在 Intune Android Enterprise 环境中设置 Citrix Secure Access
重要提示:
Citrix SSO for Android 现在称为 Citrix Secure Access。我们正在更新文档和用户界面屏幕截图,以反映此名称的更改。
该主题详细介绍了如何通过 Microsoft Intune 部署和配置 Citrix Secure Access。本文档假定 Intune 已针对 Android Enterprise 支持进行了配置,并且设备注册已经完成。
必备条件
- Intune 已针对 Android Enterprise 支持进行了配置
- 设备注册已完成
在 Intune Android Enterprise 环境中设置 Citrix Secure Access
- 将 Citrix Secure Access 添加为托管应用程序
- 为 Citrix Secure Access 配置托管应用程序策略
将 Citrix Secure Access 添加为托管应用程序
-
登录到您的 Azure 门户。
-
单击左侧导航刀片上的 Intune 。
-
在 Microsoft Intune Blade 中单击 客户端应用程 序,然后单击客户端应用程序 Blade 中的应用程序。
-
单击右上角菜单选项中的 + 添加链接 。将显示添加应用程序配置 Blade。
-
为应用类型选择 托管 Google Play 。
如果您已配置 Android Enterprise,这将添加“管理 Google Play”搜索和批准 Blade。
-
搜索 Citrix Secure Access,然后从应用程序列表中将其选中。
注意:如果 Citrix Secure Access 未出现在列表中,则表示该应用程序在您所在的国家/地区不可用。
-
单击“批准”以批准通过 Google Play 托管应用商店部署 Citrix Secure Access。
列出了 Citrix Secure Access 所需的权限。
-
单击 批准 以批准应用程序进行部署。
-
单击“同步”以将此选择内容与 Intune 同步。
Citrix Secure Access 已添加到客户端应用程序列表中。如果添加了许多应用程序,则可能需要搜索 Citrix Secure Access。
-
单击 Citrix Secure Access 应用程序打开应用程序详细信息窗口。
-
单击详细信息刀片中的“分配”。此时将显示 Citrix Secure Access - 分配刀片。
-
单击“添加组”,分配要授予安装 Citrix Secure Access 权限的用户组,然后单击“保存”。
-
关闭 Citrix Secure Access 详细信息刀片。
Citrix Secure Access 已添加并启用,可以部署到您的用户。
为 Citrix Secure Access 配置托管应用程序策略
添加 Citrix Secure Access 后,您必须为 Citrix Secure Access 创建托管配置策略,以便可以将 VPN 配置文件部署到设备上的 Citrix Secure Access。
-
在 Azure 门户中打开 Intune 刀片。
-
从 Intune 刀片打开 客户端应用 刀片式服务器。
-
从客户端应用 程序 Blade 中选择应用程序配置策 略项,然后单击 添加 以打开 添加配置策略 Blade。
-
输入策略的名称并为其添加说明。
-
在设 备注册类型中,选择 托管设备。
-
在 平台中,选择 Android。
这将为关联的应用程序添加另一个配置选项。
-
单击关联应用程序,然后选择 Citrix Secure Access 应用程序。
如果您有很多应用程序,您可能必须搜索它。
-
单击确定。添加配置策略 Blade 中添加了配置设置选项。
-
单击 配置 设置。
此时将显示用于配置 Citrix Secure Access 的刀片。
-
在配置设置中,选择使用配置设计器或输入 JSON 数据来配置 Citrix Secure Access。
注意:
对于简单的 VPN 配置,建议使用配置设计器。
使用配置设计器配置 VPN
-
在 配置设置中,选择 使用配置设计器 ,然后单击 添加。
您将看到一个键值输入屏幕,用于配置 Citrix Secure Access 支持的各种属性。您至少必须配置“服务器地址”和“VPN 配置文件名称”属性。您可以将鼠标悬停在说明部分上以获取有关每个属性的更多信息。
-
例如,选择 VPN 配置文件名称 和 服务器地址 (*) 属性,然后单击 确定。
这会将属性添加到配置设计器中。您可以配置以下属性。
-
VPN 配置文件名称。键入 VPN 配置文件的名称。如果要创建多个 VPN 配置文件,请为每个配置文件使用唯一的名称。如果不提供名称,则在“服务器地址”字段中输入的地址将用作 VPN 配置文件名称。
-
服务器地址 (*)。键入您的 NetScaler Gateway 基本 FQDN。如果 NetScaler Gateway 端口不是 443,请键入您的端口。使用 URL 格式。例如,
https://vpn.mycompany.com:8443。 -
用户名(可选)。输入最终用户用于向 NetScaler Gateway 进行身份验证的用户名。如果网关配置为使用 Intune 配置值令牌,则可以 为此字段使用 Intune 配置值令牌(请参阅配置值令牌)。如果不提供用户名,则系统会在用户连接到 NetScaler Gateway 时提示他们提供用户名。
-
密码(可选)。输入最终用户用于向 NetScaler Gateway 进行身份验证的密码。如果不提供密码,则系统会在用户连接到 NetScaler Gateway 时提示他们提供密码。
-
证书别名(可选)。在 Android KeyStore 中提供用于客户端证书身份验证的证书别名。如果您使用的是基于证书的身份验证,则会为用户预先选择此证书。
-
网关证书 Pin(可选)。JSON 对象,描述用于 NetScaler Gateway 的证书引脚。示例值:
{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。有关详细信息,请参阅使用 Android Citrix Secure Access 固定 NetScaler Gateway 证书。 -
每个应用程序的 VPN 类型(可选)。如果您使用每应用程序 VPN 来限制哪些应用程序使用此 VPN,则可以配置此设置。
- 如果选择 允许,PerAppVPN 应用程序列表中列出的应用程序包名称的网络流量将通过 VPN 路由。所有其他应用程序的网络流量都会在 VPN 外部进行路由。
- 如果选择 不允许,PerAppVPN 应用程序列表中列出的应用程序包名称的网络流量将路由到 VPN 之外。所有其他应用程序的网络流量都通过 VPN 路由。默认设置为允许。
- PerAppVPN 应用程序列表。VPN 上允许或禁止其流量的应用程序列表,具体取决于 PerApp VPN 类型的值。列出以逗号或分号分隔的应用程序包的名称。应用程序包名称区分大小写,并且必须以与 Google Play 应用商店中完全一致的显示方式显示在此列表中。此列表是可选的。将此列表保留为空,以便预配设备范围的 VPN。
-
默认 VPN 配置文件。为 Citrix Secure Access 配置了始终可用的 VPN 时使用的 VPN 配置文件名称。如果此字段为空,则使用主配置文件进行连接。如果只配置了一个配置文件,则会将其标记为默认 VPN 配置文件。
注意:
-
要在 Intune 中将 Citrix Secure Access 设置为始终可用的 VPN 应用程序,请使用 VPN 提供程序作为自定义名称,使用
com.citrix.CitrixVPN作为应用程序包名称。 -
Citrix Secure Access 的始终可用的 VPN 仅支持基于证书的客户端身份验证。
-
管理员必须在 NetScaler Gateway 上的 SSL 配置文件或 SSL 属性中选择客户端身份验证并将客户证书设置为必填项,Citrix Secure Access 才能按预期运行。
-
禁用用户配置文件
- 如果将此值设置为 true,用户将无法在其设备上添加新的 VPN 配置文件。
- 如果将此值设置为 false,则用户可以在其设备上添加自己的 VPN。
默认值为 false。
-
阻止不可信的服务器
- 在为 NetScaler Gateway 使用自签名证书或颁发 NetScaler Gateway 证书的 CA 的根证书不在系统 CA 列表中时,将此值设置为 false。
- 将此值设置为 true 可启用 Android 操作系统验证 NetScaler Gateway 证书。如果验证失败,则不允许连接。
默认值为 true。
-
-
在“服务器地址 (*)”属性中,输入您的 VPN 网关基本 URL(例如,
https://vpn.mycompany.com)。 -
在 VPN 配置文件名称中,输入最终用户可以在 Citrix Secure Access 客户端主屏幕中看到的名称(例如,我的公司 VPN)。
-
您可以根据需要为 NetScaler Gateway 部署添加和配置其他属性。完成配置后,单 击“确定”。
-
单击“权限”部分。您可以授予 Citrix Secure Access 所需的以下权限:
-
如果您使用的是 Intune NAC 检查,Citrix Secure Access 要求您授予电话状态(读取)权限。 单击 添加 按钮打开权限刀片。目前,Intune 显示了可供所有应用程序使用的重要权限列表。
-
如果您使用的是 Intune NAC 检查,请选择 电话状态(读取) 权限,然后单击 确定。这会将其添加到应用程序的权限列表中。选择“提示”或“自动授予”,以便 Intune NAC 检查可以正常工作,然后单击“确定”。
-
建议您自动向 Citrix Secure Access 授予通知权限。
注意:
对于使用 Citrix Secure Access 23.12.1 及更高版本的 Android 13 以上的用户,建议 MDM 管理员在其解决方案中向 Citrix Secure Access(软件包 ID:
com.citrix.CitrixVPN)授予通知权限。 -
-
单击“应用程序配置策略”边栏底部的“添加”,保存 Citrix Secure Access 的托管配置。
-
单击应用程序配置策略 Blade 中的分配以打开任务Blade。
-
选择要为其交付和应用此 Citrix Secure Access 配置的用户组。
通过输入 JSON 数据进行 VPN 配置
-
在配置设置中,选择输入 JSON 数据用于配置 Citrix Secure Access。
-
使用下载 JSON 模板按钮下载一个模板,该模板允许为 Citrix Secure Access 提供更详细/更复杂的配置。此模板是一组 JSON 键值对,用于配置 Citrix Secure Access 可以理解的所有可能属性。
有关可以配置的所有可用属性的列表,请参阅在 Citrix Secure Access 应用程序中配置 VPN 配置文件的可用属性。
-
创建 JSON 配置文件后,将其内容复制并粘贴到编辑区域中。例如,以下是之前使用配置设计器选项创建的基本配置的 JSON 模板。
这样就完成了在 Microsoft Intune Android Enterprise 环境中为 Citrix Secure Access 配置和部署 VPN 配置文件的过程。
重要:
用于基于客户端证书的身份验证的证书是使用 Intune SCEP 配置文件部署的。必须在 Citrix Secure Access 托管配置的证书别名属性中配置此证书的别名。
在 Citrix Secure Access 中配置 VPN 配置文件的可用属性
| 配置键 | JSON 字段名称 | 值类型 | 说明 |
|---|---|---|---|
| VPN 配置文件名称 | VPNProfileName | 文本 | VPN 配置文件的名称(如果未设置默认为服务器地址)。 |
| 服务器地址 (*) | ServerAddress | URL | 用于连接的 NetScaler Gateway 的基本 URL (https://host[:port])。此字段为必填字段。 |
Username(可选) |
用户名 | 文本 | 用于通过 NetScaler Gateway 进行身份验证的用户名(可选)。 |
| 密码(可选) | 密码 | 文本 | 使用 NetScaler Gateway 进行身份验证的用户的密码(可选)。 |
| 证书别名(可选) | ClientCertAlias | 文本 | 安装在 Android 凭据存储中的客户端证书的别名,用于基于证书的客户端身份验证(可选)。在 NetScaler Gateway 上使用基于证书的身份验证时,证书别名是必填字段。 |
| 网关证书固定(可选) | ServerCertificatePins | JSON 文本 | 描述用于 NetScaler Gateway 的证书引脚的嵌入式 JSON 对象。示例值:{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。使用 JSON 配置器时,请务必避开这些嵌入式 JSON 数据。 |
| PerApp VPN 类型(可选) | PerAppVPN_Allow_Disallow_Setting | Enum (Allow, Disallow) | 列出的应用程序是允许(允许列表)还是不允许(阻止列表)使用 VPN 通道。如果设置为允许,则只允许列出的应用程序(在 PerAppVPN 应用程序列表属性中)通过 VPN 建立通道。如果设置为“不允许”,则允许除列出的应用程序以外的所有应用程序通过 VPN 建立通道。如果未列出任何应用程序,则允许所有应用程序通过 VPN 进行通道传输。 |
| PerAppVPN 应用程序列表 | PerAppName_Appnames | 文本 | 以逗号 (,) 或分号 (;) 分隔的 PerApp VPN 的应用程序包名称列表。软件包名称必须与 Google Play 应用商店应用列表页面 URL 中显示的相同。包名区分大小写。 |
| 默认 VPN 配置文件 | DefaultProfileName | 文本 | 系统启动 VPN 服务时使用的 VPN 配置文件的名称。此设置用于识别在设备上配置始终可用的 VPN 时要使用的 VPN 配置文件。 |
| 禁用用户配置文件 | DisableUserProfiles | 布尔值 | 允许或不允许最终用户手动创建 VPN 配置文件的属性。将此值设置为true可禁止用户创建 VPN 配置文件。默认值为 false。 |
| 阻止不可信的服务器 | BlockUntrustedServers | 布尔值 | 用于确定是否阻止与不可信网关的连接(例如,使用自签名证书或在颁发 CA 时不受 Android 操作系统信任)?默认值为 true(阻止与不可信网关的连接)。 |
| 自定义参数(可选) | CustomParameters | 列表 | Citrix Secure Access 支持的自定义参数列表(可选)。有关详细信息,请参阅自定义参数。查看 NetScaler Gateway 产品文档以了解可用选项。 |
| 其他 VPN 配置文件列表 | bundle_profiles | 列表 | 其他 VPN 配置文件列表。支持前面提到的每个配置文件的大多数值。有关详细信息,请参阅 VPN 配置文件列表中每个 VPN 支持的属性。 |
自定义参数
必须使用以下键值名称定义每个自定义参数。
| 键 | 值类型 | 值 |
|---|---|---|
| ParameterName | 文本 | 自定义参数的名称。 |
| ParameterValue | 文本 | 自定义参数的值。 |
Intune 配置的自定义参数
| 参数名称 | 说明 | 值 |
|---|---|---|
| UserAgent | 与 NetScaler Gateway 通信时,Citrix Secure Access 会将此参数值附加到用户代理 HTTP 标头,以便对 NetScaler Gateway 进行额外检查。 | 指定需要附加到用户代理 HTTP 标头的文本。文本必须符合 HTTP 用户代理规范。 |
| EnableDebugLogging | 在 Citrix Secure Access 上启用调试日志,以帮助在始终可用的 VPN 的情况下解决 VPN 连接问题。您可以在任何一种托管 VPN 配置中将其启用。调试日志记录在处理托管配置后生效。 | True:启用调试日志记录。默认值:False。 |
有关自定义参数的更多信息,请参阅为 Citrix Secure Access 创建 Android Enterprise 托管配置。
VPN 配置文件列表中每个 VPN 支持的属性
使用 JSON 模板配置多个 VPN 配置文件时,每个 VPN 配置文件都支持以下属性。
| 配置键 | JSON 字段名称 | 值类型 |
|---|---|---|
| VPN 配置文件名称 | bundle_VPNProfileName | 文本 |
| 服务器地址 (*) | bundle_ServerAddress | URL |
| 用户名 | bundle_Username | 文本 |
| 密码 | bundle_Password | 文本 |
| 客户端证书别名 | bundle_ClientCertAlias | 文本 |
| 网关证书固定 | bundle_ServerCertificatePins | 文本 |
| PerApp VPN 类型 | bundle_PerAppVPN_Allow_Disallow_Setting | Enum (Allow, Disallow) |
| PerAppVPN 应用程序列表 | bundle_PerAppVPN_Appnames | 文本 |
| 自定义参数 | bundle_CustomParameters | 列表 |
在 Intune 中将 Citrix Secure Access 设置为始终可用的 VPN 提供程序
在 Android VPN 子系统不支持按需 VPN 的情况下,可以使用始终可用的 VPN 作为替代方案,提供无缝 VPN 连接选项以及通过 Citrix Secure Access 进行客户证书身份验证。VPN 在启动或工作配置文件开启时由操作系统启动。
要在 Intune 中将 Citrix Secure Access 设置为始终可用的 VPN 应用程序,必须使用以下设置。
-
选择要使用的正确托管配置类型(个人拥有工作配置文件或完全托管、专用和公司拥有的工作配置文件)。
-
创建设备配置文件并选择 设备限制 ,然后转到 连接 部分。为“始终可用的 VPN”设置选择启用。
-
选择 Citrix Secure Access 作为 VPN 客户端。如果 Citrix Secure Access 选项不可用,则可以选择“自定义”作为 VPN 客户端,然后在“软件包 ID”字段中输入 com.citrix.CitrixVPN(“软件包 ID”字段区分大小写)
-
保留其他选项原样。建议不要启用锁定模式。启用后,如果 VPN 不可用,设备可能会失去完整的网络连接。
-
除了这些设置之外,您还可以在应用程序配置策略页面中设置 PerAppVPN 类型和 PerAppVPN 应用程序列表 ,以启用适用于 Android 的 PerAppVPN,如前面部分所述。
注意:
只有 Citrix Secure Access 中的客户证书身份验证才支持始终可用的 VPN。
引用
有关在 Intune 中设置连接选项的更多详细信息,请参阅以下主题。
自动重启始终可用的 VPN
从 Citrix SSO for Android 23.8.1 开始,当允许列表或阻止列表中的应用安装在工作配置文件或设备配置文件中时,Citrix Secure Access 会自动重启始终可用的 VPN。来自新安装应用程序的流量将自动通过 VPN 连接进行通道传输,无需重启工作配置文件或重启设备。
要启用始终可用的 VPN 的自动重启,最终用户必须向 Citrix Secure Access 授予查询所有包的同意。获得同意后,Citrix Secure Access:
- 接收来自操作系统的软件包安装通知。
- 重新启动始终可用的 VPN。
当最终用户首次连接到每个应用程序的 VPN 配置文件时,系统会提示用户提供同意(Google 策略要求)以收集已安装软件包的信息。如果最终用户表示同意,则会启动 VPN 连接。如果用户拒绝同意,VPN 连接将中止。同意后,同意屏幕不会重新出现。有关最终用户说明的详细信息,请参阅如何在 Android 设备上使用 Citrix Secure Access。
限制
下面是 Android 11+ 设备上的 Android Enterprise 环境中每个应用程序 VPN 的限制,这是由于 Android 11 中引入的包可见性限制所致:
- 如果在 VPN 会话启动后将属于允许/拒绝列表的应用程序部署到设备上,则最终用户必须重新启动 VPN 会话,该应用程序才能通过 VPN 会话路由其流量。
- 如果通过始终可用的 VPN 会话使用每应用程序 VPN,则在设备上安装新应用程序后,最终用户必须重新启动工作配置文件或重新启动设备才能通过 VPN 会话路由应用程序的流量。
注意:
如果您使用的是 Citrix SSO for Android 23.8.1 或更高版本,则这些限制不适用。有关更多详细信息,请参阅自动重启始终可用的 VPN。