ermöglichen. Dieser Link ist nur erforderlich, wenn der Azure Global Admin den Standardwert für Benutzer geändert hat, die Anwendungen von Ja auf Nein registrieren können. Diese Einstellung finden Sie im Azure-Portal unter Azure Active Directory > Benutzer > Benutzereinstellungen. Der globale Azure Administrator muss die folgende URL und Zustimmung aufrufen (fügen Sie Ihre Mandanten-ID hinzu) https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7.
Konfigurieren von NetScaler Gateway für Micro-VPN
Zur Verwendung von Micro-VPN in Intune müssen Sie NetScaler Gateway für die Authentifizierung bei Azure AD konfigurieren. Ein vorhandener virtueller NetScaler Gateway-Server kann in diesem Anwendungsfall nicht verwendet werden. Konfigurieren Sie Azure AD zunächst zur Synchronisierung mit dem On-Premises-Active Directory. Dieser Schritt ist erforderlich, um eine einwandfreie Authentifizierung zwischen Intune und NetScaler Gateway sicherzustellen.
Download-Skript: Die ZIP-Datei enthält eine Readme-Datei mit Anweisungen zur Implementierung des Skripts. Sie müssen die Informationen, die die Skripte benötigen, manuell eingeben und das Skript auf dem NetScaler Gateway ausführen, um den Dienst zu konfigurieren. Sie können die Skriptdatei von der NetScaler-Downloadseiteherunterladen.
Wichtig: Nachdem Sie die NetScaler Gateway-Konfiguration abgeschlossen haben und wenn Sie einen anderen OAuth-Status als COMPLETE sehen, lesen Sie den Abschnitt Fehlerbehebung.
Konfigurieren des Microsoft Edge-Browsers
- Melden Sie sich bei https://endpoint.microsoft.com/ an und navigieren Sie zu Intune > Mobile Apps.
- Veröffentlichen Sie die Edge-App wie gewohnt und fügen Sie dann eine App-Konfigurationsrichtlinie hinzu.
- Klicken Sie unter Verwalten auf App-Konfigurationsrichtlinien.
- Klicken Sie auf Hinzufügen und geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten. Wählen Sie unter GeräteregistrierungstypVerwaltete Appsaus.
- Klicken Sie auf Verknüpfte App
- Wählen Sie die Apps aus, auf die Sie die Richtlinie anwenden möchten (verwalteter Microsoft Edge- oder Intune-Browser), und klicken Sie dann auf OK.
- Klicken Sie auf Konfigurationseinstellungen.
- Geben Sie im Feld Name den Namen einer der in der folgenden Tabelle aufgeführten Richtlinien ein.
- Geben Sie im Feld Wert den Wert ein, den Sie für diese Richtlinie anwenden möchten. Klicken Sie außerhalb des Felds, um die Richtlinie zur Liste hinzuzufügen. Sie können mehrere Richtlinien hinzufügen.
- Klicken Sie auf OK und dann auf Hinzufügen.
Die Richtlinie wird der Liste hinzugefügt.
|Name (iOS/Android)|Wert|Beschreibung|
|—|—|—|
|MvpnGatewayAddress|https://external.companyname.com|Externe URL Ihres NetScaler Gateway|
|MvpnNetworkAccess|MvpnNetworkAccessTunneledWebSSOor Unrestricted|MvpnNetworkAccessTunneledWebSSO ist die Standardeinstellung für das Tunneln.|
|MvpnExcludeDomains|Kommagetrennte Liste der auszuschließenden Domainnamen|Optional. Default=blank|
|TunnelExcludeDomains|Verwenden Sie diese Client-Eigenschaft, um die Standardliste der ausgeschlossenen Domänen zu überschreiben. Default=app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com|
Hinweis: Web SSO ist der Name für Secure Browse in den Einstellungen. Das Verhalten ist dasselbe.
-
MvpnNetworkAccess - MvpnNetworkAccessTunneledWebSSO ermöglicht die HTTP/HTTPS-Umleitung über das NetScaler Gateway, auch bekannt als Tunneled-Web SSO. Das Gateway reagiert inline auf Herausforderungen bei der HTTP-Authentifizierung und bietet ein Single-Sign-On (SSO) -Erlebnis. Um Web SSO zu verwenden, legen Sie diese Richtlinie auf MvpnNetworkAccessTunneledWebSSOfest. Eine vollständige Tunnelumleitung wird derzeit nicht unterstützt. Verwenden Sie Uneingeschränkt, um das Micro-VPN-Tunneling ausgeschaltet zu lassen.
-
MvpnExcludeDomains - Kommagetrennte Liste von Host- oder Domänennamen, die vom Routing durch den NetScaler Gateway Reverse-Webproxy ausgeschlossen werden sollen. Die Host- oder Domänennamen werden ausgeschlossen, obwohl die von NetScaler Gateway konfigurierten geteilten DNS-Einstellungen andernfalls die Domäne oder den Host auswählen könnten.
Hinweis:
-
Diese Richtlinie wird nur für MvpnNetworkAccessTunneledWebSSO-Verbindungen durchgesetzt. Wenn
MvpnNetworkAccessauf Unrestricted gesetzt ist, wird diese Richtlinie ignoriert. -
Diese Richtlinie gilt nur für den getunnelten Web-SSO-Modus, bei dem NetScaler Gateway für Reverse-Split-Tunneling konfiguriert ist.
-
-
TunnelExcludeDomains — Standardmäßig schließt MDX einige Dienstendpunkte vom Micro-VPN-Tunneling aus. Die SDKs für mobile Apps und die Apps verwenden diese Dienstendpunkte für verschiedene Funktionen. Zu den Dienstendpunkten gehören beispielsweise Dienste, für die kein Routing über Unternehmensnetzwerke erforderlich ist, wie Google Analytics, Citrix Cloud-Dienste und Active Directory-Dienste. Verwenden Sie diese Client-Eigenschaft, um die Standardliste der ausgeschlossenen Domänen zu überschreiben.
Um diese globale Client-Richtlinie zu konfigurieren, navigieren Sie in der Microsoft Endpoint Management-Konsole zu Einstellungen > Client-Eigenschaften, fügen Sie den benutzerdefinierten Schlüssel TUNNEL_EXCLUDE_DOMAINShinzu und legen Sie den Wert fest.
Wert: Um die Standardliste durch die Domänen zu ersetzen, die Sie vom Tunneling ausschließen möchten, geben Sie eine durch Kommas getrennte Liste von Domänensuffixen ein. Um alle Domänen im Tunneling einzuschließen, geben none ein. Standardwert:
app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com
Problembehandlung
Allgemeine Probleme
| Problem | Auflösung |
|---|---|
| Die Meldung “Richtlinie hinzufügen erforderlich” wird angezeigt, wenn Sie eine App öffnen | Hinzufügen von Richtlinien in der Microsoft Graph-API |
| Es gibt Richtlinienkonflikte | Es ist nur eine einzige Richtlinie pro App zulässig |
| Die Meldung “App konnte nicht verpackt werden” wird beim Umschließen einer App angezeigt. Die vollständige Meldung finden Sie in der folgenden Tabelle | Die App ist in das Intune SDK integriert. Sie müssen die App nicht mit dem Intune umschließen |
| Ihre App kann keine Verbindung zu internen Ressourcen herstellen | Stellen Sie sicher, dass die richtigen Firewall-Ports geöffnet sind, Sie die Mandanten-ID korrigieren und so weiter |
Fehler beim Packen der App-Fehlermeldung:
App konnte nicht verpackt werden. com.microsoft.intune.mam.apppackager.utils.AppPackagerException: Diese App hat das MAM SDK bereits integriert. com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113) com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198) com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56) Die Anwendung darf nicht umschlossen sein.
NetScaler Gateway-Probleme
| Problem | Auflösung |
|---|---|
| Die Berechtigungen, die für die Gateway-App auf Azure konfiguriert werden müssen, sind nicht verfügbar. | Überprüfen Sie, ob eine Intune-Lizenz verfügbar ist. Versuchen Sie, das Portal manage.windowsazure.com zu verwenden, um festzustellen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht. |
NetScaler Gateway kann nicht erreichen login.microsoftonline.com and graph.windows.net. |
Prüfen Sie von NS Shell aus, ob Sie die folgende Microsoft-Website erreichen können: cURL -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf NetScaler Gateway konfiguriert ist. Vergewissern Sie sich auch, dass die Firewall-Einstellungen korrekt sind (falls DNS-Anfragen durch eine Firewall gespeichert sind). |
| Ein Fehler erscheint in ns.log nachdem Sie OAuthAction konfiguriert haben. | Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt. |
| Der Befehl “OAuthAction” zeigt den OAuth-Status nicht als abgeschlossen an. | Überprüfen Sie die DNS-Einstellungen und Berechtigungen für die Azure Gateway-App. |
| Auf dem Android- bzw. iOS-Gerät wird die Zweifaktor-Authentifizierungsaufforderung nicht angezeigt. | Überprüfen Sie, ob das Zweifaktor-Geräte-ID-LogonSchema an den virtuellen Authentifizierungsserver gebunden ist. |
Status und Fehlerzustand von NetScaler Gateway OAuth
| Status | Zustand des Fehlers |
|---|---|
| AADFORGRAPH | Ungültiger Schlüssel, URL nicht aufgelöst, Verbindungstimeout |
| MDMINFO |
*manage.microsoft.comist ausgefallen oder nicht erreichbar |
| GRAPH | Graph-Endpunkt nicht erreichbar |
| CERTFETCH | Kommunikation mit Token Endpoint: https://login.microsoftonline.com wegen eines DNS-Fehlers nicht möglich. Um diese Konfiguration zu validieren, gehen Sie zu Shell und geben cURL ein https://login.microsoftonline.com. Der Befehl muss validieren. |
Hinweis: Wenn der OAuth Status erfolgreich ist, wird der Status als COMPLETE angezeigt.
Teilen
Teilen
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.