Citrix Virtual Apps and Desktops

汎用USBリダイレクトとクライアント側ドライブの考慮事項

HDXテクノロジは、一般的なUSBデバイスのほとんどに最適化されたサポートを提供します。最適化されたサポートにより、パフォーマンスが良くなることでユーザーエクスペリエンスが向上し、WAN経由の帯域幅効率が改善されます。最適化されたサポートは通常、遅延が多い環境やセキュリティが厳しい環境で最善のオプションです。

HDXテクノロジにより、特殊デバイスに次のような最適化されたサポートがないときや、不適切なときに汎用USBリダイレクトを使用できます:

  • USBデバイスに追加の高度な機能があり(追加ボタンがあるマウスやWebカメラなど)、それらの機能が最適化されたサポートに含まれていないとき。
  • ユーザーが最適化されたサポートに含まれない機能を必要とするとき。
  • USBデバイスが特殊なデバイス(テスト用機器、測定用機器、工業用コントローラーなど)であるとき。
  • アプリケーションがUSBデバイスとしてデバイスに直接アクセスする必要があるとき。
  • USBデバイスでWindowsドライバーしか使用できないとき。たとえば、スマートカードリーダーには、Android向けCitrix Workspaceアプリで使用できるドライバーがないことがあります。
  • 使用しているバージョンのCitrix Workspaceアプリで、該当するタイプのUSBデバイスに最適化されたサポートを利用できないとき。

汎用USBリダイレクトでは、以下に注意してください。

  • ユーザーデバイスにデバイスドライバーをインストールする必要はありません。
  • USBクライアントドライバーはVDAマシン上にインストールされます。

重要:

  • 汎用USBリダイレクトは、最適化されたサポートと併用できます。汎用USBリダイレクトを有効にする場合は、Citrixの「USBデバイスのポリシー設定」で汎用USBリダイレクトと最適化されたサポートの両方を構成します。
  • 一部のUSBデバイスでは、Citrixのポリシー設定のクライアントUSBデバイス最適化規則は、汎用USBリダイレクト専用の設定となります。ここで説明したような、最適化されたサポートには該当しません。
  • Citrixソフトウェアを使用してAzure仮想マシンにセッションを仲介する場合、CitrixはAzure仮想マシンへのUSBリダイレクトに関するベストエフォートサポートを提供します。Citrixソフトウェアの問題の修正をサポートしていますが、基盤となるAzure仮想マシンはサポートしていません。

USBデバイスのパフォーマンスに関する考慮事項

一部のタイプのUSBデバイスで汎用USBリダイレクトを使用する場合、ネットワークの遅延と帯域幅がユーザーエクスペリエンスとUSBデバイスの操作に影響を与えます。たとえば、遅延が多く低帯域幅のリンクでタイミングが重要なデバイスが正しく動作しないことがあります。可能な場合は、代わりに最適化されたサポートを使用してください。

3Dマウスなどの一部のUSBデバイスは、高い帯域幅を使用できる必要があります(通常、これも高帯域幅を必要とする3Dアプリとともに使用)。帯域幅を増やすことができない場合には、帯域幅ポリシー設定を使用して他のコンポーネントの帯域幅使用状況を調整することで、問題を緩和できます。詳しくは、「帯域幅のポリシー設定」(クライアントUSBデバイスリダイレクトの場合)および 「マルチストリーム接続のポリシー設定」を参照してください。

USBデバイスのセキュリティに関する考慮事項

スマートカードリーダーやフィンガープリントリーダー、署名パッドなどの一部のUSBデバイスは、もともとセキュリティを重視します。USBストレージデバイスなどの他のUSBデバイスは、機密扱いである可能性のあるデータの受け渡しに使用できます。

USBデバイスは、しばしばマルウェアの配信に使用されます。このようなUSBデバイスのリスクは、Citrix WorkspaceアプリとCitrix Virtual Apps and Desktopsの構成により減らすことはできますが、すべて取り除くことはできません。こうした状況は、汎用USBリダイレクトを使用しているか最適化されたサポートを使用しているかにかかわらず発生します。

重要:

セキュリティを重視するデバイスやデータを扱う場合は、TLSまたはIPsecのどちらかを使用して、常にHDX接続をセキュリティで保護してください。

必要なUSBデバイスのサポートのみを有効にしてください。汎用USBリダイレクトと最適化されたサポートの両方で、このニーズを満たしてください。

USBデバイスの安全な使用についての以下のようなガイダンスをユーザーに提供してください。

  • 信頼できるソースから入手したUSBデバイスのみを使用する。
  • USBデバイスを人がいないオープンな環境に置きっぱなしにしない(例:インターネットカフェにFlashドライブを置きっぱなしにしない)。
  • また、複数のコンピューターで1つのUSBデバイスを使用することのリスクを説明してください。

汎用USBリダイレクトの互換性

汎用USBリダイレクトは、USB 2.0以前のデバイスでサポートされます。USB 3.0デバイスをUSB 2.0またはUSB 3.0ポートに接続した場合も、汎用USBリダイレクトがサポートされます。汎用USBリダイレクトは、USB3.0に導入された超高速などのUSB機能はサポートしません。

汎用USBリダイレクトは、次のCitrix Workspaceアプリでサポートされます:

Citrix Workspaceアプリのバージョンについては、『Citrix Workspace app feature matrix』を参照してください。

過去のバージョンのCitrix Workspaceアプリを使用している場合は、Citrix Workspaceアプリのドキュメントを参照して、汎用USBリダイレクトがサポートされていることを確認してください。サポート対象のUSBデバイスのタイプに関する制限事項については、Citrix Workspaceアプリのドキュメントを参照してください。

汎用USBリダイレクトはシングルセッションOS対応VDAのバージョン7.6以上のデスクトップセッションでサポートされます。

汎用USBリダイレクトはマルチセッションOS対応VDAのバージョン7.6以上のデスクトップセッションでサポートされますが、以下の制限事項があります:

  • VDAはWindows Server 2012 R2またはWindows Server 2016で動作している必要があります。
  • USBデバイスドライバーには、完全仮想化サポートなど、VDA OS(Windows 2012 R2)のリモートデスクトップセッションホスト(RDSH)との完全な互換性がある必要があります。

次のような一部のタイプのUSBデバイスは、リダイレクトしても役に立たないため、汎用USBリダイレクトをサポートしません。

  • USBモデム。
  • USBネットワークアダプター。
  • USBハブ。USBハブに接続したUSBデバイスは、個別に扱われます。
  • USB仮想COMポート。汎用USBリダイレクトではなく、COMポートリダイレクトを使用します。

汎用USBリダイレクトでテストされたUSBデバイスについては、Citrix Ready Marketplaceを参照してください。一部のUSBデバイスは、汎用USBリダイレクトを使用すると正しく動作しません。

汎用USBリダイレクトの設定

汎用USBリダイレクトを使用するUSBデバイスのタイプを制御し、個別に構成できます。

  • Citrixポリシー設定を使ってVDAで設定します。詳しくは、「ポリシー設定リファレンス」の「クライアントドライブやデバイスのリダイレクト」、および「USBデバイスのポリシー設定」を参照してください。
  • Citrix Workspaceアプリで、Citrix Workspaceアプリに依存するメカニズムを使用して設定します。たとえば、管理用テンプレートは、Windows向けCitrix Workspaceアプリを構成するレジストリ設定を制御できます。USBリダイレクトのデフォルトでは、特定のクラスのUSBデバイスでのみ許可され、ほかのクラスのデバイスはリダイレクトされません。詳しくは、Windows向けCitrix Workspaceアプリのドキュメントの「構成」を参照してください。

別々に設定できることで柔軟性が提供されます。例:

  • 2つの異なる組織または部門がCitrix WorkspaceアプリとVDAを担当している場合に、それぞれが別に制御を実行できます。この構成は、ある組織のユーザーが別の組織のアプリケーションにアクセスするときにも適用されます。
  • Citrixポリシー設定では、特定のユーザー、または(Citrix Gateway経由ではなく)LAN経由で接続しているユーザーのみに許可されたUSBデバイスを制御できます。

汎用USBリダイレクトの有効化

汎用USBリダイレクトを有効化して、ユーザーの手動リダイレクトを不要にするには、Citrixポリシー設定とCitrix Workspaceアプリの接続設定の両方を構成します。

Citrixポリシー設定で、次の手順に従います:

  1. ポリシーに [クライアントUSBデバイスリダイレクト] を追加して、値を [許可] に設定します。

    クライアントUSBデバイスリダイレクトの画像

  2. 必要な場合は、ポリシーに [クライアントUSBデバイスリダイレクト規則] 設定を追加してUSBポリシー規則を指定し、リダイレクトするUSBデバイスの一覧を変更します。

    Citrix Workspaceアプリで、次の手順を実行します:

  3. デバイスが手動リダイレクトなしで自動的に接続されるように設定します。この設定は、管理用テンプレートを使うか、Windows向けCitrix Workspaceアプリの[基本設定]>[接続]で実行できます。

    [接続]の画面

前の手順でVDAのUSBポリシー規則を指定した場合は、Citrix Workspaceアプリにも同じポリシー規則を指定します。

シンクライアントでのUSBサポートおよびその構成方法については、デバイスの製造元に問い合わせてください。

汎用USBリダイレクトで使用できるUSBデバイスタイプの設定

USBサポート機能が有効になっており、USB関連のユーザー設定でUSBデバイスに自動接続するように設定されている場合は、USBデバイスが自動的にリダイレクトされます。接続バーが表示されていない場合も、USBデバイスは自動的にリダイレクトされます。

ユーザーは、USBデバイスの一覧からデバイスを選択することによって、自動的にリダイレクトされないデバイスを明示的にリダイレクトすることができます。詳しくは、Windows向けCitrix Workspaceアプリのユーザーヘルプの「Desktop Viewerでのデバイスの表示」を参照してください。

デバイスの画像

最適化されたサポートではなく汎用USBリダイレクトを使用するには、次のどちらかの手順を実行します。

  • Citrix Workspaceアプリで、汎用USBリダイレクトを使うUSBデバイスを手動で選択し、[基本設定]ダイアログボックスの[デバイス]タブで [汎用に切り替え] をオンにします。
  • USBデバイスタイプの自動リダイレクトを設定することで(たとえばAutoRedirectStorage=1)、汎用USBリダイレクトを使うUSBデバイスを自動選択して、USBユーザー基本設定を自動接続USBデバイスに設定します。詳しくは、「USBデバイスの自動リダイレクトの設定」を参照してください。

注:

WebカメラとHDXマルチメディアリダイレクトの互換性がない場合は、Webカメラで使用する汎用USBリダイレクトのみを設定します。

Citrix WorkspaceアプリおよびVDAのデバイス規則を定義して、USBデバイスを一覧に表示しないようにしたり、リダイレクトできないようにしたりできます。

汎用USBリダイレクトでは、少なくともUSBデバイスクラスとサブクラスを知っておく必要があります。すべてのUSBデバイスが明確なUSBデバイスクラスとサブクラスを持つわけではありません。例:

  • ペンはマウスデバイスクラスを使用します。
  • スマートカードリーダーはベンダー定義のクラスまたはHIDデバイスクラスを使用できます。

より正確な制御のためには、ベンダーID、製品ID、およびリリースIDを知っておく必要があります。この情報はデバイスベンダーから入手できます。

重要:

悪意のあるUSBデバイスが、意図された使用状況にマッチしないUSBデバイス特性を示すことがあります。デバイス規則は、この動作を防ぐことを目的としていません。

VDAとCitrix Workspaceアプリ両方のUSBデバイスリダイレクト規則を指定し、デフォルトのUSBポリシー規則よりも優先することで、汎用USBリダイレクトを使用可能なUSBデバイスを制御できます。

VDAの場合:

  • グループポリシー規則を介して、マルチセッションOSマシン上のOSの管理者による上書き規則を編集します。グループポリシー管理コンソールは、インストールメディアにあります。
    • x64の場合:DVDルートの\os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
    • x86の場合:DVDルートの\os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi

Windows向けCitrix Workspaceアプリの場合:

  • ユーザーデバイス側のレジストリを編集します。インストールメディアに収録されている管理テンプレート(ADMファイル。 DVDのルート \os\lang\Support\Configuration\icaclient_usb.adm)により、Active Directoryのグループポリシーを使用してユーザーデバイスを変更できます。

警告:

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

製品のデフォルトの規則は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRulesに格納されています。このデフォルトの規則は変更しないでください。ただし、以下で説明しているように、製品のデフォルトの規則を参照して管理者による上書き規則を作成できます。管理者による上書き規則は、製品のデフォルトの規則よりも先に評価されます。

管理者による上書き規則は、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRulesに格納されています。GPOポリシー規則は、{Allow:|Deny:}の後にスペースで区切った一連の「tag=value」式の形式で設定します。

以下のタグがサポートされます。

タグ 説明
VID デバイス記述子のベンダーID
PID デバイス記述子の製品ID
REL デバイス記述子のリリースID
クラス デバイス記述子またはインターフェイス記述子のクラス。使用可能なUSBクラスコードについては、USB Webサイトhttp://www.usb.org/を参照してください
SubClass デバイス記述子またはインターフェイス記述子のサブクラス
Prot デバイス記述子またはインターフェイス記述子のプロトコル

ポリシー規則を作成する場合、以下の点に注意してください。

  • 大文字と小文字は区別されません。
  • 規則の末尾に、「#」で始まる任意のコメントを追加できます。区切り文字は不要で、コメントは無視されます。
  • 空白行およびコメントのみの行は無視されます。
  • 区切り文字にはスペースが使用されますが、番号または識別子の間には使用できません。たとえば、「Deny: Class = 08 SubClass=05」は有効ですが、「Deny: Class=0 Sub Class=05」は無効です。
  • タグには等号(=)を使用する必要がありますたとえば、VID=1230とします。
  • 各規則を1行ずつ記述するか、同一行に記述する場合はセミコロンで区切られたリスト形式である必要があります。

注:

ADMテンプレートを使用する場合は、規則を単一行に(セミコロン区切りのリストとして)作成する必要があります。

例:

  • 次の例に、ベンダーIDと製品IDに関する管理者定義のUSBポリシー規則を示します。

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • 次の例に、クラス、サブクラス、およびプロトコルに関する管理者定義のUSBポリシー規則を示します。

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

USBデバイスの装着と取り外し

ユーザーは、仮想セッションの開始前および開始後にUSBデバイスを装着できます。

Windows向けCitrix Workspaceアプリでは、以下の点について考慮してください:

  • セッションを開始した後で装着したデバイスは、Desktop Viewerの[USB]メニューに直ちに追加されます。
  • USBデバイスが正しくリダイレクトされない場合、仮想セッションが開始されてからデバイスを装着することで問題が解決される場合があります。
  • データの損失を避けるため、Windowsで推奨される手順([ハードウェアの安全な取り外し]アイコンの使用など)に従ってUSBデバイスを取り外してください。

USBマスストレージデバイスのセキュリティ制御

USBマスストレージデバイスでは最適化されたサポートが提供されます。このサポートは、Citrix Virtual Apps and Desktopsのクライアント側ドライブのマッピング機能に含まれています。ユーザーのログオン時にユーザーデバイス上のドライブが自動的に仮想デスクトップのドライブ文字にマップされます。これらのドライブは、マップされたドライブ文字を持つ共有フォルダーとして表示されます。クライアント側ドライブのマッピングを構成するには、[クライアント側リムーバブルドライブ]設定を使用します。この設定は、ICAポリシー設定の [ファイルリダイレクトポリシー設定] セクションにあります。

USBマスストレージデバイスでは、Client側ドライブのマッピングまたは汎用USBリダイレクトのどちらか、またはこの両方を使用できます。これらはCitrixポリシーを使って制御されます。主な違いは次のとおりです。

機能 クライアント側ドライブのマッピング 汎用USBリダイレクト
デフォルトで有効 はい いいえ
読み取り専用アクセスの構成が可能 はい いいえ
デバイスアクセスが暗号化される はい、デバイスにアクセスする前に暗号化のロックを解除した場合 はい
BitLocker To Goデバイス いいえ いいえ
セッション中にデバイスを安全に取り外せる いいえ はい(ユーザーがオペレーティングシステムで推奨される手順に従う場合)

汎用USBリダイレクトとクライアント側ドライブのマッピングのポリシーの両方が有効な場合、セッション開始前または後に装着されたマスストレージデバイスがクライアント側ドライブのマッピングによりリダイレクトされます。汎用USBリダイレクトとクライアント側ドライブのマッピングのポリシーの両方が有効で、自動リダイレクトが構成されている場合、セッション開始前または後に装着されたマスストレージデバイスが汎用USBリダイレクトによりリダイレクトされます。詳しくは、Knowledge CenterのCTX123015を参照してください。

注:

USBリダイレクトはより低い帯域幅の接続(50Kbpsなど)でもサポートされます。ただし、大きなファイルはコピーできません。

クライアント側ドライブのマッピングを使うファイルアクセスの制御

管理者は、ユーザーが仮想環境のファイルをユーザーデバイス上にコピーすることを許可したり禁止したりできます。デフォルトでは、マップされたクライアント側ドライブ上のフォルダーやファイルに対するセッション内での読み取りや書き込みが許可されます。

マップされたクライアント側デバイス上でのフォルダーおよびファイルの追加や変更を禁止するには、[クライアント側ドライブへの読み取り専用アクセス]設定を有効にします。この設定項目をポリシーに追加するときは、[クライアントドライブのリダイレクト]設定も追加されており、[許可]が選択されていることを確認してください。