ポリシーの比較、優先度、モデル作成、およびトラブルシューティング
ユーザーの担当業務、作業場所、または接続の種類などのユーザーのニーズに応じて、複数のポリシーを作成できます。たとえば、セキュリティ強化を目的として、機密データを日常的に取り扱うユーザーグループのアクセスに、一定の制限を適用したい場合があります。
また、この場合、ユーザーがローカルのクライアントドライブ上に機密データファイルを保存することを禁止するポリシーを作成できます。また、そのユーザーグループの中にローカルドライブへのアクセスが必要なユーザーがいる場合は、そのユーザー専用のポリシーを作成してほかのポリシーよりも高い優先度を設定します。同じユーザーに複数のポリシーが適用される場合は、それらのポリシーに優先度を設定して、適用される設定内容を制御できます。複数のポリシーを使用する場合は、次のことを決定する必要があります:
- ポリシーに優先順位を付ける方法
- 例外を作成する方法
- ポリシーが競合する場合に効果的なポリシーを表示する方法。
通常、Citrixポリシーの設定は、サイト全体、またはDelivery Controllerやユーザーデバイス側で構成されている同様の設定よりも優先されます。ただし、ご使用の環境で最高レベルの暗号化設定が、他の設定やポリシーよりも常に優先されます。最高レベルの暗号化設定には、オペレーティングシステムや最も制限の厳しいシャドウ機能の設定などがあります。
Citrixポリシーは、オペレーティングシステム側で設定されているほかのポリシーとも関連して機能します。Citrix環境では、Active DirectoryやWindowsのリモートデスクトップセッションホストの構成ツールでの設定よりも、Citrixポリシーでの設定の方が優先されます。この設定には、一般的なリモートデスクトッププロトコル(RDP)のクライアント接続設定に関連する設定などがあります。一般的なRDP設定には、デスクトップの壁紙、メニューのアニメーション化、ウィンドウの内容を表示したままドラッグする機能などの設定があります。
また、[Secure ICAの最低暗号化レベル]など、オペレーティングシステム側の設定と合致していなければならないものもあります。Citrixポリシー以外の機能でより高い暗号化レベルが設定されている場合、[Secure ICAの最低暗号化レベル] 設定やアプリケーションやデスクトップごとに指定されている配信設定は無視されます。
たとえば、デリバリーグループを作成するときに指定する暗号化レベルは、その環境全体に対して設定されているレベルと同じである必要があります。
注:
ダブルホップシナリオの2つ目のホップでは、シングルセッションOS VDAをマルチセッションOS VDAに接続することを検討してください。この場合、Citrixポリシーは、ユーザーデバイスであるかのように、シングルセッションOS VDAに作用します。たとえば、ポリシーがユーザーデバイスにイメージをキャッシュするように設定されているとします。この例では、ダブルホップ環境における2つ目のホップに対してキャッシュされたイメージは、シングルセッションOS VDAマシンでキャッシュされます。
ポリシーおよびテンプレートの比較
Studioでは、1つのポリシーまたはテンプレートの設定を、複数のポリシーまたはテンプレートの設定と比較することができます。たとえば、ベストプラクティスのコンプライアンス状態を維持できる値に設定されているかどうかを確認する必要が生じることがあります。また、そのポリシーまたはテンプレートの各設定項目の設定値を、デフォルトの値と比較する必要が生じることもあります。
- Studioのナビゲーションペインで [ポリシー] を選択します。
- [比較]タブをクリックし、[選択]をクリックします。
- 比較するポリシーまたはテンプレートのチェックボックスをオンにします。[設定項目のデフォルト値と比較する]チェックボックスをオンにすると、各設定項目のデフォルト値が比較結果に追加されます。
- [比較]をクリックすると、構成された設定項目とその設定値が一覧表示されます。
- すべての設定項目を表示するには、[すべての設定項目を表示]を選択します。元の表示に戻るには、[共通の設定項目を表示]を選択します。
ポリシーの優先度
複数のポリシーで設定内容が競合することを防ぐために、ポリシーに優先度を設定できます。ユーザーがログオンするときに、その接続の条件に一致するすべてのポリシーが検出されます。検出されたポリシーは優先度順に処理されます。このとき、ポリシー間で重複している設定がある場合は、最も優先度の高いポリシーの内容が適用されます。
Studioでは、ポリシーの優先度が数値で示されます。デフォルトでは、新しいポリシーに最低の優先度が設定されます。複数のポリシーで設定内容に矛盾が生じた場合は、優先度の高いポリシー(最高の優先度は「1」です)の設定が適用されます。複数のポリシーの設定内容は、ポリシーの優先度や設定の条件に基づいて統合されます。たとえば、設定が無効か有効かなどです。優先度のより高いポリシーの設定で[無効]が選択されている場合、優先度の低いポリシーで[有効]が選択されていても、その設定内容は無視されます。ただし、[設定しない]が選択されたポリシー設定は無視されるため、優先度の高いポリシーで[設定しない]が設定されている場合、その設定内容は無視され、優先度の低いポリシーの内容が適用されます。
- Studioのナビゲーションペインで [ポリシー] を選択します。[ポリシー] タブが選択されていることを確認します。
- ポリシーを選択します。
- [操作] ペインの [優先度を低く] または [優先度を高く] を選択します。
例外
ユーザー、ユーザーデバイス、またはマシンに対して作成したポリシーの中に、そのグループの特定のユーザーに適用したくない設定内容が含まれている場合は、以下の方法で例外を設定します。
- 例外処理が必要なグループメンバー用に新しいポリシーを作成して、ほかのポリシーより高い優先度を設定します。
- ポリシーに追加する割り当てのモードとして[拒否]を選択します。
割り当てのモードとして[拒否]を選択すると、その条件にマッチしない接続にのみポリシーが適用されます。たとえば、ポリシーには次の割り当てが含まれます:
- Assignment Aは、[クライアントのIPアドレス]割り当てで「208.77.88.*」を指定します。[許可]を設定します。
- Assignment Bは、[ユーザーまたはグループ]割り当てで特定のユーザーアカウントを指定します。[拒否]を設定します。
この2つのフィルターが設定されたポリシーは、Assignment Aで指定した範囲のIPアドレスを持つサイトにログオンするすべてのユーザーに適用されます。ただし、Assignment Bで指定したユーザーアカウントを使用してこのサイトにログオンするユーザーには、このポリシーは適用されません。
接続に適用されるポリシーの確認
複数のポリシーが適用されるために、意図した設定が接続に反映されないことがあります。作成したポリシーよりも優先度の高いポリシーがあると、意図した設定内容が上書きされてしまいます。管理者は、ポリシーの結果セットを算出でき、接続のために最終的にポリシー設定をどのようにマージするかを決定できます。
最終的に適用される設定を確認するには、以下の方法を使用します。
- Citrixグループポリシーモデル作成ウィザードを使用して、接続シナリオをシミュレートしてCitrixポリシーがどのように適用されるかを確認する。次のような接続シナリオの条件を指定できます:
- ドメインコントローラー
- ユーザー
- Citrixポリシーの割り当ての証拠値
- 低速ネットワーク接続などのシミュレートされた環境設定 ウィザードが生成するレポートには、このシナリオで機能する可能性のあるCitrixポリシーが一覧表示されます。ドメインユーザーとしてコントローラーにログオンしているとします。この場合、サイトポリシー設定とActive Directoryグループポリシーオブジェクト(GPO)の両方を使って、ウィザードでポリシーの結果セットが算出されます。
- グループポリシーの結果ウィザードで、特定のユーザーやControllerに適用されるCitrixポリシーのレポートを作成する。グループポリシー結果ツールは、環境内のGPOの現在の状態を評価し、レポートを生成するのに役立ちます。生成されたレポートは、Citrixポリシーなどのオブジェクトが、特定のユーザーおよびコントローラーに現在どのように適用されているかを示します。
Citrixグループポリシーモデル作成ウィザードは、Citrix Studio の [操作] ペインから起動できます。これらのツールは、Windowsのグループポリシー管理コンソールから起動できます。
Studioを使用して作成したサイトポリシー設定は、次の場合、ポリシーの結果セットに含まれません:
- グループポリシー管理コンソールからCitrixグループポリシーモデル作成ウィザードを実行する場合、 または、
- グループポリシー管理コンソールからグループポリシー結果ツールを実行する場合
ポリシーの管理にグループポリシー管理コンソールのみを使用している場合を除き、最も包括的なポリシーの結果セットを確実に取得するためには、StudioからCitrixグループポリシーモデル作成ウィザードを起動することをお勧めします。
Citrixグループポリシーモデル作成ウィザードの使用
Citrixグループポリシーモデル作成ウィザードを開くには、以下のいずれかを行います。
- Studioのナビゲーションペインで[ポリシー]を選択し、[モデル作成]タブを選択して[操作]ペインの[モデル作成ウィザードの起動]を選択します。
- グループポリシー管理コンソール(gpmc.msc)を起動して、コンソールツリーの[Citrixグループポリシーモデル作成]ノードを右クリックして[Citrixグループポリシーモデル作成ウィザード]を選択します。
ウィザードの指示に従って、以下を選択します:
- ドメインコントローラー
- ユーザー
- コンピューター
- 環境設定
- シミュレーションで使用するCitrix割り当て基準。
[完了] をクリックすると、モデル作成の結果のレポートが作成されます。Studioでは、中央ペインの [モデル作成] タブにレポートが表示されます。
レポートを表示するには、[モデル作成レポートの表示] を選択します。
注:
[モデル作成] タブは、Citrix CloudでホストされているStudioでは使用できません。
ポリシーのトラブルシューティング
複数のポリシーで、適用先として同じ割り当て(ユーザーアカウントやクライアントのIPアドレスなど)を指定することも可能です。このシナリオでは、ポリシーの設定が別のポリシーの設定と競合すると、ポリシーが意図したとおりに適用されない可能性があります。最終的に適用されるポリシーを確認するためにCitrixグループポリシーモデル作成ウィザードやグループポリシーの結果ウィザードを使用する場合、ユーザー接続にいずれのポリシーも適用されないことが判明することがあります。このようなシナリオでは、ポリシー評価基準に合致する条件でアプリケーションおよびデスクトップに接続するユーザーに、ポリシー設定が適用されません。この状況は、次の場合に発生します:
- 割り当て条件に合致するポリシーがない場合。
- 割り当て条件に合致したポリシーに設定項目が追加されていない場合。
- 割り当て条件に合致したポリシーが無効になっている場合。
指定した条件の接続にポリシーが適用されるようにするには、以下の内容を確認します。
- そのポリシーが有効になっている。
- そのポリシーに追加した設定項目の内容が適切である。