Citrix Virtual Apps and Desktops

Considérations de redirection USB générique et de lecteur client

La technologie HDX offre une prise en charge optimisée pour la plupart des périphériques USB populaires, La prise en charge optimisée offre une meilleure expérience utilisateur avec de meilleures performances et une bande passante plus efficace via un réseau étendu. La prise en charge optimisée est généralement la meilleure option, notamment dans les environnements à latence élevée ou avec des exigences de sécurité strictes.

La technologie HDX offre la redirection USB générique pour les périphériques spécialisés dont la prise en charge n’est pas optimisée ou n’est pas adaptée, par exemple :

  • Le périphérique USB est doté d’autres fonctionnalités avancées ne faisant pas partie de la prise en charge optimisée, telles qu’une souris ou une webcam avec des boutons supplémentaires.
  • Les utilisateurs ont besoin de fonctionnalités qui ne font pas partie de la prise en charge optimisée.
  • Le périphérique USB est un périphérique spécialisé, tel qu’un équipement de test et de mesure ou un contrôleur industriel.
  • Une application requiert un accès direct au périphérique USB.
  • Un seul pilote Windows est disponible pour le périphérique USB. Par exemple, un lecteur de carte à puce peut ne pas avoir de pilote pour l’application Citrix Workspace pour Android.
  • La version de l’application Citrix Workspace n’offre pas de prise en charge optimisée pour ce type de périphérique USB.

Avec la redirection USB générique :

  • Il n’est pas nécessaire pour les utilisateurs d’installer des pilotes de périphériques sur la machine utilisateur.
  • Les pilotes clients USB sont installés sur la machine VDA.

Important :

  • La redirection USB générique peut être utilisée conjointement avec la prise en charge optimisée. Si vous activez la redirection USB générique, configurez les paramètres de stratégie des périphériques USB Citrix pour la redirection USB générique et la prise en charge optimisée.
  • Le paramètre de stratégie Citrix Règles d’optimisation de périphérique USB client est un paramètre spécifique pour la redirection USB générique, pour un périphérique USB spécifique. Il ne s’applique pas à la prise en charge optimisée comme indiqué ici.

Considérations sur les performances pour les périphériques USB

Lors de l’utilisation de la redirection USB générique avec certains types de périphériques USB, la latence et la bande passante réseau peuvent affecter l’expérience utilisateur et le fonctionnement du périphérique USB. Par exemple, les périphériques soumis à des contraintes de temps risquent de ne pas fonctionner correctement avec des liens à faible bande passante et latence élevée. Utilisez la prise en charge optimisée autant que possible.

Certains périphériques USB requièrent une bande passante élevée pour être utilisables, par exemple une souris 3D (utilisée avec des applications 3D qui requièrent également une bande passante élevée en général). Si la bande passante ne peut pas être augmentée, vous pouvez peut-être limiter le problème en optimisant l’utilisation de la bande passante des autres composants à l’aide des paramètres de stratégie de bande passante. Pour de plus amples informations, consultez la section Paramètres de stratégie de bande passante pour la redirection de périphérique USB client et Paramètres de stratégie Connexions Multi-Stream.

Considérations sur la sécurité pour les périphériques USB

Certains périphériques USB sont sécurisés par nature, par exemple, les lecteurs de carte à puce, les lecteurs d’empreintes digitales et les dispositifs de signature numérique. D’autres périphériques USB tels que les périphériques de stockage USB peuvent être utilisés pour transmettre des données qui peuvent être confidentielles.

Important :

N’utilisez pas la redirection USB générique pour les lecteurs de carte à puce. Cette fonctionnalité est désactivée par défaut pour les lecteurs de carte à puce et n’est pas compatible si elle est activée.

Les périphériques USB sont souvent utilisés pour distribuer des logiciels malveillants. La configuration de l’application Citrix Workspace et de Citrix Virtual Apps and Desktops peut réduire, mais pas éliminer, le risque lié à ces périphériques USB, que vous utilisiez la redirection USB générique ou la prise en charge optimisée.

Important :

Pour les périphériques et les données sensibles, sécurisez toujours la connexion HDX à l’aide de TLS ou d’IPsec.

Activez uniquement la prise en charge pour les périphériques USB dont vous avez besoin. Configurez à la fois la redirection USB générique et la prise en charge optimisée pour répondre à ce besoin.

Fournir des conseils aux utilisateurs pour une utilisation sûre des périphériques USB :

  • Utiliser uniquement des périphériques USB provenant d’une source fiable.
  • Ne pas laisser les périphériques USB sans surveillance dans des environnements ouverts - par exemple, un lecteur flash dans un cybercafé.
  • Expliquer les risques liés à l’utilisation d’un périphérique USB sur plusieurs ordinateurs.

Compatibilité avec la redirection USB générique

La redirection USB générique est prise en charge pour les périphériques USB 2.0 et versions antérieures. La redirection USB générique est également prise en charge pour les périphériques USB 3.0 connectés à un port USB 2.0 ou USB 3.0. La redirection USB générique ne prend pas en charge les fonctionnalités USB introduites dans USB 3.0, telles que la vitesse.

Ces applications Citrix Workspace prennent en charge la redirection USB générique :

Pour les versions de l’application Citrix Workspace, reportez-vous au tableau des fonctionnalités de l’application Citrix Workspace.

Si vous utilisez des versions antérieures de l’application Citrix Workspace, reportez-vous à la documentation relative à l’application Citrix Workspace afin de vérifier que la redirection USB générique est prise en charge. Reportez-vous à la documentation de l’application Citrix Workspace pour connaître les restrictions sur les types de périphériques USB qui sont pris en charge.

La redirection USB générique est prise en charge pour les sessions de bureau à compter de VDA pour OS mono-session version 7.6 jusqu’à la version actuelle.

La redirection USB générique est prise en charge pour les sessions de bureau à compter de VDA pour OS multi-session version 7.6 jusqu’à la version actuelle, avec les restrictions suivantes :

  • Le VDA doit exécuter Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 ou Windows Server 2022.
  • Les pilotes de périphérique USB doivent être entièrement compatibles avec Remote Desktop Session Host (RDSH) pour l’OS de VDA (Windows 2012 R2), y compris la prise en charge complète de la virtualisation.

Certains types de périphériques USB ne sont pas pris en charge pour la redirection USB générique, car il n’est pas nécessaire de les rediriger :

  • Modems USB.
  • Cartes réseau USB.
  • Concentrateurs USB. Les périphériques USB connectés à des concentrateurs USB sont gérés individuellement.
  • Ports COM virtuels USB. Utilisez la redirection du port COM, plutôt que la redirection USB générique.

Pour de plus amples informations sur les périphériques USB qui ont été testés avec la redirection USB générique, veuillez consulter l’article Citrix Ready Marketplace.. Certains périphériques USB ne fonctionnent pas correctement avec la redirection USB générique.

Configurer la redirection USB générique

Vous pouvez contrôler, et configurer séparément, les types de périphériques USB qui utilisent la redirection USB générique :

  • Sur le VDA, à l’aide des paramètres de stratégie Citrix. Pour de plus amples informations, consultez la section Redirection des lecteurs clients et de machines utilisateur et Paramètres de stratégie Périphériques USB dans la section Référence des paramètres de stratégie
  • Dans l’application Citrix Workspace, à l’aide de mécanismes liés à l’application Citrix Workspace. À titre d’exemple, un modèle d’administration peut contrôler les paramètres de registre qui configurent l’application Citrix Workspace pour Windows. Par défaut, la redirection USB est autorisée pour certaines classes de périphériques USB et refusée pour d’autres. Pour plus d’informations, consultez la section Configurer dans la documentation de l’application Citrix Workspace pour Windows.

Cette configuration séparée fournit une plus grande flexibilité. Par exemple :

  • Si deux organisations ou services distincts sont responsables de l’application Citrix Workspace et du VDA, elles peuvent appliquer le contrôle séparément. Cette configuration s’applique lorsqu’un utilisateur d’une organisation accède à une application située dans une autre organisation.
  • Les paramètres de stratégie Citrix peuvent contrôler les périphériques USB qui sont autorisés pour certains utilisateurs ou pour les utilisateurs se connectant uniquement via un réseau local (plutôt qu’avec Citrix Gateway).

Activer la redirection USB générique

Pour activer la redirection USB générique et ne pas nécessiter de redirection manuelle par l’utilisateur, configurez les paramètres de stratégie Citrix et les préférences de connexion de l’application Citrix Workspace.

Dans les paramètres de stratégie Citrix :

  1. Ajoutez Redirection de périphérique USB client à une stratégie et définissez sa valeur sur Autorisé.

    Image de redirection de périphérique USB client

  2. (Facultatif). Pour mettre à jour la liste des périphériques USB disponibles pour la redirection, ajoutez le paramètre Règles de redirection de périphérique USB client à une stratégie et spécifiez les règles de stratégie USB.

    Une fois les paramètres de stratégie définis, dans l’application Citrix Workspace :

  3. Spécifiez que les périphériques sont connectés automatiquement sans redirection manuelle. Vous pouvez effectuer cette opération à l’aide d’un modèle d’administration ou dans Application Citrix Workspace pour Windows > Préférences > Connexions.

    Image de Connexions

Si vous avez spécifié des règles de stratégie USB pour le VDA à l’étape précédente, spécifiez les mêmes règles de stratégie pour l’application Citrix Workspace.

pour les clients légers, consultez le fabricant pour obtenir des détails sur la prise en charge USB et sur la configuration requise.

Configuration des types de périphériques USB disponibles pour la redirection USB générique

Les périphériques USB sont automatiquement redirigés lorsque la prise en charge USB est activée et que les paramètres de préférences de l’utilisateur USB sont définis pour la connexion automatique aux périphériques USB. Les périphériques USB sont également automatiquement redirigés lorsque la barre de connexion est absente.

Les utilisateurs peuvent rediriger explicitement les périphériques qui ne sont pas automatiquement redirigés en les sélectionnant dans la liste des périphériques USB. Pour plus d’informations, consultez l’article de l’application Citrix Workspace pour Windows, Afficher vos périphériques dans Desktop Viewer.

Image des appareils

Pour utiliser la redirection USB générique plutôt que la prise en charge optimisée, vous pouvez :

  • Dans l’application Citrix Workspace, sélectionnez manuellement le périphérique USB qui devra utiliser la redirection USB générique et choisissez Basculer en mode générique dans l’onglet Périphériques de la boîte de dialogue Préférences.
  • Sélectionnez automatiquement le périphérique USB qui devra utiliser la redirection USB générique en configurant la redirection automatique pour le type de périphérique USB (par exemple, AutoRedirectStorage=1), et définissez les paramètres de préférences de l’utilisateur sur la connexion automatique aux périphériques USB. Pour de plus amples informations, consultez la section Configurer la redirection automatique des périphériques USB sur le site de support de Citrix.

Remarque :

Configurez la redirection USB générique pour une utilisation avec une webcam uniquement si la webcam n’est pas compatible avec la redirection multimédia HDX.

Pour empêcher les périphériques USB d’être répertoriés ou redirigés, vous pouvez spécifier des règles de périphérique pour l’application Citrix Workspace et le VDA.

Pour la redirection USB générique, vous devez connaître au moins la classe et la sous-classe du périphérique USB. Tous les périphériques USB n’utilisent pas nécessairement une classe et une sous-classe de périphérique USB logiques. Par exemple :

  • Les stylets utilisent la classe de périphérique de la souris.
  • Les lecteurs de carte à puce peuvent utiliser la classe de périphérique définie par le fournisseur ou HID.

Pour un contrôle plus précis, vous avez également besoin de connaître l’ID du fournisseur, l’ID du produit et l’ID de version. Vous pouvez obtenir ces informations auprès du fabricant du périphérique.

Important :

Les périphériques USB malveillants peuvent présenter des caractéristiques de périphérique USB qui ne correspondent pas à l’utilisation prévue. Les règles de périphérique ne permettent pas d’empêcher ce comportement.

Vous pouvez contrôler les périphériques USB disponibles pour la redirection USB générique en spécifiant des règles de redirection de périphérique USB qui remplaceront les règles de stratégie USB par défaut.

Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) :

  • Dans la plupart des cas, téléchargez le MSI de la console de gestion des stratégies de groupe Citrix (CitrixGroupPolicyManagement_x64.msi) et installez-le dans votre système Active Directory, puis gérez les stratégies de groupe AD. (N’installez pas le MSI sur un VDA.)

  • Pour l’application Citrix Workspace pour Windows, modifiez le registre de la machine utilisateur. Un modèle administratif (fichier ADM) est inclus dans le support d’installation pour vous permettre d’effectuer des modifications sur la machine utilisateur via une stratégie de groupe Active Directory : dvd root \os\lang\Support\Configuration\icaclient_usb.adm

Citrix Virtual Apps and Desktops sur site :

  • Pour le VDA, modifiez les règles de remplacement de l’administrateur pour les machines avec OS multi-session à l’aide de règles de stratégie de groupe. La console de gestion des stratégies de groupe est incluse sur le support d’installation :
    • x64 : dvd root \os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi
    • x86 : dvd root \os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
  • Pour l’application Citrix Workspace pour Windows, modifiez le registre de la machine utilisateur. Un modèle administratif (fichier ADM) est inclus dans le support d’installation pour vous permettre d’effectuer des modifications sur la machine utilisateur via une stratégie de groupe Active Directory : dvd root \os\lang\Support\Configuration\icaclient_usb.adm

Avertissement :

Toute utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller le système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de l’Éditeur du Registre. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.

Les règles par défaut du produit sont stockées dans HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB. ne modifiez pas les règles par défaut du produit. Au lieu de cela, utilisez-les pour créer des règles de remplacement de l’administrateur comme expliqué plus loin dans cet article. Les règles de remplacement d’objets de stratégie de groupe de substitution sont évaluées avant les règles par défaut du produit.

Les règles de remplacement de l’administrateur sont stockées dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Les règles de stratégies GPO sont au format {Allow:|Deny:} et sont suivies d’un ensemble d’expressions tag=value (balise=valeur) séparées par des espaces.

Les balises suivantes sont prises en charge :

Balise Description
VID ID fournisseur du descripteur de périphérique
PID ID de produit du descripteur de périphérique
REL ID de version du descripteur de périphérique
Classe Classe du descripteur de périphérique ou d’un descripteur d’interface ; veuillez consulter le site Web USB sur http://www.usb.org/ pour les codes de classe USB disponibles
Sous-classe Sous-classe du descripteur de périphérique ou d’un descripteur d’interface
Prot Protocole à partir du descripteur de périphérique ou d’un descripteur d’interface

Lors de la création de règles de stratégies, tenez compte de ce qui suit.

  • Les règles ne sont pas sensibles à la casse.
  • Les règles peuvent éventuellement comporter un commentaire, introduit par #, à la fin. Aucun délimiteur n’est requis et le commentaire est ignoré en cas de correspondance.
  • Les espaces vides et les lignes de commentaires pures sont ignorés.
  • L’espace est utilisé comme séparateur, mais il ne peut pas apparaître au milieu d’un nombre ou d’un identificateur. Par exemple, Deny: Class = 08 SubClass=05 est une règle valide, mais Deny: Class=0 Sub Class=05 ne l’est pas.
  • Les balises doivent utiliser l’opérateur de correspondance =. Par exemple, VID=1230.
  • Chaque règle doit commencer sur une nouvelle ligne ou faire partie d’une liste séparée par des points-virgules.

Remarque :

Si vous utilisez le fichier modèle ADM, vous devez créer des règles sur une seule ligne sous forme de liste séparée par des points-virgules.

Exemples :

  • Cet exemple illustre une règle de stratégie USB définie par l’administrateur pour des identificateurs de fabricant et de produit :

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • Cet exemple illustre une règle de stratégie USB définie par l’administrateur pour une classe, une sous-classe et un protocole définis :

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

Utiliser et supprimer des périphériques USB

Les utilisateurs peuvent se connecter un périphérique USB avant ou après le démarrage d’une session virtuelle.

Lors de l’utilisation de l’application Citrix Workspace pour Windows, ce qui suit s’applique :

  • Les périphériques connectés après démarrage d’une session apparaissent immédiatement dans le menu USB de Desktop Viewer.
  • Si un périphérique USB n’est pas correctement redirigé, vous pouvez essayer de résoudre le problème en attendant que la session virtuelle ait démarré avant de connecter le périphérique.
  • Pour éviter la perte de données, utilisez l’icône « Retirer le périphérique en toute sécurité » Windows avant de supprimer le périphérique USB.

Contrôles de sécurité pour les périphériques de stockage de masse USB

Une prise en charge optimisée est fournie pour les périphériques de stockage de masse USB. Elle fait partie du mappage des lecteurs clients Citrix Virtual Apps and Desktops. Les lecteurs de la machine utilisateur sont automatiquement mappés vers les lettres de lecteur sur le bureau virtuel lorsque les utilisateurs ouvrent une session. Les lecteurs sont affichés sous la forme de dossiers partagés associés à des lettres de lecteur mappé. Pour configurer le mappage de lecteur client, utilisez le paramètre Lecteurs amovibles clients. Ce paramètre se trouve dans la section Paramètres de stratégie de la redirection de fichier des paramètres de stratégie ICA.

Avec les périphériques de stockage de masse USB, vous pouvez utiliser le mappage de lecteurs clients ou la redirection USB générique, ou les deux. Vous pourrez contrôler ces fonctions à l’aide de stratégies Citrix. Les principales différences sont les suivantes :

Fonctionnalité Mappage des lecteurs clients Redirection USB générique
Activée par défaut Oui Non
Accès en lecture seule configurable Oui Non
Accès chiffré au périphérique Oui, si le cryptage est déverrouillé avant l’accès au périphérique Oui
Appareils BitLocker To Go Non Non
Le périphérique peut être retiré en toute sécurité au cours d’une session Non Oui, étant donné que les utilisateurs suivent les recommandations du système d’exploitation pour un retrait en toute sécurité.

Si la redirection USB générique et les stratégies de mappage de lecteurs clients sont activées, alors lorsqu’un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il est redirigé à l’aide du mappage de lecteur client. Lorsque la redirection USB générique et les stratégies de mappage de lecteurs clients sont activées et qu’un périphérique est configuré pour une redirection automatique et un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il sera redirigé à l’aide d’USB générique. Pour plus d’informations, consultez l’article CTX123015 du centre de connaissances.

Remarque :

La redirection USB est prise en charge sur les connexions de bande passante faible, par exemple de 50 Kbps. Toutefois, la copie de fichiers volumineux ne fonctionnera pas

Contrôler l’accès aux fichiers avec le mappage de lecteurs clients

Vous pouvez contrôler si les utilisateurs peuvent copier des fichiers à partir de leurs environnements virtuels vers leurs machines utilisateur. Par défaut, les fichiers et dossiers sur les lecteurs clients mappés sont disponibles en mode de lecture/écriture au sein de la session.

Pour empêcher les utilisateurs d’ajouter ou de modifier des fichiers et dossiers sur les lecteurs clients mappés, activez le paramètre de stratégie Accès en lecture unique sur le lecteur client. Lorsque vous ajoutez ce paramètre à une stratégie, vérifiez que le paramètre “Redirection de lecteur client” est défini sur Autorisé et ajouté à la stratégie.