Intune Android Enterprise 環境でCitrix SSOアプリをセットアップする
このトピックでは、Microsoft Intune を使用したCitrix SSO アプリケーションの展開と構成について詳しく説明します。このドキュメントでは、Intune が Android Enterprise サポート用に構成されており、デバイスの登録がすでに完了していることを前提としています。
前提条件
- Intune は Android Enterprise サポート用に構成されています。
- デバイスの登録が完了しました
Intune Android Enterprise 環境でCitrix SSO アプリケーションをセットアップするには
- Citrix SSO アプリを管理対象アプリとして追加する
- Citrix SSO アプリの管理対象アプリポリシーを構成する
Citrix SSO アプリを管理対象アプリとして追加する
1. Azure ポータルにログインします。
2. 左側のナビゲーションブレードの [ Intune ] をクリックします。
3. [Microsoft Intune] ブレードで [ クライアントアプリ ] をクリックし、[クライアントアプリ] ブレードの [アプリ] をクリックします。
4. 右上のメニューオプションで +追加 リンクをクリックします。[アプリケーション構成の追加] ブレードが表示されます。
5. アプリの種類として [ マネージド Google Play ] を選択します。
これは、Googleが検索を再生管理を追加し、あなたは、Android Enterprise を設定している場合、ブレードを承認します.
6. Citrix SSO アプリを検索し、アプリの一覧から選択します。
注: Citrix SSO がリストに表示されない場合は、お住まいの国ではアプリを利用できません。
7. [承 認 ] をクリックして、管理対象の Google Play ストアを通じて展開するCitrix SSO を承認します。
Citrix SSO アプリで必要なアクセス許可の一覧が表示されます。
8. [ APPROVE ] をクリックして、アプリケーションのデプロイを承認します。
9. [ 同期 ] をクリックして、この選択を Intune と同期します。
Citrix SSO アプリがクライアントアプリリストに追加されます。多くのアプリが追加されている場合は、Citrix SSO アプリの検索が必要になることがあります。
10.[Citrix SSO アプリケーション] をクリックして、[アプリケーションの詳細]ブレードを開きます。
11. 詳細ブレードの [ 割り当て ] をクリックします。Citrix SSO-割り当て ブレードが表示されます。
12. [ グループの追加 ]をクリックして、Citrix SSO アプリケーションをインストールする権限を付与するユーザーグループを割り当てて、[ 保存 ]をクリックします。
13. [Citrix SSO アプリケーションの詳細] ブレードを閉じます。
Citrix SSO アプリが追加され、ユーザーへの展開が有効になります。
Citrix SSO アプリの管理対象アプリポリシーを構成する
Citrix SSO アプリを追加したら、デバイス上のCitrix SSO アプリケーションにVPNプロファイルを展開できるように、Citrix SSOアプリの管理された構成ポリシーを作成する必要があります。
1. Azure ポータルで Intune ブレードを開きます。
2. Intune ブレードから [ クライアントアプリ ] ブレードを開きます。
3. [クライアント アプリ] ブレードから [アプリ構成ポリシー ] を選択し、[ 追加 ] をクリックして [ 構成ポリシーの追加 ] ブレードを開きます。
4. ポリシーの名前を入力し、その説明を追加します。
5. [ デバイス登録の種類] で、[ 管理対象デバイス] を選択します。
6. 「 プラットフォーム」で「 Android」を選択します。
これにより、関連付けられたアプリの別の設定オプションが追加されます。
7. [ 関連アプリケーション ]をクリックし、 [Citrix SSOアプリケーション] を選択します。
アプリが多数ある場合は、検索が必要な場合があります。
8.[OK] をクリックします。構成設定オプションが [構成ポリシーの追加] ブレードに追加されます。
9. [ 構成設定 ] をクリックします。
Citrix SSO アプリを設定するブレードが表示されます。
10.[構成設定]で、[ 構成デザイナーを使用する]または[ JSONデータを入力してCitrix SSO アプリケーションを構成する]を選択します。
注: 単純なVPN構成の場合は、構成デザイナーを使用することをお勧めします。
ユーザ設定デザイナを使用した VPN 設定
1. [ 構成設定]で、[ 構成デザイナを使用] を選択し、[ 追加] をクリックします。
Citrix SSO アプリでサポートされているさまざまなプロパティを構成するためのキー値入力画面が表示されます。 少なくとも、[ サーバアドレス ] プロパティと [VPN プロファイル名] プロパティを設定する必要があります。[ 説明 ] セクションにカーソルを合わせると、各プロパティの詳細情報が表示されます。
2. たとえば、[ VPN プロファイル名 ] と [ サーバーアドレス (*) ] のプロパティを選択し、[ OK ] をクリックします。
これにより、構成デザイナーにプロパティが追加されます。次のプロパティを設定できます。
-
VPN プロファイル名。VPNプロファイルの名前を入力します。複数のVPNプロファイルを作成している場合は、それぞれに一意の名前を使用します。名前を指定しない場合、[Server Address] フィールドに入力したアドレスが VPN プロファイル名として使用されます。
-
サーバーアドレス (*)。Citrix Gateway のベースFQDNを入力します。Citrix Gatewayのポートが443ではない場合は、ポートも入力します。URL形式を使用します。たとえば、
https://vpn.mycompany.com:8443のようになります。 -
ユーザー名(オプション)。エンドユーザーがCitrix Gateway の認証に使用するユーザー名を入力します。Gateway がそれを使用するように構成されている場合、このフィールドに Intune 構成値トークンを使用できます (「構成値トークン」を参照)。 ユーザー名を指定しない場合、ユーザーはCitrix Gateway に接続するときにユーザー名を入力するよう求められます。
-
パスワード(オプション)。エンドユーザーがCitrix Gateway の認証に使用するパスワードを入力します。パスワードを指定しない場合、ユーザーはCitrix Gateway に接続するときにパスワードの入力を求められます。
-
証明書の別名(オプション)。クライアント証明書認証に使用されるAndroidキーストアの証明書エイリアスを入力します。証明書ベースの認証を使用している場合、この証明書はユーザーに対して事前に選択されます。
-
アプリケーションごとの VPN タイプ(オプション)。Per-App VPNを使用してこのVPNを使用するようにアプリを制限している場合、この設定を構成できます。
- [ 許可] を選択すると、PerAppVPN アプリ一覧に表示されているアプリパッケージ名のネットワークトラフィックが VPN 経由でルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPN外でルーティングされます。
- [ 許可しない] を選択すると、PerAppVPN アプリ一覧に表示されているアプリパッケージ名のネットワークトラフィックが VPN の外部にルーティングされます。ほかのアプリのネットワークトラフィックは、すべてVPNを介してルーティングされます。デフォルトは [許可] です。
- PerAppVPN アプリケーションリスト。[Per-App VPNの種類] の値に応じ、トラフィックがVPNで許可されるか、または許可されないアプリの一覧。アプリパッケージ名がカンマまたはセミコロンで区切って一覧にされます。アプリパッケージ名は大文字と小文字が区別され、この一覧でもGoogle Playストアに表示されているのと同じように表示される必要があります。この一覧はオプションです。デバイス全体のVPNをプロビジョニングする場合は、この一覧を空のままにします。
- デフォルトの VPN プロファイル。常にオンVPNがCitrix SSO アプリ用に構成されている場合に使用されるVPNプロファイル名。 このフィールドが空の場合、メインプロファイルが接続に使用されます。プロファイルが 1 つだけ設定されている場合は、デフォルト VPN プロファイルとしてマークされます。
注:
Intune で Citrix SSO アプリを常時オン VPN アプリとして作成するには、VPN プロバイダーをカスタムとして、com.citrix.CitrixVPN をアプリパッケージ名として使用します。
Citrix SSO アプリによる常時接続VPNでは、証明書ベースのクライアント認証のみがサポートされます。
管理者は、SSOアプリケーションを意図したとおりに動作させるには、[ クライアント認証 ]を選択し、Citrix Gateway[ SSLプロファイル ]または[ SSLプロパティ ]で[クライアント証明書 ]を[ 必須 ]に設定する必要があります。
-
ユーザープロファイルの無効化
- この値を true に設定すると、ユーザーはデバイスに新しい VPN プロファイルを追加できなくなります。
- この値を false に設定すると、ユーザは自分のデバイスに独自の VPN を追加できます。
デフォルト値はfalseです。
-
信頼されていないサーバーをブロック
- Citrix Gatewayで自己署名証明書を使用する場合、またはCitrix Gateway 証明書を発行するCAのルート証明書がシステムCAリストにない場合は、この値をfalseに設定します。
- この値をtrueに設定すると、AndroidオペレーティングシステムでCitrix Gateway 証明書が検証されます。検証に失敗した場合、接続は許可されません。
デフォルト値はtrueです。
3. [ サーバーアドレス (*) ] プロパティに、VPN Gateway のベース URL (例:https://vpn.mycompany.com ) を入力します。
4. 「 VPNプロファイル名」に、Citrix SSO アプリのメイン画面でエンドユーザーに表示される名前(「企業VPN」など)を入力します。
5. Citrix Gateway の展開環境に応じて、他のプロパティを追加および構成できます。設定が完了したら、[ OK] をクリックします 。
6. [ アクセス許可 ] セクションをクリックします。このセクションでは、Citrix SSO アプリケーションに必要な権限を付与できます。
-
Intune NAC チェックを使用している場合、Citrix SSO アプリでは、 電話状態 (読み取り) アクセス許可を付与する必要があります。[ 追加 ] ボタンをクリックして、[アクセス許可] ブレードを開きます。現在、Intune はすべてのアプリで使用できるアクセス許可の一覧を表示します。
-
Intune NAC チェックを使用している場合は、[ 電話の状態 (読み取り) のアクセス許可を選択し、[ OK ] をクリックします。これにより、アプリのアクセス許可の一覧に追加されます。 Intune NAC チェックが機能するように、[ プロンプト ] または [ 自動許可 ] のいずれかを選択し、[ OK ] をクリックします。
7. [アプリケーションの構成ポリシー]ブレードの下部にある[ 追加 ]をクリックして、Citrix SSO アプリケーションの管理対象構成を保存します。
8. [アプリケーション構成ポリシー] ブレードの [ 割り当て ] をクリックして、[ 割り当て] ブレードを開きます。
9. このCitrix SSO 構成を配信して適用するユーザーグループを選択します。
JSON データ入力による VPN 設定
1.[構成設定]で[Citrix SSO アプリを構成するための JSONデータを入力する]を選択します。
2. 「JSONテンプレートのダウンロード」ボタンを使用して、Citrix SSO アプリの詳細/複雑な構成を提供できるテンプレートをダウンロードします。 このテンプレートは、Citrix SSO アプリケーションが理解できるすべてのプロパティを構成するためのJSONキーと値のペアのセットです。
設定可能なすべてのプロパティのリストについては、Citrix SSO アプリケーションでのVPNプロファイルの構成に使用できるプロパティを参照してください。
3. JSON 設定ファイルを作成したら、その内容をコピーして編集領域に貼り付けます。たとえば、以下は、構成デザイナーオプションを使用して、上記で作成した基本的な構成のためのJSONテンプレートです。
これで、Microsoft Intune Android Enterprise 環境でCitrix SSO アプリケーション用のVPNプロファイルを構成および展開する手順は完了です。
重要: クライアント証明書ベースの認証に使用される証明書は、通常 Intune SCEP プロファイルを使用して展開されます。この証明書のエイリアスは、Citrix SSO アプリケーションの管理対象構成の [証明書のエイリアス ] プロパティで構成する必要があります。
Citrix SSO アプリケーションでのVPNプロファイルの構成に使用できるプロパティ
| 構成キー | JSON フィールド名 | 値のタイプ | 説明 |
|---|---|---|---|
| VPNプロファイル名 | VPNProfileName | テキスト | VPN プロファイルの名前(デフォルトをサーバアドレスに設定しない場合)。 |
| サーバーアドレス(*) | ServerAddress | URL | 接続用のCitrix Gateway のベースURL(https://host[:port])。これは必須フィールドです。 |
| ユーザー名(オプション) | Username | テキスト | Citrix Gateway での認証に使用するユーザー名(オプション)。 |
| パスワード(オプション) | Password | テキスト | Citrix Gateway で認証するためのユーザーのパスワード(オプション)。 |
| 証明書のエイリアス(オプション) | ClientCertAlias | テキスト | 証明書ベースのクライアント認証で使用するために、Android 資格情報ストアにインストールされたクライアント証明書のエイリアス(オプション)。 |
| Per-App VPNの種類(オプション) | PerAppVPN_Allow_Disallow_Setting | 列挙型 (許可、禁止) | リストされているアプリで VPN トンネルを使用することが許可されている(ホワイトリスト)か、禁止されている(ブラックリスト)か。[ Allow]に設定すると、リストされているアプリケーション(PerAppVPN アプリリストプロパティ内)のみが、VPN をトンネル経由で許可されます。[ 無許可]に設定すると、リストされているアプリを除くすべてのアプリが VPN を経由してトンネリングできるようになります。アプリがリストされていない場合、すべてのアプリは VPN を経由してトンネリングできます。 |
| Per-App VPNアプリ一覧 | PerAppName_Appnames | テキスト | アプリごとの VPN のアプリパッケージ名のコンマ (,) またはセミコロン (;) で区切られたリスト。パッケージ名は、Google Playストアのアプリ一覧ページのURLに表示されるものとまったく同じである必要があります。パッケージ名では、大文字と小文字が区別されます。 |
| デフォルトのVPNプロファイル | DefaultProfileName | テキスト | システムが VPN サービスを開始するときに使用する VPN プロファイルの名前。この設定は、デバイスで Always-On VPN が構成されている場合に使用する VPN プロファイルを識別するために使用されます。 |
| ユーザープロファイルの無効化 | DisableUserProfiles | ブーリアン型 | エンドユーザによる VPN プロファイルの手動作成を許可または禁止するプロパティ。ユーザが VPN プロファイルを作成できないようにするには、この値を true に設定します。デフォルト値は false です。 |
| 信頼されていないサーバーをブロック | BlockUntrustedServers | ブーリアン型 | 信頼されていないゲートウェイへの接続(自己署名証明書の使用や、CA の発行が Android オペレーティングシステムで信頼されていない場合など)をブロックするかどうかを決定するプロパティ。デフォルト値は true です(信頼できないゲートウェイへの接続をブロックします)。 |
| カスタムパラメータ (オプション) | CustomParameters | 一覧 | Citrix SSO アプリでサポートされているカスタムパラメーターのリスト(オプション)。 詳細については、カスタムパラメーターを参照してください。使用可能なオプションについては、Citrix Gateway のドキュメントを参照してください。 |
| 追加のVPNプロファイルの一覧 | bundle_profiles | 一覧 | 追加の VPN プロファイルのリスト。各プロファイルの上記の値のほとんどがサポートされています。詳しくは、「サポートされるプロパティリスト」を参照してください。 |
カスタムパラメーター
各カスタムパラメータは、次のキー値名を使用して定義する必要があります。
| キー | 値のタイプ | 値 |
|---|---|---|
| ParameterName | テキスト | カスタムパラメータの名前。 |
| ParameterValue | テキスト | カスタムパラメータの値。 |
VPN プロファイルリスト内の各 VPN でサポートされるプロパティ
JSON テンプレートを使用して複数の VPN プロファイルを設定する場合、各 VPN プロファイルで次のプロパティがサポートされます。
| 構成キー | JSON フィールド名 | 値のタイプ |
|---|---|---|
| VPNプロファイル名 | bundle_VPNProfileName | テキスト |
| サーバーアドレス(*) | bundle_ServerAddress | URL |
| ユーザー名 | bundle_Username | テキスト |
| パスワード | bundle_Password | テキスト |
| クライアント証明書エイリアス | bundle_ClientCertAlias | テキスト |
| アプリケーションごとの VPN タイプ | bundle_PerAppVPN_Allow_Disallow_Setting | 列挙型 (許可、禁止) |
| Per-App VPNアプリ一覧 | bundle_PerAppVPN_Appnames | テキスト |
| カスタムパラメーター | bundle_CustomParameters | 一覧 |