Gateway

Configurar NetScaler Gateway para utilizar micro VPN con Microsoft Endpoint Manager

La integración de micro VPN de Citrix con Microsoft Endpoint Management permite que sus aplicaciones accedan a los recursos locales. Para obtener más información, consulte Integración de micro VPN de Citrix con Microsoft Endpoint Manager.

Requisitos del sistema

  • Versiones NetScaler Gateway
    • 13.1
    • 13.0
    • 12.1.50.x o posterior
    • 12.0.59.x o posterior

    Puede descargar la versión más reciente de NetScaler Gateway desde la página de descargas de NetScaler Gateway.

  • Un escritorio con Windows 7 o posterior (solo para empaquetar aplicaciones Android)

  • Microsoft
    • Acceso a Azure AD (con privilegios de administrador de arrendatarios)
    • Arrendatario compatible con Intune
  • Reglas de firewall
    • Habilitar una regla de firewall para el tráfico SSL desde una IP de subred de NetScaler Gateway a *.manage.microsoft.com, https://login.microsoftonline.com y https://graph.windows.net (puerto 443)
    • NetScaler Gateway debe poder resolver externamente las URL anteriores.

Requisitos previos

  • Entorno de Intune: si no tiene un entorno Intune, configura uno. Para obtener instrucciones, consulte la documentación de Microsoft.

  • Aplicación Edge Browser: El SDK de Micro VPN está integrado en la aplicación Microsoft Edge y en la aplicación Intune Managed Browser para iOS y Android. Para obtener más información acerca de Managed Browser, consulte la página de Managed Browser de Microsoft.

  • Derecho de uso Citrix Endpoint Management: Asegúrese de tener derechos de uso de Citrix Endpoint Management activo para seguir admitiendo el SDK de micro VPN en exploradores web móviles de Microsoft Edge (iOS y Android). Para obtener más información, contacte con su representante de ventas, cuentas o socios.

Conceder permisos a aplicaciones de Azure Active Directory (AAD)

  1. Consentimiento a la aplicación AAD multiarrendatario de Citrix para permitir que NetScaler Gateway se autentique con el dominio AAD. El administrador global de Azure debe visitar la siguiente URL y dar su consentimiento:

    https://login.windows.net/common/adminconsent?client_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40b&redirect_uri=https://www.citrix.com&state=consent.

  2. Consentimiento a la aplicación AAD multiarrendatario de Citrix para permitir que las aplicaciones móviles se autentiquen con la micro VPN de NetScaler Gateway. Este enlace solo es necesario si el administrador global de Azure ha cambiado el valor predeterminado para que los usuarios puedan registrar aplicaciones de Sí a No. Esta configuración se encuentra en el portal de Azure en Azure Active Directory > Usuarios > Configuración de usuario. El administrador global de Azure debe visitar la siguiente URL y dar su consentimiento (agregue su ID de arrendatario) https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7.

Configurar NetScaler Gateway para micro VPN

Para usar una micro VPN con Intune, debe configurar NetScaler Gateway para que se autentique en Azure AD. Un servidor virtual de NetScaler Gateway que ya exista no funciona para este caso de uso. En primer lugar, configure Azure AD para que se sincronice con Active Directory local. Este paso es necesario para que la autenticación entre Intune y NetScaler Gateway se realice correctamente.

Script de descarga: El archivo.zip incluye un archivo léame con instrucciones para implementar el script. Debe introducir manualmente la información que requieren los scripts y ejecutarlos en NetScaler Gateway para configurar el servicio. Puede descargar el archivo de script desde la página de descargas de NetScaler.

Importante: Una vez completada la configuración de NetScaler Gateway y si ve el estado de OAuth distinto de COMPLETE, consulte la sección Solución de problemas.

Configuración del explorador Microsoft Edge

  1. Inicie sesión en https://endpoint.microsoft.com/ y, a continuación, vaya a Intune > Aplicaciones móviles.
  2. Publique la aplicación Edge como lo hace normalmente y, a continuación, agregue una directiva de configuración de aplicaciones.
  3. En Administrar, haga clic en Directivas de configuración de aplicaciones.
  4. Haga clic en Agregar y, a continuación, escriba un nombre para la directiva que quiere crear. En Tipo de inscripción de dispositivos, selecciona Aplicaciones administradas.
  5. Haga clic en Aplicación asociada.
  6. Seleccione las aplicaciones a las que quiere aplicar la directiva (explorador administrado de Microsoft Edge o Intune) y, a continuación, haga clic en Aceptar.
  7. Haga clic en las opciones de configuración.
  8. En el campo Nombre, introduzca el nombre de una de las directivas enumeradas en la tabla siguiente.
  9. En el campo del valor, escriba el valor que quiere aplicar a esa directiva. Haga clic fuera del campo para agregar la directiva a la lista. Puede agregar varias directivas.
  10. Haga clic en Aceptar y, a continuación, en Agregar.

La directiva se agrega a la lista de directivas.

|Nombre (iOS/Android)|Valor|Descripción| |—|—|—| |MvpnGatewayAddress|https://external.companyname.com|URL externa de NetScaler Gateway| |MvpnNetworkAccess|MvpnNetworkAccessTunneledWebSSOor Unrestricted|MvpnNetworkAccessTunneledWebSSO es el valor predeterminado para la tunelización| |MvpnExcludeDomains|Lista separada por comas de nombres de dominio que se van a excluir|Opcional. Default=Vacío| |TunnelExcludeDomains|Utilice esta propiedad de cliente para supeditar la lista predeterminada de dominios excluidos. Valor predeterminado=app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com|

Nota: SSO web es el nombre de Secure Browse en la configuración. El comportamiento es el mismo.

  • MvpnNetworkAccess: MvpnNetworkAccessTunneledWebSSO habilita la redirección HTTP/HTTPS a través de NetScaler Gateway, también conocido como SSO Tunneled-Web. La puerta de enlace responde a los desafíos de autenticación HTTP en línea, lo que proporciona una experiencia de inicio de sesión único (SSO). Para utilizar el SSO web, establezca esta directiva en MvpnNetworkAccessTunneledWebSSO. Actualmente, no se admite la redirección completa del túnel. Use Unrestricted para dejar desactivada la micro VPN tunelización.

  • MvpnExcludeDomains: Lista separada por comas de nombres de host o dominio que se excluirán de la redirección a través del proxy web inverso de NetScaler Gateway. Los nombres de host o dominio se excluyen aunque la configuración de DNS dividida configurada por NetScaler Gateway podría seleccionar el dominio o el host.

    Nota:

    • Esta directiva solo se aplica a las conexiones MvpnNetworkAccessTunneledWebSSO. Si MvpnNetworkAccess no está restringido, esta directiva se ignora.

    • Esta directiva solo se aplica al modo SSO web en túnel con NetScaler Gateway configurado para la tunelización dividida inversa.

  • TunnelExcludeDomains: De forma predeterminada, MDX excluye algunos puntos finales de servicio de los túneles de micro VPN. Los SDK de aplicaciones móviles y las aplicaciones utilizan estos puntos finales de servicio para diversas funciones. Por ejemplo, los puntos finales de servicio incluyen servicios que no requieren enrutamiento a través de redes empresariales, como los servicios de Google Analytics, Citrix Cloud y Active Directory. Utilice esta propiedad de cliente para anular la lista predeterminada de dominios excluidos.

    Para configurar esta directiva de cliente global, en la consola de Microsoft Endpoint Management, vaya a Configuración > Propiedades del cliente, agregue la clave personalizada TUNNEL_EXCLUDE_DOMAINSy establezca el valor.

    Valor: Para reemplazar la lista predeterminada por los dominios que desea excluir de la tunelización, escriba una lista de sufijos de dominio separados por comas. Para incluir a todos los dominios en el túnel, escriba none. El valor predeterminado es:

    app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com

Solución de problemas

Problemas generales

Problema La resolución
El mensaje “Agregar directiva requerida” aparece cuando abres una aplicación Agregar directivas en la API de Microsoft Graph
Hay conflictos de directivas Solo se permite una única directiva por aplicación
El mensaje “No se pudo empaquetar la aplicación” aparece al empaquetar una aplicación. Para ver el mensaje completo, consulte la tabla siguiente La aplicación está integrada con el SDK de Intune. No es necesario empaquetar la aplicación con Intune
Su aplicación no se puede conectar a los recursos internos Asegúrese de que los puertos de firewall correctos estén abiertos, corrija el ID de arrendatario, etc.

Error al empaquetar el mensaje de error de aplicación:

Error al empaquetar la aplicación. com.microsoft.intune.mam.apppackager.utils.AppPackagerException: Esta aplicación ya tiene integrado el SDK de MAM. com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113) com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198) com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56) La aplicación no puede estar empaquetada.

Problemas de NetScaler Gateway

Problema La resolución
Los permisos necesarios para configurar la aplicación de puerta de enlace en Azure no están disponibles. Compruebe si dispone de una licencia adecuada de Intune. Pruebe a utilizar el portal manage.windowsazure.com para ver si se puede agregar el permiso. Contacte con la asistencia de Microsoft si el problema persiste.
NetScaler Gateway no puede contactar con login.microsoftonline.com and graph.windows.net. Desde NS Shell, comprueba si puede acceder al siguiente sitio web de Microsoft: cURL -v -k https://login.microsoftonline.com. A continuación, compruebe si el DNS está configurado en NetScaler Gateway. Compruebe también que la configuración del firewall sea correcta (en caso de que las solicitudes DNS estén protegidas por firewall).
Aparece un error en ns.log después de configurar OAuthAction. Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados.
El comando Sh OAuthAction no muestra el estado de OAuth como completo. Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway.
El dispositivo Android o iOS no muestra la solicitud de autenticación dual. Compruebe si el ID de dispositivo de factor dual logonSchema está vinculado al servidor virtual de autenticación.

Estado y condición de error de OAuth de NetScaler Gateway

Estado Condición de error
AADFORGRAPH Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado
MDMINFO *manage.microsoft.comestá caído o es inalcanzable
GRAPH El punto final del gráfico no está accesible
CERTFETCH No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, ve a shell y escribe cURL https://login.microsoftonline.com. Este comando debe validarse.

Nota: Cuando el estado de OAuth es correcto, el estado se muestra como COMPLETE.

Configurar NetScaler Gateway para utilizar micro VPN con Microsoft Endpoint Manager