リモートPCアクセス

リモートPCアクセス機能により、社内にある自分の物理的なWindows PCにどこからでもリモートアクセスできるようになります。

Virtual Delivery Agent(VDA)は社内PCにインストールされています。VDAにより、そのPCがCloud ConnectorまたはDelivery Controllerに登録され、PCとエンドユーザーのクライアントデバイスの間のHDX接続が管理されます。リモートPCアクセス機能ではセルフサービス型の構成がサポートされており、管理者がホワイトリスト(ユーザーによるアクセスを許可するマシンの一覧)を作成しておくと、各ユーザーが管理者による介在なく自分の社内PCを追加できます。クライアントデバイス上で動作するCitrix Workspaceアプリにより、リモートPCアクセスセッションから社内のPC上のアプリケーションやデータへのアクセスが可能になります。

ユーザーには、任意の数の物理PC、または物理PCと仮想デスクトップの組み合わせを含む、複数のデスクトップを割り当てることができます。

注:

オンプレミス展開の場合:リモートPCアクセスは、Citrix Virtual Desktopsライセンスに対してのみ有効です。セッションでは、他のCitrix Virtual Desktopsセッションと同様にライセンスが消費されます。

Active Directoryに関する注意事項

リモートPCアクセスの展開サイトを構成する前に、Active Directory組織単位(OU)とセキュリティグループをセットアップして、Active Directoryユーザーアカウントを作成してください。

マシンカタログにマシンを追加した後でActive Directoryを変更しても、リモートPCアクセス機能には反映されません。必要な場合は、マシンを手動で別のマシンカタログに再割り当てできます。

Active DirectoryのOUエントリを移動または削除すると、リモートPCアクセスに使用されるOUエントリで整合性の問題が発生して、VDAとマシンカタログまたはデリバリーグループとの関連付けが解除されることがあります。

マシンカタログおよびデリバリーグループに関する考慮事項

  • リモートPCアクセスでは、1つのマシンを複数のマシンカタログやデリバリーグループに関連付けることはできません。
  • リモートPCアクセスのマシンカタログに複数のマシンを追加できます。
  • カタログ用のマシンアカウントを選択するときは、ほかのカタログ内のマシンとの競合を避けるため、最も低いレベルのOUを選択します。たとえば、bank/officers/tellersのOUではtellersを選択します。
  • リモートPCアクセスのマシンカタログに含まれるすべてのマシンを、1つまたは複数のデリバリーグループで割り当てることができます。たとえば、2つのユーザーグループに異なるポリシー設定を適用するには、それらのユーザーを異なるデリバリーグループに追加して、各デリバリーグループ用のHDXポリシーフィルターを構成します。
  • IT管理の責任分担がユーザーの地理的な場所、部署、またはそのほかのカテゴリによって細分化されている場合は、マシンやユーザーをカテゴリごとにグループ化して、委任管理を構成します。各管理者には、そのカテゴリ内のカタログと対応するデリバリーグループの両方に対する管理権限が正しく割り当てられていることを確認してください。

展開に関する考慮事項

  • リモートPCアクセス展開を作成した後で、従来のVirtual Desktop Infrastructure(VDI)デスクトップまたはアプリケーションを追加することができます。また、リモートPCアクセス展開を既存のVDI展開に追加することもできます。
  • 社内のPC上にVDAをインストールするときに、[Windows Remote Assistance]チェックボックスをオンにすることを検討してください。これにより、ヘルプデスク担当者がDirectorからWindowsリモートアシスタンスを使用して、ユーザーのセッションを表示したり操作したりできるようになります。
  • 各社内PCへのVDAのインストール方法を検討します。Active DirectoryスクリプトやMicrosoft System Center Configuration Managerなど、電子的なソフトウェアディストリビューションツールを使用することをお勧めします。インストールメディアには、Active Directoryスクリプトのサンプルが収録されています。
  • リモートPCアクセス展開のセキュリティに関する考慮事項を確認してください。
  • 現時点では、リモートPCアクセスのセキュアブートはWindows 10でサポートされています。
  • 各社内PCは、有線ネットワーク接続によりドメインに参加している必要があります。
  • キーボードやマウスは、社内のPCやラップトップに直接接続してください。電源がオフになることのあるモニターなどのデバイス経由で接続しないでください。キーボードやマウスをモニターなどのデバイス経由で接続する必要がある場合は、そのデバイスの電源がオフにならないようにする必要があります。
  • スマートカードを使用する場合は、「スマートカード」を参照してください。
  • リモートPCアクセスはほとんどのラップトップコンピューターでも使用できます。いつでもアクセスできるように、ラップトップコンピューターの省電力設定を、デスクトップPCと同様に構成する必要があります。例:
    • 休止機能を無効にする。
    • スリープ機能を無効にする。
    • カバーを閉じた場合の動作を [何もしない] に設定する。
    • 電源ボタンを押したときの操作を [シャットダウン] に設定する。
    • ビデオカードとインターフェイスカードの省電力設定を無効にする。
    • バッテリーの節電機能を無効にする。
  • 以下のデバイスは、リモートPCアクセスでサポートされません。
    • ラップトップのドッキングおよびドッキング解除。
    • KVMスイッチ、またはセッションを切断する可能性のあるそのほかのコンポーネント。
    • ハイブリッドPC(オールインワンおよびNVIDIA OptimusラップトップおよびPCを含む)。
  • Windows 10のSurface Proデバイス上でのリモートPCアクセスがサポートされます。いつでもアクセスできるように、Surfaceデバイスを、デスクトップまたはラップトップコンピューターと同様に構成する必要があります。例:
    • 休止機能またはスリープ機能を無効にする。
    • 有線ネットワーク接続を使用する。
    • セッションの初期化時または再接続時には常にキーボードが接続されているようにする。
    • バッテリーの節電機能を無効にする。
  • 社内PCへリモートでアクセスする各クライアントデバイスに、Citrix Workspaceアプリをインストールします。
  • 同じ社内PCへのリモートアクセス権を持つユーザーには、Citrix Workspaceアプリでは同じアイコンが表示されます。あるユーザーが社内PCにリモートでログオンしている間、このリソースはほかのユーザーには使用不可として表示されます。

レジストリで管理される機能

注意:

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

スリープモード(バージョン7.16以降)

リモートPCアクセスマシンがスリープ状態に入ることを許可するには、このレジストリ設定をVDAに追加してからマシンを再起動します。再起動後は、オペレーティングシステムの省電力設定が優先されます。設定済みのアイドルタイマー間隔が経過すると、マシンはスリープモードに入ります。マシンがスリープモードから復帰すると、Delivery Controllerに再登録されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA

  • 名前:DisableRemotePCSleepPreventer
  • 種類:DWORD
  • データ:1

セッション管理

デフォルトでは、ローカルユーザーがそのマシンでCtrl+Alt+Delキーを押してセッションを開始すると、リモートユーザーのセッションは自動的に切断されます。自動的に切断されないようにするには、社内PCに次のレジストリエントリを追加してから、マシンを再起動します。

RE\Citrix\PortICA\RemotePC “SasNotification”=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePCで、この機能の内容をよりカスタマイズするには

RpcaMode(dword):

  • 1 =指定のタイムアウト期間にMessaging UIへ応答しない場合、リモートユーザーが常に獲得します。
  • 2 =ローカルユーザーが常に獲得します。この設定を指定しない場合、リモートユーザーがデフォルトで獲得します。

RpcaTimeout(dword):

  • 適用されるモードの種類が決定される前に、ユーザーに対して与えられる秒数。この設定が指定されない場合、デフォルト値は30秒です。この値は30秒以上である必要があります。マシンを再起動して変更を適用します。

ユーザーがコンソールに強制的にアクセスできるようにするには:ローカルユーザーがCtrl+Alt+Delキーを10秒以内に2回押すことによって、リモートセッションのローカル制御を取得して切断イベントを強制的に発生します。

レジストリを変更して機械を再起動した後に、リモートユーザーが使用中のPCにローカルユーザーがCtrl+Alt+Delキーを押してログオンすると、ローカルユーザーの接続を許可するかどうかを確認するプロンプトがリモートユーザーに表示されます。接続を許可すると、リモートユーザーのセッションは切断されます。

Wake-on-LAN

Citrix CloudでのリモートPCアクセスでは、Wake on LANはサポートされていません。

リモートPCアクセスではWake on LANがサポートされ、物理PCをリモートから起動できます。この機能により、ユーザーが退社時にPCの電源をオフにできるようになるため、消費電力を節約できます。また、停電や気象条件などにより電源がオフになったPCにもリモートアクセスできるようになります。

リモートPCアクセスのWake on LAN機能は、以下のデバイスでサポートされます。

  • BIOSでWake on LANオプションが有効になっているPC。こうしたPCではウェイクアッププロキシとマジックパケットもサポートされ、Microsoft System Cemter Configuration Manager(ConfigMgr)2012、ConfigMgr 2012 R2、またはConfigMgr 2016を使用している場合にWake on LAN機能を利用できます。
  • Intel社のActive Management Technology(AMT)をサポートするPC。AMT対応マシンでは、StudioやDirectorからそのマシンを強制的にシャットダウンまたは再起動することもできます。また、StoreFrontおよびCitrix Workspaceアプリでは再起動操作を実行することもできます。AMTサポートは、ConfigMgr 2012または2012 R2を使用時にのみ利用可能であり、ConfigMgr 2016の使用時には利用できません。

Wake on LAN機能を使用するようにConfigMgrを構成します。さらに、StudioでリモートPCアクセス展開を作成するとき(またはリモートPCアクセス用に別の電源管理接続を追加するとき)に、電源管理機能を有効にして、ConfigMgrのアクセス情報を指定します。

Configuration ManagerとリモートPCアクセスのWake on LAN

リモートPCアクセスのWake on LAN機能を構成するには、以下のタスクを完了してから社内PCにVDAをインストールします。

  • 組織内でConfigMgr 2012、2012 R2、または2016を構成します。リモートPCアクセス用のすべてのマシンにConfigMgrクライアントを展開し、スケジュールされているSCCMインベントリサイクルが実行されるのを待ちます(必要に応じて、手動で強制的に実行することもできます)。StudioでConfigMgr接続を構成するときのアクセス資格情報には、セキュリティスコープにコレクションが含まれており、リモートツールオペレーターロールが付与されている必要があります。
  • Intel社のActive Management Technology(AMT)を使用する場合。
    • PCでAMT 3.2.1以降がサポートされている必要があります。
    • 適切な資格情報およびプロビジョニングプロセスを使用して、PCでAMTが使用されるようにプロビジョニングします。
    • 注意:ConfigMgr 2012と2012 R2のみを使用できます。ConfigMgr 2016は使用できません。
  • ConfigMgrのウェイクアッププロキシやマジックパケットを使用する場合:
    • 各PCのBIOS設定で、Wake on LAN機能を有効にします。
    • ウェイクアッププロキシの場合は、ConfigMgrでウェイクアッププロキシを有効にします。リモートPCアクセスのWake on LAN機能を使用するPCが属する各サブネットで、センチネルマシンとして動作可能なものが3台以上あることを確認します。
    • マジックパケットの場合は、サブネット宛てのブロードキャストまたはユニキャストを使用して、ネットワーク経路およびファイアウォールでパケットの転送がブロックされないようにします。

社内PC上にVDAをインストールしたら、接続とマシンカタログを作成するときに電源管理機能を有効または無効にします。

  • カタログで電源管理機能を有効にする場合は、接続の詳細としてConfigMgrのアドレス、アクセス資格情報、および名前を指定します。
  • 電源管理機能を無効にした場合でも、電源管理(Configuration Manager)接続を後から追加して、リモートPCアクセスのマシンカタログを編集してこの接続を指定し、電源管理機能を有効にできます。

電源管理接続を編集して、詳細設定を変更できます。以下の機能を有効にできます。

  • ConfigMgrのウェイクアッププロキシ。
  • Wake on LAN(マジック)パケット。Wake on LANパケットを有効にする場合は、パケットの転送方法としてサブネット向けのブロードキャストまたはユニキャストを選択できます。

社内PCではAMTパワーコマンド(サポートされる場合)と、有効にした詳細設定が使用されます。AMTパワーコマンドが使用されない場合は、詳細設定が使用されます。

Citrix Cloud展開:構成順序と考慮事項

CTX220737: How to Enable XenDesktop Remote PC Access in Citrix Cloud」を参照してください。

オンプレミス展開:構成順序と考慮事項

  1. リモートPCアクセスサイトを作成する前に:

    リモートPCアクセスの電源管理機能(リモートPCアクセスのWake on LAN機能)を使用する場合、StudioでリモートPCアクセス展開を作成する前に、接続先のPCとMicrosoft System Center Configuration Manager(ConfigMgr)での構成を完了しておく必要があります。

  2. サイトの作成ウィザードで、以下を実行します:

    • リモートPCアクセスサイトの種類を選択します。
    • 管理者は、[電源管理] ページで、デフォルトのリモートPCアクセスマシンカタログのマシンの電源管理機能を有効または無効にできます。電源管理を有効にする場合は、ConfigMgr接続の情報を指定します。
    • ユーザー」ページと「マシンアカウント」ページの情報を入力します。

    リモートPCアクセスサイトを作成すると、「リモートPCアクセスマシン」という名前のデフォルトマシンカタログと、「リモートPCアクセスデスクトップ」という名前のデフォルトデリバリーグループが作成されます。

  3. リモートPCアクセス用のマシンカタログを追加する場合は、以下の操作を行います。

    • [オペレーティングシステム] ページで [リモートPCアクセス] を選択し、電源管理接続を選択します。電源管理機能を無効にすることもできます。構成済みの電源管理接続がない場合は、マシンカタログの作成ウィザードを完了した後で接続を作成します(接続の種類は[Microsoft Configuration Manager Wake on LAN])。次に、カタログを編集してその接続を指定します。
    • [マシンアカウント] ページで、一覧からマシンアカウントまたは組織単位(OU)を選択するか、マシンアカウントおよびOUを追加します。
  4. ローカルおよびリモートアクセスで使用する社内PCにVDAをインストールします。一般的にはパッケージ管理ソフトウェアを使用してVDAを自動的に展開します。ただし、検証用または小規模な展開の場合は、各社内PC上にVDAを手動でインストールできます。リモートPCアクセス展開用にデスクトップVDAをインストールするために使用できる方法は複数あります。

    全製品インストーラーまたはVDAWorkstationSetup.exeインストーラーを使用する場合:

    • グラフィカルユーザーインターフェイス: ウィザードの [環境] ページで [リモート PC アクセス] を選択します。[追加コンポーネント] ページ上のコンポーネントはデフォルトでは選択されていません。リモートPCアクセス操作では必要ありません。
    • コマンド行インターフェイス:/remotepcオプションを指定します。このオプションを指定すると、追加コンポーネントがインストールされなくなります。代わりに、これらの各コンポーネントを除外するのには、/excludeオプションを使用できます。詳しくは、「コマンドラインオプションの説明」を参照してください。

    VDAWorkstationCoreSetup.exeインストーラーを使用する場合:このインストーラーでは、Citrix Workspaceアプリも追加コンポーネントもインストールできません。

    VDAをインストールした後で、その社内PCのコンソールセッションに(ローカルまたはRDP経由で)最初にログオンしたドメインユーザーにそのリモートPCアクセスデスクトップが自動的に割り当てられます。そのコンソールセッションにさらにほかのドメインユーザーがログオンすると、それらのユーザーもデスクトップユーザーの一覧に追加されます。ただし、これらのユーザーには管理者が構成した制限事項が適用されます。

    Citrix Virtual Apps and Desktops環境外でRDP接続を使用するには、ユーザーまたはグループをDirect Access Usersグループに追加する必要があります。

  5. 社内PCへのリモート接続で使用するすべてのクライアントデバイスに、Citrix Workspaceアプリをダウンロードしインストールするようユーザーに指示します。Citrix Workspaceアプリはhttps://www.citrix.comから、またはサポートされるモバイルデバイス向けのアプリケーション配布システムから入手できます。

トラブルシューティング

リモートPCアクセスの診断情報は、Windowsのアプリケーションイベントログに書き込まれます。情報メッセージは調整されません。エラーメッセージは重複メッセージの破棄により調整されます。

  • 3300(情報) : マシンカタログへのマシンの追加
  • 3301(情報) : デリバリーグループへのマシンの追加
  • 3302(情報) : ユーザーへのマシンの割り当て
  • 3303(エラー):例外の発生

リモートPCアクセス用の電源管理を有効にすると、サブネット向けのブロードキャストでのマシンの起動に失敗することがあります。この問題は、Controllerとマシンが異なるサブネット上に存在する場合に発生します。AMTがサポートされない場合に異なるサブネット間でサブネット向けのブロードキャストを使用するには、ウェイクアッププロキシまたはユニキャストを使用してください。これらの詳細設定は、電源管理接続のプロパティで有効にできます。