ポリシーの作成
ポリシーを作成する前に、そのポリシーが適用される可能性があるユーザーまたはデバイスのグループを決定します。ユーザーの担当業務、接続の種類、ユーザーデバイス、または作業場所に応じたポリシーを作成できます。また、WindowsのActive Directoryのグループポリシーと同じ基準を使用できます。
グループに適用するポリシーを作成済みの場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。ポリシーを編集した後、適切な設定を構成します。特定の設定内容を変更するため、または特定のユーザーを適用対象から除外するためだけにポリシーを作成することは避けてください。
既存のポリシーテンプレートを基にポリシーを作成し、必要に応じて設定項目をカスタマイズできます。テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。
Citrix Studioでは、新しいポリシーを作成すると、[ポリシーの有効化]チェックボックスが明示的にオンになっていない限り[無効]に設定されます。
ポリシー設定
ポリシーを設定するには、適用するポリシー設定を選択して値を構成します。デフォルトでは、ポリシーに追加されている設定項目はありません。設定を適用するには、ポリシーに追加する必要があります。
ポリシーのいくつかの設定では、次のオプションを指定します。
- [許可]または[禁止]を選択して、その設定項目により制御されるアクションを許可または禁止します。これらのアクションには、セッション内でのユーザーによる管理を許可したり禁止したりできるものがあります。たとえば、メニューをアニメーション化する設定で[許可]を選択した場合、ユーザーがクライアント環境内でメニューのアニメーション化を制御できるようになります。
- [有効]または[無効]を選択して、その設定項目の機能を有効または無効にします。ここで無効にすると、より優先度の低いポリシーで[有効]を選択しても、その設定は有効になりません。
また、一部の設定は、それに依存する設定の効果を制御します。たとえば、[クライアントドライブのリダイレクト]設定により、クライアントデバイス側のドライブへのアクセスが制御されます。 この設定と [クライアントネットワークドライブ] 設定の両方がポリシーに追加され、ユーザーのネットワークドライブへのアクセスが許可されている必要があります。この場合、[クライアントドライブのリダイレクト] 設定で[禁止]を選択すると、[クライアントネットワークドライブ] 設定で[許可]を選択しても、ユーザーがネットワークドライブにアクセスできなくなります。
通常、マシンの動作を制御するポリシー設定に対する変更内容は、仮想デスクトップが再起動したときまたはユーザーがログオンしたときに適用されます。また、ユーザーの機能を制御する設定項目は、そのユーザーの次回ログオン時に適用されます。Active Directory環境では、ポリシーが90分間隔で再評価されるときに、ポリシー設定が更新されます。また、ポリシー設定は、仮想デスクトップの再起動時、またはユーザーのログオン時に適用されます。
一部の設定項目では、ポリシーに追加するときに値を入力または選択します。[デフォルト値を使用する]チェックボックスをオンにすると、設定の構成を制限できます。この選択によって設定の構成が無効になり、ポリシーが適用されると、設定項目のデフォルト値しか使用できなくなります。[デフォルト値を使用する]をオンにする前に入力した値は無視されます。
ベストプラクティス:
- ポリシーの適用先として、個々のユーザーアカウントではなくグループアカウントを使用します。ポリシーの対象ユーザーを個々に追加したり削除したりするよりも、そのユーザーがグループアカウントに属しているかどうかで管理した方が効率的です。
- Windowsのリモートデスクトップセッションホストの構成ツールと重複または競合する設定を使用しないでください。リモートデスクトップセッションホストの構成ツールとCitrixポリシーで、同様の機能に対して異なる動作が設定されていると、予期せぬ問題が生じる場合があります。設定の有効/無効をできる限り統一しておくと、問題解決が容易になります。
- 使用しないポリシーは無効にしておきます。ポリシーに設定を追加しない場合でも、そのポリシーにより不要な処理が行われます。
ポリシーの割り当て
ポリシーを作成するときに、特定のユーザーとマシンオブジェクトにポリシーを割り当てます。そのポリシーは、特定の基準または規則に従って接続に適用されます。通常、1つのポリシーに複数の割り当てを指定して、複数の条件を組み合わせることができます。
割り当てを指定しない場合、または指定しても無効にしている場合、そのポリシーはすべての接続に適用されます。
注:
ポリシーの割り当ては、ポリシーフィルターとも呼ばれます。詳しくは、次のトピックを参照してください:
次の表は、使用可能な割り当ての一覧です。
割り当て名 | ポリシーの適用対象 |
---|---|
アクセス制御 | セッションに接続するときのアクセス制御条件。接続の種類 - 接続がNetScaler Gateway経由かどうかを指定します。NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前を指定します。アクセス条件 - 使用するエンドポイント解析ポリシーまたはセッションポリシーの名前を入力します。 |
NetScaler SD-WAN | ユーザーセッションでNetScaler SD-WANが使用されているかどうか。注: ポリシーに追加できるNetScaler SD-WAN割り当ては1つのみです。 |
クライアントIPアドレス | セッションに接続するクライアントデバイスのIPアドレス。IPv4の場合は12.0.0.0、12.0.0.*、12.0.0.1-12.0.0.70、12.0.0.1/24など。IPv6の場合は、2001:0db8:3c4d:0015:0:0:abcd:ef12、2001:0db8:3c4d:0015::/54など。 |
クライアント名 | ユーザーデバイスの名前。完全一致の場合、ClientABCName。ワイルドカード文字を使用する場合、Client*Name。 |
デリバリーグループ | 所属するデリバリーグループ。 |
デリバリーグループの種類 | 実行されるデスクトップまたはアプリケーションの種類。プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーションから選択します。注: プライベートデスクトップと共有デスクトップのフィルターオプションは、Citrix Virtual Apps and Desktops 7.xでのみ使用できます。詳しくは、CTX219153を参照してください。 |
組織単位(OU) | 組織単位。 |
タグ | マシンのタグ。注: このポリシーをすべてのタグ付きマシンに適用します。アプリケーションタグは含まれていません。 |
ユーザーまたはグループ | ユーザー名またはグループ名。 |
ユーザーがログオンするときに、その接続の条件に一致するすべてのポリシーが検出されます。検出されたポリシーは優先度順に処理されます。このとき、ポリシー間で重複している設定がある場合は、最も優先度の高いポリシーの内容が適用されます。たとえば、優先度の高いポリシーの設定で[無効]が選択されている場合、優先度の低いポリシーの同じ設定で[有効]が選択されていても、その設定には[無効]が適用されます。構成されていないポリシー設定は無視されます。
重要:
グループポリシー管理コンソールを使ってActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当ておよび設定が意図したとおりに適用されない場合があります。詳しくは、CTX127461を参照してください。
「Unfiltered」という名前のポリシーはデフォルトで提供されています。
- Studioを使用してCitrixポリシーを管理する場合は、Unfilteredポリシーに追加する設定がそのサイトのすべてのサーバー、仮想デスクトップ、および接続に適用されます。
- ローカルグループポリシーエディターを使用してCitrixポリシーを管理する場合は、すべてのサイトおよび接続にUnfilteredポリシーの設定が適用されます。このサイトと接続は、ポリシーを含むグループポリシーオブジェクト(GPO)のスコープ内にある必要があります。たとえば、営業部署の組織単位に大阪支社のすべての営業メンバーを含んでいるSales-OSKというGPOがある場合に、いくつかのユーザーポリシー設定を追加したUnfilteredポリシーをSales-OSKに設定します。ここで大阪支社の営業部長がサイトにログオンすると、Unfilteredポリシーのすべての設定が自動的にセッションに適用されます。この構成は、ユーザーがSales-OSK GPOのメンバーであるためです。
割り当ての[モード]によっても、そのポリシーの適用先が異なります。割り当てのモードとして[許可](デフォルト)が設定されている場合、その割り当て条件にマッチした接続にのみポリシーが適用されます。割り当てのモードとして[拒否]が設定されている場合、その割り当て条件にマッチしない接続にのみポリシーが適用されます。以下の例では、複数の割り当てを追加したCitrixポリシーで、割り当てのモードがどのように適用されるかについて説明します。
-
例:同じ種類の割り当てでモードが異なる場合 - ポリシーに同じ種類の割り当てを2つ追加し、一方を[許可]にしてもう一方を[拒否]にした場合、[拒否]を設定した割り当てが優先されます。例:
Policy 1に以下の割り当てを追加します:
- Assignment Aは営業部署のグループアカウントに適用されます。[許可]を設定します。
- Assignment Bは営業部長のアカウントに適用されます。[拒否]を設定します。
ここで営業部長がログオンした場合、営業部長が営業部署のグループアカウントに属していても、Assignment Bが[拒否]モードなのでこのPolicy 1は適用されません。
-
例: 異なる種類の割り当てでモードが同じ場合 - ポリシーに異なる種類の複数の割り当てを追加し、すべての割り当てに[許可]を設定した場合、すべての種類の割り当てに一致しないとポリシーは適用されません。例:
Policy 2に以下の割り当てを追加します:
- Assignment Cは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てです。[許可]を設定します。
- Assignment Dは10.8.169.*(企業ネットワーク)を指定するクライアントIPアドレス割り当てです。[許可]を設定します。
ここで営業部長が社内のオフィスからログオンした場合、上記2つの割り当てに合致するので、このPolicy 2が適用されます。
Policy 3に以下の割り当てを追加します:
- Assignment Eは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てです。[許可]を設定します。
- Assignment Fは特定のNetScaler Gateway接続に適用される[アクセス制御]割り当てです。[許可]を設定します。
ここで営業部長が社内のオフィスからログオンした場合、Assignment Fに合致しないので、このPolicy 3は適用されません。
Studioでテンプレートからポリシーを作成する
-
Studioのナビゲーションペインで [ポリシー] を選択します。
-
[テンプレート] タブを選択し、テンプレートを選択します。
-
[操作] ペインの [テンプレートからのポリシーの作成] を選択します。
-
デフォルトでは、新しいポリシーはテンプレートのすべてのデフォルト設定を使用します。この場合、[テンプレートのデフォルトの設定項目] がオンになっています。設定項目を変更する場合は、[デフォルトの設定項目を変更および追加する] をクリックして、必要に応じて設定項目を追加または削除します。
-
ポリシーの割り当て先として、以下のいずれかを選択します。
- [選択したユーザーおよびマシンオブジェクト]をクリックして、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
- [サイト内のすべてのオブジェクトに割り当てる]をクリックします。これにより、サイト内のすべてのユーザーやマシンオブジェクトにこのポリシーが適用されます。
-
ポリシーの名前を入力します。またはデフォルトの名前を使用します。経理部やリモートユーザーなど、ポリシーの適用対象に基づいて名前を付けると便利です。また、必要に応じて説明を入力します。
新しいポリシーはデフォルトで有効になりますが、無効にすることもできます。ポリシーを作成して有効にすると、新たにログオンするユーザーに直ちに適用されます。既存のセッションには適用されません。無効にしたポリシーは適用されません。作成済みのポリシーに優先度を設定したり、設定項目を追加したりする必要がある場合は、そのポリシーを一時的に無効にすることを検討してください。
Studioでポリシーを作成する
-
Studioのナビゲーションペインで [ポリシー] を選択します。
-
[ポリシー] タブをクリックします。
-
[操作] ペインの [ポリシーの作成] を選択します。
-
必要な設定項目を追加して構成します。
-
ポリシーの割り当て先として、以下のいずれかを選択します。
- [選択したユーザーおよびマシンオブジェクト]をクリックして、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
- [サイト内のすべてのオブジェクトに割り当てる]をクリックします。これにより、サイト内のすべてのユーザーやマシンオブジェクトにこのポリシーが適用されます。
-
ポリシーの名前を入力します。またはデフォルトを使用します。経理部やリモートユーザーなど、ポリシーの適用対象に基づいて名前を付けると便利です。また、必要に応じて説明を入力します。
新しいポリシーはデフォルトで有効になりますが、無効にすることもできます。ポリシーを作成して有効にすると、新たにログオンするユーザーに直ちに適用されます。既存のセッションには適用されません。無効にしたポリシーは適用されません。作成済みのポリシーに優先度を設定したり、設定項目を追加したりする必要がある場合は、そのポリシーを一時的に無効にすることを検討してください。
グループポリシーエディターでポリシーを作成および管理する
グループポリシーエディターで、[コンピューターの構成]または[ユーザーの構成] を展開します。[ポリシー] ノードを開き、[Citrixポリシー] を選択します。適切な操作を行います:
タスク | 手順 |
---|---|
ポリシーを作成する | [ポリシー] タブの [新規] をクリックします。 |
既存のポリシーを編集する | [ポリシー] タブでポリシーを選択して [編集] をクリックします。 |
既存のポリシーの優先度を変更する | [ポリシー] タブでポリシーを選択して [上げる] または [下げる] をクリックします。 |
ポリシーの要約情報を表示する | [ポリシー] タブでポリシーを選択して [情報] タブをクリックします。 |
ポリシーの設定項目を表示して変更する | [ポリシー] タブでポリシーを選択して [設定] タブをクリックします。 |
ポリシーの割り当て先を表示して変更する | [ポリシー] タブでポリシーを選択して [フィルター] タブをクリックします。ポリシーに複数のフィルターを追加する場合、適用するポリシーですべてのフィルター条件が満たされている必要があります。 |
ポリシーを有効または無効にする | [ポリシー] タブでポリシーを選択して [操作]>[有効] または [操作]>[無効] の順に選択します。 |
既存のテンプレートからポリシーを作成する | [テンプレート] タブでテンプレートを選択して [新規ポリシー] をクリックします。 |