Citrix Virtual Apps and Desktops

Generische USB-Umleitung und Clientlaufwerke

HDX-Technologie bietet optimierte Unterstützung für die gebräuchlichsten USB-Geräte. Die optimierte Unterstützung bietet eine verbesserte Benutzererfahrung, Leistung und Bandbreiteneffizienz über ein WAN. Die optimierte Unterstützung ist normalerweise, insbesondere aber in Umgebungen mit hoher Latenz oder hohen Sicherheitsanforderungen, die beste Option.

HDX-Technologie bietet generische USB-Umleitung für Spezialgeräte ohne optimierte Unterstützung oder wenn diese ungeeignet ist. Beispiele:

  • Ein USB-Gerät hat Merkmale, die nicht von der optimierten Unterstützung abgedeckt werden, z. B. eine Maus oder Webcam mit zusätzlichen Tasten.
  • Benutzer benötigen Funktionen, die nicht von der optimierten Unterstützung abgedeckt werden.
  • Bei dem USB-Gerät handelt es sich um ein Spezialgerät, z. B. ein Test- oder Messgerät oder ein industrielles Steuergerät.
  • Eine Anwendung erfordert direkten Zugriff auf das Gerät als USB-Gerät.
  • Für das USB-Gerät gibt es nur einen Windows-Treiber. Ein Smartcardleser kann beispielsweise keinen Treiber für die Citrix Workspace-App für Android haben.
  • Die Version der Citrix Workspace-App bietet keine optimierte Unterstützung für solche USB-Geräte.

Vorteile von generischer USB-Umleitung:

  • Benutzer müssen keine Gerätetreiber auf den Benutzergeräten installieren.
  • USB-Clienttreiber werden auf der VDA-Maschine installiert.

Wichtig:

  • Die generische USB-Umleitung kann zusammen mit der optimierten Unterstützung verwendet werden. Wenn Sie die generische USB-Umleitung aktivieren, konfigurieren Sie Einstellungen für die Citrix Richtlinie “USB-Geräte” für die generische USB-Umleitung und für die optimierte Unterstützung.
  • Die Citrix Richtlinieneinstellung unter Regeln für die USB-Clientgeräteoptimierung ist eine spezifische Einstellung für die generische USB-Umleitung für ein bestimmtes USB-Gerät. Es gilt nicht für die hier beschriebene optimierte Unterstützung.

Überlegungen zur Leistung für USB-Geräte

Bei Verwendung der generischen Umleitung bestimmter USB-Gerätetypen können sich Netzwerklatenz und Bandbreite auf die Benutzererfahrung und den USB-Gerätebetrieb auswirken. Die Funktion zeitempfindlicher Geräte kann beispielsweise bei geringer Bandbreite und hoher Latenz gestört werden. Verwenden Sie, falls möglich, stattdessen die optimierte Unterstützung.

Einige Geräte erfordern eine hohe Bandbreite, z. B. 3D-Mäuse (die mit bandbreitenintensiven 3D-Anwendungen verwendet werden). Kann die Bandbreite nicht erhöht werden, können Sie evtl. die Bandbreitennutzung anderer Komponenten über die Einstellung der Bandbreitenrichtlinie anpassen. Weitere Informationen finden Sie unter Einstellungen der Richtlinie “Bandbreite” für die Client-USB-Geräteumleitung und unter Einstellungen der Richtlinie “Multistreamverbindungen”.

Überlegungen zur Sicherheit für USB-Geräte

Einige USB-Geräte sind von Haus aus sicherheitsempfindlich, z. B. Smartcardleser, Fingerabdruckleser und Signatur-Tablets. Andere, etwa USB-Speichergeräte, können zur Übertragung vertraulicher Daten verwendet werden.

USB-Geräte werden häufig zur Verbreitung von Schadsoftware verwendet. Über die Konfiguration der Citrix Workspace-App und von Citrix Virtual Apps and Desktops können entsprechende Sicherheitsrisiken vermindert, jedoch nicht eliminiert werden Dies gilt sowohl für die generische USB-Umleitung als auch für die optimierte Unterstützung.

Wichtig:

Verwenden Sie für sicherheitsempfindliche Geräte und Daten immer sichere HDX-Verbindungen mit TLS oder IPsec.

Aktivieren Sie nur Unterstützung für USB-Geräte, die Sie benötigen. Konfigurieren Sie die generische USB-Umleitung und die optimierte Unterstützung für diese Anforderungen.

Informieren Sie die Benutzer über die sichere Verwendung von USB-Geräten:

  • Nur USB-Geräte verwenden, die von einer vertrauenswürdigen Quelle stammen.
  • USB-Geräte in zugänglichen Umgebungen (z. B. Internetcafé) nicht unbeaufsichtigt lassen.
  • Erläutern Sie die Risiken der Verwendung eines USB-Geräts auf mehreren Computern.

Kompatibilität mit der generischen USB-Umleitung

Die generische USB-Umleitung unterstützt USB 2.0- und ältere Geräte. Die generische USB-Umleitung unterstützt außerdem USB 3.0-Geräte, wenn diese an einem USB 2.0- oder USB 3.0-Anschluss angeschlossen sind. Die generische USB-Umleitung bietet keine Unterstützung für USB-Features wie Super Speed, die mit USB 3.0 eingeführt wurden.

Folgende Citrix Workspace-App-Versionen unterstützen die generische USB-Umleitung:

Informationen zu den Citrix Workspace-App-Versionen finden Sie unter Citrix Workspace-App-Featurematrix.

Wenn Sie eine ältere Version der Citrix Workspace-App verwenden, prüfen Sie in der zugehörigen Dokumentation, ob die generische USB-Umleitung unterstützt wird. Die Dokumentation zur Citrix Workspace-App enthält Informationen zu allen Einschränkungen für unterstützte USB-Gerätetypen.

Die generische USB-Umleitung unterstützt Desktopsitzungen mit VDAs für Einzelsitzungs-OS ab Version 7.6 bis zur aktuellen Version.

Die generische USB-Umleitung unterstützt Desktopsitzungen mit VDAs für Multisitzungs-OS ab Version 7.6 bis zur aktuellen Version, mit folgenden Einschränkungen:

  • Der VDA muss unter Windows Server 2012 R2 oder Windows Server 2016 ausgeführt werden.
  • Der USB-Gerätetreiber muss mit dem Remotedesktop-Sitzungshost für das Betriebssystem des VDAs (Windows 2012 R2) einschließlich voller Virtualisierung kompatibel sein.

Einige USB-Gerätetypen werden nicht von der generischen USB-Umleitung unterstützt, da ihre Umleitung nicht nützlich wäre:

  • USB-Modems
  • USB-Netzwerkadapter
  • USB-Hubs. Mit USB-Hubs verbundene USB-Geräte werden separat behandelt.
  • Virtuelle USB-COM-Anschlüsse. Verwenden Sie hierfür statt der generischen USB-Umleitung die COM-Anschlussumleitung.

Weitere Informationen zu USB-Geräten, für die die generische USB-Umleitung getestet wurde, finden Sie unter Citrix Ready Marketplace. Einige USB-Geräte funktionieren bei generischer USB-Umleitung nicht einwandfrei.

Konfigurieren der generischen USB-Umleitung

Sie können festlegen, für welche USB-Gerätetypen die generische USB-Umleitung verwendet werden soll, und sie separat für die einzelnen Gerätetypen konfigurieren.

  • Auf dem VDA mit Citrix Richtlinieneinstellungen. Weitere Informationen finden Sie unter Umleitung von Clientlaufwerken und Benutzergeräten und Einstellungen der Richtlinie “USB-Geräte”.
  • In der Citrix Workspace-App über Citrix Workspace-App-abhängige Mechanismen. Beispielsweise können durch eine administrative Vorlage Registrierungseinstellungen zur Konfiguration der Citrix Workspace-App für Windows gesteuert werden. Standardmäßig ist die USB-Umleitung für bestimmte Klassen von USB-Geräten zulässig bzw. nicht zulässig. Weitere Informationen finden Sie unter Konfigurieren in der Dokumentation der Citrix Workspace-App für Windows.

Diese separate Konfiguration ist flexibler. Beispiel:

  • Wenn zwei verschiedene Abteilungen für die Citrix Workspace-App und den VDA verantwortlich sind, können sie eigene Vorgaben festlegen. Diese Konfiguration gilt dann, wenn ein Benutzer in einer Abteilung auf eine Anwendung in einer anderen Abteilung zugreift.
  • Citrix Richtlinieneinstellungen steuern USB-Geräte, die nur für bestimmte Benutzer oder nur für Benutzer, die eine Verbindung über das LAN anstelle von Citrix Gateway herstellen, zugelassen werden sollen.

Aktivieren der generischen USB-Umleitung

Um die generische USB-Umleitung zu aktivieren (= keine manuelle Umleitung durch den Benutzer erforderlich), konfigurieren Sie Citrix Richtlinieneinstellungen und die Verbindungseinstellungen der Citrix Workspace App.

Führen Sie in den Citrix Richtlinieneinstellungen folgende Schritte aus:

  1. Fügen Sie die Client-USB-Geräteumleitung einer Richtlinie hinzu und stellen Sie den Wert auf Zugelassen ein.

    Abbildung: Client-USB-Geräteumleitung

  2. Optional: Zum Aktualisieren der Liste der zur Umleitung verfügbaren USB-Geräte fügen Sie die Einstellung Regeln für die Client-USB-Geräteumleitung einer Richtlinie hinzu und stellen Sie die USB-Richtlinienregeln ein.

    Wenn die Richtlinieneinstellungen angegeben sind, führen Sie in der Citrix Workspace-App folgende Schritte aus:

  3. Geben Sie an, dass Geräte automatisch, ohne manuelle Umleitung verbunden werden. Sie können eine administrative Vorlage verwenden oder die Einstellung unter Citrix Workspace-App für Windows > Einstellungen > Verbindungen festlegen.

    Abbildung der Registerkarte "Verbindungen"

Wenn Sie im vorigen Schritt die USB-Richtlinienregeln für den VDA festgelegt haben, geben Sie nun die gleichen Richtlinienregeln für die Citrix Workspace-App ein.

Informationen zur USB-Unterstützung Für Thin Clients und die erforderliche Konfiguration erhalten Sie vom Hersteller.

Konfigurieren der für die generische USB-Umleitung verfügbaren USB-Gerätetypen

USB-Geräte werden automatisch umgeleitet, wenn die USB-Unterstützung aktiviert ist und die USB-Einstellungen für eine automatische Verbindung der USB-Geräte konfiguriert wurden. USB-Geräte werden auch automatisch umgeleitet, wenn der Verbindungsbalken nicht angezeigt wird.

Die Benutzer können Geräte, die nicht automatisch umgeleitet werden, explizit umleiten, indem sie sie aus der USB-Geräteliste auswählen. Weitere Informationen finden Sie unter Anzeigen von Geräten in Desktop Viewer in der Hilfe zur Citrix Workspace-App für Windows.

Abbildung: Geräte

Verwendung der generischen USB-Umleitung anstelle der optimierten Unterstützung:

  • Wählen Sie in der Citrix Workspace-App das USB-Gerät für die generische USB-Umleitung manuell aus und wählen Sie im Dialogfeld “Einstellungen” auf der Registerkarte “Geräte” die Option Zu allgemein wechseln.
  • Wählen Sie das USB-Gerät für die generische USB-Umleitung automatisch, indem Sie die automatische Umleitung für den entsprechenden USB-Gerätetyp konfigurieren (z. B. AutoRedirectStorage=1) und die USB-Benutzereinstellung auf die automatische Verbindung der USB-Geräte festlegen. Weitere Informationen finden Sie unter Configure automatic redirection of USB devices.

Hinweis:

Konfigurieren Sie die generische USB-Umleitung für Webcams nur dann, wenn die Webcam nicht mit der HDX-Multimediaumleitung kompatibel ist.

Um zu verhindern, dass USB-Geräte je aufgeführt oder umgeleitet werden, können Sie für die Citrix Workspace-App und den VDA spezifische Regeln festlegen.

Für die generische USB-Umleitung benötigen Sie mindestens die USB-Geräteklasse und die Unterklasse. Nicht für alle USB-Geräte wird die Geräteklasse bzw. Unterklasse verwendet, die man vermuten würde. Beispiel:

  • Für Stifte wird die Klasse “Maus” verwendet.
  • Für Smartcardleser kann eine vom Hersteller definierte Klasse oder die Klasse “HID-Geräte” gelten.

Zur präziseren Steuerung müssen Sie die Hersteller-, Produkt- und Release-ID kennen. Sie erhalten diese Informationen beim Vertreiber des Geräts.

Wichtig:

Manipulierte USB-Geräte können USB-Gerätemerkmale präsentieren, die nicht ihrer beabsichtigten Nutzung entsprechen. Geräteregeln sind nicht zur Verhinderung solcher Fälle vorgesehen.

Die für die generische USB-Umleitung verfügbaren USB-Geräte legen Sie über Regeln für die Client-USB-Geräteumleitung fest, welche die USB-Standardrichtlinienregeln außer Kraft setzen.

Citrix Virtual Apps and Desktops Service:

  • In den meisten Fällen laden Sie das MSI für die Citrix Gruppenrichtlinien-Verwaltungskonsole (CitrixGroupPolicyManagement_x64.msi) herunter installieren es in Ihrem Active Directory und verwalten dann die AD-Gruppenrichtlinien. (Installieren Sie das MSI nicht auf einem VDA.)

  • Bearbeiten Sie für die Citrix Workspace-App für Windows die Benutzergeräteregistrierung. Das Installationsmedium enthält eine administrative Vorlage (ADM-Datei), mit der Sie Benutzergeräte über folgende Active Directory-Gruppenrichtlinie ändern können: dvd root \os\lang\Support\Configuration\icaclient_usb.adm

On-Premises-Citrix Virtual Apps and Desktops:

  • VDA: Bearbeiten Sie die Administrator-Überschreibungsregeln für Maschinen mit Multisitzungs-OS mit den Gruppenrichtlinienregeln. Die Gruppenrichtlinien-Verwaltungskonsole ist auf dem Installationsmedium enthalten:
    • x64: DVD-Stamm\os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi
    • x86: DVD-Stamm \os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
  • Bearbeiten Sie für die Citrix Workspace-App für Windows die Benutzergeräteregistrierung. Das Installationsmedium enthält eine administrative Vorlage (ADM-Datei), mit der Sie Benutzergeräte über folgende Active Directory-Gruppenrichtlinie ändern können: dvd root \os\lang\Support\Configuration\icaclient_usb.adm

Warnung:

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Die Standardregeln des Produkts werden in HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB gespeichert. Ändern Sie diese Produktstandardregeln nicht. Verwenden Sie sie als Anleitung zum Erstellen von Administrator-Überschreibungsregeln (siehe Erläuterungen weiter unten). Die GPO-Überschreibungen werden ausgewertet, bevor die Produktstandardregeln angewendet werden.

Die Administrator-Override-Regeln sind in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules gespeichert. GPO-Richtlinienregeln haben das Format {Allow:|Deny:} gefolgt von Tag=Wert-Ausdrücken, die durch Leerzeichen getrennt sind.

Die folgenden Tags werden unterstützt:

Tag Beschreibung
VID Vendor-ID vom Gerätedeskriptor
PID Produkt-ID vom Gerätedeskriptor
REL Release-ID vom Gerätedeskriptor
Klasse Klasse vom Gerätedeskriptor oder einem Schnittstellendeskriptor; verfügbare USB-Klassencodes finden Sie auf der USB-Website unter http://www.usb.org/.
SubClass Unterklasse vom Gerätedeskriptor oder ein Schnittstellendeskriptor
Prot Protokoll vom Gerätedeskriptor oder ein Schnittstellendeskriptor

Wenn Sie Richtlinienregeln erstellen, beachten Sie Folgendes:

  • Bei Regeln wird die Groß- und Kleinschreibung nicht berücksichtigt.
  • Einer Regel kann optional ein Kommentar folgen, der mit # eingeleitet wird. Ein Trennzeichen ist nicht erforderlich, der Kommentar wird beim Abgleichen ignoriert.
  • Leere Zeilen und Kommentare werden ignoriert.
  • Leerzeichen dienen als Trennzeichen, sie können nicht in einer Zahl oder Kennung verwendet werden. Beispielsweise ist Deny: Class = 08 SubClass=05 eine gültige Regel, Deny: Class=0 Sub Class=05 hingegen nicht.
  • Tags müssen den Übereinstimmungsoperator = verwenden. Beispielsweise VID=1230.
  • Jede Regel muss auf einer neuen Zeile beginnen oder Teil einer durch Semikolon getrennten Liste sein.

Hinweis:

Wenn Sie die ADM-Vorlagendatei verwenden, müssen Sie die Regeln in einer einzigen Zeile mit Semikolons getrennt eingeben.

Beispiele:

  • Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für Hersteller- und Produkt-IDs:

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für eine definierte Klasse, Unterklasse und ein Protokoll:

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

Verwenden und Entfernen von USB-Geräten

Benutzer können ein USB-Gerät vor oder nach dem Starten einer virtuellen Sitzung anschließen.

Wenn Sie mit der Citrix Workspace-App für Windows arbeiten, gilt Folgendes:

  • Geräte, die nach dem Sitzungsbeginn angeschlossen werden, werden unmittelbar im USB-Menü von Desktop Viewer angezeigt.
  • Wenn ein USB-Gerät nicht richtig umgeleitet wird, können Sie das Problem u. U. beheben, indem Sie das Gerät erst nach dem Beginn der virtuellen Sitzung anschließen.
  • Um Datenverlust zu verhindern, verwenden Sie das Windows-Symbol “Hardware sicher entfernen”, bevor Sie das USB-Gerät entfernen.

Steuerung der Sicherheit für USB-Massenspeichergeräte

Die optimierte Unterstützung steht für USB-Massenspeichergeräte zur Verfügung. Die Unterstützung ist Teil der Citrix Virtual Apps and Desktops-Clientlaufwerkzuordnung. Laufwerke auf Benutzergeräten werden automatisch Laufwerksbuchstaben auf dem virtuellen Desktop zugeordneten, wenn Benutzer sich anmelden. Die Laufwerke werden als freigegebene Ordner mit zugeordneten Laufwerksbuchstaben angezeigt. Verwenden Sie die Einstellung Clientwechseldatenträger, um die Clientlaufwerkzuordnung zu konfigurieren. Diese Einstellung befindet sich im Bereich Dateiumleitung der ICA-Richtlinieneinstellungen.

Für USB-Massenspeichergeräte können Sie die Clientlaufwerkzuordnung, die generische USB-Umleitung oder beides verwenden. Die Steuerung erfolgt über Citrix Richtlinien. Die Hauptunterschiede sind folgende:

Feature Clientlaufwerkszuordnung Generische USB-Umleitung
Diese Option ist in der Standardeinstellung aktiviert. Ja Nein
Konfigurierbare Leserechte Ja Nein
Verschlüsselter Gerätezugriff Ja, wenn die Verschlüsselung vor dem Zugriff auf das Gerät entsperrt wird Ja
BitLocker To Go-Geräte Nein Nein
Sicheres Entfernen des Geräts in einer Sitzung Nein Ja, unter der Voraussetzung, dass Benutzer den Empfehlungen des Betriebssystems zum sicheren Entfernen von Geräten folgen.

Wenn die Richtlinien für die generische USB-Umleitung und die Clientlaufwerkzuordnung aktiviert sind und ein Massenspeichergerät vor oder nach dem Sitzungsstart angeschlossen wird, wird es mit der Clientlaufwerkzuordnung umgeleitet. Wenn die Richtlinien für die generische USB-Umleitung und die Clientlaufwerkzuordnung aktiviert sind, für ein Gerät die automatische Umleitung konfiguriert wurde und ein Massenspeichergerät vor oder nach dem Sitzungsstart angeschlossen wird, wird es mit der generischen USB-Umleitung umgeleitet. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX123015.

Hinweis:

Die USB-Umleitung wird für Verbindungen mit geringer Bandbreite (z. B. 50 KBit/s) unterstützt. Das Kopieren großer Dateien funktioniert jedoch nicht.

Steuerung des Dateizugriffs bei der Clientlaufwerkzuordnung

Sie können steuern, ob Benutzer Dateien von ihren virtuellen Umgebungen auf ihre Benutzergeräte kopieren können. Standardmäßig ist in der Sitzung Lese-/Schreibzugriff auf Dateien und Ordner auf zugeordneten Clientlaufwerken möglich.

Um zu verhindern, dass Benutzer Dateien und Ordner auf zugeordneten Clientlaufwerken hinzufügen oder ändern, aktivieren Sie die Richtlinieneinstellung Schreibgeschützter Zugriff auf Clientlaufwerke. Wenn Sie diese Einstellung einer Richtlinie hinzufügen, müssen Sie die Einstellung “Clientlaufwerkumleitung” auf Zugelassen festlegen und zur Richtlinie hinzufügen.