Citrix DaaS

優先度、モデル作成、比較およびトラブルシューティングのポリシー

ポリシーを使用して、以下に基づいてユーザーのニーズを満たすように環境をカスタマイズできます:

  • 担当業務
  • 作業場所
  • 接続の種類

たとえば、セキュリティの改善を目的として、機密データを日常的に取り扱うユーザーグループのアクセスに、一定の制限を適用したい場合があります。

また、この場合、ユーザーがローカルのクライアントドライブ上に機密データファイルを保存することを禁止するポリシーを作成できます。ユーザーグループ内のユーザーがローカルドライブにアクセスする必要がある場合は、別のポリシーを作成できます。同じユーザーに複数のポリシーが適用される場合は、それらのポリシーをランク付けして、適用される設定内容を制御できます。多くのポリシーを使用する場合は、次のことを決定する必要があります:

  • ポリシーに優先順位を付ける方法
  • 例外を作成する方法
  • ポリシーが競合する場合に効果的なポリシーを表示する方法

ポリシーの優先度

複数のポリシーで設定内容が競合することを防ぐために、ポリシーに優先度を設定できます。接続の割り当てと一致するポリシーの識別は、ユーザーがシステムにサインオンしたときに行われます。識別されたポリシーとそれに関連する設定は、優先度順に並べ替えられます。最も優先度の高いポリシーの内容が適用されます。

Studioでは、ポリシーの優先順位番号を設定できます。デフォルトでは、新しいポリシーに最低の優先度が設定されます。複数のポリシー設定で競合が生じると、優先度の高いポリシーによって優先度の低いポリシーが上書きされます。優先順位番号が1のポリシーが最も優先度の高いポリシーです。ポリシー設定は、以下に従ってマージされます:

  • ポリシーの優先度
  • ポリシーのフィルターで指定されている条件

ポリシーに優先順位を付けるには、次の手順を実行します:

  1. 左ペインで [ポリシー] を選択します。
  2. [ポリシー] タブで、操作バーの [ポリシーの優先度の変更] を選択します。[ポリシーの優先度の変更] ページが開きます。
  3. 優先度一覧で、次の方法を使用してポリシーの優先度を変更します:

    • ポリシーを目的の位置にドラッグします。
    • 位置を1つずつ上または下に移動するには、それぞれ上方向アイコンまたは下方向アイコンをクリックします。
    • 一覧の最上部または最下部に移動するには、それぞれ上部矢印アイコンまたは下部矢印アイコンをクリックします。
    • 優先度の番号を変更するには、[編集] アイコンをクリックし、必要に応じた番号を入力し、[保存] をクリックします。
  4. [保存] をクリックします。

例外

ポリシーを作成し、フィルターを使用してユーザー、ユーザーデバイス、またはマシンのグループにそのポリシーを割り当てるとき、いくつかのポリシー設定をグループの中の一部のメンバーに適用したくない場合は、以下の方法で例外を設定します。

  • 例外処理を適用するグループメンバー用に新しいポリシーを作成して、ほかのポリシーより高い優先度を設定します。
  • ポリシーに追加する割り当てのモードとして [拒否] を選択します

割り当てのモードとして [拒否] を選択すると、その条件にマッチしない接続にのみポリシーが適用されます。たとえば、ポリシーには次の割り当てが含まれます:

  • Assignment Aは、[クライアントのIPアドレス]割り当てで「208.77.88.*」を指定します。[許可] を設定します。
  • Assignment Bは、ユーザー割り当てで特定のユーザーアカウントを指定します。[拒否] を設定します。

このポリシーは、Assignment Aで指定した範囲のIPアドレスでサイトにサインオンするすべてのユーザーに適用されます。ただし、Assignment Bで指定したユーザーアカウントでサイトにサインオンするユーザーには、このポリシーは適用されません。

注:

[ポリシーの割り当て] の手順で、有効化チェックボックスの選択をオフにすると、ポリシーの割り当ては無効になります。ポリシーの割り当てだけを無効にする場合は、割り当てないのと同じことになり、そのポリシーがサイト内のすべてのオブジェクトに適用されます。

接続に適用されるポリシーの確認

複数のポリシーが適用されるために、意図した設定が接続に反映されないことがあります。作成したポリシーよりも優先度の高いポリシーがあると、意図した設定内容が上書きされてしまいます。管理者は、ポリシーの結果セットを算出でき、接続のために最終的にポリシー設定をどのようにマージするかを決定できます。

以下の方法で、ポリシーの結果セットを算出できます:

  • Citrixグループポリシーモデル作成ウィザードを使用して、接続シナリオをシミュレートし、Citrixポリシーがどのように適用されるかを確認する。次のような接続シナリオの条件を指定できます:
    • ユーザー
    • Citrixポリシーの割り当ての証拠値
  • [グループポリシーの結果] を使用して、特定のユーザーやVirtual Delivery Agent(VDA)に適用されるCitrixポリシーのレポートを作成します。

Studioを使用して作成したサイトポリシー設定は、グループポリシー管理コンソールでCitrixグループポリシーモデル作成ウィザードを実行する場合、ポリシーの結果セットに含まれません。ポリシーの作成にグループポリシー管理コンソールのみを使用している場合を除き、最も包括的なポリシーの結果セットを確実に取得するためには、StudioからCitrixグループポリシーモデル作成ウィザードを起動することをお勧めします。

ポリシーのモデル作成ウィザードの使用

ポリシーのモデル作成は、計画およびテストのために、フィルターを使用してポリシーを有効にするシミュレーションを行うのに役立ちます。フィルターを使用して有効にしたポリシーのみがモデル化されます。無効にしたポリシーは適用されず、フィルターなしで有効にしたポリシーは常に適用されます。

ポリシーのモデル作成ウィザードを開くには、次の手順を実行します:

  1. Studioで [ポリシー] を選択します。
  2. [モデル作成] タブを選択します。
  3. 操作バーの [ポリシーのモデル作成] を選択します。
  4. [はじめに] ページで [次へ] をクリックします。
  5. ユーザーまたはコンピューターを選択します。コンテナまたは特定のユーザーまたはコンピューターを参照できます。[次へ] をクリックします。
  6. フィルター値を選択します。オプションで、デリバリーグループタグクライアントIPアドレスなどの追加の詳細を入力することで、シミュレーションをより詳細にすることができます。[次へ] をクリックします。
  7. 選択した内容の概要を確認し、[実行] をクリックします。

[実行] をクリックすると、モデル作成の結果のレポートが生成されます。このレポートを表示している間、次のことができます:

  • ドロップダウン メニューで [すべての設定][コンピューター設定]、または [ユーザー設定] を表示するかどうかを選択します。
  • 検索バーを使用して、特定の設定を探します。
  • 特定の設定をクリックして、その設定の詳細を表示します。たとえば、すべてのユーザー設定が特定のポリシーに適用されなかった場合、[詳細] ペインに設定が適用されなかった理由が表示されます。
  • [エクスポート] をクリックして、モデル作成結果をJSON形式、HTML形式、またはその両方でエクスポートします。

ポリシーのモデル作成を実行すると、より多くのオプションを利用できるようになります。次の操作を実行できます:

  • モデル作成レポートの表示:このオプションにより、上と同じモデル作成レポートが開き、再度表示したり、エクスポートしたりできます。
  • ポリシーのモデル作成の再実行:これにより、以前に選択した同じ一連の基準を使用してポリシーのモデル作成を再実行し、新しいモデル作成の結果を生成できます。これは、一部のポリシーが変更され、それらの変更が現在のモデルにどのように影響するかを確認したい場合に役立ちます。
  • モデル作成レポートの削除:これにより、現在のモデル作成レポートが削除されます。

ポリシーおよびテンプレートの比較

Studioでは、1つのポリシーまたはテンプレートの設定を、複数のポリシーまたはテンプレートの設定と比較することができます。たとえば、ベストプラクティスのコンプライアンス状態を維持できる値に設定されているかどうかを確認する場合、ポリシーやテンプレートの各設定項目の設定値を、デフォルトの値と比較することもできます。

  1. Studioの左ペインで [ポリシー] を選択します。
  2. [比較] タブをクリックし、[選択] をクリックします。
  3. 比較するポリシーまたはテンプレートのチェックボックスをオンにします。[設定項目のデフォルト値と比較する] チェックボックスをオンにすると、各設定項目のデフォルト値が比較結果に追加されます。
  4. [比較] をクリックすると、構成された設定項目とその設定値が一覧表示されます。
  5. すべての設定項目を表示するには、[すべての設定項目を表示] を選択します。元の表示に戻るには、[共通の設定項目を表示] を選択します。

ポリシーのトラブルシューティング

複数のポリシーで、適用先として同じ割り当て(ユーザーアカウントやクライアントのIPアドレスなど)を指定することも可能です。このシナリオでは、ポリシーの設定が別のポリシーの設定と競合すると、ポリシーが意図したとおりに適用されない可能性があります。Citrixグループポリシーモデル作成ウィザードを実行すると、ユーザー接続に適用されるポリシーが見つからないことがあります。このようなシナリオでは、ポリシーの評価基準に合致する条件でアプリケーションおよびデスクトップに接続するユーザーには、ポリシー設定が適用されません。この状況は、次の場合に発生します:

  • 割り当て条件に合致するポリシーがない場合。
  • 割り当て条件に合致したポリシーに設定項目が追加されていない場合。
  • 割り当て条件に合致したポリシーが無効になっている場合。

指定した条件の接続にポリシーが適用されるようにするには、以下の内容を確認します。

  • そのポリシーが有効になっている。
  • そのポリシーに追加した設定項目の内容が適切である。

注:

ダブルホップシナリオの2つ目のホップでは、シングルセッションOS VDAをマルチセッションOS VDAに接続することを検討してください。この場合、Citrixポリシーは、ユーザーデバイスであるかのように、シングルセッションOS VDAに作用します。たとえば、ポリシーがユーザーデバイスにイメージをキャッシュするように設定されているとします。この例では、ダブルホップ環境における2つ目のホップに対してキャッシュされたイメージは、シングルセッションOS VDAマシンでキャッシュされます。

Director

管理者以外の管理者はDirectorを使用して、ユーザーセッションに適用されるポリシーを表示できます。

優先度、モデル作成、比較およびトラブルシューティングのポリシー