汎用USBリダイレクトとクライアントドライブに関する考慮事項
HDX™テクノロジは、ほとんどの一般的なUSBデバイスに対して最適化されたサポートを提供します。最適化されたサポートは、WAN経由でのパフォーマンスと帯域幅効率を向上させ、ユーザーエクスペリエンスを改善します。最適化されたサポートは、特に高遅延またはセキュリティに敏感な環境において、通常は最良の選択肢です。
HDXテクノロジは、最適化されたサポートがない、または不適切な特殊なデバイスに対して汎用USBリダイレクトを提供します。例:
- USBデバイスに、マウスやWebカメラにボタンが多いなど、最適化されたサポートの一部ではないより高度な機能がある場合。
- ユーザーが最適化されたサポートの一部ではない機能を必要とする場合。
- USBデバイスが、テストおよび測定機器や産業用コントローラーなどの特殊なデバイスである場合。
- アプリケーションがUSBデバイスとしてデバイスへの直接アクセスを必要とする場合。
- USBデバイスにWindowsドライバーしか利用できない場合。たとえば、スマートカードリーダーには、Android版Citrix Workspace™アプリ用のドライバーが利用できない場合があります。
- Citrix Workspaceアプリのバージョンが、この種のUSBデバイスに対して最適化されたサポートを提供しない場合。
汎用USBリダイレクトを使用する場合:
- ユーザーはユーザーデバイスにデバイスドライバーをインストールする必要がありません。
- USBクライアントドライバーはVDAマシンにインストールされます。
重要:
- 汎用USBリダイレクトは、最適化されたサポートと組み合わせて使用できます。汎用USBリダイレクトを有効にする場合は、汎用USBリダイレクトと最適化されたサポートの両方に対してCitrix USBデバイスポリシー設定を構成してください。
- クライアントUSBデバイス最適化ルールのCitrixポリシー設定は、特定のUSBデバイスに対する汎用USBリダイレクトの特定の設定です。ここで説明されている最適化されたサポートには適用されません。
USBデバイスのパフォーマンスに関する考慮事項
一部の種類のUSBデバイスで汎用USBリダイレクトを使用する場合、ネットワーク遅延と帯域幅は、ユーザーエクスペリエンスとUSBデバイスの動作に影響を与える可能性があります。例えば、タイミングに敏感なデバイスは、高遅延で低帯域幅のリンクでは正しく動作しない可能性があります。可能な場合は、代わりに最適化されたサポートを使用してください。
一部のUSBデバイスは、使用可能にするために高帯域幅を必要とします。例えば、3Dマウス(通常、高帯域幅を必要とする3Dアプリで使用される)などです。帯域幅を増やすことができない場合、帯域幅ポリシー設定を使用して他のコンポーネントの帯域幅使用量を調整することで、問題を軽減できる可能性があります。詳細については、クライアントUSBデバイスリダイレクトの帯域幅ポリシー設定と、マルチストリーム接続ポリシー設定を参照してください。
USBデバイスのセキュリティに関する考慮事項
一部のUSBデバイスは、その性質上、セキュリティに敏感です。例えば、スマートカードリーダー、指紋リーダー、署名パッドなどです。USBストレージデバイスなどの他のUSBデバイスは、機密データである可能性のあるデータを送信するために使用されることがあります。
USBデバイスはマルウェアを配布するためによく使用されます。Citrix WorkspaceアプリとCitrix Virtual Apps and Desktops™の設定により、これらのUSBデバイスからのリスクを軽減できますが、排除することはできません。この状況は、汎用USBリダイレクトが使用されているか、最適化されたサポートが使用されているかに関わらず適用されます。
重要:
セキュリティに敏感なデバイスとデータについては、常にTLSまたはIPsecのいずれかを使用してHDX接続を保護してください。
必要なUSBデバイスのサポートのみを有効にしてください。このニーズを満たすために、汎用USBリダイレクトと最適化されたサポートの両方を構成してください。
USBデバイスを安全に使用するためのユーザーへのガイダンスを提供します。
- 信頼できる情報源から入手したUSBデバイスのみを使用してください。
- 開かれた環境でUSBデバイスを放置しないでください。例えば、インターネットカフェでのフラッシュドライブなどです。
- 複数のコンピューターでUSBデバイスを使用するリスクを説明してください。
汎用USBリダイレクトとの互換性
汎用USBリダイレクトは、USB 2.0以前のデバイスでサポートされています。汎用USBリダイレクトは、USB 2.0またはUSB 3.0ポートに接続されたUSB 3.0デバイスでもサポートされています。汎用USBリダイレクトは、スーパースピードなど、USB 3.0で導入されたUSB機能をサポートしていません。
以下のCitrix Workspaceアプリは、汎用USBリダイレクトをサポートしています。
- Windows向けCitrix Workspaceアプリ。詳しくは、アプリケーション配信の構成を参照してください。
- Mac版Citrix Workspaceアプリケーションについては、Mac版Citrix Workspaceアプリケーションを参照してください。
- Linux向けCitrix Workspaceアプリ。詳しくは、最適化を参照してください。
- Chrome OS版Citrix Workspaceアプリケーションについては、Chrome版Citrix Workspaceアプリケーションを参照してください。
Citrix Workspaceアプリのバージョンについては、Citrix Workspaceアプリの機能マトリックスを参照してください。
以前のバージョンのCitrix Workspaceアプリを使用している場合は、Citrix Workspaceアプリのドキュメントを参照して、汎用USBリダイレクトがサポートされていることを確認してください。サポートされているUSBデバイスの種類に関する制限については、Citrix Workspaceアプリのドキュメントを参照してください。
汎用USBリダイレクトは、VDA for Single-session OSバージョン7.6以降のデスクトップセッションでサポートされています。
汎用USBリダイレクトは、VDA for Multi-session OSバージョン7.6以降のデスクトップセッションでサポートされていますが、以下の制限があります。
- The VDA must be running Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, or Windows Server 2022.
- USBデバイスドライバーは、完全な仮想化サポートを含め、VDA OS(Windows 2012 R2)のRemote Desktop Session Host(RDSH)と完全に互換性がある必要があります。
一部の種類のUSBデバイスは、リダイレクトしても有用ではないため、汎用USBリダイレクトではサポートされていません。
- USBモデム。
- USBネットワークアダプター。
- USBハブ。USBハブに接続されたUSBデバイスは個別に処理されます。
- USB仮想COMポート。汎用USBリダイレクトではなく、COMポートリダイレクトを使用してください。
汎用USBリダイレクトでテスト済みのUSBデバイスについては、Citrix Ready Marketplaceを参照してください。一部のUSBデバイスは、汎用USBリダイレクトでは正しく動作しません。
汎用USBリダイレクトの構成
汎用USBリダイレクトを使用するUSBデバイスの種類を制御し、個別に構成できます。
- VDAで、Citrixポリシー設定を使用します。詳しくは、「ポリシー設定リファレンス」のクライアントドライブとユーザーデバイスのリダイレクトおよびUSBデバイスポリシー設定を参照してください。
- Citrix Workspaceアプリで、Citrix Workspaceアプリに依存するメカニズムを使用します。たとえば、管理用テンプレートは、Windows向けCitrix Workspaceアプリを構成するレジストリ設定を制御します。デフォルトでは、USBリダイレクトは特定のクラスのUSBデバイスで許可され、他のデバイスでは拒否されます。詳しくは、Windows向けCitrix Workspaceアプリのドキュメントの構成を参照してください。
この個別の構成により、柔軟性が向上します。例:
- Citrix WorkspaceアプリとVDAの責任が2つの異なる組織または部門にある場合、それぞれで制御を適用できます。この構成は、ある組織のユーザーが別の組織のアプリケーションにアクセスする場合に適用されます。
- Citrixポリシー設定は、特定のユーザーのみ、またはLAN経由でのみ接続するユーザー(Citrix Gatewayを使用しない)に許可されるUSBデバイスを制御できます。
汎用USBリダイレクトを有効にする
汎用USBリダイレクトを有効にし、ユーザーによる手動リダイレクトを不要にするには、Citrixポリシー設定とCitrix Workspaceアプリの接続設定の両方を構成します。
Citrixポリシー設定で:
-
クライアントUSBデバイスリダイレクトをポリシーに追加し、その値を許可に設定します。
-
(オプション) リダイレクトに利用可能なUSBデバイスのリストを更新するには、クライアントUSBデバイスリダイレクト規則設定をポリシーに追加し、USBポリシー規則を指定します。
ポリシー設定が完了したら、Citrix Workspaceアプリで:
-
デバイスが手動リダイレクトなしで自動的に接続されるように指定します。これは、管理テンプレートを使用するか、Citrix Workspaceアプリの Windows > Preferences > Connections で行うことができます。
前のステップでVDAのUSBポリシー規則を指定した場合は、Citrix Workspaceアプリにも同じポリシー規則を指定します。
シンクライアントについては、USBサポートの詳細と必要な構成について製造元にお問い合わせください。
一般的なUSBリダイレクトで利用可能なUSBデバイスの種類を構成する
USBサポートが有効で、USBユーザー設定がUSBデバイスを自動的に接続するように設定されている場合、USBデバイスは自動的にリダイレクトされます。接続バーが存在しない場合も、USBデバイスは自動的にリダイレクトされます。
ユーザーは、USBデバイスリストからデバイスを選択することで、自動的にリダイレクトされないデバイスを明示的にリダイレクトできます。詳細については、Citrix Workspaceアプリ for Windowsのユーザーヘルプ記事「Desktop Viewerでデバイスを表示する」を参照してください。
最適化されたサポートではなく、一般的なUSBリダイレクトを使用するには、次のいずれかの方法があります。
- Citrix Workspaceアプリで、一般的なUSBリダイレクトを使用するUSBデバイスを手動で選択し、環境設定ダイアログボックスの [デバイス] タブから [汎用に切り替える] を選択します。
- USBデバイスの種類(例: AutoRedirectStorage=1)の自動リダイレクトを構成し、USBユーザー設定をUSBデバイスを自動的に接続するように設定することで、一般的なUSBリダイレクトを使用するUSBデバイスを自動的に選択します。詳細については、「USBデバイスの自動リダイレクトを構成する」を参照してください。
注:
ウェブカメラがHDXマルチメディアリダイレクトと互換性がないと判明した場合にのみ、ウェブカメラでの使用のために一般的なUSBリダイレクトを構成してください。
USBデバイスがリストされたりリダイレクトされたりするのを完全に防ぐには、Citrix WorkspaceアプリとVDAのデバイス規則を指定できます。
汎用USBリダイレクトの場合、少なくともUSBデバイスクラスとサブクラスを知る必要があります。すべてのUSBデバイスが、その見た目通りのUSBデバイスクラスとサブクラスを使用するわけではありません。例:
- ペンはマウスデバイスクラスを使用します。
- スマートカードリーダーは、ベンダー定義またはHIDデバイスクラスを使用できます。
より正確な制御を行うには、ベンダーID、製品ID、およびリリースIDを知る必要があります。この情報はデバイスベンダーから入手できます。
重要:
悪意のあるUSBデバイスは、意図された用途と一致しないUSBデバイス特性を示す可能性があります。デバイスルールは、この動作を防ぐことを目的としていません。
汎用USBリダイレクトで利用可能なUSBデバイスは、デフォルトのUSBポリシー規則を上書きするために、USBデバイスリダイレクト規則を指定することで制御します。
Citrix DaaS (formerly Citrix Virtual Apps and Desktops service):
-
ほとんどの場合、Citrix Group Policy Management Console MSI (
CitrixGroupPolicyManagement_x64.msi) をダウンロードしてActive Directoryシステムにインストールし、ADグループポリシーを管理します。(MSIをVDAにインストールしないでください。) -
Citrix Workspaceアプリfor Windowsの場合、ユーザーデバイスのレジストリを編集します。Active Directoryグループポリシーを介してユーザーデバイスを変更できるように、管理用テンプレート(ADMファイル)がインストールメディアに含まれています:dvd root
\os\lang\Support\Configuration\icaclient_usb.adm
オンプレミスのシトリックス バーチャルアプリおよびデスクトップ:
- VDAの場合、グループポリシー規則を介してマルチセッションOSマシンの管理者上書き規則を編集します。Group Policy Management Consoleはインストールメディアに含まれています:
- x64: ディー・ブイ・ディー ルート
\os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi - x86: DVDのルートディレクトリ
\os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
- x64: ディー・ブイ・ディー ルート
- Citrix Workspaceアプリfor Windowsの場合、ユーザーデバイスのレジストリを編集します。Active Directoryグループポリシーを介してユーザーデバイスを変更できるように、管理用テンプレート(ADMファイル)がインストールメディアに含まれています:dvd root
\os\lang\Support\Configuration\icaclient_usb.adm
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような重大な問題が発生する可能性があります。レジストリエディターの誤った使用によって生じた問題が解決されることを、Citrixは保証できません。レジストリエディターは、ご自身の責任においてご使用ください。編集する前に、必ずレジストリをバックアップしてください。
製品のデフォルトルールは、HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSBに保存されています。これらの製品のデフォルトルールは編集しないでください。代わりに、この記事の後半で説明する管理者オーバーライドルールを作成するためのガイドとして使用してください。GPOオーバーライドは、製品のデフォルトルールよりも前に評価されます。
管理者による上書き規則は、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules に格納されています。GPO ポリシー規則は、{Allow:|Deny:} という形式を採用しており、その後に続くのは空白文字によって区切られた tag=value の形式の式のセットです。
次のタグがサポートされています。
| タグ | 説明文 |
|---|---|
| VID | デバイス記述子からのベンダーID |
| PID | デバイス記述子からの製品ID |
| REL | デバイス記述子からのリリースID |
| クラス | デバイス記述子またはインターフェイス記述子からのクラス。利用可能なUSBクラスコードについては、http://www.usb.org/のUSB Webサイトを参照してください |
| サブクラス | デバイス記述子またはインターフェイス記述子のいずれかからのサブクラス |
| プロトコル | デバイス記述子またはインターフェイス記述子のいずれかからのプロトコル |
ポリシールールを作成する際は、次の点に注意してください。
- ルールでは大文字と小文字は区別されません。
- ルールには、
#で始まるオプションのコメントを末尾に含めることができます。区切り文字は不要で、コメントは照合目的では無視されます。 - 空行および純粋なコメント行は無視されます。
- 空白は区切り文字として使用されますが、数値または識別子の中央に表示することはできません。たとえば、「Deny: Class = 08 SubClass=05」は有効なルールですが、「Deny: Class=0 Sub Class=05」は無効です。
- タグは一致演算子「=」を使用する必要があります。例:VID=1230。
- 各ルールは新しい行で開始するか、セミコロン区切りのリストの一部である必要があります。
注:
- Citrix Virtual Apps and Desktopsバージョン2212以降、一部のUSBデバイスは汎用USBリダイレクト機能の使用が無効になっています。これらのデバイスは、それぞれのベンダーID(VID)と製品ID(PID)を使用して明示的に追加する必要があります。
- ADMテンプレートファイルを使用している場合は、セミコロン区切りのリストとして、単一行でルールを作成する必要があります。
例を挙げます:
-
以下に、ベンダーおよび製品識別子に対する管理者定義のUSBポリシー規則の例を示します。
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products -
以下に、定義されたクラス、サブクラス、およびプロトコルに対する管理者定義のUSBポリシー規則の例を示します。
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices
USBデバイスの使用と取り外し
ユーザーは、仮想セッションを開始する前または開始した後にUSBデバイスを接続できます。
Citrix Workspaceアプリfor Windowsを使用する場合、以下が適用されます。
- セッション開始後に接続されたデバイスは、Desktop ViewerのUSBメニューにすぐに表示されます。
- USBデバイスが適切にリダイレクトされない場合は、仮想セッションが開始されるまでデバイスの接続を待つことで問題を解決できる場合があります。
- データ損失を避けるため、USBデバイスを取り外す前にWindowsの「ハードウェアを安全に取り外す」アイコンを使用してください。
USB大容量記憶装置のセキュリティ制御
USB大容量記憶装置には最適化されたサポートが提供されます。このサポートは、Citrix Virtual Apps and Desktopsのクライアントドライブマッピングの一部です。ユーザーがログオンすると、ユーザーデバイス上のドライブは仮想デスクトップ上のドライブ文字に自動的にマッピングされます。ドライブは、マッピングされたドライブ文字を持つ共有フォルダーとして表示されます。クライアントドライブマッピングを構成するには、Client removable drives設定を使用します。この設定は、ICAポリシー設定のファイルリダイレクトポリシー設定セクションにあります。
USB大容量記憶装置では、クライアントドライブマッピングまたは汎用USBリダイレクト、あるいはその両方を使用できます。これらはCitrixポリシーを使用して制御します。主な違いは次のとおりです。
| 機能 | クライアントドライブマッピング | 汎用USBリダイレクト |
|---|---|---|
| デフォルトで有効 | はい | いいえ |
| 読み取り専用アクセス設定可能 | はい | いいえ |
| 暗号化されたデバイスへのアクセス | はい、デバイスにアクセスする前に暗号化が解除されている場合 | はい |
| ビットロッカー トゥ ゴー デバイス | いいえ | いいえ |
| セッション中にデバイスを安全に削除できる | いいえ | はい、ユーザーが安全な取り外しに関するオペレーティングシステムの推奨事項に従う場合。 |
汎用USBリダイレクトとクライアントドライブマッピングの両方のポリシーが有効になっており、セッション開始前または開始後にマスストレージデバイスが挿入された場合、クライアントドライブマッピングを使用してリダイレクトされます。汎用USBリダイレクトとクライアントドライブマッピングの両方のポリシーが有効になっており、デバイスが自動リダイレクト用に構成されており、セッション開始前または開始後にマスストレージデバイスが挿入された場合、汎用USBリダイレクトを使用してリダイレクトされます。詳細については、Knowledge Centerの記事CTX123015を参照してください。
注:
USBリダイレクトは、例えば50 Kbpsのような低帯域幅接続でもサポートされています。ただし、大きなファイルのコピーは機能しません。