-
NetScaler Gateway アプライアンスのインストールと構成
-
-
NetScaler Gateway アプライアンスでのVPN構成
-
-
一要素認証展開用のNetScaler Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックの構成
-
Microsoft Endpoint ManagerでマイクロVPNを使用するようにNetScaler Gateway をセットアップする
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
単一要素ログイン用のNetScaler Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックを構成する
このトピックでは、Microsoft Intune eが提供するネットワークアクセスコンプライアンス(NAC)セキュリティを使用して、モバイルデバイス(iOSおよびAndroid)から内部ネットワークに接続するようにNetScaler Gateway を構成する方法について説明します。ユーザーがiOSまたはAndroid VPNクライアントからNetScaler Gateway に接続しようとすると、ゲートウェイはまずデバイスが管理対象デバイスであり、準拠しているデバイスであるかどうかをIntune サービスで確認します。
- 管理対象:デバイスは Intune 企業ポータルクライアントを使用して登録されます。
- 準拠:Intune MDM サーバーからプッシュされた必須ポリシーが適用されます。
デバイスが管理対象で準拠している場合にのみ、VPN セッションが確立され、ユーザに内部リソースへのアクセスが提供されます。
注:
このセットアップでは、バックエンドのNetScaler Gateway がIntune サービスと通信します。SSLプロファイルは、NetScaler Gateway への着信接続を処理します。NetScaler Gateway バックエンド通信は、バックエンドクラウドサービス(Intune)のSNI要件をすべて処理します。
DTLSゲートウェイ仮想サーバー用のSNIは、NetScaler Gateway リリース13.0ビルド64.x以降でサポートされています。
Intune NAC チェックは、アプリごとの VPN またはデバイス全体の VPN でも、VPN プロファイルが Intune 管理ポータル(現在は Microsoft エンドポイントマネージャと呼ばれる)によってプロビジョニングされている場合にのみサポートされます。これらの機能は、エンドユーザが追加した VPN プロファイルではサポートされません。NAC チェックを使用するには、エンドユーザーデバイスの Intune 管理者によって Microsoft Endpoint Manager からデバイスに VPN プロファイルが展開されている必要があります。
ライセンス
この機能を使用するには、Citrix エンタープライズエディションのライセンスが必要です。
システム要件
- NetScaler Gateway リリース11.1ビルド51.21以降
- iOS VPN — 10.6 以降
- Android VPN — 2.0.13 以降
- Microsoft
- Azure AD アクセス (テナント権限と管理者権限を持つ)
- Intune が有効なテナント
- ファイアウォール
サブネット IP アドレスから
https://login.microsoftonline.com
およびhttps://graph.windows.net
(ポート 53 およびポート 443) へのすべての DNS および SSLトラフィックに対するファイアウォールルールを有効にします。
前提条件
- 既存の認証ポリシーはすべて、クラシックポリシーから高度なポリシーに変換する必要があります。クラシックポリシーから高度なポリシーに変換する方法については、https://support.citrix.com/article/CTX131024を参照してください。
- Azure Portalで NetScaler Gateway アプリケーションを作成します。詳しくは、「 Azure Portalでの NetScaler Gateway アプリケーションの構成」を参照してください。
- 次のアプリケーション固有の情報を使用して、作成したNetScaler Gateway アプリケーションでOAuthポリシーを構成します。
- クライアント ID/アプリケーション ID
- クライアントシークレット/アプリケーションキー
- Azure テナント ID
参照ドキュメント
- このドキュメントでは、NetScaler Gateway のセットアップ構成について説明します。Citrix SSOクライアント(iOS/Android)の構成のほとんどはIntune 側で行われる。NAC 用の Intune VPN 設定の詳細については、https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrateを参照してください。
- iOS アプリの VPN プロファイルを設定するには、「https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios」を参照してください。
- Azure Portalで NetScaler Gateway アプリケーションをセットアップするには、「Azure Portalでの NetScaler Gateway アプリケーションの構成」を参照してください。
ゲートウェイ展開用に nFactor を搭載した NetScaler Gateway 仮想サーバーを追加するには
-
「 NetScaler Gateway」>「仮想サーバー」に移動します。
-
[追加] をクリックします。
-
「 基本設定 」領域に必要な情報を入力し、 「OK」をクリックします。
-
[ サーバー証明書] を選択します。
-
必要なサーバー証明書を選択し、[ バインド] をクリックします。
-
Intune NAC v2 API サポートの一環として、NetScaler アプライアンスがモバイルデバイスから有効な証明書を取得できるように、認証局ファイル(CA 証明書)をバインドする必要があります。Intune NAC v2 では、モバイルデバイスはクライアント証明書の一部としてデバイス ID を送信します。ここでバインドされる CA 証明書は、エンドユーザーの iOS および Android デバイスにクライアント証明書を発行するために使用される証明書である必要があります。中間証明書がある場合は、その証明書もここでバインドする必要があります。Intune の構成について詳しくは、「 Azure Portalでの NetScaler Gateway アプリケーションの構成」を参照してください。Intune NAC v2 API サポートの場合は、必要な CA 証明書を選択し、[ バインド] をクリックします。
-
[続行] をクリックします。
-
[続行] をクリックします。
-
[続行] をクリックします。
-
[ポリシー] の横にあるプラスアイコン[+]をクリックし、[ **ポリシーの選択 ] リストから [ セッション ] を選択し、[ タイプの選択 ] リストから [ 要求 ] を選択して [ 続行 ] をクリックします。**
-
[ ポリシーの選択 ] の横にあるプラスアイコン [+]をクリックします。
-
[NetScaler Gateway セッションポリシーの作成 ]ページで、セッションポリシーの名前を入力します。
-
[ プロファイル ]の横にあるプラスアイコン [+] をクリックし、[ NetScaler Gateway セッションプロファイルの作成 ]ページでセッションプロファイルの名前を入力します。
-
[ クライアントエクスペリエンス ] タブで、[ クライアントレスアクセス ] の横にあるチェックボックスをクリックし、リストから [ オフ ] を選択します。
-
[ プラグインタイプ ] の横にあるチェックボックスをクリックし、リストから [Windows/Mac OS X] を選択します。
-
[ 詳細設定 ] をクリックし、[ クライアントの選択 ] の横にあるチェックボックスをオンにし、その値を [ オン] に設定します。
-
[ セキュリティ ] タブで、[ 既定の承認アクション ] の横にあるチェックボックスをクリックし、リストから [ 許可 ] を選択します。
-
[ 公開アプリケーション ] タブで、[ ICAプロキシ ] の横にあるチェックボックスをクリックし、一覧から [ オフ ] を選択します。
-
「 作成」をクリックします。
-
[NetScaler Gateway セッションポリシーの作成 ]ページの[ 式 ]領域で、修飾式を構成します。
-
[Create] をクリックします。
-
[Bind] をクリックします。
-
[ 詳細設定 ] で [ 認証プロファイル] を選択します。
-
プラスアイコン [+] をクリックし、認証プロファイルの名前を入力します。
-
プラスアイコン [+] をクリックして、認証仮想サーバを作成します。
-
[ 基本設定 ]領域で認証仮想サーバーの名前とIPアドレスの種類を指定し、[ OK]をクリックします。IP アドレスタイプは、 アドレス指定不可にもできます 。
-
[ 認証ポリシー] をクリックします。
-
[Policy Binding] ビューで、プラスアイコン [+] をクリックして認証ポリシーを作成します。
-
[ アクションタイプ ] として [ OAUTH ] を選択し、プラスアイコン [+] をクリックして NAC の OAuth アクションを作成します。
-
クライアント ID、クライアントシークレット、およびテナント IDを使用して OAuth アクションを作成します。
注:
- クライアントID、 クライアントシークレット、およびテナントIDは 、Azure PortalでNetScaler Gatewayアプリケーションを構成した後に生成されます。
- クライアントID/アプリケーションID、クライアントシークレット/アプリケーションシークレット、およびAzureテナントIDの情報は、後でNetScaler Gateway でOAuthアクションを作成する際に必要になるため、書き留めておきます。
アプライアンスに適切な DNS ネームサーバが設定されていて、解決して到達できることを確認します。 -
https://login.microsoftonline.com/,
-https://graph.windows.net/
, - *.manage.microsoft.com。 -
OAuth アクションの認証ポリシーを作成します。
規則:
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
プラスアイコン [+] をクリックして NextFactor ポリシーラベルを作成します。
-
プラスアイコン [+] をクリックして、ログインスキーマを作成します。
-
認証スキーマとして
noschema
を選択し、[ 作成] をクリックします。 -
作成したログインスキーマを選択したら、[ Continue] をクリックします。
![続ける] をクリックします](/ja-jp/netscaler-gateway/media/intune_18.jpg)
-
[ポリシーの選択(Select Policy)] で、ユーザログイン用の既存の認証ポリシーを選択するか、プラスアイコン [ + ] をクリックして認証ポリシーを作成します。 認証ポリシーの作成について詳しくは、 [高度な認証ポリシーの構成およびLDAP認証の設定を参照してください](/ja-jp/netscaler-gateway/13-1/authentication-authorization/configure-ldap.html)。
-
[Bind] をクリックします。
![バインド] をクリックします](/ja-jp/netscaler-gateway/media/intune_21.jpg)
-
[完了] をクリックします。
-
[Bind] をクリックします。
![バインド] をクリックします](/ja-jp/netscaler-gateway/media/intune_23.jpg)
-
[続行] をクリックします。
-
[完了] をクリックします。
-
[Create] をクリックします。
-
[OK] をクリックします。
-
[完了] をクリックします。
認証ログインスキーマを認証仮想サーバーにバインドして、VPN プラグインが /cgi/login 要求の一部としてデバイス ID を送信するように指示するには
-
[ セキュリティ ] > [ AAA-アプリケーショントラフィック ] > [ 仮想サーバ] に移動します。
-
以前に選択した仮想サーバを選択し、[ 編集(Edit)] をクリックします。
-
[ 詳細設定 ] の [ ログインスキーマ] をクリックします。
-
[ ログインスキーマ ] をクリックしてバインドします。
-
[>] をクリックして、NAC デバイスチェック用の既存のビルドインログインスキーマポリシーを選択してバインドします。
-
認証展開に適した必要なログインスキーマポリシーを選択し、[選択( Select)] をクリックします。
前述の展開では、単要素認証(LDAP)と NAC OAuth Action ポリシーが使用されます。したがって、 lschema_single_factor_deviceid が選択されます。
-
[Bind] をクリックします。
![バインド] をクリックします](/ja-jp/netscaler-gateway/media/a_intune_7.jpg)
-
[完了] をクリックします。
Intune NAC v2 API サポート
Intune NAC v2 API サポートの一環として、NetScaler アプライアンスがモバイルデバイスから有効な証明書を取得できるように、認証局ファイル(CA 証明書)をバインドする必要があります。Intune NAC v2 では、モバイルデバイスは CA 証明書の一部としてデバイス ID を送信します。ここでバインドされる CA 証明書は、エンドユーザーの iOS および Android デバイスにクライアント証明書を発行するために使用される証明書である必要があります。中間証明書がある場合は、その証明書もここでバインドする必要があります。
以下のサンプルコマンドを使用して CA 証明書をバインドできます。
bind ssl vserver intune_nac_check_443 -certkeyName clientca -CA -ocspCheck Optional
<!--NeedCopy-->
重要:
Intune NAC v2 API サポートは、NetScaler Gateway バージョン 13.1 ビルド 12.50 以降、および 13.0 ビルド 84.11 以降で利用できます。
- VPN および認証仮想サーバーで
clientAuth
を [ENABLED] およびclientCert
を [OPTIONAL] に設定して、クライアント証明書ベースの認証を有効にする必要があります。Intune NAC チェックを必要としない他のエンドポイントが、クライアント証明書を提供しなくても同じ仮想サーバを介して認証できるように、clientCert
パラメータは OPTIONAL に設定されます。Android デバイスと iOS デバイスはクライアント証明書を提供する必要があります。そうしないと、Intune NAC チェックは失敗します。- モバイルデバイスの Intune 経由でプロビジョニングされるクライアント証明書の、「ネットワークアクセスコントロール用の新しい Microsoft Intune サービス」ドキュメントで示されている URI タイプの SAN フィールドに Intune デバイス ID が含まれていることを確認する必要があります。詳しくは、https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696を参照してください。 URI 値フィールドの形式は、次の図に示すものと同じである必要があります。また、Citrix SSOアプリはゲートウェイでの認証に同じ証明書を使用する必要があります。
トラブルシューティング
一般的な問題
問題 | 解像度 |
---|---|
アプリを開くと、「ポリシーの追加が必要です」というメッセージが表示されます。 | Microsoft Graph API でポリシーを追加する |
ポリシーの競合がある | アプリごとに許可されるポリシーは 1 つだけです。 |
アプリが内部リソースに接続できない | 正しいファイアウォールポートが開いていること、正しいテナント ID が使用されていることなどを確認する |
NetScaler Gatewayの問題
問題 | 解像度 |
---|---|
Azure 上のゲートウェイアプリに対して構成するために必要なアクセス許可は使用できません。 | 適切なIntuneライセンスが利用可能かどうかを確認します。 manage.windowsazure.com ポータルを使用して、権限を追加できるかどうかを確認してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。 |
NetScaler Gatewayはlogin.microsoftonline.comandgraph.windows.net に到達できません。 |
NS Shell から、次のMicrosoft Web サイトにアクセスできるかどうかを確認します。cURL-v-k https://login.microsoftonline.com。次に、NetScaler Gateway でDNSが構成されているかどうかを確認します。また、ファイアウォールの設定が正しいことを確認します (DNS 要求がファイアウォールされている場合)。 |
OAuthActionを設定すると、ns.logにエラーが記録される。 | Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。 |
Sh OAuthAction コマンドで OAuth ステータスが完了と表示されない。 |
DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。 |
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 | 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。 |
NetScaler Gateway OAuthのステータスとエラー状態
ステータス | エラー状態 |
---|---|
AADFORGRAPH | シークレットが無効、URLが未解決、接続タイムアウト |
MDMINFO |
*manage.microsoft.com はダウンまたは到達不能です |
GRAPH | グラフエンドポイントがダウンしており到達不能 |
CERTFETCH | DNSエラーのため「トークンエンドポイント:https://login.microsoftonline.com」と通信できない。この構成を検証するには、シェルプロンプトに移動し、cURL https://login.microsoftonline.comと入力します。このコマンドは検証が必要です。 |
注: OAuth ステータスが成功すると、ステータスは「完了」と表示されます。
Intune 構成チェック
[ Citrix SSOの基本iOS VPN構成]>[ネットワークアクセス制御(NAC)を有効にする ]で、[ 同意する]チェックボックスをオンにします。そうでない場合、NAC チェックは機能しません。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.