Reindirizzamento USB generico e considerazioni sulle unità client
La tecnologia HDX™ offre un supporto ottimizzato per la maggior parte dei dispositivi USB più diffusi. Il supporto ottimizzato offre un’esperienza utente migliorata con prestazioni e un’efficienza della larghezza di banda superiori su una WAN. Il supporto ottimizzato è solitamente l’opzione migliore, specialmente in ambienti con latenza elevata o sensibili alla sicurezza.
La tecnologia HDX fornisce il reindirizzamento USB generico per dispositivi speciali che non dispongono di supporto ottimizzato o per i quali non è adatto, ad esempio:
- Il dispositivo USB ha funzionalità più avanzate che non fanno parte del supporto ottimizzato, come un mouse o una webcam con più pulsanti.
- Gli utenti necessitano di funzioni che non fanno parte del supporto ottimizzato.
- Il dispositivo USB è un dispositivo specializzato, come apparecchiature di test e misurazione o un controller industriale.
- Un’applicazione richiede l’accesso diretto al dispositivo come dispositivo USB.
- Il dispositivo USB dispone solo di un driver Windows. Ad esempio, un lettore di smart card potrebbe non avere un driver disponibile per l’app Citrix Workspace™ per Android.
- La versione dell’app Citrix Workspace non fornisce alcun supporto ottimizzato per questo tipo di dispositivo USB.
Con il reindirizzamento USB generico:
- Gli utenti non devono installare i driver del dispositivo sul dispositivo utente.
- I driver client USB sono installati sulla macchina VDA.
Importante:
- Il reindirizzamento USB generico può essere utilizzato insieme al supporto ottimizzato. Se si abilita il reindirizzamento USB generico, configurare le impostazioni dei criteri per i dispositivi USB di Citrix sia per il reindirizzamento USB generico che per il supporto ottimizzato.
- L’impostazione dei criteri Citrix in Regole di ottimizzazione dei dispositivi USB client è un’impostazione specifica per il reindirizzamento USB generico, per un particolare dispositivo USB. Non si applica al supporto ottimizzato come descritto qui.
- Quando si esegue il brokering di una sessione utilizzando il software Citrix® su una macchina virtuale Azure, Citrix fornisce il supporto “best effort” per il reindirizzamento USB alla macchina virtuale Azure. Supportiamo la risoluzione di un problema del software Citrix, ma non supportiamo la macchina virtuale Azure sottostante.
- I dispositivi CD/DVD con capacità di masterizzazione di dischi possono essere reindirizzati, ma le capacità di masterizzazione di questi dispositivi non possono essere utilizzate. Ciò è dovuto ai limiti del buffer di una sessione.
Considerazioni sulle prestazioni per i dispositivi USB
La latenza di rete e la larghezza di banda possono influire sull’esperienza utente e sul funzionamento dei dispositivi USB quando si utilizza il reindirizzamento USB generico per alcuni tipi di dispositivi USB. Ad esempio, i dispositivi sensibili ai tempi potrebbero non funzionare correttamente su collegamenti con latenza elevata e larghezza di banda ridotta. Utilizzare il supporto ottimizzato ove possibile.
Alcuni dispositivi USB richiedono una larghezza di banda elevata per essere utilizzabili, ad esempio un mouse 3D (utilizzato con app 3D che richiedono anch’esse tipicamente una larghezza di banda elevata). Se la larghezza di banda non può essere aumentata, è possibile mitigare il problema ottimizzando l’utilizzo della larghezza di banda di altri componenti utilizzando le impostazioni dei criteri di larghezza di banda. Per ulteriori informazioni, consultare Impostazioni dei criteri di larghezza di banda per il reindirizzamento dei dispositivi USB client e Impostazioni dei criteri di connessione multi-stream.
Considerazioni sulla sicurezza per i dispositivi USB
Alcuni dispositivi USB sono per loro natura sensibili alla sicurezza, ad esempio lettori di smart card, lettori di impronte digitali e tavolette per firme. Altri dispositivi USB, come i dispositivi di archiviazione USB, possono essere utilizzati per trasmettere dati che potrebbero essere sensibili.
I dispositivi USB sono spesso utilizzati per distribuire malware. La configurazione dell’app Citrix Workspace e di Citrix Virtual Apps and Desktops™ può ridurre, ma non eliminare, il rischio derivante da questi dispositivi USB. Questa situazione si applica sia che si utilizzi il reindirizzamento USB generico sia il supporto ottimizzato.
Importante:
Per i dispositivi e i dati sensibili alla sicurezza, proteggere sempre la connessione HDX utilizzando TLS o IPsec.
Abilitare il supporto solo per i dispositivi USB necessari. Configurare sia il reindirizzamento USB generico che il supporto ottimizzato per soddisfare questa esigenza.
Fornire indicazioni agli utenti per un uso sicuro dei dispositivi USB:
- Utilizzare solo dispositivi USB ottenuti da una fonte affidabile.
- Non lasciare dispositivi USB incustoditi in ambienti aperti, ad esempio una chiavetta USB in un internet café.
- Spiegare i rischi dell’utilizzo di un dispositivo USB su più computer.
Compatibilità con il reindirizzamento USB generico
Il reindirizzamento USB generico è supportato per i dispositivi USB 2.0 e precedenti. Il reindirizzamento USB generico è supportato anche per i dispositivi USB 3.0 collegati a una porta USB 2.0 o USB 3.0. Il reindirizzamento USB generico non supporta le funzionalità USB introdotte in USB 3.0, come la super velocità.
Le seguenti app Citrix Workspace supportano il reindirizzamento USB generico:
- App Citrix Workspace per Windows, consultare Configurazione della distribuzione delle applicazioni.
- App Citrix Workspace per Mac, consultare App Citrix Workspace per Mac.
- App Citrix Workspace per Linux, consultare Ottimizzazione.
- App Citrix Workspace per Chrome OS, consultare App Citrix Workspace per Chrome.
Per le versioni dell’app Citrix Workspace, consultare la matrice delle funzionalità dell’app Citrix Workspace.
Se si utilizzano versioni precedenti dell’app Citrix Workspace, consultare la documentazione dell’app Citrix Workspace per confermare che il reindirizzamento USB generico è supportato. Consultare la documentazione dell’app Citrix Workspace per eventuali restrizioni sui tipi di dispositivi USB supportati.
Il reindirizzamento USB generico è supportato per le sessioni desktop da VDA per OS a sessione singola dalla versione 7.6 fino alla corrente.
Il reindirizzamento USB generico è supportato per le sessioni desktop da VDA per OS a sessione multipla dalla versione 7.6 fino alla corrente, con queste restrizioni:
- Il VDA deve eseguire Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 o Windows Server 2022.
- I driver del dispositivo USB devono essere completamente compatibili con Remote Desktop Session Host (RDSH) per il sistema operativo VDA (Windows 2012 R2), incluso il supporto completo della virtualizzazione.
Alcuni tipi di dispositivi USB non sono supportati per il reindirizzamento USB generico perché non sarebbe utile reindirizzarli:
- Modem USB.
- Adattatori di rete USB.
- Hub USB. I dispositivi USB collegati agli hub USB vengono gestiti individualmente.
- Porte COM virtuali USB. Utilizzare il reindirizzamento delle porte COM anziché il reindirizzamento USB generico.
Per informazioni sui dispositivi USB testati con il reindirizzamento USB generico, consultare Citrix Ready Marketplace. Alcuni dispositivi USB non funzionano correttamente con il reindirizzamento USB generico.
Configurare il reindirizzamento USB generico
È possibile controllare e configurare separatamente quali tipi di dispositivi USB utilizzano il reindirizzamento USB generico:
- Sul VDA, utilizzando le impostazioni dei criteri Citrix. Per ulteriori informazioni, consultare Reindirizzamento delle unità client e dei dispositivi utente e Impostazioni dei criteri per i dispositivi USB nel riferimento delle impostazioni dei criteri.
- Nell’app Citrix Workspace, utilizzando meccanismi dipendenti dall’app Citrix Workspace. Ad esempio, un modello amministrativo controlla le impostazioni del Registro di sistema che configurano l’app Citrix Workspace per Windows. Per impostazione predefinita, il reindirizzamento USB è consentito per determinate classi di dispositivi USB e negato per altre. Per ulteriori informazioni, consultare Configura nella documentazione dell’app Citrix Workspace per Windows.
Questa configurazione separata offre flessibilità. Ad esempio:
- Se due diverse organizzazioni o reparti sono responsabili dell’app Citrix Workspace e del VDA, possono applicare il controllo separatamente. Questa configurazione si applica quando un utente di un’organizzazione accede a un’applicazione in un’altra organizzazione.
- Le impostazioni dei criteri Citrix possono controllare i dispositivi USB consentiti solo per determinati utenti o per utenti che si connettono solo tramite una LAN (anziché utilizzando Citrix Gateway).
Abilitare il reindirizzamento USB generico
Per abilitare il reindirizzamento USB generico e non richiedere il reindirizzamento manuale da parte dell’utente, configurare sia le impostazioni dei criteri Citrix che le preferenze di connessione dell’app Citrix Workspace.
Nelle impostazioni dei criteri Citrix:
-
Aggiungere il reindirizzamento dei dispositivi USB client a un criterio e impostarne il valore su Consentito.
-
(Facoltativo) Per aggiornare l’elenco dei dispositivi USB disponibili per il reindirizzamento, aggiungere l’impostazione Regole di reindirizzamento dei dispositivi USB client a un criterio e specificare le regole dei criteri USB.
Nell’app Citrix Workspace:
-
Specificare che i dispositivi sono connessi automaticamente senza reindirizzamento manuale. È possibile farlo utilizzando un modello amministrativo o in App Citrix Workspace per Windows > Preferenze > Connessioni.
Se nel passaggio precedente sono state specificate regole dei criteri USB per il VDA, specificare le stesse regole dei criteri per l’app Citrix Workspace.
Per i thin client, consultare il produttore per i dettagli sul supporto USB e su qualsiasi configurazione richiesta.
Configurazione dei tipi di dispositivi USB disponibili per il reindirizzamento USB generico
I dispositivi USB vengono reindirizzati automaticamente quando il supporto USB è abilitato e le impostazioni delle preferenze utente USB sono impostate per connettere automaticamente i dispositivi USB. I dispositivi USB vengono reindirizzati automaticamente anche quando la barra di connessione non è presente.
Gli utenti possono reindirizzare esplicitamente i dispositivi che non vengono reindirizzati automaticamente selezionando i dispositivi dall’elenco dei dispositivi USB. Per ulteriori informazioni, consultare l’articolo della guida utente dell’app Citrix Workspace per Windows, Visualizzare i dispositivi in Desktop Viewer.
Per utilizzare il reindirizzamento USB generico anziché il supporto ottimizzato, è possibile:
- Nell’app Citrix Workspace, selezionare manualmente il dispositivo USB per utilizzare il reindirizzamento USB generico, scegliere Passa a generico dalla scheda Dispositivi della finestra di dialogo Preferenze.
- Selezionare automaticamente il dispositivo USB per utilizzare il reindirizzamento USB generico, configurando il reindirizzamento automatico per il tipo di dispositivo USB (ad esempio, AutoRedirectStorage=1) e impostando le preferenze utente USB per connettere automaticamente i dispositivi USB. Per ulteriori informazioni, consultare Configurare il reindirizzamento automatico dei dispositivi USB.
Nota:
Configurare il reindirizzamento USB generico per l’uso con una webcam solo se la webcam risulta incompatibile con il reindirizzamento multimediale HDX.
Per impedire che i dispositivi USB vengano mai elencati o reindirizzati, è possibile specificare regole per i dispositivi per l’app Citrix Workspace e il VDA.
Per il reindirizzamento USB generico, è necessario conoscere almeno la classe e la sottoclasse del dispositivo USB. Non tutti i dispositivi USB utilizzano la loro ovvia classe e sottoclasse di dispositivo USB. Ad esempio:
- Le penne utilizzano la classe di dispositivo mouse.
- I lettori di smart card possono utilizzare la classe di dispositivo definita dal fornitore o HID.
Per un controllo più preciso, è necessario conoscere l’ID fornitore (Vendor ID), l’ID prodotto (Product ID) e l’ID versione (Release ID). È possibile ottenere queste informazioni dal fornitore del dispositivo.
Importante:
I dispositivi USB dannosi potrebbero presentare caratteristiche del dispositivo USB che non corrispondono all’uso previsto. Le regole del dispositivo non sono intese a prevenire questo comportamento.
È possibile controllare i dispositivi USB disponibili per il reindirizzamento USB generico specificando le regole di reindirizzamento dei dispositivi USB sia per il VDA che per l’app Citrix Workspace, per ignorare le regole predefinite dei criteri USB.
Per il VDA:
- Modificare le regole di override dell’amministratore per le macchine OS a sessione multipla tramite le regole dei criteri di gruppo. La Console Gestione Criteri di gruppo è inclusa nel supporto di installazione:
- Per x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- Per x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
Nell’app Citrix Workspace per Windows:
- Modificare il Registro di sistema del dispositivo utente. Un modello amministrativo (file ADM) è incluso nel supporto di installazione in modo da poter modificare il dispositivo utente tramite Criteri di gruppo di Active Directory: dvd root \os\lang\Support\Configuration\icaclient_usb.adm
Avviso:
La modifica errata del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix non può garantire che i problemi derivanti dall’uso errato dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo.
Le regole predefinite del prodotto sono archiviate in HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules. Non modificare queste regole predefinite del prodotto. Utilizzarle invece come guida per la creazione di regole di override dell’amministratore, come spiegato più avanti in questo articolo. Gli override GPO vengono valutati prima delle regole predefinite del prodotto.
Le regole di override dell’amministratore sono archiviate in HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Le regole dei criteri GPO hanno il formato {Allow:|Deny:} seguito da un set di espressioni tag=value separate da spazi.
Sono supportati i seguenti tag:
| Tag | Descrizione |
|---|---|
| VID | ID fornitore dal descrittore del dispositivo |
| PID | ID prodotto dal descrittore del dispositivo |
| REL | ID versione dal descrittore del dispositivo |
| Class | Classe dal descrittore del dispositivo o da un descrittore di interfaccia; consultare il sito Web USB all’indirizzo http://www.usb.org/ per i codici di classe USB disponibili |
| SubClass | Sottoclasse dal descrittore del dispositivo o da un descrittore di interfaccia |
| Prot | Protocollo dal descrittore del dispositivo o da un descrittore di interfaccia |
Quando si creano regole dei criteri, tenere presente quanto segue:
- Le regole non fanno distinzione tra maiuscole e minuscole.
- Le regole possono avere un commento facoltativo alla fine, introdotto da
#. Non è richiesto un delimitatore e il commento viene ignorato ai fini della corrispondenza. - Le righe vuote e le righe di solo commento vengono ignorate.
- Gli spazi vengono utilizzati come separatore, ma non possono apparire al centro di un numero o di un identificatore. Ad esempio, Deny: Class = 08 SubClass=05 è una regola valida, ma Deny: Class=0 Sub Class=05 non lo è.
- I tag devono utilizzare l’operatore di corrispondenza
=. Ad esempio, VID=1230. - Ogni regola deve iniziare su una nuova riga o far parte di un elenco separato da punto e virgola.
Nota:
Se si utilizza il file modello ADM, è necessario creare le regole su una singola riga, come un elenco separato da punto e virgola.
Esempi:
-
L’esempio seguente mostra una regola dei criteri USB definita dall’amministratore per gli identificatori di fornitore e prodotto:
Allow: VID=046D PID=C626 # Consenti Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Nega tutti i prodotti Logitech -
L’esempio seguente mostra una regola dei criteri USB definita dall’amministratore per una classe, sottoclasse e protocollo definiti:
Deny: Class=EF SubClass=01 Prot=01 # Nega dispositivi MS Active Sync Allow: Class=EF SubClass=01 # Consenti dispositivi Sync Allow: Class=EF # Consenti tutti i dispositivi USB-Miscellaneous
Utilizzare e rimuovere dispositivi USB
Gli utenti possono connettere un dispositivo USB prima o dopo l’avvio di una sessione virtuale.
Quando si utilizza l’app Citrix Workspace per Windows, si applica quanto segue:
- I dispositivi connessi dopo l’inizio di una sessione appaiono immediatamente nel menu USB di Desktop Viewer.
- Se un dispositivo USB non viene reindirizzato correttamente, è possibile provare a risolvere il problema attendendo di connettere il dispositivo dopo l’avvio della sessione virtuale.
- Per evitare la perdita di dati, utilizzare l’icona “Rimozione sicura dell’hardware” di Windows prima di rimuovere il dispositivo USB.
Controlli di sicurezza per i dispositivi di archiviazione di massa USB
Il supporto ottimizzato è fornito per i dispositivi di archiviazione di massa USB. Questo supporto fa parte del mapping delle unità client di Citrix Virtual Apps and Desktops. Le unità sul dispositivo utente vengono automaticamente mappate a lettere di unità sul desktop virtuale quando gli utenti accedono. Le unità vengono visualizzate come cartelle condivise che hanno lettere di unità mappate. Per configurare il mapping delle unità client, utilizzare l’impostazione Unità rimovibili client. Questa impostazione si trova nella sezione Impostazioni dei criteri di reindirizzamento file delle impostazioni dei criteri ICA.
Con i dispositivi di archiviazione di massa USB è possibile utilizzare il mapping delle unità client o il reindirizzamento USB generico, o entrambi. Controllarli utilizzando i criteri Citrix. Le principali differenze sono:
| Funzionalità | Mapping unità client | Reindirizzamento USB generico |
|---|---|---|
| Abilitato per impostazione predefinita | Sì | No |
| Accesso in sola lettura configurabile | Sì | No |
| Accesso a dispositivi crittografati | Sì, se la crittografia è sbloccata prima dell’accesso al dispositivo | Sì |
| Dispositivi BitLocker To Go | No | No |
| Sicuro eliminare il dispositivo durante una sessione | No | Sì, a condizione che gli utenti seguano le raccomandazioni del sistema operativo per la rimozione sicura |
Se sia il reindirizzamento USB generico che i criteri di mapping delle unità client sono abilitati e un dispositivo di archiviazione di massa viene inserito prima o dopo l’inizio di una sessione, viene reindirizzato utilizzando il mapping delle unità client. Quando sia il reindirizzamento USB generico che i criteri di mapping delle unità client sono abilitati e un dispositivo è configurato per il reindirizzamento automatico e un dispositivo di archiviazione di massa viene inserito prima o dopo l’inizio di una sessione, viene reindirizzato utilizzando il reindirizzamento USB generico. Per ulteriori informazioni, consultare l’articolo del Knowledge Center CTX123015.
Nota:
Il reindirizzamento USB è supportato su connessioni a larghezza di banda inferiore, ad esempio 50 Kbps. Tuttavia, la copia di file di grandi dimensioni non funziona.
In questo articolo
- Considerazioni sulle prestazioni per i dispositivi USB
- Considerazioni sulla sicurezza per i dispositivi USB
- Compatibilità con il reindirizzamento USB generico
- Configurare il reindirizzamento USB generico
- Abilitare il reindirizzamento USB generico
- Configurazione dei tipi di dispositivi USB disponibili per il reindirizzamento USB generico
- Utilizzare e rimuovere dispositivi USB
- Controlli di sicurezza per i dispositivi di archiviazione di massa USB