サービス継続性

サービス継続性により、接続プロセスに関与するコンポーネントの可用性に依存することがなくなる、または最小限に抑えられます。ユーザーは、クラウドのサービス稼働状況に関係なく、Citrix DaaSのアプリと仮想デスクトップを起動できます。

サービス継続性により、ユーザーデバイスがリソースの場所へのネットワーク接続を維持している限り、ユーザーは停止中にDaaSのアプリとデスクトップに接続できます。ユーザーは、Citrix Cloudコンポーネント、またはパブリッククラウドとプライベートクラウドの停止中にDaaSのアプリとデスクトップに接続できます。ユーザーは、リソースの場所に直接接続するか、Citrix Gatewayサービスを介して接続できます。

サービス継続性は、Progressive Web Appsサービスワーカーテクノロジを使用してユーザーインターフェイスにリソースをキャッシュすることにより、停止中に公開リソースの視覚的表示を改善します。

サービス継続性は、Workspace接続リースを使用して、ユーザーが停止中にアプリやデスクトップにアクセスできるようにします。Workspace接続リースは、長期間有効な認証トークンです。Workspace接続リースファイルは、ユーザーデバイスに安全にキャッシュされます。ユーザーがCitrix Workspaceにサインインすると、Workspace接続リースファイルは、ユーザーに公開された各リソースのユーザープロファイルに保存されます。サービス継続性により、ユーザーは、以前にアプリやデスクトップを起動したことがない場合でも、停止中にアプリやデスクトップにアクセスできます。Workspace接続リースファイルは署名および暗号化されており、ユーザーとユーザーデバイスに関連付けられています。サービス継続性が有効になっている場合、Workspace接続リースにより、ユーザーはデフォルトで7日間アプリとデスクトップにアクセスできます。最大30日間のアクセスを許可するようにWorkspace接続リースを構成できます。

ユーザーがCitrix Workspaceアプリを終了すると、Citrix Workspaceアプリは閉じますが、Workspace接続リースは保持されます。ユーザーは、システムトレイのアイコンを右クリックするか、ユーザーデバイスを再起動して、Citrix Workspaceアプリを終了します。停止中にユーザーがCitrix Workspaceからサインアウトしたときに、Workspace接続リースを削除または保持するように、サービス継続性を構成できます。デフォルトでは、ユーザーが停止中にサインアウトすると、Workspace接続リースはユーザーデバイスから削除されます。

Citrix Workspaceアプリが仮想デスクトップにインストールされている場合、ダブルホップシナリオでサービスの継続性がサポートされています。

サービス継続性など、Citrix Cloudの回復性機能に関する詳細な技術記事については、「Citrix Cloudの回復性」を参照してください。

注:

Citrix DaaSの「接続リース」と呼ばれる廃止済みの機能は、停止時の接続の回復性を向上させるという点で、Workspace接続リースに似ています。それ以外の点では、この廃止済み機能はサービス継続性とは無関係です。

ユーザーデバイスのセットアップ

停止中にリソースにアクセスするには、停止が発生する前にユーザーがCitrix Workspaceにサインインする必要があります。サービス継続性を有効にする場合、ユーザーはデバイスで次の手順を実行する必要があります:

  1. サポートされているバージョンのCitrix Workspaceアプリをダウンロードしてインストールします。

  2. 組織のWorkspace URLをCitrix Workspaceアプリに追加します(例:https://example.cloud.com)。

  3. Citrix Workspaceにサインインします。

ユーザーがCitrix Workspaceに初めてサインインすると、サービス継続性により、Workspace接続リースがユーザーデバイスにダウンロードされます。

Workspace接続リースのダウンロードには、初回サインインに最大で15分かかることがあります。ユーザーは、ダウンロード期間中、公開リソースを引き続き起動できます。

停止中のユーザーエクスペリエンス

サービス継続性が有効になっている場合、停止中のユーザーエクスペリエンスは次の条件によって異なります:

  • 停止のタイプ
  • Citrix Workspaceアプリがドメインパススルー認証で構成されているかどうか
  • ユーザーが接続するアプリまたはデスクトップで、セッション共有が有効になっているかどうか

一部の停止では、ユーザーはユーザーエクスペリエンスを変更せずに、DaaSにアクセスし続けます。その他の停止の場合、ユーザーはWorkspaceの表示方法に変化が見られるか、何らかの操作を実行するように求められることがあります。

この表は、さまざまな種類の停止時にユーザーがアプリやデスクトップにアクセスするのに、サービス継続性がどのように役立つかをまとめたものです。

停止が発生する場所 サービス継続性によるユーザーアクセスの維持方法 停止中のユーザーエクスペリエンス
Citrix Workspaceサービス Citrix Workspaceアプリは、ユーザーデバイスのローカルキャッシュに基づいてアプリとデスクトップを列挙します。 使用できないアプリやデスクトップのアイコンは選択不可の状態になります。ユーザーは、アイコンが選択不可になっていないアプリやデスクトップに引き続きアクセスできます。選択不可になっていないアイコンをクリックした後、ユーザーはVDAで資格情報を再入力するように求められることがあります。すべてのアプリとデスクトップへのアクセスを回復するには、ユーザーは[Workspaceに再接続]リンクをクリックすることで、Workspaceへの接続を試してみることができます。
IDプロバイダー Citrix Workspaceアプリは、ユーザーデバイスのローカルキャッシュに基づいてアプリとデスクトップを列挙します。 ユーザーはWorkspaceにサインインできない場合があります。ユーザーは、[Workspaceをオフラインで使用する]リンクをクリックして、Workspaceサービスの停止と同じ操作で一部のアプリとデスクトップにアクセスします。
Citrix Cloud Broker Service Cloud Connectorの高可用性サービスが仲介を引き継ぎます。Cloud Broker Serviceに登録されたすべてのVDAは、高可用性サービスに登録されます。 一部のユーザーは、VDAが高可用性サービスに登録している間は、仮想リソースにアクセスできない場合があります。既存のセッションは影響を受けません。ユーザーの操作は必要ありません。
Secure Ticket Authority Workspace接続リースは、ICAファイルがアクセスできない場合に、仮想リソースへのアクセスを提供します。 セッションの起動には数秒かかる場合があります。ユーザーの操作は必要ありません。
Citrix Gatewayサービス ネットワークトラフィックは、最も近い正常なCitrix Gatewayサービスのポイントオブプレゼンス(POP)にフェイルオーバーします。 既存のセッションは、再接続するのに数秒かかる場合があります。ユーザーの操作は必要ありません。
LAN上のインターネット接続 Citrix Workspaceアプリは、ユーザーデバイスのローカルキャッシュに基づいてアプリとデスクトップを列挙します。ユーザーがリソースの場所に直接ネットワーク接続している場合、選択不可になっていないアイコンをユーザーがクリックすると、Citrix WorkspaceアプリはCitrix Gatewayサービスをバイパスします。Citrix Workspaceアプリは、TCP 2598を介してCloud Connectorに接続し、TCP 2598またはUDP 2598を介してVDAに接続します。 使用できないアプリやデスクトップのアイコンは選択不可の状態になります。ユーザーは、アイコンが選択不可になっていないアプリやデスクトップに引き続きアクセスできます。選択不可になっていないアイコンをクリックした後、ユーザーはVDAで資格情報を再入力するように求められることがあります。すべてのアプリとデスクトップへのアクセスを回復するには、ユーザーは[Workspaceに再接続]リンクをクリックすることで、Workspaceへの接続を試してみることができます。

注:

非実稼働環境での停止時の検証については、『サービス継続性コンパニオンガイド』(英語)を参照してください。

Citrix Workspaceの停止中、ユーザーに対してはCitrix Workspaceホームページの上部に次のメッセージが表示されます:「一部のリソースに接続できません。一部の仮想アプリとデスクトップは引き続き使用できる場合があります。」ユーザーには、停止中に接続できるアプリとデスクトップが表示されます。アプリまたはデスクトップが利用できない場合、アイコンは選択不可になります。 サービス継続性の停止メッセージとアプリを表示するCitrix Workspaceアプリのホームページ

停止中に利用可能なリソースにアクセスするには、ユーザーは選択不可になっていないリソースアイコンを選択します。プロンプトが表示されたら、ユーザーはVDAでAD資格情報を再入力して、リソースにアクセスします。

ワークスペース認証のためのIDプロバイダーが停止している間は、ユーザーはWorkspaceサインインページからCitrix Workspaceにサインインできない場合があります。40秒後、このメッセージはCitrix Workspaceホームページの上部に表示されます。 Citrix Workspaceアプリのサインインページ

その後、Citrix Workspaceホームページが表示されます。次に、ユーザーはCitrix Workspaceの停止時と同じようにリソースにアクセスします。

停止のタイプに関係なく、ユーザーはCitrix Workspaceアプリを終了して再起動すると、引き続きリソースにアクセスできます。ユーザーは、リソースへのアクセスを失うことなく、ユーザーデバイスを再起動できます。

サービス継続性のデフォルト構成では、ユーザーはCitrix Workspaceからサインアウトするとリソースにアクセスできなくなります。サインアウト後もリソースへのアクセスを維持できるようにする場合は、ユーザーがサインアウトするときにWorkspace接続リースが維持されるように指定します。「サービス継続性を構成する」を参照してください。

Citrix WorkspaceアプリとVDAの構成方法によっては、停止中にユーザーはVDAから、Windowsログオンユーザーインターフェイスに資格情報を入力するよう求められる場合があります。このプロンプトが表示された場合、ユーザーはActive Directory(AD)資格情報またはスマートカードPINを入力して、アプリまたはデスクトップにアクセスします。この手順は、停止中にユーザー資格情報が渡されない場合に必要です。アプリまたはデスクトップにアクセスする前に、ユーザーはVDAに再認証する必要があります。

次の場合、ユーザーはAD資格情報を入力せずにリソースにアクセスできます:

  • Citrix Workspaceは、シングルサインオンボックスを選択することにより、インストール中にシングルサインオン用に構成されます。

    シングルサインオンチェックボックス

  • Citrix Workspaceアプリが、ドメインパススルー認証で構成されている。ユーザーは、資格情報を入力しなくても、Citrix Workspaceの停止中に利用可能なリソースにアクセスできます。Windows向けCitrix Workspaceアプリのドメインパススルー認証の構成については、「認証」ドキュメントにある「グラフィカルユーザーインターフェイスを使用したシングルサインオンの構成」を参照してください。

    停止中にVDAへのシングルサインオンを許可するために、StoreFrontは必要ありません。

  • セッション共有が有効になっている。ユーザーは、同じVDA上の1つのリソースの資格情報を提供した後、同じVDAでホストされているアプリまたはデスクトップにアクセスできます。セッション共有は、VDA上のリソースを含むアプリケーショングループに対して構成されます。アプリケーショングループの構成については、「アプリケーショングループの作成」を参照してください。

他のすべての構成では、ユーザーはリソースにアクセスする前にVDAでAD資格情報を再入力するよう求められます。

要件および制限事項

サイトの要件

  • Workspace Experienceを使用する場合、Citrix DaaSおよびCitrix DaaS Standard for Azureのすべてのエディションでサポートされます。

  • オンプレミスのVirtual Apps and Desktopsへのサイトアグリゲーションを使用したCitrix Workspaceでサポートされていません。

  • オンプレミスのCitrix GatewayがICAプロキシとして使用されている場合は、サポートされません(Workspace認証方法としてCitrix Gatewayを使用する場合は、サポートされます)。

ユーザーデバイスの要件

サポートされているCitrix Workspaceアプリの最小バージョン:

  • Windows向けCitrix Workspaceアプリ2106
  • Linux向けCitrix Workspaceアプリ2106
  • Mac向けCitrix Workspaceアプリ2106
  • Android向けCitrix Workspaceアプリ22.2.0
  • iOS向けCitrix Workspaceアプリ22.4.5
  • ChromeOS向けCitrix Workspaceアプリ2301

注:

サービス継続性のためのアプリのインストールなど、Linux向けCitrix Workspaceアプリのインストールに関する情報については、「Linux向けCitrix Workspaceアプリ」を参照してください。

  • ブラウザーを使用してアプリやデスクトップにアクセスするユーザーの場合:
    • Google ChromeまたはMicrosoft Edge。
    • Windows向けCitrix Workspaceアプリ2109以降。Google ChromeとMicrosoft Edgeでサポートされている。
    • Google Chromeで使用するには、Mac向けCitrix Workspaceアプリのバージョンが最低でも2112以降。
    • Safariブラウザーで使用するには、Mac向けCitrix Workspaceアプリのバージョンが最低でも2206以降。

    ブラウザーのサービス継続性」を参照してください。

  • デバイスごとに1人のユーザーのみがサポートされています。キオスクまたは「ホットデスク」ユーザーデバイスはサポートされていません。

サポートされているワークスペース認証方法

  • Active Directory
  • Active Directory+トークン
  • Azure Active Directory
  • Okta
  • Citrix Gateway(プライマリユーザーの要求はADからのものである必要があります)
  • SAML 2.0

認証の制限

  • Citrixフェデレーション認証サービス(FAS)を使用したシングルサインオンはサポートされていません。ユーザーは、VDAのWindowsログオンユーザーインターフェイスにAD資格情報を入力します。
  • VDAへのシングルサインオンはサポートされていません。
  • ローカルにマップされたアカウントはサポートされていません。
  • Azure ADに参加しているVDAはサポートされていません。すべてのVDAはADドメインに参加する必要があります。

Citrix Cloud Connectorのスケールとサイズ

  • 4 vCPU以上
  • 4GB以上のメモリ

Citrix Cloud Connector Powershellセキュリティ

実行ポリシーを環境に適したremotedSignedに設定して、スクリプトの実行が有効になっていることを確認します。 DefaultAllSignedなど、他のスクリプト実行権限も使用できます。

Citrix Cloud Connectorの接続

Citrix Cloud Connectorはhttps://rootoftrust.apps.cloud.comにアクセスできる必要があります。この接続を許可するようにファイアウォールを構成します。Cloud Connectorのファイアウォールについて詳しくは、「Cloud Connectorのプロキシとファイアウォールの構成」を参照してください。

Workspaceアプリのネットワーク接続

LANの外部からリソースの場所への接続を構成する場合、ユーザーデバイス上のWorkspaceアプリは、Citrix Gateway Service FQDN(https://*.g.nssvc.net)に到達できる必要があります。ユーザーデバイスがCitrix Gateway Serviceにいつでも接続できるように、ファイアウォールがhttps://global-s.g.nssvc.net:433への送信トラフィックを許可するように構成されていることを確認してください。

接続の最適化の制限

Advanced Endpoint Analysis(EPA)は、サポートされていません。

Enlightened Data Transport(EDT)は、停止中はサポートされません。

VDAの要件と制限

  • VDA 7.15 LTSR、または製品終了となっていない最新リリースはサポートされています。
  • Azure ADに参加しているVDAはサポートされていません。すべてのVDAはADドメインに参加する必要があります。
  • ユーザーが停止中にVDAリソースにアクセスするには、VDAがオンラインである必要があります。VDAが以下の停止の影響を受ける場合、VDAリソースは使用できません:
    • AWS
    • Azure
    • Cloud Delivery Controller(リソースを配信するデリバリーグループに対してAutoscaleが有効になっている場合を除く)。
  • 停止中にサポートされるVDAワークロード:
    • ホストされている共有アプリと共有デスクトップ
    • 電源管理を使用するランダムな非永続デスクトップ(プールされたVDIデスクトップ)
    • 静的な非永続デスクトップ
    • リモートPCアクセスなどの静的な永続デスクトップ

    注:

    初回使用時の割り当ては、停止中はサポートされません。Cloud ConnectorがCitrix Cloudとの接続を失った場合、デリバリーグループにReuseMachinesWithoutShutdownInOutageが構成されていない限り、電源管理を備えたランダムな非永続デスクトップはデフォルトで使用不可となります。詳しくは、「アプリケーションとデスクトップのサポート」を参照してください。

停止中に使用可能なVDA機能について詳しくは、「停止中のVDA管理」を参照してください。

ローカルキーボードマッピングの要件と制限

VDAでの再認証をユーザーに求めるWindowsログオンユーザーインターフェイスは、ローカルキーボード言語マッピングをサポートしていません。デバイスにローカルキーボード言語マッピングがある場合にユーザーが停止中に再認証できるようにするには、これらのユーザーが必要とするキーボードレイアウトを事前ロードします。

警告:

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

VDAイメージで次のレジストリキーを編集します:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

仮想デスクトップイメージ内の対応する言語パックをインストールする必要があります。

キーボード言語に関連付けられているキーボード識別子の一覧については、「Windows用のキーボード識別子と入力システム」を参照してください。

サービス継続性のためにリソースの場所のネットワーク接続を構成する

LANの内部、外部、またはその両方からの接続を受け入れるように、リソースの場所を構成できます。

LANの内部の接続を構成する

  1. Citrix Cloudメニューから、[Workspaceの構成]>[アクセス]の順に選択します。
  2. [接続の構成] を選択します。
  3. 接続タイプとして、[内部のみ]を選択します。
  4. [保存]をクリックします。

Common Gateway Protocol(CGP)TCPポート2598を介した接続を受け入れるように、Citrix Cloud ConnectorとVDAファイアウォールを構成します。この構成はデフォルト設定です。

LANの外部からの接続を構成する

  1. Citrix Cloudメニューから、[Workspaceの構成]>[アクセス]の順に選択します。
  2. [接続の構成] を選択します。
  3. 接続タイプとして、[Gatewayサービス]を選択します。
  4. [保存]をクリックします。

LANの外部と内部の両方からの接続を構成する

次のPowerShellコマンドを実行します:

Set-ConfigZone -InputObject (get-configzone -ExternalUid YourResourceLocationExternalUid) -EnableHybridConnectivityForResourceLeases $true

YourResourceLocationExternalUidをリソースの場所の外部UIDに置き換えます。

このコマンドを使用すると、停止中にTCP 2598を介してCitrix Cloud ConnectorのFQDN(完全修飾ドメイン名)に直接接続できます。その接続が失敗した場合、Gatewayサービスがフォールバックとして使用されます。内部ユーザーがゲートウェイをバイパスしてリソースの場所に直接接続できるように許可することで、内部ネットワークのトラフィックの遅延を減らします。

注:

このPowerShellコマンドは、内部ユーザーがゲートウェイをバイパスしてVDAに直接接続できるようにすることで、ワークスペースへの接続を最適化するという点で、直接ワークロード接続に似ています。サービス継続性が有効になっている場合、停止中は直接ワークロード接続を使用できません

サービス継続性を構成する

サイトのサービス継続性を有効にするには:

  1. Citrix Cloudメニューから、[Workspaceの構成]>[サービス継続性]の順に選択します。
  2. [Workspaceの接続リース][有効] に設定します。 サービス継続性コンソールページ
  3. [接続リースの期間] で、Workspace接続リースを使用して接続を維持できる日数を設定します。Workspace接続リースの期間は、サイトを介したすべてのWorkspace接続リースに適用されます。Workspace接続リースの期間は、ユーザーがCitrix Cloud Workspaceストアに初めてサインインしたときに始まります。Workspace接続リースは、ユーザーがサインインするたびに、最大1日1回更新されます。Workspace接続リースの期間は、1日~30日間まで設定できます。デフォルト設定は、7日間です。
  4. [保存]をクリックします。

サービス継続性を有効にすると、サイト内のすべてのデリバリーグループに対して有効になります。デリバリーグループのサービス継続性を無効にするには、次のPowerShellコマンドを使用します:

Set-BrokerDesktopGroup -name <deliverygroup> -ResourceLeasingEnabled $false

deliverygroupをデリバリーグループの名前に置き換えます。

デフォルトでは、ユーザーが停止中にCitrix Workspaceからサインアウトすると、Workspace接続リースはユーザーデバイスから削除されます。ユーザーがサインアウトした後もWorkspace接続リースをユーザーデバイスに残したい場合は、次のPowerShellコマンドを使用します:

Set-BrokerSite -DeleteResourceLeasesOnLogOff $false

注:

Mac向けCitrix Workspaceアプリに接続するユーザーのために、ユーザーのサインアウト後にWorkspace接続リースをユーザーデバイスに残すように設定することはできません。Mac向けCitrix Workspaceは、DeleteResourceLeaseOnLogOffプロパティの値を読み取ることができません。

サービス継続性の仕組み

停止がない場合、ユーザーはICAファイルを使用して仮想アプリと仮想デスクトップにアクセスします。Citrix Workspaceは、ユーザーが仮想アプリまたは仮想デスクトップのアイコンを選択するたびに、一意のICAファイルを生成します。各ICAファイルには、Secure Ticket Authority(STA)チケットと、仮想リソースへの許可されたアクセスを取得するために1回だけ引き換えることができるログオンチケットが含まれています。各ICAファイルのチケットは、約90秒後に期限切れになります。ICAファイルのチケットが使用されるか期限切れになった後、ユーザーはリソースにアクセスするためにCitrix Workspaceからの別のICAファイルを必要とします。サービス継続性が有効になっていない場合、Citrix WorkspaceがICAファイルを生成できないと、停止によってユーザーがリソースにアクセスできなくなる可能性があります。

Citrix Workspaceは、サービス継続性が有効になっているかどうかに関係なく、ユーザーが仮想アプリと仮想デスクトップを起動したときにICAファイルを生成します。サービス継続性が有効になっていると、Citrix WorkspaceはWorkspace接続リースを構成する一意のファイルセットも生成します。ICAファイルとは異なり、Workspace接続リースファイルは、ユーザーがリソースを起動したときではなく、ユーザーがCitrix Workspaceにサインインしたときに生成されます。ユーザーがCitrix Workspaceにサインインすると、そのユーザーに公開されたすべてのリソースに対して接続リースファイルが生成されます。Workspace接続リースには、ユーザーに仮想リソースへのアクセスを許可する情報が含まれています。停止により、ユーザーがCitrix Workspaceにサインインしたり、ICAファイルを使用してリソースにアクセスしたりできない場合、接続リースがリソースへのアクセスを許可します。

停止中にセッションを開始する方法

停止中にユーザーがアプリまたはデスクトップのアイコンをクリックすると、Citrix Workspaceアプリは対応するWorkspace接続リースをユーザーデバイス上で検出します。次に、Citrix Workspaceアプリが接続を開きます。アプリまたはデスクトップをホストするリソースの場所への接続がLANの外部からの接続を受け入れるように構成されている場合、Citrix Gatewayサービスへの接続が開きます。アプリまたはデスクトップをホストするリソースの場所への接続がLAN内からの接続のみを受け入れるように構成した場合、Cloud Connectorへの接続が開きます。

Citrix Cloudブローカーがオンラインの場合、Cloud ConnectorはCitrix Cloudブローカーを使用して、どのVDAが使用可能かを解決します。Citrix Cloudブローカーがオフラインの場合、Cloud Connectorのセカンダリブローカー(高可用性サービス)は、接続要求をリッスンして処理します。

接続済みのユーザーは、停止状態が発生した場合も途切れることなく作業を続行できます。再接続時および新規接続時の接続遅延は最小限に抑えられます。この機能はローカルホストキャッシュに似ていますが、オンプレミスのStoreFrontを必要としません。

ユーザーが停止中にセッションを起動すると、このウィンドウが表示され、Workspace接続リースがセッションの起動に使用されたことを示します:

セッション起動の進行状況ウィンドウ

ユーザーがセッションへのサインインを完了すると、以下のプロパティがWorkspace接続センターに表示されます:

Workspace接続センターのプロパティ

起動モードプロパティは、セッションの起動に使用されるWorkspace接続リースに関する情報を提供します。

Mac向けCitrix Workspaceアプリを実行しているデバイス上のCitrix Viewerでは、Workspace接続リースがセッションの起動に使用されたことを示す情報が表示されます:

Citrix Viewerウィンドウ

安全性を高めるもの

Workspace接続リースファイル内のすべての機密情報は、AES-256暗号で暗号化されます。Workspace接続リースは、指定のクライアントデバイスに一意に関連付けられた公開/秘密キーペアに関連付けられ、別のデバイスでは使用できません。組み込みの暗号化メカニズムにより、各デバイスで一意のキーペアが強制的に使用されます。

Workspace接続リースは、AppData\Local\Citrix\SelfService\ConnectionLeasesのユーザーデバイスに保存されます。

サービス継続性のセキュリティアーキテクチャは、公開キー基盤(PKI)と同様に、公開キー暗号化に基づいて構築されていますが、証明書チェーンと認証機関はありません。代わりに、すべてのコンポーネントは、認証機関のように機能する信頼のルートと呼ばれる新しいCitrix Cloudサービスに依存することにより、推移的な信頼関係を確立します。

接続リースの禁止

ユーザーデバイスの紛失や盗難、またはユーザーアカウントの閉鎖または侵害が発生した場合、Workspace接続リースを禁止できます。ユーザーに関連付けられたWorkspace接続リースを禁止すると、ユーザーはリソースに接続できなくなります。Citrix Cloudは、ユーザーのWorkspace接続リースを生成または同期しなくなります。

ユーザーアカウントに関連付けられたWorkspace接続リースを禁止すると、そのアカウントに関連付けられているすべてのデバイスで、そのアカウントへの接続が禁止されます。ユーザーまたはユーザーグループ内のすべてのユーザーのWorkspace接続リースを禁止できます。

単一のユーザーまたはユーザーグループのWorkspace接続リースを取り消すには、次のPowerShellコマンドを使用します:

Set-BrokerConnectionLeaseRevocationDate -Name username -LeaseRevocationDays Days

usernameを、接続を禁止するアカウントに関連付けられたユーザーに置き換えます。usernameをユーザーグループに置き換えて、そのユーザーグループ内のすべてのアカウントからの接続を禁止します。Daysを、接続を禁止する日数に置き換えます。

たとえば、次の7日間、xd.local/user1の接続を禁止するには、次のように入力します:

Set-BrokerConnectionLeaseRevocationDate -Name xd.local/user1 -LeaseRevocationDays 7

Workspace接続リースが取り消されている期間を表示するには、次のPowerShellコマンドを使用します:

Get-BrokerConnectionLeaseRevocationDate -Name username

username を、期間を表示する対象のユーザーまたはユーザーグループに置き換えます。

たとえば、xd.local/user1について、Workspace接続リースを取り消している期間を表示するには、次のように入力します:

Get-BrokerConnectionLeaseRevocationDate -Name xd.local/user2

次の情報が表示されます:

FullName                        :
Name                            : XD\user2
UPN                             :
Sid                             : S-1-5-21-nnnnnn
LeaseRevocationDays             : 2
LeaseRevocationDateTimeInUtc    : 2020-12-17T17:34:25Z
LastUpdateDateTimeInUtc         : 2020-12-19T17:34:25Z

この出力から、ユーザーxd.local/user2のWorkspace接続リースが、2020年12月17日から2020年12月19日までの2日間、毎日17:34:25(UTC)に取り消されていることがわかります。

Workspace接続リースが取り消されているユーザーアカウントで再度接続できるようにするには、次のPowerShellコマンドを使用して禁止設定を削除します:

Remove-BrokerConnectionLeaseRevocationDate -Name username

username を、接続を受けつける禁止されたユーザーまたはユーザーグループに置き換えます。禁止されたすべてのユーザーアカウントで接続を受けつけるようにするには、Nameオプションを削除します。

ダブルホップシナリオ

停止が発生する前にユーザーがCitrix Workspaceにサインインしている場合、ダブルホップシナリオでは、サービス継続性によりユーザーは停止中に仮想リソースにアクセスできます。ダブルホップシナリオでは、物理ユーザーデバイスがCitrix Workspaceアプリがインストールされている仮想デスクトップに接続します。次に、仮想デスクトップが別の仮想リソースに接続します。

ダブルホップシナリオでは、仮想デスクトップのタイプに関係なく、サービス継続性によりユーザーは停止中に仮想リソースにアクセスできます。仮想デスクトップがユーザーの変更を保持している場合、サービス継続性により、ユーザーがサインインしていないときに発生した停止時に仮想リソースへのアクセスを提供することもできます。

サービス継続性は、ダブルホップシナリオの物理ユーザーデバイスと仮想デバイスを個別のクライアントエンドポイントとして扱います。各デバイスには、独自のWorkspace接続リースのセットがあります。ユーザーが物理デバイスでCitrix Workspaceにサインインすると、Workspace接続リースファイルがダウンロードされ、物理デバイスのユーザープロファイルに保存されます。次に、ユーザーは仮想デスクトップにアクセスし、仮想デスクトップ上のCitrix Workspaceにサインインします。この時点で、別のWorkspace接続リースのセットがダウンロードされ、仮想デスクトップにユーザープロファイルが保存されます。Workspace接続リースファイルは、ダウンロード先のデバイスに関連付けられています。同じユーザーであっても、Workspace接続リースファイルを別のデバイスにコピーして再利用することはできません。このため、仮想デスクトップがユーザーセッション中に行われた変更を破棄した場合、セッションの終了後に発生する停止中、サービス継続性がリソースへのアクセスを提供することはできません。この種類の仮想デスクトップの場合、Workspace接続リースは破棄される変更の1つです。

サポートされている仮想デスクトップの種類ごとに、ダブルホップシナリオでサービス継続性がどのように機能するかを次に示します。

以下を含むダブルホップの場合… サービス継続性により、停止時に仮想リソースへのアクセスを提供できます…
ホストされた共有デスクトップ ユーザーが仮想デスクトップにサインインしているときに停止が発生した場合。
ランダムな非永続デスクトップ(プール型のVDIデスクトップ) ユーザーが仮想デスクトップにサインインしているときに停止が発生した場合。
静的な非永続デスクトップ ユーザーが最後にログインしてから仮想デスクトップが再起動していない場合。
静的な永続デスクトップ 停止が発生したときはいつでも。

停止中のVDA管理

サービス継続性は、Citrix Cloud Connector内のローカルホストキャッシュ機能を使用します。ローカルホストキャッシュを使用すると、Cloud Delivery ControllerとCloud Connectorの間の接続に障害が発生した場合でも、サイトで接続仲介操作を続行できます。サービス継続性はローカルホストキャッシュに依存しているため、いくつかの制限をローカルホストキャッシュと共有しています。

注:

サービス継続性はCloud Connector内でローカルホストキャッシュを使用しますが、サービス継続性は、ローカルホストキャッシュとは異なり、オンプレミスのStoreFrontではサポートされていません。

停止中のVDAの電源管理

Cloud ConnectorがCitrix Cloudへの接続を失うと、ConnectorはCitrix Cloudからハイパーバイザー資格情報を受信できなくなります。以下の点に注意してください:

  • 停止中は、すべてのマシンの電力状態が不明となるため、電源操作を実行できなくなります。ただし、電源が入っているホスト上のVMを接続要求のために使用することができます。

Cloud ConnectorがCitrix Cloudとの接続を失った場合、ShutdownDesktopsAfterUseプロパティが有効になっている、プールされたデリバリーグループ内の電源管理されたデスクトップVDAを新しい接続に使用することはできません。Cloud ConnectorがCitrix Cloudとの接続を失った場合でも、これらのデスクトップを使用できるようにこの設定を変更できます。それには、デリバリーグループに対してReuseMachinesWithoutShutdownInOutageフラグを設定します。ReuseMachinesWithoutShutdownInOutageパラメータを$trueに変更することで、VDAを再起動するまでこれまでのユーザーセッションのデータをVDA上に残すことができるためです。

停止後に通常の運用が再開されると、電源管理が再開されます。

マシンの割り当てと自動登録

割り当てられたマシンは、通常の操作中に割り当てが発生した場合のみ使用できます。停止状態中は新しい割り当てはできません。

リモートPCアクセスマシンの自動登録と構成はできません。ただし、通常の操作中に登録、構成されたマシンは使用できます。

異なるゾーンのVDAリソース

サーバーでホストされるアプリケーションとデスクトップのユーザーは、リソースが異なるゾーンにある場合、構成されている最大セッション数よりも多くのセッションを使用できる場合があります。

ローカルホストキャッシュとは異なり、サービス継続性は、リソースが複数のゾーンで公開されている場合、異なるゾーンの登録済みVDAからアプリとデスクトップを起動できます。Citrix Workspaceアプリは、Workspace接続リース内のすべてのゾーンを順番に循環するため、正常なゾーンを見つけるのに時間がかかる場合があります。

監視とトラブルシューティング

サービス継続性は、次の2つの主要なアクションを実行します:

  • Workspace接続リースをユーザーデバイスにダウンロードする。Workspace接続リースが生成され、Citrix Workspaceアプリと同期されます。
  • 仮想デスクトップと仮想アプリは、Workspace接続リースを使用して起動されます。

Workspace接続リースのダウンロードのトラブルシューティング

ユーザーデバイスの以下の場所で、Workspace接続リースを表示できます。

Windowsデバイスの場合:

C:\Users\Username\AppData\Local\Citrix\SelfService\ConnectionLeases\Store GUID\User GUID\leases

Usernameはユーザー名です。

Store GUIDはWorkspaceストアのグローバルな一意の識別子です。

User GUIDはユーザーのグローバルな一意の識別子です。

Macデバイスの場合:

$HOME/Library/Application Support/Citrix Receiver/CLSyncRoot

たとえば、/Users/luca/Library/Application Support/Citrix Receiver/CLSyncRootを開きます。

Linuxの場合:

$HOME/.ICAClient/cache/ConnectionLease

たとえば、/home/user1/.ICAClient/cache/ConnectionLeaseを開きます。

Workspace接続リースは、Citrix WorkspaceアプリがWorkspaceストアに接続するときに生成されます。ユーザーデバイスのレジストリキー値を表示して、Citrix WorkspaceアプリがCitrix CloudのWorkspace接続リースサービスに正常に接続したかどうかを確認できます。

ユーザーデバイスでregeditを開き、次のキーを表示します:

HKCU\Software\Citrix\Dazzle\Sites\store-xxxx

次の値がレジストリキーに表示される場合、Citrix WorkspaceアプリはWorkspace接続リースサービスに接続したか、接続を試みたことになります:

  • leaseLastCallHomeTime
  • leaseLastSyncStatus

Citrix WorkspaceアプリがWorkspace接続リースサービスへの接続に失敗した場合、leaseLastCallHomeTimeは次のように無効なタイムスタンプを付けてエラーを表示します:

leaseLastCallHomeTime REG_SZ 1/1/0001 12:00:00 AM

leaseLastCallHomeTimeが初期化されていない場合、Citrix WorkspaceアプリはWorkspace接続リースサービスへの接続を試みなかったことになります。この問題を解決するには、Citrix Workspaceアプリからアカウントを削除して、再度追加します。

Workspace接続リースのCitrix Workspaceアプリエラーコード

ユーザーデバイスでサービス継続性エラーが発生すると、エラーメッセージにエラーコードが表示されます。一般的なエラーには次のものが含まれます:

エラーコード 説明
3000 接続リースファイルが存在しません
3002 接続リースが読み取れない、または見つかりません
3003 リソースの場所が見つかりません
3004 リースに接続の詳細がありません
3005 ICAファイルが空です
3006 接続リースの期限が切れました。Workspaceに再度ログインします。
3007 接続リースが無効です
3008 接続リースの検証結果:空
3009 接続リースの検証結果:無効
3010 パラメーターがありません
3020 接続リースの検証に失敗しました
3021 アプリが公開されているリソースの場所が見つかりません
3022 接続リースの検証結果:拒否
3023 Citrix Workspaceアプリがタイムアウトしました
3024 処理中にユーザーがリースベースの起動をキャンセルしました
3025 起動-再試行回数を超えました
3026 ネゴシエートされたリソース(アプリまたはデスクトップ)を起動できません

selfservice.txtへのアクセス

セルフサービスのトラブルシューティングのためにselfservice.txtファイルにアクセスするには、次の手順を実行します:

  1. 空白のテキストファイルを作成し、「enableshieldandlogging.reg」という名前を付けます。
  2. 次のテキストをそのファイルにコピーして保存します:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle] “Tracing”=”True” “AuxTracing”=”True” “DefaultTracingConfiguration”=”global all -detail” “ConnectionLeasingEnabled”=”True”

    [HKEY_CURRENT_USER\Software\Citrix\Dazzle] “RemoteDebuggingPort”=”8088”

  3. 保存したファイルをクライアントエンドポイントに配置します。
  4. selfservice.txtファイルが次のパスで検出できるようになりました:%LocalAppData%\Citrix\SelfService

ブラウザーのサービス継続性

Google ChromeとMicrosoft Edgeの拡張機能により、これらのWebブラウザーを使用してアプリやデスクトップにアクセスするWindowsユーザーがサービス継続性を利用できるようになります。この拡張機能は、Citrix WorkspaceのWeb拡張機能と呼ばれ、ChromeウェブストアMicrosoft EdgeアドオンWebサイトで利用できます。

これらのWebブラウザー拡張機能は、サービス継続性をサポートするために、ユーザーデバイス上にネイティブのCitrix Workspaceアプリを必要とします。以下のバージョンがサポートされています:

  • Windows向けCitrix Workspaceアプリ2109以降。Google ChromeとMicrosoft Edgeでサポートされている。
  • Mac向けCitrix Workspaceアプリバージョン2112以降。Google Chromeでサポートされている。
  • Safariブラウザーで使用するには、Mac向けCitrix Workspaceアプリのバージョンが最低でも2206以降。

Windows(ストア)用のCitrix Workspaceアプリはサポートされていない。

ネイティブのWorkspaceアプリは、Webブラウザー拡張機能用のネイティブメッセージングホストプロトコルを使用して、Citrix Workspace Web拡張機能と通信します。ネイティブのWorkspaceアプリとWorkspace Web拡張機能は、Workspace接続リースを使用して、停止中にWebブラウザーユーザーがアプリとデスクトップにアクセスできるようにします。

このビデオでは、ブラウザーにサービス継続性をインストールして使用する方法を説明しています。

Webブラウザーユーザー向けのユーザーデバイスセットアップ

Webブラウザーでサービス継続性を使用するには、ユーザーはデバイスで次の手順を実行する必要があります:

  1. ブラウザーユーザー向けのサポートがあるバージョンのCitrix Workspaceアプリをダウンロードしてインストールします。

  2. ChromeまたはEdge向けCitrix Workspace Web拡張機能をダウンロードしてインストールします。

Webブラウザーのユーザーエクスペリエンス

ユーザーがアプリまたはデスクトップをクリックすると、Citrix Workspace Launcherを開くよう求めるプロンプトがユーザーに表示されずに、アプリまたはデスクトップが開きます。

停止中のWebブラウザーのユーザーエクスペリエンス

ユーザーデバイスがリソースの場所へのネットワーク接続を維持している限り、ユーザーは停止中にWebブラウザーからアプリとデスクトップにアクセスできます。

ユーザーがWebブラウザーでWorkspaceにログインしているときに停止が発生した場合、次のメッセージがWebブラウザーウィンドウの上部に表示されます:

Workspace Webブラウザーページと停止時のバナー

ユーザーは、選択不可になっていないアイコンをクリックして、オフラインで使用できるアプリとデスクトップにアクセスできます。ユーザーは、[Workspaceに再接続] をクリックして、オンラインに戻ることを試すこともできます。

停止によりユーザーがWebブラウザーでWorkspaceにログインできなくなった場合、オフラインで作業するか、ログインを再試行するよう求めるプロンプトがユーザーに表示されます。使用できるアプリやデスクトップにオフラインでアクセスするために、ユーザーは [Workspaceをオフラインで使用する] をクリックします。

Webブラウザーの再試行ウィンドウ

ユーザーがWorkspace URLに移動した後、停止によりWorkspaceにログインできない場合、指定したタイムアウト時間が経過した後にウィンドウが表示されます。デフォルトでは、ユーザーがWorkspace URLに移動してから30秒後に、ウィンドウが表示されます。この値は15、30、45、または60秒に設定できます。ログインタイムアウトを無効にすることもできます。ログインタイムアウトが無効になっている場合、ユーザーがWorkspace URLに移動すると、オフラインで作業するように求めるウィンドウが表示されます。

ログインタイムアウト設定を構成するには、ユーザーデバイスのWebブラウザーで拡張機能アイコンをクリックします。表示されるウィンドウでログインタイムアウトを有効または無効にし、タイムアウト期間を設定します:

Webブラウザー拡張構成ウィンドウ

WebブラウザーがサードパーティのIDプロバイダー認証サイトにリダイレクトされた場合、停止によりユーザーがログインできないことがあります。この場合、ユーザーはWorkspace URLをWebブラウザーに入力することができ、入力するとオフラインで作業するように求めるウィンドウがユーザーに対して表示されます。ユーザーは、ウィンドウが表示されるまでログインタイムアウト時間を待つ必要はありません。

また、ユーザーは次の方法で、停止中に使用できるアプリやデスクトップにアクセスできます:

  1. Webブラウザーの拡張機能アイコンをクリックします。

  2. 表示されたウィンドウで、[オフラインで実行] の下のボタンをクリックします。このボタンは […に移動] と表示され、「…」の部分にWorkspaceストアの名前が表示されます。

  3. 表示されたウィンドウで、[Workspaceをオフラインで使用する] をクリックします。

停止中は、拡張機能がWorkspace側の問題を検出すると、オフラインで作業をするように求める警告ウィンドウがユーザーに対して自動的に表示されます。ユーザーは、操作したり、ログインタイムアウト時間を待つ必要はありません。

Webブラウザーの制限

停止中、ユーザーがWebブラウザーでCookieやその他のサイトデータをクリアした場合、ユーザーがWorkspaceに再度認証するまで、サービス継続性は機能しません。

ユーザーが拡張機能をシークレットモードで動作させることを許可しない限り、シークレットモードではサービス継続性はサポートされません。

Webブラウザーユーザー向けのトラブルシューティング

Citrix Workspaceブラウザーアプリアカウント設定の [詳細設定] メニューで、現在のアプリとデスクトップの起動設定方法が [Citrix Workspace Appを使用する] に設定されていることを確認します。このオプションが [Webブラウザーを使用する] に設定されている場合、Webブラウザーではサービス継続性はサポートされません。

ブラウザーがWorkspace URLを読み込んだ後、ブラウザーの拡張機能アイコンが緑色で表示されていることを確認します。

ログをダウンロードするには、Webブラウザーの拡張機能アイコンをクリックします。次に、[ログのダウンロード] をクリックします。