Gateway

Citrix Gateway-Anwendung im Azure-Portal

Im folgenden Abschnitt werden Schritte zum Konfigurieren einer Citrix Gateway-Anwendung im Azure-Portal aufgeführt.

Voraussetzung

  • Globale Azure Admin-Anmeldeinformationen
  • Intune-Lizenzierung ist aktiviert
  • Für Intune Integration müssen Sie eine Citrix Gateway-Anwendung im Azure-Portal erstellen.
  • Konfigurieren Sie nach dem Erstellen der Citrix Gateway-Anwendung die OAuth-Richtlinie auf Citrix Gateway mithilfe der folgenden anwendungsspezifischen Informationen:
    • Client-ID/Anwendungs-ID
    • Client Secret/Anwendungsschlüssel
    • Azure-Tenant-ID
  • Citrix Gateway verwendet die App-Client-ID und das Clientgeheimnis, um mit Azure zu kommunizieren und die NAC-Konformität zu überprüfen.

So erstellen Sie eine Citrix Gateway App auf Azure

  1. Loggen Sie sich auf portal.azure.com ein
  2. Klicken Sie auf Azure Active Directory.
  3. Klicken Sie auf App-Registrierungen und dann auf Neue Registrierung.

    Azure-App-Registrierung

  4. Geben Sie auf der Seite Anwendung registrieren einen App-Namen ein und klicken Sie auf Registrieren.

    Name der App

  5. Navigieren Sie zu Authentifizierung, klicken Sie auf URI hinzufügen, geben Sie FDQN für Citrix Gateway ein und klicken Sie auf Speichern.

    Umleitungs-URL

  6. Navigieren Sie zur Übersichtsseite, um die Client-ID, die Mandanten-ID und die Objekt-ID abzurufen.

    Seite "Übersicht"

  7. Navigieren Sie zu API-Berechtigungen und klicken Sie auf Berechtigung hinzufügen.

    API-Berechtigung

    Hinweis:

    Alle Azure AD-Anwendungen, die die Dienstendpunkte https://login.microsoftonline.com, https://graph.microsoft.com oder https://graph.windows.com aufrufen, brauchen die API-Berechtigung, damit das Gateway die NAC-API aufrufen kann. Die verfügbaren API-Berechtigungen sind:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.OwnedBy
    • Directory.Read.All

    Die bevorzugte Berechtigung ist Application.Read.All.

    Weitere Einzelheiten finden Sie unter https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-intune-service-discovery-api-endpoint-will-require/ba-p/2428040

  8. Klicken Sie auf die Microsoft Graph-Kachel, um API-Berechtigungen für Microsoft Graph zu konfigurieren

    MS-Diagramm

  9. Klicken Sie auf die Kachel Delegierte Berechtigungen.

    API-Berechtigung für MS-Diagramm

  10. Wählen Sie die folgenden Berechtigungen aus und klicken Sie auf Berechtigungen hinzufügen.

    • E-Mail
    • openid
    • Profil
    • Directory.AccessAsUser.All
    • User.Read
    • User.Read.All
    • User.ReadBasic.All

    API-Berechtigung 1

    API-Berechtigung 2

    API-Berechtigung 3

    Berechtigungen für die Intune-NAC-Prüfung:

    Für alle Azure AD-Anwendungen, die die Dienstendpunkte https://login.microsoftonline.com, https://graph.microsoft.com oder https://graph.windows.com aufrufen, muss die API-Berechtigung zugewiesen werden, damit das Gateway die NAC-API aufrufen kann. Die verfügbaren API-Berechtigungen sind:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.OwnedBy
    • Directory.Read.All

    Die bevorzugte Berechtigung ist Application.Read.All.

    Weitere Informationen finden https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-intune-service-discovery-api-endpoint-will-require/ba-p/2428040

    Sie unter Hinweis:

    Wenn ein Kunde nur die Intune Action for NAC-Prüfung verwendet, ist Application.Read.All in Microsoft Graph die einzige erforderliche Berechtigung.

  11. Klicken Sie auf die Intune-Kachel, um API-Berechtigungen für Intune zu konfigurieren.

    Intune-Kachel

  12. Klicken Sie auf die Kachel Anwendungsberechtigungen und die Kachel Delegierte Berechtigungen, um Berechtigungen für get_device_Compliance bzw. get_Data_Warehouse hinzuzufügen.

    API-Berechtigung für Intune

  13. Wählen Sie die folgenden Berechtigungen aus und klicken Sie auf Berechtigungen hinzufügen.
    • get_device_Compliance - Anwendungsberechtigungen
    • get_data_Warehouse - Delegierte Berechtigungen

    Hinweis:

    Für die Intune-NAC-Prüfung ist die einzige erforderliche Berechtigung get_device_Compliance.

    API-Berechtigung: get device

    API-Berechtigung: gets warehouse

  14. Auf der folgenden Seite sind die konfigurierten API-Berechtigungen aufgeführt.

    Liste der API-Berechtigungen

  15. Navigieren Sie zu Certificates & Secrets und klicken Sie auf Neuer

    Neues Clientgeheimnis

  16. Geben Sie auf der Seite Clientgeheimnis hinzufügen eine Beschreibung ein, wählen Sie Ablauf aus und klicken Sie auf Hinzufügen.

    API-Berechtigung

  17. Der folgende Bildschirm zeigt das konfigurierte Clientgeheimnis.

    Hinweis

    Das Client-Secret wird nur einmal angezeigt, wenn es generiert wird. Kopieren Sie das angezeigte Clientgeheimnis lokal. Verwenden Sie dasselbe Clientgeheimnis zusammen mit der Client-ID, die der neu registrierten App zugeordnet ist, während Sie die OAuth -Aktion auf der Citrix Gateway-Appliance für Intune konfigurieren.

    API-Berechtigung

Die Anwendungskonfiguration im Azure-Portal ist jetzt abgeschlossen.

Citrix Gateway-Anwendung im Azure-Portal