Citrix Secure Access in einer Intune Android Enterprise-Umgebung einrichten
Wichtig:
Citrix SSO für Android heißt jetzt Citrix Secure Access. Wir aktualisieren unsere Dokumentation und die Screenshots der Benutzeroberfläche, um diese Namensänderung widerzuspiegeln.
Das Thema enthält Details zur Bereitstellung und Konfiguration von Citrix Secure Access über Microsoft Intune. In diesem Dokument wird davon ausgegangen, dass Intune bereits für die Unterstützung von Android Enterprise konfiguriert ist und die Gerätereregistrierung bereits abgeschlossen ist.
Voraussetzungen
- Intune ist für Android Enterprise Support konfiguriert
- Die Gerätereregistrierung ist abgeschlossen
So richten Sie Citrix Secure Access in einer Intune Android Enterprise-Umgebung ein
- Citrix Secure Access als verwaltete App hinzufügen
- Richtlinie für verwaltete Apps für Citrix Secure Access konfigurieren
Citrix Secure Access als verwaltete App hinzufügen
-
Melden Sie sich an Ihrem Azure-Portal an.
-
Klicken Sie im linken Navigationsblatt auf Intune.
-
Klicken Sie im Microsoft Intune-Blade auf Client-Apps und dann im Blade der Client-Apps auf Apps.
-
Klicken Sie in den Menüoptionen oben rechts auf +Link hinzufügen. Das Blade App-Konfiguration hinzufügen wird angezeigt.
-
Wählen Sie Managed Google Play für den App-Typ aus.
Dadurch wird die Google Play-Suche verwalten und Blade genehmigen hinzugefügt, wenn Sie Android Enterprise konfiguriert haben.
-
Suchen Sie nach Citrix Secure Access und wählen Sie es aus der Liste der Apps aus.
Hinweis: Wenn Citrix Secure Access nicht in der Liste angezeigt wird, bedeutet dies, dass die App in Ihrem Land nicht verfügbar ist.
-
Klicken Sie auf GENEHMIGEN, um Citrix Secure Access für die Bereitstellung über den verwalteten Google Play Store zu genehmigen.
Die Berechtigungen, die für Citrix Secure Access erforderlich sind, sind aufgeführt.
-
Klicken Sie auf GENEHMIGEN, um die App für die Bereitstellung zu genehmigen.
-
Klicken Sie auf Sync, um diese Auswahl mit Intune zu synchronisieren.
Citrix Secure Access wird der Liste der Client-Apps hinzugefügt. Möglicherweise müssen Sie nach Citrix Secure Access suchen, wenn viele Apps hinzugefügt wurden.
-
Klicken Sie auf die App Citrix Secure Access, um das Blatt mit den App-Details zu öffnen.
-
Klicken Sie im Details-Blade auf Zuweisungen. Das Blatt Citrix Secure Access — Assignments wird angezeigt.
-
Klicken Sie auf Gruppe hinzufügen, um die Benutzergruppen zuzuweisen, denen Sie die Berechtigung zur Installation von Citrix Secure Access erteilen möchten, und klicken Sie auf Speichern.
-
Schließen Sie das Citrix Secure Access-Detailblatt.
Citrix Secure Access wird hinzugefügt und für die Bereitstellung für Ihre Benutzer aktiviert.
Richtlinie für verwaltete Apps für Citrix Secure Access konfigurieren
Nachdem Citrix Secure Access hinzugefügt wurde, müssen Sie eine verwaltete Konfigurationsrichtlinie für Citrix Secure Access erstellen, damit das VPN-Profil für Citrix Secure Access auf dem Gerät bereitgestellt werden kann.
-
Öffnen Sie das Intune-Blade in Ihrem Azure-Portal.
-
Öffnen Sie das Client-Apps-Blade vom Intune-Blade aus.
-
Wählen Sie im Blade für Client-Apps das Element App-Konfigurationsrichtlinien aus und klicken Sie auf Hinzufügen, um das Blade für Konfigurationsrichtlinien zu öffnen.
-
Geben Sie einen Namen für die Richtlinie ein und fügen Sie eine Beschreibung dafür hinzu.
-
Wählen Sie unter Geräteregistrierungstyp die Option Verwaltete Geräte aus.
-
Wählen Sie unter Plattform die Option Android aus.
Dadurch wird eine weitere Konfigurationsoption für die zugehörige App hinzugefügt.
-
Klicken Sie auf Zugeordnete App und wählen Sie die App Citrix Secure Access aus.
Möglicherweise müssen Sie danach suchen, wenn Sie viele Apps haben.
-
Klicken Sie auf OK. Eine Option für Konfigurationseinstellungen wird im Blade für Konfigurationsrichtlinien hinzufügen hinzugefügt.
-
Klicken Sie auf Konfigurationseinstellungen.
Ein Blatt zur Konfiguration von Citrix Secure Access wird angezeigt.
-
Wählen Sie in den Konfigurationseinstellungen entweder Konfigurationsdesigner verwenden oder Geben Sie JSON-Daten ein, um Citrix Secure Access zu konfigurieren.
Hinweis:
Für einfache VPN-Konfigurationen wird empfohlen, den Konfigurationsdesigner zu verwenden.
VPN-Konfiguration mit dem Konfigurationsdesigner
-
Wählen Sie in den Konfigurationseinstellungen die Option Konfigurationsdesigner verwenden aus und klicken Sie auf Hinzufügen.
Es wird ein Fenster zur Eingabe von Schlüsselwerten angezeigt, in dem Sie verschiedene Eigenschaften konfigurieren können, die von Citrix Secure Access unterstützt werden. Sie müssen mindestens die Eigenschaften Serveradresse und VPN-Profilname konfigurieren. Sie können den Mauszeiger über den Abschnitt BESCHREIBUNG bewegen, um weitere Informationen zu jeder Eigenschaft zu erhalten.
-
Wählen Sie beispielsweise Eigenschaften für VPN-Profilname und Serveradresse (*) aus und klicken Sie auf OK.
Dadurch werden die Eigenschaften zum Konfigurationsdesigner hinzugefügt. Sie können die folgenden Eigenschaften konfigurieren.
-
VPN-Profilname. Geben Sie einen Namen für das VPN-Profil ein. Wenn Sie mehrere VPN-Profile erstellen, verwenden Sie für jedes Profil einen eindeutigen Namen. Wenn Sie keinen Namen angeben, wird die Adresse, die Sie in das Feld Serveradresse eingeben, als VPN-Profilname verwendet.
-
Serveradresse (*). Geben Sie Ihren NetScaler Gateway Basis-FQDN ein. Geben Sie auch den NetScaler Gateway-Port ein, wenn Sie nicht Port 443 verwenden. Verwenden Sie das URL-Format. Beispiel:
https://vpn.mycompany.com:8443
. -
Benutzername (optional). Geben Sie den Benutzernamen ein, den die Endbenutzer zur Authentifizierung beim NetScaler Gateway verwenden. Sie können den Intune-Konfigurationswerttoken für dieses Feld verwenden, wenn das Gateway für die Verwendung konfiguriert ist (siehe Konfigurationswerttoken). Wenn Sie keinen Benutzernamen angeben, werden Benutzer aufgefordert, einen Benutzernamen anzugeben, wenn sie eine Verbindung zu NetScaler Gateway herstellen.
-
Kennwort (optional). Geben Sie das Kennwort ein, mit dem Endbenutzer sich beim NetScaler Gateway authentifizieren. Wenn Sie kein Kennwort angeben, werden Benutzer aufgefordert, ein Kennwort anzugeben, wenn sie eine Verbindung zu NetScaler Gateway herstellen.
-
Zertifikat-Alias (optional). Geben Sie im Android KeyStore einen Zertifikatsalias an, der für die Authentifizierung von Clientzertifikaten verwendet werden soll. Dieses Zertifikat ist für Benutzer vorausgewählt, wenn Sie zertifikatbasierte Authentifizierung verwenden.
-
Gateway-Zertifikat-Pins (optional). JSON-Objekt, das für NetScaler Gateway verwendete Zertifikat-Pins beschreibt. Beispielwert:
{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}
. Einzelheiten finden Sie unter NetScaler Gateway-Zertifikatpinning mit Android Citrix Secure Access. -
Pro-App-VPN-Typ (optional). Wenn Sie ein Pro-App-VPN verwenden, um einzuschränken, welche Apps dieses VPN verwenden, können Sie diese Einstellung konfigurieren.
- Wenn Sie Zulassen auswählen, wird der Netzwerkverkehr für App-Paketnamen, die in der PerAppVPN-App-Liste aufgeführt sind, über das VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird nicht über das VPN geleitet.
- Wenn Sie Verbieten auswählen, wird der Netzwerkverkehr für App-Paketnamen, die in der PerAppVPN-App-Liste aufgeführt sind, außerhalb des VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird über das VPN geleitet. Die Standardeinstellung ist Zulassen.
- PerAppVPN app list. Eine Liste aller Apps, deren Datenverkehr auf dem VPN zugelassen oder nicht zugelassen ist, festgelegt durch den Wert für Pro-App-VPN-Typ. Die App-Paketnamen sind durch Kommas oder Semikolons in der Liste getrennt. Die Groß- und Kleinschreibung wird berücksichtigt und die Schreibweise der App-Paketnamen in der Liste müssen mit dem Namen im Google Play Store identisch sein. Diese Liste ist optional. Beim Provisioning eines geräteweiten VPNs lassen Sie die Liste unausgefüllt.
- Standard-VPN-Profil. Der VPN-Profilname, der verwendet wird, wenn Always On VPN für Citrix Secure Access konfiguriert ist. Wenn dieses Feld leer ist, wird das Hauptprofil für die Verbindung verwendet. Wenn nur ein Profil konfiguriert ist, wird es als Standard-VPN-Profil markiert.
-
Always On VPN (optional): Wenn auf True gesetzt, bedeutet dies, dass es sich bei dem VPN-Profil um ein Always-On-VPN-Profil handelt. Diese Eigenschaft kann nur für das Haupt-VPN-Profil festgelegt werden. Sie kann nicht für die zusätzlichen VPN-Profile festgelegt werden. Diese Eigenschaft ist standardmäßig auf False gesetzt.
Hinweis:
Die Eigenschaft
Always On VPN (optional)
ist ab Citrix Secure Access für Android 24.04.1 verfügbar.
Hinweis:
-
Um Citrix Secure Access als Always-On-VPN-App in Intune einzurichten, verwenden Sie den VPN-Anbieter als benutzerdefinierten und
com.citrix.CitrixVPN
als App-Paketnamen. -
Nur die zertifikatbasierte Clientauthentifizierung wird für Always On VPN von Citrix Secure Access unterstützt.
-
Administratoren müssen Clientauthentifizierung auswählen und Clientzertifikat im SSL-Profil oder in den SSL-Eigenschaften auf dem NetScaler Gateway auf Obligatorisch festlegen, damit Citrix Secure Access wie vorgesehen funktioniert.
-
Benutzerprofile deaktivieren
- Wenn Sie diesen Wert auf true festlegen, können Benutzer keine neuen VPN-Profile auf ihren Geräten hinzufügen.
- Wenn Sie diesen Wert auf false setzen, können Benutzer ihre eigenen VPNs auf ihren Geräten hinzufügen.
Der Standardwert ist false.
-
Nicht vertrauenswürdige Server blockieren
- Legen Sie diesen Wert auf false fest, wenn Sie ein selbstsigniertes Zertifikat für NetScaler Gateway verwenden oder wenn das Stammzertifikat für die CA, die das NetScaler Gateway-Zertifikat ausstellt, nicht in der System-CA-Liste enthalten ist.
- Setzen Sie diesen Wert auf true, damit das Android-Betriebssystem das NetScaler Gateway-Zertifikat validiert. Wenn die Validierung fehlschlägt, wird die Verbindung nicht zugelassen.
Der Standardwert ist true.
-
-
Geben Sie für die Eigenschaft Serveradresse (*) Ihre VPN-Gateway-Basis-URL ein (z. B.
https://vpn.mycompany.com
). -
Geben Sie unter VPN-Profilname einen Namen ein, der für den Endbenutzer auf dem Hauptbildschirm des Citrix Secure Access Clients sichtbar ist (z. B. My Corporate VPN).
-
Sie können andere Eigenschaften entsprechend Ihrer NetScaler Gateway-Bereitstellung hinzufügen und konfigurieren. Klicken Sie auf OK, wenn Sie mit der Konfiguration fertig sind.
-
Klicken Sie auf den Abschnitt Berechtigungen. Sie können die folgenden für Citrix Secure Access erforderlichen Berechtigungen gewähren:
-
Wenn Sie die Intune-NAC-Prüfung verwenden, erfordert Citrix Secure Access, dass Sie die Berechtigung Phone state (read) gewähren. Klicken Sie auf Hinzufügen, um das Berechtigungsblatt zu öffnen. Derzeit zeigt Intune eine umfangreiche Liste von Berechtigungen an, die für alle Apps verfügbar sind.
-
Wenn Sie Intune NAC Check verwenden, wählen Sie die Berechtigung Telefonstatus (lesen) und klicken Sie auf OK. Dadurch wird es zur Liste der Berechtigungen für die App hinzugefügt. Wählen Sie entweder Aufforderung oder Auto Grant aus, damit die Intune NAC-Prüfung funktionieren kann, und klicken Sie auf OK.
-
Es wird empfohlen, Citrix Secure Access automatisch Benachrichtigungsberechtigungen zu gewähren.
Hinweis:
Für Benutzer von Android 13+, die Citrix Secure Access 23.12.1 und höher verwenden, wird MDM-Administratoren empfohlen, Citrix Secure Access (Paket-ID:
com.citrix.CitrixVPN
) in ihrer Lösung die Benachrichtigungsberechtigung zu gewähren. -
-
Klicken Sie unten auf der Seite App-Konfigurationsrichtlinie auf Hinzufügen, um die verwaltete Konfiguration für Citrix Secure Access zu speichern.
-
Klicken Sie im Blatt für App-Konfigurationsrichtlinien auf Zuweisungen, um das Blatt Zuweisungen zu öffnen.
-
Wählen Sie die Benutzergruppen aus, für die diese Citrix Secure Access-Konfiguration bereitgestellt und angewendet werden soll.
VPN-Konfiguration durch Eingabe von JSON-Daten
-
Wählen Sie in Konfigurationseinstellungen die Option JSON-Daten eingeben, um Citrix Secure Access zu konfigurieren.
-
Verwenden Sie die Schaltfläche JSON-Vorlage herunterladen, um eine Vorlage herunterzuladen, die eine detailliertere oder komplexere Konfiguration für Citrix Secure Access ermöglicht. Diese Vorlage besteht aus einer Reihe von JSON-Schlüssel-Wert-Paaren zur Konfiguration aller möglichen Eigenschaften, die Citrix Secure Access versteht.
Eine Liste aller verfügbaren Eigenschaften, die konfiguriert werden können, finden Sie unter Verfügbare Eigenschaften für die Konfiguration des VPN-Profils in der Citrix Secure Access-App.
-
Nachdem Sie eine JSON-Konfigurationsdatei erstellt haben, kopieren Sie den Inhalt und fügen Sie ihn in den Bearbeitungsbereich ein. Das Folgende ist beispielsweise die JSON-Vorlage für die Grundkonfiguration, die zuvor mit der Konfigurationsdesigner-Option erstellt wurde.
Damit ist das Verfahren zur Konfiguration und Bereitstellung von VPN-Profilen für Citrix Secure Access in der Microsoft Intune Android Enterprise-Umgebung abgeschlossen.
Wichtig:
Das für die clientzertifikatsbasierte Authentifizierung verwendete Zertifikat wird mit einem Intune-SCEP-Profil bereitgestellt. Der Alias für dieses Zertifikat muss in der Eigenschaft Certificate Alias der verwalteten Konfiguration für Citrix Secure Access konfiguriert werden.
Verfügbare Eigenschaften für die Konfiguration des VPN-Profils in Citrix Secure Access
Konfigurationsschlüssel | JSON-Feldname | Werttyp | Beschreibung |
---|---|---|---|
VPN-Profilname | VPNProfileName | Text | Name des VPN-Profils (falls nicht standardmäßig auf Serveradresse festgelegt). |
Serveradresse (*) | ServerAddress | URL | Basis-URL des NetScaler Gateway für die Verbindung (https://host[:port] ). Dies ist ein Pflichtfeld. |
Username (optional) |
Benutzername | Text | Benutzername, der für die Authentifizierung mit dem NetScaler Gateway verwendet wird (optional). |
Password (optional) | Kennwort | Text | Kennwort des Benutzers für die Authentifizierung mit dem NetScaler Gateway (optional). |
Alias des Zertifikats (optional) | ClientCertAlias | Text | Alias des im Android-Anmeldeinformationsspeicher installierten Client-Zertifikats zur Verwendung bei der zertifikatsbasierten Clientauthentifizierung (optional). DerZertifikatalias ist ein erforderliches Feld, wenn Sie die zertifikatbasierte Authentifizierung auf NetScaler Gateway verwenden. |
Gateway-Zertifikat-Pins (optional) | ServerCertificatePins | JSON-Text | Eingebettetes JSON-Objekt, das die für NetScaler Gateway verwendeten Zertifikat-Pins beschreibt. Beispielwert: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]} . Achten Sie darauf, diese eingebetteten JSON-Daten zu maskieren, wenn Sie den JSON-Konfigurator verwenden. |
VPN-Typ pro App (optional) | PerAppVPN_Allow_Disallow_Setting | Enum (Allow, Disallow) | Ist es den aufgelisteten Apps erlaubt (Positivliste) oder nicht (Sperrliste), den VPN-Tunnel zu verwenden.Wenn auf Zulassen gesetzt, dürfen nur aufgelistete Apps (in der PerAppVPN App-Listeneigenschaft) durch das VPN tunneln. Wenn auf Verbieten gesetzt, dürfen alle Apps mit Ausnahme der aufgelisteten über das VPN tunneln. Wenn keine Apps aufgeführt sind, dürfen alle Apps das VPN tunneln. |
PerAppVPN app list | PerAppName_Appnames | Text | Durch Komma (,) oder Semikolon (;) getrennte Liste von App-Paketnamen für VPN pro App. Die Paketnamen müssen mit denen übereinstimmen, die in der URL der Google Play Store-App-Auflistungsseite angezeigt werden. Bei Paketnamen wird zwischen Groß- und Kleinschreibung unterschieden. |
Standard-VPN-Profil | DefaultProfileName | Text | Name des VPN-Profils, das verwendet werden soll, wenn das System den VPN-Dienst startet. Diese Einstellung wird verwendet, um das VPN-Profil zu identifizieren, das verwendet werden soll, wenn Always On VPN auf dem Gerät konfiguriert ist. |
Always On VPN (optional)
|
IsAlwaysOnVpn
|
Boolescher Wert
|
Legt fest, ob das VPN-Profil ein Always-ON-VPN-Profil ist oder nicht. Wenn der Wert auf True gesetzt ist, bedeutet dies, dass es sich bei dem VPN-Profil um ein Always-On-VPN-Profil handelt. Diese Eigenschaft kann nur im Haupt-VPN-Profil festgelegt werden. Sie kann nicht für die zusätzlichen VPN-Profile festgelegt werden. Der Standardwert ist False. |
Diese Eigenschaft ist ab Version 24.04.1 von Citrix Secure Access für Android verfügbar. | |||
Benutzerprofile deaktivieren | DisableUserProfiles | Boolescher Wert | Eigenschaft, die es den Endbenutzern erlaubt oder nicht, VPN-Profile manuell zu erstellen. Setzen Sie diesen Wert auftrue, um Benutzern das Erstellen von VPN-Profilen zu verbieten. Der Standardwert ist falsch. |
Nicht vertrauenswürdige Server blockieren | BlockUntrustedServers | Boolescher Wert | Eigenschaft, um festzustellen, ob die Verbindung zu nicht vertrauenswürdigen Gateways (z. B. bei Verwendung selbstsignierter Zertifikate oder wenn die ausstellende Zertifizierungsstelle vom Android-Betriebssystem nicht als vertrauenswürdig eingestuft wird) blockiert werden soll? Der Standardwert ist true (Verbindungen zu nicht vertrauenswürdigen Gateways blockieren). |
Benutzerdefinierte Parameter (optional) | CustomParameters | Liste | Liste der benutzerdefinierten Parameter (optional), die von Citrix Secure Access unterstützt werden. Einzelheiten finden Sie unter Benutzerdefinierte Parameter. Die verfügbaren Optionen finden Sie in der NetScaler Gateway-Produktdokumentation. |
Liste anderer VPN-Profile | bundle_profiles | Liste | Liste anderer VPN-Profile. Die meisten der zuvor genannten Werte für jedes Profil werden unterstützt. Einzelheiten finden Sie unter Unterstützte Eigenschaften für jedes VPN in der VPN-Profilliste. |
Benutzerdefinierte Parameter
Jeder benutzerdefinierte Parameter muss mit den folgenden Schlüssel-Wert-Namen definiert werden.
Schlüssel | Werttyp | Wert |
---|---|---|
ParameterName | Text | Name des benutzerdefinierten Parameters. |
ParameterValue | Text | Wert des benutzerdefinierten Parameters. |
Benutzerdefinierte Parameter für die Intune-Konfiguration
Parametername | Beschreibung | Wert |
---|---|---|
UserAgent | Citrix Secure Access hängt diesen Parameterwert an den User-Agent-HTTP-Header an, wenn es mit NetScaler Gateway kommuniziert, um NetScaler Gateway zusätzlich zu überprüfen. | Geben Sie den Text an, den Sie an den HTTP-Header des Benutzeragenten anhängen müssen. Der Text muss den HTTP-User-Agent-Spezifikationen entsprechen. |
EnableDebugLogging | Aktivieren Sie die Debug-Protokollierung auf Citrix Secure Access, um VPN-Verbindungsprobleme bei Always On VPN zu beheben. Sie können es in einer beliebigen verwalteten VPN-Konfiguration aktivieren. Die Debug-Protokollierung wird wirksam, wenn die verwalteten Konfigurationen verarbeitet werden. | True: Aktiviert die Debug-Protokollierung. Standardwert: False. |
Weitere Informationen zu den benutzerdefinierten Parametern finden Sie unter Erstellen einer verwalteten Android Enterprise-Konfiguration für Citrix Secure Access.
Unterstützte Eigenschaften für jedes VPN in der VPN-Profilliste
Die folgenden Eigenschaften werden für jedes VPN-Profil unterstützt, wenn mehrere VPN-Profile mit der JSON-Vorlage konfiguriert werden.
Konfigurationsschlüssel | JSON-Feldname | Werttyp |
---|---|---|
VPN-Profilname | bundle_VPNProfileName | Text |
Serveradresse (*) | bundle_ServerAddress | URL |
Benutzername | bundle_Username | Text |
Kennwort | bundle_Password | Text |
Client-Cert-Alias | bundle_ClientCertAlias | Text |
Gateway-Zertifikats-Pins | bundle_ServerCertificatePins | Text |
Pro-App-VPN-Typ | bundle_PerAppVPN_Allow_Disallow_Setting | Enum (Allow, Disallow) |
PerAppVPN app list | bundle_PerAppVPN_Appnames | Text |
Benutzerdefinierte Parameter | bundle_CustomParameters | Liste |
Citrix Secure Access in Intune als Always-On-VPN-Anbieter festlegen
In Ermangelung einer On-Demand-VPN-Unterstützung in einem Android-VPN-Subsystem kann das Always On VPN als Alternative verwendet werden, um eine nahtlose VPN-Konnektivitätsoption zusammen mit der Clientzertifikatsauthentifizierung mit Citrix Secure Access bereitzustellen. Das VPN wird vom Betriebssystem gestartet, wenn es hochfährt oder wenn das Arbeitsprofil aktiviert wird.
Um Citrix Secure Access in Intune zu einer Always-On-VPN-App zu machen, müssen Sie die folgenden Einstellungen verwenden.
-
Wählen Sie die richtige Art der zu verwendenden verwalteten Konfiguration (in persönlichem Besitz mit Arbeitsprofil ODER vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil).
-
Erstellen Sie ein Gerätekonfigurationsprofil, wählen Sie Geräteeinschränkungen aus und gehen Sie dann zum Abschnitt Konnektivität. Wählen Sie Aktivieren für Always On VPN Einstellung.
-
Wählen Sie Citrix Secure Access als VPN-Client. Wenn Citrix Secure Access nicht als Option verfügbar ist, können Sie Benutzerdefiniert als VPN-Client wählen und com.citrix.CitrixVPN in das Feld “Paket-ID” eingeben (im Feld “Paket-ID” wird zwischen Groß- und Kleinschreibung unterschieden).
-
Lassen Sie andere Optionen so wie sie sind. Es wird empfohlen, den Lockdown-Modus nicht zu aktivieren. Wenn diese Option aktiviert ist, verliert das Gerät möglicherweise die vollständige Netzwerkkonnektivität, wenn VPN nicht verfügbar ist.
-
Zusätzlich zu diesen Einstellungen können Sie auch den Pro-App-VPN-Typ und die Pro-App-VPN-App-Liste auf der Seite App-Konfigurationsrichtlinien festlegen, um Pro-App-VPN für Android zu aktivieren, wie in den vorherigen Abschnitten beschrieben.
Hinweis:
Always On VPN wird nur mit der Clientzertifikatauthentifizierung in Citrix Secure Access unterstützt.
Referenzen
Weitere Informationen zum Einrichten von Konnektivitätsoptionen in Intune finden Sie in den folgenden Themen.
Automatischer Neustart von Always On VPN
Ab Citrix SSO für Android 23.8.1 startet Citrix Secure Access das Always-On-VPN automatisch neu, wenn eine App, die Teil der Positiv- oder Sperrliste ist, in einem Arbeitsprofil oder einem Geräteprofil installiert wird. Der Datenverkehr von der neu installierten App wird automatisch über eine VPN-Verbindung getunnelt, ohne das Arbeitsprofil oder das Gerät neu zu starten.
Um den automatischen Neustart von Always-On-VPN zu aktivieren, müssen Endbenutzer der Option Alle Pakete abfragen die Zustimmung zu Citrix Secure Access erteilen. Sobald die Zustimmung erteilt wurde, kann Citrix Secure Access Folgendes:
- Empfängt die Benachrichtigung über die Paketinstallation vom Betriebssystem.
- Startet das Always-On-VPN neu.
Wenn ein Endbenutzer zum ersten Mal eine Verbindung zu einem VPN-Profil pro App herstellt, wird er aufgefordert, seine Zustimmung zur Erfassung von Informationen über das installierte Paket zu erteilen (gemäß den Google-Richtlinien erforderlich). Erteilt der Endbenutzer die Zustimmung, wird die VPN-Verbindung initiiert. Wenn der Benutzer die Zustimmung verweigert, wird die VPN-Verbindung abgebrochen. Die Seite zur Zustimmung wird nicht wieder angezeigt, wenn die Zustimmung erteilt wurde. Einzelheiten zu den Anweisungen für Endbenutzer finden Sie unter So verwenden Sie Citrix Secure Access von Ihrem Android-Gerät aus.
Einschränkungen
Die folgenden Einschränkungen gelten für Pro-App-VPNs auf Android 11+-Geräten in einer Android Enterprise-Umgebung verwenden, aufgrund von Paketsichtbarkeitsbeschränkungen, die in Android 11 eingeführt wurden:
- Wenn eine App, die Teil der Liste “Zulässig/Verweigert” ist, nach dem Start der VPN-Sitzung auf einem Gerät bereitgestellt wird, muss der Endbenutzer die VPN-Sitzung neu starten, damit die App ihren Datenverkehr durch die VPN-Sitzung weiterleiten kann.
- Wenn das Pro-App-VPN über eine Always-On-VPN-Sitzung verwendet wird, muss der Endbenutzer nach der Installation einer neuen App auf dem Gerät das Arbeitsprofil oder das Gerät neu starten, damit der Datenverkehr der App über die VPN-Sitzung weitergeleitet wird.
Hinweis:
Diese Einschränkungen gelten nicht bei Verwendung von Citrix SSO für Android 23.8.1 oder höher. Weitere Informationen finden Sie unter Automatischer Neustart von Always On VPN.