Gateway

设置 NetScaler Gateway 以便在 Microsoft Endpoint Manager 中使用 Micro VPN

Citrix Micro VPN 与 Microsoft Endpoint Management 集成使您的应用程序能够访问本地资源。有关详细信息,请参阅 Citrix micro VPN 与 Microsoft Endpoint Manager 的集成

系统要求

  • NetScaler Gateway 版本
    • 13.1
    • 13.0
    • 12.1.50.x 或更高版本
    • 12.0.59.x 或更高版本

    您可以从 NetScaler Gateway 下载页面下载最新版本的 NetScaler Gateway。

  • 运行 Windows 7 或更高版本的 Windows 桌面(仅适用于 Android 应用程序打包)

  • Microsoft
    • Azure AD 访问权限(具有租户管理权限)
    • 启用了 Intune 的租户
  • 防火墙规则
    • 为从 NetScaler Gateway 子网 IP 到 *.manage.microsoft.comhttps://login.microsoftonline.comhttps://graph.windows.net (端口 443)的 SSL 流量启用防火墙规则
    • NetScaler Gateway 必须能够从外部解析上述 URL。

必备条件

  • Intune 环境: 如果您没有 Intune 环境,请设置一个。有关说明,请参阅 Microsoft 文档

  • Edge 浏览器应用程序: Micro VPN SDK 集成在适用于 iOS 和 Android 的 Microsoft Edge 应用程序和 Intune Managed Browser 应用程序中。有关 Managed Browser 的详细信息,请参阅 Microsoft Managed Browser 页面

  • Citrix Endpoint Management 权限:确保拥有有效的 Citrix Endpoint Management 权限,以便在 Microsoft Edge 移动浏览器(iOS 和 Android)上继续支持 micro VPN SDK。有关详细信息,请联系您的销售、客户或合作伙伴代表。

授予 Azure Active Directory (AAD) 应用程序权限

  1. 同意 Citrix 多租户 AAD 应用程序以允许 NetScaler Gateway 使用 AAD 域进行身份验证。Azure 全局管理员必须访问以下 URL 并征得同意:

    https://login.windows.net/common/adminconsent?client_id=b6a53a76-5d50-499e-beb3-c8dbdad5c40b&redirect_uri=https://www.citrix.com&state=consent

  2. 同意 Citrix 多租户 AAD 应用程序以允许移动应用程序使用 NetScaler Gateway 微型 VPN 进行身份验证。仅当 Azure 全局管理员将默认值更改为“用户可以注册应用程序”从“是”更改为“否”时,才需要此链接。 此设置可以在 Azure 门户中的 Azure Active Directory > 用户 > 用户设置下找到。 Azure 全局管理员必须访问以下 URL 并征得同意(添加 租户 ID) https://login.microsoftonline.com/[tenant_id]/adminconsent?client_id=9215b80e-186b-43a1-8aed-9902264a5af7

为微型 VPN 配置 NetScaler Gateway

要将 Micro VPN 与 Intune 结合使用,必须将 NetScaler Gateway 配置为对 Azure AD 进行身份验证。现有的 NetScaler Gateway 虚拟服务器不适用于此用例。 首先,将 Azure AD 配置为与本地 Active Directory 同步。此步骤对于确保 Intune 与 NetScaler Gateway 之间正确进行身份验证是必要的。

下载脚本:.zip 文件包含自述文件,其中包含实现脚本的说明。您需要手动输入脚本所需的信息,然后在 NetScaler Gateway 上运行脚本来配置服务。您可以从 NetScaler 下载页面下载脚本文件。

重要: 完成 NetScaler Gateway 配置后,如果看到 OAuth 状态而不是完成,请参阅故障排除部分。

配置 Microsoft Edge 浏览器

  1. 登录到 https://endpoint.microsoft.com/,然后导航到 Intune > 移动应用程序
  2. 像往常一样发布 Edge 应用程序,然后添加应用程序配置策略。
  3. 管理下,单击应用程序配置策略
  4. 单击添加,然后为要创建的策略输入名称。在 设备注册类型中,选择 托管应用程序
  5. 单击 关联应用程序。
  6. 选择要应用策略的应用程序(Microsoft Edge 或 Intune Managed Browser),然后单击“确定”
  7. 单击配置设置
  8. 名称 字段中,输入下表中列出的策略之一的名称。
  9. 字段中,输入要为该策略应用的值。单击该字段以将策略添加到列表中。可以添加多个策略。
  10. 单击确定,然后单击添加

该策略将添加到您的策略列表中。

|名称 (iOS/Android)|值|说明| |—|—|—| |MvpnGatewayAddress|https://external.companyname.com|NetScaler Gateway 的外部 URL| |MvpnNetworkAccess|MvpnNetworkAccessTunneledWebSSO 或 Unrestricted|MvpnNetworkAccessTunneledWebSSO 是通道的默认设置| |MvpnExcludeDomains|要排除的域名的逗号分隔列表|可选。默认值 = 空白| |TunnelExcludeDomains|使用此客户端属性可覆盖默认的排除域列表。Default=app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com|

注意: Web SSO 是设置中 Secure Browse 的名称。该行为是相同的。

  • MvpnNetworkAccess - MvpnNetworkAccessTunneledWebSSO 通过 NetScaler Gateway(也称为通道 Web SSO)启用 HTTP/HTTPS 重定向。网关内联响应 HTTP 身份验证质询,提供单点登录 (SSO) 体验。要使用 Web SSO,请将此策略设置为 MvpnNetworkAccessTunneledWebSSO。当前不支持全通道重定向。使用“不受限制”可关闭微型 VPN 通道。

  • MvpnExcludeDomains -要排除通过 NetScaler Gateway 反向 Web 代理路由的主机或域名的逗号分隔列表。即使 NetScaler Gateway 配置的拆分 DNS 设置可能会选择域或主机,也会排除主机或域名。

    注意:

    • 此策略仅适用于 MvpnNetworkAccessTunneledWebSSO 连接。如果设置 MvpnNetworkAccess 为“不受限制”,则忽略此策略。

    • 此策略仅适用于配置为反向拆分通道的 NetScaler Gateway 的通道-Web SSO 模式。

  • TunnelExcludeDomains - 默认情况下,MDX 会将某些服务端点排除在 Micro VPN 通道之外。移动应用程序 SDK 和应用程序使用这些服务端点来实现各种功能。例如,服务端点包括不需要通过企业网络进行路由的服务,例如 Google Analytics、Citrix Cloud 服务和 Active Directory 服务。使用此客户端属性可覆盖默认的排除域列表。

    要配置此全局客户机策略,请在 Microsoft Endpoint Management 控制台上导航到“设置”>“客户端属性”,添加自定义密钥 TUNNEL_EXCLUDE_DOMAINS,然后设置该值。

    :要使用要从通道中排除的域替换默认列表,请键入以逗号分隔的域后缀列表。要在通道中包括所有域,请键入 none。默认值:

    app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com

故障排除

常规问题

问题 解决方案
打开应用程序时,将显示“需要添加策略”消息 在 Microsoft Graph API 中添加策略
存在策略冲突 每个应用程序只允许使用一个策略
打包应用程序时会出现“无法打包应用程序”消息。有关完整消息,请参阅下表 该应用程序已与 Intune SDK 集成在一起。您不需要用 Intune 包装应用程序
您的应用无法连接到内部资源 确保打开了正确的防火墙端口、更正了租户 ID 等

无法打包应用程序错误消息:

无法打包应用程序。com.microsoft.intune.mam.apppackager.utils.AppPackagerException: 此应用程序已集成 MAM SDK。 com.microsoft.intune.mam.apppackager.AppPackager.packageApp(AppPackager.java:113) com.microsoft.intune.mam.apppackager.PackagerMain.mainInternal(PackagerMain.java:198) com.microsoft.intune.mam.apppackager.PackagerMain.main(PackagerMain.java:56) 不能打包此应用程序。

NetScaler Gateway 问题

问题 解决方案
为 Azure 上的网关应用程序配置所需的权限不可用。 检查是否有适当的 Intune 许可证可用。尝试使用 manage.windowsazure.com 门户来查看是否可以添加权限。如果问题仍然存在,请与 Microsoft 支持部门联系。
NetScaler Gateway 无法访问 login.microsoftonline.com and graph.windows.net 从 NS Shell,检查您是否能够访问以下 Microsoft 网站:cURL -v -k https://login.microsoftonline.com。然后,检查是否在 NetScaler Gateway 上配置了 DNS。还要检查防火墙设置是否正确(如果 DNS 请求被防火墙处理)。
配置 OAuthAction 后,ns.log 中会出现错误。 检查 Intune 许可是否已启用,以及 Azure 网关应用程序是否设置了适当的权限。
Sh OAuthAction 命令不会显示 OAuth 状态为完成。 检查 Azure Gateway 应用程序的 DNS 设置和配置权限。
Android 或 iOS 设备不显示双重身份验证提示。 检查双重设备 ID 登录架构是否绑定到身份验证虚拟服务器。

NetScaler Gateway OAuth 状态和错误情况

状态 错误情况
AADFORGRAPH 密钥无效、URL 未解析、连接超时
MDMINFO *manage.microsoft.com已关闭或无法访问
GRAPH 图形端点已关闭,无法访问
CERTFETCH 由于 DNS 错误,无法与“令牌端点:https://login.microsoftonline.com”对话。要验证此配置,请转到 shell 并键入 cURL https://login.microsoftonline.com。此命令必须验证。

注意: 当 OAuth 状态成功时,状态将显示为“完成”。

设置 NetScaler Gateway 以便在 Microsoft Endpoint Manager 中使用 Micro VPN