Gateway

Microsoft Endpoint ManagerでマイクロVPNを使用するようにNetScaler Gateway をセットアップする

Citrix Micro VPNとMicrosoft Endpoint Management との統合により、アプリはオンプレミスのリソースにアクセスできます。詳しくは、 Citrix マイクロVPNとMicrosoft Endpoint Managerの統合を参照してください

システム要件

  • NetScaler Gateway バージョン
    • 13.1
    • 13.0
    • 12.1.50.x またはそれ以降
    • 12.0.59.x またはそれ以降

    NetScaler Gatewayの最新バージョンは、NetScaler Gatewayダウンロードページからダウンロードすることもできます。

  • Windows 7以降を実行しているWindowsデスクトップ(Androidアプリのラッピングにのみ対応)

  • Microsoft
    • Azure ADアクセス(テナントの管理者特権あり)
    • Intune対応のテナント
  • ファイアウォール規則
    • NetScaler Gateway サブネットIPから*.manage.microsoft.comhttps://login.microsoftonline.comおよびhttps://graph.windows.net (ポート443)へのSSLトラフィックに対するファイアウォールルールを有効にする
    • NetScaler Gateway は、前述のURLを外部で解決できる必要があります。

前提条件

  • Intune 環境: Intune 環境がない場合は、セットアップします。手順については、 Microsoft のドキュメントを参照してください

  • エッジブラウザーアプリ: マイクロ VPN SDK は、iOS および Android 用の Microsoft Edge アプリと Intune Managed Browser アプリに統合されています。Managed Browserについて詳しくは、MicrosoftのManaged Browserのページを参照してください。

  • Citrix Endpoint Management 資格:Microsoft Edge モバイルブラウザ(iOSおよびAndroid)でマイクロVPN SDKを引き続きサポートするには、アクティブなCitrix Endpoint Management 資格が必要です。詳細については、営業、アカウント、またはパートナーの担当者にお問い合わせください。

Azure Active Directory (AAD) アプリケーションのアクセス許可を付与する

  1. NetScaler Gateway がAADドメインで認証することを許可することを、CitrixマルチテナントAADアプリケーションに同意します。Azure グローバル管理者は、次の URL にアクセスして同意する必要があります。

    https://login.windows.net/common/adminconsent?client_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40b&redirect_uri=https://www.citrix.com&state=consent

  2. Citrix マルチテナント AAD アプリケーションに同意して、モバイルアプリケーションがNetScaler Gateway Micro VPNで認証できるようにします。このリンクは、Azure グローバル管理者が [ユーザーはアプリケーションを登録できます] の既定値を [はい] から [いいえ] に変更した場合にのみ必要です。 この設定は、Azure Portalの [ Azure Active Directory] > [ユーザー] > [ユーザー設定]の下にあります。 Azure グローバル管理者は、次の URL にアクセスして同意 ( テナント IDを追加) する必要があります。https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7

NetScaler Gateway をマイクロVPN用に構成する

IntuneでマイクロVPNを使用するには、NetScaler GatewayでAzure Active Directoryが認証されるように設定する必要があります。このユースケースでは、既存のNetScaler Gateway仮想サーバーは利用できません。 まず、Azure ADがオンプレミスのActive Directoryと同期するように設定します。この手順は、IntuneとNetScaler Gatewayとの間の認証を適切に行うために必要です。

スクリプトのダウンロード:.zip ファイルには、スクリプトの実装手順を含む readme が含まれています。スクリプトに必要な情報を手動で入力し、NetScaler Gateway でスクリプトを実行してサービスを構成する必要があります。 スクリプトファイルはNetScalerのダウンロードページからダウンロードできます

重要: NetScaler Gateway の構成が完了し、OAuthステータスがCOMPLETE以外に表示される場合は、「トラブルシューティング」セクションを参照してください。

Microsoft Edge Browserの設定

  1. https://endpoint.microsoft.com/にサインインし、[Intune] > [モバイルアプリ] の順に移動します。
  2. 通常どおり Edge アプリを公開し、アプリ構成ポリシーを追加します。
  3. [管理][アプリ構成ポリシー] をクリックします。
  4. [追加] をクリックし、作成するポリシーの名前を入力します。[ デバイスの登録の種類] で、[ 管理対象アプリ] を選択します。
  5. [ 関連アプリ] をクリックします。
  6. ポリシーを適用するアプリ(Microsoft Edge または Intune 管理対象ブラウザ)を選択し、[ OK]をクリックします。
  7. [構成設定] をクリックします。
  8. [ Name ] フィールドに、次の表に示すいずれかのポリシーの名前を入力します。
  9. [値] フィールドに、対象のポリシーに適用する値を入力します。フィールドの外をクリックすると、ポリシーがリストに追加されます。ポリシーは複数追加できます。
  10. [OK] をクリックしてから [追加] をクリックします。

ポリシーのリストにポリシーが追加されます。

|名前(iOSまたはAndroid)|Value|説明| |—|—|—| |MvpnGatewayAddress|https://external.companyname.com|NetScaler Gateway の外部 URL| |MvpnNetworkAccess|mvpnNetworkAccessTunneledWebSSOor Unrestricted|mvpnNetworkAccessTunneledWebSSOがトンネリングのデフォルトです| |MvpnExcludeDomains|除外するドメイン名のカンマ区切りリスト|オプションです。既定値は [空白] です| |TunnelExcludeDomains|このクライアントプロパティを使用して、除外されるドメインのデフォルトリストを上書きします。デフォルト=app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com |

注: Web SSO は設定でSecure Browse の名前です。動作は同じです。

  • mvpnNetworkAccess -mvpnNetworkAccessTunneledWebSSOを使用すると、NetScaler Gateway(トンネルウェブSSOとも呼ばれる)を介したHTTP/HTTPSリダイレクトが可能になります。ゲートウェイは HTTP 認証チャレンジにインラインで応答し、シングルサインオン (SSO) エクスペリエンスを提供します。ウェブ SSO を使用するには、このポリシーを mvpnNetworkAccessTunneledWebSSOに設定します。フルトンネルリダイレクトは現在サポートされていません。マイクロ VPN トンネリングをオフのままにするには、[ 制限なし ] を使用します。

  • mvpnExcludeDomains -NetScaler Gateway リバースWebプロキシ経由のルーティングから除外されるホスト名またはドメイン名のカンマ区切りのリスト。NetScaler Gateway 構成のスプリットDNS設定でドメインまたはホストが選択される場合がありますが、ホストまたはドメイン名は除外されます。

    注:

    • このポリシーは、 MVPN ネットワークアクセスのトンネリング WebSSO 接続にのみ適用されますMvpnNetworkAccessUnrestrictedの場合、このポリシーは無視されます。

    • このポリシーは、NetScaler Gatewayがリバース分割トンネリング用に設定されているトンネルWeb SSOモードにのみ適用されます。

  • トンネル除外ドメイン -デフォルトでは、MDXは一部のサービスエンドポイントをマイクロVPNトンネリングから除外します。モバイルアプリの SDK とアプリは、これらのサービスエンドポイントをさまざまな機能に使用します。たとえば、サービスエンドポイントには、Google Analytics、Citrix Cloud サービス、Active Directory サービスなど、エンタープライズネットワーク経由のルーティングを必要としないサービスが含まれます。このクライアントプロパティを使用して、除外ドメインのデフォルトリストを上書きします。

    このグローバルクライアントポリシーを構成するには、Microsoft Endpoint Management コンソールで [ 設定] > [クライアントプロパティ]に移動し、カスタムキーTUNNEL_EXCLUDE_DOMAINSを追加して値を設定します

    :デフォルトのリストをトンネリングから除外するドメインに置き換えるには、ドメインサフィックスのリストをカンマで区切って入力します。すべてのドメインをトンネルに含めるには、「none」と入力します。デフォルトは次のとおりです:

    app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com

トラブルシューティング

一般的な問題

問題 解像度
アプリを開くと、「ポリシーの追加が必要です」というメッセージが表示されます。 Microsoft Graph API でポリシーを追加する
ポリシーの競合がある アプリごとに許可されるポリシーは 1 つだけです。
アプリをラップすると、「アプリのパッケージ化に失敗しました」というメッセージが表示されます。完全なメッセージについては、次の表を参照してください。 アプリは Intune SDK と統合されています。Intune でアプリをラップする必要はありません
アプリが内部リソースに接続できない 正しいファイアウォールポートが開いていること、テナント ID が正しいことなどを確認します。

アプリのパッケージ化に失敗しました。エラーメッセージ:

アプリのパッケージ化に失敗しました。com.microsoft.intune.mam.appPackager.utils.appPackageException: このアプリにはすでに MAM SDK が統合されています。 com.microsoft.intune.mam.appPackager.appPackager.appPackagerApp (appPackager.java: 113) com.microsoft.intune.mam.appPackager.Packager.PackagerMain.mainInternal (packagerMain.java: 198) com.microsoft.intune.mam.appPackager.Packager.PackagerMAIN.main (packagerMain.MAIN .java:56) アプリケーションはラッピングできません。

NetScaler Gatewayの問題

問題 解像度
Azure 上のゲートウェイアプリに対して構成するために必要なアクセス許可は使用できません。 適切なIntuneライセンスが利用可能かどうかを確認します。 manage.windowsazure.com ポータルを使用して、権限を追加できるかどうかを確認してください。問題が解決しない場合は、Microsoftのサポートにお問い合わせください。
NetScaler Gatewayはlogin.microsoftonline.com and graph.windows.netに到達できません。 NS Shell から、次のMicrosoft Web サイトにアクセスできるかどうかを確認します。cURL-v-k https://login.microsoftonline.com。次に、NetScaler Gateway でDNSが構成されているかどうかを確認します。また、ファイアウォールの設定が正しいことを確認します (DNS 要求がファイアウォールされている場合)。
OAuthActionを設定すると、ns.logにエラーが記録される。 Intuneのライセンスが有効であること、およびAzureのゲートウェイアプリに適切な権限のセットが設定されているかを確認します。
Sh OAuthActionコマンドでOAuthのステータスが完了と表示されない。 DNS設定とAzureのゲートウェイアプリに設定されている権限を確認します。
AndroidまたはiOSデバイスで2要素認証のプロンプトが表示されない。 2要素デバイスIDログオンスキーマが認証仮想サーバーにバインドされているかを確認します。

NetScaler Gateway OAuthのステータスとエラー状態

ステータス エラー状態
AADFORGRAPH シークレットが無効、URLが未解決、接続タイムアウト
MDMINFO *manage.microsoft.comはダウンまたは到達不能です
GRAPH グラフエンドポイントがダウンしており到達不能
CERTFETCH DNSエラーのため「トークンエンドポイント:https://login.microsoftonline.com」と通信できない。この設定を検証するには、shell に移動して cURL https://login.microsoftonline.comと入力します。このコマンドは検証が必要です。

注: OAuth ステータスが成功すると、ステータスは「完了」と表示されます。

Microsoft Endpoint ManagerでマイクロVPNを使用するようにNetScaler Gateway をセットアップする