Citrix Virtual Apps and Desktops

ポリシーの作成

注意:

Web Studio(Webベース)とCitrix Studio(Windowsベース)の2つの管理コンソールを使用して、Citrix Virtual Apps and Desktopsの展開を管理できます。 この記事ではWeb Studioのみを扱います。 Citrix Studioについて詳しくは、Citrix Virtual Apps and Desktops 7 2212以前の同様の記事を参照してください。

ポリシーを作成する前に、そのポリシーが適用される可能性があるユーザーまたはデバイスのグループを決定します。 ユーザーの担当業務、接続の種類、ユーザーデバイス、または作業場所に応じたポリシーを作成できます。 また、WindowsのActive Directoryのグループポリシーと同じ基準を使用できます。

グループに適用するポリシーを作成済みの場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。 ポリシーを編集した後、適切な設定を構成します。 特定の設定内容を変更するため、または特定のユーザーを適用対象から除外するためだけにポリシーを作成することは避けてください。

既存のポリシーテンプレートを基にポリシーを作成し、必要に応じて設定項目をカスタマイズできます。 テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。

Web Studioでは、新しいポリシーを作成すると、[ポリシーの有効化] チェックボックスが明示的にオンになっていない限り[無効]に設定されます。

ポリシーの作成時および設定の構成時に、システムによって設定の種類を表示するオプションが提供されます。 表示できる設定の種類は以下のとおりです:

  • すべての設定 - すべてのVDAバージョンに適用できるすべての設定を表示します
  • 現在の設定のみ - 現在のVDAバージョン固有の設定を表示します
  • 従来の設定のみ - 廃止されたVDAバージョンにのみ適用できる設定を表示します

設定の構成中に設定を表示するには、以下の手順に従います:

  1. Web Studioにサインインし、左側のペインで [ポリシー] をクリックします。
  2. [ポリシー] タブで、[ポリシーの作成] をクリックします。
  3. [設定の選択] テーブルで、[設定] の横にあるドロップダウンをクリックします。
  4. ドロップダウンから次のいずれかのオプションを選択します:
  • すべての設定 - すべてのVDAバージョンのすべての設定を表示します
  • 現在の設定のみ - 現在のVDAバージョンのみの設定を表示します
  • 従来の設定のみ - 廃止されたVDAバージョンのみの設定を表示します
  1. [設定] テーブルには、前の手順に基づいて使用可能な設定がリストされます。

ポリシー設定

ポリシーを設定するには、適用するポリシー設定を選択して値を構成します。 デフォルトでは、ポリシーに追加されている設定項目はありません。 設定を適用するには、ポリシーに追加する必要があります。

ポリシー設定が強化され、依存するポリシー間の明確化が図られています。 この機能により、子ポリシー設定が有効になるように、最初に親ポリシーが構成されるようになります。

ポリシー設定を構成するには、以下の手順を実行します:

  1. [ポリシーの作成]ページの[設定項目の選択]で、「全体」を検索します。 [セッション全体の最大帯域幅]に関連するすべてのポリシー(親と子)が一覧表示されます。
  2. 子ポリシーにマウスを移動すると、ツールヒントに、[セッション全体の最大帯域幅]の親ポリシーが構成されるまで子ポリシーを構成できないことが示されます。
  3. 親ポリシー設定を構成し、次に子ポリシー設定を構成して、[保存]をクリックします。
  4. [設定]列と[現在の値]列には、ポリシーの作成/編集テーブルで構成された値が表示されます。 この表には、構成された設定を変更するための[編集]オプションが表示されています。

依存ポリシー設定

注意:パターンに基づいてマッチングを実行したり、あるタイプのテキストフォーマットを別のタイプに変換したりするには、

  • 親ポリシーが設定されるまで、子ポリシーを選択することはできません。
  • 親ポリシーのチェックが外されている場合、関連付けられている子ポリシーもチェックが外されるか選択解除されることを通知するポップアップメッセージが表示されます。

次の表は、親ポリシーと、それに対応する依存ポリシーまたは子ポリシーの一覧です。

親ポリシー 依存する子ポリシー
セッション全体の最大帯域幅







オーディオリダイレクトの最大帯域幅(%)
クリップボードリダイレクトの最大帯域幅(%)
COMポートリダイレクトの最大帯域幅(%)
ファイルリダイレクトの最大帯域幅(%)
HDX MediaStreamマルチメディアアクセラレーションの最大帯域幅(%)
LPTポートリダイレクトの最大帯域幅(%)
プリンターリダイレクトの最大帯域幅(%)
USBデバイスリダイレクトの最大帯域幅(%)
TWAINデバイスリダイレクトの最大帯域幅(%)
コンテンツの双方向リダイレクトを許可する
クライアントへのリダイレクトを許可するURL
VDAへのリダイレクトを許可するURL
CPU使用率 CPU使用率から除外するプロセスの優先順位
従来のグラフィックモード プログレッシブ圧縮のレベル
セッション ウォーターマークを有効化

ウォーターマークのカスタムテキスト
セッションウォーターマークスタイル
ウォーターマークの透明度
HDXアダプティブトランスポート オーディオの損失耐性モード

ポリシーのいくつかの設定では、次のオプションを指定します。

  • [許可]または[禁止]を選択して、その設定項目により制御されるアクションを許可または禁止します。 これらのアクションには、セッション内でのユーザーによる管理を許可したり禁止したりできるものがあります。 たとえば、メニューをアニメーション化する設定で[許可]を選択した場合、ユーザーがクライアント環境内でメニューのアニメーション化を制御できるようになります。
  • [有効]または[無効]を選択して、その設定項目の機能を有効または無効にします。 ここで無効にすると、より優先度の低いポリシーで[有効]を選択しても、その設定は有効になりません。

また、一部の設定は、それに依存する設定の効果を制御します。 たとえば、[クライアントドライブのリダイレクト]設定により、クライアントデバイス側のドライブへのアクセスが制御されます。 この設定と [クライアントネットワークドライブ] 設定の両方がポリシーに追加され、ユーザーのネットワークドライブへのアクセスが許可されている必要があります。 この場合、[クライアントドライブのリダイレクト] 設定で[禁止]を選択すると、[クライアントネットワークドライブ] 設定で[許可]を選択しても、ユーザーがネットワークドライブにアクセスできなくなります。

通常、マシンの動作を制御するポリシー設定に対する変更内容は、仮想デスクトップが再起動したときまたはユーザーがログオンしたときに適用されます。 また、ユーザーの機能を制御する設定項目は、そのユーザーの次回ログオン時に適用されます。 Active Directory環境では、ポリシーが90分間隔で再評価されるときに、ポリシー設定が更新されます。 また、ポリシー設定は、仮想デスクトップの再起動時、またはユーザーのログオン時に適用されます。

一部の設定項目では、ポリシーに追加するときに値を入力または選択します。 [デフォルト値を使用する]チェックボックスをオンにすると、設定の構成を制限できます。 この選択によって設定の構成が無効になり、ポリシーが適用されると、設定項目のデフォルト値しか使用できなくなります。 [デフォルト値を使用する]をオンにする前に入力した値は無視されます。

セキュアなデフォルト設定が有効になっている場合、VDAのインストール中に、ポリシー設定の優先順位は次のように影響を受けます:

  • カスタマイズされた設定が最優先されます
  • セキュアなデフォルト設定が2番目に優先されます
  • デフォルト設定の優先順位が最も低くなります

ポリシーのセキュアなデフォルト設定を確認するには、以下の手順を実行します:

  1. Web Studioにログインします。
  2. 左側のナビゲーションで [ポリシー] をクリックします。
  3. [ポリシー] タブで、[ポリシーの作成] をクリックします。
  4. [設定項目の選択]テーブルで、現在の値として[許可]が設定されている設定にマウスを移動すると、[セキュアなデフォルト値は禁止です]が表示されます。

    セキュアなデフォルト設定

ベストプラクティス:

  • ポリシーの適用先として、個々のユーザーアカウントではなくグループアカウントを使用します。 ポリシーの対象ユーザーを個々に追加したり削除したりするよりも、そのユーザーがグループアカウントに属しているかどうかで管理した方が効率的です。
  • Windowsのリモートデスクトップセッションホストの構成ツールと重複または競合する設定を使用しないでください。 リモートデスクトップセッションホストの構成ツールとCitrixポリシーで、同様の機能に対して異なる動作が設定されていると、予期せぬ問題が生じる場合があります。 設定の有効/無効をできる限り統一しておくと、問題解決が容易になります。
  • 使用しないポリシーは無効にしておきます。 ポリシーに設定を追加しない場合でも、そのポリシーにより不要な処理が行われます。

ポリシーの割り当て

ポリシーを作成するときに、特定のユーザーとマシンオブジェクトにポリシーを割り当てます。 そのポリシーは、特定の基準または規則に従って接続に適用されます。 通常、1つのポリシーに複数の割り当てを指定して、複数の条件を組み合わせることができます。

割り当てを指定しない場合、または指定しても無効にしている場合、そのポリシーはすべての接続に適用されます。

注意:

ポリシーの割り当ては、ポリシーフィルターとも呼ばれます。 詳しくは、次のトピックを参照してください:

次の表は、使用可能な割り当ての一覧です。

割り当て名 ポリシーの適用対象
アクセス制御 セッションに接続するときのアクセス制御条件。 接続の種類 - 接続がNetScaler Gateway経由かどうかを指定します。 NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前を指定します。 アクセス条件 - 使用するエンドポイント解析ポリシーまたはセッションポリシーの名前を入力します。
NetScaler SD-WAN ユーザーセッションでNetScaler SD-WANが使用されているかどうか。 注: ポリシーに追加できるNetScaler SD-WAN割り当ては1つのみです。
クライアントIPアドレス





クライアントが接続しているIPアドレス。これは、クライアントがセッションに接続する方法によって異なります:
  • 直接内部ネットワーク接続:IPアドレスはクライアントのプライベートIPアドレスになります。
  • NetScalerGateway接続:IPアドレスはNetScalerのサブネットIPアドレスになります。
  • ゲートウェイサービス接続。
  • Rendezvousが無効になっている場合、IPアドレスはCloud ConnectorのIPアドレスの1つになります。
  • Rendezvousが有効な場合、IPアドレスはゲートウェイサービスのパブリックIPアドレスになります。
    IPv4の場合:12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24; IPv6の場合: 2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54
  • クライアント名 ユーザーデバイスの名前。 完全一致の場合、ClientABCName。 ワイルドカード文字を使用する場合、Client*Name。
    デリバリーグループ 所属するデリバリーグループ。
    デリバリー グループの種類 実行されるデスクトップまたはアプリケーションの種類。プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーションから選択します。 注: プライベートデスクトップと共有デスクトップのフィルターオプションは、Citrix Virtual Apps and Desktops 7.xでのみ使用できます。 詳しくは、CTX219153を参照してください。
    組織単位(OU) 組織単位。
    タグ タグ。 注: このポリシーをすべてのタグ付きマシンに適用します。 アプリケーションタグは含まれていません。
    ユーザーまたはグループ ユーザー名またはグループ名。

    ユーザーがログオンするときに、その接続の条件に一致するすべてのポリシーが検出されます。 検出されたポリシーは優先度順に処理されます。このとき、ポリシー間で重複している設定がある場合は、 最も優先度の高いポリシーの内容が適用されます。 たとえば、優先度の高いポリシーの設定で[無効]が選択されている場合、優先度の低いポリシーの同じ設定で[有効]が選択されていても、その設定には[無効]が適用されます。 構成されていないポリシー設定は無視されます。

    重要:

    グループポリシー管理コンソールを使ってActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当ておよび設定が意図したとおりに適用されない場合があります。 詳しくは、CTX127461を参照してください。

    クライアントIPポリシーフィルターが常にクライアントのプライベートIPアドレスを使用するように設定するには、セッションホストで次のレジストリ設定を構成します:

    • キー:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Ica\GroupPolicy
    • 値の種類:DWORD
    • 値の名前:UseClientDeviceIpForPolicyFilter
    • 値のデータ:1

    「Unfiltered」という名前のポリシーはデフォルトで提供されています。

    • Web Studioを使用してCitrixポリシーを管理する場合は、Unfilteredポリシーに追加する設定がそのサイトのすべてのサーバー、仮想デスクトップ、および接続に適用されます。
    • ローカルグループポリシーエディターを使用してCitrixポリシーを管理する場合は、すべてのサイトおよび接続にUnfilteredポリシーの設定が適用されます。 このサイトと接続は、ポリシーを含むグループポリシーオブジェクト(GPO)のスコープ内にある必要があります。 たとえば、営業部署の組織単位に大阪支社のすべての営業メンバーを含んでいるSales-OSKというGPOがある場合に、 いくつかのユーザーポリシー設定を追加したUnfilteredポリシーをSales-OSKに設定します。 ここで大阪支社の営業部長がサイトにログオンすると、Unfilteredポリシーのすべての設定が自動的にセッションに適用されます。 この構成は、ユーザーがSales-OSK GPOのメンバーであるためです。

    割り当ての[モード]によっても、そのポリシーの適用先が異なります。 割り当てのモードとして[許可](デフォルト)が設定されている場合、その割り当て条件にマッチした接続にのみポリシーが適用されます。 割り当てのモードとして[拒否]が設定されている場合、その割り当て条件にマッチしない接続にのみポリシーが適用されます。 以下の例では、複数の割り当てを追加したCitrixポリシーで、割り当てのモードがどのように適用されるかについて説明します。

    • 例:同じ種類の割り当てでモードが異なる場合 - ポリシーに同じ種類の割り当てを2つ追加し、一方を[許可]にしてもう一方を[拒否]にした場合、[拒否]を設定した割り当てが優先されます。 次に例を示します:

      Policy 1に以下の割り当てを追加します:

      • Assignment Aは営業部署のグループアカウントに適用されます。 [許可] を設定します。
      • Assignment Bは営業部長のアカウントに適用されます。 [拒否] を設定します。

      ここで営業部長がログオンした場合、営業部長が営業部署のグループアカウントに属していても、Assignment Bが[拒否]モードなのでこのPolicy 1は適用されません。

    • 例: 異なる種類の割り当てでモードが同じ場合 - ポリシーに異なる種類の複数の割り当てを追加し、すべての割り当てに[許可]を設定した場合、すべての種類の割り当てに一致しないとポリシーは適用されません。 次に例を示します:

      Policy 2に以下の割り当てを追加します:

      • Assignment Cは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てです。 [許可] を設定します。
      • Assignment Dは10.8.169.*(企業ネットワーク)を指定するクライアントIPアドレス割り当てです。 [許可] を設定します。

      ここで営業部長が社内のオフィスからログオンした場合、上記2つの割り当てに合致するので、このPolicy 2が適用されます。

      Policy 3に以下の割り当てを追加します:

      • Assignment Eは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てです。 [許可] を設定します。
      • Assignment Fは特定のNetScaler Gateway接続に適用される[アクセス制御]割り当てです。 [許可] を設定します。

      ここで営業部長が社内のオフィスからログオンした場合、Assignment Fに合致しないので、このPolicy 3は適用されません。

    Web Studioでテンプレートからポリシーを作成する

    1. Web Studioにサインインし、左側のペインで [ポリシー] をクリックします。

    2. [テンプレート] タブを選択し、テンプレートを選択します。

    3. 操作バーの [テンプレートからのポリシーの作成] を選択します。

    4. デフォルトでは、新しいポリシーはテンプレートのすべてのデフォルト設定を使用します。 この場合、[テンプレートのデフォルトの設定項目(推奨)] がオンになっています。 設定項目を変更する場合は、[デフォルトの設定項目を変更および追加する] をクリックして、必要に応じて設定項目を追加または削除します。

    5. ポリシーの割り当て先として、以下のいずれかを選択します。

      • 選択したユーザーおよびマシンオブジェクト。 選択したユーザーおよびマシンオブジェクトにポリシーを適用するには、[割り当て]をクリックしてポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
      • サイト内のすべてのオブジェクト。 サイト内のすべてのユーザーやマシンオブジェクトにこのポリシーが適用されます。
    6. ポリシーの名前を入力します。 経理部やリモートユーザーなど、ポリシーの適用対象に基づいて名前を付けると便利です。 また、必要に応じて説明を入力します。

      ポリシーはデフォルトで無効になりますが、有効にすることもできます。 ポリシーを作成して有効にすると、新たにログオンするユーザーに直ちに適用されます。既存のセッションには適用されません。 無効にしたポリシーは適用されません。 作成済みのポリシーに優先度を設定したり、設定項目を追加したりする必要がある場合は、そのポリシーを一時的に無効にすることを検討してください。

    Web Studioでポリシーを作成する

    1. Web Studioにサインインし、左側のペインで [ポリシー] をクリックします。

    2. [ポリシー] タブをクリックします。

    3. 操作バーの [ポリシーの作成] を選択します。

    4. 必要な設定項目を追加して構成します。

    5. ポリシーの割り当て先として、以下のいずれかを選択します。

      • [選択したユーザーおよびマシンオブジェクト]をクリックして、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
      • [サイト内のすべてのオブジェクトに割り当てる]をクリックします。これにより、サイト内のすべてのユーザーやマシンオブジェクトにこのポリシーが適用されます。
    6. ポリシーの名前を入力します。またはデフォルトを使用します。 経理部やリモートユーザーなど、ポリシーの適用対象に基づいて名前を付けると便利です。 また、必要に応じて説明を入力します。

      新しいポリシーはデフォルトで有効になりますが、無効にすることもできます。 ポリシーを作成して有効にすると、新たにログオンするユーザーに直ちに適用されます。既存のセッションには適用されません。 無効にしたポリシーは適用されません。 作成済みのポリシーに優先度を設定したり、設定項目を追加したりする必要がある場合は、そのポリシーを一時的に無効にすることを検討してください。

    グループポリシーエディターでポリシーを作成および管理する

    グループポリシーエディターで、[コンピューターの構成]または[ユーザーの構成] を展開します。 [ポリシー] ノードを開き、[Citrixポリシー] を選択します。 適切な操作を行います:

    タスク 手順
    ポリシーを作成する [ポリシー] タブの [新規] をクリックします。
    既存のポリシーを編集する [ポリシー] タブでポリシーを選択して [編集] をクリックします。
    既存のポリシーの優先度を変更する [ポリシー] タブでポリシーを選択して [上げる] または [下げる] をクリックします。
    ポリシーの要約情報を表示する [ポリシー] タブでポリシーを選択して [情報] タブをクリックします。
    ポリシーの設定項目を表示して変更する [ポリシー] タブでポリシーを選択して [設定] タブをクリックします。
    ポリシーの割り当て先を表示して変更する [ポリシー] タブでポリシーを選択して [フィルター] タブをクリックします。 ポリシーに複数のフィルターを追加する場合、適用するポリシーですべてのフィルター条件が満たされている必要があります。
    ポリシーを有効または無効にする [ポリシー]タブでポリシーを選択して[操作]>[有効]または[操作]>[無効]の順に選択します。
    既存のテンプレートからポリシーを作成する [テンプレート] タブでテンプレートを選択して [新規ポリシー] をクリックします。
    ポリシーの作成