ポリシーの作成
ポリシーを作成する前に、それが影響を与える可能性のあるユーザーまたはデバイスのグループを決定します。ユーザーの職務、接続の種類、ユーザーデバイス、または地理的な場所に基づいてポリシーを作成することができます。Windows Active Directoryグループポリシーで使用するのと同じ基準を使用することもできます。
すでにグループに適用されるポリシーを作成している場合は、別のポリシーを作成するのではなく、そのポリシーを編集することを検討してください。ポリシーを編集した後、適切な設定を構成します。特定の機能を有効にするためだけ、または特定のユーザーにポリシーが適用されないようにするためだけにポリシーを作成することは避けてください。
ポリシーを作成する際、ポリシーテンプレートの設定に基づいて作成し、必要に応じて設定をカスタマイズできます。テンプレートを使用せずに作成し、必要なすべての設定を追加することもできます。
Citrix Studioでは、[ポリシーを有効にする]チェックボックスが明示的にオンにされていない限り、新しく作成されたポリシーは無効に設定されます。
ポリシー設定
ポリシー設定は、有効、無効、または未構成にできます。デフォルトでは、ポリシー設定は構成されていません。つまり、ポリシーに追加されていません。設定は、ポリシーに追加された場合にのみ適用されます。
一部のポリシー設定は、次のいずれかの状態になります。
- 許可または禁止は、設定によって制御されるアクションを許可または防止します。場合によっては、ユーザーはセッションで設定のアクションを管理することを許可または防止されます。たとえば、メニューアニメーション設定が[許可]に設定されている場合、ユーザーはクライアント環境でメニューアニメーションを制御できます。
- 有効または無効は、設定をオンまたはオフにします。設定を無効にすると、下位ランクのポリシーでは有効になりません。
さらに、一部の設定は、依存する設定の有効性を制御します。たとえば、クライアントドライブリダイレクトは、ユーザーがデバイス上のドライブにアクセスできるかどうかを制御します。ユーザーがネットワークドライブにアクセスできるようにするには、この設定と[クライアントネットワークドライブ]設定の両方をポリシーに追加する必要があります。[クライアントドライブリダイレクト]設定が無効になっている場合、[クライアントネットワークドライブ]設定が有効になっていても、ユーザーはネットワークドライブにアクセスできません。
一般に、マシンに影響を与えるポリシー設定の変更は、仮想デスクトップの再起動時またはユーザーのログオン時に有効になります。ユーザーに影響を与えるポリシー設定の変更は、ユーザーが次回ログオンしたときに有効になります。Active Directoryを使用している場合、ポリシー設定はActive Directoryが90分間隔でポリシーを再評価するときに更新されます。そして、ポリシー設定は、仮想デスクトップの再起動時またはユーザーのログオン時に適用されます。
一部のポリシー設定では、設定をポリシーに追加するときに値を入力または選択できます。[デフォルト値を使用]を選択することで、設定の構成を制限できます。この選択により、設定の構成が無効になり、ポリシーが適用されるときに設定のデフォルト値のみが使用されるようになります。この選択は、[デフォルト値を使用]を選択する前に入力された値とは関係ありません。
ベストプラクティスとして:
- 個々のユーザーではなく、グループにポリシーを割り当てます。グループにポリシーを割り当てると、グループへのユーザーの追加または削除時に割り当てが自動的に更新されます。
- Remote Desktop Session Host Configurationで競合する設定や重複する設定を有効にしないでください。Remote Desktop Session Host Configurationは、Citrixポリシー設定と同様の機能を提供することがあります。トラブルシューティングを容易にするため、可能な限りすべての設定を一貫性のある状態(有効または無効)に保ってください。
- 未使用のポリシーは無効にしてください。設定が追加されていないポリシーは、不要な処理を発生させます。
ポリシーの割り当て
ポリシーを作成するときは、特定のユーザーおよびマシンオブジェクトに割り当てます。そのポリシーは、特定の基準またはルールに従って接続に適用されます。一般に、基準の組み合わせに基づいて、ポリシーに任意の数の割り当てを追加できます。割り当てを指定しない場合、ポリシーはすべての接続に適用されます。
次の表に、利用可能な割り当てを示します。
| 割り当て名 | ポリシーの適用基準 |
|---|---|
| アクセス制御 | クライアントが接続するアクセス制御条件。接続の種類 - NetScaler® Gatewayを使用する接続と使用しない接続のどちらにポリシーを適用するか。NetScaler Gatewayファーム名 - NetScaler Gateway仮想サーバーの名前。アクセス条件 - 使用するエンドポイント分析ポリシーまたはセッションポリシーの名前。 |
| ネットスケーラー SD-WAN | ユーザーセッションがNetScaler SD-WANを介して起動されるかどうか。注: 1つのポリシーに追加できるNetScaler SD-WAN割り当ては1つだけです。 |
| クライアントIPアドレス | セッションへの接続に使用されるユーザーデバイスのIPアドレス:IPv4の例:12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24; IPv6の例:2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
| クライアント名 | ユーザーデバイスの名前。完全一致:ClientABCName。ワイルドカードの使用:Client*Name。 |
| デリバリーグループ | デリバリーグループのメンバーシップ。 |
| デリバリーグループの種類 | デスクトップまたはアプリケーションの種類: プライベートデスクトップ、共有デスクトップ、プライベートアプリケーション、または共有アプリケーション。注: プライベートデスクトップおよび共有デスクトップのフィルターオプションは、Citrix Virtual Apps and Desktops 7.x でのみ利用可能です。詳細については、CTX219153を参照してください。 |
| 組織単位 (OU) | 組織単位。 |
| タグ | タグ。注: このポリシーは、タグ付けされたすべてのマシンに適用されます。アプリケーションタグは含まれません。 |
| ユーザーまたはグループ | ユーザーまたはグループ名。 |
ユーザーがログオンすると、接続の割り当てに一致するすべてのポリシーが特定されます。これらのポリシーは優先順位順に並べ替えられ、設定の複数のインスタンスが比較されます。各設定は、ポリシーの優先順位に従って適用されます。無効になっているポリシー設定は、有効になっている下位ランクの設定よりも優先されます。構成されていないポリシー設定は無視されます。
重要:
グループポリシー管理コンソールを使用してActive DirectoryポリシーとCitrixポリシーの両方を構成する場合、割り当てと設定が期待どおりに適用されないことがあります。詳細については、CTX127461を参照してください。
「Unfiltered」という名前のポリシーがデフォルトで提供されます。
- Studio を使用して Citrix ポリシーを管理する場合、「Unfiltered」ポリシーに追加した設定は、サイト内のすべてのサーバー、デスクトップ、および接続に適用されます。
- ローカルグループポリシーエディターを使用してCitrixポリシーを管理する場合、フィルターなしのポリシーに追加した設定は、すべてのサイトと接続に適用されます。サイトと接続は、ポリシーを含むグループポリシーオブジェクト (GPO) のスコープ内にある必要があります。たとえば、営業OUには、米国営業チームのすべてのメンバーを含むSales-USというGPOが含まれています。Sales-US GPOは、いくつかのユーザーポリシー設定を含むフィルターなしのポリシーで構成されています。米国営業マネージャーがサイトにログオンすると、フィルターなしのポリシーの設定がセッションに自動的に適用されます。この構成は、ユーザーがSales-US GPOのメンバーであるためです。
割り当てのモードは、ポリシーがすべての割り当て条件に一致する接続にのみ適用されるかどうかを決定します。モードが許可 (デフォルト) に設定されている場合、ポリシーは割り当て条件に一致する接続にのみ適用されます。モードが拒否に設定されている場合、接続が割り当て条件に一致しない場合にポリシーが適用されます。以下の例は、複数の割り当てが存在する場合に割り当てモードがCitrixポリシーにどのように影響するかを示しています。
-
例: 異なるモードを持つ同種の割り当て - 同じ種類の2つの割り当て (一方が許可に設定され、もう一方が拒否に設定されている) を持つポリシーでは、接続が両方の割り当てを満たす場合、拒否に設定された割り当てが優先されます。例:
ポリシー1には次の割り当てが含まれます。
- 割り当てAは営業グループを指定します。モードは許可に設定されています。
- 割り当てBは営業マネージャーのアカウントを指定します。モードは拒否に設定されています。
割り当てBのモードが拒否に設定されているため、ユーザーが営業グループのメンバーであっても、営業マネージャーがサイトにログオンしてもポリシーは適用されません。
-
例: 同様のモードを持つ異なる種類の割り当て - 許可に設定された2つ以上の異なる種類の割り当てを持つポリシーでは、ポリシーが適用されるために、接続は各種類の割り当てのうち少なくとも1つを満たす必要があります。例:
ポリシー2には次の割り当てが含まれます。
- 割り当てCは、営業グループを指定するユーザー割り当てです。モードは許可に設定されています。
- 割り当てDは、10.8.169.* (企業ネットワーク) を指定するクライアントIPアドレス割り当てです。モードは許可に設定されています。
営業マネージャーがオフィスからサイトにログオンすると、接続が両方の割り当てを満たすため、ポリシーが適用されます。
ポリシー3には次の割り当てが含まれます。
- 割り当てEは、営業グループを指定するユーザー割り当てです。モードは許可に設定されています。
- 割り当てFは、NetScaler Gateway接続条件を指定するアクセス制御割り当てです。モードは許可に設定されています。
営業マネージャーがオフィスからサイトにログオンしても、接続が割り当てFを満たさないため、ポリシーは適用されません。
Studio を使用してテンプレートに基づいてポリシーを作成する
-
Studio ナビゲーションペインで [ポリシー] を選択します。
-
[テンプレート] タブを選択し、テンプレートを選択します。
-
[操作] ペインで、[テンプレート] から [ポリシーの作成] を選択します。
-
デフォルトでは、新しいポリシーはテンプレート内のすべてのデフォルト設定を使用します。この場合、[テンプレートのデフォルト設定を使用] が選択されています。設定を変更する場合は、[デフォルトを変更して設定を追加] を選択し、設定を追加または削除します。
-
次のいずれかを選択して、ポリシーの適用方法を指定します。
- 選択したユーザーおよびマシンオブジェクトに割り当て、ポリシーを適用する必要があるユーザーおよびマシンオブジェクトを選択します。
- サイト内のすべてのオブジェクトに割り当てて、サイト内のすべてのユーザーおよびマシンオブジェクトにポリシーを適用します。
-
ポリシーの名前を入力するか、デフォルトの名前を受け入れます。ポリシーの名前は、それが影響する対象(例: 経理部、リモートユーザーなど)に基づいて検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで有効になっていますが、無効にすることもできます。ポリシーを有効にすると、ログオンするユーザーにすぐに適用されます。無効にすると、ポリシーは適用されません。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。
Studio を使用してポリシーを作成する
-
Studio ナビゲーションペインで [ポリシー] を選択します。
-
[ポリシー] タブを選択します。
-
[操作] ペインで [ポリシーの作成] を選択します。
-
ポリシー設定を追加および構成します。
-
次のいずれかを選択して、ポリシーを適用する方法を指定します。
- 選択したユーザーオブジェクトとマシンオブジェクトに割り当て、ポリシーを適用する必要があるユーザーオブジェクトとマシンオブジェクトを選択します。
- サイト内のすべてのオブジェクトに割り当てて、サイト内のすべてのユーザーオブジェクトとマシンオブジェクトにポリシーを適用します。
-
ポリシーの名前を入力するか、デフォルトを受け入れます。ポリシーが影響する対象(例:経理部、リモートユーザー)に基づいてポリシーに名前を付けることを検討してください。必要に応じて、説明を追加します。
ポリシーはデフォルトで有効になっています。無効にすることもできます。ポリシーを有効にすると、ログオンするユーザーにすぐに適用されます。無効にすると、ポリシーは適用されません。ポリシーの優先順位を付けたり、後で設定を追加したりする必要がある場合は、適用する準備ができるまでポリシーを無効にしておくことを検討してください。
グループポリシーエディターを使用してポリシーを作成および管理する
グループポリシーエディターで、コンピューターの構成またはユーザーの構成を展開します。ポリシーノードを展開し、Citrixポリシーを選択します。適切なアクションを選択します。
| タスク | 操作手順 |
|---|---|
| ポリシーを作成する | ポリシータブで、新規をクリックします。 |
| 既存のポリシーを編集する | ポリシータブで、ポリシーを選択し、編集をクリックします。 |
| 既存のポリシーの優先順位を変更する | 「ポリシー」タブでポリシーを選択し、「上位」または「下位」をクリックします。 |
| ポリシーの概要情報を表示する | 「ポリシー」タブでポリシーを選択し、「概要」タブをクリックします。 |
| ポリシー設定を表示および変更する | 「ポリシー」タブでポリシーを選択し、「設定」タブをクリックします。 |
| ポリシーフィルターを表示および変更する | 「ポリシー」タブでポリシーを選択し、「フィルター」タブをクリックします。ポリシーに複数のフィルターを追加する場合、ポリシーが適用されるには、すべてのフィルター条件が満たされている必要があります。 |
| ポリシーを有効または無効にする | 「ポリシー」タブでポリシーを選択し、「アクション > 有効」または「アクション > 無効」を選択します。 |
| 既存のテンプレートからポリシーを作成する | 「テンプレート」タブでテンプレートを選択し、「新規ポリシー」をクリックします。 |