Redirection USB générique et considérations relatives aux lecteurs clients
La technologie HDX™ offre un support optimisé pour la plupart des périphériques USB courants. Le support optimisé offre une expérience utilisateur améliorée avec de meilleures performances et une meilleure efficacité de la bande passante sur un réseau étendu (WAN). Le support optimisé est généralement la meilleure option, en particulier dans les environnements à latence élevée ou sensibles à la sécurité.
La technologie HDX fournit une redirection USB générique pour les périphériques spécialisés qui ne bénéficient pas d’un support optimisé ou pour lesquels ce support est inadapté, par exemple :
- Le périphérique USB possède des fonctionnalités plus avancées qui ne font pas partie du support optimisé, comme une souris ou une webcam ayant plus de boutons.
- Les utilisateurs ont besoin de fonctions qui ne font pas partie du support optimisé.
- Le périphérique USB est un périphérique spécialisé, tel qu’un équipement de test et de mesure ou un contrôleur industriel.
- Une application nécessite un accès direct au périphérique en tant que périphérique USB.
- Le périphérique USB ne dispose que d’un pilote Windows. Par exemple, un lecteur de carte à puce peut ne pas avoir de pilote disponible pour l’application Citrix Workspace™ pour Android.
- La version de l’application Citrix Workspace n’offre aucun support optimisé pour ce type de périphérique USB.
Avec la redirection USB générique :
- Les utilisateurs n’ont pas besoin d’installer de pilotes de périphérique sur le périphérique utilisateur.
- Les pilotes clients USB sont installés sur la machine VDA.
Important :
- La redirection USB générique peut être utilisée conjointement avec le support optimisé. Si vous activez la redirection USB générique, configurez les paramètres de stratégie des périphériques USB de Citrix pour la redirection USB générique et le support optimisé.
- Le paramètre de stratégie Citrix dans Règles d’optimisation des périphériques USB clients est un paramètre spécifique à la redirection USB générique, pour un périphérique USB particulier. Il ne s’applique pas au support optimisé tel que décrit ici.
- Lors de la négociation d’une session à l’aide du logiciel Citrix® vers une machine virtuelle Azure, Citrix fournit un support « best effort » pour la redirection USB vers la machine virtuelle Azure. Nous prenons en charge la résolution d’un problème logiciel Citrix, mais nous ne prenons pas en charge la machine virtuelle Azure sous-jacente.
- Les périphériques CD/DVD avec capacités de gravure de disque peuvent être redirigés, mais les capacités de gravure de ces périphériques ne peuvent pas être utilisées. Cela est dû aux limites de la mémoire tampon d’une session.
Considérations relatives aux performances des périphériques USB
La latence du réseau et la bande passante peuvent affecter l’expérience utilisateur et le fonctionnement des périphériques USB lors de l’utilisation de la redirection USB générique pour certains types de périphériques USB. Par exemple, les périphériques sensibles au temps peuvent ne pas fonctionner correctement sur des liaisons à faible bande passante et à latence élevée. Utilisez le support optimisé lorsque cela est possible.
Certains périphériques USB nécessitent une bande passante élevée pour être utilisables, par exemple une souris 3D (utilisée avec des applications 3D qui nécessitent également généralement une bande passante élevée). Si la bande passante ne peut pas être augmentée, vous pourrez peut-être atténuer le problème en ajustant l’utilisation de la bande passante d’autres composants à l’aide des paramètres de stratégie de bande passante. Pour plus d’informations, consultez les paramètres de stratégie de bande passante pour la redirection des périphériques USB clients et les paramètres de stratégie de connexion multi-flux.
Considérations relatives à la sécurité des périphériques USB
Certains périphériques USB sont sensibles à la sécurité par nature, par exemple, les lecteurs de carte à puce, les lecteurs d’empreintes digitales et les tablettes de signature. D’autres périphériques USB, tels que les périphériques de stockage USB, peuvent être utilisés pour transmettre des données potentiellement sensibles.
Les périphériques USB sont souvent utilisés pour distribuer des logiciels malveillants. La configuration de l’application Citrix Workspace et de Citrix Virtual Apps and Desktops™ peut réduire, mais pas éliminer, les risques liés à ces périphériques USB. Cette situation s’applique que la redirection USB générique ou le support optimisé soit utilisé.
Important :
Pour les périphériques et les données sensibles à la sécurité, sécurisez toujours la connexion HDX à l’aide de TLS ou d’IPsec.
Activez uniquement le support pour les périphériques USB dont vous avez besoin. Configurez la redirection USB générique et le support optimisé pour répondre à ce besoin.
Fournissez des conseils aux utilisateurs pour une utilisation sûre des périphériques USB :
- Utilisez uniquement des périphériques USB obtenus auprès d’une source fiable.
- Ne laissez pas les périphériques USB sans surveillance dans des environnements ouverts, par exemple, une clé USB dans un cybercafé.
- Expliquez les risques liés à l’utilisation d’un périphérique USB sur plusieurs ordinateurs.
Compatibilité avec la redirection USB générique
La redirection USB générique est prise en charge pour les périphériques USB 2.0 et antérieurs. La redirection USB générique est également prise en charge pour les périphériques USB 3.0 connectés à un port USB 2.0 ou USB 3.0. La redirection USB générique ne prend pas en charge les fonctionnalités USB introduites dans l’USB 3.0, telles que le SuperSpeed.
Ces applications Citrix Workspace prennent en charge la redirection USB générique :
- Application Citrix Workspace pour Windows, consultez Configuration de la distribution d’applications.
- Application Citrix Workspace pour Mac, consultez Application Citrix Workspace pour Mac.
- Application Citrix Workspace pour Linux, consultez Optimiser.
- Application Citrix Workspace pour Chrome OS, consultez Application Citrix Workspace pour Chrome.
Pour les versions de l’application Citrix Workspace, consultez la matrice des fonctionnalités de l’application Citrix Workspace.
Si vous utilisez des versions antérieures de l’application Citrix Workspace, consultez la documentation de l’application Citrix Workspace pour confirmer que la redirection USB générique est prise en charge. Consultez la documentation de l’application Citrix Workspace pour toute restriction sur les types de périphériques USB pris en charge.
La redirection USB générique est prise en charge pour les sessions de bureau à partir de VDA pour OS mono-session version 7.6 jusqu’à la version actuelle.
La redirection USB générique est prise en charge pour les sessions de bureau à partir de VDA pour OS multi-session version 7.6 jusqu’à la version actuelle, avec ces restrictions :
- Le VDA doit exécuter Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 ou Windows Server 2022.
- Les pilotes de périphérique USB doivent être entièrement compatibles avec Remote Desktop Session Host (RDSH) pour le système d’exploitation VDA (Windows 2012 R2), y compris le support complet de la virtualisation.
Certains types de périphériques USB ne sont pas pris en charge pour la redirection USB générique car il ne serait pas utile de les rediriger :
- Modems USB.
- Adaptateurs réseau USB.
- Concentrateurs USB. Les périphériques USB connectés aux concentrateurs USB sont traités individuellement.
- Ports COM virtuels USB. Utilisez la redirection de port COM plutôt que la redirection USB générique.
Pour plus d’informations sur les périphériques USB qui ont été testés avec la redirection USB générique, consultez le Citrix Ready Marketplace. Certains périphériques USB ne fonctionnent pas correctement avec la redirection USB générique.
Configurer la redirection USB générique
Vous pouvez contrôler et configurer séparément les types de périphériques USB qui utilisent la redirection USB générique :
- Sur le VDA, à l’aide des paramètres de stratégie Citrix. Pour plus d’informations, consultez Redirection des lecteurs clients et des périphériques utilisateur et Paramètres de stratégie des périphériques USB dans la référence des paramètres de stratégie.
- Dans l’application Citrix Workspace, à l’aide de mécanismes dépendants de l’application Citrix Workspace. Par exemple, un modèle d’administration contrôle les paramètres de registre qui configurent l’application Citrix Workspace pour Windows. Par défaut, la redirection USB est autorisée pour certaines classes de périphériques USB et refusée pour d’autres. Pour plus d’informations, consultez Configurer dans la documentation de l’application Citrix Workspace pour Windows.
Cette configuration distincte offre une flexibilité. Par exemple :
- Si deux organisations ou services différents sont responsables de l’application Citrix Workspace et du VDA, ils peuvent appliquer un contrôle séparément. Cette configuration s’applique lorsqu’un utilisateur d’une organisation accède à une application dans une autre organisation.
- Les paramètres de stratégie Citrix peuvent contrôler les périphériques USB autorisés uniquement pour certains utilisateurs ou pour les utilisateurs se connectant uniquement via un réseau local (plutôt qu’en utilisant Citrix Gateway).
Activer la redirection USB générique
Pour activer la redirection USB générique et ne pas exiger de redirection manuelle de la part de l’utilisateur, configurez à la fois les paramètres de stratégie Citrix et les préférences de connexion de l’application Citrix Workspace.
Dans les paramètres de stratégie Citrix :
-
Ajoutez la Redirection des périphériques USB clients à une stratégie et définissez sa valeur sur Autorisé.
-
(Facultatif) Pour mettre à jour la liste des périphériques USB disponibles pour la redirection, ajoutez le paramètre Règles de redirection des périphériques USB clients à une stratégie et spécifiez les règles de stratégie USB.
Dans l’application Citrix Workspace :
-
Spécifiez que les périphériques sont connectés automatiquement sans redirection manuelle. Vous pouvez le faire à l’aide d’un modèle d’administration ou dans l’application Citrix Workspace pour Windows > Préférences > Connexions.
Si vous avez spécifié des règles de stratégie USB pour le VDA à l’étape précédente, spécifiez les mêmes règles de stratégie pour l’application Citrix Workspace.
Pour les clients légers, consultez le fabricant pour obtenir des détails sur la prise en charge USB et toute configuration requise.
Configuration des types de périphériques USB disponibles pour la redirection USB générique
Les périphériques USB sont automatiquement redirigés lorsque la prise en charge USB est activée et que les paramètres de préférence utilisateur USB sont configurés pour connecter automatiquement les périphériques USB. Les périphériques USB sont également automatiquement redirigés lorsque la barre de connexion n’est pas présente.
Les utilisateurs peuvent rediriger explicitement les périphériques qui ne sont pas automatiquement redirigés en les sélectionnant dans la liste des périphériques USB. Pour plus d’informations, consultez l’article d’aide utilisateur de l’application Citrix Workspace pour Windows, Afficher vos périphériques dans Desktop Viewer.
Pour utiliser la redirection USB générique plutôt qu’un support optimisé, vous pouvez :
- Dans l’application Citrix Workspace, sélectionnez manuellement le périphérique USB à utiliser pour la redirection USB générique, choisissez Basculer vers générique dans l’onglet Périphériques de la boîte de dialogue Préférences.
- Sélectionnez automatiquement le périphérique USB à utiliser pour la redirection USB générique, en configurant la redirection automatique pour le type de périphérique USB (par exemple, AutoRedirectStorage=1) et définissez les paramètres de préférence utilisateur USB pour connecter automatiquement les périphériques USB. Pour plus d’informations, consultez Configurer la redirection automatique des périphériques USB.
Remarque :
Ne configurez la redirection USB générique pour une utilisation avec une webcam que si la webcam s’avère incompatible avec la redirection multimédia HDX.
Pour empêcher que les périphériques USB ne soient jamais listés ou redirigés, vous pouvez spécifier des règles de périphérique pour l’application Citrix Workspace et le VDA.
Pour la redirection USB générique, vous devez connaître au moins la classe et la sous-classe du périphérique USB. Tous les périphériques USB n’utilisent pas leur classe et sous-classe de périphérique USB évidentes. Par exemple :
- Les stylos utilisent la classe de périphérique de la souris.
- Les lecteurs de carte à puce peuvent utiliser la classe de périphérique définie par le fournisseur ou HID.
Pour un contrôle plus précis, vous devez connaître l’ID du fournisseur, l’ID du produit et l’ID de version. Vous pouvez obtenir ces informations auprès du fournisseur du périphérique.
Important :
Les périphériques USB malveillants peuvent présenter des caractéristiques de périphérique USB qui ne correspondent pas à leur utilisation prévue. Les règles de périphérique ne sont pas destinées à empêcher ce comportement.
Vous contrôlez les périphériques USB disponibles pour la redirection USB générique en spécifiant des règles de redirection de périphérique USB pour le VDA et l’application Citrix Workspace, afin de remplacer les règles de stratégie USB par défaut.
Pour le VDA :
- Modifiez les règles de remplacement de l’administrateur pour les machines de système d’exploitation multi-session via les règles de stratégie de groupe. La Console de gestion des stratégies de groupe est incluse sur le support d’installation :
- Pour x64 : racine du DVD \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- Pour x86 : racine du DVD \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
Dans l’application Citrix Workspace pour Windows :
- Modifiez le registre du périphérique utilisateur. Un modèle administratif (fichier ADM) est inclus sur le support d’installation afin que vous puissiez modifier le périphérique utilisateur via la stratégie de groupe Active Directory : racine du DVD \os\lang\Support\Configuration\icaclient_usb.adm
Avertissement :
Toute modification incorrecte du registre peut entraîner de graves problèmes qui pourraient vous obliger à réinstaller votre système d’exploitation. Citrix ne peut garantir que les problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre puissent être résolus. Utilisez l’Éditeur du Registre à vos propres risques. Assurez-vous de sauvegarder le registre avant de le modifier.
Les règles par défaut du produit sont stockées dans HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules. Ne modifiez pas ces règles par défaut du produit. Utilisez-les plutôt comme guide pour la création de règles de remplacement de l’administrateur, ce qui est expliqué plus loin dans cet article. Les remplacements GPO sont évalués avant les règles par défaut du produit.
Les règles de remplacement de l’administrateur sont stockées dans HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Les règles de stratégie GPO prennent le format {Allow:|Deny:} suivi d’un ensemble d’expressions balise=valeur séparées par des espaces.
Les balises suivantes sont prises en charge :
| Balise | Description |
|---|---|
| VID | ID du fournisseur à partir du descripteur de périphérique |
| PID | ID du produit à partir du descripteur de périphérique |
| REL | ID de version à partir du descripteur de périphérique |
| Class | Classe à partir du descripteur de périphérique ou d’un descripteur d’interface ; consultez le site Web USB à l’adresse http://www.usb.org/ pour les codes de classe USB disponibles |
| SubClass | Sous-classe à partir du descripteur de périphérique ou d’un descripteur d’interface |
| Prot | Protocole à partir du descripteur de périphérique ou d’un descripteur d’interface |
Lors de la création de règles de stratégie, notez ce qui suit :
- Les règles ne sont pas sensibles à la casse.
- Les règles peuvent avoir un commentaire facultatif à la fin, introduit par
#. Un délimiteur n’est pas requis et le commentaire est ignoré à des fins de correspondance. - Les lignes vides et les lignes de commentaire pures sont ignorées.
- Les espaces sont utilisés comme séparateur, mais ne peuvent pas apparaître au milieu d’un nombre ou d’un identifiant. Par exemple, Deny: Class = 08 SubClass=05 est une règle valide, mais Deny: Class=0 Sub Class=05 ne l’est pas.
- Les balises doivent utiliser l’opérateur de correspondance =. Par exemple, VID=1230.
- Chaque règle doit commencer sur une nouvelle ligne ou faire partie d’une liste séparée par des points-virgules.
Remarque :
Si vous utilisez le fichier de modèle ADM, vous devez créer des règles sur une seule ligne, sous forme de liste séparée par des points-virgules.
Exemples :
-
L’exemple suivant montre une règle de stratégie USB définie par l’administrateur pour les identifiants de fournisseur et de produit :
Allow: VID=046D PID=C626 # Autoriser la souris 3D Logitech SpaceNavigator Deny: VID=046D # Refuser tous les produits Logitech -
L’exemple suivant montre une règle de stratégie USB définie par l’administrateur pour une classe, une sous-classe et un protocole définis :
Deny: Class=EF SubClass=01 Prot=01 # Refuser les périphériques MS Active Sync Allow: Class=EF SubClass=01 # Autoriser les périphériques de synchronisation Allow: Class=EF # Autoriser tous les périphériques USB divers
Utiliser et retirer des périphériques USB
Les utilisateurs peuvent connecter un périphérique USB avant ou après le démarrage d’une session virtuelle.
Lorsque vous utilisez l’application Citrix Workspace pour Windows, les éléments suivants s’appliquent :
- Les périphériques connectés après le début d’une session apparaissent immédiatement dans le menu USB de Desktop Viewer.
- Si un périphérique USB n’est pas redirigé correctement, vous pouvez essayer de résoudre le problème en attendant de connecter le périphérique après le démarrage de la session virtuelle.
- Pour éviter toute perte de données, utilisez l’icône Windows « Retirer le périphérique en toute sécurité » avant de retirer le périphérique USB.
Contrôles de sécurité pour les périphériques de stockage de masse USB
Un support optimisé est fourni pour les périphériques de stockage de masse USB. Ce support fait partie du mappage de lecteur client de Citrix Virtual Apps and Desktops. Les lecteurs sur le périphérique utilisateur sont automatiquement mappés aux lettres de lecteur sur le bureau virtuel lorsque les utilisateurs se connectent. Les lecteurs sont affichés comme des dossiers partagés ayant des lettres de lecteur mappées. Pour configurer le mappage de lecteur client, utilisez le paramètre Lecteurs amovibles clients. Ce paramètre se trouve dans la section Paramètres de stratégie de redirection de fichiers des paramètres de stratégie ICA.
Avec les périphériques de stockage de masse USB, vous pouvez utiliser le mappage de lecteur client ou la redirection USB générique, ou les deux. Contrôlez-les à l’aide des stratégies Citrix. Les principales différences sont :
| Fonctionnalité | Mappage de lecteur client | Redirection USB générique |
|---|---|---|
| Activé par défaut | Oui | Non |
| Accès en lecture seule configurable | Oui | Non |
| Accès aux périphériques chiffrés | Oui, si le chiffrement est déverrouillé avant l’accès au périphérique | Oui |
| Périphériques BitLocker To Go | Non | Non |
| Suppression sécurisée du périphérique pendant une session | Non | Oui, à condition que les utilisateurs suivent les recommandations du système d’exploitation pour un retrait sécurisé |
Si les stratégies de redirection USB générique et de mappage de lecteur client sont toutes deux activées et qu’un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il est redirigé à l’aide du mappage de lecteur client. Lorsque les stratégies de redirection USB générique et de mappage de lecteur client sont toutes deux activées, qu’un périphérique est configuré pour la redirection automatique et qu’un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il est redirigé à l’aide de la redirection USB générique. Pour plus d’informations, consultez l’article du Knowledge Center CTX123015.
Remarque :
La redirection USB est prise en charge sur des connexions à faible bande passante, par exemple 50 Kbit/s. Cependant, la copie de fichiers volumineux ne fonctionne pas.
Dans cet article
- Considérations relatives aux performances des périphériques USB
- Considérations relatives à la sécurité des périphériques USB
- Compatibilité avec la redirection USB générique
- Configurer la redirection USB générique
- Activer la redirection USB générique
- Configuration des types de périphériques USB disponibles pour la redirection USB générique
- Utiliser et retirer des périphériques USB
- Contrôles de sécurité pour les périphériques de stockage de masse USB