ポリシーの作成
ポリシーを作成する前に、そのポリシーの適用先となるユーザーまたはデバイスのグループを決定します。ユーザーの担当業務、接続の種類、ユーザーデバイス、または作業場所に応じてポリシーを適用できます。または、WindowsのActive Directoryのグループポリシーと同じ基準を使用できます。
グループに適用するポリシーを作成済みの場合は、別のポリシーを作成するのではなく、既存のポリシーの設定内容を編集することを検討してください。特定の設定内容を変更するため、または特定のユーザーを適用対象から除外するためだけに新しいポリシーを作成することは避けてください。
既存のポリシーテンプレートを基に新しいポリシーを作成し、必要に応じて設定項目をカスタマイズします。または、テンプレートを使用せずにポリシーを作成して、必要な設定項目を選択して構成します。
Citrix Studioでは、新しいポリシーを作成すると、[ポリシーの有効化]チェックボックスが明示的にオンになっていない限り[無効]に設定されます。
ポリシー設定(一般的な「設定」と区別するためにここでは「設定項目」という語を使用します)
ポリシーを設定するには、適用するポリシー設定を選択して値を構成します。デフォルトでは、ポリシーに追加されている設定項目はありません。設定を適用するには、ポリシーに追加する必要があります。
ポリシーのいくつかの設定では、次のオプションを指定します。
- [許可]または[禁止]を選択して、その設定項目により制御されるアクションを許可または禁止します。これらのアクションには、セッション内でのユーザーによる管理を許可したり禁止したりできるものがあります。たとえば、[メニューをアニメーション化する]設定で[許可]を選択した場合、ユーザーがクライアント環境内でメニューのアニメーション化を制御できるようになります。
- [有効]または[無効]を選択して、その設定項目の機能を有効または無効にします。ここで無効にすると、より優先度の低いポリシーで[有効]を選択しても、その設定は有効になりません。
また、一部の設定は、それに依存する設定の効果を制御します。たとえば、[クライアントドライブリダイレクト]設定により、クライアントデバイス側のドライブへのアクセスが制御されます。ユーザーがネットワークドライブにアクセスできるようにするには、この設定と [クライアントネットワークドライブ] 設定の両方で[許可]が選択されている必要があります。この場合、[クライアントドライブのリダイレクト]設定で[禁止]を選択すると、[クライアントネットワークドライブ]設定で[許可]を選択しても、ユーザーがネットワークドライブにアクセスできなくなります。
通常、マシンの動作を制御するポリシー設定に対する変更内容は、仮想デスクトップが再起動したときまたはユーザーがログオンしたときに適用されます。また、ユーザーの機能を制御する設定項目は、そのユーザーの次回ログオン時に適用されます。Active Directory環境では、ポリシーが90分間隔で再評価され、仮想デスクトップが再起動したときまたはユーザーがログオンしたときに適用されます。
一部の設定項目では、ポリシーに追加するときに値を入力または選択します。[デフォルト値を使用する]チェックボックスをオンにすると、設定の構成を制限できます。これによって設定の構成が無効になり、ポリシーが適用されるとその前に入力された値が無視され、設定項目のデフォルト値しか使用できなくなります。
ベストプラクティス:
- ポリシーの適用先として、個々のユーザーアカウントではなくグループアカウントを使用します。ポリシーの対象ユーザーを個々に追加したり削除したりするよりも、そのユーザーがグループアカウントに属しているかどうかで管理した方が効率的です。
- Windowsのリモートデスクトップセッションホストの構成ツールと重複または競合する設定を使用しないでください。リモートデスクトップセッションホストの構成ツールとCitrixポリシーで、同様の機能に対して異なる動作が設定されていると、予期せぬ問題が生じる場合があります。設定の有効/無効をできる限り統一しておくと、問題解決が容易になります。
- 使用しないポリシーは無効にしておきます。ポリシーに設定を追加しない場合でも、そのポリシーにより不要な処理が行われます。
ポリシーの割り当て
ポリシーを作成したら、それを特定のユーザーやマシンオブジェクトに割り当てます。これにより、設定した条件や規則に基づいてポリシーが接続に適用されます。通常、1つのポリシーに複数の割り当てを指定して、複数の条件を組み合わせることができます。割り当てを指定しない場合、そのポリシーはすべての接続に適用されます。
次の表は、使用可能な割り当ての一覧です。
| 割り当て名 | ポリシーの適用対象 |
|---|---|
| アクセス制御 | セッションに接続するときのアクセス制御条件。接続の種類 - 接続がNetScaler Gateway経由かどうかを指定します。NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前を指定します。アクセス条件 - 使用するエンドポイント解析ポリシーまたはセッションポリシーの名前を入力します。 |
| NetScaler SD-WAN | ユーザーセッションでNetScaler SD-WANが使用されているかどうか。注:ポリシーに追加できるNetScaler SD-WAN割り当ては1つのみです。 |
| クライアントIPアドレス | セッションに接続するクライアントデバイスのIPアドレス。IPv4の場合は12.0.0.0、12.0.0.*、12.0.0.1-12.0.0.70、12.0.0.1/24など。IPv6の場合は、2001:0db8:3c4d:0015:0:0:abcd:ef12、2001:0db8:3c4d:0015::/54など。 |
| クライアント名 | ユーザーデバイスの名前。完全一致の場合、ClientABCName。ワイルドカード文字を使用する場合、Client*Name。 |
| デリバリーグループ | 所属するデリバリーグループ。 |
| デリバリーグループの種類 | 実行されるデスクトップまたはアプリケーションの種類。プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーションから選択します。注: プライベートデスクトップと共有デスクトップのフィルターオプションは、Citrix Virtual Apps and Desktops 7.xでのみ使用できます。詳しくは、「CTX219153」を参照してください。 |
| 組織単位(OU) | 組織単位。 |
| タグ | マシンのタグ。注: このポリシーをすべてのタグ付きマシンに適用します。アプリケーションタグは含まれていません。 |
| ユーザーまたはグループ | ユーザー名またはグループ名。 |
ユーザーがログオンするときに、その接続の条件に一致するすべてのポリシーが検出されます。検出されたポリシーは優先度順に処理されます。このとき、ポリシー間で重複している設定がある場合は、最も優先度の高いポリシーの内容が適用されます。たとえば、優先度の高いポリシーの設定で[無効]が選択されている場合、優先度の低いポリシーの同じ設定で[有効]が選択されていても、その設定には[無効]が適用されます。構成されていないポリシー設定は無視されます。
重要:
グループポリシー管理コンソールを使ってActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当ておよび設定が意図したとおりに適用されない場合があります。詳しくは、「CTX127461」を参照してください。
「Unfiltered」という名前のポリシーはデフォルトで提供されています。
- Studioを使用してCitrixポリシーを管理する場合は、Unfilteredポリシーに追加する設定がそのサイトのすべてのサーバー、仮想デスクトップ、および接続に適用されます。
- ローカルグループポリシーエディターを使用してCitrixポリシーを管理する場合は、そのポリシーのグループポリシーオブジェクト(GPO)スコープに属するすべてのサイトおよび接続にUnfilteredポリシーの設定が適用されます。たとえば、営業部署の組織単位に大阪支社のすべての営業メンバーを含んでいるSales-OSKというGPOがある場合に、いくつかのユーザーポリシー設定を追加したUnfilteredポリシーをSales-OSKに設定します。ここで大阪支社の営業部長がサイトにログオンすると、この部長はSales-OSK GPOのメンバーなので、Unfilteredポリシーのすべての設定がセッションに適用されます。
割り当ての[モード]によっても、そのポリシーの適用先が異なります。割り当てのモードとして[許可](デフォルト)が設定されている場合、その割り当て条件にマッチした接続にのみポリシーが適用されます。割り当てのモードとして[拒否]が設定されている場合、その割り当て条件にマッチしない接続にのみポリシーが適用されます。以下の例では、複数の割り当てを追加したCitrixポリシーで、割り当てのモードがどのように適用されるかについて説明します。
-
例:同じ種類の割り当てでモードが異なる場合 - ポリシーに同じ種類の割り当てを2つ追加し、一方を[許可]にしてもう一方を[拒否]にした場合、[拒否]を設定した割り当てが優先されます。たとえば、次のようになります:
Policy 1に以下の割り当てを追加します:
- Assignment Aは営業部署のグループアカウントに適用される割り当てで、[許可]を設定します。
- Assignment Bは営業部長のアカウントに適用される割り当てで、[拒否]を設定します。
ここで営業部長がログオンした場合、営業部長が営業部署のグループアカウントに属していても、Assignment Bが[拒否]モードなのでこのPolicy 1は適用されません。
-
例: 異なる種類の割り当てでモードが同じ場合 - ポリシーに異なる種類の複数の割り当てを追加し、すべての割り当てに[許可]を設定した場合、すべての種類の割り当てに一致しないとポリシーは適用されません。たとえば、次のようになります:
Policy 2に以下の割り当てを追加します:
- Assignment Cは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てで、[許可]を設定します。
- Assignment Dは10.8.169.*(企業ネットワーク)を指定するクライアントIPアドレス割り当て です。モードは[許可]に設定されます。
ここで営業部長が社内のオフィスからログオンした場合、上記2つの割り当てに合致するので、このPolicy 2が適用されます。
Policy 3に以下の割り当てを追加します:
- Assignment Eは営業部署のグループアカウントに適用される[ユーザーまたはグループ]割り当てで、[許可]を設定します。
- Assignment Fは特定のNetScaler Gateway接続に適用される[アクセス制御]割り当てで、[許可]を設定します。
ここで営業部長が社内のオフィスからログオンした場合、Assignment Fに合致しないので、このPolicy 3は適用されません。
Studioでテンプレートから新しいポリシーを作成する
-
Studioのナビゲーションペインで [ポリシー] を選択します。
-
[テンプレート]タブを選択し、テンプレートを選択します。
-
[操作]ペインの[テンプレートからのポリシーの作成]を選択します。
-
デフォルトでは、テンプレートで指定されているすべての設定項目が新しいポリシーに追加されます([テンプレートのデフォルトの設定項目]が有効)。設定項目を変更する場合は、[デフォルトの設定項目を変更および追加する]をクリックして、必要に応じて設定項目を追加または削除します。
-
ポリシーの割り当て先として、以下のいずれかを選択します。
- [選択したユーザーおよびマシンオブジェクト]をクリックして、ポリシーを適用するユーザーおよびマシンオブジェクトを選択します。
- [サイト内のすべてのオブジェクトに割り当てる]をクリックします。これにより、サイト内のすべてのユーザーやマシンオブジェクトにこのポリシーが適用されます。
-
「新しいポリシーの名前を入力するか、デフォルトの名前を使用します。経理部」や「リモートユーザー」など、ポリシーの適用対象に基づいて名前を付けると便利です。また、必要に応じて説明を入力します。
新しいポリシーはデフォルトで有効になりますが、無効にすることもできます。ポリシーを作成して有効にすると、新たにログオンするユーザーに直ちに適用されます。既存のセッションには適用されません。無効にしたポリシーは適用されません。作成済みのポリシーに優先度を設定したり、設定項目を追加したりするときは、そのポリシーを一時的に無効にすることを検討してください。
Studioで新しいポリシーを作成する
-
Studioのナビゲーションペインで [ポリシー] を選択します。
-
[ポリシー]タブをクリックします。
-
[操作]ペインの[ポリシーの作成]を選択します。
-
必要な設定項目を追加して構成します。
-
ポリシーの割り当て先として、以下のいずれかを選択します。
- [選択したユーザーおよびマシンオブジェクト]をクリックして、ポリシーを適用するユーザーおよびマシンオブジェクトを選択します。
- [サイト内のすべてのオブジェクトに割り当てる]をクリックします。これにより、サイト内のすべてのユーザーやマシンオブジェクトにこのポリシーが適用されます。
-
「新しいポリシーの名前を入力するか、デフォルトの名前を使用します。経理部」や「リモートユーザー」など、ポリシーの適用対象に基づいて名前を付けると便利です。また、必要に応じて説明を入力します。
新しいポリシーはデフォルトで有効になりますが、無効にすることもできます。ポリシーを作成して有効にすると、新たにログオンするユーザーに直ちに適用されます。既存のセッションには適用されません。無効にしたポリシーは適用されません。作成済みのポリシーに優先度を設定したり、設定項目を追加したりするときは、そのポリシーを一時的に無効にすることを検討してください。
グループポリシーエディターでポリシーを作成および管理する
グループポリシーエディターの [コンピューターの構成]または[ユーザーの構成] を開きます。[ポリシー] ノードを開き、[Citrixポリシー] を選択します。以下の操作を行います。
| タスク | 手順 |
|---|---|
| 新しいポリシーの作成 | [ポリシー] タブの [新規] をクリックします。 |
| 既存のポリシーを編集する | [ポリシー] タブでポリシーを選択して [編集] をクリックします。 |
| 既存のポリシーの優先度を変更する | [ポリシー] タブでポリシーを選択して [上げる] または [下げる] をクリックします。 |
| ポリシーの要約情報を表示する | [ポリシー] タブでポリシーを選択して [情報] タブをクリックします。 |
| ポリシーの設定項目を表示して変更する | [ポリシー] タブでポリシーを選択して [設定] タブをクリックします。 |
| ポリシーの割り当て先を表示して変更する | [ポリシー] タブでポリシーを選択して [フィルター] タブをクリックします。ポリシーに複数のフィルターを追加する場合、適用するポリシーですべてのフィルター条件が満たされている必要があります。 |
| ポリシーを有効または無効にする | [ポリシー] タブでポリシーを選択して [操作]>[有効] または [操作]>[無効] の順に選択します。 |
| 既存のテンプレートから新しいポリシーを作成する | [テンプレート] タブでテンプレートを選択して [新規ポリシー] をクリックします。 |