-
-
-
-
-
设置 NetScaler Gateway 以便在 Microsoft Endpoint Manager 中使用 Micro VPN
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
设置 NetScaler Gateway 以便在 Microsoft Endpoint Manager 中使用 Micro VPN
Citrix Micro VPN 与 Microsoft Endpoint Management 集成使您的应用程序能够访问本地资源。有关详细信息,请参阅 Citrix micro VPN 与 Microsoft Endpoint Manager 的集成。
系统要求
- NetScaler Gateway 版本
- 13.1
- 13.0
- 12.1.50.x 或更高版本
- 12.0.59.x 或更高版本
您可以从 NetScaler Gateway 下载页面下载最新版本的 NetScaler Gateway。
-
运行 Windows 7 或更高版本的 Windows 桌面(仅适用于 Android 应用程序打包)
- Microsoft
- Azure AD 访问权限(具有租户管理权限)
- 启用了 Intune 的租户
- 防火墙规则
- 为从 NetScaler Gateway 子网 IP 到
*.manage.microsoft.com、https://login.microsoftonline.com和https://graph.windows.net(端口 443)的 SSL 流量启用防火墙规则 - NetScaler Gateway 必须能够从外部解析上述 URL。
- 为从 NetScaler Gateway 子网 IP 到
必备条件
-
Intune 环境: 如果您没有 Intune 环境,请设置一个。有关说明,请参阅 Microsoft 文档。
-
Edge 浏览器应用程序: Micro VPN SDK 集成在适用于 iOS 和 Android 的 Microsoft Edge 应用程序和 Intune Managed Browser 应用程序中。有关 Managed Browser 的详细信息,请参阅 Microsoft Managed Browser 页面。
-
Citrix Endpoint Management 权限:确保拥有有效的 Citrix Endpoint Management 权限,以便在 Microsoft Edge 移动浏览器(iOS 和 Android)上继续支持 micro VPN SDK。有关详细信息,请联系您的销售、客户或合作伙伴代表。
授予 Azure Active Directory (AAD) 应用程序权限
-
同意 Citrix 多租户 AAD 应用程序以允许 NetScaler Gateway 使用 AAD 域进行身份验证。Azure 全局管理员必须访问以下 URL 并征得同意:
-
同意 Citrix 多租户 AAD 应用程序以允许移动应用程序使用 NetScaler Gateway 微型 VPN 进行身份验证。仅当 Azure 全局管理员将默认值更改为“用户可以注册应用程序”从“是”更改为“否”时,才需要此链接。 此设置可以在 Azure 门户中的 Azure Active Directory > 用户 > 用户设置下找到。 Azure 全局管理员必须访问以下 URL 并征得同意(添加 租户 ID) https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7。
为微型 VPN 配置 NetScaler Gateway
要将 Micro VPN 与 Intune 结合使用,必须将 NetScaler Gateway 配置为对 Azure AD 进行身份验证。现有的 NetScaler Gateway 虚拟服务器不适用于此用例。 首先,将 Azure AD 配置为与本地 Active Directory 同步。此步骤对于确保 Intune 与 NetScaler Gateway 之间正确进行身份验证是必要的。
下载脚本:.zip 文件包含自述文件,其中包含实现脚本的说明。您需要手动输入脚本所需的信息,然后在 NetScaler Gateway 上运行脚本来配置服务。您可以从 NetScaler 下载页面下载脚本文件。
重要: 完成 NetScaler Gateway 配置后,如果看到 OAuth 状态而不是完成,请参阅故障排除部分。
配置 Microsoft Edge 浏览器
- 登录到 https://endpoint.microsoft.com/,然后导航到 Intune > 移动应用程序。
- 像往常一样发布 Edge 应用程序,然后添加应用程序配置策略。
- 在管理下,单击应用程序配置策略。
- 单击添加,然后为要创建的策略输入名称。在 设备注册类型中,选择 托管应用程序。
- 单击 关联应用程序。
- 选择要应用策略的应用程序(Microsoft Edge 或 Intune Managed Browser),然后单击“确定”。
- 单击配置设置。
- 在 名称 字段中,输入下表中列出的策略之一的名称。
- 在值字段中,输入要为该策略应用的值。单击该字段以将策略添加到列表中。可以添加多个策略。
- 单击确定,然后单击添加。
该策略将添加到您的策略列表中。
|名称 (iOS/Android)|值|说明|
|—|—|—|
|MvpnGatewayAddress|https://external.companyname.com|NetScaler Gateway 的外部 URL|
|MvpnNetworkAccess|MvpnNetworkAccessTunneledWebSSO 或 Unrestricted|MvpnNetworkAccessTunneledWebSSO 是通道的默认设置|
|MvpnExcludeDomains|要排除的域名的逗号分隔列表|可选。默认值 = 空白|
|TunnelExcludeDomains|使用此客户端属性可覆盖默认的排除域列表。Default=app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com|
注意: Web SSO 是设置中 Secure Browse 的名称。该行为是相同的。
-
MvpnNetworkAccess - MvpnNetworkAccessTunneledWebSSO 通过 NetScaler Gateway(也称为通道 Web SSO)启用 HTTP/HTTPS 重定向。网关内联响应 HTTP 身份验证质询,提供单点登录 (SSO) 体验。要使用 Web SSO,请将此策略设置为 MvpnNetworkAccessTunneledWebSSO。当前不支持全通道重定向。使用“不受限制”可关闭微型 VPN 通道。
-
MvpnExcludeDomains -要排除通过 NetScaler Gateway 反向 Web 代理路由的主机或域名的逗号分隔列表。即使 NetScaler Gateway 配置的拆分 DNS 设置可能会选择域或主机,也会排除主机或域名。
注意:
-
此策略仅适用于 MvpnNetworkAccessTunneledWebSSO 连接。如果设置
MvpnNetworkAccess为“不受限制”,则忽略此策略。 -
此策略仅适用于配置为反向拆分通道的 NetScaler Gateway 的通道-Web SSO 模式。
-
-
TunnelExcludeDomains - 默认情况下,MDX 会将某些服务端点排除在 Micro VPN 通道之外。移动应用程序 SDK 和应用程序使用这些服务端点来实现各种功能。例如,服务端点包括不需要通过企业网络进行路由的服务,例如 Google Analytics、Citrix Cloud 服务和 Active Directory 服务。使用此客户端属性可覆盖默认的排除域列表。
要配置此全局客户机策略,请在 Microsoft Endpoint Management 控制台上导航到“设置”>“客户端属性”,添加自定义密钥 TUNNEL_EXCLUDE_DOMAINS,然后设置该值。
值:要使用要从通道中排除的域替换默认列表,请键入以逗号分隔的域后缀列表。要在通道中包括所有域,请键入 none。默认值:
app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com
故障排除
常规问题
| 问题 | 解决方案 |
|---|---|
| 打开应用程序时,将显示“需要添加策略”消息 | 在 Microsoft Graph API 中添加策略 |
| 存在策略冲突 | 每个应用程序只允许使用一个策略 |
| 打包应用程序时会出现“无法打包应用程序”消息。有关完整消息,请参阅下表 | 该应用程序已与 Intune SDK 集成在一起。您不需要用 Intune 包装应用程序 |
| 您的应用无法连接到内部资源 | 确保打开了正确的防火墙端口、更正了租户 ID 等 |
无法打包应用程序错误消息:
无法打包应用程序。com.microsoft.intune.mam.apppackager.utils.AppPackagerException: 此应用程序已集成 MAM SDK。 com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113) com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198) com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56) 不能打包此应用程序。
NetScaler Gateway 问题
| 问题 | 解决方案 |
|---|---|
| 为 Azure 上的网关应用程序配置所需的权限不可用。 | 检查是否有适当的 Intune 许可证可用。尝试使用 manage.windowsazure.com 门户来查看是否可以添加权限。如果问题仍然存在,请与 Microsoft 支持部门联系。 |
NetScaler Gateway 无法访问 login.microsoftonline.com and graph.windows.net。 |
从 NS Shell,检查您是否能够访问以下 Microsoft 网站:cURL -v -k https://login.microsoftonline.com。然后,检查是否在 NetScaler Gateway 上配置了 DNS。还要检查防火墙设置是否正确(如果 DNS 请求被防火墙处理)。 |
| 配置 OAuthAction 后,ns.log 中会出现错误。 | 检查 Intune 许可是否已启用,以及 Azure 网关应用程序是否设置了适当的权限。 |
| Sh OAuthAction 命令不会显示 OAuth 状态为完成。 | 检查 Azure Gateway 应用程序的 DNS 设置和配置权限。 |
| Android 或 iOS 设备不显示双重身份验证提示。 | 检查双重设备 ID 登录架构是否绑定到身份验证虚拟服务器。 |
NetScaler Gateway OAuth 状态和错误情况
| 状态 | 错误情况 |
|---|---|
| AADFORGRAPH | 密钥无效、URL 未解析、连接超时 |
| MDMINFO |
*manage.microsoft.com已关闭或无法访问 |
| GRAPH | 图形端点已关闭,无法访问 |
| CERTFETCH | 由于 DNS 错误,无法与“令牌端点:https://login.microsoftonline.com”对话。要验证此配置,请转到 shell 并键入 cURL https://login.microsoftonline.com。此命令必须验证。 |
注意: 当 OAuth 状态成功时,状态将显示为“完成”。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.