ポリシーを作成する
注:
Citrix Virtual Apps and Desktops™の展開は、WebベースのWeb StudioとWindowsベースのCitrix Studioという2種類の管理コンソールを用いて管理できます。本記事では、Web Studioのみを対象としています。Citrix Studioに関する詳細については、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事をご参照ください。
ポリシーを作成する前に、それが影響を与える可能性のあるユーザーまたはデバイスのグループを決定します。ユーザーの職務、接続タイプ、ユーザーデバイス、または地理的な場所に基づいてポリシーを作成することもできます。Windows Active Directoryグループポリシーで使用するのと同じ基準を使用することもできます。
すでにグループに適用されるポリシーを作成している場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。ポリシーを編集した後、適切な設定を構成します。特定の機能を有効にするためだけにポリシーを作成したり、特定のユーザーにポリシーが適用されないようにしたりすることは避けてください。
ポリシーを作成する際、ポリシーテンプレートの設定に基づいて作成し、必要に応じて設定をカスタマイズできます。テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。
Web Studioでは、Enable policyチェックボックスが明示的にチェックされていない限り、新しく作成されたポリシーは無効に設定されます。
ポリシー作成時および設定構成時に、システムは設定タイプを表示するオプションを提供します。次の設定タイプを表示できます。
- すべての設定 - すべてのVDAバージョンに適用されるすべてを表示
- 現在の設定のみ - 現在のVDAバージョンに固有の設定を表示
- レガシー設定のみ - 非推奨のVDAバージョンにのみ適用される設定を表示
設定を構成しながら設定を表示するには:
- Web Studioにサインインし、左ペインでPoliciesを選択します。
- 「ポリシー」タブで、「ポリシーの作成」をクリックします。
- Select Settingsテーブルで、Settingsの横にあるドロップダウンをクリックします。
- ドロップダウンから次のいずれかのオプションを選択します。
- すべての設定 - すべてのVDAバージョンのすべての設定を表示します
- 現在の設定のみ - 現在のVDAバージョンの設定のみを表示します
- レガシー設定のみ - 非推奨のVDAバージョンの設定のみを表示します
- 設定テーブルには、前の手順に基づいて利用可能な設定が一覧表示されます。
ポリシー設定
ポリシー設定は、有効、無効、または未構成にできます。デフォルトでは、ポリシー設定は構成されていません。つまり、ポリシーに追加されていません。設定は、ポリシーに追加された場合にのみ適用されます。
ポリシー設定は、依存するポリシー間の明確さを提供するために強化されています。この機能により、子ポリシー設定が構成されたときに有効になるように、親ポリシーが最初に構成されることが保証されます。
ポリシー設定を構成するには:
- ポリシーの作成ページで、設定の選択の下にある「overall」を検索します。 セッション全体の帯域幅制限に関連するすべてのポリシー(親と子)が一覧表示されます。
- 子ポリシーにカーソルを合わせると、ツールチップが表示され、セッション全体の帯域幅制限の親ポリシーが構成されるまで、子ポリシーは構成できないことが示されます。
- 親ポリシー設定を構成し、次に子ポリシー設定を構成して、保存をクリックします。
- 設定列と現在の値列には、ポリシーの作成/編集テーブルで構成された値が表示されます。このテーブルには、構成された設定を変更するための編集オプションが表示されます。
依存ポリシー設定(/ja-jp/citrix-daas/media/dependent-policy-settings.png)
注:
- 子ポリシーは、親ポリシーが構成されるまで選択できません。
- 親ポリシーのチェックが外れると、関連付けられている子ポリシーもチェックが外れるか、選択解除されることを指示するポップアップメッセージが表示されます。
次の表に、親ポリシーとそれに対応する依存ポリシーまたは子ポリシーのリストを示します。
| 親ポリシー | 依存子ポリシー |
|---|---|
| セッション全体の帯域幅制限
|
オーディオリダイレクト帯域幅制限の割合 |
| クリップボードリダイレクト帯域幅制限の割合 | |
| COMポートリダイレクト帯域幅制限の割合 | |
| ファイルリダイレクト帯域幅制限の割合 | |
| HDX™ MediaStream マルチメディアアクセラレーション帯域幅制限の割合 | |
| LPTポートリダイレクト帯域幅制限パーセント | |
| プリンターリダイレクト帯域幅制限パーセント | |
| クライアントUSBデバイスリダイレクト帯域幅制限パーセント | |
| TWAINデバイスリダイレクト帯域幅制限パーセント | |
| 双方向コンテンツリダイレクトを許可
|
クライアントにリダイレクトされる許可されたURL |
| VDAにリダイレクトされる許可されたURL | |
| CPU使用率 | CPU使用率から除外されるプロセスの優先度 |
| レガシーグラフィックモード | プログレッシブ圧縮レベル |
| セッションウォーターマークを有効にする
|
ウォーターマークのカスタムテキスト |
| セッションウォーターマークのスタイル | |
| ウォーターマークの透明度 | |
| HDXアダプティブトランスポート | オーディオのロス許容モード |
一部のポリシー設定は、次のいずれかの状態になります。
- 許可または禁止は、設定によって制御されるアクションを許可または禁止します。セッション内で設定のアクションを管理することをユーザーに許可または禁止する場合があります。たとえば、メニューアニメーション設定が「許可」に設定されている場合、ユーザーはクライアント環境でメニューアニメーションを制御できます。
- 有効または無効は、設定をオンまたはオフにします。設定を無効にすると、下位のポリシーでは有効になりません。
さらに、一部の設定は、依存する設定の有効性を制御します。たとえば、クライアントドライブリダイレクトは、ユーザーがデバイス上のドライブにアクセスできるかどうかを制御します。ユーザーがネットワークドライブにアクセスできるようにするには、この設定とクライアントネットワークドライブ設定の両方をポリシーに追加する必要があります。クライアントドライブリダイレクト設定が無効になっている場合、クライアントネットワークドライブ設定が有効になっていても、ユーザーはネットワークドライブにアクセスできません。
一般に、マシンに影響を与えるポリシー設定の変更は、仮想デスクトップが再起動したとき、またはユーザーがログオンしたときに有効になります。ユーザーに影響を与えるポリシー設定の変更は、ユーザーが次回ログオンしたときに有効になります。Active Directoryを使用している場合、ポリシー設定はActive Directoryが90分間隔でポリシーを再評価するときに更新されます。そして、ポリシー設定は、仮想デスクトップが再起動したとき、またはユーザーがログオンしたときに適用されます。
一部のポリシー設定では、設定をポリシーに追加するときに値を入力または選択できます。「デフォルト値を使用」を選択することで、設定の構成を制限できます。この選択により、設定の構成が無効になり、ポリシーが適用されるときに設定のデフォルト値のみが使用されるようになります。この選択は、「デフォルト値を使用」を選択する前に入力された値に関係なく適用されます。
セキュアなデフォルト設定が有効になっている場合、VDAのインストール中に、ポリシー設定の優先順位は次のように影響を受けます。
- カスタマイズされた設定が最も高い優先順位になります
- セキュアなデフォルト設定が2番目の優先順位になります
- デフォルト設定が最も低い優先順位になります
ポリシーのセキュアなデフォルト設定を確認するには:
- Web Studioにログインします。
- 左側のナビゲーションで、ポリシーをクリックします。
- ポリシータブで、ポリシーの作成をクリックします。
-
設定の選択テーブルで、現在の値が許可?となっている設定にカーソルを合わせると、セキュアなデフォルト値:禁止と表示されます。
セキュアなデフォルト設定(en-us/citrix-virtual-apps-desktops/2402-ltsr/media/secure-default-setting.png)
ベストプラクティスとして:
- ポリシーは個々のユーザーではなく、グループに割り当てます。グループにポリシーを割り当てると、グループへのユーザーの追加または削除時に割り当てが自動的に更新されます。
- リモートデスクトップセッションホスト構成で、競合する設定や重複する設定を有効にしないでください。リモートデスクトップセッションホスト構成は、Citrixポリシー設定と同様の機能を提供することがあります。可能な限り、トラブルシューティングを容易にするために、すべての設定を一貫して(有効または無効に)保ってください。
- 使用されていないポリシーは無効にします。設定が追加されていないポリシーは、不要な処理を発生させます。
ポリシーの割り当て
ポリシーを作成する際、特定のユーザーおよびマシンオブジェクトに割り当てます。そのポリシーは、特定の基準またはルールに従って接続に適用されます。一般に、基準の組み合わせに基づいて、ポリシーに任意の数の割り当てを追加できます。
割り当てを指定しない場合、または割り当てを指定しても無効にした場合、ポリシーはすべての接続に適用されます。
注:
ポリシー割り当ては、ポリシーフィルターとも呼ばれます。詳細については、以下のトピックを参照してください。
次の表に、利用可能な割り当てを示します。
| 割り当て名 | ポリシーの適用基準 |
|---|---|
| アクセス制御 | クライアントが接続しているアクセス制御条件。接続の種類 - NetScaler® Gatewayを使用しているかどうかにかかわらず、ポリシーを接続に適用するかどうか。NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前。アクセス条件 - 使用するエンドポイント分析ポリシーまたはセッションポリシーの名前。 |
| ネットスケーラー SD-WAN | ユーザーセッションがNetScaler SD-WANを介して起動されるかどうか。注:ポリシーには、NetScaler SD-WANの割り当てを1つだけ追加できます。 |
| クライアントIPアドレス | セッションへの接続に使用されるユーザーデバイスのIPアドレス:IPv4の例:12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24; IPv6の例:2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
| クライアント名 | ユーザーデバイスの名前。完全一致: ClientABCName。ワイルドカードの使用: Client*Name。 |
| デリバリーグループ | デリバリーグループのメンバーシップ。 |
| デリバリーグループの種類 | デスクトップまたはアプリケーションの種類: プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーション。注: プライベートデスクトップと共有デスクトップのフィルターオプションは、Citrix Virtual Apps and Desktops 7.xでのみ利用可能です。詳細については、「CTX219153」を参照してください。 |
| 組織単位 (OU) | 組織単位。 |
| タグ | タグ。注: このポリシーは、タグ付けされたすべてのマシンに適用されます。アプリケーションタグは含まれません。 |
| ユーザーまたはグループ | ユーザーまたはグループ名。 |
ユーザーがログオンすると、接続の割り当てに一致するすべてのポリシーが特定されます。これらのポリシーは優先順位に従ってソートされ、設定の複数のインスタンスが比較されます。各設定は、ポリシーの優先順位に従って適用されます。無効になっているポリシー設定は、有効になっている下位ランクの設定よりも優先されます。構成されていないポリシー設定は無視されます。
重要:
グループポリシー管理コンソールを使用してActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当てと設定が期待どおりに適用されないことがあります。詳細については、「CTX127461」を参照してください。
「Unfiltered」という名前のポリシーがデフォルトで提供されます。
- Web Studio を使用して Citrix ポリシーを管理する場合、「Unfiltered」ポリシーに追加した設定は、サイト内のすべてのサーバー、デスクトップ、および接続に適用されます。
- ローカルグループポリシーエディターを使用して Citrix ポリシーを管理する場合、「Unfiltered」ポリシーに追加した設定は、すべてのサイトと接続に適用されます。サイトと接続は、ポリシーを含むグループポリシーオブジェクト (GPO) のスコープ内にある必要があります。たとえば、Sales OU には、米国の営業チームのすべてのメンバーを含む Sales-US という GPO が含まれています。Sales-US GPO は、いくつかのユーザーポリシー設定を含む「Unfiltered」ポリシーで構成されています。米国の営業マネージャーがサイトにログオンすると、「Unfiltered」ポリシーの設定がセッションに自動的に適用されます。この構成は、ユーザーが Sales-US GPO のメンバーであるためです。
割り当てのモードは、ポリシーがすべての割り当て条件に一致する接続にのみ適用されるかどうかを決定します。モードが「許可」(デフォルト) に設定されている場合、ポリシーは割り当て条件に一致する接続にのみ適用されます。モードが「拒否」に設定されている場合、接続が割り当て条件に一致しない場合にポリシーが適用されます。以下の例は、複数の割り当てが存在する場合に割り当てモードが Citrix ポリシーにどのように影響するかを示しています。
-
例: モードが異なる同種の割り当て - 同じ種類の割り当てが 2 つあり、一方が「許可」に設定され、もう一方が「拒否」に設定されているポリシーでは、接続が両方の割り当てを満たす場合、「拒否」に設定された割り当てが優先されます。例:
ポリシー 1 には次の割り当てが含まれます。
- 割り当て A は Sales グループを指定します。モードは「許可」に設定されています。
- 割り当て B は営業マネージャーのアカウントを指定します。モードは「拒否」に設定されています。
割り当て B のモードが「拒否」に設定されているため、ユーザーが Sales グループのメンバーであっても、営業マネージャーがサイトにログオンしたときにポリシーは適用されません。
-
例: モードが同じでタイプが異なる割り当て - タイプが異なる 2 つ以上の割り当てがあり、すべて「許可」に設定されているポリシーでは、ポリシーが適用されるために、接続は各タイプの少なくとも 1 つの割り当てを満たす必要があります。例:
ポリシー 2 には次の割り当てが含まれます。
- 割り当て C は、Sales グループを指定するユーザー割り当てです。モードは「許可」に設定されています。
- 割り当て D は、10.8.169.* (企業ネットワーク) を指定するクライアント IP アドレス割り当てです。モードは「許可」に設定されています。
営業マネージャーがオフィスからサイトにログオンすると、接続が両方の割り当てを満たすため、ポリシーが適用されます。
ポリシー 3 には次の割り当てが含まれます。
- 割り当てEは、Salesグループを指定するユーザー割り当てです。モードは許可に設定されています。
- 割り当てFは、NetScaler Gatewayの接続条件を指定するアクセスコントロール割り当てです。モードは許可に設定されています。
Salesマネージャーがオフィスからサイトにログオンしても、接続が割り当てFを満たさないため、ポリシーは適用されません。
Web Studioを使用して、テンプレートに基づいてポリシーを作成する
-
Web Studioにサインインし、左側のペインでポリシーを選択します。
-
テンプレートタブを選択し、テンプレートを選択します。
-
アクションバーでテンプレートからポリシーを作成を選択します。
-
デフォルトでは、新しいポリシーはテンプレート内のすべてのデフォルト設定を使用します。この場合、テンプレートのデフォルト設定(推奨)が選択されています。設定を変更する場合は、デフォルト設定を変更して追加を選択し、設定を追加または削除します。
-
次のいずれかを選択して、ポリシーの適用方法を指定します。
- 選択したユーザーおよびマシンオブジェクト。選択したユーザーおよびマシンオブジェクトにポリシーを適用するには、割り当てをクリックして、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
- サイト内のすべてのオブジェクト。サイト内のすべてのユーザーおよびマシンオブジェクトにポリシーを適用します。
-
ポリシーの名前を入力します。ポリシーが影響する対象(例: 経理部、リモートユーザーなど)に基づいて名前を付けることを検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで無効になっていますが、有効にすることができます。ポリシーを有効にすると、ログオンするユーザーにすぐに適用されます。無効にすると、ポリシーは適用されません。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備が整うまでポリシーを無効にしておくことを検討してください。
Web Studioを使用してポリシーを作成する
-
Web Studioにサインインし、左側のペインでポリシーを選択します。
-
ポリシータブを選択します。
-
アクションバーでポリシーの作成を選択します。
-
ポリシー設定を追加および構成します。
-
次のいずれかを選択して、ポリシーを適用する方法を指定します。
- 選択したユーザーオブジェクトとマシンオブジェクトに割り当ててから、ポリシーを適用する必要があるユーザーオブジェクトとマシンオブジェクトを選択します。
- サイト内のすべてのオブジェクトに割り当てて、サイト内のすべてのユーザーオブジェクトとマシンオブジェクトにポリシーを適用します。
-
ポリシーの名前を入力するか、デフォルトを受け入れます。ポリシーの名前は、それが影響する対象(例:経理部、リモートユーザーなど)に基づいて検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで有効になっていますが、無効にすることもできます。ポリシーを有効にすると、ログオンするユーザーにすぐに適用されます。無効にすると、ポリシーの適用が防止されます。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備が整うまでポリシーを無効にすることを検討してください。
グループポリシーエディターを使用してポリシーを作成および管理する
グループポリシーエディターから、コンピューターの構成またはユーザーの構成を展開します。ポリシーノードを展開し、Citrixポリシーを選択します。適切なアクションを選択します。
| タスク | 操作手順 |
|---|---|
| ポリシーを作成する | ポリシータブで、新規をクリックします。 |
| 既存のポリシーを編集する | 「ポリシー」タブでポリシーを選択し、「編集」をクリックします。 |
| 既存のポリシーの優先度を変更する | 「ポリシー」タブでポリシーを選択し、「上位」または「下位」をクリックします。 |
| ポリシーの概要情報を表示する | 「ポリシー」タブでポリシーを選択し、「概要」タブをクリックします。 |
| ポリシー設定を表示および修正する | 「ポリシー」タブでポリシーを選択し、「設定」タブをクリックします。 |
| ポリシーフィルターを表示および修正する | 「ポリシー」タブでポリシーを選択し、「フィルター」タブをクリックします。ポリシーに複数のフィルターを追加する場合、ポリシーが適用されるには、すべてのフィルター条件が満たされている必要があります。 |
| ポリシーを有効または無効にする | 「ポリシー」タブでポリシーを選択し、「アクション > 有効化」または「アクション > 無効化」を選択します。 |
| 既存のテンプレートからポリシーを作成する | 「テンプレート」タブでテンプレートを選択し、「新規ポリシー」をクリックします。 |