ポリシーの比較、優先順位付け、トラブルシューティング

注：

Citrix Virtual Apps and Desktops™の展開は、Web Studio（ウェブベース）とCitrix Studio（Windowsベース）の2種類の管理コンソールを使用して管理できます。この記事ではWeb Studioのみを扱います。Citrix Studioの詳細については、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事を参照してください。

複数のポリシーを使用して、ユーザーの職務、地理的な場所、または接続の種類に基づいて、ユーザーのニーズを満たすように環境をカスタマイズできます。たとえば、セキュリティを強化するために、機密データを定期的に操作するユーザーグループに制限を設けることができます。

また、ユーザーが機密ファイルをローカルクライアントドライブに保存できないようにするポリシーを作成することもできます。ただし、ユーザーグループ内の一部のユーザーがローカルドライブへのアクセスを必要とする場合は、それらのユーザー専用の別のポリシーを作成できます。その後、どちらが優先されるかを制御するために、2つのポリシーのランク付けまたは優先順位付けを行います。複数のポリシーを使用する場合、次のことを決定する必要があります。

• ポリシーの優先順位付け方法
• 例外の作成方法
• ポリシーが競合する場合に有効なポリシーを表示する方法。

一般に、ポリシーは、サイト全体、特定のDelivery Controller、またはユーザーデバイスに構成されている同様の設定を上書きします。この原則の例外はセキュリティです。環境内で最も高い暗号化設定は、常に他の設定やポリシーを上書きします。最も高い暗号化設定には、オペレーティングシステムと最も制限の厳しいシャドウイング設定が含まれます。

Citrixポリシーは、オペレーティングシステムで設定したポリシーと相互作用します。Citrix環境では、Citrix設定は、Active Directoryポリシーで構成された設定、またはリモートデスクトップセッションホスト構成を使用して構成された設定と同じ設定を上書きします。この設定には、一般的なリモートデスクトッププロトコル（RDP）クライアント接続設定に関連する設定が含まれます。一般的なRDP設定には、デスクトップの壁紙、メニューアニメーション、ドラッグ中のウィンドウコンテンツの表示などの設定が含まれます。

Secure ICA®などの一部のポリシー設定は、オペレーティングシステムの設定と一致している必要があります。より高い優先度の暗号化レベルが他の場所で設定されている場合、ポリシーで指定した、またはアプリケーションとデスクトップを配信するときに指定したSecure ICA policy設定は上書きされる可能性があります。

たとえば、デリバリーグループを作成するときに指定する暗号化設定は、環境全体で指定した暗号化設定と同じレベルである必要があります。

注：

ダブルホップシナリオの2番目のホップでは、シングルセッションOS VDAがマルチセッションOS VDAに接続することを考慮してください。この場合、Citrixポリシーは、シングルセッションOS VDAをユーザーデバイスであるかのように扱います。たとえば、ユーザーデバイスに画像をキャッシュするようにポリシーが設定されているとします。この例では、ダブルホップシナリオの2番目のホップ用にキャッシュされた画像は、シングルセッションOS VDAマシンにキャッシュされます。

ポリシーモデリングウィザードを使用する

ポリシーモデリングは、計画およびテスト目的で、フィルターが適用された有効なポリシーをシミュレートするのに役立ちます。フィルターが適用された有効なポリシーのみがモデル化されます。無効なポリシーは適用されず、フィルターが適用されていない有効なポリシーは常に適用されます。

ポリシーモデリングウィザードを開くには、次の手順を実行します。

1. 左側のナビゲーションからポリシーを選択します。
2. モデリングタブを選択します。
3. アクションバーでポリシーモデリングを選択します。
4. はじめにページを読み、次へをクリックします。
5. ユーザーまたはコンピューターを選択します。コンテナー、特定のユーザー、またはコンピューターを参照できます。次へをクリックします。
6. フィルターの証拠を選択します。オプションで、デリバリーグループ、タグ、クライアントIPアドレスなどの追加の詳細を入力して、シミュレーションをより詳細にすることができます。次へをクリックします。
7. 選択内容の概要を確認し、実行をクリックします。

実行をクリックすると、ウィザードはモデリング結果のレポートを生成します。このレポートを表示している間、次のことができます。

• ドロップダウンメニューで、すべての設定、コンピューター設定、またはユーザー設定のいずれを表示するかを選択します。
• 検索バーを使用して、特定の設定を検索します。
• 特定の設定をクリックして、その設定の詳細を表示します。たとえば、特定のポリシーに対してすべてのユーザー設定が適用されなかった場合、詳細ペインには設定が適用されなかった理由が表示されます。
• エクスポートをクリックして、モデリング結果をJSON形式、HTML形式、またはその両方でエクスポートします。

ポリシーモデリングを実行すると、さらに多くのオプションが利用可能になります。次のことができます。

• モデリングレポートの表示: これにより、上記のモデリングレポートが開き、再度表示したりエクスポートしたりできます。
• ポリシーモデリングの再実行: これにより、以前に選択したのと同じ基準セットでポリシーモデリングを再実行し、新しいモデリング結果を生成できます。これは、一部のポリシーが変更され、それらの変更が現在のモデルにどのように影響するかを確認したい場合に役立ちます。
• モデリングレポートの削除: これにより、現在のモデリングレポートが削除されます。

ポリシーとテンプレートを比較する

ポリシーまたはテンプレートの設定を、他のポリシーまたはテンプレートの設定と比較できます。たとえば、ベストプラクティスへの準拠を維持するために、設定値を確認する必要がある場合があります。また、ポリシーまたはテンプレートの設定を、Citrix が提供するデフォルト設定と比較することもできます。

1. Web Studio にサインインし、左ペインで ポリシー を選択します。
2. 比較 タブをクリックし、次に 選択 をクリックします。
3. 比較するポリシーまたはテンプレートを選択します。比較にデフォルト値を含めるには、デフォルト設定と比較 チェックボックスをオンにします。
4. 比較 をクリックすると、構成された設定が列に表示されます。
5. すべての設定を表示するには、すべての設定を表示 を選択します。デフォルトビューに戻るには、共通設定を表示 を選択します。

ポリシーの優先順位付け

ポリシーの優先順位付けにより、競合する設定が含まれる場合のポリシーの優先順位を定義できます。ユーザーがログオンすると、接続の割り当てに一致するすべてのポリシーが識別されます。これらのポリシーは優先順位順に並べ替えられ、任意の設定の複数のインスタンスが比較されます。各設定は、ポリシーの優先順位に従って適用されます。

ポリシーには異なる優先順位番号を付与することで、優先順位を付けます。デフォルトでは、新しいポリシーには最も低い優先順位が与えられます。ポリシー設定が競合する場合、優先順位が高いポリシー（優先順位番号1が最高）が、優先順位が低いポリシーを上書きします。設定は、優先順位と設定の条件に従ってマージされます。たとえば、設定が無効か有効かなどです。無効な設定は、有効な下位の設定を上書きします。構成されていないポリシー設定は無視され、下位の設定を上書きしません。

1. 左ペインで ポリシー を選択します。ポリシー タブが選択されていることを確認してください。
2. ポリシー タブで、アクションバーの ポリシーの優先順位の変更 を選択します。ポリシーの優先順位の変更 ページが表示されます。

3. 優先順位リストで、ポリシーの優先順位を変更するには、次のいずれかの方法を使用します。

   • ポリシーを目的の位置にドラッグします。
   • 1つ上または下に移動するには、それぞれ上矢印アイコンまたは下矢印アイコンをクリックします。
   • リストの先頭または末尾に移動するには、それぞれ先頭矢印アイコンまたは末尾矢印アイコンをクリックします。
   • 優先順位番号を変更するには、編集アイコンをクリックし、必要に応じて番号を入力して、保存をクリックします。
4. 保存をクリックします。

例外事項

ユーザー、ユーザーデバイス、またはマシンのグループに対してポリシーを作成する場合、グループの一部のメンバーが特定のポリシー設定に例外を必要とすることがあります。例外は次の方法で作成できます。

• 例外を必要とするグループメンバーのみにポリシーを作成し、そのポリシーをグループ全体のポリシーよりも上位にランク付けする
• ポリシーに追加された割り当てに対して拒否モードを使用する

モードが拒否に設定された割り当ては、割り当て条件に一致しない接続にのみポリシーを適用します。たとえば、ポリシーには次の割り当てが含まれます。

• 割り当てAは、範囲208.77.88.*を指定するクライアントIPアドレスの割り当てです。モードは許可に設定されています。
• 割り当てBは、特定のユーザーアカウントを指定するユーザーの割り当てです。モードは拒否に設定されています。

割り当てAで指定された範囲のIPアドレスを使用してサイトにログオンするすべてのユーザーにポリシーが適用されます。ただし、割り当てBで指定されたユーザーアカウントを使用してサイトにログオンするユーザーにはポリシーは適用されません。

接続に適用されるポリシーを決定する

複数のポリシーが適用されるため、接続が期待どおりに応答しない場合があります。優先度の高いポリシーが接続に適用される場合、元のポリシーで構成した設定が上書きされることがあります。ポリシーの結果セットを計算し、接続に対して最終的なポリシー設定がどのようにマージされるかを判断できます。

ポリシーの結果セットは、次の方法で計算できます。

• Citrix Group Policy Modelingウィザードを使用して、接続シナリオをシミュレートし、Citrixポリシーがどのように適用されるかを判別します。接続シナリオの条件として、以下を指定できます。
  • ドメインコントローラー
  • ユーザー
  • Citrixポリシー割り当て証拠値
  • 低速ネットワーク接続などのシミュレートされた環境設定 ウィザードが生成するレポートには、シナリオで有効になるCitrixポリシーが一覧表示されます。コントローラーにドメインユーザーとしてログオンするため、ウィザードはサイトポリシー設定とActive Directoryグループポリシーオブジェクト（GPO）の両方を使用して結果を計算します。
• Group Policy Resultsを使用して、特定のユーザーとコントローラーに有効なCitrixポリシーを記述したレポートを生成します。Group Policy Resultsツールは、環境内のGPOの現在の状態を評価するのに役立ち、レポートを生成します。生成されたレポートには、Citrixポリシーを含むこれらのオブジェクトが、特定のユーザーとコントローラーに現在どのように適用されているかが記述されています。

Web StudioでCitrix Group Policy Modelingウィザードを起動できます。または、Windowsのグループポリシー管理コンソールからGroup Policy Resultsツールを起動することもできます。

Web Studioを使用して作成されたサイトポリシー設定は、次の場合、ポリシーの結果セットに含まれません。

• グループポリシー管理コンソールからCitrix Group Policy Modelingウィザードを実行する場合
• グループポリシー管理コンソールからGroup Policy Resultsツールを実行する場合

最も包括的なポリシーの結果セットを取得していることを確認するには、グループポリシー管理コンソールのみを使用してポリシーを作成する場合を除き、Citrix Group Policy ModelingウィザードをWeb Studioから起動することをお勧めします。

ポリシーのトラブルシューティング

ユーザー、IPアドレス、およびその他の割り当てられたオブジェクトには、同時に適用される複数のポリシーが存在する場合があります。このシナリオでは、ポリシーが期待どおりに動作しない競合が発生する可能性があります。Citrix Group Policy ModelingウィザードまたはGroup Policy Resultsツールを実行すると、ユーザー接続にポリシーが適用されていないことが判明する場合があります。このようなシナリオでは、ポリシー評価基準に一致する条件下でアプリケーションやデスクトップに接続するユーザーには、ポリシー設定は適用されません。この状況は次の場合に発生します。

• ポリシー評価基準に一致する割り当てを持つポリシーはありません。
• 割り当てに一致するポリシーには、設定が何も構成されていません。
• 割り当てに一致するポリシーは無効になっています。

指定された基準を満たす接続にポリシー設定を適用したい場合は、以下を確認してください。

• それらの接続に適用したいポリシーが有効になっていること。
• 適用したいポリシーに適切な設定が構成されていること。