録画ポリシーの作成とアクティブ化

Session Recordingポリシーコンソールを使用して、録画するセッションを決定するポリシーを作成しアクティブにします。

重要:

Session Recordingポリシーコンソールを使用するには、Broker PowerShellスナップイン(Broker_PowerShellSnapIn_x64.msi)をインストールする必要があります。スナップインは、インストーラーによって自動的にインストールされません。Citrix Virtual Apps and DesktopsのISO(\layout\image-full\x64\Citrix Desktop Delivery Controllerの下にあります)でスナップインを検索し、指示に従って手動でインストールする必要があります。従わない場合、エラーが発生する可能性があります。

Session Recordingをインストールすると使用できるようになるシステムポリシーをアクティブにすることも、独自のカスタムポリシーを作成してアクティブにすることもできます。Session Recordingのシステムポリシーでは、すべてのユーザー、公開アプリケーション、およびサーバーに、単一の規則を適用します。カスタムポリシーでは、録画対象のユーザー、公開アプリケーション、およびサーバーを指定します。  

アクティブなポリシーによって録画するセッションが決定されます。一度にアクティブにできるポリシーは1つだけです。

システムポリシー

Session Recordingには、次の3つのシステムポリシーがあります:

  • 録画しない。デフォルトのポリシーです。ほかのポリシーを指定しなければ、セッションは録画されません。
  • すべてのユーザーを通知して録画する。このポリシーを選択すると、すべてのセッションが録画されます。記録の発生を通知するポップアップウィンドウが表示されます。
  • すべてのユーザーを通知しないで録画する。このポリシーを選択すると、すべてのセッションが録画されます。記録の発生を通知するポップアップウィンドウは表示されません。

システムポリシーは変更したり削除したりできません。

カスタムポリシーの作成

独自のポリシーを作成するときは、規則を作成して、録画対象のユーザーおよびグループ、公開アプリケーション、およびサーバーを指定します。Session Recordingポリシーコンソールにはウィザードが用意されており、このウィザードに従って規則を作成します。公開されているアプリケーションやサーバーの一覧を取得するには、サイト管理者の読み取り権限が必要です。この権限はこのサイトのDelivery Controllerで設定します。

作成する規則ごとに録画操作および規則条件を指定します。録画操作は規則条件を満たすセッションに適用されます。

規則ごとに録画操作を1つ選択します:

  • 録画しない。(規則ウィザードで [セッションを録画しない] をクリックします) この録画操作では、規則条件を満たすセッションを録画しないことを指定します。
  • 通知して録画する。(規則ウィザードで [通知してセッションを録画する] をクリックします) この録画操作では、規則条件を満たすセッションを録画することを指定します。記録の発生を通知するポップアップウィンドウが表示されます。
  • 通知しないで録画する。(規則ウィザードで [通知しないでセッションを録画する] をクリックします) この録画操作では、規則条件を満たすセッションを録画することを指定します。エンドユーザーは録画されていることに気付きません。

規則ごとに次の項目のいずれかを少なくとも1つ選択して、規則条件を作成します:

  • ユーザーまたはグループ。規則の録画操作を適用するユーザーまたはグループの一覧を作成します。Session RecordingによってActive Directoryグループおよびユーザーのホワイトリスト化を使用できます。
  • 公開リソース。規則の録画操作を適用する公開アプリケーションまたはデスクトップの一覧を作成します。規則ウィザードで、アプリケーションまたはデスクトップを使用できる1つまたは複数のCitrix Virtual Apps and Desktopsサイトを選択します。
  • デリバリーグループまたはマシン。規則の録画操作を適用するデリバリーグループまたはマシンの一覧を作成します。規則ウィザードで、デリバリーグループまたはマシンの場所を選択します。
  • IPアドレスまたはIP範囲。規則の録画操作を適用するIPアドレスまたはIPアドレスの範囲の一覧を作成します。[IPアドレスとIPの範囲の選択] 画面で、録画が有効または無効になった有効なIPアドレスまたはIP範囲を追加します。

注:

Session Recordingポリシーコンソールでは、1つの規則内で複数の条件を構成できます。規則が適用される際には、「AND」と「OR」の両方の論理演算子が、最終的なアクションを計算するために使われます。一般的に、「OR」演算子は一定の条件内の項目に使われ、「AND」演算子は違った複数の条件に当てはまる項目に使われます。結果がtrueであれば、Session Recordingポリシーエンジンがその規則のアクションをとります。そうでなければ、次の規則に進み、処理を繰り返します。

録画ポリシーに複数の規則を作成する場合は、複数の規則条件に一致するセッションがある可能性があります。そのような場合は、優先順位が最も高い規則がセッションに適用されます。

規則により実行される録画操作によってその優先順位が決まります。

  • 録画しない規則の優先順位が最も高くなります。
  • 通知して録画する規則の優先順位が次に高くなります。
  • 通知しないで録画する規則の優先順位が最も低くなります。

録画ポリシーの規則条件のいずれにも当てはまらないセッションがある可能性があります。そのようなセッションについては、フォールバック規則の録画操作が適用されます。フォールバック規則の録画操作は常に 「録画しない」 です。フォールバック規則は変更したり削除したりできません。

カスタムポリシーを作成するには、次の手順を実行します:

  1. 承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
  2. Session Recordingポリシーコンソールを起動して、左側のペインで [レコーディングポリシー] を選択します。メニューバーで [操作]>[新しいポリシーの追加] の順に選択します。
  3. [新しいポリシー] を右クリックして [規則の追加] をクリックします。
  4. 録画オプションの選択 - 規則ウィザードで、[セッションを録画しない][通知してセッションを録画する](または [通知しないでセッションを録画する])を選択し、[次へ] をクリックします。
  5. 規則条件の選択 - 以下のオプションの1つまたは任意の組み合わせを選択することができます: ユーザーまたはグループ
    公開リソース
    デリバリーグループまたはマシン
    IPアドレスまたはIPの範囲
  6. 規則条件の編集 - 編集するには、下線付きの値をクリックします。前の手順で選択した条件に基づき、値に下線が引かれます。

    注:

    [公開リソース] の下線付きの値を選択した場合、[サイトアドレス] はIPアドレス、URL、またはコントローラーがローカルネットワーク上にある場合はコンピューター名になります。[アプリケーションの名前] リストに表示名が表示されます。

  7. ウィザードの指示に従って構成を終了します。

注: 事前起動されたアプリケーションセッションに関する制限事項:

  • アクティブなポリシーでアプリケーション名を照合する場合、事前起動されたセッションで起動されたアプリケーションは照合されないため、セッションが録画されません。
  • アクティブなポリシーですべてのアプリケーションが録画される場合、ユーザーがCitrix Workspaceアプリにログインすると、(事前起動されたセッションが確立されるのと同時に)録画に関する通知が表示され、事前起動された(空の)セッションと、今後そのセッションで起動されるすべてのアプリケーションが録画されます。

回避するには、録画ポリシーに従って、別のデリバリーグループのアプリケーションを公開します。録画条件にアプリケーション名を使用しないでください。こうすることで、事前起動されたセッションを録画できます。ただし、通知は表示されます。

Active Directoryグループの使用

Active Directoryグループを使用して、Session Recordingのポリシーを作成できます。個々のユーザーではなくActive Directoryグループを使用すると、規則とポリシーを簡単に作成したり管理したりできます。たとえば、財務部門のユーザーがFinanceという名前のActive Directoryグループに含まれている場合は、 規則を作成するときに規則ウィザードでFinanceグループを選択することで、このグループのすべてのメンバーに適用される規則を作成できます。

ユーザーのホワイトリスト化

組織内の一部のユーザーのセッションを確実に録画対象から除外する、Session Recordingポリシーを作成できます。これは ユーザーのホワイトリスト化と呼ばれます。個人情報を取り扱う社員や特定の階層の従業員など、セッションを録画するべきではないユーザーをホワイトリストに登録すると便利です。

すべての上級管理職がExecutiveという名前のActive Directoryグループのメンバーである場合、Executiveグループのセッション録画を無効にする規則を作成して、それらのユーザーのセッションが決して録画されないように設定できます。この規則を含むポリシーがアクティブな間は、Executiveグループのメンバーのセッションは録画されません。組織内のほかのメンバーのセッションは、アクティブなポリシーのほかの規則に基づいて録画されます。

ポリシーのアクティブ化

  1. Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
  2. Session Recordingポリシーコンソールを起動します。
  3. [Session Recording Serverへの接続] ポップアップウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
  4. Session Recordingポリシーコンソールで、[レコーディングポリシー] を展開します。
  5. アクティブにするポリシーを選択します。
  6. メニューバーで [操作]>[ポリシーのアクティブ化] の順に選択します。

ポリシーの変更

  1. Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
  2. Session Recordingポリシーコンソールを起動します。
  3. [Session Recording Serverへの接続] ポップアップウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
  4. Session Recordingポリシーコンソールで、[レコーディングポリシー] を展開します。
  5. 変更するポリシーを選択します。ポリシーの規則が右ペインに表示されます。
  6. 規則を追加、変更、または削除するには:
    • メニューバーで [操作]>[新しい規則の追加] の順に選択します。ポリシーがアクティブな場合はポップアップウィンドウが開き、操作の確認を促すメッセージが表示されます。規則ウィザードを使用して新しい規則を作成します。
    • 変更する規則を選択し、右クリックして [プロパティ] を選択します。規則ウィザードを使用して規則を変更します。
    • 削除する規則を選択し、右クリックして [規則の削除] を選択します。

ポリシーの削除

注:

システムポリシーまたはアクティブなポリシーは削除できません。

  1. Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
  2. Session Recordingポリシーコンソールを起動します。
  3. [Session Recording Serverへの接続] ポップアップウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
  4. Session Recordingポリシーコンソールで、[レコーディングポリシー] を展開します。
  5. 左ペインで削除するポリシーを選択します。ポリシーがアクティブな場合は、ほかのポリシーをアクティブにする必要があります。
  6. メニューバーで [操作]>[ポリシーの削除] の順に選択します。
  7. [はい] をクリックして操作を確定します。

ロールオーバーの動作

ポリシーをアクティブにするとき、それまでアクティブだったポリシーはユーザーセッションが終了するまで効力を保ちます。ただし、一部の場合、ファイルがロールオーバーされると新しいポリシーが有効になります。ロールオーバーは、ファイルサイズが上限に達すると実行されます。録画ファイルのサイズの上限について詳しくは、「[録画ファイルのサイズの指定]」 (/ja-jp/session-recording/current-release/configure/file-size-limit.html)を参照してください。

次の表で、セッションの録画中に新しいポリシーを適用してロールオーバーが起きたときに生じる現象について説明します:

以前のポリシー 新しいポリシー ロールオーバーの後のポリシー
録画しない ほかのポリシー 変更なし。エンドユーザーが新しいセッションにログオンするときのみに新しいポリシーが有効になります。
通知しないで録画する 録画しない 録画を停止します。
通知しないで録画する 通知して録画する 録画を続行し通知メッセージを表示します。
通知して録画する 録画しない 録画を停止します。
通知して録画する 通知しないで録画する 録画を続行します。エンドユーザーが次にログオンするときはメッセージが表示されません。

Directorを構成してSession Recordingサーバーを使用する

Directorコンソールを使用して、Session Recordingポリシーを作成およびアクティブ化できます。

  1. HTTPS接続の場合は、Directorサーバーの[信頼されたルート証明書]にSession Recordingサーバーを信頼する証明書をインストールします。
  2. Session Recordingサーバーを使用するようにDirectorサーバーを構成するには、C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecordingコマンドを実行します。
  3. Directorサーバーで、Session Recording ServerのIPアドレスまたはFQDN、ポート番号、およびSession Recording AgentがSession Recording Brokerとの接続に使用する接続の種類(HTTPまたはHTTPS)を入力します。