仮想チャネルのセキュリティ
デフォルトでは、仮想チャネル許可リスト機能が有効になっています。その結果、Citrix仮想チャネルのみがVirtual Apps and Desktopsセッションで開けるようになっています。自社製、サードパーティ製を問わず、カスタム仮想チャネルを使用する必要がある場合は、これらを許可リストに明示的に追加する必要があります。
許可リストへの仮想チャネルの追加
許可リストに仮想チャネルを追加するにあたって必要なものは、次のとおりです:
-
コードで定義されている仮想チャネル名。最大7文字の長さにすることができます。たとえば、
CTXCVC1などです。 -
VDAマシンで仮想チャネルを開くプロセスのパス。たとえば、
C:\Program Files\Application\run.exeなどです。
必要な情報を取得したら、仮想チャネルの許可リストポリシー設定を使用して、仮想チャネルを許可リストに追加する必要があります。仮想チャネルをリストに追加するには、仮想チャネル名のあとにコンマを入力してから、その仮想チャネルにアクセスするプロセスへのパスを入力します。複数のプロセスがある場合は、コンマで区切って追加できます。
注:
ポリシーに変更を加えた後、VDAを再起動して、変更が有効になるようにします。
前の例を使用して、以下をリストに追加します:
CTXCVC1,C:\Program Files\Application\run.exe
複数のプロセスがある場合は、以下をリストに追加します:
CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe
Citrix仮想チャネルに関する考慮事項
組み込みのCitrix仮想チャネルはすべて信頼されており、追加の構成なしで開くことができます。ただし、次の2つの機能は、外部の依存関係のために許可リストに明示的なエントリを必要とします:
- マルチメディアリダイレクト
- HDX RealTime Optimization Pack for Skype for Business
マルチメディアリダイレクト
この情報は、許可リストのエントリに必要です:
- 仮想チャネル名:CTXMM
- プロセス:VDAマシンで使用されているメディアプレーヤーのパス。例:C:\Program Files (x86)\Windows Media Player\wmplayer.exe
- 許可リストのエントリ:
CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe
HDX RealTime Optimization Pack for Skype for Business
この情報は、許可リストのエントリに必要です:
- 仮想チャネル名: CTXRMEP
- プロセス:VDAマシン内のSkype for Business実行可能ファイルのパス。Skype for Businessのバージョンや、カスタムインストールパスの使用の有無によって異なる場合があります。例:C:\Program Files\Microsoft Office\root\Office16\lync.exe.
- 許可リストのエントリ:
CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe
仮想チャネル名とプロセスの取得
仮想チャネルの名前とVDAマシンで仮想チャネルを開くプロセスを取得する最も簡単な方法は、仮想チャネルを提供した開発者またはサードパーティベンダーから情報を取得することです。
別の方法としては、機能のログを適用し、次の手順に従うことで情報を取得することもできます:
- カスタム仮想チャネルのクライアントコンポーネントとサーバーコンポーネントを配置したら、仮想アプリケーションまたは仮想デスクトップを起動します。
- VDAマシンのシステムイベントログにて、次のイベントでカスタム仮想チャネルの名前を探します:
- シングルセッションVDAでは、ソースPicaddからのイベントID 2004。
- マルチセッションVDAでは、ソースRpmからのイベントID 16。
- セッションからログオフします。
- 識別された仮想チャネルの仮想チャネル許可リストポリシー設定に、エントリを追加します。その際、仮想チャネル名のみを使用します。
- VDAを再起動します。
- 仮想アプリケーションまたは仮想デスクトップを再起動します。
- VDAマシンのシステムイベントログにて、次のイベントで仮想チャネルを開こうとしたプロセスを探します:
- シングルセッションVDAでは、ソースPicaddからのイベントID 2002。
- マルチセッションVDAでは、ソースRpmからのイベントID 14。
- セッションからログオフします。
- 仮想チャネル許可リストポリシー設定のエントリを編集して、識別されたプロセスを追加します。
- VDAを再起動します。
- 仮想アプリケーションまたは仮想デスクトップを起動して、カスタム仮想チャネルが正常に開くことを確認します。
仮想チャネル許可リストのログ
次のイベントは、シングルセッションVDAマシンのイベントログに記録されます:
| ログ名 | システム |
| Id | 2001 |
| 接続元 | Picadd |
| レベル | 情報 |
| 説明 | カスタム仮想チャネル<vcName>がプロセス<processName>によって開かれました |
| ログ名 | システム |
| Id | 2002 |
| 接続元 | Picadd |
| レベル | 警告 |
| 説明 | カスタム仮想チャネル<vcName>をプロセス<processName>で開くことはできません |
| ログ名 | システム |
| Id | 2003 |
| 接続元 | Picadd |
| レベル | 情報 |
| 説明 |
<username>がカスタム仮想チャネル<vcName>を開きました |
| ログ名 | システム |
| Id | 2004 |
| 接続元 | Picadd |
| レベル | 警告 |
| 説明 |
<username>がカスタム仮想チャネル<vcName>を開こうとしました |
次のイベントは、マルチセッションVDAマシンのイベントログに記録されます:
| ログ名 | システム |
| Id | 13 |
| 接続元 | Rpm |
| レベル | 情報 |
| 説明 | カスタム仮想チャネル<vcName>がプロセス<processName>によって開かれました |
| ログ名 | システム |
| Id | 14 |
| 接続元 | Rpm |
| レベル | 警告 |
| 説明 | カスタム仮想チャネル<vcName>をプロセス<processName>で開くことはできません |
| ログ名 | システム |
| Id | 15 |
| 接続元 | Rpm |
| レベル | 情報 |
| 説明 |
<username>がカスタム仮想チャネル<vcName>を開きました |
| ログ名 | システム |
| Id | 16 |
| 接続元 | Rpm |
| レベル | 警告 |
| 説明 |
<username>がカスタム仮想チャネル<vcName>を開こうとしました |
既知のサードパーティ仮想チャネル
以下は、カスタムCitrix仮想チャネルを使用する既知のサードパーティソリューションです。このリストには、カスタムCitrix仮想チャネルを使用するすべてのソリューションが含まれているわけではありません。
- Cerner
- Cisco WebEx Teams
- Cisco WebEx Meetings仮想デスクトップソフトウェア
- Epic Warp Drive
- Midmark IQPathクライアント拡張機能
- Nuance PowerMicクライアント拡張機能
- Nuance Dragon Medical Network Edition 360 vSync
- Zoom Meetings for VDI
関連する仮想チャネルを許可リストに追加することについて詳細を取得するには、ソリューションのベンダーに連絡してください。または、「仮想チャネル名とプロセスの取得」に記載されている手順に従ってください。