ポリシーの比較、優先度、モデル作成、およびトラブルシューティング

ユーザーの担当業務、作業場所、または接続の種類などのユーザーのニーズに応じて、複数のポリシーを作成できます。たとえば、セキュリティ上の理由から、機密性の高いデータを日常的に取り扱うユーザーグループのアクセスに、一定の制限を適用したい場合があります。この場合、ユーザーがローカルのクライアントドライブ上にファイルを保存することを禁止するポリシーを作成できます。また、そのユーザーグループの中にローカルドライブへのアクセスが必要なユーザーがいる場合は、そのユーザー専用のポリシーを作成してほかのポリシーよりも高い優先度を設定します。同じユーザーに複数のポリシーが適用される場合は、それらのポリシーに優先度を設定して、適用される設定内容を制御できます。

複数のポリシーを使用するときは、どのように優先度を設定するか、どのように特定のユーザーを対象から除外するか、およびポリシーが競合した場合にどの設定内容が最終的に適用されるかについて確認する必要があります。

通常、Citrixポリシーの設定は、サイト全体、またはDelivery Controllerやユーザーデバイス側で構成されている同様の設定よりも優先されます。ただし、暗号化レベルとシャドウ機能の設定については、オペレーティングシステムでの設定を含み、最も高い制限が適用されます。

Citrixポリシーは、オペレーティングシステム側で設定されているほかのポリシーとも関連して機能します。Citrix環境では、Active DirectoryやWindowsのリモートデスクトップセッションホストの構成ツールでの設定よりも、Citrixポリシーでの設定の方が優先されます。これは、RDP(Remote Desktop Protocol)クライアント接続で一般的に設定されている、デスクトップの壁紙、メニューのアニメーション化、ウィンドウの内容を表示したままドラッグする機能などにも当てはまります。また、[SecureICAの最低暗号化レベル]など、オペレーティングシステム側の設定と合致していなければならないものもあります。Citrixポリシー以外の機能でより高い暗号化レベルが設定されている場合、[SecureICAの最低暗号化レベル]設定やアプリケーションやデスクトップごとに指定されている配信設定は無視されます。

たとえば、デリバリーグループを作成するときに指定する暗号化レベルは、その環境全体に対して設定されているレベルと同じである必要があります。

注: ダブルホップ環境における2つ目のホップにおいて、デスクトップOSのVDAがサーバーOSのVDAに接続すると、デスクトップOSのVDA上のCitrixポリシーがユーザーデバイスのように機能します。たとえば、ユーザーデバイス上のイメージをキャッシュするようポリシーが設定されると、ダブルホップ環境における2つ目のホップに対してキャッシュされたイメージはデスクトップOSのVDAマシンでキャッシュされます。

ポリシーおよびテンプレートの比較

Studioでは、複数のポリシーやポリシーテンプレートの設定項目を比較することができます。たとえば、環境に適した設定項目が構成されているかどうかを確認するときに、この機能を使用できます。また、そのポリシーやテンプレートの各設定項目の設定値を、デフォルトの値と比較することもできます。

  1. Studioのナビゲーションペインで[ポリシー]を選択します。
  2. [比較]タブをクリックし、[選択]をクリックします。
  3. 比較するポリシーまたはテンプレートのチェックボックスをオンにします。[設定項目のデフォルト値と比較する]チェックボックスをオンにすると、各設定項目のデフォルト値が比較結果に追加されます。
  4. [比較]をクリックすると、構成された設定項目とその設定値が一覧表示されます。
  5. すべての設定項目を表示するには、[すべての設定項目を表示]を選択します。元の表示に戻るには、[共通の設定項目を表示]を選択します。

ポリシーの優先度

複数のポリシーで設定内容が競合することを防ぐために、ポリシーに優先度を設定できます。ユーザーがログオンするときに、その接続の条件に一致するすべてのポリシーが検出されます。検出されたポリシーは優先度順に処理されます。このとき、ポリシー間で重複している設定がある場合は、最も優先度の高いポリシーの内容が適用されます。

Studioでは、ポリシーの優先度が数値で示されます。デフォルトでは、新しいポリシーに最低の優先度が設定されます。複数のポリシーで設定内容に矛盾が生じた場合は、優先度の高いポリシー(最高の優先度は「1」です)の設定が適用されます。同じ条件の接続に対して複数のポリシーが合致する場合は、各ポリシーに追加されている設定がポリシーの優先度、および各設定内容により統合され、「最終的に適用されるポリシー」が決定されます。優先度のより高いポリシーの設定で[無効]が選択されている場合、優先度の低いポリシーで[有効]が選択されていても、その設定内容は無視されます。ただし、[設定しない]が選択されたポリシー設定は無視されるため、優先度の高いポリシーで[設定しない]が設定されている場合、その設定内容は無視され、優先度の低いポリシーの内容が適用されます。

  1. Studioのナビゲーションペインで[ポリシー]を選択します。[ポリシー]タブが選択されていることを確認します。
  2. ポリシーを選択します。
  3. [操作]ペインの[優先度を低く]または[優先度を高く]を選択します。

例外

ユーザー、ユーザーデバイス、またはマシンに対して作成したポリシーの中に、そのグループの特定のユーザーに適用したくない設定内容が含まれている場合は、以下の方法で例外を設定します。

  • 例外処理が必要なグループメンバー用に新しいポリシーを作成して、ほかのポリシーより高い優先度を設定します。
  • ポリシーに追加する割り当てのモードとして[禁止]を選択します。

割り当てのモードとして[禁止]を選択すると、その条件にマッチしない接続にのみポリシーが適用されます。 たとえば、

  • [クライアントのIPアドレス]割り当てで「208.77.88.*」を指定して[許可]モードを選択
  • [ユーザーまたはグループ]割り当てで特定のユーザーアカウントを指定して[禁止]モードを選択

この2つのフィルターが設定されたポリシーは、Assignment Aで指定した範囲のIPアドレスを持つサイトにログオンするすべてのユーザーに適用されます。ただし、Assignment Bで指定したユーザーアカウントを使用してこのサイトにログオンするユーザーには、IPアドレスがAssignment Aで指定した範囲内であってもこのポリシーは適用されません。

接続に適用されるポリシーの確認

複数のポリシーが適用されるために、意図した設定が接続に反映されないことがあります。作成したポリシーよりも優先度の高いポリシーがあると、意図した設定内容が上書きされてしまいます。管理者は、ポリシーの優先度や追加されている設定項目を基に、最終的に適用される設定項目を確認することができます。

最終的に適用される設定を確認するには、以下の方法を使用します。

  • Citrixグループポリシーモデル作成ウィザードを使用して、接続シナリオをシミュレートしてCitrixポリシーがどのように適用されるかを確認する。接続シナリオ条件(ドメインコントローラー、ユーザー、Citrixポリシーの割り当て、低速ネットワーク接続などの環境設定)を指定します。すると、その条件に基づいて、そのシナリオに適用されるCitrixポリシーの内容についてのレポートが生成されます。ドメインユーザーとしてControllerにログオンしている場合は、サイトポリシー設定とActive Directoryグループポリシーオブジェクト(GPO)の両方を使ってポリシーの結果セットが算出されます。
  • グループポリシーの結果ウィザードで、特定のユーザーやControllerに適用されるCitrixポリシーのレポートを作成する。グループポリシーの結果ウィザードでは、現在の環境のGPOの状態を評価して、特定のユーザーやControllerにこれらのオブジェクト(Citrixポリシーを含む)がどのように適用されるかについてのレポートが生成されます。

Citrixグループポリシーモデル作成ウィザードは、Studioの[操作]ペインから起動できます。これらのツールは、Windowsのグループポリシー管理コンソールから起動できます。

グループポリシー管理コンソールからCitrixポリシーモデル作成ウィザードまたはグループポリシーの結果ウィザードを実行する場合は、Studioで作成したサイトポリシー設定はポリシーの結果セットに含まれません。

ポリシーの管理にグループポリシー管理コンソールのみを使用している場合を除き、最も包括的なポリシーの結果セットを取得するには、StudioからCitrixグループポリシーモデル作成ウィザードを起動することをお勧めします。

Citrixグループポリシーモデル作成ウィザードの使用

Citrixグループポリシーモデル作成ウィザードを開くには、以下のいずれかを行います。

  • Studioのナビゲーションペインで[ポリシー]を選択し、[モデル作成]タブを選択して[操作]ペインの[モデル作成ウィザードの起動]を選択します。
  • グループポリシー管理コンソール(gpmc.msc)を起動して、コンソールツリーの[Citrixグループポリシーモデル作成]ノードを右クリックして[Citrixグループポリシーモデル作成ウィザード]を選択します。

ウィザードの指示に従って、シミュレーションで使用するドメインコントローラー、ユーザー、コンピューター、環境設定、およびCitrixフィルター条件を選択します。[完了]をクリックすると、モデル作成の結果のレポートが作成されます。Studioでは、中央ペインの[モデル作成]タブにレポートが表示されます。

レポートを表示するには、[モデル作成レポートの表示]を選択します。

ポリシーのトラブルシューティング

複数のポリシーで、適用先として同じ割り当て(ユーザーアカウントやクライアントのIPアドレスなど)を指定することも可能です。この場合、これらのポリシーでの設定が競合すると、ポリシーが意図したとおりに適用されません。最終的に適用されるポリシーを確認するためにCitrixグループポリシーモデル作成ウィザードやグループポリシーの結果ウィザードを使用する場合、ユーザー接続にいずれのポリシーも適用されないことが判明することがあります。この場合、そのポリシーの割り当て条件に合致するユーザー接続が発生しても、いずれのポリシー設定も適用されません。以下の状況では、いずれのポリシーも適用されません。

  • 割り当て条件に合致するポリシーがない場合。
  • 割り当て条件に合致したポリシーに設定項目が追加されていない場合。
  • 割り当て条件に合致したポリシーが無効になっている場合。

指定した条件の接続にポリシーが適用されるようにするには、以下の内容を確認します。

  • そのポリシーが有効になっている。
  • そのポリシーに追加した設定項目の内容が適切である。