ポリシーの作成
注:
Citrix Virtual Apps and Desktops™の展開は、Web Studio(Webベース)とCitrix Studio(Windowsベース)という2つの管理コンソールを使用して管理できます。本記事では、Web Studioのみを対象としています。Citrix Studioに関する詳細情報については、Citrix Virtual Apps and Desktops 7 2212以前のバージョンに該当する記事をご参照ください。
ポリシーを作成する前に、それが影響を与える可能性のあるユーザーまたはデバイスのグループを決定します。ユーザーの職務、接続の種類、ユーザーデバイス、または地理的な場所に基づいてポリシーを作成することもできます。Windows Active Directoryグループポリシーに使用するのと同じ基準を使用することもできます。
すでにグループに適用されるポリシーを作成している場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。ポリシーを編集した後、適切な設定を構成します。特定の機能を有効にするためだけ、または特定のユーザーにポリシーが適用されないようにするためだけにポリシーを作成することは避けてください。
ポリシーを作成する際、ポリシーテンプレートの設定に基づいて作成し、必要に応じて設定をカスタマイズできます。テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。
Web Studioでは、ポリシーを有効にするチェックボックスが明示的にチェックされていない限り、新しく作成されたポリシーは無効に設定されます。
ポリシー作成時および設定構成時に、システムは設定タイプを表示するオプションを提供します。次の設定タイプを表示できます。
- すべての設定 - すべてのVDAバージョンに適用されるすべてを表示
- 現在の設定のみ - 現在のVDAバージョンに固有の設定を表示
- レガシー設定のみ - 非推奨のVDAバージョンにのみ適用される設定を表示
設定を構成しながら設定を表示するには:
- Web Studioにサインインし、左ペインでポリシーを選択します。
- ポリシータブで、ポリシーの作成をクリックします。
- 設定の選択テーブルで、設定の横にあるドロップダウンをクリックします。
- ドロップダウンから次のいずれかのオプションを選択します。
- すべての設定 - すべてのVDAバージョンのすべての設定を表示します。
- 現在の設定のみ - 現在のVDAバージョンの設定のみを表示します。
- レガシー設定のみ - 非推奨のVDAバージョンの設定のみを表示します。
- 設定テーブルには、前の手順に基づいて利用可能な設定が一覧表示されます。
ポリシー設定
ポリシー設定は、有効、無効、または未構成にできます。デフォルトでは、ポリシー設定は構成されていません。つまり、ポリシーに追加されていません。設定は、ポリシーに追加された場合にのみ適用されます。
ポリシー設定は、依存するポリシー間の明確さを提供するために強化されています。この機能により、子ポリシー設定が構成されたときに有効になるように、親ポリシーが最初に構成されることが保証されます。
ポリシー設定を構成するには:
- ポリシーの作成ページで、設定の選択の下にある「overall」を検索します。 セッション全体の帯域幅制限に関連するすべてのポリシー(親と子)が一覧表示されます。
- 子ポリシーにカーソルを合わせると、ツールヒントが表示され、セッション全体の帯域幅制限親ポリシーが構成されるまで子ポリシーを構成できないことが示されます。
- 親ポリシー設定を構成し、次に子ポリシー設定を構成して、保存をクリックします。
- 設定列と現在の値列には、ポリシーの作成/編集テーブルで構成された値が表示されます。このテーブルには、構成された設定を変更するための編集オプションが表示されます。
依存ポリシー設定(/ja-jp/citrix-daas/media/dependent-policy-settings.png)
注:
- 親ポリシーが構成されるまで、子ポリシーは選択できません。
- 親ポリシーのチェックが外れると、関連付けられている子ポリシーもチェックが外れるか、選択解除されることを指示するポップアップメッセージが表示されます。
次の表に、親ポリシーとそれに対応する依存ポリシーまたは子ポリシーのリストを示します。
| 親ポリシー | 依存子ポリシー |
|---|---|
| セッション全体の帯域幅制限
|
オーディオリダイレクトの帯域幅制限(パーセント) |
| クリップボードリダイレクトの帯域幅制限(パーセント) | |
| COMポートリダイレクトの帯域幅制限(パーセント) | |
| ファイルリダイレクトの帯域幅制限(パーセント) | |
| HDX™ MediaStreamマルチメディアアクセラレーションの帯域幅制限(パーセント) | |
| LPTポートリダイレクト帯域幅制限の割合 | |
| プリンターリダイレクト帯域幅制限の割合 | |
| クライアントUSBデバイスリダイレクト帯域幅制限の割合 | |
| TWAINデバイスリダイレクト帯域幅制限の割合 | |
| 双方向コンテンツリダイレクトを許可する
|
クライアントにリダイレクトされる許可されたURL |
| VDAにリダイレクトされる許可されたURL | |
| CPU使用率 | CPU使用率から除外されるプロセスの優先度 |
| レガシーグラフィックモード | プログレッシブ圧縮レベル |
| セッションウォーターマークを有効にする | ウォーターマークのカスタムテキスト |
| 同上 | セッションウォーターマークのスタイル |
| 同上 | ウォーターマークの透明度 |
| HDXアダプティブトランスポート | オーディオの損失許容モード |
一部のポリシー設定は、次のいずれかの状態になります。
- 許可または禁止は、設定によって制御されるアクションを許可または防止します。ユーザーは、セッションで設定のアクションを管理することを許可または禁止される場合があります。たとえば、メニューアニメーション設定が「許可」に設定されている場合、ユーザーはクライアント環境でメニューアニメーションを制御できます。
- 有効または無効は、設定をオンまたはオフにします。設定を無効にすると、下位ランクのポリシーでは有効になりません。
さらに、一部の設定は、依存する設定の有効性を制御します。たとえば、クライアントドライブリダイレクトは、ユーザーがデバイス上のドライブにアクセスできるかどうかを制御します。ユーザーがネットワークドライブにアクセスできるようにするには、この設定とクライアントネットワークドライブ設定の両方をポリシーに追加する必要があります。クライアントドライブリダイレクト設定が無効になっている場合、クライアントネットワークドライブ設定が有効になっていても、ユーザーはネットワークドライブにアクセスできません。
一般に、マシンに影響を与えるポリシー設定の変更は、仮想デスクトップが再起動したとき、またはユーザーがログオンしたときに有効になります。ユーザーに影響を与えるポリシー設定の変更は、ユーザーが次回ログオンしたときに有効になります。Active Directoryを使用している場合、ポリシー設定はActive Directoryが90分間隔でポリシーを再評価するときに更新されます。そして、ポリシー設定は、仮想デスクトップが再起動したとき、またはユーザーがログオンしたときに適用されます。
一部のポリシー設定では、設定をポリシーに追加するときに値を入力または選択できます。「デフォルト値を使用」を選択することで、設定の構成を制限できます。この選択により、設定の構成が無効になり、ポリシーが適用されるときに設定のデフォルト値のみが使用されるようになります。この選択は、「デフォルト値を使用」を選択する前に入力された値に関係なく適用されます。
セキュアなデフォルト設定が有効になっている場合、VDAのインストール中に、ポリシー設定の優先順位は次のように影響を受けます。
- カスタマイズされた設定が最も高い優先順位になります
- セキュアなデフォルト設定が2番目の優先順位になります
- デフォルト設定が最も低い優先順位になります
ポリシーのセキュアなデフォルト設定を確認するには:
- Web Studioにログオンします。
- 左側のナビゲーションで、[ポリシー]をクリックします。
- [ポリシー]タブで、[ポリシーの作成]をクリックします。
- [設定の選択]テーブルで、現在の値が[許可?]となっている設定にマウスカーソルを合わせると、[セキュアなデフォルト値:禁止]が表示されます。
ベストプラクティスとして:
- ポリシーは個々のユーザーではなくグループに割り当てます。ポリシーをグループに割り当てると、グループへのユーザーの追加または削除時に割り当てが自動的に更新されます。
- リモートデスクトップセッションホスト構成で、競合する設定や重複する設定を有効にしないでください。リモートデスクトップセッションホスト構成は、Citrixポリシー設定と同様の機能を提供することがあります。トラブルシューティングを容易にするため、可能な限りすべての設定を一貫した状態(有効または無効)に保ってください。
- 未使用のポリシーは無効にします。設定が追加されていないポリシーは、不要な処理を発生させます。
ポリシーの割り当て
ポリシーを作成するときは、特定のユーザーおよびマシンオブジェクトに割り当てます。そのポリシーは、特定の基準またはルールに従って接続に適用されます。一般に、基準の組み合わせに基づいて、ポリシーに任意の数の割り当てを追加できます。
割り当てを指定しない場合、または割り当てを指定しても無効にする場合、ポリシーはすべての接続に適用されます。
注:
ポリシー割り当ては、ポリシーフィルターとも呼ばれます。詳細については、以下のトピックを参照してください。
次の表に、利用可能な割り当てを示します。
| 割り当て名 | ポリシーの適用基準 |
|---|---|
| アクセス制御 | クライアントが接続するアクセス制御条件。接続の種類 - NetScaler® Gatewayを使用しているかどうかにかかわらず、ポリシーを接続に適用するかどうか。NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前。アクセス条件 - 使用するエンドポイント分析ポリシーまたはセッションポリシーの名前。 |
| ネットスケーラー SD-WAN | ユーザーセッションがNetScaler SD-WANを介して起動されるかどうか。注:ポリシーには、NetScaler SD-WANの割り当てを1つだけ追加できます。 |
| クライアントIPアドレス
|
クライアントが接続しているIPアドレス。これは、クライアントがセッションに接続する方法によって異なります。
IPv4 examples: 12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24; IPv6 examples: 2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
| クライアント名 | ユーザーデバイスの名前。完全一致: ClientABCName。ワイルドカードの使用: Client*Name。 |
| クライアントプラットフォーム | セッションの接続に使用されるユーザーデバイスのOSタイプ(Windows、Linux、iOS、Android、HTML5など)。必要なVDAバージョン: 2503以降 |
| デリバリーグループ | デリバリーグループのメンバーシップ。 |
| デリバリーグループの種類 | デスクトップまたはアプリケーションの種類: プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーション。注: プライベートデスクトップと共有デスクトップのフィルターオプションは、Citrix Virtual Apps and Desktops 7.xでのみ利用可能です。詳細については、CTX219153を参照してください。 |
| 組織単位 (OU) | 組織単位。 |
| タグ | タグ。注: このポリシーは、タグ付けされたすべてのマシンに適用されます。アプリケーションタグは含まれません。 |
| ユーザーまたはグループ | ユーザーまたはグループ名。 |
ユーザーがログオンすると、接続の割り当てに一致するすべてのポリシーが特定されます。これらのポリシーは優先順位に従って並べ替えられ、設定の複数のインスタンスが比較されます。各設定は、ポリシーの優先順位に従って適用されます。無効になっているポリシー設定は、有効になっている下位ランクの設定よりも優先されます。構成されていないポリシー設定は無視されます。
重要:
グループポリシー管理コンソールを使用してActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当てと設定が期待どおりに適用されないことがあります。詳細については、CTX127461を参照してください。
クライアントIPポリシーフィルターが常にクライアントのプライベートIPアドレスを使用するように設定するには、セッションホストで次のレジストリ設定を構成します。
- キー:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Ica\GroupPolicy- 値のタイプ:
DWORD- 値の名前:
UseClientDeviceIpForPolicyFilter- 値のデータ:
1
「Unfiltered」という名前のポリシーがデフォルトで提供されます。
- Web Studioを使用してCitrixポリシーを管理する場合、Unfilteredポリシーに追加した設定は、サイト内のすべてのサーバー、デスクトップ、および接続に適用されます。
- ローカルグループポリシーエディターを使用してCitrixポリシーを管理する場合、Unfilteredポリシーに追加した設定は、すべてのサイトと接続に適用されます。サイトと接続は、ポリシーを含むグループポリシーオブジェクト(GPO)のスコープ内にある必要があります。たとえば、Sales OUには、米国の営業チームのすべてのメンバーを含むSales-USというGPOが含まれています。Sales-US GPOは、いくつかのユーザーポリシー設定を含むUnfilteredポリシーで構成されています。米国の営業マネージャーがサイトにログオンすると、Unfilteredポリシーの設定がセッションに自動的に適用されます。この構成は、ユーザーがSales-US GPOのメンバーであるためです。
割り当てのモードは、ポリシーがすべての割り当て条件に一致する接続にのみ適用されるかどうかを決定します。モードがAllow(デフォルト)に設定されている場合、ポリシーは割り当て条件に一致する接続にのみ適用されます。モードがDenyに設定されている場合、接続が割り当て条件に一致しない場合にポリシーが適用されます。以下の例は、複数の割り当てが存在する場合に割り当てモードがCitrixポリシーにどのように影響するかを示しています。
-
例:モードが異なる同種の割り当て - 同じタイプの2つの割り当てがあり、一方がAllowに設定され、もう一方がDenyに設定されているポリシーでは、接続が両方の割り当てを満たす場合、Denyに設定された割り当てが優先されます。例:
ポリシー1には次の割り当てが含まれます。
- 割り当てAはSalesグループを指定します。モードはAllowに設定されています。
- 割り当てBは営業マネージャーのアカウントを指定します。モードはDenyに設定されています。
割り当てBのモードがDenyに設定されているため、ユーザーがSalesグループのメンバーであっても、営業マネージャーがサイトにログオンしたときにポリシーは適用されません。
-
例:モードが同じでタイプが異なる割り当て - タイプが異なる2つ以上の割り当てがあり、Allowに設定されているポリシーでは、ポリシーが適用されるために、接続は各タイプの少なくとも1つの割り当てを満たす必要があります。例:
ポリシー2には次の割り当てが含まれます。
- 割り当てCは、Salesグループを指定するユーザー割り当てです。モードはAllowに設定されています。
- 割り当て D は、10.8.169.* (社内ネットワーク) を指定するクライアント IP アドレスの割り当てです。モードは [許可] に設定されています。
営業マネージャーがオフィスからサイトにログオンすると、接続が両方の割り当てを満たすため、ポリシーが適用されます。
ポリシー 3 には、次の割り当てが含まれます。
- 割り当て E は、営業グループを指定するユーザー割り当てです。モードは [許可] に設定されています。
- 割り当て F は、NetScaler Gateway の接続条件を指定するアクセス制御割り当てです。モードは [許可] に設定されています。
営業マネージャーがオフィスからサイトにログオンすると、接続が割り当て F を満たさないため、ポリシーは適用されません。
Web Studio を使用してテンプレートに基づいてポリシーを作成する
-
Web Studio にサインインし、左側のペインで [ポリシー] を選択します。
-
[テンプレート] タブを選択し、テンプレートを選択します。
-
アクションバーで [テンプレートからポリシーを作成] を選択します。
-
デフォルトでは、新しいポリシーはテンプレート内のすべてのデフォルト設定を使用します。この場合、[テンプレートのデフォルト設定 (推奨)] が選択されています。設定を変更する場合は、[デフォルト設定を変更して追加] を選択し、設定を追加または削除します。
-
ポリシーの適用方法を指定するには、次のいずれかを選択します。
- [選択したユーザーおよびマシンオブジェクト]。選択したユーザーおよびマシンオブジェクトにポリシーを適用するには、[割り当て] をクリックして、ポリシーを適用するユーザーおよびマシンオブジェクトを選択します。
- [サイト内のすべてのオブジェクト]。サイト内のすべてのユーザーおよびマシンオブジェクトにポリシーを適用するには。
-
ポリシーの名前を入力します。ポリシーの名前は、それが影響する対象 (例: 経理部、リモートユーザーなど) に応じて検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで無効になっています。有効にできます。ポリシーを有効にすると、ログオンするユーザーにすぐに適用できるようになります。無効にすると、ポリシーが適用されなくなります。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。
Web Studio を使用してポリシーを作成する
-
Web Studio にサインインし、左側のペインで [ポリシー] を選択します。
-
[ポリシー] タブを選択します。
-
アクションバーで [ポリシーの作成] を選択します。
-
ポリシー設定を追加および構成します。
-
次のいずれかを選択して、ポリシーを適用する方法を指定します。
- 選択したユーザーオブジェクトとマシンオブジェクトに割り当て、その後、ポリシーを適用する必要があるユーザーオブジェクトとマシンオブジェクトを選択します。
- サイト内のすべてのオブジェクトに割り当てて、サイト内のすべてのユーザーオブジェクトとマシンオブジェクトにポリシーを適用します。
-
ポリシーの名前を入力するか、デフォルトを受け入れます。ポリシーが影響する対象(例: 経理部、リモートユーザーなど)に基づいてポリシーに名前を付けることを検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで有効になっています。無効にできます。ポリシーを有効にすると、ログオンするユーザーにすぐに適用できるようになります。無効にすると、ポリシーが適用されなくなります。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。
グループポリシーエディターを使用してポリシーを作成および管理する
グループポリシーエディターから、[コンピューターの構成] または [ユーザーの構成] を展開します。[ポリシー] ノードを展開し、その後、[Citrixポリシー] を選択します。適切なアクションを選択します。
| タスク | 指示事項 |
|---|---|
| ポリシーを作成する | ポリシータブで、新規をクリックします。 |
| 既存のポリシーを編集する | ポリシータブで、ポリシーを選択し、編集をクリックします。 |
| 既存のポリシーの優先度を変更する | ポリシータブで、ポリシーを選択し、上位または下位をクリックします。 |
| ポリシーの概要情報を表示する | ポリシータブで、ポリシーを選択し、概要タブをクリックします。 |
| ポリシー設定を表示および修正する | ポリシータブで、ポリシーを選択し、設定タブをクリックします。 |
| ポリシーフィルターを表示および修正する | ポリシータブで、ポリシーを選択し、フィルタータブをクリックします。ポリシーに複数のフィルターを追加する場合、ポリシーが適用されるには、すべてのフィルター条件が満たされている必要があります。 |
| ポリシーを有効または無効にする | ポリシータブで、ポリシーを選択し、アクション > 有効またはアクション > 無効を選択します。 |
| 既存のテンプレートからポリシーを作成する | 「テンプレート」タブで、テンプレートを選択し、「新規ポリシー」をクリックします。 |