Intune Android Enterprise環境でCitrix Secure Accessをセットアップする
重要:
Android向けCitrix SSOは、現在Citrix Secure Accessと呼ばれています。この名前の変更を反映するために、ドキュメントとUIスクリーンショットを更新中です。
このトピックでは、Microsoft Intune による Citrix Secure Access の展開と構成について詳しく説明します。このドキュメントでは、Intune がすでに Android Enterprise サポート用に設定されており、デバイスの登録がすでに行われていることを前提としています。
前提条件
- Intune は Android Enterprise サポート用に設定されています
- デバイス登録が完了しました
Intune Android Enterprise環境でCitrix Secure Accessをセットアップするには
- Citrix Secure Accessを管理対象アプリとして追加
- Citrix Secure Accessの管理対象アプリケーションポリシーの設定
Citrix Secure Accessを管理対象アプリとして追加
-
Azure Portalにログインします。
-
左側のナビゲーションブレードの Intune をクリックします。
-
Microsoft Intune ブレードで [ クライアントアプリ ] をクリックし、[クライアントアプリ] ブレードの [アプリ] をクリックします。
-
右上のメニューオプションで [ + リンクを追加 ] をクリックします。[アプリ構成の追加] ブレードが表示されます。
-
アプリの種類として [ 管理対象 Google Play ] を選択します。
これにより、Android Enterprise を設定している場合、Google Play の検索を管理してブレードを承認するが追加されます。
-
「Citrix Secure Access」を検索し、アプリのリストから選択します。
注:Citrix Secure Accessがリストに表示されない場合は、そのアプリがお住まいの国では利用できないことを意味します。
-
「 承認 」をクリックして、管理対象Google Play ストアを通じてCitrix Secure Accessを導入することを承認します。
Citrix Secure Accessに必要な権限が一覧表示されます。
-
[ APPROVE ] をクリックして、アプリの展開を承認します。
-
[ 同期 ] をクリックして、この選択を Intune と同期します。
Citrix Secure Accessがクライアントアプリリストに追加されました。多くのアプリが追加されている場合は、Citrix Secure Accessを検索しなければならない場合があります。
-
Citrix Secure Accessアプリをクリックして 、アプリの詳細ブレードを開きます。
-
詳細ブレードの [ 割り当て ] をクリックします。Citrix Secure Access-アサインメントブレードが表示されます 。
-
[ グループの追加 ]をクリックして、Citrix Secure Accessのインストール権限を付与するユーザーグループを割り当てて、[ 保存]をクリックします。
-
Citrix Secure Accessの詳細ブレードを閉じます。
Citrix Secure Accessが追加され、ユーザーへの展開が可能になりました。
Citrix Secure Accessの管理対象アプリケーションポリシーの設定
Citrix Secure Accessを追加したら、VPNプロファイルをデバイス上のCitrix Secure Accessに展開できるように、Citrix Secure Accessの管理対象構成ポリシーを作成する必要があります。
-
Azure Portalで Intune ブレードを開きます。
-
Intune ブレードから [ クライアントアプリケーション ] ブレードを開きます。
-
[クライアントアプリケーション] ブレードから [ アプリ構成ポリシー ] 項目を選択し、[ 追加 ] をクリックして [ 構成ポリシーの追加 ] ブレードを開きます。
-
ポリシーの名前を入力し、その説明を追加します。
-
[ デバイス登録の種類] で、[ 管理対象デバイス] を選択します。
-
[ プラットフォーム] で、[ Android] を選択します。
これにより、関連付けられたアプリに別の構成オプションが追加されます。
-
「 関連アプリ 」をクリックし、「 Citrix Secure Accessアプリ 」を選択します。
アプリが多いなら検索しなきゃいけないかも。
-
[OK] をクリックします。構成設定オプションが [構成ポリシーの追加] ブレードに追加されます。
-
[ 構成設定 ] をクリックします。
Citrix Secure Accessを構成するためのブレードが表示されます。
-
[ 構成設定]で、[ 構成デザイナーを使用する]または[ JSONデータを入力する ]を選択して、Citrix Secure Accessを構成します。
注:
単純な VPN 構成の場合は、構成デザイナーを使用することをお勧めします。
構成デザイナーを使用した VPN 構成
-
[ 構成設定] で、[ 構成デザイナーを使用する ] を選択し、[ 追加] をクリックします。
Citrix Secure Accessでサポートされているさまざまなプロパティを構成するためのキー値入力画面が表示されます。少なくとも、 サーバーアドレスと VPN プロファイル名のプロパティを設定する必要があります 。[ DESCRIPTION ] セクションにマウスポインターを合わせると、各プロパティの詳細が表示されます。
-
たとえば、[ VPN プロファイル名 ]および[ サーバーアドレス(*) ]プロパティを選択し、[ OK]をクリックします。
これにより、プロパティが構成デザイナーに追加されます。次のプロパティを設定できます。
-
VPN プロファイル名。VPNプロファイルの名前を入力します。複数のVPNプロファイルを作成している場合は、それぞれに一意の名前を使用します。名前を指定しない場合、[Server Address] フィールドに入力したアドレスが VPN プロファイル名として使用されます。
-
サーバーアドレス (*)。NetScaler Gatewayのベース完全修飾ドメイン名を入力します。NetScaler Gatewayのポートが443ではない場合は、ポートも入力します。URL形式を使用します。例:
https://vpn.mycompany.com:8443
。 -
ユーザー名 (オプション)。エンドユーザーがNetScaler Gateway への認証に使用するユーザー名を入力します。ゲートウェイがそれを使用するように設定されている場合は、このフィールドに Intune設定値トークンを使用できます(設定値トークンを参照)。ユーザー名を指定しない場合、ユーザーはNetScaler Gateway に接続するときにユーザー名の入力を求められます。
-
パスワード (オプション)。エンドユーザーがNetScaler Gateway への認証に使用するパスワードを入力します。パスワードを指定しない場合、ユーザーはNetScaler Gateway に接続するときにパスワードの入力を求められます。
-
証明書エイリアス (オプション)。クライアント証明書認証に使用する証明書エイリアスを Android KeyStore に提供します。証明書ベースの認証を使用している場合、この証明書はユーザーに対して事前に選択されています。
-
ゲートウェイ証明書ピン (オプション)。NetScaler Gateway で使用される証明書ピンを記述するJSONオブジェクト。値の例:
{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}
。詳しくは、「 Android Citrix Secure AccessによるNetScaler Gateway 証明書ピン留め」を参照してください。 -
Per-App VPNの種類(オプション)。アプリごとのVPNを使用してこのVPNを使用するアプリを制限している場合は、この設定を構成できます。
- [許可] を選択すると、PerAppVPN アプリ一覧に表示されるアプリパッケージ名のネットワークトラフィックが VPN 経由でルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPN外でルーティングされます。
- [許可しない] を選択した場合、[Per-App VPNアプリ一覧]に含まれるアプリパッケージ名のネットワークトラフィックがVPN外でルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPNを介してルーティングされます。デフォルトは[許可]です。
- perAppVPN アプリリスト。[Per-App VPNの種類]の値に応じ、トラフィックがVPNで許可されるか、または許可されないアプリの一覧。アプリパッケージ名がカンマまたはセミコロンで区切って一覧にされます。アプリパッケージ名は大文字と小文字が区別され、この一覧でもGoogle Playストアに表示されているのと同じように表示される必要があります。この一覧はオプションです。デバイス全体のVPNをプロビジョニングする場合は、この一覧を空のままにします。
- デフォルトの VPN プロファイル。常時接続VPNがCitrix Secure Access用に構成されている場合に使用されるVPNプロファイル名。このフィールドが空の場合、接続にはメインプロファイルが使用されます。プロファイルが 1 つだけ設定されている場合、そのプロファイルはデフォルトの VPN プロファイルとしてマークされます。
-
常時接続VPN (オプション): True に設定すると、VPN プロファイルが常時接続 VPN プロファイルであることを示します。このプロパティは、メイン VPN プロファイルにのみ設定できます。追加の VPN プロファイルには設定できません。デフォルトでは、このプロパティは False に設定されています。
注:
Always On VPN (optional)
プロパティは、Android 24.04.1以降のCitrix Secure Accessから入手できます。
注:
-
Citrix Secure AccessをIntune で常時稼働VPNアプリとして作成するには、 VPNプロバイダーをカスタムおよび
com.citrix.CitrixVPN
をアプリパッケージ名として使用します。 -
Citrix Secure AccessによるAlways On VPNでは、証明書ベースのクライアント認証のみがサポートされています。
-
Citrix Secure Accessが意図したとおりに動作するには、管理者がNetScaler GatewayのSSLプロファイルまたはSSLプロパティで [クライアント認証]を選択し、[クライアント証明書 ]を[必須 ]に設定する必要があります。
-
ユーザープロファイルの無効化
- この値を true に設定すると、ユーザーはデバイスに新しい VPN プロファイルを追加できません。
- この値を false に設定すると、ユーザーは自分のデバイスに独自の VPN を追加できます。
デフォルト値は falseです。
-
信頼できないサーバーをブロックする
- NetScaler Gateway で自己署名証明書を使用する場合、またはNetScaler Gateway 証明書を発行するCAのルート証明書がシステムCAリストにない場合は、この値をfalseに設定します。
- AndroidオペレーティングシステムがNetScaler Gateway 証明書を検証できるようにするには、この値をtrueに設定します。検証に失敗した場合、接続は許可されません。
デフォルト値は、trueです。
-
-
[ サーバーアドレス (*) ] プロパティに、VPN ゲートウェイのベース URL(
https://vpn.mycompany.com
など)を入力します。 -
「 VPNプロファイル名」には、Citrix Secure Accessクライアントのメイン画面でエンドユーザーに表示される名前(「マイコーポレートVPN」など)を入力します。
-
NetScaler Gateway 展開環境には、必要に応じて他のプロパティを追加および構成できます。設定が完了したら、 「OK」 をクリックします。
-
「 権限 」セクションをクリックします。Citrix Secure Accessに必要な次の権限を付与できます:
-
Intune NACチェックを使用している場合、Citrix Secure Accessでは、 電話状態(読み取り) 権限を付与する必要があります。[ 追加 ] ボタンをクリックして、[権限] ブレードを開きます。現在、Intune には、すべてのアプリで使用できるアクセス許可の重要なリストが表示されます。
-
Intune NAC チェックを使用している場合は、 電話の状態(読み取り) 権限を選択し、 OKをクリックします。これにより、アプリの権限のリストに追加されます。Intune NAC チェックが機能するように [ プロンプト ] または [ 自動許可 ] のいずれかを選択し、[ OK] をクリックします。
-
Citrix Secure Accessに通知権限を自動付与することをお勧めします。
注:
Citrix Secure Access 23.12.1以降を使用しているAndroid 13以降のユーザーの場合、MDM管理者はソリューション内のCitrix Secure Access(パッケージID:
com.citrix.CitrixVPN
)に通知権限を付与することをお勧めします。 -
-
アプリ構成ポリシーブレードの下部にある「 追加 」をクリックして、Citrix Secure Accessの管理対象構成を保存します。
-
[アプリケーション構成ポリシー] ブレードの [ 割り当て ] をクリックして、[ 割り当て] ブレードを開きます。
-
このCitrix Secure Access構成を配信して適用したいユーザーグループを選択します。
JSON データを入力することによる VPN の設定
-
[ 構成設定]で、[ JSONデータを入力してCitrix Secure Accessを構成する]を選択します。
-
[JSONテンプレートのダウンロード]ボタンを使用して、Citrix Secure Accessのより詳細で複雑な構成を提供できるテンプレートをダウンロードします。このテンプレートは、Citrix Secure Accessが認識できるすべてのプロパティを構成するためのJSONキーと値のペアのセットです。
構成可能なすべてのプロパティの一覧については、「 Citrix Secure AccessアプリでVPNプロファイルを構成するために使用できるプロパティ」を参照してください。
-
JSON 設定ファイルを作成したら、その内容をコピーして編集領域に貼り付けます。たとえば、構成デザイナーオプションを使用して以前に作成された基本設定の JSON テンプレートを次に示します。
これで、Microsoft Intune Android Enterprise環境で Citrix Secure Access の VPN プロファイルを構成および展開する手順は完了です。
重要:
クライアント証明書ベースの認証に使用される証明書は、Intune SCEP プロファイルを使用して展開されます。この証明書のエイリアスは、Citrix Secure Accessの管理対象構成の「 証明書エイリアス 」プロパティで構成する必要があります。
Citrix Secure AccessでVPNプロファイルを構成するために使用できるプロパティ
構成キー | JSON フィールド名 | 値の種類 | 説明 |
---|---|---|---|
VPN プロファイル名 | VPN プロファイル名 | テキスト | VPN プロファイルの名前(デフォルトはサーバアドレスに設定されていない場合)。 |
サーバーアドレス (*) | サーバーアドレス | URL | 接続のNetScaler Gateway のベースURL(https://host[:port] )。これは必須フィールドです。 |
Username (オプション) |
ユーザー名 | テキスト | NetScaler Gatewayでの認証に使用されるユーザー名(オプション)。 |
パスワード(オプション) | パスワード | テキスト | NetScaler Gatewayでの認証に使用されるユーザーのパスワード(オプション)。 |
証明書エイリアス(オプション) | ClientCertAlias | テキスト | 証明書ベースのクライアント認証に使用するためにAndroid資格情報ストアにインストールされているクライアント証明書のエイリアス(オプション)。NetScaler Gatewayで証明書ベースの認証を使用する場合、証明書エイリアスは必須フィールドです。 |
ゲートウェイ証明書ピン (オプション) | ServerCertificatePins | JSONテキスト | NetScaler Gatewayに使用される証明書PINを記述する埋め込みJSONオブジェクト。値の例:{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]} 。JSONコンフィギュレーターを使用するときは、この埋め込まれたJSONデータを必ずエスケープしてください。 |
Per-App VPNの種類(オプション) | PerAppVPN_Allow_Disallow_Setting | 列挙型 (許可、不許可) | リストにあるアプリでVPNトンネルを使用することを許可(許可リスト)または拒否(禁止リスト)していますか。[許可] に設定すると、リストされているアプリ(perAppVPN アプリリストプロパティ内)のみが VPN 経由のトンネリングを許可されます。[許可しない] に設定すると、一覧表示されているアプリを除くすべてのアプリが VPN 経由のトンネリングを許可されます。アプリがリストに表示されない場合、すべてのアプリがVPN経由でトンネリングできます。 |
perAppVPN アプリリスト | PERAppName_appNames | テキスト | Per-App VPNのアプリパッケージ名をカンマ (,) またはセミコロン (;) で区切ったリスト。パッケージ名は、Google Play ストアのアプリ一覧ページの URL に表示されているものと同じである必要があります。パッケージ名では大文字と小文字が区別されます。 |
デフォルトのVPNプロファイル | DefaultProfileName | テキスト | システムがVPNサービスを開始するときに使用するVPNプロファイルの名前。この設定は、デバイスでVPN常時接続が構成されている場合に使用するVPNプロファイルを識別するために使用されます。 |
常時接続 VPN (オプション)
|
IsAlwaysOnVpn
|
ブーリアン型
|
VPN プロファイルが Always ON VPN プロファイルであるかどうかを判断します。True に設定すると、VPN プロファイルが常時接続 VPN プロファイルであることを示します。このプロパティは、メイン VPN プロファイルでのみ設定できます。追加の VPN プロファイルには設定できません。デフォルト値はFalseです。 |
このプロパティは、Citrix Secure Access for Android 24.04.1リリース以降から使用できます。 | |||
ユーザープロファイルの無効化 | DisableUserProfiles | ブーリアン型 | エンドユーザーが手動でVPNプロファイルを作成することを許可または禁止するプロパティ。ユーザが VPN プロファイルを作成できないようにするには、この値をtrueに設定します。デフォルト値はfalse です。 |
信頼できないサーバーをブロックする | BlockUntrustedServers | ブーリアン型 | 信頼できないゲートウェイへの接続をブロックするかどうかを決定するプロパティ(たとえば、自己署名証明書を使用する場合や、発行したCAがAndroidオペレーティングシステムによって信頼されていない場合など)。デフォルト値はtrue(信頼できないゲートウェイへの接続をブロック)です。 |
カスタムパラメーター(オプション) | CustomParameters | 一覧 | Citrix Secure Accessでサポートされているカスタムパラメータ(オプション)のリスト。詳細については、「カスタムパラメータ」を参照 してください。使用可能なオプションについては、 NetScaler Gateway製品ドキュメントを確認してください。 |
その他のVPNプロファイルのリスト | bundle_profiles | 一覧 | その他のVPNプロファイルのリスト。各プロファイルの前述の値のほとんどがサポートされています。詳しくは、「VPN プロファイルリストの各VPNでサポートされるプロパティ」を参照してください。 |
カスタムパラメータ
各カスタムパラメータは、次のキーと値の名前を使用して定義する必要があります。
キー | 値の種類 | 値 |
---|---|---|
ParameterName | テキスト | カスタムパラメータの名前。 |
ParameterValue | テキスト | カスタムパラメータの値。 |
Intune 設定のカスタムパラメータ
パラメーター名 | 説明 | 値 |
---|---|---|
UserAgent | Citrix Secure Accessは、NetScaler Gatewayと通信するときに、このパラメーター値をユーザーエージェントのHTTPヘッダーに追加して、NetScaler Gatewayで追加のチェックを実行します。 | ユーザーエージェント HTTP ヘッダーに追加する必要があるテキストを指定します。テキストは、HTTP ユーザーエージェント仕様に準拠している必要があります。 |
EnableDebugLogging | Citrix Secure Accessのデバッグログを有効にすると、常時接続VPNの場合にVPN接続の問題のトラブルシューティングに役立ちます。このオプションは、管理対象のVPN構成のいずれかで有効にすることができます。デバッグのログは、管理対象の構成を処理するときに有効になります。 | True:デバッグのログを有効にします。デフォルト値: False。 |
カスタムパラメータについて詳しくは、「 Citrix Secure Access用のAndroid Enterprise管理構成の作成」を参照してください。
VPN プロファイルリストの各 VPN でサポートされるプロパティ
JSON テンプレートを使用して複数の VPN プロファイルを設定する場合、各 VPN プロファイルで次のプロパティがサポートされます。
構成キー | JSON フィールド名 | 値の種類 |
---|---|---|
VPN プロファイル名 | bundle_vpnProfileName | テキスト |
サーバーアドレス (*) | bundle_serverAddress | URL |
ユーザー名 | bundle_username | テキスト |
パスワード | bundle_password | テキスト |
クライアント証明書エイリアス | bundle_clientCertalias | テキスト |
ゲートウェイ証明書ピン | bundle_serverCertificatePins | テキスト |
Per-App VPNの種類 | bundle_perappVPN_allow_disallow_setting | 列挙型 (許可、不許可) |
perAppVPN アプリリスト | bundle_perappVPN_appnames | テキスト |
カスタムパラメータ | bundle_customParameters | 一覧 |
Intune で Citrix Secure Accessを常時接続の VPN プロバイダーとして設定する
Android VPNサブシステムにオンデマンドVPNサポートがない場合は、Always On VPNを代替手段として使用して、Citrix Secure Accessによるクライアント証明書認証とともにシームレスなVPN接続オプションを提供できます。VPN は、起動時または仕事用プロファイルが有効になったときに、オペレーティングシステムによって起動されます。
Citrix Secure AccessをIntune で常時稼働のVPNアプリにするには、次の設定を使用する必要があります。
-
使用する適切な管理対象設定の種類(仕事用プロファイルで個人所有または完全管理型、専用型、および企業所有の仕事用プロファイル)を選択します。
-
デバイス構成プロファイルを作成し、[ デバイスの制限 ] を選択し、[ 接続 ] セクションに移動します。VPN常時接続設定で [有効] を選択します。
-
VPNクライアントとしてCitrix Secure Accessを選択します 。Citrix Secure Accessがオプションとして利用できない場合は、「 VPNクライアントとしてカスタム 」を選択し、「パッケージID」フィールドに「 com.citrix.CitrixVPN 」と入力します(パッケージIDフィールドは大文字と小文字が区別されます)
-
他のオプションはそのままにしておきます。ロックダウンモードを有効にしないことをお勧めします。有効にすると、VPN が利用できない場合、デバイスは完全なネットワーク接続を失う可能性があります。
-
これらの設定に加えて、前のセクションで説明したように、[ **アプリ構成ポリシー ] ページでPer-App VPNの種類と**PerAppVPN アプリリストを設定して 、AndroidのPer-App VPNを有効にすることもできます。
注:
常時接続VPNは、Citrix Secure Accessのクライアント証明書認証でのみサポートされます。
参照ドキュメント
Intune での接続オプションの設定の詳細については、次のトピックを参照してください。
常時接続 VPN の自動再起動
Citrix SSO for Android 23.8.1以降、許可リストまたは禁止リストに含まれるアプリが仕事用プロファイルまたはデバイスプロファイルにインストールされている場合、Citrix Secure AccessはAlways On VPNを自動的に再起動します。新しくインストールされたアプリからのトラフィックは、仕事用プロファイルを再起動したりデバイスを再起動したりすることなく、VPN接続を介して自動的にトンネリングされます。
Always On VPNの自動再起動を有効にするには、エンドユーザーがCitrix Secure Accessに「 すべてのパッケージを照会 」の許可を与える必要があります。同意が得られたら、Citrix Secure Access:
- オペレーティングシステムからパッケージインストール通知を受け取ります。
- 常時接続 VPN を再起動します。
エンドユーザーがアプリごとのVPNプロファイルに初めて接続すると、インストールされたパッケージの情報を収集するための同意を求めるメッセージが表示されます(Googleのポリシーで義務付けられています)。エンドユーザーが同意すると、VPN 接続が開始されます。ユーザーが同意を拒否した場合、VPN 接続は中止されます。同意した後は、同意画面は再表示されません。エンドユーザーの手順について詳しくは、「 AndroidデバイスからCitrix Secure Accessを使用する方法」を参照してください。
制限事項
Android 11で導入されたパッケージの公開設定の制限により、Android 11以降のデバイス上のAndroid Enterprise環境におけるPer-App VPNには、次の制限が適用されます。
- 許可/拒否リストに含まれるアプリが VPN セッションの開始後にデバイスに展開された場合、アプリがそのトラフィックを VPN セッション経由でルーティングできるようにするには、エンドユーザーが VPN セッションを再起動する必要があります。
- Per-App VPNをVPN常時接続セッションで使用する場合、デバイスに新しいアプリをインストールした後、エンドユーザーは仕事用プロファイルを再起動するか、デバイスを再起動して、アプリのトラフィックを VPN セッション経由でルーティングする必要があります。
注:
これらの制限は、Android向けCitrix SSO 23.8.1以降のバージョンを使用している場合には適用されません。詳細については、「 Always On VPN の自動再起動 」を参照してください。