Citrix DaaS™

通用 USB 重定向和客户端驱动器注意事项

HDX™ 技术为大多数常用 USB 设备提供优化支持。优化支持可提供改进的用户体验,并在 WAN 上实现更好的性能和带宽效率。优化支持通常是最佳选择,尤其是在高延迟或对安全性敏感的环境中。

HDX 技术为没有优化支持或不适合使用优化支持的专用设备提供通用 USB 重定向,例如:

  • USB 设备具有优化支持中不包含的更高级功能,例如具有更多按钮的鼠标或网络摄像头。
  • 用户需要优化支持中不包含的功能。
  • USB 设备是专用设备,例如测试和测量设备或工业控制器。
  • 应用程序需要以 USB 设备的形式直接访问设备。
  • USB 设备只有 Windows 驱动程序可用。例如,智能卡读卡器可能没有适用于 Citrix Workspace™ 应用程序 for Android 的驱动程序。
  • Citrix Workspace 应用程序的版本不为此类 USB 设备提供任何优化支持。

通过通用 USB 重定向:

  • 用户无需在用户设备上安装设备驱动程序。
  • USB 客户端驱动程序安装在 VDA 计算机上。

重要:

  • 通用 USB 重定向可以与优化支持结合使用。如果启用通用 USB 重定向,请为通用 USB 重定向和优化支持配置 Citrix USB 设备策略设置
  • 客户端 USB 设备优化规则中的 Citrix 策略设置是针对特定 USB 设备的通用 USB 重定向的特定设置。它不适用于此处所述的优化支持。
  • 当使用 Citrix® 软件将会话代理到 Azure Virtual Machine 时,Citrix 会尽力支持 USB 重定向到 Azure Virtual Machine。我们支持修复 Citrix 软件问题,但不支持底层 Azure Virtual Machine。
  • 具有光盘刻录功能的 CD/DVD 设备可以重定向,但这些设备的刻录功能无法使用。这是由于会话的缓冲区限制。

USB 设备的性能注意事项

当对某些类型的 USB 设备使用通用 USB 重定向时,网络延迟和带宽会影响用户体验和 USB 设备操作。例如,对时间敏感的设备可能无法在高延迟、低带宽链路上正常运行。尽可能使用优化支持。

某些 USB 设备需要高带宽才能使用,例如 3D 鼠标(与通常也需要高带宽的 3D 应用程序一起使用)。如果无法增加带宽,您可以通过使用带宽策略设置调整其他组件的带宽使用来缓解此问题。有关详细信息,请参阅客户端 USB 设备重定向的带宽策略设置多流连接策略设置

USB 设备的安全性注意事项

某些 USB 设备本质上对安全性敏感,例如智能卡读卡器、指纹识别器和签名板。其他 USB 设备(例如 USB 存储设备)可用于传输可能敏感的数据。

USB 设备通常用于分发恶意软件。Citrix Workspace 应用程序和 Citrix Virtual Apps and Desktops™ 的配置可以降低但不能消除这些 USB 设备带来的风险。无论使用通用 USB 重定向还是优化支持,这种情况都适用。

重要:

对于安全性敏感的设备和数据,请始终使用 TLS 或 IPsec 保护 HDX 连接。

仅启用您需要的 USB 设备支持。配置通用 USB 重定向和优化支持以满足此需求。

为用户提供安全使用 USB 设备的指导:

  • 仅使用从可信来源获得的 USB 设备。
  • 不要将 USB 设备无人看管地留在开放环境中,例如网吧中的闪存驱动器。
  • 解释在多台计算机上使用 USB 设备的风险。

与通用 USB 重定向的兼容性

通用 USB 重定向支持 USB 2.0 及更早版本的设备。通用 USB 重定向还支持连接到 USB 2.0 或 USB 3.0 端口的 USB 3.0 设备。通用 USB 重定向不支持 USB 3.0 中引入的 USB 功能,例如超高速。

以下 Citrix Workspace 应用程序支持通用 USB 重定向:

有关 Citrix Workspace 应用程序版本的信息,请参阅 Citrix Workspace 应用程序功能矩阵

如果您使用的是早期版本的 Citrix Workspace 应用程序,请参阅 Citrix Workspace 应用程序文档以确认是否支持通用 USB 重定向。有关支持的 USB 设备类型的任何限制,请参阅 Citrix Workspace 应用程序文档。

通用 USB 重定向支持从 VDA for Single-session OS 7.6 版到当前版本的桌面会话。

通用 USB 重定向支持从 VDA for Multi-session OS 7.6 版到当前版本的桌面会话,但有以下限制:

  • VDA 必须运行 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 或 Windows Server 2022。
  • USB 设备驱动程序必须与 VDA OS (Windows 2012 R2) 的远程桌面会话主机 (RDSH) 完全兼容,包括完全虚拟化支持。

某些类型的 USB 设备不支持通用 USB 重定向,因为重定向它们没有用处:

  • USB 调制解调器。
  • USB 网络适配器。
  • USB 集线器。连接到 USB 集线器的 USB 设备单独处理。
  • USB 虚拟 COM 端口。使用 COM 端口重定向而不是通用 USB 重定向。

有关已通过通用 USB 重定向测试的 USB 设备的信息,请参阅 Citrix Ready Marketplace。某些 USB 设备无法通过通用 USB 重定向正常运行。

配置通用 USB 重定向

您可以控制并单独配置哪些类型的 USB 设备使用通用 USB 重定向:

  • 在 VDA 上,使用 Citrix 策略设置。有关详细信息,请参阅策略设置参考中的客户端驱动器和用户设备重定向USB 设备策略设置
  • 在 Citrix Workspace 应用程序中,使用依赖于 Citrix Workspace 应用程序的机制。例如,管理模板控制配置适用于 Windows 的 Citrix Workspace 应用程序的注册表设置。默认情况下,允许对某些类别的 USB 设备进行 USB 重定向,而对其他类别则拒绝。有关详细信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序文档中的配置

这种单独的配置提供了灵活性。例如:

  • 如果两个不同的组织或部门负责 Citrix Workspace 应用程序和 VDA,他们可以单独实施控制。当一个组织中的用户访问另一个组织中的应用程序时,此配置适用。
  • Citrix 策略设置可以控制仅允许某些用户或仅通过 LAN(而不是使用 Citrix Gateway)连接的用户使用的 USB 设备。

启用通用 USB 重定向

要启用通用 USB 重定向,并且不需要用户手动重定向,请同时配置 Citrix 策略设置和 Citrix Workspace 应用程序连接首选项。

在 Citrix 策略设置中:

  1. 客户端 USB 设备重定向添加到策略并将其值设置为允许

    客户端 USB 设备重定向图像

  2. (可选)要更新可用于重定向的 USB 设备列表,请将客户端 USB 设备重定向规则设置添加到策略并指定 USB 策略规则。

    在 Citrix Workspace 应用程序中:

  3. 指定设备自动连接而无需手动重定向。您可以使用管理模板或在适用于 Windows 的 Citrix Workspace 应用程序 > 首选项 > 连接中执行此操作。

    连接图像

如果您在上一步中为 VDA 指定了 USB 策略规则,请为 Citrix Workspace 应用程序指定相同的策略规则。

对于瘦客户端,请咨询制造商以获取 USB 支持的详细信息和任何所需的配置。

配置可用于通用 USB 重定向的 USB 设备类型

当启用 USB 支持并将 USB 用户首选项设置为自动连接 USB 设备时,USB 设备会自动重定向。当连接栏不存在时,USB 设备也会自动重定向。

用户可以通过从 USB 设备列表中选择设备来显式重定向未自动重定向的设备。有关详细信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序用户帮助文章在 Desktop Viewer 中显示您的设备

设备图像

要使用通用 USB 重定向而不是优化支持,您可以:

  • 在 Citrix Workspace 应用程序中,手动选择要使用通用 USB 重定向的 USB 设备,从“首选项”对话框的“设备”选项卡中选择切换到通用
  • 通过配置 USB 设备类型的自动重定向(例如,AutoRedirectStorage=1)并将 USB 用户首选项设置为自动连接 USB 设备,自动选择要使用通用 USB 重定向的 USB 设备。有关详细信息,请参阅配置 USB 设备的自动重定向

注意:

仅当网络摄像头被发现与 HDX 多媒体重定向不兼容时,才配置通用 USB 重定向以与网络摄像头一起使用。

要阻止 USB 设备被列出或重定向,您可以为 Citrix Workspace 应用程序和 VDA 指定设备规则。

对于通用 USB 重定向,您至少需要知道 USB 设备类和子类。并非所有 USB 设备都使用其明显的 USB 设备类和子类。例如:

  • 笔使用鼠标设备类。
  • 智能卡读卡器可以使用供应商定义或 HID 设备类。

为了更精确地控制,您需要知道供应商 ID、产品 ID 和发布 ID。您可以从设备供应商处获取此信息。

重要:

恶意 USB 设备可能会呈现与其预期用途不符的 USB 设备特性。设备规则并非旨在阻止此行为。

您可以通过为 VDA 和 Citrix Workspace 应用程序指定 USB 设备重定向规则来控制可用于通用 USB 重定向的 USB 设备,以覆盖默认的 USB 策略规则。

对于 VDA:

  • 通过组策略规则编辑多会话操作系统计算机的管理员覆盖规则。组策略管理控制台包含在安装介质中:
    • 对于 x64:dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
    • 对于 x86:dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi

在适用于 Windows 的 Citrix Workspace 应用程序中:

  • 编辑用户设备注册表。安装介质中包含一个管理模板 (ADM 文件),因此您可以通过 Active Directory 组策略更改用户设备: dvd root \os\lang\Support\Configuration\icaclient_usb.adm

警告:

不正确地编辑注册表可能会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证可以解决因不正确使用注册表编辑器而导致的问题。使用注册表编辑器风险自负。在编辑注册表之前,请务必备份注册表。

产品默认规则存储在 HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules 中。请勿编辑这些产品默认规则。相反,请将它们用作创建管理员覆盖规则的指南,本文稍后将对此进行解释。GPO 覆盖在产品默认规则之前进行评估。

管理员覆盖规则存储在 HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules 中。GPO 策略规则采用 {Allow:|Deny:} 格式,后跟一组由空格分隔的 tag=value 表达式。

支持以下标记:

标记 描述
VID 设备描述符中的供应商 ID
PID 设备描述符中的产品 ID
REL 设备描述符中的发布 ID
Class 设备描述符或接口描述符中的类;有关可用的 USB 类代码,请参阅 USB 网站:http://www.usb.org/
SubClass 设备描述符或接口描述符中的子类
Prot 设备描述符或接口描述符中的协议

创建策略规则时,请注意以下事项:

  • 规则不区分大小写。
  • 规则末尾可以有一个可选注释,以 # 开头。不需要分隔符,并且在匹配时忽略注释。
  • 空白行和纯注释行将被忽略。
  • 空格用作分隔符,但不能出现在数字或标识符的中间。例如,Deny: Class = 08 SubClass=05 是有效规则,但 Deny: Class=0 Sub Class=05 不是。
  • 标记必须使用匹配运算符 =。例如,VID=1230。
  • 每个规则必须在新行上开始或构成以分号分隔的列表的一部分。

注意:

如果您使用的是 ADM 模板文件,则必须在单行上创建规则,作为以分号分隔的列表。

示例:

  • 以下示例显示了针对供应商和产品标识符的管理员定义的 USB 策略规则:

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • 以下示例显示了针对定义的类、子类和协议的管理员定义的 USB 策略规则:

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

使用和移除 USB 设备

用户可以在启动虚拟会话之前或之后连接 USB 设备。

使用适用于 Windows 的 Citrix Workspace 应用程序时,适用以下情况:

  • 会话开始后连接的设备会立即显示在 Desktop Viewer 的 USB 菜单中。
  • 如果 USB 设备未正确重定向,您可以尝试通过等待直到虚拟会话启动后再连接设备来解决问题。
  • 为避免数据丢失,请在移除 USB 设备之前使用 Windows 的“安全移除硬件”图标。

USB 大容量存储设备的安全控制

USB 大容量存储设备提供优化支持。此支持是 Citrix Virtual Apps and Desktops 客户端驱动器映射的一部分。当用户登录时,用户设备上的驱动器会自动映射到虚拟桌面上的驱动器盘符。这些驱动器显示为具有映射驱动器盘符的共享文件夹。要配置客户端驱动器映射,请使用客户端可移动驱动器设置。此设置位于 ICA 策略设置的文件重定向策略设置部分。

对于 USB 大容量存储设备,您可以使用客户端驱动器映射或通用 USB 重定向,或两者都使用。使用 Citrix 策略控制它们。主要区别在于:

功能 客户端驱动器映射 通用 USB 重定向
默认启用
可配置只读访问
加密设备访问 是,如果设备在访问前已解锁加密
BitLocker To Go 设备
会话期间安全删除设备 是,前提是用户遵循操作系统关于安全删除的建议

如果同时启用了通用 USB 重定向和客户端驱动器映射策略,并且在大容量存储设备在会话开始之前或之后插入,则会使用客户端驱动器映射对其进行重定向。当同时启用了通用 USB 重定向和客户端驱动器映射策略,并且设备配置为自动重定向,并且大容量存储设备在会话开始之前或之后插入,则会使用通用 USB 重定向对其进行重定向。有关详细信息,请参阅知识中心文章 CTX123015

注意:

USB 重定向支持较低带宽连接,例如 50 Kbps。但是,复制大文件不起作用。

通用 USB 重定向和客户端驱动器注意事项