在 Intune Android Enterprise 环境中设置 Citrix SSO 应用程序

本主题捕获有关通过 Microsoft Intune 部署和配置 Citrix SSO 应用程序的详细信息。本文档假定 Intune 已配置为 Android Enterprise 支持,并且设备注册已完成。

必备条件

  • Intune 配置为 Android Enterprise 支持
  • 设备注册完成

在 Intune Android Enterprise 环境中设置 Citrix SSO 应用程序

  • 将 Citrix SSO 应用程序添加为托管应用程序
  • 为 Citrix SSO 应用配置托管应用策略

将 Citrix SSO 应用程序添加为托管应用程序

1. 登录到 Azure 门户。

2. 单击左侧导航刀片上的 Intune

3. 单击 Microsoft Intune 刀片中的客户端应用程序,然后单击客户端应用程序刀片中的应用程序。

4. 单击右上角菜单选项中的 + 添加 链接。此时将显示“添加应用程序配置”刀片。

5. 为应用类型选择 托管 Google Play

这增加了管理 Google Play 搜索和批准刀片,如果你已经配置了 Android Enterprise.

6. 搜索 Citrix SSO 应用并从应用列表中选择它。

本地化后的图片

注意: 如果 Citrix SSO 未显示在列表中,则表示该应用在您的国家/地区不可用。

7. 单击 批准 以批准 Citrix SSO 通过托管 Google Play 商店进行部署。

将列出 Citrix SSO 应用程序所需的权限。

8. 单击 批准 以批准部署应用程序。

9. 单击“同步”以将此选择与 Intune 同步。

Citrix SSO 应用程序将添加到客户端应用程序列表中。如果添加了多个应用程序,则可能需要搜索 Citrix SSO 应用程序。

10. 单击 Citrix SSO 应用以 打开应用详细信息刀片。

11. 单击详细信息刀片中的 任务Citrix SSO-分配 刀片出现.

本地化后的图片

12. 单击“添加组”以分配要向其授予安装 Citrix SSO 应用权限的用户组,然后单击“保存”。

13. 关闭 Citrix SSO 应用详细信息刀片。

将添加并启用 Citrix SSO 应用程序,以便将其部署到您的用户。

为 Citrix SSO 应用配置托管应用策略

添加 Citrix SSO 应用程序后,必须为 Citrix SSO 应用程序创建托管配置策略,以便可以将 VPN 配置文件部署到设备上的 Citrix SSO 应用程序。

1. 在 Azure 门户中打开 Intune 刀片。

2. 从 Intune 刀片打开客户端应用程序刀片。

3. 从客户端 应用程序刀片中选择应用程序配置策 略项,然后单击 添加 以打开 添加配置策略 刀片。

4. 输入策略的名称并为其添加描述。

5. 在“设备注册类型”中,选择“托管设备”。

6. 在 平台中,选择 Android

这将为关联的应用程序添加另一个配置选项。

7. 单击 关联的应用程序 ,然后选择 Citrix SSO 应用程序。

如果你有很多应用程序,你可能需要搜索它。

8. 单击确定。添加配置策略叶片中添加了配置设置选项。

9. 点击 配置 设置。

此时将显示用于配置 Citrix SSO 应用的刀片。

10. 在“配置设置”中,选择“使用配置设计器”或“输入 JSON 数据”来配置 Citrix SSO 应用程序。

本地化后的图片

注意: 对于简单的 VPN 配置,建议使用配置设计器。

使用用户配置设计器的 VPN 配置

1. 在“配置设置”中,选择“使用配置设计器”,然后单击“添加”。

将显示一个键值输入屏幕,用于配置 Citrix SSO 应用程序支持的各种属性。 至少必须配置 服务器地址VPN 配置文件名称 属性。您可以将鼠标悬停在 描述 部分以获取有关每个属性的详细信息。

2. 例如,选择 VPN 配置文件名称服务器地址 (*) 属性,然后单 击确定

这会将属性添加到配置设计器中。您可以配置以下属性。

  • VPN 配置文件名称。键入 VPN 配置文件的名称。如果要创建多个 VPN 配置文件,请为每个配置文件使用唯一的名称。如果不提供名称,则您在“服务器地址”字段中输入的地址将用作 VPN 配置文件名称。

  • 服务器地址 (*)。键入您的 Citrix Gateway 基础 FQDN。如果 Citrix Gateway 端口不是 443,请键入您的端口。使用 URL 格式。例如 https://vpn.mycompany.com:8443

  • 用户名(可选)。输入最终用户用于对 Citrix Gateway 进行身份验证的用户名。如果 Gateway 已配置为使用 Intune 配置值令牌 ,则可以为此字段使用该值令牌(请参阅配置值令牌)。如果不提供用户名,系统会提示用户在连接到 Citrix Gateway 时提供用户名。

  • 密码(可选)。输入最终用户用于对 Citrix Gateway 进行身份验证的密码。如果不提供密码,系统会提示用户在连接到 Citrix Gateway 时提供密码。

  • 证书别名(可选)。在 Android 密钥库中提供用于客户端证书身份验证的证书别名。如果您使用的是基于证书的身份验证,则会为用户预先选择此证书。

  • 每个应用程序 VPN 类型(可选)。如果您使用 PerApp VPN 来限制哪些应用程序使用此 VPN,则可以配置此设置。

    • 如果选择“允许”,则 PerAppVPN 应用程序列表中列出的应用程序包名称的网络流量将通过 VPN 路由。所有其他应用程序的网络流量都会在 VPN 外部进行路由。
    • 如果选择“禁止”,则 PerAppVPN 应用程序列表中列出的应用程序包名称的网络流量将在 VPN 之外路由。所有其他应用程序的网络流量都通过 VPN 路由。默认设置为允许。
  • PerAppVPN 应用程序列表。VPN 上允许或禁止其流量的应用程序列表,具体取决于 PerApp VPN 类型的值。列出以逗号或分号分隔的应用程序包的名称。应用程序包名称区分大小写,并且必须以与 Google Play 应用商店中完全一致的显示方式显示在此列表中。此列表是可选的。将此列表保留为空,以便预配设备范围的 VPN。
  • 默认 VPN 配置文件。为 Citrix SSO 应用配置始终在线 VPN 时使用的 VPN 配置文件名称。 如果此字段为空,则主配置文件将用于连接。如果只配置了一个配置文件,则将其标记为默认 VPN 配置文件。

本地化后的图片

注意:

  • 若要在 Intune 中使 Citrix SSO 应用程序成为永远在线 VPN 应用程序,请使用 VPN 提供商作为自定义,并使用 COM.CitrixVPN 作为应用程序包名称。

  • Citrix SSO 应用程序始终在线 VPN 仅支持基于证书的客户端身份验证。

  • 管理员必须在 Citrix Gateway 的 SSL 配置 文件或 SSL 中选择 客户端份验证 ,并将客户端证书设置为强制,以便 SSO 应用按预期工作。

  • 禁用用户配置文件
    • 如果将此值设置为 true,则用户无法在其设备上添加新的 VPN 配置文件。
    • 如果将此值设置为 false,则用户可以在其设备上添加自己的 VPN。

    默认值为 false。

  • 阻止不受信任的服务器
    • 为 Citrix Gateway 使用自签名证书时,或颁发 Citrix Gateway 证书的 CA 的根证书不在系统 CA 列表中时,请将此值设为 false。
    • 将此值设置为 true 以启用 Android 操作系统验证 Citrix Gateway 证书。如果验证失败,则不允许连接。

    默认值为 true。

3. 对于 服务器地址 (*) 属性,请输入您的 Gateway 基本 URL(例如,https://vpn.mycompany.com )。

4. 对于 VPN 配置文件名称,请在 Citrix SSO 应用程序的主屏幕(例如,我的企业 VPN)中输入对最终用户可见的名称。

5. 您可以根据 Citrix Gateway 部署添加和配置其他属性。完成配置后,单 击确定

6. 点击 权限 部分。在本节中,您可以授予 Citrix SSO 应用所需的权限。

  • 如果您使用的是 Intune NAC 检查,Citrix SSO 应用程序要求您授予电话状态(读取)权限。单击 添加 按钮以打开权限刀片。目前,Intune 显示可供所有应用程序使用的权限的重要列表。

  • 如果您使用的是 Intune NAC 检查,请选择电话状态(读取)权限,然后单击确定。这将其添加到应用程序的权限列表中。 选择“提示”或“自动授予”,以便 Intune NAC 检查可以工作,然后单击“确定”。

本地化后的图片

7. 单击应用配置策略刀片底部的“添加”以保存 Citrix SSO 应用的托管配置。

8.单击应用程序配置策略刀片中的任务以打开 任务 刀片。

9. 选择要为其传递和应用此 Citrix SSO 配置的用户组。

通过输入 JSON 数据进行 VPN 配置

1. 在“配置设置”中,选择“输入 JSON 数据以配置 Citrix SSO 应用程序”。

2. 使用“下载 JSON 模板”按钮下载允许为 Citrix SSO 应用程序提供更详细/复杂配置的模板。 此模板是一组 JSON 键值对,用于配置 Citrix SSO 应用程序理解的所有可能属性。

有关可配置的所有可用属性的列表,请参阅用于在 Citrix SSO 应用程序中配置 VPN 配置文件的可用属性

3. 创建 JSON 配置文件后,将其内容复制并粘贴到编辑区域中。例如,以下是上面使用配置设计器选项创建的基本配置的 JSON 模板。

本地化后的图片

这完成了在 Microsoft Intune Android Enterprise 环境中配置和部署 Citrix SSO 应用的 VPN 配置文件的过程。

重要提示: 用于基于客户端证书的身份验证的证书通常使用 Intune SCEP 配置文件进行部署。应在 Citrix SSO 应用的托管配置的“证书别名”属性中配置此证书的别名。

用于在 Citrix SSO 应用程序中配置 VPN 配置文件的可用属性

配置密钥 JSON 字段名称 值类型 说明
VPN 配置文件名称 VPNProfileName 文本 VPN 配置文件的名称(如果未将默认设置为服务器地址)。
服务器地址(*) ServerAddress URL 连接的 Citrix Gateway 的基本 URL (https://host[:port])。这是必填字段。
用户名(可选) 用户名 文本 用于使用 Citrix Gateway 进行身份验证的用户名(可选)。
密码(可选) 密码 文本 用于使用 Citrix Gateway 进行身份验证的用户密码(可选)。
证书别名(可选) ClientCertAlias 文本 安装在 Android 凭据存储中的用于基于证书的客户端身份验证的客户端证书别名(可选)。
PerApp VPN 类型(可选) PerAppVPN_Allow_Disallow_Setting 枚举(允许,不允许) 列出的应用程序是否允许(白名单)或禁止(黑名单)使用 VPN 隧道。如果设置为“允许”,则只允许列出的应用程序(在 PerAppVPN 应用程序列表属性中)通过 VPN 进行隧道。如果设置为“禁 ”,则允许除列出的应用以外的所有应用程序通过 VPN 进行隧道。如果未列出任何应用程序,则允许所有应用程序通过 VPN 进行隧道。
PerAppVPN 应用程序列表 PerAppName_Appnames 文本 每个应用 VPN 的应用程序包名称的逗号 (、) 或分号 (;) 分隔列表。软件包名称必须与 Google Play 商店应用列表页面 URL 中显示的完全相同。软件包名称区分大小写。
默认 VPN 配置文件 DefaultProfileName 文本 系统启动 VPN 服务时要使用的 VPN 配置文件的名称。此设置用于识别在设备上配置始终在线 VPN 时要使用的 VPN 配置文件。
禁用用户配置文件 DisableUserProfiles 布尔值 允许或不允许最终用户手动创建 VPN 配置文件的属性。将此值设置为 true 可禁用用户创建 VPN 配置文件。默认值为 false。
阻止不受信任的服务器 BlockUntrustedServers 布尔值 用于确定与不受信任网关的连接(例如,使用自签名证书或颁发 CA 时不受 Android 操作系统信任)是否被阻止? 默认值为 true(阻止与不受信任网关的连接)。
自定义参数(可选) CustomParameters 列表 Citrix SSO 应用程序支持的自定义参数列表(可选)。 有关详细信息,请参阅自定义参数。查看 Citrix Gateway 文档以获取可用的选项。
其他 VPN 配置文件的列表 bundle_profiles 列表 附加 VPN 配置文件列表。支持每个配置文件的上述大多数值。有关详细信息,请参阅 支持的属性列表

自定义参数

必须使用以下键值名称定义每个自定义参数。

值类型
ParameterName 文本 自定义参数的名称。
ParameterValue 文本 自定义参数的值。

VPN 配置文件列表中每个 VPN 的支持属性

使用 JSON 模板配置多个 VPN 配置文件时,每个 VPN 配置文件都支持以下属性。

配置密钥 JSON 字段名称 值类型
VPN 配置文件名称 bundle_VPNProfileName 文本
服务器地址(*) bundle_ServerAddress URL
用户名 bundle_Username 文本
密码 bundle_Password 文本
客户 bundle_ClientCertAlias 文本
每个应用程序 VPN 类型 bundle_PerAppVPN_Allow_Disallow_Setting 枚举(允许,不允许)
PerAppVPN 应用程序列表 bundle_PerAppVPN_Appnames 文本
自定义参数 bundle_CustomParameters 列表
在 Intune Android Enterprise 环境中设置 Citrix SSO 应用程序