ポリシーを作成する

注：

Citrix Virtual Apps and Desktops™の展開は、Web Studio（ウェブベース）とCitrix Studio（ウィンドウズベース）の2つの管理コンソールを使用して管理できます。この記事ではWeb Studioのみを取り上げます。Citrix Studioについては、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事を参照してください。

ポリシーを作成する前に、それが影響を与える可能性のあるユーザーまたはデバイスのグループを決定します。ユーザーの職務、接続の種類、ユーザーデバイス、または地理的な場所に基づいてポリシーを作成することができます。Windows Active Directoryグループポリシーで使用するのと同じ基準を使用することもできます。

すでにグループに適用されるポリシーを作成している場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。ポリシーを編集した後、適切な設定を構成します。特定の機能を有効にするためだけ、または特定のユーザーへのポリシーの適用を除外するためだけにポリシーを作成することは避けてください。

ポリシーを作成する際、ポリシーテンプレートの設定に基づいて作成し、必要に応じて設定をカスタマイズできます。テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。

Web Studioでは、ポリシーを有効にするチェックボックスが明示的にオンにされていない限り、新しく作成されたポリシーは無効に設定されます。

ポリシー作成時および設定構成時に、システムは設定の種類を表示するオプションを提供します。次の設定の種類を表示できます。

• すべての設定 - すべてのVDAバージョンに適用されるすべてを表示
• 現在の設定のみ - 現在のVDAバージョンに固有の設定を表示
• レガシー設定のみ - 非推奨のVDAバージョンにのみ適用される設定を表示

設定を構成しながら設定を表示するには：

1. Web Studioにサインインし、左ペインでポリシーを選択します。
2. ポリシータブで、ポリシーの作成をクリックします。
3. 設定の選択テーブルで、設定の横にあるドロップダウンをクリックします。
4. ドロップダウンから以下のいずれかのオプションを選択します。

• すべての設定 - すべてのVDAバージョンのすべての設定を表示します。
• 現在の設定のみ - 現在のVDAバージョンの設定のみを表示します。
• レガシー設定のみ - 非推奨のVDAバージョンの設定のみを表示します。

1. 設定テーブルには、前の手順に基づいて利用可能な設定が一覧表示されます。

ポリシー設定

ポリシー設定は、有効、無効、または未構成にすることができます。デフォルトでは、ポリシー設定は構成されていません。つまり、ポリシーに追加されていません。設定は、ポリシーに追加された場合にのみ適用されます。

ポリシー設定は、依存するポリシー間の明確さを提供するために強化されています。この機能により、子ポリシー設定が構成されたときに有効になるように、親ポリシーが最初に構成されることが保証されます。

ポリシー設定を構成するには：

1. ポリシーの作成ページで、設定の選択の下にある「overall」を検索します。 セッション全体の帯域幅制限に関連するすべてのポリシー（親と子）が一覧表示されます。
2. 子ポリシーにカーソルを合わせると、ツールヒントが表示され、セッション全体の帯域幅制限親ポリシーが構成されるまで子ポリシーは構成できないことが示されます。
3. 親ポリシー設定を構成し、次に子ポリシー設定を構成して、保存をクリックします。
4. 設定および現在の値列には、ポリシーの作成/編集テーブルで構成された値が表示されます。このテーブルには、構成された設定を変更するための編集オプションが表示されます。

依存ポリシー設定の図(/ja-jp/citrix-daas/media/dependent-policy-settings.png)

注：

• 親ポリシーが構成されるまで、子ポリシーは選択できません。
• 親ポリシーのチェックが外されると、関連付けられている子ポリシーもチェックが外れるか、選択解除されることを指示するポップアップメッセージが表示されます。

次の表に、親ポリシーとそれに対応する依存ポリシーまたは子ポリシーのリストを示します。

一部のポリシー設定は、次のいずれかの状態になります。

• 許可または禁止は、設定によって制御されるアクションを許可または禁止します。セッション内でユーザーが設定のアクションを管理することを許可または禁止する場合があります。たとえば、メニューアニメーション設定が「許可」に設定されている場合、ユーザーはクライアント環境でメニューアニメーションを制御できます。
• 有効または無効は、設定をオンまたはオフにします。設定を無効にすると、下位のポリシーでは有効になりません。

さらに、一部の設定は、依存する設定の有効性を制御します。たとえば、クライアントドライブリダイレクトは、ユーザーがデバイス上のドライブにアクセスできるかどうかを制御します。ユーザーがネットワークドライブにアクセスできるようにするには、この設定とクライアントネットワークドライブ設定の両方をポリシーに追加する必要があります。クライアントドライブリダイレクト設定が無効になっている場合、クライアントネットワークドライブ設定が有効になっていても、ユーザーはネットワークドライブにアクセスできません。

一般に、マシンに影響を与えるポリシー設定の変更は、仮想デスクトップの再起動時またはユーザーのログオン時に有効になります。ユーザーに影響を与えるポリシー設定の変更は、ユーザーが次回ログオンしたときに有効になります。Active Directoryを使用している場合、ポリシー設定はActive Directoryが90分間隔でポリシーを再評価するときに更新されます。そして、ポリシー設定は、仮想デスクトップの再起動時またはユーザーのログオン時に適用されます。

一部のポリシー設定では、設定をポリシーに追加するときに値を入力または選択できます。「デフォルト値を使用」を選択することで、設定の構成を制限できます。この選択により、設定の構成が無効になり、ポリシーが適用されるときに設定のデフォルト値のみが使用されるようになります。この選択は、「デフォルト値を使用」を選択する前に入力された値とは関係ありません。

セキュアなデフォルト設定が有効になっている場合、VDAのインストール中に、ポリシー設定の優先順位は次のように影響を受けます。

• カスタマイズされた設定が最も高い優先順位を持ちます
• セキュアなデフォルト設定が2番目の優先順位を持ちます
• デフォルト設定が最も低い優先順位を持ちます

ポリシーのセキュアなデフォルト設定を確認するには：

1. Web Studioにログインします。
2. 左側のナビゲーションで、ポリシーをクリックします。
3. ポリシータブで、ポリシーの作成をクリックします。
4. 設定の選択テーブルで、現在の値が許可されていますか？となっている設定にカーソルを合わせると、セキュアなデフォルト値：禁止が表示されます。

ベストプラクティスとして：

• ポリシーは個々のユーザーではなくグループに割り当てます。ポリシーをグループに割り当てると、グループへのユーザーの追加または削除時に割り当てが自動的に更新されます。
• リモートデスクトップセッションホスト構成で、競合する設定や重複する設定を有効にしないでください。リモートデスクトップセッションホスト構成は、Citrixポリシー設定と同様の機能を提供することがあります。トラブルシューティングを容易にするため、可能な限りすべての設定を一貫性のある状態（有効または無効）に保ってください。
• 使用されていないポリシーは無効にします。設定が追加されていないポリシーは、不要な処理を発生させます。

ポリシーの割り当て

ポリシーを作成するときは、特定のユーザーおよびマシンオブジェクトに割り当てます。そのポリシーは、特定の基準またはルールに従って接続に適用されます。一般に、基準の組み合わせに基づいて、ポリシーに好きなだけ割り当てを追加できます。

割り当てを指定しない場合、または割り当てを指定しても無効にした場合、ポリシーはすべての接続に適用されます。

注：

ポリシー割り当ては、ポリシーフィルターとも呼ばれます。詳細については、以下のトピックを参照してください。

• ポリシーのフィルターを作成、変更、または削除する
• フィルターはどのように適用されますか？

次の表に、利用可能な割り当てを示します。

ユーザーがログオンすると、接続の割り当てに一致するすべてのポリシーが識別されます。これらのポリシーは優先順位に従ってソートされ、設定の複数のインスタンスが比較されます。各設定は、ポリシーの優先順位に従って適用されます。無効になっているポリシー設定は、有効になっている下位ランクの設定よりも優先されます。構成されていないポリシー設定は無視されます。

重要：

グループポリシー管理コンソールを使用してActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当てと設定が期待どおりに適用されないことがあります。詳しくは、CTX127461を参照してください。

クライアントIPポリシーフィルターを常にクライアントのプライベートIPアドレスを使用するように設定するには、セッションホストで次のレジストリ設定を構成します。

• キー：HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Ica\GroupPolicy
• 値のタイプ: DWORD
• 値の名前: UseClientDeviceIpForPolicyFilter
• 値のデータ: 1

「Unfiltered」という名前のポリシーがデフォルトで提供されます。

• Web Studioを使用してCitrixポリシーを管理する場合、Unfilteredポリシーに追加した設定は、サイト内のすべてのサーバー、デスクトップ、および接続に適用されます。
• ローカルグループポリシーエディターを使用してCitrixポリシーを管理する場合、Unfilteredポリシーに追加した設定は、すべてのサイトと接続に適用されます。サイトと接続は、ポリシーを含むグループポリシーオブジェクト（GPO）のスコープ内にある必要があります。たとえば、Sales OUには、米国の営業チームのすべてのメンバーを含むSales-USというGPOが含まれています。Sales-US GPOは、いくつかのユーザーポリシー設定を含むUnfilteredポリシーで構成されています。米国の営業マネージャーがサイトにログオンすると、Unfilteredポリシーの設定がセッションに自動的に適用されます。この構成は、ユーザーがSales-US GPOのメンバーであるためです。

割り当てのモードは、ポリシーがすべての割り当て条件に一致する接続にのみ適用されるかどうかを決定します。モードがAllow（デフォルト）に設定されている場合、ポリシーは割り当て条件に一致する接続にのみ適用されます。モードがDenyに設定されている場合、接続が割り当て条件に一致しない場合にポリシーが適用されます。以下の例は、複数の割り当てが存在する場合に割り当てモードがCitrixポリシーにどのように影響するかを示しています。

• 例：モードが異なる同種の割り当て - 同じタイプの2つの割り当てを持つポリシーで、一方がAllowに設定され、もう一方がDenyに設定されている場合、接続が両方の割り当てを満たしていれば、Denyに設定された割り当てが優先されます。例：

  ポリシー1には、次の割り当てが含まれています。

  • 割り当てAはSalesグループを指定します。モードはAllowに設定されています。
  • 割り当てBは営業マネージャーのアカウントを指定します。モードはDenyに設定されています。

  割り当てBのモードがDenyに設定されているため、営業マネージャーがサイトにログオンしても、ユーザーがSalesグループのメンバーであってもポリシーは適用されません。

• 例：モードが同じでタイプが異なる割り当て - タイプが異なる2つ以上の割り当てを持つポリシーで、Allowに設定されている場合、ポリシーが適用されるには、接続が各タイプの少なくとも1つの割り当てを満たす必要があります。例：

  ポリシー2には、次の割り当てが含まれています。

  • 割り当てCは、Salesグループを指定するユーザー割り当てです。モードはAllowに設定されています。
  • 割り当てDは、10.8.169.*（社内ネットワーク）を指定するクライアントIPアドレス割り当てです。モードは「許可」に設定されています。

  営業マネージャーがオフィスからサイトにログオンすると、接続が両方の割り当てを満たすため、ポリシーが適用されます。

  ポリシー3には、次の割り当てが含まれます。

  • 割り当てEは、営業グループを指定するユーザー割り当てです。モードは「許可」に設定されています。
  • 割り当てFは、NetScaler Gateway接続条件を指定するアクセス制御割り当てです。モードは「許可」に設定されています。

  営業マネージャーがオフィスからサイトにログオンすると、接続が割り当てFを満たさないため、ポリシーは適用されません。

Web Studioを使用して、テンプレートに基づいてポリシーを作成する

1. Web Studioにサインインし、左側のペインでポリシーを選択します。

2. テンプレートタブを選択し、テンプレートを選択します。

3. アクションバーでテンプレートからポリシーを作成を選択します。

4. デフォルトでは、新しいポリシーはテンプレート内のすべてのデフォルト設定を使用します。この場合、テンプレートのデフォルト設定（推奨）が選択されています。設定を変更する場合は、デフォルト設定を変更して追加を選択し、設定を追加または削除します。

5. 次のいずれかを選択して、ポリシーを適用する方法を指定します。

   • 選択したユーザーおよびマシンオブジェクト。選択したユーザーおよびマシンオブジェクトにポリシーを適用するには、割り当てをクリックして、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
   • サイト内のすべてのオブジェクト。サイト内のすべてのユーザーおよびマシンオブジェクトにポリシーを適用するには。

6. ポリシーの名前を入力します。ポリシーが影響する対象（例: 経理部、リモートユーザーなど）に基づいて名前を付けることを検討してください。必要に応じて、説明を追加します。

   ポリシーはデフォルトで無効になっています。有効にできます。ポリシーを有効にすると、ログオンしているユーザーにすぐに適用できるようになります。無効にすると、ポリシーが適用されなくなります。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。

Web Studio を使用してポリシーを作成する

1. Web Studio にサインインし、左ペインで ポリシー を選択します。

2. ポリシー タブを選択します。

3. アクションバーで ポリシーの作成 を選択します。

4. ポリシー設定を追加および構成します。

5. 次のいずれかを選択して、ポリシーの適用方法を指定します。

   • 選択したユーザーおよびマシンオブジェクトに割り当て、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
   • サイト内のすべてのオブジェクトに割り当てて、サイト内のすべてのユーザーおよびマシンオブジェクトにポリシーを適用します。

6. ポリシーの名前を入力するか、デフォルトを受け入れます。ポリシーが影響する対象（例：経理部、リモートユーザーなど）に基づいてポリシーに名前を付けることを検討してください。必要に応じて、説明を追加します。

   ポリシーはデフォルトで有効になっています。無効にできます。ポリシーを有効にすると、ログオンしているユーザーにすぐに適用できるようになります。無効にすると、ポリシーが適用されなくなります。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。

グループポリシーエディターを使用してポリシーを作成および管理する

グループポリシーエディターで、コンピューターの構成 または ユーザーの構成 を展開します。ポリシー ノードを展開し、Citrix ポリシー を選択します。適切なアクションを選択します。