Citrix Virtual Apps and Desktops

Sessions

La gestion de l’activité de session est critique pour offrir la meilleure expérience utilisateur possible. La perte de connectivité due à des réseaux non fiables, à des durées de latence réseau extrêmement variables ou à des limitations en termes de portée des appareils sans fil, peuvent faire naître une certaine frustration chez les utilisateurs. Le passage rapide d’un appareil à l’autre et l’accès aux mêmes applications à chaque ouverture de session est une priorité pour de nombreux travailleurs mobiles, tels que les professionnels de la santé.

Les fonctionnalités décrites dans cet article optimisent la fiabilité des sessions, réduire les désagréments, les temps d’arrêt et la perte de productivité ; à l’aide de ces fonctionnalités, les utilisateurs mobiles peuvent passer rapidement et facilement d’un périphérique à un autre.

Vous pouvez également fermer la session d’un utilisateur, déconnecter une session et configurer le pré-lancement et la persistance de session ; consultez Gérer les groupes de mise à disposition.

Fiabilité de session

La fiabilité de session maintient les sessions actives sur l’écran de l’utilisateur lorsque la connectivité au réseau est interrompue. L’utilisateur peut donc visualiser l’application jusqu’à ce que la connexion au réseau reprenne.

Cette fonction est particulièrement utile pour les utilisateurs mobiles utilisant des connexions sans fil. Par exemple, lorsqu’un utilisateur connecté via une connexion sans fil entre dans un tunnel ferroviaire, la connexion est momentanément interrompue. D’ordinaire, la session se déconnecte et disparaît de l’écran de l’utilisateur ; ce dernier est alors contraint de se reconnecter à la session déconnectée. Grâce à la fiabilité de session, la session reste active sur la machine. Pour indiquer que la connexion est interrompue, l’affichage fourni à l’utilisateur est figé et le curseur prend la forme d’un sablier jusqu’à ce que la connexion soit rétablie de l’autre côté du tunnel. L’utilisateur a toujours accès à l’affichage de l’application durant l’interruption et peut reprendre l’interaction avec l’application lorsque la connexion réseau est rétablie. La fonction de fiabilité de session permet aux utilisateurs de se reconnecter sans avoir à s’authentifier de nouveau.

Les utilisateurs de l’application Citrix Workspace ne peuvent pas remplacer le paramètre du Controller.

Vous pouvez utiliser la fonction de fiabilité de session avec le protocole TLS (Transport Layer Security). TLS crypte uniquement les données envoyées entre la machine utilisateur et Citrix Gateway.

Activez et configurez la fonction de fiabilité de session avec les paramètres de stratégie suivants :

  • Le paramètre de stratégie Connexions de fiabilité de session autorise ou interdit la fiabilité de session.
  • Le paramètre de stratégie Expiration de délai de la fiabilité de session est réglé par défaut sur 180 secondes, ou trois minutes. Même si vous pouvez étendre la durée pendant laquelle la fonction de fiabilité de session maintient une session ouverte, cette fonctionnalité est conçue pour aider l’utilisateur et le but de cette fonctionnalité est d’éviter à l’utilisateur de devoir s’authentifier à nouveau. Si vous augmentez la durée pendant laquelle une session reste ouverte, vous augmentez le risque qu’un utilisateur distrait s’éloigne de sa machine cliente. Il est alors possible que des utilisateurs non autorisés accèdent à sa session.
  • Les connexions entrantes de fiabilité de session utilisent le port 2598, à moins que vous ne changiez le numéro de port défini dans le paramètre de stratégie Numéro de port de la fiabilité de session.
  • Pour empêcher les utilisateurs de se reconnecter à des sessions interrompues sans avoir à se réauthentifier, utilisez la fonction Reconnexion automatique des clients. Vous pouvez configurer le paramètre de stratégie Authentification de la reconnexion automatique des clients pour inviter les utilisateurs à s’authentifier à nouveau lors de la reconnexion aux sessions interrompues.

Si vous utilisez la fonction de fiabilité de session et la fonction de reconnexion automatique des clients, ces fonctions agissent l’une après l’autre. La fonction de fiabilité de session ferme (ou déconnecte) la session utilisateur après la période spécifiée dans le paramètre de stratégie Expiration de délai de la fiabilité de session. Ensuite, les paramètres définis pour la fonction de reconnexion automatique des clients s’appliquent et la fonction tente d’opérer la reconnexion de l’utilisateur à la session déconnectée.

Reconnexion automatique des clients

Avec la fonction Reconnexion automatique des clients, l’application Citrix Workspace peut détecter les déconnexions de session ICA involontaires et reconnecter automatiquement les utilisateurs à leurs sessions. Lorsque cette fonctionnalité est activée sur le serveur, les utilisateurs n’ont pas besoin de se reconnecter manuellement pour continuer à travailler.

Pour les sessions d’application, l’application Citrix Workspace essaie de se reconnecter à la session jusqu’à ce que la reconnexion réussisse ou que l’utilisateur annule la tentative de reconnexion.

Pour les sessions de bureau, l’application Citrix Workspace tente de se reconnecter à la session pendant une période de temps spécifiée, à moins que la reconnexion réussisse ou que l’utilisateur annule la tentative de reconnexion. Par défaut, cette durée est de cinq minutes. Pour modifier cette période, modifiez le paramètre de registre suivant sur la machine utilisateur (où seconds est le nombre de secondes après lesquelles aucune tentative de reconnexion de la session n’est effectuée).

HKLM\Software\Citrix\ICA Client\TransportReconnectRetryMaxTimeSeconds; DWORD;<seconds>

Activez et configurez la fonction de reconnexion automatique des clients avec les paramètres de stratégie suivants :

  • Reconnexion automatique des clients : active ou désactive la reconnexion automatique par l’application Citrix Workspace après l’interruption d’une connexion.
  • Authentification de la reconnexion automatique des clients : active ou désactive l’authentification utilisateur après la reconnexion automatique.
  • Journalisation de la reconnexion automatique des clients : active ou désactive la journalisation des événements de reconnexion dans le journal d’événements. Par défaut, la journalisation est désactivée. Lorsqu’il est activé, le Journal système du ou des serveurs reçoit les informations relatives aux échecs et aux succès des tentatives de reconnexion automatique. Chaque serveur stocke des informations sur les événements de reconnexion dans son propre journal système. Le site ne fournit pas de journal combinant les événements de reconnexion de tous les serveurs.

Remarque :

La reconnexion automatique des clients sans réauthentification n’est prise en charge que pour l’authentification par mot de passe. Si vous utilisez le service d’authentification fédérée ou l’authentification par carte à puce, la reconnexion automatique des clients sans réauthentification n’est pas prise en charge. Dans ce cas, les utilisateurs sont redirigés vers l’écran de connexion.

La fonction de reconnexion automatique des clients intègre un mécanisme permettant une authentification basée sur les informations d’identification cryptées de l’utilisateur. Lorsqu’un utilisateur ouvre une session initiale, le serveur crypte et stocke les informations d’identification de l’utilisateur en mémoire. Le serveur crée et envoie un cookie contenant la clé de cryptage à l’application Citrix Workspace. L’application Citrix Workspace transmet la clé au serveur pour reconnexion. Celui-ci décrypte les informations d’identification et les transmet au système d’ouverture de session Windows pour authentification. Lorsqu’un cookie expire, l’utilisateur doit à nouveau fournir ses informations d’identification pour se reconnecter à sa session.

Si le paramètre Authentification de la reconnexion automatique des clients est sélectionné, aucun cookie n’est utilisé. Au lieu de cela, les utilisateurs voient s’afficher une boîte de dialogue leur demandant de fournir leurs informations d’identification lorsque l’application Citrix Workspace tente de se reconnecter automatiquement.

Pour une protection optimale des informations d’identification et des sessions des utilisateurs, utilisez le cryptage pour toutes les communications entre les clients et le site.

Désactivez la reconnexion automatique des clients sur l’application Citrix Workspace pour Windows en utilisant le fichier icaclient.adm. Pour de plus amples informations, consultez la documentation relative à votre version de l’application Citrix Workspace pour Windows.

Les paramètres des connexions affectent également la fonction de reconnexion automatique des clients.

  • Par défaut, la fonction Reconnexion automatique des clients est activée via les paramètres de stratégie au niveau du site, comme décrit ci-dessus. Les utilisateurs n’ont pas besoin de se réauthentifier. Toutefois, si la connexion TCP ICA d’un serveur est configurée pour réinitialiser les sessions dont une liaison de communication a été interrompue, la reconnexion automatique n’a pas lieu. La fonction de reconnexion automatique des clients fonctionne uniquement si le serveur déconnecte les sessions en cas d’interruption ou d’expiration de délai d’une connexion. Dans ce contexte, la connexion TCP ICA fait référence au port virtuel d’un serveur (et non à une connexion réseau) utilisé pour les sessions sur les réseaux TCP/IP.
  • Par défaut, la connexion TCP ICA d’un serveur est configurée pour déconnecter les sessions en cas d’interruption ou d’expiration de délai de leurs connexions. Les sessions déconnectées restent intactes dans la mémoire du système et sont disponibles pour la reconnexion par l’application Citrix Workspace
  • La connexion peut être configurée pour réinitialiser ou fermer les sessions dont les connexions sont interrompues ou dont le délai a expiré. Lorsqu’une session est réinitialisée, la tentative de reconnexion initie une nouvelle session. L’utilisateur ne retrouve pas l’application dans l’état où elle était avant la reconnexion ; l’application est relancée.
  • Si le serveur est configuré pour réinitialiser les sessions, la fonction de reconnexion automatique des clients crée une nouvelle session. Ce processus nécessite que les utilisateurs fournissent leurs informations d’identification pour ouvrir une session sur le serveur.
  • La reconnexion automatique peut échouer si l’application Citrix Workspace ou le plug-in transmettent des informations d’identification incorrectes, ce qui peut se produire lors d’une attaque, ou si le serveur estime qu’une durée trop longue s’est écoulée depuis qu’il a détecté une connexion interrompue.

Persistance ICA

L’activation de la fonctionnalité de persistance ICA empêche la déconnexion des connexions rompues. Lorsque cette option est activée, si le serveur ne détecte aucune activité, cette fonctionnalité empêche les Services Bureau à distance de déconnecter cette session. Les exemples d’absence d’activité incluent aucun changement d’horloge, aucun mouvement de la souris, aucune mise à jour de l’écran. Le serveur envoie des paquets de persistance à quelques secondes d’intervalle pour détecter si la session est active. Si la session n’est plus active, le serveur marque la session en tant que déconnectée.

Important :

Cependant, la persistance ICA fonctionne uniquement si vous n’utilisez pas la fiabilité de session. La fiabilité de session dispose de ses propres mécanismes pour empêcher les connexions interrompues d’être déconnectées. Ne configurez la persistance ICA que pour les connexions qui n’utilisent pas la fiabilité de session.

Les réglages effectués dans la page Persistance ICA ont priorité sur les réglages correspondants configurés dans la Stratégie de groupe Windows.

Activez et configurez les paramètres de persistance ICA avec les paramètres de stratégie suivants :

  • Délai d’expiration de persistance ICA : spécifie l’intervalle (1-3600 secondes) utilisé pour envoyer des messages de persistance ICA. Ne configurez pas cette option si vous voulez que votre logiciel de contrôle de réseau ferme les connexions inactives dans les environnements pour lesquels les interruptions de connexion sont si peu fréquentes que la reconnexion des utilisateurs aux sessions n’est pas un problème.

    L’intervalle par défaut est de 60 secondes : les paquets de persistance ICA sont envoyés aux machines utilisateur toutes les 60 secondes. Si une machine utilisateur ne répond pas après 60 secondes, l’état des sessions ICA correspondantes passe à Déconnectée.

  • Persistances ICA : envoie ou empêche l’envoi de messages de persistance ICA.

Contrôle de l’espace de travail

Le contrôle de l’espace de travail permet aux bureaux et aux applications de suivre un utilisateur d’un appareil à un autre. Cette itinérance permet à un utilisateur d’accéder à tous les bureaux ou d’ouvrir des applications à partir de n’importe quel emplacement simplement en ouvrant une session, sans avoir à redémarrer les bureaux ou applications sur chaque machine. Par exemple, le contrôle de l’espace de travail permet aux employés d’un centre hospitalier de se déconnecter rapidement d’une station de travail pour se reconnecter à une autre et d’accéder aux mêmes applications chaque fois qu’ils ouvrent une session. Si vous configurez le contrôle de l’espace de travail de la sorte, le personnel médical peut se déconnecter de plusieurs applications sur une machine cliente et s’y reconnecter sur une autre machine cliente.

Le contrôle de l’espace de travail affecte les activités suivantes :

  • Ouverture de session : par défaut, le contrôle de l’espace de travail permet aux utilisateurs de se reconnecter automatiquement à tous les bureaux et applications en cours d’exécution lors de l’ouverture de session, sans avoir à les rouvrir manuellement. Via le contrôle de l’espace de travail, les utilisateurs peuvent ouvrir des bureaux ou applications déconnectés ainsi que des applications ou bureaux qui sont actifs sur une autre machine cliente. La déconnexion d’une application ou d’un bureau n’interrompt pas son exécution sur le serveur. Si des utilisateurs itinérants doivent maintenir la connexion avec certaines applications ou certains bureaux sur une machine cliente tandis qu’ils se reconnectent à d’autres applications ou bureaux sur une autre machine cliente, vous pouvez configurer le comportement de reconnexion de façon à n’ouvrir que les applications ou bureaux dont ils se sont déconnectés.
  • Reconnexion : après avoir ouvert une session sur le serveur, les utilisateurs peuvent se reconnecter à tous leurs bureaux ou applications à tout moment en cliquant sur le bouton Se reconnecter. Par défaut, cette option ouvre les applications et bureaux qui sont déconnectés ainsi que ceux actuellement exécutés sur une autre machine cliente. Vous pouvez configurer cette option de façon à ce qu’elle n’ouvre que les applications ou bureaux précédemment déconnectés par l’utilisateur.
  • Fermeture de session : pour les utilisateurs ouvrant des bureaux ou applications via StoreFront, vous pouvez configurer la commande Fermer la session afin de fermer la session utilisateur de StoreFront ainsi que toutes les sessions actives ou uniquement la session de StoreFront.
  • Déconnexion : les utilisateurs peuvent se déconnecter simultanément de toutes les applications et tous les bureaux en cours d’exécution sans avoir à déconnecter chaque application ou bureau individuellement.

Le contrôle de l’espace de travail est disponible uniquement pour les utilisateurs de l’application Citrix Workspace pour accéder aux bureaux et applications via une connexion Citrix StoreFront. Par défaut, le contrôle de l’espace de travail est désactivé pour les sessions de bureau virtuel, mais activé pour les applications hébergées. Le partage de session ne se produit pas par défaut entre les bureaux publiés et toute application publiée exécutée au sein de ces bureaux.

Lorsqu’un utilisateur passe à une nouvelle machine cliente, les stratégies utilisateur, les mappages des lecteurs clients et la configuration des imprimantes changent en conséquence. Les stratégies et les mappages sont appliqués en fonction de la machine cliente à partir de laquelle l’utilisateur a ouvert la session. Par exemple, un membre du personnel se déconnecte d’un appareil dans la salle d’urgence, puis se connecte à un poste de travail du laboratoire de radiographie. Les stratégies, les mappages d’imprimante et les mappages de lecteur client appropriés pour la session dans le laboratoire de radiographie sont mis en œuvre au démarrage.

Vous pouvez personnaliser les imprimantes qui s’affichent pour les utilisateurs lorsqu’ils changent d’emplacement. Vous pouvez également contrôler si les utilisateurs peuvent imprimer sur des imprimantes locales, la quantité de bande passante consommée lorsque les utilisateurs se connectent à distance, ainsi que d’autres aspects de leur expérience d’impression.

Pour plus d’informations sur l’activation et la configuration du contrôle de l’espace de travail pour les utilisateurs, consultez la documentation StoreFront.

Itinérance de session

Remarque :

Les informations suivantes vous aident à configurer l’itinérance de session à l’aide de PowerShell. Vous pouvez utiliser Web Studio à la place. Pour de plus amples informations, consultez la section Gérer les groupes de mise à disposition.

Par défaut, les sessions sont partagées entre les machines clientes de l’utilisateur. Lorsque l’utilisateur ouvre une session et bascule sur une autre machine, la même session est utilisée et les applications sont disponibles sur les deux machines. Les applications suivent, quelle que soit la machine ou que les sessions en cours existent ou non. Souvent, les imprimantes et les autres ressources attribuées à l’application suivent également.

Bien que ce comportement par défaut offre de nombreux avantages, il n’est pas toujours idéal. Vous pouvez désactiver l’itinérance de session à l’aide du SDK du PowerShell.

Exemple 1 : un professionnel de la santé utilise deux machines ; il remplit un formulaire d’assurance sur un PC de bureau et recherche des informations sur le patient sur une tablette.

  • Si l’itinérance de session est activée, les applications s’affichent toutes les deux sur les deux machines (une application lancée sur une machine est visible sur toutes les machines en cours d’utilisation). Ce comportement peut ne pas répondre aux exigences de sécurité.
  • Si l’itinérance de session est désactivée, le dossier du patient ne s’affiche pas sur le PC de bureau et le formulaire d’assurance ne s’affiche pas sur la tablette.

Exemple 2 : un chef de production lance une application sur le PC de son bureau. Le nom et l’emplacement de la machine déterminent les imprimantes et autres ressources qui sont disponibles pour cette session. Plus tard dans la journée, il se rend dans un bureau situé dans un autre bâtiment pour une réunion pour laquelle il devra utiliser une imprimante.

  • Si l’itinérance de session est activée, le chef de production ne peut probablement pas accéder aux imprimantes à proximité de la salle de réunion, car les applications qu’il a démarrées plus tôt dans son bureau ont entraîné l’attribution d’imprimantes et d’autres ressources situées près de cet emplacement.
  • Si l’itinérance de session est désactivée, lorsqu’il ouvre une session sur une autre machine (en utilisant les mêmes informations d’identification), une nouvelle session est démarrée et les imprimantes et ressources à proximité sont disponibles.

Configurer l’itinérance de session

Pour configurer l’itinérance de session, utilisez les applets de commande de règle de stratégie d’admissibilité suivantes avec la propriété « SessionReconnection ». Facultativement, vous pouvez également spécifier la propriété LeasingBehavior.

Pour les sessions de bureau :

Set-BrokerEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

Pour les sessions d’application :

Set-BrokerAppEntitlementPolicyRule <Delivery-Group-name> -SessionReconnection <value> -LeasingBehavior Allowed|Disallowed

value peut être l’un des éléments suivants :

  • Always : les sessions sont toujours itinérantes, quelle que soit la machine cliente et que la session soit connectée ou déconnectée. Il s’agit de la valeur par défaut.
  • DisconnectedOnly : se reconnecte uniquement aux sessions déconnectées ; sinon, démarre une nouvelle session (vous pouvez activer l’itinérance de session entre les machines clientes en les déconnectant, ou en utilisant le contrôle de l’espace de travail pour activer explicitement l’itinérance). Une session connectée active sur une autre machine cliente n’est jamais utilisée. Au lieu de cela, une nouvelle session est lancée.
  • SameEndpointOnly : un utilisateur obtient une session unique pour chaque machine cliente qu’il utilise. L’itinérance est complètement désactivée. Les utilisateurs peuvent se reconnecter uniquement à la machine qui a été utilisée précédemment pour la session.

La propriété « LeasingBehavior » est décrite ci-dessous.

Effets d’autres paramètres :

La désactivation de l’itinérance de session est affectée par la limite d’application Autoriser une seule instance par utilisateur définie dans les propriétés de l’application dans le groupe de mise à disposition.

  • Si vous désactivez l’itinérance de session, désactivez la limite d’application « Autoriser une seule instance par utilisateur ».
  • Si vous activez la limite d’application « Autoriser une seule instance par utilisateur », ne configurez pas les deux valeurs qui permettent de nouvelles sessions sur de nouvelles machines.

Intervalle d’ouverture de session

Si une machine virtuelle contenant un VDA de bureau se ferme avant la fin du processus d’ouverture de session, vous pouvez attribuer plus de temps au processus. La valeur par défaut pour 7.6 et versions ultérieures est de 180 secondes (la valeur par défaut pour 7.0-7.5 est de 90 secondes).

Sur la machine (ou l’image principale utilisée dans un catalogue de machines), définissez la clé de registre suivante :

Clé :HKLM\SOFTWARE\Citrix\PortICA

  • Valeur : AutoLogonTimeout
  • Type : DWORD
  • Spécifiez une durée en secondes, au format décimal, dans la plage 0-3600.

Si vous modifiez une image principale, mettez à jour le catalogue.

Ce paramètre s’applique uniquement aux machines virtuelles dotées de VDA de bureau. Microsoft contrôle le délai de connexion sur les machines dotées de VDA de serveur.

Sessions