在 Intune Android Enterprise 环境中设置 Citrix SSO 应用
本主题介绍了有关通过 Microsoft Intune 部署和配置 Citrix SSO 应用程序的详细信息。本文档假定 Intune 已针对 Android Enterprise 支持进行了配置,并且设备注册已经完成。
必备条件
- Intune 已针对 Android Enterprise 支持进行了配置
- 设备注册已完成
在 Intune Android Enterprise 环境中设置 Citrix SSO 应用
- 将 Citrix SSO 应用程序添加为托管应用程序
- 为 Citrix SSO 应用程序配置托管应用程序策略
将 Citrix SSO 应用程序添加为托管应用程序
-
登录到你的 Azure 门户。
-
单击左侧导航刀片上的 Intune 。
-
在 Microsoft Intune Blade 中单击 客户端应用程 序,然后单击客户端应用程序 Blade 中的应用程序。
-
单击右上角菜单选项中的 + 添加链接 。将显示添加应用程序配置 Blade。
-
为应用类型选择 托管 Google Play 。
如果您已配置 Android Enterprise,这将添加 “管理 Google Play” 搜索和批准 Blade。
-
搜索 Citrix SSO 应用程序,然后从应用程序列表中选择它。
注意: 如果 Citrix SSO 未出现在列表中,则表示该应用程序在您所在的国家/地区不可用。
-
单击 批准 以批准 Citrix SSO 通过托管 Google Play 商店进行部署。
将列出 Citrix SSO 应用程序所需的权限。
-
单击 批准 以批准应用程序进行部署。
-
单击 “ 同步 ” 以将此选择内容与 Intune 同步。
Citrix SSO 应用程序将添加到客户端应用程序列表中。如果添加了许多应用程序,则可能必须搜索 Citrix SSO 应用程序。
-
单击 Citrix SSO 应用程序以 打开应用程序详细信息刀片。
-
单击详细信息刀片中的 “ 分配 ”。Citrix SSO-分配刀片式服务 器出现。
-
单击 添加组 以分配要向其授予安装 Citrix SSO 应用程序权限的用户组,然后单击 保存。
-
关闭 Citrix SSO 应用程序详细信息刀片。
Citrix SSO 应用程序已添加并启用以部署到您的用户。
为 Citrix SSO 应用程序配置托管应用程序策略
添加 Citrix SSO 应用程序后,必须为 Citrix SSO 应用程序创建托管配置策略,以便可以将 VPN 配置文件部署到设备上的 Citrix SSO 应用程序。
-
在 Azure 门户中打开 Intune 刀片式服务器。
-
从 Intune 刀片打开 客户端应用 刀片式服务器。
-
从客户端应用 程序 Blade 中选择应用程序配置策 略项,然后单击 添加 以打开 添加配置策略 Blade。
-
输入策略的名称并为其添加说明。
-
在设 备注册类型中,选择 托管设备。
-
在 平台中,选择 Android。
这将为关联的应用程序添加另一个配置选项。
-
单击 关联的应用程序 并选择 Citrix SSO 应用程序。
如果你有很多应用程序,你可能必须搜索它。
-
单击确定。添加配置策略 Blade 中添加了配置设置选项。
-
单击 配置 设置。
将显示用于配置 Citrix SSO 应用程序的刀片式服务器。
-
在 配置设置中,选择 使用配置设计器或 输入 JSON 数据 来配置 Citrix SSO 应用程序。
注意:
对于简单的 VPN 配置,建议使用配置设计器。
使用用户配置设计器配置 VPN
-
在 配置设置中,选择 使用配置设计器 ,然后单击 添加。
系统将显示一个键值输入屏幕,用于配置 Citrix SSO 应用程序支持的各种属性。至少必须配置 “ 服务器地址 ” 和 “ VPN 配置文件名称 ” 属性。您可以将鼠标悬停在说明部分上以获取有关每个属性的更多信息。
-
例如,选择 VPN 配置文件名称 和 服务器地址 (*) 属性,然后单击 确定。
这会将属性添加到配置设计器中。您可以配置以下属性。
-
VPN 配置文件名称。键入 VPN 配置文件的名称。如果要创建多个 VPN 配置文件,请为每个配置文件使用唯一的名称。如果不提供名称,则在 “服务器地址” 字段中输入的地址将用作 VPN 配置文件名称。
-
服务器地址 (*)。键入您的 Citrix Gateway 基本 FQDN。如果 Citrix Gateway 端口不是 443,请键入您的端口。使用 URL 格式。例如,
https://vpn.mycompany.com:8443。 -
用户名(可选)。输入最终用户用于向 Citrix Gateway 进行身份验证的用户名。如果网关配置为使用 Intune 配置值令牌,则可以 为此字段使用 Intune 配置值令牌(请参阅配置值令牌)。如果不提供用户名,则系统会在用户连接到 Citrix Gateway 时提示他们提供用户名。
-
密码(可选)。输入最终用户用于向 Citrix Gateway 进行身份验证的密码。如果不提供密码,则系统会在用户连接到 Citrix Gateway 时提示他们提供密码。
-
证书别名(可选)。在 Android KeyStore 中提供用于客户端证书身份验证的证书别名。如果您使用的是基于证书的身份验证,则会为用户预先选择此证书。
-
服务器证书 Pins(可选)。JSON 对象,描述用于 Citrix Gateway 的证书引脚。示例值:
{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。有关详细信息,请参阅 使用 Android Citrix SSO 固定 Citrix Gateway 证书。 -
每个应用程序的 VPN 类型(可选)。如果您使用 PerApp VPN 来限制哪些应用程序使用此 VPN,则可以配置此设置。
- 如果选择 允许,PerappVPN 应用程序列表中列出的应用程序包名称的网络流量将通过 VPN 路由。所有其他应用程序的网络流量都会在 VPN 外部进行路由。
- 如果选择 不允许,PerappVPN 应用程序列表中列出的应用程序包名称的网络流量将路由到 VPN 之外。所有其他应用程序的网络流量都通过 VPN 路由。默认设置为允许。
- PerappVPN 应用程序列表。VPN 上允许或禁止其流量的应用程序列表,具体取决于 PerApp VPN 类型的值。列出以逗号或分号分隔的应用程序包的名称。应用程序包名称区分大小写,并且必须以与 Google Play 应用商店中完全一致的显示方式显示在此列表中。此列表是可选的。将此列表保留为空,以便预配设备范围的 VPN。
-
默认 VPN 配置文件。为 Citrix SSO 应用程序配置始终可用的 VPN 时使用的 VPN 配置文件名称。如果此字段为空,则主配置文件用于连接。如果只配置了一个配置文件,则会将其标记为默认 VPN 配置文件。
注意:
-
要在 Intune 中将 Citrix SSO 应用程序设为始终可用的 VPN 应用程序,请使用 VPN 提供程序作为自定义,使用 com.citrix.CitrixVPN 作为应用程序包名称。
-
Citrix SSO 应用程序仅支持基于证书的客户端身份验证 Always On VPN。
-
管理员必须在 Citrix Gateway 上的 SSL 配置 文件或 SSL属性 中选择 客户端 **身 份验证** 并将客户端证书设置为强制,SSO 应用程序才能按预期工作。
-
禁用用户资料
- 如果将此值设置为 true,用户将无法在其设备上添加新的 VPN 配置文件。
- 如果将此值设置为 false,则用户可以在其设备上添加自己的 VPN。
默认值为 false。
-
阻止不可信的服务器
- 在为 Citrix Gateway 使用自签名证书或颁发 Citrix Gateway 证书的 CA 的根证书不在系统 CA 列表中时,将此值设置为 false。
- 将此值设置为 true 可启用 Android 操作系统验证 Citrix Gateway 证书。如果验证失败,则不允许连接。
默认值为 true。
-
-
在 “ 服务器地址 (*) ” 属性中,输入您的 VPN 网关基本 URL(例如,
https://vpn.mycompany.com)。 -
对于 VPN 配置文件名称,输入最终用户在 Citrix SSO 应用程序主屏幕中可见的名称(例如,我的公司 VPN)。
-
您可以根据需要为 Citrix Gateway 部署添加和配置其他属性。完成配置后,单 击 “确定” 。
-
单击 “ 权限 ” 部分。在此部分中,您可以授予 Citrix SSO 应用程序所需的权限。
-
如果您使用的是 Intune NAC 检查,Citrix SSO 应用程序要求您授予 电话状态(读取) 权限。点击 添加 按钮打开权限刀片。目前,Intune 显示了可供所有应用程序使用的重要权限列表。
-
如果您使用的是 Intune NAC 检查,请选择 电话状态(读取) 权限,然后单击 确定。这会将其添加到应用程序的权限列表中。选择 “ 提示 ” 或 “ 自动授予 ”,以便 Intune NAC 检查可以正常工作,然后单击 “ 确定”。
-
-
单击应用程序配置策略刀片底部的 添加 以保存 Citrix SSO 应用程序的托管配置。
-
单击应用程序配置策略 Blade 中的分配以打开任务Blade。
-
选择要为其交付和应用此 Citrix SSO 配置的用户组。
通过输入 JSON 数据进行 VPN 配置
-
在 配置设置中,选择 输入 JSON 数据 以配置 Citrix SSO 应用程序。
-
使用下载 JSON 模板按钮下载允许为 Citrix SSO 应用程序提供更详细/更复杂的配置的模板。此模板是一组 JSON 键值对,用于配置 Citrix SSO 应用程序可以理解的所有可能属性。
有关可配置的所有可用属性的列表,请参阅 在 Citrix SSO 应用程序中配置 VPN 配置文件的可用属性。
-
创建 JSON 配置文件后,将其内容复制并粘贴到编辑区域中。例如,以下是之前使用配置设计器选项创建的基本配置的 JSON 模板。
这样就完成了在 Microsoft Intune Android Enterprise 环境中为 Citrix SSO 应用程序配置和部署 VPN 配置文件的过程。
重要:
用于基于客户端证书的身份验证的证书是使用 Intune SCEP 配置文件部署的。必须在 Citrix SSO 应用程序的托管配置的 “证书别名” 属性中配置此证书的别名。
在 Citrix SSO 应用程序中配置 VPN 配置文件的可用属性
| 配置键 | JSON 字段名称 | 值类型 | 说明 |
|---|---|---|---|
| VPN 配置文件名称 | VPNProfileName | 文本 | VPN 配置文件的名称(如果未设置默认为服务器地址)。 |
| 服务器地址 (*) | ServerAddress | URL | 用于连接的 Citrix Gateway 的基本 URL (https://host[:port])。此字段为必填字段。 |
Username(可选) |
用户名 | 文本 | 用于通过 Citrix Gateway 进行身份验证的用户名(可选)。 |
| 密码(可选) | 密码 | 文本 | 使用 Citrix Gateway 进行身份验证的用户的密码(可选)。 |
| 证书别名(可选) | ClientCertAlias | 文本 | 安装在 Android 凭据存储中的客户端证书的别名,用于基于证书的客户端身份验证(可选)。在 Citrix Gateway 上使用基于证书的身份验证时,证书别名是必填字段。 |
| 服务器证书 PIN 码(可选) | ServerCertificatePins | JSON 文本 | 描述用于 Citrix Gateway 的证书引脚的嵌入式 JSON 对象。示例值: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。使用 JSON 配置器时,请务必避开这些嵌入式 JSON 数据。 |
| PerApp VPN 类型(可选) | PerAppVPN_Allow_Disallow_Setting | Enum (Allow, Disallow) | 列出的应用程序是允许(允许列表)还是不允许(阻止列表)使用 VPN 通道。如果设置为 允许,则只允许列出的应用程序(在 PerappVPN 应用程序列表属性中)通过 VPN 建立隧道。如果设置为 “ 不允许”,则允许除列出的应用程序以外的所有应用程序通过 VPN 建立隧道。如果未列出任何应用程序,则允许所有应用程序通过 VPN 进行通道传输。 |
| PerappVPN 应用程序列表 | PerAppName_Appnames | 文本 | 以逗号 (,) 或分号 (;) 分隔的 PerApp VPN 的应用程序包名称列表。软件包名称必须与 Google Play 应用商店应用列表页面 URL 中显示的包名称完全相同。包名区分大小写。 |
| 默认 VPN 配置文件 | DefaultProfileName | 文本 | 系统启动 VPN 服务时使用的 VPN 配置文件的名称。此设置用于识别在设备上配置始终可用的 VPN 时要使用的 VPN 配置文件。 |
| 禁用用户资料 | DisableUserProfiles | 布尔值 | 允许或不允许最终用户手动创建 VPN 配置文件的属性。将此值设置为true可禁止用户创建 VPN 配置文件。默认值为 false。 |
| 阻止不可信的服务器 | BlockUntrustedServers | 布尔值 | 用于确定是否阻止与不可信网关的连接(例如,使用自签名证书或在颁发 CA 时不受 Android 操作系统信任)?默认值为 true(阻止与不可信网关的连接)。 |
| 自定义参数(可选) | CustomParameters | 列表 | Citrix SSO 应用程序支持的自定义参数列表(可选)。有关详细信息,请参阅自定义参数。查看 Citrix Gateway 产品文档以了解可用选项。 |
| 其他 VPN 配置文件列表 | bundle_profiles | 列表 | 其他 VPN 配置文件列表。支持前面提到的每个配置文件的大多数值。有关详细信息,请参阅 VPN 配置文件列表中每个 VPN 支持的属性。 |
自定义参数
必须使用以下键值名称定义每个自定义参数。
| 键 | 值类型 | 值 |
|---|---|---|
| ParameterName | 文本 | 自定义参数的名称。 |
| ParameterValue | 文本 | 自定义参数的值。 |
VPN 配置文件列表中每个 VPN 支持的属性
使用 JSON 模板配置多个 VPN 配置文件时,每个 VPN 配置文件都支持以下属性。
| 配置键 | JSON 字段名称 | 值类型 |
|---|---|---|
| VPN 配置文件名称 | bundle_VPNProfileName | 文本 |
| 服务器地址 (*) | bundle_ServerAddress | URL |
| 用户名 | bundle_Username | 文本 |
| 密码 | bundle_Password | 文本 |
| 客户端证书别名 | bundle_ClientCertAlias | 文本 |
| 服务器证书 Pin | bundle_ServerCertificatePins | 文本 |
| PerApp VPN 类型 | bundle_PerAppVPN_Allow_Disallow_Setting | Enum (Allow, Disallow) |
| PerappVPN 应用程序列表 | bundle_PerAppVPN_Appnames | 文本 |
| 自定义参数 | bundle_CustomParameters | 列表 |
在 Intune 中将 Citrix SSO 应用程序设置为始终可用的 VPN 提供商
在 Android VPN 子系统中没有按需 VPN 支持的情况下,始终可用的 VPN 可用作提供无缝 VPN 连接选项以及 Citrix SSO 应用程序的客户端证书身份验证的替代方案。VPN 在启动或打开工作配置文件时由操作系统启动。
要使 Citrix SSO 应用程序成为 Intune 中的始终可用的 VPN 应用程序,必须使用以下设置。
-
选择要使用的正确托管配置类型(个人拥有工作配置文件或完全托管、专用和公司拥有的工作配置文件)。
-
创建设备配置文件并选择 设备限制 ,然后转到 连接 部分。为“始终可用的 VPN”设置选择启用。
-
选择 Citrix SSO 应用程序 作为 VPN 客户端。如果 Citrix SSO 不可用作选项,则可以选择 自定义 为 VPN 客户端,然后在软件包 ID 字段中输入 com.citrix.CitrixVPN (包 ID 字段区分大小写)
-
保留其他选项原样。建议不要启用锁定模式。启用后,如果 VPN 不可用,设备可能会失去完整的网络连接。
-
除了这些设置之外,您还可以在 应用程序配置策略页面中设置每应用 VPN 类型**和 PerappVPN 应用程序 列表** ,以启用适用于 Android 的每应用 VPN,如前面部分所述。
注意:
只有 Citrix SSO 应用程序中的客户端证书身份验证才支持始终可用的 VPN。
引用
有关在 Intune 中设置连接选项的更多详细信息,请参阅以下主题。
限制
下面是 Android 11+ 设备上的 Android Enterprise 环境中每个应用程序 VPN 的限制,这是由于 Android 11 中引入的包可见性限制所致:
- 如果在 VPN 会话启动后将属于允许/拒绝列表的应用程序部署到设备上,则最终用户必须重新启动 VPN 会话,该应用程序才能通过 VPN 会话路由其流量。
- 如果通过 Always On VPN 会话使用每应用程序 VPN,则在设备上安装新应用程序后,最终用户必须重新启动工作配置文件或重新启动设备才能通过 VPN 会话路由应用程序的流量。