ポリシーの作成
ポリシーを作成する前に、そのポリシーが適用される可能性があるユーザーまたはデバイスのグループを決定します。ユーザーの担当業務、接続の種類、ユーザーデバイス、または作業場所に応じたポリシーを作成できます。
グループに適用するポリシーを作成済みの場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。ポリシーを編集した後、適切な設定を構成します。特定の設定内容を変更するため、または特定のユーザーを適用対象から除外するためだけにポリシーを作成することは避けてください。
既存のポリシーテンプレートを基にポリシーを作成し、必要に応じて設定項目をカスタマイズできます。テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。
Citrix Studioでは、新しいポリシーを作成すると、[ポリシーの有効化]チェックボックスが明示的にオンになっていない限り[無効]に設定されます。
ポリシーの作成時および設定の構成時に、システムによって設定の種類を表示するオプションが提供されます。表示できる設定の種類は以下のとおりです。
- すべての設定 - すべてのVDAバージョンのすべての設定を表示します
- 現在の設定のみ - 現在のVDAバージョンのみの設定を表示します
- 従来の設定のみ - 廃止されたVDAバージョンのみの設定を表示します
設定の構成中に設定を表示するには、以下の手順に従います。
- DaaS Premiumにログインします。
- 左側のナビゲーションで、[ポリシー] をクリックします。
- [ポリシー] タブで、[ポリシーの作成] をクリックします。
- [設定の選択] テーブルで、[設定] の横にあるドロップダウンをクリックします。
-
ドロップダウンから次のオプションのいずれかを選択します。
- すべての設定 - すべてのVDAバージョンのすべての設定を表示します
- 現在の設定のみ - 現在のVDAバージョンのみの設定を表示します
- 従来の設定のみ - 廃止されたVDAバージョンのみの設定を表示します
- [設定]テーブルには、前の手順に基づいて使用可能な設定がリストされます。
ポリシー設定
ポリシーを設定するには、適用するポリシー設定を選択して値を構成します。デフォルトでは、ポリシーに追加されている設定項目はありません。設定を適用するには、ポリシーに追加する必要があります。
ポリシーを作成または編集するための設定を構成する際にすべてのデリバリーグループが無効になっていると、システムによって「このフィルター内のどの要素も有効ではありません」という警告通知サインが表示されます。少なくとも1つのデリバリーグループが有効になっている場合、システムによる警告サインは表示されません。
ポリシーの作成中に警告を表示するには、以下の手順に従います。
- DaaS Premiumにログインします。
- 左側のナビゲーションで、[ポリシー] をクリックします。
- [ポリシー] タブで、[ポリシーの作成] をクリックします。
- [設定項目の選択] テーブルで任意の設定を選択し、[次へ] をクリックします。
- [ポリシーの割り当て先] テーブルで、ドロップダウンからフィルタを選択します。
- [有効にする] チェックボックスの選択を解除し、[保存] をクリックします。
注:
フィルターによっては [有効にする] チェックボックスの選択を解除できない場合があります。 [フィルター] テーブルでは、フィルターによる警告が表示されます。
ポリシーの編集中に警告を表示するには、以下の手順に従います。
- DaaS Premiumにログインします。
- 左側のナビゲーションで、[ポリシー] をクリックします。
- [ポリシー] タブで、リストされているポリシーのいずれかを選択し、[ポリシーの編集] をクリックします。
- [ポリシーの編集] ページで、左側のナビゲーションにある [ポリシーに割り当てる] をクリックします。
-
[フィルター] テーブルで、必要なフィルターを選択または [編集] をクリックします。
- フィルターに [編集] ボタンがない場合は、フィルタを選択します。
- フィルターに編集 ボタンがある場合は、[編集] をクリックします。
- [有効にする] オプションの選択を解除し、[保存] をクリックします。
注:
フィルターによっては [有効にする] チェックボックスの選択を解除できない場合があります。 [フィルター] テーブルでは、フィルターによる警告が表示されます。
ポリシーのいくつかの設定では、次のオプションを指定します。
- Allowed or Prohibited allows or prevents the action controlled by the setting. Sometimes users are allowed or prevented from managing the setting’s action in a session. For example, if the menu animation setting is set to Allowed, users can control menu animations in their client environment
- Enabled or Disabled turns the setting on or off. If you disable a setting, it is not enabled in lower-ranked policies.
また、一部の設定は、それに依存する設定の効果を制御します。たとえば、[クライアントドライブのリダイレクト]設定により、クライアントデバイス側のドライブへのアクセスが制御されます。 この設定と [クライアントネットワークドライブ] 設定の両方がポリシーに追加され、ユーザーのネットワークドライブへのアクセスが許可されている必要があります。この場合、[クライアントドライブのリダイレクト] 設定で[禁止]を選択すると、[クライアントネットワークドライブ] 設定で[許可]を選択しても、ユーザーがネットワークドライブにアクセスできなくなります。
通常、マシンの動作を制御するポリシー設定に対する変更内容は、仮想デスクトップが再起動したときまたはユーザーがログオンしたときに適用されます。また、ユーザーの機能を制御する設定項目は、そのユーザーの次回ログオン時に適用されます。
一部の設定項目では、ポリシーに追加するときに値を入力または選択します。[デフォルト値を使用する]チェックボックスをオンにすると、設定の構成を制限できます。この選択によって設定の構成が無効になり、ポリシーが適用されると、設定項目のデフォルト値しか使用できなくなります。[デフォルト値を使用する]をオンにする前に入力した値は無視されます。
ベストプラクティス:
- ポリシーの適用先として、個々のユーザーアカウントではなくグループアカウントを使用します。ポリシーの対象ユーザーを個々に追加したり削除したりするよりも、そのユーザーがグループアカウントに属しているかどうかで管理した方が効率的です。
- 使用しないポリシーは無効にしておきます。ポリシーに設定を追加しない場合でも、そのポリシーにより不要な処理が行われます。
ポリシーの割り当て
ポリシーを作成するときに、特定のユーザーとマシンオブジェクトにポリシーを割り当てます。そのポリシーは、特定の基準または規則に従って接続に適用されます。通常、1つのポリシーに複数の割り当てを指定して、複数の条件を組み合わせることができます。割り当てを指定しない場合、そのポリシーはすべての接続に適用されます。
割り当てを指定しない場合、または指定しても無効にしている場合、そのポリシーはすべての接続に適用されます。
注:
ポリシーの割り当ては、ポリシーフィルターとも呼ばれます。詳しくは、次のトピックを参照してください:
次の表は、使用可能な割り当ての一覧です。
| 割り当て名 | ポリシーの適用対象 |
|---|---|
| アクセス制御 | セッションに接続するときのアクセス制御条件。接続の種類 - 接続がNetScaler Gateway経由かどうかを指定します。NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前を指定します。アクセス条件 - 使用するエンドポイント解析ポリシーまたはセッションポリシーの名前を入力します。 |
| Citrix SD-WAN | ユーザーセッションでCitrix SD-WANが使用されているかどうか。注: ポリシーに追加できるCitrix SD-WAN割り当ては1つのみです。 |
| クライアントIPアドレス | セッションに接続するクライアントデバイスのIPアドレス。IPv4の場合は12.0.0.0、12.0.0.*、12.0.0.1-12.0.0.70、12.0.0.1/24など。IPv6の場合は、2001:0db8:3c4d:0015:0:0:abcd:ef12、2001:0db8:3c4d:0015::/54など。 |
| クライアント名 | ユーザーデバイスの名前。完全一致の場合、ClientABCName。ワイルドカード文字を使用する場合、Client*Name。 |
| デリバリーグループ | 所属するデリバリーグループ。 |
| デリバリー グループの種類 | 実行されるデスクトップまたはアプリケーションの種類。プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーションから選択します。 |
| 組織単位(OU) | 組織単位。 |
| タグ | マシンのタグ。注: このポリシーをすべてのタグ付きマシンに適用します。アプリケーションタグは含まれていません。 |
| ユーザーまたはグループ | ユーザー名またはグループ名。 |
ユーザーがログオンするときに、その接続の条件に一致するすべてのポリシーが検出されます。検出されたポリシーは優先度順に処理されます。このとき、ポリシー間で重複している設定がある場合は、最も優先度の高いポリシーの内容が適用されます。たとえば、優先度の高いポリシーの設定で[無効]が選択されている場合、優先度の低いポリシーの同じ設定で[有効]が選択されていても、その設定には[無効]が適用されます。構成されていないポリシー設定は無視されます。
重要:
グループポリシー管理コンソールを使ってActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当ておよび設定が意図したとおりに適用されない場合があります。詳しくは、CTX127461を参照してください。
「Unfiltered」という名前のポリシーはデフォルトで提供されています。
- Web Studioを使用してCitrixポリシーを管理する場合は、Unfilteredポリシーに追加する設定がそのサイトのすべてのサーバー、仮想デスクトップ、および接続に適用されます。
- このサイトと接続は、ポリシーを含むグループポリシーオブジェクト(GPO)のスコープ内にある必要があります。たとえば、営業部署の組織単位に大阪支社のすべての営業メンバーを含んでいるSales-OSKというGPOがある場合に、いくつかのユーザーポリシー設定を追加したUnfilteredポリシーをSales-OSKに設定します。ここで大阪支社の営業部長がサイトにログオンすると、Unfilteredポリシーのすべての設定が自動的にセッションに適用されます。この構成は、ユーザーがSales-OSK GPOのメンバーであるためです。
割り当ての[モード]によっても、そのポリシーの適用先が異なります。割り当てのモードとして[許可](デフォルト)が設定されている場合、その割り当て条件にマッチした接続にのみポリシーが適用されます。割り当てのモードとして[拒否]が設定されている場合、その割り当て条件にマッチしない接続にのみポリシーが適用されます。以下の例では、複数の割り当てを追加したCitrixポリシーで、割り当てのモードがどのように適用されるかについて説明します。
-
例:同じ種類の割り当てでモードが異なる場合 - ポリシーに同じ種類の割り当てを2つ追加し、一方を[許可]にしてもう一方を[拒否]にした場合、[拒否]を設定した割り当てが優先されます。例:
Policy 1に以下の割り当てを追加します:
- Assignment Aは営業部署のグループアカウントに適用されます。[許可] を設定します。
- Assignment Bは営業部長のアカウントに適用されます。[拒否] を設定します。
ここで営業部長がログオンした場合、営業部長が営業部署のグループアカウントに属していても、Assignment Bが[拒否]モードなのでこのPolicy 1は適用されません。
-
例: 異なる種類の割り当てでモードが同じ場合 - ポリシーに異なる種類の複数の割り当てを追加し、すべての割り当てに[許可]を設定した場合、すべての種類の割り当てに一致しないとポリシーは適用されません。例:
Policy 2に以下の割り当てを追加します:
- Assignment Cは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てです。[許可] を設定します。
- Assignment Dは10.8.169.*(企業ネットワーク)を指定するクライアントIPアドレス割り当てです。[許可] を設定します。
ここで営業部長が社内のオフィスからログオンした場合、上記2つの割り当てに合致するので、このPolicy 2が適用されます。
Policy 3に以下の割り当てを追加します:
- Assignment Eは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てです。[許可] を設定します。
- Assignment Fは特定のNetScaler Gateway接続に適用される[アクセス制御]割り当てです。[許可] を設定します。
ここで営業部長が社内のオフィスからログオンした場合、Assignment Fの要件を満たさないので、このPolicy 3は適用されません。