ベースラインポリシー設計

概要

ポリシーは、Citrix Virtual Apps and Desktops環境を構成および微調整するための基礎を提供します。ポリシーを使用すると、組織、ユーザー、デバイス、または接続タイプのさまざまな組み合わせに基づいて設定を制御し、次の設定を含めることができます。

  • 接続
  • セキュリティ
  • 帯域幅

ポリシーを決定する際には、MicrosoftポリシーとCitrixの両方のポリシーを考慮して、ユーザーエクスペリエンス、セキュリティ、最適化の設定をすべて含めます。この記事では、Citrixポリシーのみに焦点を当てています。Citrix 関連のすべてのポリシー設定の一覧については、Citrixポリシー設定リファレンスを参照してください。

決定事項:優先ポリシーエンジン

組織は、Citrix StudioまたはActive Directory グループポリシーを使用してCitrixポリシーを構成できます。Active Directory ポリシーでは、グループポリシーを拡張し、高度なフィルタリングメカニズムを提供するCitrix ADMXファイルを使用します。

Active Directoryグループポリシーを使用した場合、組織はWindowsポリシーとCitrixポリシーの両方を同じ場所で管理でき、ポリシー管理に必要な管理ツールの数を最小限に抑えることができます。グループポリシーは、ドメインコントローラ間で自動的にレプリケートされ、情報が保護され、ポリシー適用が簡素化されます。

Citrix管理者がActive Directory oryポリシーにアクセスできない場合は、Citrix管理コンソールを使用します。組織のニーズに最も適した方法を選択し、その方法を一貫して使用してください。単一の方法を使用すると、複数のCitrixポリシーの場所との混乱を回避できます。

ポリシーの結果セットがどのように作成されるかを理解するには、ポリシーの優先順位であるフローと呼ばれるポリシーの集約方法を理解することが重要です。Active DirectoryおよびCitrixポリシーでは、優先順位は次のようになります:

ポリシー優先順位 ポリシーの種類
最初に処理される(最低優先順位) ローカルマシンポリシー
2番目に処理される Citrix管理コンソールを使用して作成されたCitrixポリシー
3番目に処理される サイトレベルのADポリシー
4番目に処理される ドメインレベルのADポリシー
5番目に処理される ドメイン内の最上位レベルのOU
6番目以降に処理される ドメイン内の後続のレベル OU
最後に処理される(最高優先順位) オブジェクトを含む最下位レベルのOU

各レベルのポリシーは、ユーザーまたはコンピューターに適用される最終的なポリシーに集約されます。ほとんどのエンタープライズ展開では、Citrix管理者には、特定のOU(通常、優先順位の最も高いレベル)以外のポリシーを変更する権限がありません。例外が必要な場合は、「継承のブロック」および「上書きなし」の設定を使用して、OU ツリーの上位から適用するポリシー設定を管理します。[継承のブロック]により、上位レベルOU(下位優先順位)からの設定がポリシーに統合されなくなります。ただし、オーバーライドなしで上位レベルの OU ポリシーを構成する場合、継承のブロック設定は適用されません。このため、政策計画には注意が必要です。「Active Directory ポリシーの結果セット」や「Citrixグループポリシーモデリングウィザード」などの利用可能なツールを使用して、観察された結果を期待される結果で検証します。

注:

一部のCitrixポリシー設定を使用する場合は、Active Directory グループポリシーを使用して構成する必要があります。たとえば、VDAの登録には、Delivery ControllerとDelivery Controller登録ポートが必要です。

決定事項:ポリシー統合

ポリシーを構成する場合、組織では、完全に構成された環境を作成するために、Active Directory ポリシーとCitrixポリシーの両方が必要になることがよくあります。両方のポリシーセットを使用すると、ポリシーの結果セットの特定が難しくなる可能性があります。場合によっては、特に Windows リモートデスクトップサービス (RDS) および Citrix ポリシーに関して、2 つの異なる場所で同様の機能を構成できます。たとえば、Citrixポリシーではクライアントドライブマッピングを有効にし、RDSポリシーではクライアントドライブマッピングを無効にすることができます。必要な機能を使用できるかどうかは、RDS ポリシーと Citrix ポリシーの組み合わせによって異なります。Citrixポリシーは、リモートデスクトップサービスで利用可能な機能に基づいて構築されていることを理解することが重要です。RDSポリシーで必須機能が明示的に無効になっている場合、Citrixポリシーは構成に影響を与えません。

この混乱を避けるため、RDSポリシーは必要な場合にのみ構成することをお勧めします。Citrix Virtual Apps and Desktopsの構成には対応するポリシーはありません。RDS ポリシーを構成するのは、組織内で RDS を使用するために必要な場合のみです。最も高い共通分母にポリシーを設定すると、ポリシーの結果セットを理解し、ポリシー設定のトラブルシューティングを行うプロセスが簡素化されます。

決定事項:ポリシースコープ

ポリシーを作成したら、必要な結果に基づいて、ユーザー、コンピュータ、またはその両方にポリシーを適用します。ポリシーフィルタリングを使用すると、必要なユーザーまたはコンピュータグループにポリシーを適用できます。Active Directory ベースのポリシーでは、サイト、ドメイン、または組織単位 (OU) 内のコンピューターまたはユーザーにポリシーを適用するかどうかが重要な決定になります。Active Directoryポリシーは、ユーザー構成とコンピューター構成に分類されます。既定では、ユーザー構成内の設定は、ログオン時に OU 内に存在するユーザーに適用されます。コンピュータの構成内の設定は、システムの起動時にコンピュータに適用され、システムにログオンするすべてのユーザーに影響します。Active DirectoryおよびCitrixの展開とポリシーの関係について、次の3つのコア領域に関する課題があります:

  • Citrix環境に固有のコンピュータポリシー
    Citrixサーバーおよび仮想デスクトップには、環境用に特別に作成および展開されるコンピュータポリシーがあります。これらのポリシーは、サーバーと仮想デスクトップ用に個別のOU構造を作成することで容易に適用できます。その後、特定のポリシーを作成し、OU 内およびそれ以下のコンピュータにのみ確実に適用できます。要件に基づいて、サーバーの役割、地理的場所、またはビジネスユニットに基づいて、OU構造内の仮想デスクトップとサーバーを分割します。
  • Citrix固有のユーザーポリシー
    Citrix Virtual Apps and Desktopsのポリシーを作成する場合、ユーザーの接続に基づいて、ユーザーエクスペリエンスとセキュリティに固有のいくつかのポリシーが適用されます。ただし、ユーザーのアカウントは Active Directory 構造内の任意の場所に配置され、ユーザー構成ベースのポリシーを適用するだけでは難しくなります。この設定は、ユーザーがログオンするすべてのシステムに適用されるため、ドメインレベルでCitrix固有の構成を適用することは望ましくありません。Citrixサーバーまたは仮想デスクトップが配置されている組織単位でのユーザー構成設定の適用も機能しません。ユーザーアカウントはその OU 内に配置されていないため、設定はユーザーに適用されません。解決方法は、ループバックポリシーを適用することです。ループバックポリシーは、コンピューター構成ポリシーで、サーバーまたは仮想デスクトップにログオンするすべてのユーザーに、OU の割り当てられたユーザー構成ポリシーを強制的に適用します。Active Directory 内のユーザーの場所は、ループバックポリシーで適用された設定には影響しません。ループバック処理は、マージモードまたは置換モードのいずれかに適用できます。置換モードを使用すると、ユーザーのグループポリシーオブジェクト(GPO)全体がCitrixサーバーまたは仮想デスクトップOUのポリシーで上書きされます。マージモードでは、ユーザーのGPOとCitrixサーバーまたはデスクトップOUからのGPOが結合されます。マージモードが構成されている場合、ユーザーのGPOの後にコンピュータGPOが処理されるため、Citrix関連の OU 設定が優先されます。マージモードを使用すると、競合が発生した場合にCitrix関連の OU 設定が適用されます。詳細については、Microsoftのサポート記事グループポリシーのループバック処理を参照してください。
  • Active Directory ポリシーのフィルタリングより高度なケースでは
    、Citrix管理者などのユーザーの小さなサブセットにポリシー設定を適用する必要があります。この場合、ループバック処理は、システムにログオンするすべてのユーザーではなく、ユーザーのサブセットにのみ適用されます。Active Directory ポリシーフィルタリングを使用して、ポリシーを適用する特定のユーザーまたはユーザーグループを指定します。特定の機能に対してポリシーを作成できます。また、ポリシーフィルターを設定して、そのポリシーをユーザーのグループにのみ適用することもできます。ポリシーフィルタリングは、各ターゲットポリシーのセキュリティプロパティを使用して実行されます。

Citrix Studioを使用して作成されたCitrixポリシーには、グループポリシーの使用時に利用できないポリシーフィルターの状況に対処するために、特定のフィルター設定を使用できます。次のフィルタを任意に組み合わせて、Citrixポリシーを適用します。

フィルター名 フィルターの説明 スコープ
アクセス制御 クライアントが接続するアクセスコントロール条件に基づいてポリシーを適用します。たとえば、Citrix NetScaler Gatewayを介して接続しているユーザーに対して特定のポリシーを適用できます。 ユーザー設定
クライアント IP アドレス セッションへの接続に使用されるユーザーデバイスの IPv4 または IPv6 アドレスに基づいてポリシーを適用します。予期しない結果を避けるために IPv4 アドレス範囲を使用する場合は、このフィルタに注意する必要があります。 ユーザー設定
クライアント名 セッションの接続元であるユーザーデバイスの名前に基づいてポリシーを適用します。 ユーザー設定
デリバリーグループ セッションを実行しているデスクトップまたはサーバーのデリバリーグループメンバーシップに基づいてポリシーを適用します。 ユーザーおよびコンピューター設定
デリバリーグループの種類 セッションを実行しているマシンの種類に基づいてポリシーを適用します。たとえば、マシンがプライベートか共有かによって、異なるポリシーを設定できます。 ユーザーおよびコンピューター設定
NetScaler SD-WAN セッションがNetScaler SD-WANを介して起動されるかどうかに基づいて、ポリシーを適用します。 ユーザー設定
組織単位(OU) セッションを実行しているデスクトップまたはサーバーの組織単位 (OU) に基づいてポリシーを適用します。 ユーザーおよびコンピューター設定
タグ セッションを実行しているマシンに適用されたタグに基づいて、ポリシーを適用します。タグは、Citrix Virtual Apps and Desktops 環境で、マシンなどのアイテムに追加できる文字列です。これらのタグは、デスクトップを検索したり、デスクトップへのアクセスを制限するために使用できます。 ユーザーおよびコンピューター設定
ユーザーまたはグループ セッションに接続しているユーザーのユーザーまたはグループメンバーシップに基づいてポリシーを適用します。 ユーザー設定

注:

Citrix Virtual Apps and Desktops環境のポリシーは、ユーザーレベルとコンピューターレベルで適用される設定の統合ビューを提供します。前の表の [ スコープ ] 列には、指定したフィルタがユーザー設定、コンピュータ設定、またはその両方に適用されるかどうかが示されます。

決定事項:ベースラインポリシー

ベースラインポリシーには、組織内のほとんどのユーザーに高精細エクスペリエンスを提供するために必要なすべての共通要素が含まれています。ベースラインポリシーは、ユーザーアクセスの基盤と、ユーザーグループの特定のアクセス要件に対応するために必要な例外を作成します。可能な限り単純なポリシー構造を作成するには、できるだけ多くのユースケースに対応できる十分な包括的になるようにベースラインのポリシー設定を構成します。ベースラインポリシーのプライオリティを最低優先度(99 など)に設定します。プライオリティ番号「1」が最も高いプライオリティです。これらの設定がデフォルト値を使用している場合でも、ベースライン構成ですべてのCitrixポリシー設定を有効にします。これらの設定を構成すると、必要な動作が定義され、デフォルト設定が変更された場合の混乱を回避できます。Citrixポリシーテンプレートを使用して、環境内のエンドユーザーエクスペリエンスを効果的に管理するようにCitrixポリシーを構成します。Citrixポリシーテンプレートは、ベースラインポリシーの確実な初期開始点です。テンプレートには、特定の環境またはネットワーク条件に対してパフォーマンスを最適化する事前構成済みの設定が含まれています。Citrix Virtual Apps and Desktops に含まれる組み込みテンプレートを次の表に示します。

テンプレート名 説明
高サーバー スケーラビリティ 単一のサーバーでより多くのユーザーをホストしながら、最適なユーザーエクスペリエンスを提供するための設定が含まれています。
高サーバー スケーラビリティ - レガシ OS 「高サーバーのスケーラビリティ」テンプレートと同様に、Windows 2008R2またはWindows 7以前のレガシーオペレーティングシステムを実行しているVDAにこのポリシーを適用します。
NetScaler SD-WANに最適化 NetScaler SD-WANを展開したブランチオフィスで作業しているユーザーに最適なエクスペリエンスを提供するための設定が含まれています。
WAN の最適化 低帯域幅または高遅延接続のユーザーに最適なエクスペリエンスを提供するための設定が含まれています。
WAN の最適化 - レガシ OS 「WANに最適化」テンプレートと同様に、Windows 2008R2またはWindows 7以前のレガシーオペレーティングシステムを実行しているVDAにこのポリシーを適用します。
セキュリティと制御 周辺デバイス、ドライブマッピング、ポートのリダイレクト、およびユーザーデバイス上のFlashアクセラレーションへのアクセスを無効にする設定が含まれています。
最高品位ユーザー エクスペリエンス 高品質のオーディオ、グラフィックス、およびビデオをユーザーに提供するための設定が含まれています。

Citrixポリシーテンプレートの詳細については、Citrixドキュメントポリシーテンプレートを参照してください。

ベースラインポリシー構成に Windows ポリシーを含めます。Windowsポリシーは、ユーザーエクスペリエンスを最適化し、Citrix Virtual Apps and Desktops環境で必須または望ましくない機能を削除する設定を反映します。これらの環境でオフになっている一般的な機能の 1 つは、Windows Update です。主にデスクトップとサーバーがストリーム配信され、永続的でない仮想化環境では、Windows Update によって処理とネットワークのオーバーヘッドが発生します。更新プロセスによって加えられた変更は、仮想デスクトップまたはアプリケーションサーバーの再起動後も保持されません。組織では、Windows 更新サービス (WSUS) を使用して Windows の更新プログラムを制御することがよくあります。このような場合、アップデートはマスターディスクに適用され、IT部門がスケジュールに従って有効化します。

前述の考慮事項に加えて、組織の最終的なベースラインポリシーには、組織の要件に対処するための設定が含まれます。これらの要件は、セキュリティ、一般的なネットワーク状態、またはユーザーデバイスまたはユーザープロファイルの管理に関連することができます。

設計決定:管理委任

ポリシーにアクセスできるユーザーの数を制限することにより、不正アクセスを防止します。セキュリティを緩和しすぎると、Citrix Virtual Apps and Desktops展開の構成の詳細が浸透する可能性があります。アクセスを制限する方法は、ポリシーの設定に使用するエンジンによって異なります。ポリシーエンジンとしてCitrix Studio を使用する場合は、グループに役割を割り当てて、管理アクセスを委任します。スコープとロールの詳細については、委任された管理に関するドキュメントを参照してください。

  • 組み込みの管理役割を使用して
    Active Directory グループをそれぞれの役割に追加して、必要な制御レベルを委任します。

    • 完全管理者は 、Citrix Virtual Apps and Desktopsサイト内のすべてのオブジェクトに対する読み取りおよび書き込みアクセスを許可します。「完全管理者」の役割を割り当てるときは、特に注意してください。ポリシーに加えて、「完全管理者」ロールは、サイト全体の他のすべてのオブジェクトに対する読み取りおよび書き込みアクセスを許可します。
    • 読み取り専用管理者は 、Citrix Virtual Apps and Desktopsサイトの割り当てられたスコープ内のオブジェクトに対して、読み取り専用のアクセス許可を提供します。グループを「読み取り専用管理者」ロールに割り当てると、割り当てられたスコープに関係なく、すべてのポリシーに対する読み取り専用アクセスが許可されます。
  • カスタム管理者の役割を作成するポリシーへのアクセスをより詳細に制御するには
    、カスタムロールを作成します。カスタムロールを使用すると、管理者は特定のタスクを管理者のグループに割り当てることができます。「ポリシーの管理」または「ポリシーを表示」の定義を割り当てて、適切なアクセス許可を委任します。ポリシーは特定のスコープの一部ではないため、管理者に割り当てられたスコープはポリシーへのアクセスには影響しません。Active Directory グループを管理者として追加し、アクセスを委任するカスタムロールを割り当てます。

Active Directory グループポリシーを使用してCitrixポリシーを構成する場合、管理者はグループポリシー管理コンソールを使用してアクセスを委任します。1つのGPOに複数のCitrixポリシーを含めることができます。割り当てられたアクセス許可の粒度は、GPO 構造の設計によって異なります。読み取りまたは書き込みアクセス権は、GPO ごとにユーザーまたはグループに付与されます。GPOレベルで付与されたアクセスは、そのGPOで構成されているすべてのCitrixポリシーにアクセス権限を付与します。

ポリシー設計の推奨事項

Citrix は、現場の経験に基づいて、Citrixポリシー設計に関連する主要なプラクティスを開発しました。主要なプラクティスは、前の章から取得した設計上の決定をまとめます。

ベースラインポリシー

フィルタリングされていないポリシーは空のままにして、無効に設定します。フィルタリングされていないポリシーを、可能な限り低いプライオリティに設定します。プライオリティ番号が高いほど(たとえば 99 のプライオリティ)、プライオリティは低くなります。会社の命名規則に従って、ベースラインのコンピュータポリシーとユーザーポリシーを作成します。基本ポリシーが、Citrix Virtual Apps and Desktops環境に接続するほとんどのユーザーとコンピューターに適用されていることを確認します。これらの設定がデフォルト値を使用している場合でも、ベースラインポリシー内のすべての設定を構成します。

ポリシーレイヤー化

エンドユーザーの要件に基づいて、ベースラインポリシーの例外を作成します。適切なフィルタに基づいて、ポリシーの例外を割り当てます。例外ポリシーの優先順位を、ベースラインポリシーよりも高く設定します。できるだけ少ないポリシーを作成し、可能な場合は設定を統合します。ポリシーを定義しすぎると、複雑さと予期しない結果につながる可能性があります。

例:

Citrix Virtual Apps and Desktops展開では、ユーザーはCitrixセッション内のエンドポイントデバイス上のローカルドライブにアクセスできません。Active Directory グループのメンバーシップにより、ローカルドライブへのアクセスが許可されます。この動作を実現するには、ベースラインポリシーで [クライアントドライブリダイレクト] 設定を [禁止] に設定します。優先度の高いポリシーを作成し、新しいポリシーで [クライアントドライブリダイレクト] 設定を [許可] に設定します。新しいポリシーの割り当てに Active Directory グループを追加します。Active Directory グループのメンバーであるユーザーのみがローカルドライブにアクセスできます。デフォルトの動作では、他のすべてのユーザーのローカルドライブへのアクセスが拒否されます。

ポリシー管理

ポリシーエンジンをミックスアンドマッチさせないでください。1つのポリシーエンジンを選択し、そのエンジンを使用してすべてのCitrixポリシーを構成します。たとえば、Active Directory グループポリシーを使用する場合は、Citrix Studioを使用して他のCitrixポリシーを作成しないでください。

すべてのポリシー、ポリシー設定、および例外を文書化します。会社内部のドキュメント形式を使用するか、ポリシーの説明フィールドを使用して変更を追跡します。説明フィールドを使用する場合は、標準化されたフォームを使用します。たとえば、変更の日付、作成者、および説明を含めます。2020-04-17 - FvdP: Disabled Client Drive Mapping according to request SR422344

ドキュメントにポリシーの説明フィールドを使用

ベースラインポリシー設計