汎用USBリダイレクトとクライアントドライブに関する考慮事項
HDX™テクノロジは、ほとんどの一般的なUSBデバイスに対して最適化されたサポートを提供します。最適化されたサポートは、WAN経由でのパフォーマンスと帯域幅効率を向上させ、ユーザーエクスペリエンスを改善します。最適化されたサポートは、特に高遅延またはセキュリティに敏感な環境において、通常は最適な選択肢です。
HDXテクノロジは、最適化されたサポートがない、または不適切な特殊なデバイスに対して汎用USBリダイレクトを提供します。例:
- USBデバイスに、最適化されたサポートに含まれないより高度な機能がある場合(たとえば、マウスやWebカメラにボタンが多い場合など)。
- ユーザーが最適化されたサポートに含まれない機能を必要とする場合。
- USBデバイスが特殊なデバイスである場合(たとえば、テストおよび測定機器や産業用コントローラーなど)。
- アプリケーションがUSBデバイスとしてデバイスに直接アクセスする必要がある場合。
- USBデバイスにWindowsドライバーのみが利用可能な場合。たとえば、スマートカードリーダーにCitrix Workspace™アプリ for Android用のドライバーがない場合があります。
- Citrix Workspaceアプリのバージョンが、この種類のUSBデバイスに対して最適化されたサポートを提供しない場合。
汎用USBリダイレクトでは:
- ユーザーはユーザーデバイスにデバイスドライバーをインストールする必要がありません。
- USBクライアントドライバーはVDAマシンにインストールされます。
重要:
- 汎用USBリダイレクトは、最適化されたサポートと組み合わせて使用できます。汎用USBリダイレクトを有効にする場合は、汎用USBリダイレクトと最適化されたサポートの両方について、CitrixのUSBデバイスポリシー設定を構成してください。
- クライアントUSBデバイス最適化ルールにあるCitrixポリシー設定は、特定のUSBデバイスに対する汎用USBリダイレクトの特定のポリシー設定です。これは、ここで説明されている最適化されたサポートには適用されません。
USBデバイスのパフォーマンスに関する考慮事項
一部の種類のUSBデバイスで汎用USBリダイレクトを使用する場合、ネットワークの遅延と帯域幅がユーザーエクスペリエンスとUSBデバイスの動作に影響を与える可能性があります。たとえば、タイミングに敏感なデバイスは、高遅延で低帯域幅のリンクでは正しく動作しない場合があります。可能な場合は、代わりに最適化されたサポートを使用してください。
一部のUSBデバイスは、使用するために高い帯域幅を必要とします。たとえば、3Dマウス(通常、高い帯域幅を必要とする3Dアプリで使用される)などです。帯域幅を増やすことができない場合、帯域幅ポリシー設定を使用して他のコンポーネントの帯域幅使用量を調整することで、問題を軽減できる可能性があります。詳しくは、クライアントUSBデバイスリダイレクトの帯域幅ポリシー設定と、マルチストリーム接続ポリシー設定を参照してください。
USBデバイスのセキュリティに関する考慮事項
一部のUSBデバイスは、スマートカードリーダー、指紋リーダー、署名パッドなど、本質的にセキュリティに敏感です。USBストレージデバイスなどの他のUSBデバイスは、機密データである可能性のあるデータを転送するために使用できます。
重要:
スマートカードリーダーには汎用USBリダイレクトを使用しないでください。この機能はスマートカードリーダーではデフォルトで無効になっており、有効にしてもサポートされません。
USBデバイスはマルウェアを配布するためによく使用されます。Citrix WorkspaceアプリとCitrix Virtual Apps and Desktops™の設定により、これらのUSBデバイスからのリスクを軽減できますが、排除することはできません。この状況は、汎用USBリダイレクトを使用する場合でも、最適化されたサポートを使用する場合でも当てはまります。
重要:
セキュリティに敏感なデバイスやデータの場合、HDX接続は常にTLSまたはIPsecのいずれかを使用して保護してください。
必要なUSBデバイスのサポートのみを有効にしてください。このニーズを満たすために、汎用USBリダイレクトと最適化されたサポートの両方を構成してください。
USBデバイスを安全に使用するためのガイダンスをユーザーに提供してください。
- 信頼できるソースから入手したUSBデバイスのみを使用してください。
- オープンな環境(例:インターネットカフェでのフラッシュドライブ)でUSBデバイスを放置しないでください。
- 複数のコンピューターでUSBデバイスを使用するリスクを説明してください。
汎用USBリダイレクトとの互換性
汎用USBリダイレクトは、USB 2.0以前のデバイスでサポートされています。また、USB 2.0またはUSB 3.0ポートに接続されたUSB 3.0デバイスでもサポートされています。汎用USBリダイレクトは、スーパースピードなど、USB 3.0で導入されたUSB機能には対応していません。
以下のCitrix Workspaceアプリは、汎用USBリダイレクトをサポートしています。
- Windows向けCitrix Workspaceアプリ。詳しくは、アプリケーション配信の構成を参照してください。
- Mac向けのCitrix Workspaceアプリケーションの詳細については、Mac向けのCitrix Workspaceアプリケーションをご覧ください。
- Linux向けCitrix Workspaceアプリ。詳しくは、最適化を参照してください。
- Chrome OS向けのCitrix Workspaceアプリケーションの詳細については、Chrome向けのCitrix Workspaceアプリケーションをご覧ください。
Citrix Workspaceアプリのバージョンについては、Citrix Workspaceアプリの機能マトリックスを参照してください。
以前のバージョンのCitrix Workspaceアプリを使用している場合は、Citrix Workspaceアプリのドキュメントを参照して、汎用USBリダイレクトがサポートされていることを確認してください。サポートされているUSBデバイスの種類に関する制限については、Citrix Workspaceアプリのドキュメントを参照してください。
汎用USBリダイレクトは、VDA for Single-session OSバージョン7.6から現在までのデスクトップセッションでサポートされています。
汎用USBリダイレクトは、VDA for Multi-session OSバージョン7.6から現在までのデスクトップセッションでサポートされていますが、以下の制限があります。
- The VDA must be running Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, or Windows Server 2022.
- USBデバイスドライバーは、VDA OS(Windows 2012 R2)のRemote Desktop Session Host(RDSH)と完全に互換性があり、完全な仮想化サポートを含む必要があります。
一部の種類のUSBデバイスは、リダイレクトしても有用ではないため、汎用USBリダイレクトではサポートされていません。
- USBモデム。
- USBネットワークアダプター。
- USBハブ。USBハブに接続されたUSBデバイスは個別に処理されます。
- USB仮想COMポート。汎用USBリダイレクトではなく、COMポートリダイレクトを使用してください。
汎用USBリダイレクトでテスト済みのUSBデバイスについては、「Citrix Ready Marketplace」を参照してください。一部のUSBデバイスは、汎用USBリダイレクトでは正しく動作しません。
汎用USBリダイレクトの構成
汎用USBリダイレクトを使用するUSBデバイスの種類を制御し、個別に構成できます。
- VDAで、Citrixポリシー設定を使用します。詳しくは、「ポリシー設定リファレンス」の「クライアントドライブとユーザーデバイスのリダイレクト」および「USBデバイスポリシー設定」を参照してください。
- Citrix Workspaceアプリで、Citrix Workspaceアプリに依存するメカニズムを使用します。たとえば、管理用テンプレートは、Windows向けCitrix Workspaceアプリを構成するレジストリ設定を制御します。デフォルトでは、USBリダイレクトは特定のクラスのUSBデバイスに対して許可され、他のデバイスに対しては拒否されます。詳しくは、Windows向けCitrix Workspaceアプリのドキュメントの「構成」を参照してください。
この個別の構成により、柔軟性が向上します。例:
- 2つの異なる組織または部門がCitrix WorkspaceアプリとVDAを担当している場合、それぞれが個別に制御を適用できます。この構成は、ある組織のユーザーが別の組織のアプリケーションにアクセスする場合に適用されます。
- Citrixポリシー設定は、特定のユーザーのみに許可されるUSBデバイス、またはLAN経由でのみ接続するユーザー(Citrix Gatewayを使用しない)に許可されるUSBデバイスを制御できます。
汎用USBリダイレクトを有効にする
汎用USBリダイレクトを有効にし、ユーザーによる手動リダイレクトを不要にするには、Citrixポリシー設定とCitrix Workspaceアプリの接続設定の両方を構成します。
Citrixポリシー設定で:
-
ポリシーにクライアントUSBデバイスリダイレクトを追加し、その値を許可に設定します。
-
(オプション)リダイレクトに利用可能なUSBデバイスのリストを更新するには、クライアントUSBデバイスリダイレクト規則設定をポリシーに追加し、USBポリシー規則を指定します。
ポリシー設定が完了したら、Citrix Workspaceアプリで、
-
手動リダイレクトなしでデバイスが自動的に接続されるように指定します。これは、管理用テンプレートを使用するか、Citrix WorkspaceアプリのWindows > 環境設定 > 接続で実行できます。
前の手順でVDAのUSBポリシー規則を指定した場合は、Citrix Workspaceアプリにも同じポリシー規則を指定します。
シンクライアントの場合、USBサポートの詳細および必要な構成については、製造元にお問い合わせください。
汎用USBリダイレクトに利用可能なUSBデバイスの種類を構成する
USBサポートが有効になっており、USBユーザー設定でUSBデバイスを自動的に接続するように設定されている場合、USBデバイスは自動的にリダイレクトされます。接続バーがない場合も、USBデバイスは自動的にリダイレクトされます。
ユーザーは、USBデバイスリストからデバイスを選択することで、自動的にリダイレクトされないデバイスを明示的にリダイレクトできます。詳しくは、Citrix Workspaceアプリfor Windowsのユーザーヘルプ記事「Desktop Viewerでデバイスを表示する」を参照してください。
最適化されたサポートではなく、汎用USBリダイレクトを使用するには、次のいずれかの方法を使用できます。
- Citrix Workspaceアプリで、汎用USBリダイレクトを使用するUSBデバイスを手動で選択し、環境設定ダイアログボックスのデバイスタブから汎用に切り替えるを選択します。
- USBデバイスタイプ(例:AutoRedirectStorage=1)の自動リダイレクトを構成し、USBユーザー設定でUSBデバイスを自動的に接続するように設定することで、汎用USBリダイレクトを使用するUSBデバイスを自動的に選択します。詳しくは、「USBデバイスの自動リダイレクトを構成する」を参照してください。
注:
ウェブカメラがHDXマルチメディアリダイレクトと互換性がないと判明した場合にのみ、ウェブカメラで使用する汎用USBリダイレクトを構成してください。
USBデバイスが一覧表示されたりリダイレクトされたりするのを防ぐには、Citrix WorkspaceアプリとVDAにデバイスルールを指定できます。
汎用USBリダイレクトの場合、少なくともUSBデバイスのクラスとサブクラスを知る必要があります。すべてのUSBデバイスが、その明白なUSBデバイスクラスとサブクラスを使用するわけではありません。例:
- ペンはマウスデバイスクラスを使用します。
- スマートカードリーダーは、ベンダー定義またはHIDデバイスクラスを使用できます。
より正確な制御を行うには、ベンダーID、製品ID、およびリリースIDを知る必要があります。この情報はデバイスベンダーから入手できます。
重要:
悪意のあるUSBデバイスは、意図された用途と一致しないUSBデバイス特性を示す可能性があります。デバイスルールは、この動作を防ぐことを目的としていません。
デフォルトのUSBポリシー規則を上書きするために、USBデバイスリダイレクト規則を指定することで、汎用USBリダイレクトで利用可能なUSBデバイスを制御します。
シトリックス DaaS(旧シトリックス バーチャル アプリケーションおよびデスクトップ サービス):
-
ほとんどの場合、Citrix Group Policy Management Console MSI (
CitrixGroupPolicyManagement_x64.msi) をダウンロードしてActive Directoryシステムにインストールし、ADグループポリシーを管理します。(VDAにはMSIをインストールしないでください。) -
Windows向けCitrix Workspaceアプリの場合、ユーザーデバイスのレジストリを編集します。Active Directoryグループポリシーを通じてユーザーデバイスを変更できるように、管理用テンプレート(ADMファイル)がインストールメディアに含まれています:dvd root
\os\lang\Support\Configuration\icaclient_usb.adm
オンプレミス版シトリックス バーチャル アプリケーションおよびデスクトップ:
- VDAの場合、グループポリシー規則を通じてマルチセッションOSマシンの管理者上書き規則を編集します。Group Policy Management Consoleはインストールメディアに含まれています:
- x64: DVDのルートディレクトリ
\os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi - x86: DVDドライブのルートディレクトリ
\os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
- x64: DVDのルートディレクトリ
- Windows向けCitrix Workspaceアプリの場合、ユーザーデバイスのレジストリを編集します。管理用テンプレート(ADMファイル)がインストールメディアに含まれているため、Active Directoryグループポリシーを介してユーザーデバイスを変更できます: DVDルート
\os\lang\Support\Configuration\icaclient_usb.adm
警告:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような重大な問題を引き起こす可能性があります。レジストリエディターの誤った使用によって生じた問題が解決されることをCitrixは保証できません。レジストリエディターの使用は、お客様ご自身の責任において行ってください。編集する前に、必ずレジストリをバックアップしてください。
製品のデフォルトルールはHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSBに保存されています。これらの製品のデフォルトルールは編集しないでください。代わりに、この記事の後半で説明する管理者オーバーライドルールを作成するためのガイドとして使用してください。GPOオーバーライドは、製品のデフォルトルールよりも前に評価されます。
管理者オーバーライド規則は、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules に格納されています。GPOによるポリシー規則は、{Allow:|Deny:} の形式をとり、その後に空白文字によって区切られた tag=value 式のセットが続きます。
次のタグがサポートされています:
| タグ | 説明文 |
|---|---|
| VID | デバイス記述子からのベンダーID |
| PID | デバイス記述子からのプロダクトID |
| REL | デバイス記述子からのリリースID |
| クラス | デバイス記述子またはインターフェイス記述子のいずれかからのクラス。利用可能なUSBクラスコードについては、http://www.usb.org/のUSBウェブサイトを参照してください |
| サブクラス | デバイス記述子またはインターフェイス記述子のいずれかからのサブクラス |
| プロトコル | デバイス記述子またはインターフェイス記述子のいずれかからのプロトコル |
ポリシー規則を作成する際は、次の点に注意してください。
- 規則では大文字と小文字は区別されません。
- 規則には、
#で始まるオプションのコメントを末尾に含めることができます。区切り文字は不要で、コメントは照合目的では無視されます。 - 空白行および純粋なコメント行は無視されます。
- 空白は区切り文字として使用されますが、数値または識別子の途中に含めることはできません。たとえば、Deny: Class = 08 SubClass=05 は有効な規則ですが、Deny: Class=0 Sub Class=05 は無効です。
- タグは一致演算子 = を使用する必要があります。たとえば、VID=1230。
- 各規則は新しい行から開始するか、セミコロン区切りのリストの一部を形成する必要があります。
注:
ADMテンプレートファイルを使用している場合は、規則をセミコロン区切りのリストとして1行で作成する必要があります。
以下に例を示します。
-
次の例は、ベンダーおよび製品識別子に対する管理者定義のUSBポリシー規則を示しています。
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products -
次の例は、定義されたクラス、サブクラス、およびプロトコルに対する管理者定義のUSBポリシー規則を示しています。
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices
USBデバイスの使用と削除
ユーザーは、仮想セッションを開始する前または開始した後にUSBデバイスを接続できます。
Windows向けCitrix Workspaceアプリを使用する場合、以下が適用されます。
- セッション開始後に接続されたデバイスは、Desktop ViewerのUSBメニューにすぐに表示されます。
- USBデバイスが適切にリダイレクトされない場合は、仮想セッションが開始されるまでデバイスの接続を待つことで問題を解決できる場合があります。
- データ損失を避けるため、USBデバイスを取り外す前にWindowsの「ハードウェアを安全に取り外す」アイコンを使用してください。
USB大容量記憶装置のセキュリティ制御
USB大容量記憶装置には、最適化されたサポートが提供されます。このサポートは、Citrix Virtual Apps and Desktopsのクライアントドライブマッピングの一部です。ユーザーがログオンすると、ユーザーデバイス上のドライブは仮想デスクトップ上のドライブ文字に自動的にマップされます。ドライブは、マップされたドライブ文字を持つ共有フォルダーとして表示されます。クライアントドライブマッピングを構成するには、Client removable drives設定を使用します。この設定は、ICAポリシー設定のFile Redirection policy settingsセクションにあります。
USB大容量記憶装置では、クライアントドライブマッピングまたは汎用USBリダイレクト、あるいはその両方を使用できます。これらはCitrixポリシーを使用して制御します。主な違いは次のとおりです。
| 機能 | クライアントドライブマッピング | 汎用USBリダイレクト |
|---|---|---|
| デフォルトで有効 | はい | いいえ |
| 読み取り専用アクセス設定可能 | はい | いいえ |
| 暗号化デバイスアクセス | はい、デバイスにアクセスする前に暗号化が解除されている場合 | はい |
| ビットロッカー トゥーゴー デバイス | いいえ | いいえ |
| セッション中にデバイスを安全に削除できる | いいえ | はい。ただし、ユーザーはオペレーティングシステムの安全な取り外しに関する推奨事項に従う必要があります |
汎用USBリダイレクトとクライアントドライブマッピングの両方のポリシーが有効になっており、セッションの開始前または開始後にマスストレージデバイスが挿入されると、クライアントドライブマッピングを使用してリダイレクトされます。汎用USBリダイレクトとクライアントドライブマッピングの両方のポリシーが有効になっており、デバイスが自動リダイレクト用に構成されている場合、セッションの開始前または開始後にマスストレージデバイスが挿入されると、汎用USBリダイレクトを使用してリダイレクトされます。詳しくは、Knowledge Centerの記事CTX123015を参照してください。
注:
USBリダイレクトは、50 Kbpsなどの低帯域幅接続でもサポートされています。ただし、大きなファイルのコピーは機能しません。
クライアントドライブマッピングによるファイルアクセス制御
ユーザーが仮想環境からユーザーデバイスにファイルをコピーできるかどうかを制御できます。デフォルトでは、マップされたクライアントドライブ上のファイルとフォルダーは、セッション内から読み取り/書き込みモードで利用できます。
ユーザーがマップされたクライアントデバイス上のファイルやフォルダーを追加または変更できないようにするには、読み取り専用クライアントドライブアクセスポリシー設定を有効にします。この設定をポリシーに追加する場合は、クライアントドライブリダイレクト設定が許可に設定されており、ポリシーにも追加されていることを確認してください。