Citrix Virtual Apps and Desktops

ポリシーの比較、優先度、およびトラブルシューティング

注:

Web Studio(Webベース)とCitrix Studio(Windowsベース)の2つの管理コンソールを使用して、Citrix Virtual Apps and Desktopsの展開を管理できます。この記事ではWeb Studioのみを扱います。Citrix Studioについて詳しくは、Citrix Virtual Apps and Desktops 7 2212以前の同様の記事を参照してください。

ユーザーの担当業務、作業場所、または接続の種類などのユーザーのニーズに応じて、複数のポリシーを作成できます。たとえば、セキュリティ強化を目的として、機密データを日常的に取り扱うユーザーグループのアクセスに、一定の制限を適用したい場合があります。

また、この場合、ユーザーがローカルのクライアントドライブ上に機密データファイルを保存することを禁止するポリシーを作成できます。また、そのユーザーグループの中にローカルドライブへのアクセスが必要なユーザーがいる場合は、そのユーザー専用のポリシーを作成してほかのポリシーよりも高い優先度を設定します。同じユーザーに複数のポリシーが適用される場合は、それらのポリシーに優先度を設定して、適用される設定内容を制御できます。複数のポリシーを使用する場合は、次のことを決定する必要があります:

  • ポリシーに優先順位を付ける方法
  • 例外を作成する方法
  • ポリシーが競合する場合に効果的なポリシーを表示する方法。

通常、Citrixポリシーの設定は、サイト全体、またはDelivery Controllerやユーザーデバイス側で構成されている同様の設定よりも優先されます。ただし、ご使用の環境で最高レベルの暗号化設定が、他の設定やポリシーよりも常に優先されます。最高レベルの暗号化設定には、オペレーティングシステムや最も制限の厳しいシャドウ機能の設定などがあります。

Citrixポリシーは、オペレーティングシステム側で設定されているほかのポリシーとも関連して機能します。Citrix環境では、Active DirectoryやWindowsのリモートデスクトップセッションホストの構成ツールでの設定よりも、Citrixポリシーでの設定の方が優先されます。この設定には、一般的なリモートデスクトッププロトコル(RDP)のクライアント接続設定に関連する設定などがあります。一般的なRDP設定には、デスクトップの壁紙、メニューのアニメーション化、ウィンドウの内容を表示したままドラッグする機能などの設定があります。

また、[Secure ICAの最低暗号化レベル]など、オペレーティングシステム側の設定と合致していなければならないものもあります。Citrixポリシー以外の機能でより高い暗号化レベルが設定されている場合、[Secure ICAの最低暗号化レベル] 設定やアプリケーションやデスクトップごとに指定されている配信設定は無視されます。

たとえば、デリバリーグループを作成するときに指定する暗号化レベルは、その環境全体に対して設定されているレベルと同じである必要があります。

注:

ダブルホップシナリオの2つ目のホップでは、シングルセッションOS VDAをマルチセッションOS VDAに接続することを検討してください。この場合、Citrixポリシーは、ユーザーデバイスであるかのように、シングルセッションOS VDAに作用します。たとえば、ポリシーがユーザーデバイスにイメージをキャッシュするように設定されているとします。この例では、ダブルホップ環境における2つ目のホップに対してキャッシュされたイメージは、シングルセッションOS VDAマシンでキャッシュされます。

ポリシーのモデル作成ウィザードの使用

ポリシーのモデル作成は、計画およびテストのために、フィルターを使用してポリシーを有効にするシミュレーションを行うのに役立ちます。フィルターを使用して有効にしたポリシーのみがモデル化されます。無効にしたポリシーは適用されず、フィルターなしで有効にしたポリシーは常に適用されます。

ポリシーのモデル作成ウィザードを開くには、次の手順を実行します:

  1. 左側のナビゲーションから [ポリシー] を選択します。
  2. [モデル作成] タブを選択します。
  3. 操作バーの [ポリシーのモデル作成] を選択します。
  4. [はじめに] ページで [次へ] をクリックします。
  5. ユーザーまたはコンピューターを選択します。コンテナまたは特定のユーザーまたはコンピューターを参照できます。[次へ] をクリックします。
  6. フィルター値を選択します。オプションで、デリバリーグループタグクライアントIPアドレスなどの追加の詳細を入力することで、シミュレーションをより詳細にすることができます。[次へ] をクリックします。
  7. 選択した内容の概要を確認し、[実行] をクリックします。

[実行] をクリックすると、モデル作成の結果のレポートが生成されます。このレポートを表示している間、次のことができます:

  • ドロップダウン メニューで [すべての設定][コンピューター設定]、または [ユーザー設定] を表示するかどうかを選択します。
  • 検索バーを使用して、特定の設定を探します。
  • 特定の設定をクリックして、その設定の詳細を表示します。たとえば、すべてのユーザー設定が特定のポリシーに適用されなかった場合、[詳細] ペインに設定が適用されなかった理由が表示されます。
  • [エクスポート] をクリックして、モデル作成結果をJSON形式、HTML形式、またはその両方でエクスポートします。

ポリシーのモデル作成を実行すると、より多くのオプションを利用できるようになります。次の操作を実行できます:

  • モデル作成レポートの表示:このオプションにより、上と同じモデル作成レポートが開き、再度表示したり、エクスポートしたりできます。
  • ポリシーのモデル作成の再実行:これにより、以前に選択した同じ一連の基準を使用してポリシーのモデル作成を再実行し、新しいモデル作成の結果を生成できます。これは、一部のポリシーが変更され、それらの変更が現在のモデルにどのように影響するかを確認したい場合に役立ちます。
  • モデル作成レポートの削除:これにより、現在のモデル作成レポートが削除されます。

ポリシーおよびテンプレートの比較

Studioでは、1つのポリシーまたはテンプレートの設定を、複数のポリシーまたはテンプレートの設定と比較することができます。たとえば、ベストプラクティスのコンプライアンス状態を維持できる値に設定されているかどうかを確認する必要が生じることがあります。また、そのポリシーまたはテンプレートの各設定項目の設定値を、デフォルトの値と比較する必要が生じることもあります。

  1. Web Studioにサインインし、左側のペインで [ポリシー] をクリックします。
  2. [比較] タブをクリックし、[選択] をクリックします。
  3. 比較するポリシーまたはテンプレートのチェックボックスをオンにします。[設定項目のデフォルト値と比較する] チェックボックスをオンにすると、各設定項目のデフォルト値が比較結果に追加されます。
  4. [比較] をクリックすると、構成された設定項目とその設定値が一覧表示されます。
  5. すべての設定項目を表示するには、[すべての設定項目を表示] を選択します。元の表示に戻るには、[共通の設定項目を表示] を選択します。

ポリシーの優先度

複数のポリシーで設定内容が競合することを防ぐために、ポリシーに優先度を設定できます。ユーザーがログオンするときに、その接続の条件に一致するすべてのポリシーが検出されます。検出されたポリシーは優先度順に処理されます。このとき、ポリシー間で重複している設定がある場合は、最も優先度の高いポリシーの内容が適用されます。

ポリシーの優先度は数値で示されます。デフォルトでは、新しいポリシーに最低の優先度が設定されます。複数のポリシーで設定内容に矛盾が生じた場合は、優先度の高いポリシー(最高の優先度は「1」です)の設定が適用されます。複数のポリシーの設定内容は、ポリシーの優先度や設定の条件に基づいて統合されます。たとえば、設定が無効か有効かなどです。優先度のより高いポリシーの設定で[無効]が選択されている場合、優先度の低いポリシーで[有効]が選択されていても、その設定内容は無視されます。ただし、[設定しない]が選択されたポリシー設定は無視されるため、優先度の高いポリシーで[設定しない]が設定されている場合、その設定内容は無視され、優先度の低いポリシーの内容が適用されます。

  1. 左ペインで [ポリシー] を選択します。[ポリシー] タブを選択していることを確認します。
  2. [ポリシー] タブで、操作バーの [ポリシーの優先度の変更] を選択します。[ポリシーの優先度の変更] ページが開きます。
  3. 優先度一覧で、次のいずれかの方法を使用してポリシーの優先度を変更します:

    • ポリシーを目的の位置にドラッグします。
    • 位置を1つずつ上または下に移動するには、それぞれ上方向アイコンまたは下方向アイコンをクリックします。
    • 一覧の最上部または最下部に移動するには、それぞれ上部矢印アイコンまたは下部矢印アイコンをクリックします。
    • 優先度の番号を変更するには、[編集] アイコンをクリックし、必要に応じた番号を入力し、[保存] をクリックします。
  4. [保存] をクリックします。

例外

ユーザー、ユーザーデバイス、またはマシンに対して作成したポリシーの中に、そのグループの特定のユーザーに適用したくない設定内容が含まれている場合は、以下の方法で例外を設定します。

  • 例外処理が必要なグループメンバー用に新しいポリシーを作成して、ほかのポリシーより高い優先度を設定します。
  • ポリシーに追加する割り当てのモードとして [拒否] を選択します。

割り当てのモードとして[拒否]を選択すると、その条件にマッチしない接続にのみポリシーが適用されます。たとえば、ポリシーには次の割り当てが含まれます:

  • Assignment Aは、[クライアントのIPアドレス]割り当てで「208.77.88.*」を指定します。[許可]を設定します。
  • Assignment Bは、ユーザー割り当てで特定のユーザーアカウントを指定します。[拒否] を設定します。

この2つのフィルターが設定されたポリシーは、Assignment Aで指定した範囲のIPアドレスを持つサイトにログオンするすべてのユーザーに適用されます。ただし、Assignment Bで指定したユーザーアカウントを使用してこのサイトにログオンするユーザーには、このポリシーは適用されません。

接続に適用されるポリシーの確認

複数のポリシーが適用されているため、接続が応答しないことがあります。作成したポリシーよりも優先度の高いポリシーがあると、意図した設定内容が上書きされてしまいます。管理者は、ポリシーの結果セットを算出でき、接続のために最終的にポリシー設定をどのようにマージするかを決定できます。

以下の方法で、ポリシーの結果セットを算出できます:

  • Citrixグループポリシーモデル作成ウィザードを使用して、接続シナリオをシミュレートし、Citrixポリシーがどのように適用されるかを確認する。次のような接続シナリオの条件を指定できます:
    • ドメインコントローラー
    • ユーザー
    • Citrixポリシーの割り当ての証拠値
    • 低速ネットワーク接続などのシミュレートされた環境設定 ウィザードが生成するレポートには、このシナリオで機能するCitrixポリシーが一覧表示されます。ドメインユーザーとしてControllerにログオンしている場合は、サイトポリシー設定とActive Directoryグループポリシーオブジェクト(GPO)の両方を使ってポリシーの結果が算出されます。
  • グループポリシーの結果で、特定のユーザーやControllerに適用されるCitrixポリシーのレポートを作成する。グループポリシー結果ツールは、環境内のGPOの現在の状態を評価し、レポートを生成するのに役立ちます。生成されたレポートは、Citrixポリシーなどのオブジェクトが、特定のユーザーおよびコントローラーに現在どのように適用されているかを示します。

Citrixグループポリシーモデル作成ウィザードは、Web Studioで起動できます。または、Windowsのグループポリシー管理コンソールからグループポリシー結果ツールを起動することもできます。

Web Studioを使用して作成したサイトポリシー設定は、次の場合、ポリシーの結果セットに含まれません:

  • グループポリシー管理コンソールからCitrixグループポリシーモデル作成ウィザードを実行する場合
  • グループポリシー管理コンソールからグループポリシー結果ツールを実行する場合

ポリシーの管理にグループポリシー管理コンソールのみを使用している場合を除き、最も包括的なポリシーの結果セットを確実に取得するためには、Web StudioからCitrixグループポリシーモデル作成ウィザードを起動することをお勧めします。

ポリシーのトラブルシューティング

複数のポリシーで、適用先として同じ割り当て(ユーザーアカウントやクライアントのIPアドレスなど)を指定することも可能です。このシナリオでは、ポリシーの設定が別のポリシーの設定と競合すると、ポリシーが意図したとおりに適用されない可能性があります。最終的に適用されるポリシーを確認するためにCitrixグループポリシーモデル作成ウィザードやグループポリシーの結果ウィザードを使用する場合、ユーザー接続にいずれのポリシーも適用されないことが判明することがあります。このようなシナリオでは、ポリシー評価基準に合致する条件でアプリケーションおよびデスクトップに接続するユーザーに、ポリシー設定が適用されません。この状況は、次の場合に発生します:

  • 割り当て条件に合致するポリシーがない場合。
  • 割り当て条件に合致したポリシーに設定項目が追加されていない場合。
  • 割り当て条件に合致したポリシーが無効になっている場合。

指定した条件の接続にポリシーが適用されるようにするには、以下の内容を確認します。

  • そのポリシーが有効になっている。
  • そのポリシーに追加した設定項目の内容が適切である。
ポリシーの比較、優先度、およびトラブルシューティング