Citrix Virtual Apps and Desktops

Considerazioni generiche sul reindirizzamento USB e sulle unità client

La tecnologia HDX offre supporto ottimizzato per i dispositivi USB più diffusi. Il supporto ottimizzato offre una migliore esperienza utente con migliori prestazioni ed efficienza della larghezza di banda su una WAN. Il supporto ottimizzato è solitamente l’opzione migliore, soprattutto in ambienti con latenza elevata o sensibili alla sicurezza.

La tecnologia HDX fornisce un reindirizzamento USB generico per dispositivi speciali che non dispongono di alcun supporto ottimizzato o dove questo non è adatto, ad esempio:

  • Il dispositivo USB dispone di funzioni più avanzate che non fanno parte del supporto ottimizzato, come un mouse o una webcam con più pulsanti.
  • Gli utenti hanno bisogno di funzioni che non fanno parte del supporto ottimizzato.
  • Il dispositivo USB è un dispositivo specializzato, come apparecchiature di test e misurazione o un controller industriale.
  • Un’applicazione richiede l’accesso diretto al dispositivo come dispositivo USB.
  • La periferica USB ha solo un driver Windows disponibile. Ad esempio, un lettore di smart card potrebbe non avere un driver disponibile per l’app Citrix Workspace per Android.
  • La versione dell’app Citrix Workspace non fornisce alcun supporto ottimizzato per questo tipo di dispositivo USB.

Con il reindirizzamento USB generico:

  • Gli utenti non devono installare driver del dispositivo sul dispositivo utente.
  • I driver del client USB sono installati sul computer VDA.

Importante:

  • Il reindirizzamento USB generico può essere usato insieme al supporto ottimizzato. Se si abilita il reindirizzamento USB generico, configurare le impostazioni dei criteri dei dispositivi USB Citrix sia per il reindirizzamento USB generico che per il supporto ottimizzato.
  • L’impostazione dei criteri Citrix nelle regole di ottimizzazione dei dispositivi USB client è un’impostazione specifica per il reindirizzamento USB generico, per un particolare dispositivo USB. Non si applica al supporto ottimizzato come descritto qui.

Considerazioni sulle prestazioni per i dispositivi USB

La latenza e la larghezza di banda della rete possono influire sull’esperienza utente e sul funzionamento dei dispositivi USB quando si utilizza il reindirizzamento USB generico per alcuni tipi di dispositivi USB. Ad esempio, i dispositivi sensibili all’orario potrebbero non funzionare correttamente su collegamenti a bassa larghezza di banda e a latenza elevata. Utilizzare invece il supporto ottimizzato, dove possibile.

Alcuni dispositivi USB richiedono un’elevata larghezza di banda per poter essere utilizzati, ad esempio un mouse 3D (utilizzato con app 3D che in genere richiedono un’elevata larghezza di banda). Se la larghezza di banda non può essere aumentata, potrebbe esssere possibile mitigare il problema ottimizzando l’utilizzo della larghezza di banda di altri componenti tramite le impostazioni dei criteri di larghezza di banda. Per ulteriori informazioni, vedere Impostazioni dei criteri di larghezza di banda per il reindirizzamento del dispositivo USB client e Impostazioni dei criteri delle connessioni multi-flusso.

Considerazioni sulla sicurezza per i dispositivi USB

Alcuni dispositivi USB sono sensibili alla sicurezza per natura, ad esempio i lettori di smart card, i lettori di impronte digitali e i signature pad. Altri dispositivi USB, come i dispositivi di archiviazione USB, possono essere utilizzati per trasmettere dati potenzialmente sensibili.

I dispositivi USB vengono spesso utilizzati per distribuire malware. La configurazione dell’app Citrix Workspace e di Citrix Virtual Apps and Desktops può ridurre, ma non eliminare, i rischi derivanti da questi dispositivi USB. Questa situazione è valida sia che venga utilizzato il reindirizzamento USB generico sia che venga utilizzato il supporto ottimizzato.

Importante:

Per i dispositivi e i dati sensibili alla sicurezza, proteggere sempre la connessione HDX utilizzando TLS o IPsec.

Abilitare il supporto solo per i dispositivi USB necessari. Configurare sia il reindirizzamento USB generico che il supporto ottimizzato per soddisfare questa esigenza.

Fornire indicazioni agli utenti per l’uso sicuro dei dispositivi USB:

  • Utilizzare solo dispositivi USB che sono stati ottenuti da una fonte affidabile.
  • Non lasciare i dispositivi USB incustoditi in ambienti aperti, ad esempio un’unità flash in un Internet café.
  • Spiegare i rischi derivanti dall’utilizzo di un dispositivo USB su più di un computer.

Compatibilità con il reindirizzamento USB generico

Il reindirizzamento USB generico è supportato per i dispositivi USB 2.0 e precedenti. Il reindirizzamento USB generico è supportato anche per i dispositivi USB 3.0 collegati a una porta USB 2.0 o USB 3.0. Il reindirizzamento USB generico non supporta le funzionalità USB introdotte in USB 3.0, ad esempio la super velocità.

Queste app Citrix Workspace supportano il reindirizzamento USB generico:

Per le versioni dell’app Citrix Workspace, vedere la matrice delle funzionalità dell’app Citrix Workspace.

Se si utilizzano versioni precedenti dell’app Citrix Workspace, vedere la documentazione dell’app Citrix Workspace per verificare che il reindirizzamento USB generico sia supportato. Per eventuali restrizioni sui tipi di dispositivi USB supportati, vedere la documentazione dell’app Citrix Workspace.

Il reindirizzamento USB generico è supportato per le sessioni desktop da VDA per sistema operativo a sessione singola versione 7.6 fino alla versione corrente.

Il reindirizzamento USB generico è supportato per le sessioni desktop da VDA per sistema operativo multisessione dalla versione 7.6 fino alla versione corrente, con le seguenti restrizioni:

  • Sul VDA deve essere eseguito Windows Server 2012 R2 o Windows Server 2016.
  • I driver dei dispositivi USB devono essere completamente compatibili con l’host sessione Desktop remoto (RDSH) per il sistema operativo del VDA (Windows 2012 R2), incluso il supporto completo della virtualizzazione.

Alcuni tipi di dispositivi USB non sono supportati per il reindirizzamento USB generico perché non sarebbe utile reindirizzarli:

  • Modem USB.
  • Schede di rete USB.
  • Hub USB. I dispositivi USB collegati agli hub USB vengono gestiti singolarmente.
  • Porte COM virtuali USB. Utilizzare il reindirizzamento della porta COM anziché il reindirizzamento USB generico.

Per informazioni sui dispositivi USB testati con il reindirizzamento USB generico, vedere Citrix Ready Marketplace. Alcuni dispositivi USB non funzionano correttamente con il reindirizzamento USB generico.

Configurare il reindirizzamento USB generico

È possibile controllare e configurare separatamente quali tipi di dispositivi USB utilizzano il reindirizzamento USB generico:

  • Sul VDA, utilizzando le impostazioni dei criteri Citrix. Per ulteriori informazioni, vedere Reindirizzamento delle unità client e dei dispositivi utente e Impostazioni dei criteri dei dispositivi USB nella sezione Riferimenti per le impostazioni dei criteri.
  • Nell’app Citrix Workspace, utilizzando meccanismi dipendenti dall’app Citrix Workspace. Ad esempio, un modello amministrativo controlla le impostazioni del Registro di sistema che configurano l’app Citrix Workspace per Windows. Per impostazione predefinita, il reindirizzamento USB è consentito per determinate classi di dispositivi USB e negato per altri. Per ulteriori informazioni, vedere Configurare nella documentazione dell’app Citrix Workspace per Windows.

Questa configurazione separata offre flessibilità. Ad esempio:

  • Se due diverse organizzazioni o reparti sono responsabili dell’app Citrix Workspace e del VDA, possono applicare il controllo separatamente. Questa configurazione si applica quando un utente di un’organizzazione accede a un’applicazione in un’altra organizzazione.
  • Le impostazioni dei criteri Citrix possono controllare i dispositivi USB consentiti solo per determinati utenti o per gli utenti che si connettono solo tramite una LAN (anziché tramite Citrix Gateway).

Abilitare il reindirizzamento USB generico

Per abilitare il reindirizzamento USB generico e non richiedere il reindirizzamento manuale da parte dell’utente, configurare sia le impostazioni dei criteri Citrix che le preferenze di connessione dell’app Citrix Workspace.

Nelle impostazioni dei criteri Citrix:

  1. Aggiungere il reindirizzamento del dispositivo USB client a un criterio e impostarne il valore su Consentito.

    Immagine del reindirizzamento del dispositivo USB client

  2. (Facoltativo) Per aggiornare l’elenco dei dispositivi USB disponibili per il reindirizzamento, aggiungere l’impostazione Client USB device redirection rules (Reole di reindirizzamenot dispositivo USB client) a un criterio e specificare le regole dei criteri USB.

    Nell’app Citrix Workspace:

  3. Specificare che i dispositivi siano collegati automaticamente senza reindirizzamento manuale. È possibile eseguire questa operazione utilizzando un modello amministrativo o nell’app Citrix Workspace per Windows > Preferenze > Connessioni.

    Immagine della scheda Connections (Connessioni)

Se nel passaggio precedente sono state specificate le regole dei criteri USB per il VDA, specificare le stesse regole dei criteri per l’app Citrix Workspace.

Per i thin client, vedere il produttore per informazioni dettagliate sul supporto USB e per eventuali configurazioni richieste.

Configurazione dei tipi di dispositivi USB disponibili per il reindirizzamento USB generico

I dispositivi USB vengono reindirizzati automaticamente quando il supporto USB è abilitato e le impostazioni delle preferenze utente USB sono impostate per collegare automaticamente i dispositivi USB. Anche i dispositivi USB vengono reindirizzati automaticamente quando la barra di connessione non è presente.

Gli utenti possono reindirizzare esplicitamente i dispositivi che non vengono reindirizzati automaticamente selezionando i dispositivi dall’elenco dei dispositivi USB. Per ulteriori informazioni, l’articolo della guida per l’utente dell’app Citrix Workspace per Windows, Visualizzare i dispositivi in Desktop Viewer.

Immagine dei dispositivi

Per utilizzare il reindirizzamento USB generico anziché il supporto ottimizzato, è possibile:

  • Nell’app Citrix Workspace, selezionare manualmente il dispositivo USB per utilizzare il reindirizzamento USB generico e scegliere Switch to generic (Passa a generico) dalla scheda Devices (Dispositivi) della finestra di dialogo Preferences (Preferenze).
  • Selezionare automaticamente il dispositivo USB per utilizzare il reindirizzamento USB generico, configurando il reindirizzamento automatico per il tipo di dispositivo USB (ad esempio, AutoRedirectStorage=1) e impostare le impostazioni delle preferenze utente USB per collegare automaticamente i dispositivi USB. Per ulteriori informazioni, vedere Configurare il reindirizzamento automatico dei dispositivi USB.

Nota:

Configurare il reindirizzamento USB generico per l’utilizzo con una webcam solo se la webcam risulta incompatibile con il reindirizzamento multimediale HDX.

Per evitare che i dispositivi USB vengano elencati o reindirizzati, è possibile specificare le regole dei dispositivi per l’app Citrix Workspace e il VDA.

Per il reindirizzamento USB generico, è necessario conoscere almeno la classe e la sottoclasse del dispositivo USB. Non tutti i dispositivi USB utilizzano la relativa classe e sottoclasse ovvie di dispositivi USB. Ad esempio:

  • Le penne utilizzano la classe del mouse.
  • I lettori di smart card possono utilizzare la classe di dispositivo HID o definita dal fornitore.

Per un controllo più preciso, è necessario conoscere l’ID fornitore, l’ID prodotto e l’ID versione. È possibile ottenere queste informazioni dal fornitore del dispositivo.

Importante:

I dispositivi USB dannosi potrebbero presentare caratteristiche dei dispositivi USB che non corrispondono all’utilizzo previsto. Le regole del dispositivo non hanno lo scopo di impedire questo comportamento.

È possibile controllare i dispositivi USB disponibili per il reindirizzamento USB generico specificando le regole di reindirizzamento dei dispositivi USB, per ignorare le regole dei criteri USB predefinite.

Servizio Citrix Virtual Apps and Desktops:

  • Nella maggior parte dei casi, scaricare la Citrix Group Policy Management Console MSI (CitrixGroupPolicyManagement_x64.msi) e installarla nel sistema Active Directory, quindi gestire i criteri di gruppo AD. Non installare MSI su un VDA.

  • Per l’app Citrix Workspace per Windows, modificare il registro del dispositivo utente. Nel supporto di installazione è incluso un modello amministrativo (file ADM) che consente di modificare il dispositivo utente tramite Criteri di gruppo di Active Directory: dvd root \os\lang\Support\Configuration\icaclient_usb.adm

Citrix Virtual Apps and Desktops locale:

  • Per il VDA, modificare le regole di override dell’amministratore per i computer con sistema operativo multisessione tramite le regole dei criteri di gruppo. La Console Gestione Criteri di gruppo è inclusa nel supporto di installazione:
    • x64: dvd root \os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi
    • x86: dvd root \os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
  • Per l’app Citrix Workspace per Windows, modificare il registro del dispositivo utente. Nel supporto di installazione è incluso un modello amministrativo (file ADM) che consente di modificare il dispositivo utente tramite Criteri di gruppo di Active Directory: dvd root \os\lang\Support\Configuration\icaclient_usb.adm

Avviso:

La modifica non corretta del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix non può garantire che i problemi derivanti dall’uso non corretto dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo.

Le regole predefinite del prodotto sono memorizzate in HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB. Non modificare queste regole predefinite del prodotto. Utilizzarle invece come guida per la creazione di regole di override dell’amministratore, come illustrato più avanti in questo articolo. Le regole di override dell’Oggetto Criteri di gruppo vengono valutate prima delle regole predefinite del prodotto.

Le regole di override dell’amministratore sono memorizzate in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Le regole dei criteri Criteri di gruppo hanno il formato {Allow:|Deny:} seguito da un insieme di espressioni tag=value separate da uno spazio bianco.

Sono supportati i seguenti tag:

Tag Descrizione
VID ID fornitore del descrittore del dispositivo
PID ID prodotto del descrittore del dispositivo
REL ID versione del descrittore del dispositivo
Class Classe del descrittore del dispositivo o di un descrittore di interfaccia; vedere il sito Web USB alla pagina http://www.usb.org/ per i codici di classe USB disponibili
SubClass Sottoclasse del descrittore del dispositivo o di un descrittore di interfaccia
Prot Protocollo del descrittore del dispositivo o di un descrittore di interfaccia

Durante la creazione di regole dei criteri, tenere presente quanto segue:

  • Le regole non fanno distinzione tra maiuscole e minuscole.
  • Le regole possono avere un commento facoltativo alla fine, introdotto da #. Non è necessario un delimitatore e il commento viene ignorato per scopi di corrispondenza.
  • Le righe di commento vuote e pure vengono ignorate.
  • Lo spazio bianco viene utilizzato come separatore, ma non può essere visualizzato al centro di un numero o di un identificatore. Ad esempio, Deny: Class = 08 SubClass=05 è una regola valida, ma non Deny: Class=0 Sub Class=05.
  • I tag devono utilizzare l’operatore corrispondente =. Ad esempio, VID=1230.
  • Ogni regola deve iniziare su una nuova riga o far parte di un elenco separato da punto e virgola.

Nota:

Se si utilizza il file del modello ADM, è necessario creare regole su un’unica riga, come elenco separato da punto e virgola.

Esempi:

  • Nell’esempio seguente viene illustrata una regola dei criteri USB definita dall’amministratore per gli identificatori di fornitore e prodotto:

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • Nell’esempio seguente viene illustrata una regola dei criteri USB definita dall’amministratore per una classe, una sottoclasse e un protocollo definiti:

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

Utilizzare e rimuovere dispositivi USB

Gli utenti possono collegare un dispositivo USB prima o dopo l’avvio di una sessione virtuale.

Quando si utilizza l’app Citrix Workspace per Windows, si applicano le seguenti condizioni:

  • I dispositivi collegati dopo l’inizio di una sessione vengono visualizzati immediatamente nel menu USB di Desktop Viewer.
  • Se un dispositivo USB non viene reindirizzato correttamente, è possibile provare a risolvere il problema aspettando di connettere il dispositivo fino all’avvio della sessione virtuale.
  • Per evitare la perdita di dati, utilizzare l’icona “Rimozione sicura dell’hardware” di Windows prima di rimuovere il dispositivo USB.

Controlli di sicurezza per dispositivi di archiviazione di massa USB

Il supporto ottimizzato è fornito per i dispositivi di archiviazione di massa USB. Questo supporto fa parte della mappatura delle unità client di Citrix Virtual Apps and Desktops. Le unità sul dispositivo utente vengono mappate automaticamente alle lettere di unità sul desktop virtuale quando gli utenti accedono. Le unità vengono visualizzate come cartelle condivise con lettere di unità mappate. Per configurare il mapping delle unità client, utilizzare l’impostazione Client removable drives (Unità client rimovibili). Questa impostazione si trova nella sezione Impostazioni dei criteri di reindirizzamento file delle impostazioni dei criteri ICA.

Con i dispositivi di archiviazione di massa USB, è possibile utilizzare la mappatura delle unità client oppure il reindirizzamento USB generico oppure entrambi. È possibile controllarli utilizzando i criteri Citrix. Le principali differenze sono:

Funzione Mappatura unità client Reindirizzamento USB generico
Attivato per impostazione predefinita No
Accesso in sola lettura configurabile No
Accesso ai dispositivi crittografati Sì, se la crittografia viene sbloccata prima dell’accesso al dispositivo
Dispositivi BitLocker To Go No No
Eliminazione sicura del dispositivo durante una sessione No Sì, a condizione che gli utenti seguano le raccomandazioni del sistema operativo per la rimozione sicura

Se sia il reindirizzamento USB generico che i criteri di mappatura delle unità client sono abilitati e viene inserito un dispositivo di archiviazione di massa prima o dopo l’avvio di una sessione, questo viene reindirizzato utilizzando la mappatura delle unità client. Se sia il reindirizzamento USB generico che i criteri di mappatura delle unità client sono abilitati e un dispositivo è configurato per il reindirizzamento automatico e viene inserito un dispositivo di archiviazione di massa prima o dopo l’avvio di una sessione, viene reindirizzato utilizzando il reindirizzamento USB generico. Per ulteriori informazioni, vedere l’articolo CTX123015 del Knowledge Center.

Nota:

Il reindirizzamento USB è supportato su connessioni a larghezza di banda inferiore, ad esempio 50 Kbps. Tuttavia, la copia di file di grandi dimensioni non funziona.

Controllare l’accesso ai file con mappatura delle unità client

È possibile controllare se gli utenti possono copiare file dai propri ambienti virtuali ai propri dispositivi utente. Per impostazione predefinita, i file e le cartelle sulle unità client mappate sono disponibili in modalità di lettura/scrittura all’interno della sessione.

Per impedire agli utenti di aggiungere o modificare file e cartelle nei dispositivi client mappati, attivare l’impostazione dei criteri Read-only client drive access (Accesso alle unità client di sola lettura). Quando si aggiunge questa impostazione a un criterio, assicurarsi che l’impostazione di reindirizzamento unità client sia impostata su Allowed (Consentita) e aggiunta al criterio.