Configurar la aplicación Citrix SSO en un entorno Intune Android Enterprise

El tema recoge detalles sobre la implementación y configuración de la aplicación Citrix SSO a través de Microsoft Intune. En este documento se supone que Intune ya está configurado para la compatibilidad con Android Enterprise y que la inscripción de dispositivos ya se ha realizado.

Requisitos previos

• Intune está configurado para la compatibilidad con Android Enterprise
• Se ha completado la inscripción de dispositivos

Para configurar la aplicación Citrix SSO en un entorno Intune Android Enterprise

• Agregar la aplicación Citrix SSO como aplicación administrada
• Configurar la directiva de aplicaciones administradas para la aplicación Citrix SSO

Agregar la aplicación Citrix SSO como aplicación administrada

1. Inicie sesión en el portal de Azure.

2. Haga clic en Intune en la hoja de navegación izquierda.

3. Haga clic en Aplicaciones cliente en el blade Microsoft Intune y, a continuación, haga clic en Aplicaciones en el blade Aplicaciones cliente.

4. Haga clic en +Agregar enlace en las opciones del menú superior derecho. Aparece el blade de configuración Agregar aplicación.

5. Selecciona Google Play administrado para el tipo de aplicación.

   Esto agrega Gestionar búsqueda en Google Play y aprobar blade si ha configurado Android Enterprise.

6. Busque la aplicación Citrix SSO y selecciónela de la lista de aplicaciones.

   

   Nota: Si Citrix SSO no aparece en la lista, significa que la aplicación no está disponible en su país.

7. Haga clic en APROBAR para aprobar el Citrix SSO para su implementación a través de la tienda Google Play administrada.

   Se enumeran los permisos que requiere la aplicación Citrix SSO.

8. Haga clic en APROBAR para aprobar la aplicación para su implementación.

9. Haga clic en Sincronizar para sincronizar esta selección con Intune.

   La aplicación Citrix SSO se agrega a la lista de aplicaciones cliente. Es posible que tenga que buscar la aplicación Citrix SSO si se han agregado muchas aplicaciones.

10. Haga clic en la aplicación Citrix SSO para abrir el blade de detalles de la aplicación.

11. Haga clic en Asignaciones en la hoja de detalles. Citrix SSO: aparece el blade de asignaciones.

    

12. Haga clic en Agregar grupo para asignar los grupos de usuarios a los que quiere conceder permisos para instalar la aplicación Citrix SSO y haga clic en Guardar.

13. Cierre el blade de detalles de la aplicación Citrix SSO.

La aplicación Citrix SSO se agrega y se habilita para su implementación en los usuarios.

Configurar la directiva de aplicaciones administradas para la aplicación Citrix SSO

Después de agregar la aplicación Citrix SSO, debe crear una directiva de configuración administrada para la aplicación Citrix SSO para que el perfil VPN se pueda implementar en la aplicación Citrix SSO del dispositivo.

1. Abra el blade de Intune en el portal de Azure.

2. Abra el blade Client Apps desde el blade de Intune.

3. Seleccione el elemento Directivas de configuración de aplicaciones en el blade Aplicaciones cliente y haga clic en Agregar para abrir el blade Agregar directiva de configuración.

4. Introduzca un nombre para la directiva y agregue una descripción.

5. En Tipo de inscripción de dispositivos, selecciona Dispositivos administrados.

6. En Plataforma, selecciona Android.

   Esto agrega otra opción de configuración para la aplicación asociada.

7. Haga clic en Aplicación asociada y seleccione Aplicación Citrix SSO.

   Es posible que tengas que buscarlo si tiene muchas aplicaciones.

8. Haga clic en Aceptar. Se agrega una opción de configuración en el blade Agregar directiva de configuración.

9. Haga clic en Configuración.

   Aparece un blade para configurar la aplicación Citrix SSO.

10. En Configuración, seleccione Usar diseñador de configuracióno Introducir datos JSON para configurar la aplicación Citrix SSO.

Nota:

Para configuraciones VPN sencillas, se recomienda utilizar el diseñador de configuración.

Configuración VPN mediante el diseñador de configuración de usuario

1. En Configuración, seleccione Usar diseñador de configuración y haga clic en Agregar.

   Aparecerá una pantalla de introducción de valores clave para configurar varias propiedades compatibles con la aplicación Citrix SSO. Como mínimo, debe configurar las propiedades Dirección del servidor y Nombre de perfil VPN. Puede pasar el ratón por encima de la sección DESCRIPCIÓN para obtener más información sobre cada propiedad.

2. Por ejemplo, seleccione las propiedades Nombre de perfil VPN y dirección del servidor (*) y haga clic en Aceptar.

   Esto agrega las propiedades al diseñador de configuración. Puede configurar las siguientes propiedades.

   • Nombre del perfil VPN. Escriba un nombre para el perfil de VPN. Si va a crear más de un perfil de VPN, utilice un nombre único para cada perfil. Si no proporciona un nombre, la dirección que introduzca en el campo Dirección del servidor se utilizará como nombre del perfil de VPN.

   • Dirección del servidor (*). Escriba el FQDN base de Citrix Gateway. Si el puerto de Citrix Gateway no es 443, escriba también el puerto. Utilice un formato de URL. Por ejemplo: https://vpn.mycompany.com:8443.

   • Nombre de usuario (opcional). Introduzca el nombre de usuario que utilizan los usuarios finales para autenticarse en Citrix Gateway. Puede usar el token de valor de configuración de Intune para este campo si la puerta de enlace está configurada para utilizarlo (consulte tokens de valor de configuración). Si no proporciona un nombre de usuario, se pide a los usuarios que proporcionen un nombre de usuario cuando se conectan a Citrix Gateway.

   • Contraseña (opcional). Introduzca la contraseña que utilizan los usuarios finales para autenticarse en Citrix Gateway. Si no proporciona una contraseña, se pedirá a los usuarios que proporcionen una contraseña cuando se conecten a Citrix Gateway.

   • Alias de certificado (opcional). Proporcione un alias de certificado en el almacén de claves de Android para utilizarlo en la autenticación de certificados de cliente. Este certificado está preseleccionado para los usuarios si utiliza la autenticación basada en certificados.

   • ServerCertificatePins (opcional). Objeto JSON que describe los pines de certificado utilizados para Citrix Gateway. Valor de ejemplo: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Para obtener más información, consulte Fijación de certificados de Citrix Gateway con Android Citrix SSO.

   • Tipo de VPN por aplicación (opcional). Si utiliza VPN por aplicación para restringir las aplicaciones que usan esta VPN, puede configurar este parámetro.

     • Si selecciona Permitir, el tráfico de red para los nombres de paquetes de aplicaciones que figuran en la lista de aplicaciones PerAppVPN se enruta a través de la VPN. El tráfico de red de todas las demás aplicaciones se redirige fuera de la VPN.
     • Si selecciona No permitir, el tráfico de red de los nombres de paquetes de aplicaciones que figuran en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN. El tráfico de red de todas las demás aplicaciones se redirige a través de la VPN. El valor predeterminado es Permitir.
   • Lista de aplicaciones PerAppVPN. Una lista de aplicaciones cuyo tráfico está permitido o no permitido en la VPN, en función del valor de Tipo de VPN por aplicación. Indique los nombres de los paquetes de aplicaciones separados por comas o puntos y comas. Los nombres de los paquetes de aplicaciones distinguen entre mayúsculas y minúsculas y deben estar escritos en esta lista tal y como lo están en la tienda de Google Play. Esta lista es opcional. Mantenga esta lista vacía para aprovisionar la VPN en todo el dispositivo.

   • Perfil VPN predeterminado. Nombre del perfil de VPN que se utiliza cuando Always On VPN está configurado para la aplicación Citrix SSO. Si este campo está vacío, el perfil principal se utiliza para la conexión. Si solo se configura un perfil, se marca como perfil VPN predeterminado.

     

   Nota:

   • Para convertir la aplicación Citrix SSO como aplicación Always On VPN en Intune, utilice el proveedor VPN como personalizado y com.citrix.CitrixVPN como nombre del paquete de la aplicación.

   • La aplicación Citrix SSO solo admite la autenticación de cliente basada en certificados para Always On VPN.

   • Los administradores deben seleccionar Autenticación de cliente y establecer Certificado de cliente en Obligatorio en el perfilSSL o en las propiedades SSL de Citrix Gateway para que la aplicación SSO funcione según lo previsto.

   • Inhabilitar perfiles de usuario
     • Si establece este valor en true, los usuarios no pueden agregar nuevos perfiles VPN en sus dispositivos.
     • Si establece este valor en false, los usuarios pueden agregar sus propias VPN en sus dispositivos.

     El valor predeterminado es false.

   • Bloquear servidores no confiables
     • Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gateway o cuando el certificado raíz de la CA que emite el certificado de Citrix Gateway no esté en la lista de CA del sistema.
     • Establezca este valor en true para permitir que el sistema operativo Android valide el certificado de Citrix Gateway. Si se produce un error en la validación, no se permite la conexión.

     El valor predeterminado es true.

3. En la propiedad Dirección del servidor (*), introduzca la URL base de la puerta de enlace VPN (por ejemplo, https://vpn.mycompany.com).

4. En Nombre de perfil de VPN, introduzca un nombre visible para el usuario final en la pantalla principal de la aplicación Citrix SSO (por ejemplo, Mi VPN corporativa).

5. Puede agregar y configurar otras propiedades según corresponda a su implementación de Citrix Gateway. Haga clic en Aceptar cuando haya terminado con la configuración.

6. Haga clic en la sección Permisos. En esta sección, puede conceder los permisos necesarios para la aplicación Citrix SSO.

   • Si utiliza la comprobación de NAC de Intune, la aplicación Citrix SSO requiere que conceda permiso de estado (lectura) del teléfono. Haga clic en el botón Agregar para abrir la hoja de permisos. En la actualidad, Intune muestra una lista significativa de permisos disponibles para todas las aplicaciones.

   • Si utiliza la comprobación de NAC de Intune, seleccione Permiso de estado del teléfono (lectura) y haga clic en Aceptar. Esto lo agrega a la lista de permisos de la aplicación. Seleccione Solicitar o Concesión automática para que la comprobación de NAC de Intune funcione y haga clic en Aceptar.

     

7. Haga clic en Agregar en la parte inferior del blade de directivas de configuración de aplicaciones para guardar la configuración administrada de la aplicación Citrix SSO.

8. Haga clic en Asignaciones en el blade de directivas de configuración de aplicaciones para abrir el blade Asignaciones.

9. Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuración de Citrix SSO.

Configuración de VPN mediante la introducción de datos JSON

1. En Configuración, seleccione Introducir datos JSON para configurar la aplicación Citrix SSO.

2. Utilice el botón Descargar plantilla JSON para descargar una plantilla que permita proporcionar una configuración más detallada o compleja para la aplicación Citrix SSO. Esta plantilla es un conjunto de pares clave-valor JSON para configurar todas las propiedades posibles que entiende la aplicación Citrix SSO.

   Para obtener una lista de todas las propiedades disponibles que se pueden configurar, consulte Propiedades disponibles para configurar el perfil VPN en la aplicación Citrix SSO.

3. Una vez creado un archivo de configuración JSON, copie y pegue su contenido en el área de modificación. Por ejemplo, a continuación se muestra la plantilla JSON para la configuración básica creada previamente con la opción del diseñador de configuración.

Con esto se completa el procedimiento de configuración e implementación de perfiles VPN para la aplicación Citrix SSO en el entorno Microsoft Intune Android Enterprise.

Importante:

El certificado utilizado para la autenticación basada en certificados de cliente se implementa mediante un perfil SCEP de Intune. El alias de este certificado debe configurarse en la propiedad Alias de certificado de la configuración administrada de la aplicación Citrix SSO.

Propiedades disponibles para configurar el perfil VPN en la aplicación Citrix SSO

Parámetros personalizados

Cada parámetro personalizado debe definirse con los siguientes nombres de clave-valor.

Propiedades admitidas para cada VPN en la lista de perfiles de VPN

Se admiten las siguientes propiedades para cada perfil de VPN al configurar varios perfiles VPN mediante la plantilla JSON.

Establecer la aplicación Citrix SSO como proveedor VPN Always On en Intune

En ausencia de compatibilidad con VPN bajo demanda en un subsistema VPN de Android, Always On VPN se puede utilizar como alternativa para proporcionar una opción de conectividad VPN sin interrupciones junto con la autenticación de certificados de cliente con la aplicación Citrix SSO. El sistema operativo inicia la VPN cuando se inicia o cuando se activa el perfil de trabajo.

Para convertir la aplicación Citrix SSO en una aplicación VPN siempre activa en Intune, debe usar la siguiente configuración.

• Elija el tipo correcto de configuración administrada que quiere utilizar (propiedad personal con perfil de trabajo O perfil de trabajo totalmente administrado, dedicado y propiedad de la empresa).

• Cree un perfil de configuración de dispositivo y seleccione Restricciones de dispositivos y, a continuación, vaya a la sección Conectividad. Seleccione habilitar para la configuración VPN siempre activa.

• Elija la aplicación Citrix SSO como cliente VPN. Si Citrix SSO no está disponible como opción, puede elegir Personalizar como cliente VPN e introducir com.citrix.CitrixVPN en el campo ID de paquete (el campo ID de paquete distingue entre mayúsculas y minúsculas)

• Deja las demás opciones tal cual. Se recomienda no habilitar el modo de bloqueo. Si está habilitado, el dispositivo podría perder la conectividad de red completa si la VPN no está disponible.

• Además de esta configuración, también puede establecer el tipo de VPN por aplicación y la lista de aplicaciones PerAppVPN en la página Directivas de configuración de aplicaciones para habilitar la VPN por aplicación para Android, tal y como se describe en las secciones anteriores.

Nota:

Always On VPN solo se admite con la autenticación de certificados de cliente en la aplicación Citrix SSO.

Referencias

Consulte los temas siguientes para obtener más información sobre cómo configurar las opciones de conectividad en Intune.

• Dispositivos corporativos dedicados totalmente administrados

• Dispositivos de propiedad personal

Limitaciones

Esto son las limitaciones de la VPN por aplicación en el entorno Android Enterprise en dispositivos Android 11 y versiones posteriores debido a restricciones de visibilidad de los paquetes incorporadas en Android 11:

• Si una aplicación que forma parte de la lista de permitidos o denegados se implementa en un dispositivo después de que se haya iniciado la sesión de VPN, el usuario final debe reiniciar la sesión de VPN para que la aplicación pueda enrutar su tráfico a través de la sesión VPN.
• Si la VPN por aplicación se usa a través de una sesión de Always On VPN, después de instalar una nueva aplicación en el dispositivo, el usuario final debe reiniciar el perfil de trabajo o reiniciar el dispositivo para que el tráfico de la aplicación se enrute a través de la sesión de VPN.