セキュリティに関する考慮事項とベストプラクティス

注：

組織は、規制要件を満たすために特定のセキュリティ標準に準拠する必要がある場合があります。このようなセキュリティ標準は時間とともに変化するため、このドキュメントではこの主題については扱いません。セキュリティ標準とCitrix製品に関する最新情報については、Citrix Trust Centerを参照してください。

ファイアウォール

環境内のすべてのマシンを、必要に応じてエンクレーブ境界を含め、境界ファイアウォールで保護します。

環境内のすべてのマシンは、パーソナルファイアウォールによって保護されている必要があります。コアコンポーネントとVDAをインストールする際、Windowsファイアウォールサービスが検出された場合（ファイアウォールが有効になっていない場合でも）、コンポーネントおよび機能の通信に必要なポートを自動的に開くように選択できます。これらのファイアウォールポートを手動で構成することもできます。別のファイアウォールを使用する場合は、手動で構成する必要があります。必要なポートの詳細については、Tech Paper: Communication Ports Used by Citrix Technologiesを参照してください。

従来の環境をこのリリースに移行する場合、既存の境界ファイアウォールの再配置や新しい境界ファイアウォールの追加が必要になる場合があります。たとえば、データセンター内の従来のクライアントとデータベースサーバーの間に境界ファイアウォールがあるとします。このリリースを使用する場合、その境界ファイアウォールは、仮想デスクトップとユーザーデバイスが一方にあり、データセンター内のデータベースサーバーとDelivery Controllerがもう一方にあるように配置する必要があります。したがって、データセンター内にエンクレーブを作成して、データベースサーバーとControllerを格納することを検討してください。また、ユーザーデバイスと仮想デスクトップの間の保護も検討してください。

注：

TCPポート1494と2598はICAとCGPに使用されるため、データセンター外のユーザーがアクセスできるようにファイアウォールで開かれている可能性が高いです。Citrixは、管理インターフェイスが意図せず攻撃にさらされる可能性を避けるため、これらのポートを他の目的で使用しないことを推奨します。ポート1494と2598は、Internet Assigned Number Authority (http://www.iana.org/) に正式に登録されています。

デリバリーコントローラー™ とのセキュアな通信

HTTPSを使用した通信の暗号化

StoreFrontとNetScaler Gatewayは、HTTPまたはHTTPSを介してDelivery Controllerで実行されているXMLサービスと通信します。構成によっては、VDAはWebSocketを使用してDelivery Controllerと通信する場合があります。Directorは、HTTPまたはHTTPSを介してODataを使用して監視データと通信します。HTTPSを有効にし、HTTPを無効にすることをお勧めします。これには、Delivery ControllerでTLSを有効にする必要があります。

• StoreFrontをHTTPSを使用して接続するように構成するには、Citrix Virtual Apps and Desktopsのリソースフィードを追加するおよびCitrix Gatewayアプライアンスを追加するを参照してください。

• NetScaler GatewayをHTTPSを使用してDelivery Controllerに接続するように構成するには、NetScaler Gatewayでセキュアチケットオーソリティを構成するを参照してください。

セキュリティキー

「セキュリティキー」(/ja-jp/citrix-virtual-apps-desktops/2411/manage-deployment/security-keys) を使用して、承認されたStoreFrontサーバーとNetScalerサーバーのみがクラウドコネクタ経由でDaaSに接続できるようにすることができます。これは、XML信頼を有効にしている場合に特に重要です。

XML信頼

デフォルトでは、StoreFrontが列挙や起動などのアクションのためにデリバリーコントローラーに接続する場合、DaaSがユーザーを認証し、ユーザーのグループメンバーシップを確認できるように、StoreFrontはユーザーのActive Directory資格情報を渡す必要があります。ただし、ドメインパススルー、スマートカード、SAMLなどの他の認証方法を使用する場合、StoreFrontはActive Directoryパスワードを持っていません。この場合、「XML信頼」を有効にする必要があります。XML信頼が有効になっている場合、Citrix Virtual Apps and Desktopsは、ユーザーのパスワードを検証することなく、アプリケーションの列挙や起動など、ユーザーに代わってStoreFrontがアクションを実行することを許可します。XML信頼を有効にする前に、セキュリティキー またはファイアウォールやIPsecなどの別のメカニズムを使用して、信頼できるStoreFrontサーバーのみがデリバリーコントローラーに接続できるようにしてください。

XML信頼設定の状態を確認したり、有効にしたり、無効にしたりするには、Citrix Virtual Apps and Desktops PowerShell SDKをご利用ください。

• XML信頼設定の現在の値を確認するには、Get-BrokerSite を実行し、TrustRequestsSentToTheXMLServicePort の値を調べます。
• XML信頼を有効または無効にするには、パラメーター TrustRequestsSentToTheXmlServicePort を指定して Set-BrokerSite を実行します。

VDAとデリバリーコントローラー間の通信

VDAがコントローラーと通信するためのメカニズムは2つあります。

• ウィンドウズ コミュニケーション ファンデーション

  Windows Communication Foundation (WCF) のメッセージレベル保護は、デリバリーコントローラーとVDA間の通信を保護します。これにより、TLSを使用した追加のトランスポートレベル保護の必要がなくなります。VDAとデリバリーコントローラー間の通信に使用されるデフォルトポートは80です。ただし、ポートをカスタマイズできます。詳細については、VDAのカスタマイズ を参照してください。

  WCFにおけるメッセージセキュリティの詳細については、MicrosoftドキュメントのWCFにおけるメッセージセキュリティ を参照してください。

  WCF構成は、コントローラーとVDA間の相互認証にKerberosを使用します。暗号化には256ビットキーのCBCモードAESを使用します。メッセージの整合性にはSHA-1を使用します。

  Microsoftによると、WCFが使用するセキュリティプロトコル は、WS-SecurityPolicy 1.2を含むOASIS（構造化情報標準推進機構）の標準に準拠しています。また、Microsoftは、WCFがSecurity Policy 1.2 に記載されているすべてのアルゴリズムスイートをサポートしていると述べています。

  コントローラーとVDA間の通信には、basic256アルゴリズムスイートが使用され、そのアルゴリズムは前述のとおりです。

  WCF構成は、メッセージレベルのセキュリティ暗号化とともに、SOAP over HTTPプロトコルを使用します。

• ウェブソケット

  これはWCFの最新の代替手段です。VDAからDelivery Controllerへの通信にはTLSポート443のみを使用するという利点があります。現在、MCSでプロビジョニングされたマシンでのみ利用可能です。詳細については、「VDAとDelivery Controller間のWebSocket通信」を参照してください。

デリバリーコントローラーとライセンスサーバー間の安全な通信

Delivery ControllerはHTTPS経由でLicense Serverと通信します。デフォルトでは自己署名証明書を使用しますが、これをエンタープライズまたは公開証明機関によって発行された証明書に置き換えることをお勧めします。詳細については、「Citrix Licensing ManagerおよびWeb Services for Licensingで使用される証明書を手動でインストールする」を参照してください。

WebブラウザとWeb StudioおよびDirector間の安全な通信

Web StudioとDirectorは、Delivery Controllerと同じマシン、または別のマシンにインストールできます。ユーザーはWebブラウザを使用してWeb StudioとDirectorに接続します。デフォルトでは、Web Studioは自己署名証明書を使用してHTTPSを有効にしますが、スタンドアロンでインストールされたDirectorはHTTPSを構成しません。適切な証明書を使用して、Web StudioおよびDirectorでTLSを有効にすることをお勧めします。

ICA®通信の保護

Citrix Virtual Apps and Desktops™は、クライアントとVDA間のICAトラフィックを保護するためのいくつかのオプションを提供します。利用可能なオプションは次のとおりです。

• 基本暗号化: デフォルト設定です。
• SecureICA: RC5 (128ビット) 暗号化を使用してセッションデータを暗号化できます。
• VDA TLS/DTLS: TLS/DTLSを使用してネットワークレベルの暗号化を使用できます。

基本暗号化

基本暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。

セキュアICA

SecureICAを使用する場合、トラフィックは次の図に示すように暗号化されます。

SecureICA使用時のトラフィック暗号化(/ja-jp/citrix-virtual-apps-desktops/2411/media/secureica.png)

詳しくは、「[セキュリティポリシー設定]」を参照してください。(/ja-jp/citrix-virtual-apps-desktops/2411/policies/reference/ica-policy-settings/security-policy-settings.html)

注1：

SecureICAは、Workspaceアプリ（HTML5向け）ではサポートされていません。

注2：

Citrix SecureICAはICA/HDXプロトコルの一部ですが、Transport Layer Security（TLS）のような標準準拠のネットワークセキュリティプロトコルではありません。

ブイディーエー TLS/DTLS

VDA TLS/DTLS暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。

TLS/DTLS使用時のトラフィック暗号化(/ja-jp/citrix-virtual-apps-desktops/2411/media/vda-tls.png)

VDA TLS/DTLSの構成については、「[VDA上のTLS設定]」を参照してください。(/ja-jp/citrix-virtual-apps-desktops/2411/secure/tls-vda)

仮想チャネル

環境で許可されるCitrix以外の仮想チャネルを制御するには、[仮想チャネル許可リスト]を使用します。(/ja-jp/citrix-virtual-apps-desktops/2411/secure/virtual-channel-security)

プリントサーバーとのセキュアな通信

仮想デリバリーエージェント (VDA) とユニバーサルプリントサーバー間のTCPベースの接続でTLSを有効にできます。詳細については、ユニバーサルプリントサーバーでのトランスポート層セキュリティ (TLS) を参照してください。

サイトデータベースとの安全な通信

サイトデータベースへのTLSを有効にする方法については、CTX137556を参照してください。

VDAマシンのセキュリティ

一般的な推奨事項

VDAが最新のオペレーティングセキュリティ更新プログラムとウイルス対策ソフトウェアで常に最新の状態に保たれていることを確認してください。

アプリケーションセキュリティ

管理者以外のユーザーが悪意のある操作を実行するのを防ぐため、Citrix®は、VDAホスト上のインストーラー、アプリケーション、実行可能ファイル、およびスクリプトに対してWindows AppLockerルールを構成することを推奨します。

8.3形式のファイル名

VDAで8.3形式のファイル名を無効にできます。Microsoft fsutilドキュメントを参照してください。

データストレージに関する考慮事項

デスクトップ環境は、プールされたデスクトップや専用デスクトップなど、さまざまな種類のデスクトップで構成されている場合があります。ユーザーは、プールされたデスクトップなど、ユーザー間で共有されるデスクトップにデータを保存してはなりません。ユーザーが専用デスクトップにデータを保存した場合、そのデスクトップが後で他のユーザーに利用可能になった場合は、そのデータを削除する必要があります。

ユーザーアカウント管理

アカウント管理にはWindowsのベストプラクティスを適用してください。Machine Creation ServicesまたはProvisioning Servicesによって複製される前に、テンプレートまたはイメージ上にアカウントを作成しないでください。保存された特権ドメインアカウントを使用してタスクをスケジュールしないでください。共有Active Directoryマシンアカウントを手動で作成しないでください。これらの慣行は、マシン攻撃がローカルの永続的なアカウントパスワードを取得し、それらを使用して他のユーザーに属するMCS/PVS共有イメージにログオンするのを防ぐのに役立ちます。

ユーザーには必要な機能のみを付与してください。Microsoft Windowsの特権は、通常どおりデスクトップに適用され続けます。つまり、ユーザー権利の割り当てとグループポリシーによるグループメンバーシップを通じて特権を構成します。このリリースの利点の1つは、デスクトップが保存されているコンピューターに対する物理的な制御を付与することなく、ユーザーにデスクトップへの管理者権限を付与できることです。

デスクトップの特権を計画する際には、次の点に注意してください。

• デフォルトでは、非特権ユーザーがデスクトップに接続すると、自分のユーザーデバイスのタイムゾーンではなく、デスクトップを実行しているシステムのタイムゾーンが表示されます。ユーザーがデスクトップを使用する際にローカルタイムを表示できるようにする方法については、「デリバリーグループの管理」の記事を参照してください。
• デスクトップの管理者であるユーザーは、そのデスクトップを完全に制御できます。デスクトップが専用デスクトップではなくプールされたデスクトップである場合、そのユーザーは、将来のユーザーを含むそのデスクトップの他のすべてのユーザーに関して信頼されなければなりません。デスクトップのすべてのユーザーは、この状況によってデータセキュリティに永続的なリスクが生じる可能性があることを認識する必要があります。この考慮事項は、単一ユーザーのみが使用する専用デスクトップには適用されません。そのユーザーは、他のデスクトップの管理者であってはなりません。
• デスクトップの管理者であるユーザーは、一般的に、悪意のあるソフトウェアを含むソフトウェアをそのデスクトップにインストールできます。また、そのユーザーは、デスクトップに接続されているネットワーク上のトラフィックを監視または制御できる可能性もあります。

ログオン権限の管理

ログオン権限は、ユーザーアカウントとコンピューターアカウントの両方に必要です。Microsoft Windowsの特権と同様に、ログオン権限は通常の方法でデスクトップに適用され続けます。つまり、ユーザー権利の割り当てを通じてログオン権限を構成し、グループポリシーを通じてグループメンバーシップを構成します。

Windowsのログオン権限は、ローカルログオン、リモートデスクトップサービス経由のログオン、ネットワーク経由のログオン（ネットワークからこのコンピューターにアクセス）、バッチジョブとしてログオン、サービスとしてログオンです。

コンピューターアカウントの場合、コンピューターが必要とするログオン権限のみを付与します。「ネットワークからこのコンピューターにアクセス」のログオン権限は、デリバリーコントローラーのコンピューターアカウントに必要です。

ユーザーアカウントの場合、ユーザーが必要とするログオン権限のみを付与します。

Microsoftによると、デフォルトでは、Remote Desktop Usersグループには「リモートデスクトップサービス経由でのログオンを許可」のログオン権限が付与されています（ドメインコントローラーを除く）。

組織のセキュリティポリシーによっては、このグループをそのログオン権限から削除するよう明示的に規定している場合があります。次のアプローチを検討してください。

• マルチセッションOS用Virtual Delivery Agent (VDA) は、Microsoft Remote Desktop Servicesを使用します。Remote Desktop Usersグループを制限付きグループとして構成し、Active Directoryグループポリシーを介してグループのメンバーシップを制御できます。詳細については、Microsoftのドキュメントを参照してください。
• シングルセッションOS用VDAを含むCitrix Virtual Apps and Desktopsのその他のコンポーネントでは、Remote Desktop Usersグループは不要です。したがって、これらのコンポーネントの場合、Remote Desktop Usersグループは「リモートデスクトップサービス経由でのログオンを許可」のログオン権限を必要としません。削除できます。さらに：
  • これらのコンピューターをリモートデスクトップサービス経由で管理する場合は、そのようなすべての管理者がすでにAdministratorsグループのメンバーであることを確認してください。
  • これらのコンピューターをリモートデスクトップサービス経由で管理しない場合は、それらのコンピューターでリモートデスクトップサービス自体を無効にすることを検討してください。

「リモートデスクトップサービス経由でのログオンを拒否」のログオン権限にユーザーとグループを追加することは可能ですが、拒否ログオン権限の使用は一般的に推奨されません。詳細については、Microsoftのドキュメントを参照してください。

デリバリーコントローラーのセキュリティ

デリバリーコントローラー上の Windows サービス

Delivery Controller のインストールにより、以下の Windows サービスが作成されます。

• シトリックス AD アイデンティティ サービス (NT SERVICE\CitrixADIdentityService): VM のマイクロソフト アクティブディレクトリ コンピューターアカウントを管理します。
• Citrix Analytics (NT SERVICE\CitrixAnalytics): サイト管理者がこの収集を承認した場合、Citrix が使用するためにサイト構成の使用状況情報を収集します。その後、この情報を Citrix に送信し、製品の改善に役立てます。
• シトリックス アプリケーション ライブラリ (NT SERVICE\CitrixAppLibrary): AppDisk の管理とプロビジョニング、AppDNA 統合、および App-V の管理をサポートします。
• Citrix Broker Service (NT SERVICE\CitrixBrokerService): ユーザーが利用できる仮想デスクトップまたはアプリケーションを選択します。
• Citrix コンフィグレーションロギングサービス (NT SERVICE\CitrixConfigurationLogging): 管理者がサイトに対して行ったすべての構成変更およびその他の状態変更を記録します。
• シトリックス構成サービス (NT SERVICE\CitrixConfigurationService): 共有構成のためのサイト全体のリポジトリ。
• Citrix 委任管理サービス (NT SERVICE\CitrixDelegatedAdmin): 管理者に付与された権限を管理します。
• シトリックス環境テストサービス (NT SERVICE\CitrixEnvTest): 他のデリバリーコントローラーサービスのセルフテストを管理します。
• Citrix Host Service (NT SERVICE\CitrixHostService): Citrix Virtual Apps または Citrix Virtual Desktops の展開で使用されるハイパーバイザーインフラストラクチャに関する情報を保存し、コンソールがハイパーバイザープール内のリソースを列挙するために使用する機能も提供します。
• シトリックス マシン クリエーション サービス (NT SERVICE\CitrixMachineCreationService): デスクトップ VM の作成をオーケストレーションします。
• Citrix Monitor Service (NT SERVICE\CitrixMonitor): Citrix Virtual Apps または Citrix Virtual Desktops のメトリックを収集し、履歴情報を保存し、トラブルシューティングツールとレポートツール用のクエリインターフェイスを提供します。
• シトリックス ストアフロント サービス (NT SERVICE\ CitrixStorefront): ストアフロントの管理をサポートします。(ストアフロント コンポーネント自体の一部ではありません。)
• シトリックス ストアフロント 特権管理サービス (NT SERVICE\CitrixPrivilegedService): ストアフロント の特権管理操作をサポートします。(ストアフロント コンポーネント自体の一部ではありません。)
• Citrix 設定同期サービス (NT SERVICE\CitrixConfigSyncService): メインサイトデータベースからローカルホストキャッシュに構成データを伝播します。
• Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): メインサイトデータベースが利用できない場合に、ユーザーが利用できる仮想デスクトップまたはアプリケーションを選択します。

Delivery Controllerのインストールでは、以下のWindowsサービスも作成されます。これらは、他のCitrixコンポーネントと一緒にインストールされた場合にも作成されます。

• シトリックス診断機能COMサーバー (NT SERVICE\CdfSvc): Citrixサポートが使用する診断情報の収集をサポートします。
• Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Citrixによる分析のために診断情報を収集し、管理者が分析結果と推奨事項を表示してサイトの問題の診断に役立てられるようにします。

Delivery Controllerのインストールでは、以下のWindowsサービスも作成されます。これは現在使用されていません。有効になっている場合は、無効にしてください。

• シトリックス リモートブローカープロバイダー (NT SERVICE\XaXdCloudProxy)

Delivery Controllerのインストールでは、以下のWindowsサービスも作成されます。これらは現在使用されていませんが、有効にする必要があります。無効にしないでください。

• シトリックス オーケストレーション サービス (NT サービス\CitrixOrchestration)
• シトリックス トラスト サービス (NTサービス\CitrixTrust)

Citrix StoreFront™ Privileged Administration Serviceを除き、これらのサービスには「サービスとしてログオン」のログオン権限と、「プロセスのメモリクォータの調整」、「セキュリティ監査の生成」、「プロセスレベルトークンの置き換え」の特権が付与されています。これらのユーザー権限を変更する必要はありません。これらの特権はDelivery Controllerでは使用されず、自動的に無効になります。

シトリックス ストアフロント プリビレッジド アドミニストレーション サービスとシトリックス テレメトリー サービスを除き、前述のデリバリーコントローラー ウィンドウズ サービスはネットワークサービス IDとしてログオンするように構成されています。これらのサービス設定を変更しないでください。

Citrix Config Synchronizer Serviceは、NETWORK SERVICEアカウントがDelivery Controller上のローカル管理者グループに属している必要があります。これにより、ローカルホストキャッシュが正しく機能します。

Citrix StoreFront Privileged Administrationサービスは、ローカルシステム (NT AUTHORITY\SYSTEM) としてログオンするように構成されています。これは、通常サービスでは利用できないDelivery Controller StoreFront操作 (Microsoft IISサイトの作成を含む) に必要です。そのサービス設定を変更しないでください。

Citrix Telemetry Serviceは、サービス固有のIDとしてログオンするように構成されています。

Citrix Telemetry Serviceは無効にできます。このサービスと、すでに無効になっているサービスを除き、これらのDelivery Controller Windowsサービスを他に無効にしないでください。

ログオン権限の管理

VDAのコンピューターアカウントには、「ネットワークからこのコンピューターにアクセス」というログオン権限が必要です。詳細については、「Active Directory OUベースのコントローラー検出」を参照してください。

クライアントアクセス

クライアントアクセスは通常、Citrix StoreFrontを展開することで提供されます。StoreFrontのセキュリティ保護の詳細については、「StoreFrontのドキュメント」を参照してください。

リモートユーザーがStoreFrontおよびVDAに安全に接続できるようにするには、NetScaler® Gatewayを展開します。

Citrixでは、クライアントがCitrix Workspaceアプリを使用してStoreFrontに接続することを推奨しています。詳細については、各オペレーティングシステム用のCitrix Workspaceアプリのドキュメントのセキュリティセクションを参照してください。または、ユーザーはWebブラウザーを使用してStoreFrontにアクセスすることもできます。

ユーザーがCitrix Workspace™アプリ以外のアプリケーションを実行する能力が限られているシンクライアントをユーザーに提供することを検討してください。デバイスが組織によって管理されている場合、オペレーティングシステムのセキュリティ更新プログラムとウイルス対策ソフトウェアの展開を確実にするためのポリシーを設定する必要があります。ただし、多くの場合、ユーザーは組織の管理外にある管理されていないデバイスから接続できる必要があります。次の機能の使用を検討してください。

• Endpoint Analysisは、オペレーティングシステムやウイルス対策などのセキュリティ情報をエンドポイントでスキャンし、セキュリティ要件を満たさないクライアントへのアクセスを拒否します。
• App Protectionは、キーロガーと画面キャプチャをブロックします。

混在バージョン環境

VDAがDelivery Controllerとは異なるバージョンであるなど、混在バージョン環境は、一部のアップグレード中に避けられません。ベストプラクティスに従い、異なるバージョンのCitrixコンポーネントが共存する時間を最小限に抑えてください。混在バージョン環境では、たとえばセキュリティポリシーが一律に適用されない場合があります。

注：

これは他のソフトウェア製品にも共通しています。以前のバージョンのActive Directoryを使用すると、新しいバージョンのWindowsではグループポリシーが部分的にしか適用されません。

以下のシナリオでは、特定の混在バージョンCitrix環境で発生する可能性のあるセキュリティ問題について説明します。Citrix Receiver 1.7を使用して、XenAppおよびXenDesktop 7.6 Feature Pack 2のVDAを実行している仮想デスクトップに接続すると、ポリシー設定 デスクトップとクライアント間のファイル転送を許可する がサイトで有効になりますが、XenAppおよびXenDesktop 7.1を実行しているDelivery Controllerでは無効にできません。これは、製品の後のバージョンでリリースされたポリシー設定を認識しないためです。このポリシー設定により、ユーザーは仮想デスクトップにファイルをアップロードおよびダウンロードできるようになり、これがセキュリティ問題となります。この問題を回避するには、Delivery Controller（またはStudioのスタンドアロンインスタンス）をバージョン7.6 Feature Pack 2にアップグレードし、グループポリシーを使用してポリシー設定を無効にします。または、影響を受けるすべての仮想デスクトップでローカルポリシーを使用します。

Remote PC Accessのセキュリティに関する考慮事項

Remote PC Access は、以下のセキュリティ機能を実装しています。

• スマートカードの使用がサポートされています。
• リモートセッションが接続されると、オフィスのPCのモニターは空白で表示されます。
• Remote PC Accessは、CTRL+ALT+DELとUSB対応スマートカードおよび生体認証デバイスを除く、すべてのキーボードおよびマウス入力をリモートセッションにリダイレクトします。
• SmoothRoamingは、単一ユーザーのみがサポートされます。
• ユーザーがオフィスのPCにリモートセッションを接続している場合、そのユーザーのみがオフィスのPCへのローカルアクセスを再開できます。ローカルアクセスを再開するには、ユーザーはローカルPCでCtrl-Alt-Delを押し、リモートセッションで使用されたものと同じ資格情報でログオンします。システムに適切なサードパーティの資格情報プロバイダー統合がある場合、ユーザーはスマートカードを挿入するか、生体認証を利用してローカルアクセスを再開することもできます。このデフォルトの動作は、グループポリシーオブジェクト（GPO）を介して高速ユーザー切り替えを有効にするか、レジストリを編集することで上書きできます。

注:

Citrixは、VDA管理者権限を一般セッションユーザーに割り当てないことを推奨します。

自動割り当て

デフォルトでは、Remote PC Accessは複数のユーザーのVDAへの自動割り当てをサポートしています。XenDesktop 5.6 Feature Pack 1では、管理者はRemotePCAccess.ps1 PowerShellスクリプトを使用してこの動作を上書きできます。このリリースでは、複数の自動リモートPC割り当てを許可または禁止するためにレジストリエントリを使用します。この設定はサイト全体に適用されます。

注意:

レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディターの使用は自己責任で行ってください。編集する前に必ずレジストリをバックアップしてください。

自動割り当てを単一ユーザーに制限するには:

サイト内の各Controllerで、以下のレジストリエントリを設定します:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

既存のユーザー割り当てがある場合は、SDKコマンドを使用してそれらを削除し、VDAが後で単一の自動割り当ての対象となるようにします。

• VDAから割り当て済みのすべてのユーザーを削除します: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
• デリバリーグループからVDAを削除します: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

物理的なオフィスPCを再起動します。