リモートPCアクセス
リモートPCアクセスはCitrix Virtual Apps and Desktopsの機能であり、組織で従業員が安全な方法でリモートから企業リソースに簡単にアクセスできるようにします。Citrixプラットフォームでは、ユーザーが社内の物理的なPCにアクセスできるようにすることで、この安全なアクセスを可能にします。ユーザーが社内PCにアクセスできる場合、作業に必要なすべてのアプリケーション、データ、リソースにアクセスできます。リモートPCアクセスにより、テレワークに対応するために他のツールを導入したり提供したりする必要がなくなります。たとえば、仮想デスクトップまたはアプリケーション、および関連するインフラストラクチャなどです。
リモートPCアクセスでは、仮想デスクトップとアプリケーションを配信するのと同じCitrix Virtual Apps and Desktopsコンポーネントが使用されます。その結果、リモートPCアクセスの展開と構成の要件およびプロセスは、仮想リソースの配信のためにCitrix Virtual Apps and Desktopsの展開に必要なものと同じです。この統一性により、一貫性のある統一された管理エクスペリエンスが実現されます。ユーザーは、Citrix HDXを使用して社内PCセッションを提供することで、最高のユーザーエクスペリエンスを実現できます。
この機能は、種類がリモートPCアクセスのマシンカタログで構成され、提供されます:
- OUを指定してマシンを追加する機能。この機能によってPCの一括追加を円滑に実行できます。
- 社内のWindows PCにログインするユーザーに基づいた自動ユーザー割り当て。単一ユーザーおよび複数ユーザーの割り当てをサポートしています。
Citrix Virtual Apps and Desktopsでは、他の種類のマシンカタログを使用することで、物理PCのユースケースが増えます。これらのユースケースには次のようなものがあります:
- 物理Linux PC
- プールされた物理PC(ランダムに割り当てられ、専用ではありません)
メモ:
サポートされているOSバージョンについて詳しくは、VDAのシステム要件(「シングルセッションOS」と「Linux VDA」)を参照してください。
オンプレミス展開の場合、リモートPCアクセスは、Citrix Virtual Apps and DesktopsのAdvancedまたはPremiumライセンスでのみ有効です。セッションでは、他のCitrix Virtual Desktopsセッションと同様にライセンスが消費されます。Citrix Cloudの場合、Citrix Virtual Apps and DesktopsサービスおよびWorkspace Premium Plusで有効です。
注意事項
Citrix Virtual Apps and Desktops全般に適用される技術的要件および考慮事項はすべて、リモートPCアクセスにも適用されますが、一部は物理PCのユースケースに対してより関連性があるか、または排他的な場合もあります。
重要:
Windows 11(と一部のWindows 10を実行している)物理システムには仮想化ベースのセキュリティ機能が含まれているため、VDAソフトウェアがそれらを仮想マシンとして誤って検出します。この問題を緩和するには、次のオプションがあります。
VDAコマンドラインを使用したインストールで、「/physicalmachine」オプションを「/remotepc」オプションとともに使用します。
前述のオプションを使用しなかった場合は、VDAのインストール後に次のレジストリ値を追加します
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA
- 名前:ForceEnableRemotePC - 種類:DWORD - データ:1
展開に関する考慮事項
リモートPCアクセスの導入を計画する際は、以下の全般的な項目について判断してください。
- 既存のCitrix Virtual Apps and Desktops展開にリモートPCアクセスを追加できます。このオプションを選択する前に、以下の点を考慮してください:
- リモートPCアクセスのVDAに関連する追加の負荷をサポートするために、現在のDelivery ControllerまたはCloud Connectorのサイズは適切か?
- オンプレミスのサイトデータベースとデータベースサーバーは、リモートPCアクセスのVDAに関連する追加の負荷をサポートするために適切なサイズか?
- 既存のVDAと新しいリモートPCアクセスのVDAは、サイトあたりサポートされるVDAの最大数を超えているか?
- VDAは、自動プロセスによって社内PCに展開する必要があります。使用可能な2つのオプションは次のとおりです:
- SCCMなどの電子ソフトウェア配信(ESD)ツール:SCCMを使用したVDAのインストール。
- 展開スクリプト:スクリプトを使用したVDAのインストール。
- 「リモートPCアクセスのセキュリティに関する考慮事項」を確認してください。
マシンカタログに関する考慮事項
必要なマシンカタログの種類は、ユースケースによって異なります:
- リモートPCアクセス
- Windows専用PC
- Windows専用のマルチユーザーPC
- シングルセッションOS
- 静的 - 専用Linux PC
- ランダム - プールされたWindowsおよびLinux PC
マシンカタログの種類を特定したら、次の点を考慮してください:
- リモートPCアクセスでは、1つのマシンを複数のマシンカタログに同時に関連付けることはできません。
- 委任管理を円滑に進めるために、各カタログの管理を適切な管理者に容易に委任できる地理的な場所、部署、またはその他のグループに基づいて、マシンカタログを作成することを検討してください。
- マシンアカウントが存在するOUを選択する場合は、より細分化するために下位レベルのOUを選択します。このような細分性が必要ない場合は、上位レベルのOUを選択できます。たとえば、Bank/Officers/Tellersの場合、より細分性を高めるためにTellersを選択します。それ以外の場合は、要件に基づいて [役員] または [銀行] を選択できます。
- リモートPCアクセスマシンカタログに割り当てた後にOUを移動または削除すると、VDAの関連付けに影響し、今後の割り当てで問題が発生します。したがって、マシンカタログのOU割り当ての更新がActive Directory変更計画で考慮されるように、適切な計画を立ててください。
- OU構造のため、マシンカタログにマシンを追加するOUを選択することが容易でない場合は、OUを選択する必要はありません。後でPowerShellを使用してマシンをカタログに追加できます。デリバリーグループでデスクトップ割り当てが正しく構成されていれば、ユーザーの自動割り当ては引き続き機能します。ユーザー割り当てと併せてマシンカタログにマシンを追加するサンプルスクリプトについては、「GitHub」を参照してください。
- 統合されたWake on LANは、リモートPCアクセスタイプのマシンカタログでのみ使用できます。
Linux VDAに関する考慮事項
次の考慮事項は、Linux VDAに固有のものです:
- Linux VDAは、非3Dモードの物理マシンでのみ使用します。NVIDIAのドライバーの制限により、HDX 3Dモードが有効になっている場合、PCのローカル画面はブラックアウトせず、画面にはセッションのアクティビティが表示されます。この画面の表示は、セキュリティ上のリスクです。
- 物理Linuxマシンには、シングルセッションOSタイプのマシンカタログを使用します。
- 統合されたWake on LAN機能は、Linuxマシンでは使用できません。
技術的な要件および考慮事項
このセクションでは、物理PCの技術要件と考慮事項について説明します。
- 以下はサポートされていません:
- KVMスイッチ、またはセッションを切断する可能性のあるそのほかのコンポーネント。
- ハイブリッドPC(オールインワンおよびNVIDIA OptimusノートブックおよびPCを含む)。
- キーボードとマウスをPCに直接接続します。電源を切ったり接続を切断したりできるモニターなどのコンポーネントに接続すると、これらの周辺機器が使用できなくなることがあります。キーボードやマウスをモニターなどのデバイス経由で接続する必要がある場合は、それらのコンポーネントの電源をオフにしないでください。
- PCはActive Directoryドメインサービスドメインに参加している必要があります。
- セキュアブートはWindows 10でのみサポートされています。
- PCにはアクティブなネットワーク接続が必要です。信頼性と帯域幅を高めるには、有線接続をお勧めします。
- Wi-Fiを使用する場合、以下の点を確認します:
- 電源設定でワイヤレスアダプターの電源を入れたままにするようにします。
- ユーザーがサインインする前にワイヤレスネットワークに自動的に接続できるように、ワイヤレスアダプターとネットワークプロファイルを構成します。そうしないと、ユーザーがログオンするまでVDAは登録されません。ユーザーがログオンするまで、PCではリモートアクセスを使用できません。
- Wi-FiネットワークからDelivery ControllerまたはCloud Connectorにアクセスできることを確認してください。
- リモートPCアクセスはノートブックコンピューターで使用できます。ノートブックがバッテリーで動作しているのではなく、電源に接続されていることを確認します。デスクトップPCのオプションに合わせて、ノートブックの電源オプションを構成します。例:
- 休止機能を無効にする。
- スリープ機能を無効にする。
- カバーを閉じた場合の動作を [何もしない] に設定する。
- 電源ボタンを押したときの操作を [シャットダウン] に設定する。
- ビデオカードおよびNICの省電力設定を無効にする。
- リモートPCアクセスは、Surface Proデバイス上のWindows 10でサポートされます。前述のノートブックと同じガイドラインに従います。
-
ドッキングステーションを使用している場合、ノートブックをドッキング解除して再接続できます。ドッキング解除すると、VDAはWi-FiでDelivery ControllerまたはCloud Connectorに再登録されます。ただし、ノートブックを再接続した場合、ワイヤレスアダプターを外さない限り、VDAは有線接続を使用するように切り替わりません。有線接続が確立されると、組み込まれた機能がワイヤレスアダプターを切断するデバイスもあります。それ以外のデバイスでは、ワイヤレスアダプターを切断するためのカスタムソリューションかサードパーティ製のユーティリティが必要です。前述のWi-Fiに関する考慮事項を確認してください。
デバイスのリモートPCアクセスでドッキングとドッキング解除を有効にするには、以下の操作を実行します:
- [スタート] メニューの [設定]>[システム]>[電源とスリープ] で [スリープ] を [なし] に設定します。
- [デバイスマネージャー]>[ネットワーク アダプター]>[イーサネットアダプター] の[電源管理] で [電力の節約のために、コンピューターでこのデバイスの電源をオフにできるようにする] に移動します。[このデバイスで、コンピューターのスタンバイ状態を解除できるようにする] チェックボックスがオンになっていることを確認します。
- 同じ社内PCにアクセスする複数のユーザーには、Citrix Workspaceで同じアイコンが表示されます。ユーザーがCitrix Workspaceにログオンすると、そのリソースが他のユーザーによって既に使用されている場合は使用不可と表示されます。
- 社内PCへアクセスする各クライアントデバイス(自宅のPCなど)に、Citrix Workspaceアプリをインストールします。
構成の順序
このセクションでは、リモートPCアクセスタイプのマシンカタログを使用する場合にリモートPCアクセスを構成する方法の概要について説明します。他のタイプのマシンカタログを作成する方法については、「マシンカタログの作成」を参照してください。
-
オンプレミスサイトのみ - 統合されたWake on LAN機能を使用するには、「Wake on LAN」で説明されている前提条件を構成します。
-
リモートPCアクセス用に新しいCitrix Virtual Apps and Desktopsサイトが作成された場合:
- リモートPCアクセスサイトの種類を選択します。
- 管理者は、[電源管理] ページで、デフォルトのリモートPCアクセスマシンカタログのマシンの電源管理機能を有効または無効にできます。この設定は、後でマシンカタログのプロパティを編集して変更できます。Wake on LANの構成について詳しくは、「Wake on LAN」を参照してください。
- 「ユーザー」ページと「マシンアカウント」ページの情報を入力します。
これらの手順を完了すると、「 リモートPCアクセスマシン 」という名前のマシンカタログと、「 リモートPCアクセスデスクトップ 」という名前のデリバリーグループが作成されます。
-
既存のCitrix Virtual Apps and Desktopsサイトに追加する場合:
- リモートPCアクセスタイプのマシンカタログを作成します(ウィザードの[オペレーティングシステム]ページ)。マシンカタログの作成方法について詳しくは、「マシンカタログの作成」を参照してください。ターゲットのPCをリモートPCアクセスで使用できるように、正しい組織単位が割り当てられていることを確認します。
- デリバリーグループを作成して、ユーザーがマシンカタログのPCにアクセスできるようにします。デリバリーグループの作成方法について詳しくは、「デリバリーグループの作成」を参照してください。PCへのアクセスが必要なユーザーが含まれるActive Directoryグループにこのデリバリーグループを割り当てます。
-
VDAを社内PCに展開します。
- シングルセッションOSコアVDAインストーラー(VDAWorkstationCoreSetup.exe)を使用することをお勧めします。
- シングルセッションのフルVDAインストーラー(VDAWorkstationSetup.exe)を
/remotepc
オプションで使用することもできます。これにより、コアVDAインストーラーを使用する場合と同じ結果が得られます。 - ヘルプデスクTeamsがCitrix Directorを通じてリモートサポートを提供できるように、Windowsリモートアシスタンスを有効にすることを検討してください。そのために、
/enable_remote_assistance
オプションを使用します。詳しくは、「コマンドラインを使ったインストール」を参照してください。 - Directorでログオン時間情報を表示するには、シングルセッション完全版VDAインストーラーを使用してCitrix User Profile Manager WMI Pluginコンポーネントを含める必要があります。
/includeadditional
オプションを使用してこのコンポーネントを含めます。詳しくは、「コマンドラインを使ったインストール」を参照してください。 - SCCMを使用したVDAの展開については、「SCCMを使用したVDAのインストール」を参照してください。
- 展開スクリプトを使用したVDAの展開については、「スクリプトを使用したVDAのインストール」を参照してください。
手順2~4を正常に完了すると、ユーザーがPCにローカルでログインしたときに、自動的にマシンが割り当てられます。
-
社内PCへのリモート接続で使用する各クライアントデバイスに、Citrix Workspaceアプリをダウンロードしインストールするようユーザーに指示します。Citrix Workspaceアプリは
https://www.citrix.com/downloads/
から、またはサポートされるモバイルデバイス向けのアプリストアから入手できます。
レジストリで管理される機能
注意: レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
複数ユーザーの自動割り当てを無効化
Delivery Controllerごとに、次のレジストリ設定を追加します:
HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer
- 値の名前:AllowMultipleRemotePCAssignments
- 種類:DWORD
- データ:0
スリープモード(バージョン7.16以降)
リモートPCアクセスマシンがスリープ状態に入ることを許可するには、このレジストリ設定をVDAに追加してからマシンを再起動します。再起動後は、オペレーティングシステムの省電力設定が優先されます。設定済みのアイドルタイマー間隔が経過すると、マシンはスリープモードに入ります。マシンがスリープモードから復帰すると、Delivery Controllerに再登録されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA
- 値の名前:DisableRemotePCSleepPreventer
- 種類:DWORD
- データ:1
セッション管理
デフォルトでは、ローカルユーザーがそのマシンでCtrl+Alt+Delキーを押してセッションを開始すると、リモートユーザーのセッションは自動的に切断されます。自動的に切断されないようにするには、社内PCに次のレジストリエントリを追加してから、マシンを再起動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePC
- 値の名前:SasNotification
- 種類:DWORD
- データ:1
デフォルトでは、接続メッセージがタイムアウト期間内に承認されなかった場合にリモートユーザーがローカルユーザーより優先されます。この動作を構成するには、次の設定を使用します:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePC
- 値の名前:RpcaMode
- 種類:DWORD
- データ:
- 1 - 指定のタイムアウト期間にMessaging UIへ応答しない場合、リモートユーザーが常に優先されます。この設定が構成されていない場合、この動作がデフォルトです。
- 2 - ローカルユーザーが優先されます。
リモートPCアクセスモードを強制するまでのタイムアウト期間はデフォルトでは30秒です。このタイムアウト期間は変更できますが、30秒より短く設定しないでください。タイムアウトを構成するには、次のレジストリ設定を使用します:
HKLM\SOFTWARE\Citrix\PortICA\RemotePC
- 値の名前:RpcaTimeout
- 種類:DWORD
- データ:10進数のタイムアウト値(秒単位)
ユーザーがコンソールに強制的にアクセスできるようにするには:ローカルユーザーがCtrl+Alt+Delキーを10秒以内に2回押すことによって、リモートセッションのローカル制御を取得して切断イベントを強制的に発生します。
レジストリを変更してマシンを再起動した後に、リモートユーザーが使用中のPCにローカルユーザーがCtrl+Alt+Delキーを押してログオンすると、プロンプトがリモートユーザーに表示されます。このプロンプトは、ローカルユーザーの接続を許可するか拒否するかを尋ねます。接続を許可すると、リモートユーザーのセッションは切断されます。
Wake-on-LAN
統合されたWake on LANは、オンプレミスのCitrix Virtual Apps and Desktopsでのみ使用でき、Microsoft System Center Configuration Manager(SCCM)が必要です。
リモートPCアクセスではWake on LANがサポートされ、物理PCをリモートから起動できます。この機能により、ユーザーが退社時にPCの電源をオフにできるようになるため、消費電力を節約できます。また、電源が突然オフになったPCにもリモートアクセスできるようになります。たとえば、停電でオフになった場合などです。
リモートPCアクセスのWake on LAN機能は、BIOS/UEFIでWake on LANオプションが有効になっている PCでサポートされてます。
制限事項
Wake on LAN機能を使用したリモートPCアクセスでは、ピーク時の自動電源投入はサポートされません。
CCMおよびリモートPCアクセスのWake on LAN
リモートPCアクセスのWake on LAN機能を構成するには、以下のタスクを完了してからVDAを展開します。
- 組織内でSCCM 2012 R2、2016、または2019を構成します。リモートPCアクセス用のすべてのマシンにSCCMクライアントを展開し、スケジュールされているSCCMインベントリサイクルが実行されるのを待ちます(必要に応じて、手動で強制的に実行することもできます)。
- SCCMのウェイクアッププロキシやマジックパケットを使用する場合:
- 各PCのBIOS/UEFI設定で、Wake on LAN機能を有効にします。
- ウェイクアッププロキシの場合は、SCCMでウェイクアッププロキシを有効にします。リモートPCアクセスのWake on LAN機能を使用するPCが属する各サブネットで、センチネルマシンとして動作可能なマシンが3台以上あることを確認します。
- マジックパケットの場合は、サブネット宛てのブロードキャストまたはユニキャストを使用して、ネットワーク経路およびファイアウォールでパケットの転送がブロックされないようにします。
社内PC上にVDAをインストールしたら、接続とマシンカタログを作成するときに電源管理機能を有効または無効にします。
- カタログで電源管理機能を有効にする場合は、接続の詳細としてSCCMのアドレス、アクセス資格情報、および接続名を指定します。このアクセス資格情報は、スコープのコレクションおよびリモートツールオペレーターの役割にアクセスできる必要があります。
- 電源管理機能を無効にした場合でも、電源管理(Configuration Manager)接続を後から追加して、リモートPCアクセスのマシンカタログを編集して電源管理機能を有効にできます。
電源管理接続を編集して、詳細設定を変更できます。以下の機能を有効にできます。
- SCCMのウェイクアッププロキシ。
- Wake on LAN(マジック)パケット。Wake on LANパケットを有効にする場合は、パケットの転送方法としてサブネット向けのブロードキャストまたはユニキャストを選択できます。
社内PCではAMTパワーコマンド(サポートされる場合)と、有効にした詳細設定が使用されます。AMTパワーコマンドが使用されない場合は、詳細設定が使用されます。
トラブルシューティング
モニターのブランキングが機能しない
アクティブなHDXセッションがあるときにWindows PCのローカルモニターが空白になっていない場合(ローカルモニターはセッションで発生していることを表示します)、GPUベンダーのドライバーに問題があることが原因である可能性があります。この問題を解決するには、次のレジストリ値を設定して、Citrix Indirect Displayドライバー(IDD)にグラフィックカードのベンダードライバーよりも高い優先度を与えます:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Graphics\AdapterMerits
- 名前:CitrixIDD
- 種類:DWORD
- データ:3
ディスプレイアダプターの優先度とモニターの作成について詳しくは、Knowledge CenterのCTX237608を参照してください。
セッション管理通知が有効になっているマシンでCtrl+Alt+Delを選択すると、セッションが切断される
レジストリ値SasNotificationによって制御されるセッション管理通知は、VDAでリモートPCアクセスモードが有効になっている場合にのみ機能します。物理PCでHyper-Vの役割または仮想化ベースのセキュリティ機能が有効になっている場合、PCは仮想マシンとして報告します。VDAが仮想マシン上で実行されていることを検出すると、リモートPCアクセスモードが自動的に無効になります。リモートPCアクセスモードを有効にするには、次のレジストリ値を追加します:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA
- 名前:ForceEnableRemotePC
- 種類:DWORD
- データ:1
設定を有効にするには、PCを再起動します。
診断情報
リモートPCアクセスの診断情報は、Windowsのアプリケーションイベントログに書き込まれます。情報メッセージは調整されません。エラーメッセージは重複メッセージの破棄により調整されます。
- 3300(情報) : マシンカタログへのマシンの追加
- 3301(情報) : デリバリーグループへのマシンの追加
- 3302(情報) : ユーザーへのマシンの割り当て
- 3303(エラー):例外の発生
電源管理
リモートPCアクセス用の電源管理を有効にすると、サブネット向けのブロードキャストでのマシンの起動に失敗することがあります。この問題は、Controllerとマシンが異なるサブネット上に存在する場合に発生します。AMTがサポートされない場合に異なるサブネット間でサブネット向けのブロードキャストを使用するには、ウェイクアッププロキシまたはユニキャストを使用してください。これらの詳細設定は、電源管理接続のプロパティで有効にできます。
アクティブなリモートセッションは、ローカルのタッチスクリーン入力を記録します
VDAでリモートPCアクセスモードを有効にすると、アクティブなセッション中にローカルタッチスクリーン入力が無視されます。物理PCでHyper-Vの役割または仮想化ベースのセキュリティ機能が有効になっている場合、PCは仮想マシンとして報告します。VDAが仮想マシン上で実行されていることを検出すると、リモートPCアクセスモードが自動的に無効になります。リモートPCアクセスモードを有効にするには、次のレジストリ設定を追加します:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA
- 名前:ForceEnableRemotePC
- 種類:DWORD
- データ:1
設定を有効にするには、PCを再起動します。
その他のリソース
リモートPCアクセスのその他のリソースは次のとおりです:
- ソリューション設計ガイダンス:「リモートPCアクセス設計の決定」。
- リモートPCアクセスアーキテクチャの例:「CitrixのリモートPCアクセスソリューションのリファレンスアーキテクチャ」。