セキュリティに関する考慮事項とベストプラクティス

注：

組織は、規制要件を満たすために特定のセキュリティ標準に準拠する必要がある場合があります。このようなセキュリティ標準は時間とともに変化するため、このドキュメントではこの主題については触れていません。セキュリティ標準とCitrix製品に関する最新情報については、Citrix Trust Centerを参照してください。

ファイアウォール

環境内のすべてのマシンを、必要に応じてエンクレーブ境界を含め、境界ファイアウォールで保護します。

環境内のすべてのマシンは、パーソナルファイアウォールによって保護されている必要があります。コアコンポーネントとVDAをインストールする際、Windowsファイアウォールサービスが検出された場合（ファイアウォールが有効になっていない場合でも）、コンポーネントと機能の通信に必要なポートを自動的に開くように選択できます。これらのファイアウォールポートを手動で構成することもできます。別のファイアウォールを使用する場合は、手動で構成する必要があります。必要なポートの詳細については、Tech Paper: Communication Ports Used by Citrix Technologiesを参照してください。

従来の環境をこのリリースに移行する場合、既存の境界ファイアウォールの再配置や新しい境界ファイアウォールの追加が必要になる場合があります。たとえば、データセンター内の従来のクライアントとデータベースサーバーの間に境界ファイアウォールがあるとします。このリリースを使用する場合、その境界ファイアウォールは、仮想デスクトップとユーザーデバイスが一方にあり、データセンター内のデータベースサーバーとDelivery Controllerがもう一方にあるように配置する必要があります。したがって、データセンター内にデータベースサーバーとControllerを格納するためのエンクレーブを作成することを検討してください。また、ユーザーデバイスと仮想デスクトップの間に保護を設けることも検討してください。

注：

TCPポート1494と2598はICAとCGPに使用されるため、データセンター外のユーザーがアクセスできるようにファイアウォールで開かれている可能性が高いです。Citrixは、管理インターフェイスが意図せず攻撃にさらされる可能性を避けるため、これらのポートを他の目的で使用しないことを推奨します。ポート1494と2598は、Internet Assigned Number Authority (http://www.iana.org/) に正式に登録されています。

デリバリーコントローラー™ との安全な通信

HTTPSを使用した通信の暗号化

StoreFrontとNetScaler Gatewayは、HTTPまたはHTTPSを介してデリバリーコントローラーで実行されているXMLサービスと通信します。構成によっては、VDAはWebSocketを使用してデリバリーコントローラーと通信する場合があります。HTTPSを有効にし、HTTPを無効にすることをお勧めします。これには、Enable HTTPS on Delivery Controllersを有効にしている必要があります。

• StoreFront を HTTPS を使用して接続するように構成するには、Citrix Desktops as a Service のリソースフィードを追加する および Citrix Gateway アプライアンスを追加する を参照してください。

• NetScaler Gateway を HTTPS を使用して Delivery Controller に接続するように構成するには、ネットスケーラーゲートウェイでセキュアチケットオーソリティを構成するを参照してください。

または、IPSecを使用してサーバー間の通信を保護するようにWindowsを構成することもできます。

セキュリティキー

セキュリティキー(/ja-jp/citrix-virtual-apps-desktops/2407/manage-deployment/security-keys)を使用して、承認されたStoreFrontおよびNetScalerサーバーのみがクラウドコネクタを介してDaaSに接続できるようにすることができます。これは、XML信頼を有効にしている場合に特に重要です。

XML信頼

デフォルトでは、StoreFrontが列挙や起動などのアクションのためにデリバリーコントローラーに接続する場合、DaaSがユーザーを認証し、ユーザーのグループメンバーシップを確認できるように、StoreFrontはユーザーのActive Directory資格情報を渡す必要があります。ただし、ドメインパススルー、スマートカード、SAMLなどの他の認証方法を使用する場合、StoreFrontはActive Directoryパスワードを持っていません。この場合、「XML信頼」を有効にする必要があります。XML信頼が有効になっている場合、CVADは、ユーザーのパスワードを検証することなく、アプリケーションの列挙や起動など、ユーザーに代わってStoreFrontがアクションを実行することを許可します。XML信頼を有効にする前に、信頼できるStoreFrontサーバーのみがデリバリーコントローラーに接続できるように、セキュリティキー(/ja-jp/citrix-virtual-apps-desktops/2407/manage-deployment/security-keys)またはファイアウォールやIPsecなどの別のメカニズムを使用してください。

シトリックス バーチャルアップス アンド デスクトップス PowerShell SDK を使用して、XML信頼設定を確認、有効化、または無効化します。

• XML信頼設定の現在の値を確認するには、Get-BrokerSiteを実行し、TrustRequestsSentToTheXMLServicePortの値を調べます。
• XML信頼を有効または無効にするには、パラメーターTrustRequestsSentToTheXmlServicePortを指定してSet-BrokerSiteを実行します。

VDAとデリバリーコントローラー間の通信

VDAがコントローラーと通信するためのメカニズムは2つあります。

• ウィンドウズ コミュニケーション ファンデーション

  Windows Communication Foundation (WCF) のメッセージレベル保護は、デリバリーコントローラーとVDA間の通信を保護します。これにより、TLSを使用した追加のトランスポートレベル保護の必要がなくなります。VDAとデリバリーコントローラー間の通信に使用されるデフォルトポートは80です。ただし、ポートをカスタマイズできます。詳しくは、「VDAのカスタマイズ(/ja-jp/citrix-virtual-apps-desktops/2407/install-configure/install-vdas#customize-a-vda)」を参照してください。

  WCFにおけるメッセージセキュリティの詳細については、MicrosoftのドキュメントWCFにおけるメッセージセキュリティを参照してください。

  WCF構成は、コントローラーとVDA間の相互認証にKerberosを使用します。暗号化には、256ビットキーのCBCモードでAESを使用します。メッセージの整合性にはSHA-1を使用します。

  Microsoftによると、WCFで使用されるセキュリティプロトコルは、WS-SecurityPolicy 1.2を含むOASIS（Organization for the Advancement of Structured Information Standards）の標準に準拠しています。さらに、Microsoftは、WCFがセキュリティポリシー 1.2に記載されているすべてのアルゴリズムスイートをサポートしていると述べています。

  コントローラーとVDA間の通信はbasic256アルゴリズムスイートを使用し、そのアルゴリズムは上記のとおりです。

  WCF構成は、メッセージレベルのセキュリティ暗号化とともにSOAP over HTTPプロトコルを使用します。

• ウェブソケット

  これはWCFの現代的な代替手段です。VDAからDelivery Controllerへの通信にはTLSポート443のみを使用するという利点があります。現在、MCSでプロビジョニングされたマシンでのみ利用可能です。詳細については、VDAとDelivery Controller間のWebSocket通信を参照してください。

ICA®通信の保護

Citrix CVADは、クライアントとVDA間のICAトラフィックを保護するためのいくつかのオプションを提供します。利用可能なオプションは次のとおりです。

• 基本暗号化: デフォルト設定です。
• SecureICA: RC5 (128ビット) 暗号化を使用してセッションデータを暗号化できます。
• VDA TLS/DTLS: TLS/DTLSを使用してネットワークレベルの暗号化を可能にします。

基本暗号化

基本暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。

セキュアICA

SecureICAを使用する場合、トラフィックは次の図に示すように暗号化されます。

詳細については、セキュリティポリシー設定を参照してください。

注1:

HTML5 用 Workspace アプリを使用する場合、SecureICA はサポートされません。

注2:

Citrix SecureICA は ICA/HDX プロトコルの一部ですが、Transport Layer Security (TLS) のような標準準拠のネットワークセキュリティプロトコルではありません。

VDA TLS/DTLS

VDA TLS/DTLS 暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。

VDA TLS/DTLS を構成するには、VDA の TLS 設定を参照してください。

仮想チャネル

環境で許可される非 Citrix 仮想チャネルを制御するには、仮想チャネル許可リストを使用します。

プリントサーバーとのセキュアな通信

Virtual Delivery Agent (VDA) と Universal Print Server の間のTCPベース接続に対してTLSを有効にできます。詳細については、Universal Print Server におけるトランスポート層セキュリティ (TLS) を参照してください。

サイトデータベースとのセキュアな通信

サイトデータベースへの TLS の有効化については、CTX137556を参照してください。

VDA マシンのセキュリティ

一般的な推奨事項

VDAが最新のオペレーティングセキュリティアップデートとアンチウイルスで常に最新の状態に保たれていることを確認してください。

アプリケーションセキュリティ

管理者以外のユーザーが悪意のある操作を実行するのを防ぐため、CitrixはVDAホスト上のインストーラー、アプリケーション、実行可能ファイル、およびスクリプトに対してWindows AppLockerルールを構成することを推奨します。

8.3形式のファイル名

VDAで8.3形式のファイル名を無効にできます。Microsoft fsutil ドキュメントを参照してください。

データストレージに関する考慮事項

デスクトップ環境は、プールされたデスクトップや専用デスクトップなど、さまざまな種類のデスクトップで構成される場合があります。ユーザーは、プールされたデスクトップなど、ユーザー間で共有されるデスクトップにデータを保存してはなりません。ユーザーが専用デスクトップにデータを保存する場合、そのデスクトップが後で他のユーザーに利用可能になった場合は、そのデータを削除する必要があります。

ユーザーアカウント管理

アカウント管理にはWindowsのベストプラクティスを適用してください。Machine Creation ServicesまたはProvisioning Servicesによって複製される前に、テンプレートまたはイメージ上にアカウントを作成しないでください。保存された特権ドメインアカウントを使用してタスクをスケジュールしないでください。共有Active Directoryマシンアカウントを手動で作成しないでください。これらの慣行は、マシン攻撃がローカルの永続的なアカウントパスワードを取得し、それらを使用して他のユーザーに属するMCS/PVS共有イメージにログオンするのを防ぐのに役立ちます。

ユーザーには必要な機能のみを付与してください。Microsoft Windowsの特権は通常の方法でデスクトップに適用され続けます。つまり、ユーザー権利の割り当てを通じて特権を構成し、グループポリシーを通じてグループメンバーシップを構成します。このリリースの利点の1つは、デスクトップが保存されているコンピューターに対する物理的な制御を付与することなく、ユーザーにデスクトップへの管理者権限を付与できることです。

デスクトップの特権を計画する際には、以下に注意してください。

• デフォルトでは、特権のないユーザーがデスクトップに接続すると、自身のユーザーデバイスのタイムゾーンではなく、デスクトップを実行しているシステムのタイムゾーンが表示されます。デスクトップを使用する際にユーザーがローカル時間を確認できるようにする方法については、「デリバリーグループの管理」の記事を参照してください。
• デスクトップの管理者であるユーザーは、そのデスクトップを完全に制御できます。デスクトップが専用デスクトップではなくプールされたデスクトップである場合、そのユーザーは、将来のユーザーを含む、そのデスクトップの他のすべてのユーザーに関して信頼されなければなりません。デスクトップのすべてのユーザーは、この状況によって引き起こされるデータセキュリティへの潜在的な永続的なリスクを認識する必要があります。この考慮事項は、単一のユーザーしか持たない専用デスクトップには適用されません。そのユーザーは他のどのデスクトップの管理者であってもなりません。
• デスクトップの管理者であるユーザーは、一般的に、悪意のあるソフトウェアを含むソフトウェアをそのデスクトップにインストールできます。また、ユーザーはデスクトップに接続されている任意のネットワーク上のトラフィックを監視または制御できる可能性もあります。

ログオン権限の管理

ログオン権限は、ユーザーアカウントとコンピューターアカウントの両方に必要です。Microsoft Windowsの特権と同様に、ログオン権限は通常の方法でデスクトップに適用され続けます。つまり、ユーザー権利の割り当てを通じてログオン権限を構成し、グループポリシーを通じてグループメンバーシップを構成します。

Windowsのログオン権限は、ローカルログオン、リモートデスクトップサービス経由のログオン、ネットワーク経由のログオン（ネットワークからこのコンピューターにアクセス）、バッチジョブとしてのログオン、サービスとしてのログオンです。

コンピューターアカウントの場合、コンピューターには必要なログオン権限のみを付与します。「ネットワークからこのコンピューターにアクセス」というログオン権限は、Delivery Controllerのコンピューターアカウントに必要です。

ユーザーアカウントの場合、ユーザーには必要なログオン権限のみを付与します。

Microsoftによると、デフォルトでは、Remote Desktop Usersグループには「リモートデスクトップサービス経由でのログオンを許可」というログオン権限が付与されています（ドメインコントローラーを除く）。

組織のセキュリティポリシーによっては、このグループをそのログオン権限から削除するよう明示的に規定している場合があります。次のアプローチを検討してください。

• Multi-session OS 用のVirtual Delivery Agent (VDA) は、Microsoft Remote Desktop Servicesを使用します。Remote Desktop Usersグループを制限付きグループとして構成し、Active Directoryグループポリシーを介してグループのメンバーシップを制御できます。詳細については、Microsoftのドキュメントを参照してください。
• Single-session OS 用のVDAを含むCitrix Virtual Apps and Desktops™のその他のコンポーネントでは、Remote Desktop Usersグループは不要です。したがって、これらのコンポーネントの場合、Remote Desktop Usersグループは「リモートデスクトップサービス経由でのログオンを許可」というログオン権限を必要としません。削除できます。さらに：
  • リモートデスクトップサービスを介してそれらのコンピューターを管理する場合は、そのようなすべての管理者がすでにAdministratorsグループのメンバーであることを確認してください。
  • リモートデスクトップサービスを介してそれらのコンピューターを管理しない場合は、それらのコンピューターでリモートデスクトップサービス自体を無効にすることを検討してください。

ユーザーとグループを「リモートデスクトップサービス経由でのログオンを拒否」というログオン権限に追加することは可能ですが、拒否ログオン権限の使用は一般的に推奨されません。詳細については、Microsoftのドキュメントを参照してください。

デリバリーコントローラーのセキュリティ

デリバリーコントローラー上の Windows サービス

Delivery Controllerのインストールにより、次のWindowsサービスが作成されます。

• シトリックス AD アイデンティティ サービス (NT SERVICE\CitrixADIdentityService): 仮想マシンのMicrosoft Active Directoryコンピューターアカウントを管理します。
• Citrix Analytics (NT SERVICE\CitrixAnalytics): サイト管理者が承認した場合、Citrixが使用するサイト構成の使用状況情報を収集します。その後、製品の改善に役立てるため、この情報をCitrixに送信します。
• Citrix App Library (NT SERVICE\CitrixAppLibrary): Supports management and provisioning of AppDisks, AppDNA integration, and management of App-V.
• Citrix Broker Service (NT SERVICE\CitrixBrokerService): ユーザーが利用できる仮想デスクトップまたはアプリケーションを選択します。
• Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Records all configuration changes and other state changes made by administrators to the site.
• Citrix コンフィギュレーションサービス (NT SERVICE\CitrixConfigurationService): 共有構成のためのサイト全体のリポジトリ。
• Citrix デリゲート管理サービス (NT SERVICE\CitrixDelegatedAdmin): 管理者に付与された権限を管理します。
• シトリックス環境テストサービス (NT SERVICE\CitrixEnvTest): 他のデリバリーコントローラーサービスのセルフテストを管理します。
• Citrix Host Service (NT SERVICE\CitrixHostService): Citrix Virtual AppsまたはCitrix Virtual Desktopsの展開で使用されるハイパーバイザーインフラストラクチャに関する情報を保存し、また、コンソールがハイパーバイザープール内のリソースを列挙するために使用する機能を提供します。
• シトリックス マシン作成サービス (NT SERVICE\CitrixMachineCreationService): デスクトップ仮想マシンの作成をオーケストレーションする役割を担います。
• Citrix Monitor Service (NT SERVICE\CitrixMonitor): Citrix Virtual AppsまたはCitrix Virtual Desktopsのメトリックを収集し、履歴情報を保存し、トラブルシューティングおよびレポートツール用のクエリインターフェイスを提供します。
• Citrix ストアフロント サービス (NT SERVICE\ CitrixStorefront): StoreFront の管理をサポートします。(StoreFront コンポーネント自体の一部ではありません。)
• Citrix ストアフロント 特権管理サービス (NT SERVICE\CitrixPrivilegedService): StoreFront の特権管理操作をサポートします。(StoreFront コンポーネント自体の一部ではありません。)
• Citrix 構成同期サービス (NT SERVICE\CitrixConfigSyncService): メインサイトデータベースからローカルホストキャッシュへ構成データを伝播するサービスです。
• Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): メインサイトデータベースが利用できない場合に、ユーザーが利用できる仮想デスクトップまたはアプリケーションを選択します。

Delivery Controller のインストールでは、以下の Windows サービスも作成されます。これらは、他の Citrix コンポーネントと一緒にインストールされた場合にも作成されます。

• Citrix 診断機能 COMサーバー (NT SERVICE\CdfSvc): Citrixサポートが使用するための診断情報の収集をサポートします。
• Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Citrix による分析のために診断情報を収集します。これにより、分析結果と推奨事項を管理者が表示し、サイトの問題の診断に役立てることができます。

Delivery Controller のインストールでは、以下の Windows サービスも作成されます。これは現在使用されていません。有効になっている場合は、無効にしてください。

• シトリックス の リモートブローカープロバイダー (NT SERVICE\XaXdCloudProxy)

Delivery Controller のインストールでは、以下の Windows サービスも作成されます。これらは現在使用されていませんが、有効にする必要があります。無効にしないでください。

• シトリックス オーケストレーションサービス機能 (NT SERVICE\CitrixOrchestration)
• シトリックスのトラストサービス (NT SERVICE\CitrixTrust)

Citrix Storefront™ Privileged Administration Service を除き、これらのサービスには、「サービスとしてログオン」のログオン権限と、「プロセスのメモリクォータの調整」、「セキュリティ監査の生成」、「プロセスレベルトークンの置き換え」の特権が付与されています。これらのユーザー権限を変更する必要はありません。これらの特権は Delivery Controller では使用されず、自動的に無効になります。

シトリックス ストアフロント 特権管理サービスおよびシトリックス テレメトリ サービスを除き、上記のデリバリーコントローラー Windows サービスはネットワークサービス ID としてログオンするように構成されています。これらのサービス設定を変更しないでください。

Citrix Config Synchronizer Service は、Delivery Controller 上のローカル管理者グループに NETWORK SERVICE アカウントが属している必要があります。これにより、ローカルホストキャッシュが正しく機能します。

Citrix Storefront Privileged Administration service は、ローカルシステム (NT AUTHORITY\SYSTEM) としてログオンするように構成されています。これは、通常サービスでは利用できない Delivery Controller StoreFront の操作 (Microsoft IIS サイトの作成を含む) に必要です。そのサービス設定を変更しないでください。

Citrix Telemetry Service は、独自のサービス固有の ID としてログオンするように構成されています。

Citrix Telemetry Service は無効にできます。このサービスと、すでに無効になっているサービスを除き、これらの Delivery Controller Windows サービスを他に無効にしないでください。

ログオン権限の管理

VDAs のコンピューターアカウントには、ログオン権限「ネットワークからこのコンピューターにアクセス」が必要です。Active Directory OU-based Controller discoveryを参照してください。

クライアントアクセス

クライアントアクセスは通常、Citrix StoreFrontを展開することで提供されます。StoreFront のセキュリティ保護に関する詳細については、StoreFront documentationを参照してください。

リモートユーザーがStoreFrontおよびVDAに安全に接続できるようにするには、NetScaler® Gatewayを展開します。

Citrixでは、クライアントがCitrix Workspaceアプリを使用してStoreFrontに接続することを推奨しています。詳細については、各オペレーティングシステム用のCitrix Workspaceアプリのdocumentationのセキュリティセクションを参照してください。または、ユーザーはWebブラウザーを使用してStoreFrontにアクセスすることもできます。

ユーザーがCitrix Workspace™アプリ以外のアプリケーションを実行する能力が制限されているシンクライアントをユーザーに提供することを検討してください。デバイスが組織によって管理されている場合は、オペレーティングシステムのセキュリティ更新プログラムとウイルス対策ソフトウェアの展開を確実にするためのポリシーを導入する必要があります。ただし、多くの場合、ユーザーは組織の管理外にある管理されていないデバイスから接続できる必要があります。次の機能の使用を検討してください。

• オペレーティングシステムやウイルス対策などのセキュリティ情報についてエンドポイントをスキャンし、セキュリティ要件を満たさないクライアントへのアクセスを拒否するEndpoint Analysis。
• App Protectionはキーロガーと画面キャプチャをブロックします。

混在バージョン環境

VDAがDelivery Controllerとは異なるバージョンである場合など、混在バージョン環境は一部のアップグレード中に避けられません。ベストプラクティスに従い、異なるバージョンのCitrixコンポーネントが共存する時間を最小限に抑えてください。混在バージョン環境では、たとえばセキュリティポリシーが均一に適用されない場合があります。

注：

これは他のソフトウェア製品にも共通しています。Active Directoryの以前のバージョンを使用すると、後のバージョンのWindowsではグループポリシーが部分的にしか適用されません。

次のシナリオは、特定の混在バージョンのCitrix環境で発生する可能性のあるセキュリティ問題について説明しています。Citrix Receiver 1.7を使用してXenAppおよびXenDesktop 7.6 Feature Pack 2のVDAを実行している仮想デスクトップに接続すると、ポリシー設定デスクトップとクライアント間のファイル転送を許可がサイトで有効になりますが、XenAppおよびXenDesktop 7.1を実行しているDelivery Controllerでは無効にできません。これは、製品の後のバージョンでリリースされたポリシー設定を認識しないためです。このポリシー設定により、ユーザーはファイルを仮想デスクトップにアップロードおよびダウンロードできるため、これがセキュリティ問題となります。これを回避するには、Delivery Controller（またはStudioのスタンドアロンインスタンス）をバージョン7.6 Feature Pack 2にアップグレードし、グループポリシーを使用してポリシー設定を無効にします。または、影響を受けるすべての仮想デスクトップでローカルポリシーを使用します。

Remote PC Accessのセキュリティに関する考慮事項

Remote PC Accessは、次のセキュリティ機能を実装しています。

• スマートカードの使用がサポートされています。
• リモートセッションが接続されると、オフィスPCのモニターは空白で表示されます。
• Remote PC Accessは、CTRL+ALT+DEL、USB対応スマートカード、生体認証デバイスを除くすべてのキーボードおよびマウス入力をリモートセッションにリダイレクトします。
• SmoothRoamingは単一ユーザーのみがサポートされています。
• ユーザーがオフィスPCにリモートセッションを接続している場合、そのユーザーのみがオフィスPCのローカルアクセスを再開できます。ローカルアクセスを再開するには、ユーザーはローカルPCでCtrl-Alt-Delを押し、リモートセッションで使用したのと同じ資格情報でログオンします。システムに適切なサードパーティのCredential Provider統合がある場合、ユーザーはスマートカードを挿入するか、生体認証を利用してローカルアクセスを再開することもできます。このデフォルトの動作は、グループポリシーオブジェクト (GPO) を介して高速ユーザー切り替えを有効にするか、レジストリを編集することで上書きできます。

注：

Citrixは、VDA管理者権限を一般セッションユーザーに割り当てないことを推奨します。

自動割り当て

デフォルトでは、Remote PC Accessは複数のユーザーをVDAに自動割り当てすることをサポートしています。XenDesktop 5.6 Feature Pack 1では、管理者はRemotePCAccess.ps1 PowerShellスクリプトを使用してこの動作を上書きできました。このリリースでは、複数の自動リモートPC割り当てを許可または禁止するためにレジストリエントリを使用します。この設定はサイト全体に適用されます。

注意：

レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディターは自己責任で使用してください。編集する前に必ずレジストリをバックアップしてください。

自動割り当てを単一ユーザーに制限するには：

サイト内の各コントローラーで、次のレジストリエントリを設定します。

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

既存のユーザー割り当てがある場合は、SDKコマンドを使用してそれらを削除し、VDAが単一の自動割り当ての対象となるようにします。

• VDAから割り当てられているすべてのユーザーを削除します: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
• デリバリーグループからVDAを削除します: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

物理的なオフィスPCを再起動します。