Gateway

単一要素ログイン用のNetScaler Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックを構成する

このトピックでは、Microsoft Intune eが提供するネットワークアクセスコンプライアンス(NAC)セキュリティを使用して、モバイルデバイス(iOSおよびAndroid)から内部ネットワークに接続するようにNetScaler Gateway を構成する方法について説明します。ユーザーがiOSまたはAndroid VPNクライアントからNetScaler Gateway に接続しようとすると、ゲートウェイはまずデバイスが管理対象デバイスであり、準拠しているデバイスであるかどうかをIntune サービスで確認します。

  • 管理対象:デバイスは Intune 企業ポータルクライアントを使用して登録されます。
  • 準拠:Intune MDM サーバーからプッシュされた必須ポリシーが適用されます。

デバイスが管理対象で準拠している場合にのみ、VPN セッションが確立され、ユーザに内部リソースへのアクセスが提供されます。

注:

  • このセットアップでは、バックエンドのNetScaler Gateway がIntune サービスと通信します。SSLプロファイルは、NetScaler Gateway への着信接続を処理します。NetScaler Gateway バックエンド通信は、バックエンドクラウドサービス(Intune)のSNI要件をすべて処理します。

  • DTLSゲートウェイ仮想サーバー用のSNIは、NetScaler Gateway リリース13.0ビルド64.x以降でサポートされています。

  • Intune NAC チェックは、アプリごとの VPN またはデバイス全体の VPN でも、VPN プロファイルが Intune 管理ポータル(現在は Microsoft エンドポイントマネージャと呼ばれる)によってプロビジョニングされている場合にのみサポートされます。これらの機能は、エンドユーザが追加した VPN プロファイルではサポートされません。NAC チェックを使用するには、エンドユーザーデバイスの Intune 管理者によって Microsoft Endpoint Manager からデバイスに VPN プロファイルが展開されている必要があります。

ライセンス

この機能を使用するには、Citrix エンタープライズエディションのライセンスが必要です。

システム要件

  • NetScaler Gateway リリース11.1ビルド51.21以降
  • iOS VPN — 10.6 以降
  • Android VPN — 2.0.13 以降
  • Microsoft
    • Azure AD アクセス (テナント権限と管理者権限を持つ)
    • Intune が有効なテナント
  • ファイアウォール サブネット IP アドレスからhttps://login.microsoftonline.comおよびhttps://graph.windows.net (ポート 53 およびポート 443) へのすべての DNS および SSLトラフィックに対するファイアウォールルールを有効にします。

前提条件

  • 既存の認証ポリシーはすべて、クラシックポリシーから高度なポリシーに変換する必要があります。クラシックポリシーから高度なポリシーに変換する方法については、https://support.citrix.com/article/CTX131024を参照してください。
  • Azure Portalで NetScaler Gateway アプリケーションを作成します。詳しくは、「 Azure Portalでの NetScaler Gateway アプリケーションの構成」を参照してください。
  • 次のアプリケーション固有の情報を使用して、作成したNetScaler Gateway アプリケーションでOAuthポリシーを構成します。
    • クライアント ID/アプリケーション ID
    • クライアントシークレット/アプリケーションキー
    • Azure テナント ID

参照ドキュメント

ゲートウェイ展開用に nFactor を搭載した NetScaler Gateway 仮想サーバーを追加するには

  1. NetScaler Gateway]>[仮想サーバー]に移動します。

    [仮想サーバー] ページ

  2. [追加] をクリックします。

  3. 基本設定 」領域に必要な情報を入力し、 「OK」をクリックします。

    基本設定を設定する

  4. [ サーバー証明書] を選択します。

    サーバー証明書を選択

  5. 必要なサーバー証明書を選択し、[ バインド] をクリックします。

    サーバー証明書のバインド

  6. [続行] をクリックします。

  7. [続行] をクリックします。

  8. [続行] をクリックします。

  9. [ポリシー] の横にあるプラスアイコン[+]をクリックし、[ **ポリシーの選択 ] リストから [ セッション ] を選択し、[ タイプの選択 ] リストから [ 要求 ] を選択して [ 続行 ] をクリックします。**

  10. [ ポリシーの選択 ] の横にあるプラスアイコン [+]をクリックします。

  11. [NetScaler Gateway セッションポリシーの作成 ]ページで、セッションポリシーの名前を入力します。

  12. プロファイル ]の横にあるプラスアイコン [+] をクリックし、[ NetScaler Gateway セッションプロファイルの作成 ]ページでセッションプロファイルの名前を入力します。

  13. [ クライアントエクスペリエンス ] タブで、[ クライアントレスアクセス ] の横にあるチェックボックスをクリックし、リストから [ オフ ] を選択します。

  14. [ プラグインタイプ ] の横にあるチェックボックスをクリックし、リストから [Windows/Mac OS X] を選択します。

  15. [ 詳細設定 ] をクリックし、[ クライアントの選択 ] の横にあるチェックボックスをオンにし、その値を [ オン] に設定します。

  16. [ セキュリティ ] タブで、[ 既定の承認アクション ] の横にあるチェックボックスをクリックし、リストから [ 許可 ] を選択します。

  17. [ 公開アプリケーション ] タブで、[ ICAプロキシ ] の横にあるチェックボックスをクリックし、一覧から [ オフ ] を選択します。

  18. 作成」をクリックします。

  19. [NetScaler Gateway セッションポリシーの作成 ]ページの[ ]領域で、修飾式を構成します。

  20. [Create] をクリックします。

  21. [Bind] をクリックします。

  22. [ 詳細設定 ] で [ 認証プロファイル] を選択します。

    認証プロファイルの選択

  23. プラスアイコン [+] をクリックし、認証プロファイルの名前を入力します。

    認証プロファイル名

  24. プラスアイコン [+] をクリックして、認証仮想サーバを作成します。

    認証仮想サーバーの追加

  25. 基本設定 ]領域で認証仮想サーバーの名前とIPアドレスの種類を指定し、[ OK]をクリックします。IP アドレスタイプは、 アドレス指定不可にもできます

    基本設定を設定する

  26. [ 認証ポリシー] をクリックします。

    認証ポリシー

  27. [Policy Binding] ビューで、プラスアイコン [+] をクリックして認証ポリシーを作成します。

    認証ポリシーの作成

  28. [ アクションタイプ ] として [ OAUTH ] を選択し、プラスアイコン [+] をクリックして NAC の OAuth アクションを作成します。

    OAuth アクションタイプの選択

  29. クライアント IDクライアントシークレット、およびテナント IDを使用して OAuth アクションを作成します。

    注:

    • クライアントIDクライアントシークレット、およびテナントIDは 、Azure PortalでNetScaler Gateway アプリケーションを構成した後に生成されます。
    • クライアントID/アプリケーションID、クライアントシークレット/アプリケーションシークレット、およびAzureテナントIDの情報は、後でNetScaler Gateway でOAuthアクションを作成する際に必要になるため、書き留めておきます。

    アプライアンスに適切な DNS ネームサーバが設定されていて、解決して到達できることを確認します。 - https://login.microsoftonline.com/, - https://graph.windows.net/, - *.manage.microsoft.com。

    Azure Portalの ID とシークレット

  30. OAuth アクションの認証ポリシーを作成します

    規則:

    http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN")))
    <!--NeedCopy-->
    

    認証ポリシールール

  31. プラスアイコン [+] をクリックして NextFactor ポリシーラベルを作成します。

    次の要素ポリシーラベルの作成

  32. プラスアイコン [+] をクリックして、ログインスキーマを作成します。

    ログインスキーマの作成

  33. 認証スキーマとしてnoschemaを選択し、[ 作成] をクリックします。

    認証スキーマの選択

  34. 作成したログインスキーマを選択したら、[ Continue] をクリックします。

    ![続ける] をクリックします](/ja-jp/netscaler-gateway/media/intune_18.jpg)

  35. [ポリシーの選択(Select Policy)] で、ユーザログイン用の既存の認証ポリシーを選択するか、プラスアイコン [ + ] をクリックして認証ポリシーを作成します。 認証ポリシーの作成について詳しくは、 [高度な認証ポリシーの構成およびLDAP認証の設定を参照してください](/ja-jp/netscaler-gateway/13/authentication-authorization/configure-ldap.html)

    認証ポリシーを選択または作成します。

  36. [Bind] をクリックします。

    ![バインド] をクリックします](/ja-jp/netscaler-gateway/media/intune_21.jpg)

  37. [完了] をクリックします。

    「完了」をクリックします

  38. [Bind] をクリックします。

    ![バインド] をクリックします](/ja-jp/netscaler-gateway/media/intune_23.jpg)

  39. [続行] をクリックします。

    「続行」をクリックします

  40. [完了] をクリックします。

    「完了」をクリックします

  41. [Create] をクリックします。

    [作成] をクリックします

  42. [OK] をクリックします。

    「OK」をクリックします。

  43. [完了] をクリックします。

    「完了」をクリックします

認証ログインスキーマを認証仮想サーバーにバインドして、VPN プラグインが /cgi/login 要求の一部としてデバイス ID を送信するように指示するには

  1. [ セキュリティ ] > [ AAA-アプリケーショントラフィック ] > [ 仮想サーバ] に移動します。

    [仮想サーバー] ページ

  2. 以前に選択した仮想サーバを選択し、[ 編集(Edit)] をクリックします。

    仮想サーバーを編集する

  3. [ 詳細設定 ] の [ ログインスキーマ] をクリックします。

    ログインスキーマの選択

  4. [ ログインスキーマ ] をクリックしてバインドします。

    ログインスキーマのバインド

  5. [>] をクリックして、NAC デバイスチェック用の既存のビルドインログインスキーマポリシーを選択してバインドします。

    ログインスキーマポリシーのバインド

  6. 認証展開に適した必要なログインスキーマポリシーを選択し、[選択( Select)] をクリックします。

    前に説明した展開では、NAC OAuth アクションポリシーとともに単一要素認証(LDAP)が使用されるため、 lschema_single_factor_deviceid が選択されています。

    単一要素認証ポリシーの選択

  7. [Bind] をクリックします。

    ![バインド] をクリックします](/ja-jp/netscaler-gateway/media/a_intune_7.jpg)

  8. [完了] をクリックします。

    「完了」をクリックします

トラブルシューティング

一般的な問題

問題 解像度
アプリを開くと、「ポリシーの追加が必要です」というメッセージが表示されます。 Microsoft Graph API でポリシーを追加する
ポリシーの競合がある アプリごとに許可されるポリシーは 1 つだけです。
アプリが内部リソースに接続できない 正しいファイアウォールポートが開いていること、テナント ID が正しいことなどを確認します。

NetScaler Gatewayの問題

問題 解像度
Azure 上のゲートウェイアプリに対して構成するために必要なアクセス許可は使用できません。 適切なIntuneライセンスが利用可能かどうかを確認します。 manage.windowsazure.com ポータルを使用して、権限を追加できるかどうかを確認してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
NetScaler Gatewayはlogin.microsoftonline.comandgraph.windows.netに到達できません。 NS Shell から、次のMicrosoft Web サイトにアクセスできるかどうかを確認します。cURL-v-k https://login.microsoftonline.com。次に、NetScaler Gateway でDNSが構成されているかどうかを確認します。また、ファイアウォールの設定が正しいことを確認します (DNS 要求がファイアウォールされている場合)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthActionコマンドでOAuthのステータスが完了と表示されない。 DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

NetScaler Gateway OAuthのステータスとエラー状態

ステータス エラー状態
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comはダウンまたは到達不能です
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのため「トークンエンドポイント:https://login.microsoftonline.com」と通信できない。この構成を検証するには、シェルプロンプトに移動し、cURL https://login.microsoftonline.comと入力します。このコマンドは検証が必要です。

注: OAuth ステータスが成功すると、ステータスは「完了」と表示されます。

Intune 構成チェック

Citrix SSOの基本iOS VPN構成]>[ネットワークアクセス制御(NAC)を有効にする ]で、[ 同意する]チェックボックスをオンにします。そうでない場合、NAC チェックは機能しません。

単一要素ログイン用のNetScaler Gateway 仮想サーバーのネットワークアクセス制御デバイスチェックを構成する