ポリシーを作成する
注:
Citrix Virtual Apps and Desktops™ の展開は、Web Studio (Webベース) とCitrix Studio (Windowsベース) という2種類の管理コンソールを使用して管理することが可能です。本記事では、Web Studioのみについて説明しています。Citrix Studioに関する情報については、Citrix Virtual Apps and Desktops 7 2212以前のバージョンに該当する記事をご参照ください。
ポリシーを作成する前に、それが影響を与える可能性のあるユーザーまたはデバイスのグループを決定します。ユーザーの職務、接続タイプ、ユーザーデバイス、または地理的な場所に基づいてポリシーを作成することもできます。Windows Active Directoryグループポリシーで使用するのと同じ基準を使用することもできます。
既にグループに適用されるポリシーを作成している場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。ポリシーを編集した後、適切な設定を構成します。特定の設定を有効にするためだけ、または特定のユーザーへのポリシーの適用を除外するためだけにポリシーを作成することは避けてください。
ポリシーを作成するときは、ポリシーテンプレートの設定に基づいて、必要に応じて設定をカスタマイズできます。テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。
Web Studioでは、ポリシーを有効にするチェックボックスが明示的にオンにされていない限り、新しく作成されたポリシーは無効に設定されます。
ポリシーの作成中および設定の構成中に、システムは設定タイプを表示するオプションを提供します。次の設定タイプを表示できます。
- すべての設定 - すべてのVDAバージョンに適用されるすべてを表示
- 現在の設定のみ - 現在のVDAバージョンに固有の設定を表示
- レガシー設定のみ - 非推奨のVDAバージョンにのみ適用される設定を表示
設定を構成しながら設定を表示するには:
- Web Studioにサインインし、左ペインでポリシーを選択します。
- ポリシータブで、ポリシーの作成をクリックします。
- 設定の選択テーブルで、設定の横にあるドロップダウンをクリックします。
- ドロップダウンから次のいずれかのオプションを選択します。
- すべての設定 - すべてのVDAバージョンのすべての設定を表示します
- 現在の設定のみ - 現在のVDAバージョンの設定のみを表示します
- レガシー設定のみ - 非推奨のVDAバージョンの設定のみを表示します
- 設定テーブルには、前の手順に基づいて利用可能な設定が一覧表示されます。
ポリシー設定
ポリシー設定は、有効、無効、または未構成にできます。デフォルトでは、ポリシー設定は構成されていません。つまり、ポリシーに追加されていません。設定は、ポリシーに追加された場合にのみ適用されます。
ポリシー設定は、依存するポリシー間の明確さを提供するために強化されています。この機能により、子ポリシー設定が構成されたときに有効になるように、親ポリシーが最初に構成されることが保証されます。
ポリシー設定を構成するには:
- ポリシーの作成ページで、設定の選択の下にある「overall」を検索します。 セッション全体の帯域幅制限に関連するすべてのポリシー(親と子)が一覧表示されます。
- 子ポリシーにカーソルを合わせると、セッション全体の帯域幅制限親ポリシーが構成されるまで、子ポリシーは構成できないことを示すツールヒントが表示されます。
- 親ポリシー設定を構成し、次に子ポリシー設定を構成して、保存をクリックします。
- 設定列と現在の値列には、ポリシーの作成/編集テーブルで構成された値が表示されます。このテーブルには、構成された設定を変更するための編集オプションが表示されます。
依存ポリシー設定の図(/ja-jp/citrix-daas/media/dependent-policy-settings.png)
注:
- 親ポリシーが構成されるまで、子ポリシーは選択できません。
- 親ポリシーのチェックが外れると、関連付けられている子ポリシーもチェックが外れるか、選択解除されることを指示するポップアップメッセージが表示されます。
次の表に、親ポリシーとそれに対応する依存ポリシーまたは子ポリシーのリストを示します。
| 親ポリシー | 依存子ポリシー |
|---|---|
| セッション全体の帯域幅制限
|
オーディオリダイレクトの帯域幅制限(パーセント) |
| クリップボードリダイレクトの帯域幅制限(パーセント) | |
| COMポートリダイレクトの帯域幅制限(パーセント) | |
| ファイルリダイレクトの帯域幅制限(パーセント) | |
| HDX™ MediaStream マルチメディアアクセラレーションの帯域幅制限(パーセント) | |
| LPTポートリダイレクト帯域幅制限(パーセント) | |
| プリンターリダイレクト帯域幅制限(パーセント) | |
| クライアントUSBデバイスリダイレクト帯域幅制限(パーセント) | |
| TWAINデバイスリダイレクト帯域幅制限(パーセント) | |
| 双方向コンテンツリダイレクトを許可
|
クライアントにリダイレクトされる許可URL |
| VDAにリダイレクトされる許可URL | |
| CPU使用率 | CPU使用率除外プロセス優先度 |
| レガシーグラフィックモード | プログレッシブ圧縮レベル |
| セッションウォーターマークを有効にする
|
ウォーターマークのカスタムテキスト |
| セッションウォーターマークのスタイル | |
| ウォーターマークの透明度 | |
| HDXアダプティブトランスポート | オーディオのロス許容モード |
一部のポリシー設定は、次のいずれかの状態になります。
- 許可または禁止は、設定によって制御されるアクションを許可または防止します。セッション内でユーザーが設定のアクションを管理することを許可または防止する場合があります。たとえば、メニューアニメーション設定が「許可」に設定されている場合、ユーザーはクライアント環境でメニューアニメーションを制御できます。
- 有効または無効は、設定をオンまたはオフにします。設定を無効にすると、下位のポリシーでは有効になりません。
さらに、一部の設定は、依存する設定の有効性を制御します。たとえば、クライアントドライブリダイレクトは、ユーザーがデバイス上のドライブにアクセスできるかどうかを制御します。ユーザーがネットワークドライブにアクセスできるようにするには、この設定とクライアントネットワークドライブ設定の両方をポリシーに追加する必要があります。クライアントドライブリダイレクト設定が無効になっている場合、クライアントネットワークドライブ設定が有効になっていても、ユーザーはネットワークドライブにアクセスできません。
一般に、マシンに影響を与えるポリシー設定の変更は、仮想デスクトップが再起動したとき、またはユーザーがログオンしたときに有効になります。ユーザーに影響を与えるポリシー設定の変更は、ユーザーが次回ログオンしたときに有効になります。Active Directoryを使用している場合、ポリシー設定はActive Directoryが90分間隔でポリシーを再評価するときに更新されます。そして、ポリシー設定は、仮想デスクトップが再起動したとき、またはユーザーがログオンしたときに適用されます。
一部のポリシー設定では、設定をポリシーに追加するときに値を入力または選択できます。「デフォルト値を使用」を選択することで、設定の構成を制限できます。この選択により、設定の構成が無効になり、ポリシーが適用されるときに設定のデフォルト値のみが使用されるようになります。この選択は、「デフォルト値を使用」を選択する前に入力された値に関係なく適用されます。
セキュアなデフォルト設定が有効になっている場合、VDAのインストール中にポリシー設定の優先順位は次のように影響を受けます。
- カスタマイズされた設定が最も高い優先順位になります
- セキュアなデフォルト設定が2番目の優先順位になります
- デフォルト設定が最も低い優先順位になります
ポリシーのセキュアなデフォルト設定を表示するには:
- Web Studioにログオンします。
- 左側のナビゲーションで、[ポリシー] をクリックします。
- [ポリシー] タブで、[ポリシーの作成] をクリックします。
-
[設定の選択] テーブルで、現在の値が [許可?] となっている設定にマウスカーソルを合わせると、[セキュアなデフォルト値: 禁止] が表示されます。
ベストプラクティスとして:
- ポリシーは個々のユーザーではなくグループに割り当てます。ポリシーをグループに割り当てると、グループへのユーザーの追加または削除時に割り当てが自動的に更新されます。
- リモートデスクトップセッションホスト構成で、競合する設定や重複する設定を有効にしないでください。リモートデスクトップセッションホスト構成は、Citrixポリシー設定と同様の機能を提供することがあります。トラブルシューティングを容易にするため、可能な限りすべての設定を一貫した状態(有効または無効)に保ってください。
- 使用されていないポリシーは無効にします。設定が追加されていないポリシーは、不要な処理を発生させます。
ポリシーの割り当て
ポリシーを作成する際、特定のユーザーおよびマシンオブジェクトに割り当てます。そのポリシーは、特定の基準またはルールに従って接続に適用されます。一般に、基準の組み合わせに基づいて、ポリシーに任意の数の割り当てを追加できます。
割り当てを指定しない場合、または割り当てを指定しても無効にした場合、ポリシーはすべての接続に適用されます。
注:
ポリシー割り当ては、ポリシーフィルターとも呼ばれます。詳細については、以下のトピックを参照してください。
次の表に、利用可能な割り当てを示します。
| 割り当て名 | ポリシーの適用基準 |
|---|---|
| アクセスコントロール | クライアントが接続しているアクセスコントロール条件。接続の種類 - NetScaler® Gatewayを使用しているかどうかにかかわらず、接続にポリシーを適用するかどうか。NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前。アクセス条件 - 使用するエンドポイント分析ポリシーまたはセッションポリシーの名前。 |
| ネットスケーラー SD-WAN | ユーザーセッションがNetScaler SD-WANを介して起動されるかどうか。注:ポリシーにはNetScaler SD-WAN割り当てを1つだけ追加できます。 |
| クライアントIPアドレス
|
クライアントが接続しているIPアドレス。これは、クライアントがセッションに接続する方法によって異なります。
アイピーブイフォーの例: 12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24; アイピーブイシックスの例: 2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
| クライアント名 | ユーザーデバイスの名前。完全一致: ClientABCName。ワイルドカードの使用: Client*Name。 |
| デリバリーグループ | デリバリーグループのメンバーシップ。 |
| デリバリーグループの種類 | デスクトップまたはアプリケーションの種類: プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーション。注:プライベートデスクトップと共有デスクトップのフィルターオプションは、Citrix Virtual Apps and Desktops 7.xでのみ利用可能です。詳細については、CTX219153を参照してください。 |
| 組織単位 (OU) | 組織単位。 |
| タグ | タグ。注:このポリシーは、タグ付けされたすべてのマシンに適用されます。アプリケーションタグは含まれません。 |
| ユーザーまたはグループ | ユーザーまたはグループ名。 |
ユーザーがログオンすると、接続の割り当てに一致するすべてのポリシーが特定されます。これらのポリシーは優先順位に従ってソートされ、設定の複数のインスタンスが比較されます。各設定は、ポリシーの優先順位に従って適用されます。無効になっているポリシー設定は、有効になっている下位ランクの設定よりも優先されます。構成されていないポリシー設定は無視されます。
重要:
グループポリシー管理コンソールを使用してActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当てと設定が期待どおりに適用されないことがあります。詳細については、CTX127461を参照してください。
「Unfiltered」という名前のポリシーがデフォルトで提供されます。
- Web Studioを使用してCitrixポリシーを管理する場合、Unfilteredポリシーに追加した設定は、サイト内のすべてのサーバー、デスクトップ、および接続に適用されます。
- ローカルグループポリシーエディターを使用してCitrixポリシーを管理する場合、Unfilteredポリシーに追加した設定は、すべてのサイトと接続に適用されます。サイトと接続は、ポリシーを含むグループポリシーオブジェクト (GPO) のスコープ内にある必要があります。たとえば、営業OUには、米国の営業チームのすべてのメンバーを含むSales-USというGPOが含まれています。Sales-US GPOは、いくつかのユーザーポリシー設定を含むUnfilteredポリシーで構成されています。米国の営業マネージャーがサイトにログオンすると、Unfilteredポリシーの設定がセッションに自動的に適用されます。この構成は、ユーザーがSales-US GPOのメンバーであるためです。
割り当てのモードは、ポリシーがすべての割り当て条件に一致する接続にのみ適用されるかどうかを決定します。モードが「許可」(デフォルト) に設定されている場合、ポリシーは割り当て条件に一致する接続にのみ適用されます。モードが「拒否」に設定されている場合、接続が割り当て条件に一致しない場合にポリシーが適用されます。以下の例は、複数の割り当てが存在する場合に割り当てモードがCitrixポリシーにどのように影響するかを示しています。
-
例: モードが異なる同種の割り当て - 同じ種類の2つの割り当てがあり、一方が「許可」に設定され、もう一方が「拒否」に設定されているポリシーでは、接続が両方の割り当てを満たす場合、「拒否」に設定された割り当てが優先されます。例:
ポリシー1には、以下の割り当てが含まれます。
- 割り当てAは営業グループを指定します。モードは「許可」に設定されています。
- 割り当てBは営業マネージャーのアカウントを指定します。モードは「拒否」に設定されています。
割り当てBのモードが「拒否」に設定されているため、営業マネージャーがサイトにログオンしても、ユーザーが営業グループのメンバーであるにもかかわらず、ポリシーは適用されません。
-
例: モードが同じで異なる種類の割り当て - 種類が異なる2つ以上の割り当てがあり、「許可」に設定されているポリシーでは、ポリシーが適用されるためには、接続が各種類の割り当ての少なくとも1つを満たす必要があります。例:
ポリシー2には、以下の割り当てが含まれます。
- 割り当てCは、営業グループを指定するユーザー割り当てです。モードは「許可」に設定されています。
- 割り当てDは、10.8.169.* (企業ネットワーク) を指定するクライアントIPアドレス割り当てです。モードは「許可」に設定されています。
営業マネージャーがオフィスからサイトにログオンすると、接続が両方の割り当てを満たすため、ポリシーが適用されます。
ポリシー3には、以下の割り当てが含まれます。
- 割り当てEは、営業グループを指定するユーザー割り当てです。モードは「許可」に設定されています。
- 割り当てFは、NetScaler Gateway接続条件を指定するアクセスコントロール割り当てです。モードは「許可」に設定されています。
営業マネージャーがオフィスからサイトにログオンすると、接続が割り当てFを満たさないため、ポリシーは適用されません。
Web Studio を使用して、テンプレートに基づいてポリシーを作成する
-
Web Studio にサインインし、左側のペインで [ポリシー] を選択します。
-
[テンプレート] タブを選択し、テンプレートを選択します。
-
アクションバーで [テンプレートからポリシーを作成] を選択します。
-
デフォルトでは、新しいポリシーはテンプレートのすべてのデフォルト設定を使用します。この場合、[テンプレートのデフォルト設定 (推奨)] が選択されています。設定を変更する場合は、[デフォルト設定を変更して追加] を選択し、設定を追加または削除します。
-
次のいずれかを選択して、ポリシーの適用方法を指定します。
- [選択したユーザーおよびマシンオブジェクト]。選択したユーザーおよびマシンオブジェクトにポリシーを適用するには、[割り当て] をクリックして、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
- [サイト内のすべてのオブジェクト]。サイト内のすべてのユーザーおよびマシンオブジェクトにポリシーを適用します。
-
ポリシーの名前を入力します。ポリシーが影響する対象 (例: 経理部、リモートユーザーなど) に応じてポリシーに名前を付けることを検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで無効になっています。有効にすることができます。ポリシーを有効にすると、ログオンしているユーザーにすぐに適用されます。無効にすると、ポリシーは適用されません。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。
Web Studio を使用してポリシーを作成する
-
Web Studio にサインインし、左側のペインで [ポリシー] を選択します。
-
[ポリシー] タブを選択します。
-
アクションバーで [ポリシーの作成] を選択します。
-
ポリシー設定を追加および構成します。
-
ポリシーを適用する方法を、次のいずれかを選択して指定します。
- 選択したユーザーオブジェクトとマシンオブジェクトに割り当て、ポリシーを適用するユーザーオブジェクトとマシンオブジェクトを選択します。
- サイト内のすべてのオブジェクトに割り当てて、サイト内のすべてのユーザーオブジェクトとマシンオブジェクトにポリシーを適用します。
-
ポリシーの名前を入力するか、デフォルトを受け入れます。ポリシーが影響する対象(例: 経理部、リモートユーザー)に基づいてポリシーに名前を付けることを検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで有効になっていますが、無効にすることもできます。ポリシーを有効にすると、ログオンするユーザーにすぐに適用されます。無効にすると、ポリシーは適用されません。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。
グループポリシーエディターを使用してポリシーを作成および管理する
グループポリシーエディターで、コンピューターの構成またはユーザーの構成を展開します。ポリシーノードを展開し、Citrixポリシーを選択します。適切なアクションを選択します。
| タスク | 操作手順 |
|---|---|
| ポリシーを作成する | ポリシータブで、新規をクリックします。 |
| 既存のポリシーを編集する | ポリシータブで、ポリシーを選択し、編集をクリックします。 |
| 既存のポリシーの優先順位を変更する | ポリシータブで、ポリシーを選択し、上位または下位をクリックします。 |
| ポリシーの概要情報を表示 | ポリシータブでポリシーを選択し、概要タブをクリックします。 |
| ポリシー設定の表示と変更 | ポリシータブでポリシーを選択し、設定タブをクリックします。 |
| ポリシーフィルターの表示と変更 | ポリシータブでポリシーを選択し、フィルタータブをクリックします。ポリシーに複数のフィルターを追加する場合、ポリシーが適用されるにはすべてのフィルター条件を満たす必要があります。 |
| ポリシーの有効化または無効化 | ポリシータブでポリシーを選択し、アクション > 有効化またはアクション > 無効化のいずれかを選択します。 |
| 既存のテンプレートからポリシーを作成 | テンプレートタブでテンプレートを選択し、新規ポリシーをクリックします。 |