Redirection USB générique et considérations relatives aux lecteurs clients
La technologie HDX™ offre un support optimisé pour la plupart des périphériques USB courants. Le support optimisé offre une expérience utilisateur améliorée avec de meilleures performances et une meilleure efficacité de la bande passante sur un WAN. Le support optimisé est généralement la meilleure option, en particulier dans les environnements à latence élevée ou sensibles à la sécurité.
La technologie HDX fournit une redirection USB générique pour les périphériques spécialisés qui ne bénéficient pas d’un support optimisé ou pour lesquels il est inadapté, par exemple :
- Le périphérique USB possède des fonctionnalités plus avancées qui ne font pas partie du support optimisé, comme une souris ou une webcam ayant plus de boutons.
- Les utilisateurs ont besoin de fonctions qui ne font pas partie du support optimisé.
- Le périphérique USB est un appareil spécialisé, tel qu’un équipement de test et de mesure ou un contrôleur industriel.
- Une application nécessite un accès direct au périphérique en tant que périphérique USB.
- Le périphérique USB ne dispose que d’un pilote Windows. Par exemple, un lecteur de carte à puce pourrait ne pas avoir de pilote disponible pour l’application Citrix Workspace™ pour Android.
- La version de l’application Citrix Workspace ne fournit aucun support optimisé pour ce type de périphérique USB.
Avec la redirection USB générique :
- Les utilisateurs n’ont pas besoin d’installer de pilotes de périphérique sur le périphérique utilisateur.
- Les pilotes clients USB sont installés sur la machine VDA.
Important :
- La redirection USB générique peut être utilisée avec le support optimisé. Si vous activez la redirection USB générique, configurez les paramètres de stratégie des périphériques USB de Citrix pour la redirection USB générique et le support optimisé.
- Le paramètre de stratégie Citrix dans Règles d’optimisation des périphériques USB clients est un paramètre spécifique à la redirection USB générique, pour un périphérique USB particulier. Il ne s’applique pas au support optimisé tel que décrit ici.
Considérations relatives aux performances des périphériques USB
La latence du réseau et la bande passante peuvent affecter l’expérience utilisateur et le fonctionnement des périphériques USB lors de l’utilisation de la redirection USB générique pour certains types de périphériques USB. Par exemple, les périphériques sensibles au temps peuvent ne pas fonctionner correctement sur des liaisons à latence élevée et à faible bande passante. Utilisez plutôt la prise en charge optimisée lorsque cela est possible.
Certains périphériques USB nécessitent une bande passante élevée pour être utilisables, par exemple une souris 3D (utilisée avec des applications 3D qui nécessitent également généralement une bande passante élevée). Si la bande passante ne peut pas être augmentée, vous pouvez atténuer le problème en ajustant l’utilisation de la bande passante d’autres composants à l’aide des paramètres de stratégie de bande passante. Pour plus d’informations, consultez Paramètres de stratégie de bande passante pour la redirection de périphériques USB clients et Paramètres de stratégie de connexion multi-flux.
Considérations de sécurité pour les périphériques USB
Certains périphériques USB sont sensibles à la sécurité par nature, par exemple, les lecteurs de carte à puce, les lecteurs d’empreintes digitales et les tablettes de signature. D’autres périphériques USB, tels que les périphériques de stockage USB, peuvent être utilisés pour transmettre des données potentiellement sensibles.
Les périphériques USB sont souvent utilisés pour distribuer des logiciels malveillants. La configuration de Citrix Workspace app et de Citrix Virtual Apps and Desktops™ peut réduire, mais pas éliminer, les risques liés à ces périphériques USB. Cette situation s’applique que la redirection USB générique ou la prise en charge optimisée soit utilisée.
Important :
Pour les périphériques et les données sensibles à la sécurité, sécurisez toujours la connexion HDX à l’aide de TLS ou d’IPsec.
Activez uniquement la prise en charge des périphériques USB dont vous avez besoin. Configurez la redirection USB générique et la prise en charge optimisée pour répondre à ce besoin.
Fournissez des conseils aux utilisateurs pour une utilisation sûre des périphériques USB :
- Utilisez uniquement des périphériques USB obtenus auprès d’une source fiable.
- Ne laissez pas les périphériques USB sans surveillance dans des environnements ouverts, par exemple, une clé USB dans un cybercafé.
- Expliquez les risques liés à l’utilisation d’un périphérique USB sur plusieurs ordinateurs.
Compatibilité avec la redirection USB générique
La redirection USB générique est prise en charge pour les périphériques USB 2.0 et antérieurs. La redirection USB générique est également prise en charge pour les périphériques USB 3.0 connectés à un port USB 2.0 ou USB 3.0. La redirection USB générique ne prend pas en charge les fonctionnalités USB introduites dans l’USB 3.0, telles que le SuperSpeed.
Les applications Citrix Workspace suivantes prennent en charge la redirection USB générique :
- Application Citrix Workspace pour Windows, consultez Configuration de la distribution d’applications.
- Application Citrix Workspace pour Mac, consultez Application Citrix Workspace pour Mac.
- Application Citrix Workspace pour Linux, consultez Optimiser.
- Application Citrix Workspace pour Chrome OS, consultez Application Citrix Workspace pour Chrome.
Pour les versions de l’application Citrix Workspace, consultez la matrice des fonctionnalités de l’application Citrix Workspace.
Si vous utilisez des versions antérieures de l’application Citrix Workspace, consultez la documentation de l’application Citrix Workspace pour confirmer que la redirection USB générique est prise en charge. Consultez la documentation de l’application Citrix Workspace pour connaître les restrictions éventuelles sur les types de périphériques USB pris en charge.
La redirection USB générique est prise en charge pour les sessions de bureau à partir du VDA pour OS mono-session, de la version 7.6 à la version actuelle.
La redirection USB générique est prise en charge pour les sessions de bureau à partir du VDA pour OS multi-session, de la version 7.6 à la version actuelle, avec les restrictions suivantes :
- Le VDA doit exécuter Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 ou Windows Server 2022.
- Les pilotes de périphériques USB doivent être entièrement compatibles avec l’hôte de session Bureau à distance (RDSH) pour le système d’exploitation du VDA (Windows 2012 R2), y compris la prise en charge complète de la virtualisation.
Certains types de périphériques USB ne sont pas pris en charge pour la redirection USB générique car il ne serait pas utile de les rediriger :
- Modems USB.
- Adaptateurs réseau USB.
- Concentrateurs USB. Les périphériques USB connectés aux concentrateurs USB sont gérés individuellement.
- Ports COM virtuels USB. Utilisez la redirection de port COM plutôt que la redirection USB générique.
Pour plus d’informations sur les périphériques USB qui ont été testés avec la redirection USB générique, consultez le Citrix Ready Marketplace. Certains périphériques USB ne fonctionnent pas correctement avec la redirection USB générique.
Configurer la redirection USB générique
Vous pouvez contrôler et configurer séparément les types de périphériques USB qui utilisent la redirection USB générique :
- Sur le VDA, à l’aide des paramètres de stratégie Citrix. Pour plus d’informations, consultez Redirection des lecteurs clients et des périphériques utilisateur et Paramètres de stratégie des périphériques USB dans la référence des paramètres de stratégie.
- Dans l’application Citrix Workspace, à l’aide de mécanismes dépendants de l’application Citrix Workspace. Par exemple, un modèle d’administration contrôle les paramètres de registre qui configurent l’application Citrix Workspace pour Windows. Par défaut, la redirection USB est autorisée pour certaines classes de périphériques USB et refusée pour d’autres. Pour plus d’informations, consultez Configurer dans la documentation de l’application Citrix Workspace pour Windows.
Cette configuration séparée offre une flexibilité. Par exemple :
- Si deux organisations ou services différents sont responsables de l’application Citrix Workspace et du VDA, ils peuvent appliquer le contrôle séparément. Cette configuration s’applique lorsqu’un utilisateur d’une organisation accède à une application d’une autre organisation.
- Les paramètres de stratégie Citrix peuvent contrôler les périphériques USB qui sont autorisés uniquement pour certains utilisateurs ou pour les utilisateurs se connectant uniquement via un réseau local (plutôt qu’en utilisant Citrix Gateway).
Activer la redirection USB générique
Pour activer la redirection USB générique et ne pas exiger de redirection manuelle par l’utilisateur, configurez à la fois les paramètres de stratégie Citrix et les préférences de connexion de l’application Citrix Workspace.
Dans les paramètres de stratégie Citrix :
-
Ajoutez la Redirection de périphérique USB client à une stratégie et définissez sa valeur sur Autorisé.
-
(Facultatif) Pour mettre à jour la liste des périphériques USB disponibles pour la redirection, ajoutez le paramètre Règles de redirection de périphérique USB client à une stratégie et spécifiez les règles de stratégie USB.
Une fois les paramètres de stratégie configurés, dans l’application Citrix Workspace :
-
Spécifiez que les périphériques sont connectés automatiquement sans redirection manuelle. Vous pouvez le faire à l’aide d’un modèle d’administration ou dans l’application Citrix Workspace pour Windows > Préférences > Connexions.
Si vous avez spécifié les règles de stratégie USB pour le VDA à l’étape précédente, spécifiez ces mêmes règles de stratégie pour l’application Citrix Workspace.
Pour les clients légers, consultez le fabricant pour obtenir des détails sur la prise en charge USB et toute configuration requise.
Configuration des types de périphériques USB disponibles pour la redirection USB générique
Les périphériques USB sont automatiquement redirigés lorsque la prise en charge USB est activée et que les paramètres de préférence utilisateur USB sont configurés pour connecter automatiquement les périphériques USB. Les périphériques USB sont également automatiquement redirigés lorsque la barre de connexion n’est pas présente.
Les utilisateurs peuvent rediriger explicitement les périphériques qui ne sont pas automatiquement redirigés en les sélectionnant dans la liste des périphériques USB. Pour plus d’informations, consultez l’article d’aide utilisateur de l’application Citrix Workspace pour Windows, Afficher vos périphériques dans Desktop Viewer.
Pour utiliser la redirection USB générique plutôt que la prise en charge optimisée, vous pouvez :
- Dans l’application Citrix Workspace, sélectionnez manuellement le périphérique USB pour utiliser la redirection USB générique, choisissez Basculer vers générique dans l’onglet Périphériques de la boîte de dialogue Préférences.
- Sélectionnez automatiquement le périphérique USB pour utiliser la redirection USB générique, en configurant la redirection automatique pour le type de périphérique USB (par exemple, AutoRedirectStorage=1) et définissez les paramètres de préférence utilisateur USB pour connecter automatiquement les périphériques USB. Pour plus d’informations, consultez Configurer la redirection automatique des périphériques USB.
Remarque :
Ne configurez la redirection USB générique pour une webcam que si la webcam s’avère incompatible avec la redirection multimédia HDX.
Pour empêcher les périphériques USB d’être listés ou redirigés, vous pouvez spécifier des règles de périphérique pour l’application Citrix Workspace et le VDA.
Pour la redirection USB générique, vous devez connaître au moins la classe et la sous-classe du périphérique USB. Tous les périphériques USB n’utilisent pas leur classe et sous-classe de périphérique USB évidentes. Par exemple :
- Les stylos utilisent la classe de périphérique de souris.
- Les lecteurs de carte à puce peuvent utiliser la classe de périphérique définie par le fournisseur ou HID.
Pour un contrôle plus précis, vous devez connaître l’ID du fournisseur, l’ID du produit et l’ID de version. Vous pouvez obtenir ces informations auprès du fournisseur du périphérique.
Important :
Les périphériques USB malveillants peuvent présenter des caractéristiques de périphérique USB qui ne correspondent pas à leur utilisation prévue. Les règles de périphérique ne sont pas destinées à empêcher ce comportement.
Vous contrôlez les périphériques USB disponibles pour la redirection USB générique en spécifiant des règles de redirection de périphérique USB, afin de remplacer les règles de stratégie USB par défaut.
Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops) :
-
Dans la plupart des cas, téléchargez le MSI de la console de gestion des stratégies de groupe Citrix (
CitrixGroupPolicyManagement_x64.msi) et installez-le dans votre système Active Directory, puis gérez les stratégies de groupe AD. (N’installez pas le MSI sur un VDA.) -
Pour Citrix Workspace app pour Windows, modifiez le registre du périphérique utilisateur. Un modèle d’administration (fichier ADM) est inclus sur le support d’installation afin que vous puissiez modifier le périphérique utilisateur via la stratégie de groupe Active Directory : racine du DVD
\os\lang\Support\Configuration\icaclient_usb.adm
Citrix Virtual Apps and Desktops sur site :
- Pour le VDA, modifiez les règles de remplacement de l’administrateur pour les machines OS multi-session via les règles de stratégie de groupe. La console de gestion des stratégies de groupe est incluse sur le support d’installation :
- x64 : racine du DVD
\os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi - x86 : racine du DVD
\os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
- x64 : racine du DVD
- Pour Citrix Workspace app pour Windows, modifiez le registre du périphérique utilisateur. Un modèle d’administration (fichier ADM) est inclus sur le support d’installation afin que vous puissiez modifier le périphérique utilisateur via la stratégie de groupe Active Directory : racine du DVD
\os\lang\Support\Configuration\icaclient_usb.adm
Avertissement :
Toute modification incorrecte du registre peut entraîner de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Citrix ne peut garantir que les problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre puissent être résolus. Utilisez l’Éditeur du Registre à vos propres risques. Veillez à sauvegarder le registre avant de le modifier.
Les règles par défaut du produit sont stockées dans HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB. Ne modifiez pas ces règles par défaut du produit. Utilisez-les plutôt comme guide pour créer des règles de remplacement d’administrateur, ce qui est expliqué plus loin dans cet article. Les remplacements de GPO sont évalués avant les règles par défaut du produit.
Les règles de remplacement d’administrateur sont stockées dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Les règles de stratégie GPO prennent le format {Allow:|Deny:} suivi d’un ensemble d’expressions tag=value séparées par des espaces.
Les balises suivantes sont prises en charge :
| Balise | Description |
|---|---|
| VID | ID du fournisseur du descripteur de périphérique |
| PID | ID du produit du descripteur de périphérique |
| REL | ID de version du descripteur de périphérique |
| Classe | Classe provenant du descripteur de périphérique ou d’un descripteur d’interface ; consultez le site web USB à l’adresse http://www.usb.org/ pour les codes de classe USB disponibles |
| Sous-classe | Sous-classe provenant du descripteur de périphérique ou d’un descripteur d’interface |
| Prot | Protocole provenant du descripteur de périphérique ou d’un descripteur d’interface |
Lors de la création de règles de stratégie, notez ce qui suit :
- Les règles ne sont pas sensibles à la casse.
- Les règles peuvent avoir un commentaire facultatif à la fin, introduit par
#. Un délimiteur n’est pas requis, et le commentaire est ignoré à des fins de correspondance. - Les lignes vides et les lignes de commentaire pures sont ignorées.
- Les espaces blancs sont utilisés comme séparateur, mais ne peuvent pas apparaître au milieu d’un nombre ou d’un identifiant. Par exemple, Deny: Class = 08 SubClass=05 est une règle valide, mais Deny: Class=0 Sub Class=05 ne l’est pas.
- Les balises doivent utiliser l’opérateur de correspondance =. Par exemple, VID=1230.
- Chaque règle doit commencer sur une nouvelle ligne ou faire partie d’une liste séparée par des points-virgules.
Remarque :
- À partir de Citrix Virtual Apps and Desktops version 2212, certains périphériques USB sont désactivés pour l’utilisation de la fonctionnalité de redirection USB générique. Vous devez ajouter ces périphériques explicitement en utilisant leurs ID de fournisseur (VID) et ID de produit (PID) respectifs.
- Si vous utilisez le fichier de modèle ADM, vous devez créer des règles sur une seule ligne, sous forme de liste séparée par des points-virgules.
Exemples :
-
L’exemple suivant montre une règle de stratégie USB définie par l’administrateur pour les identifiants de fournisseur et de produit :
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products -
L’exemple suivant montre une règle de stratégie USB définie par l’administrateur pour une classe, une sous-classe et un protocole définis :
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices
Utiliser et retirer les périphériques USB
Les utilisateurs peuvent connecter un périphérique USB avant ou après le démarrage d’une session virtuelle.
Lorsque vous utilisez l’application Citrix Workspace pour Windows, les points suivants s’appliquent :
- Les périphériques connectés après le début d’une session apparaissent immédiatement dans le menu USB de Desktop Viewer.
- Si un périphérique USB ne se redirige pas correctement, vous pouvez essayer de résoudre le problème en attendant de connecter le périphérique après le démarrage de la session virtuelle.
- Pour éviter toute perte de données, utilisez l’icône Windows « Retirer le matériel en toute sécurité » avant de retirer le périphérique USB.
Contrôles de sécurité pour les périphériques de stockage de masse USB
Un support optimisé est fourni pour les périphériques de stockage de masse USB. Ce support fait partie du mappage des lecteurs clients de Citrix Virtual Apps and Desktops. Les lecteurs du périphérique utilisateur sont automatiquement mappés aux lettres de lecteur sur le bureau virtuel lorsque les utilisateurs se connectent. Les lecteurs sont affichés comme des dossiers partagés ayant des lettres de lecteur mappées. Pour configurer le mappage des lecteurs clients, utilisez le paramètre Lecteurs amovibles clients. Ce paramètre se trouve dans la section Paramètres de stratégie de redirection de fichiers des paramètres de stratégie ICA.
Avec les périphériques de stockage de masse USB, vous pouvez utiliser le mappage des lecteurs clients ou la redirection USB générique, ou les deux. Contrôlez-les à l’aide des stratégies Citrix. Les principales différences sont :
| Fonctionnalité | Mappage des lecteurs clients | Redirection USB générique |
|---|---|---|
| Activé par défaut | Oui | Non |
| Accès en lecture seule configurable | Oui | Non |
| Accès aux périphériques chiffrés | Oui, si le chiffrement est déverrouillé avant d’accéder au périphérique | Oui |
| Périphériques BitLocker To Go | Non | Non |
| Suppression sécurisée du périphérique pendant une session | Non | Oui, à condition que les utilisateurs suivent les recommandations du système d’exploitation pour un retrait sécurisé. |
Si les stratégies de redirection USB générique et de mappage de lecteur client sont toutes deux activées et qu’un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il est redirigé à l’aide du mappage de lecteur client. Lorsque les stratégies de redirection USB générique et de mappage de lecteur client sont toutes deux activées et qu’un périphérique est configuré pour la redirection automatique et qu’un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il est redirigé à l’aide de la redirection USB générique. Pour plus d’informations, consultez l’article du Centre de connaissances CTX123015.
Remarque :
La redirection USB est prise en charge sur des connexions à faible bande passante, par exemple 50 Kbit/s. Cependant, la copie de fichiers volumineux ne fonctionne pas.
Dans cet article
- Considérations relatives aux performances des périphériques USB
- Considérations de sécurité pour les périphériques USB
- Compatibilité avec la redirection USB générique
- Configurer la redirection USB générique
- Activer la redirection USB générique
- Configuration des types de périphériques USB disponibles pour la redirection USB générique
- Utiliser et retirer les périphériques USB
- Contrôles de sécurité pour les périphériques de stockage de masse USB