-
-
セキュリティに関する考慮事項とベストプラクティス
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
セキュリティに関する考慮事項とベストプラクティス
注:
組織は、規制要件を満たすために特定のセキュリティ標準に準拠する必要がある場合があります。本ドキュメントでは、これらのセキュリティ標準が時間とともに変化するため、この主題については取り扱いません。セキュリティ標準およびCitrix製品に関する最新情報については、Citrix Trust Centerを参照してください。
ファイアウォール
環境内のすべてのマシンを、必要に応じてエンクレーブ境界を含め、境界ファイアウォールで保護します。
環境内のすべてのマシンは、パーソナルファイアウォールによって保護されている必要があります。コアコンポーネントとVDAをインストールする際、Windowsファイアウォールサービスが検出された場合(ファイアウォールが有効になっていない場合でも)、コンポーネントと機能の通信に必要なポートを自動的に開くように選択できます。また、これらのファイアウォールポートを手動で構成することもできます。別のファイアウォールを使用する場合は、手動で構成する必要があります。必要なポートの詳細については、「Tech Paper: Communication Ports Used by Citrix Technologies」を参照してください。
従来の環境をこのリリースに移行する場合、既存の境界ファイアウォールの再配置や新しい境界ファイアウォールの追加が必要になる場合があります。たとえば、データセンター内の従来のクライアントとデータベースサーバーの間に境界ファイアウォールがあるとします。このリリースを使用する場合、その境界ファイアウォールは、仮想デスクトップとユーザーデバイスが一方にあり、データセンター内のデータベースサーバーとDelivery Controllerがもう一方にあるように配置する必要があります。したがって、データセンター内にデータベースサーバーとControllerを格納するためのエンクレーブを作成することを検討してください。また、ユーザーデバイスと仮想デスクトップ間の保護も検討してください。
-
注:
-
TCPポート1494および2598はICAおよびCGPに使用されるため、データセンター外のユーザーがアクセスできるようにファイアウォールで開かれている可能性が高いです。Citrixは、管理インターフェイスが意図せず攻撃に対して開かれたままになる可能性を避けるため、これらのポートを他の目的で使用しないことを推奨します。ポート1494および2598は、Internet Assigned Number Authority (http://www.iana.org/) に正式に登録されています。
Delivery Controller™とのセキュアな通信
HTTPSを使用した通信の暗号化
-
StoreFrontおよびNetScaler Gatewayは、HTTPまたはHTTPSを介してDelivery Controller上で実行されているXMLサービスと通信します。構成によっては、VDAはWebSocketを使用してDelivery Controllerと通信する場合があります。Directorは、HTTPまたはHTTPSを介してODataを使用してモニターデータと通信します。HTTPSを有効にし、HTTPを無効にすることをお勧めします。これには、Delivery ControllerでTLSを有効にする必要があります。
- StoreFrontをHTTPSを使用して接続するように構成するには、「Citrix Virtual Apps and Desktopsのリソースフィードを追加する」および「Citrix Gatewayアプライアンスを追加する」を参照してください
- NetScaler GatewayをHTTPSを使用してDelivery Controllerに接続するように構成するには、「NetScaler GatewayでのSecure Ticket Authorityの構成」を参照してください
セキュリティキー
セキュリティキーを使用して、承認されたStoreFrontおよびNetScalerサーバーのみがクラウドコネクタを介してDaaSに接続できるようにすることができます。これは、XML信頼を有効にしている場合に特に重要です。
XML信頼
デフォルトでは、StoreFrontが列挙や起動などのアクションのためにDelivery Controllerに接続する場合、DaaSがユーザーを認証し、ユーザーのグループメンバーシップを確認できるように、StoreFrontはユーザーのActive Directory資格情報を渡す必要があります。ただし、ドメインパススルー、スマートカード、SAMLなどの他の認証方法を使用する場合、StoreFrontはActive Directoryパスワードを持っていません。この場合、「XML信頼」を有効にする必要があります。XML信頼が有効になっている場合、Citrix Virtual Apps and Desktopsは、ユーザーのパスワードを検証することなく、アプリケーションの列挙や起動など、ユーザーに代わってStoreFrontがアクションを実行することを許可します。XML信頼を有効にする前に、セキュリティキーまたはファイアウォールやIPsecなどの別のメカニズムを使用して、信頼できるStoreFrontサーバーのみがDelivery Controllerに接続できるようにしてください。
Citrix Virtual Apps and Desktops PowerShell SDKを使用して、XML信頼設定を確認、有効化、または無効化します。
- XML信頼設定の現在の値を確認するには、
Get-BrokerSiteを実行し、TrustRequestsSentToTheXMLServicePortの値を調べます -
XML信頼を有効または無効にするには、
Set-BrokerSiteをパラメーターTrustRequestsSentToTheXmlServicePortとともに実行します -
VDAとDelivery Controller間の通信
-
VDAがControllerと通信するためのメカニズムは2つあります。
-
Windows Communication Foundation
Windows Communication Foundation(WCF)のメッセージレベル保護は、Delivery ControllerとVDA間の通信を保護します。これにより、TLSを使用した追加のトランスポートレベル保護の必要がなくなります。VDAとDelivery Controller間の通信に使用されるデフォルトポートは80です。ただし、ポートをカスタマイズできます。詳細については、「VDAをカスタマイズする」を参照してください。
WCFにおけるメッセージセキュリティの詳細については、Microsoftドキュメント「Message Security in WCF」を参照してください。
WCF構成は、ControllerとVDA間の相互認証にKerberosを使用します。暗号化には256ビットキーのCBCモードのAESを使用します。メッセージの整合性にはSHA-1を使用します。
マイクロソフトによると、WCF で使用されるセキュリティ プロトコルは、WS-SecurityPolicy 1.2 を含む OASIS (構造化情報標準推進機構) の標準に準拠しています。また、マイクロソフトは、WCF が Security Policy 1.2 に記載されているすべてのアルゴリズムスイートをサポートしていると述べています。
Controller と VDA 間の通信には basic256 アルゴリズムスイートが使用され、そのアルゴリズムは前述のとおりです。
WCF 構成では、メッセージレベルのセキュリティ暗号化とともに SOAP over HTTP プロトコルを使用します。
- WebSockets
これは WCF の最新の代替手段です。VDA から Delivery Controller への通信に TLS ポート 443 のみを使用するという利点があります。現在、MCS でプロビジョニングされたマシンでのみ利用可能です。詳細については、「VDA と Delivery Controller 間の WebSocket 通信」を参照してください。
Delivery Controller とライセンスサーバー間のセキュアな通信
Delivery Controller は HTTPS 経由でライセンスサーバーと通信します。デフォルトでは自己署名証明書を使用しますが、エンタープライズまたはパブリック証明機関によって発行された証明書に置き換えることをお勧めします。詳細については、「Citrix Licensing Manager および Web Services for Licensing で使用される証明書を手動でインストールする」を参照してください。
Web ブラウザーと Web Studio および Director 間のセキュアな通信
Web Studio と Director は、Delivery Controller と同じマシンまたは別のマシンにインストールできます。ユーザーは Web ブラウザーを使用して Web Studio および Director に接続します。デフォルトでは、Web Studio は自己署名証明書を使用して HTTPS を有効にしますが、スタンドアロンでインストールされた Director は HTTPS を構成しません。適切な証明書を使用して、Web Studio および Director で TLS を有効にすることをお勧めします。
ICA® 通信の保護
Citrix Virtual Apps and Desktops™ は、クライアントと VDA 間の ICA トラフィックを保護するためのいくつかのオプションを提供します。利用可能なオプションは次のとおりです。
- 基本暗号化: デフォルト設定。
- SecureICA: RC5 (128 ビット) 暗号化を使用してセッションデータを暗号化できます。
- VDA TLS/DTLS: TLS/DTLS を使用してネットワークレベルの暗号化を使用できます。
基本暗号化
- 基本暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。
- 
SecureICA
SecureICA を使用する場合、トラフィックは次の図に示すように暗号化されます。
-
詳細については、「セキュリティポリシー設定」を参照してください。
-
注 1:
-
Workspace app for HTML5 を使用する場合、SecureICA はサポートされません。
注 2:
-
-
Citrix SecureICA は ICA/HDX プロトコルの一部ですが、Transport Layer Security (TLS) のような標準準拠のネットワークセキュリティプロトコルではありません。
-
VDA TLS/DTLS
-
VDA TLS/DTLS 暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。
-
-
VDA TLS/DTLS を構成するには、「VDA の TLS 設定」を参照してください。
-
仮想チャネル
-
仮想チャネル許可リストを使用して、環境で許可されるCitrix以外の仮想チャネルを制御します。
-
印刷サーバーとのセキュアな通信
- Virtual Delivery Agent(VDA)とUniversal Print Server間のTCPベースの接続でTLSを有効にできます。詳しくは、「Universal Print Serverでのトランスポート層セキュリティ(TLS)」を参照してください。
サイトデータベースとのセキュアな通信
サイトデータベースへのTLSの有効化については、「CTX137556」を参照してください。
一般的な推奨事項
VDAを最新のオペレーティングセキュリティ更新プログラムとウイルス対策ソフトウェアで常に最新の状態に保ってください。
アプリケーションのセキュリティ
非管理者ユーザーが悪意のある操作を実行するのを防ぐため、Citrix®では、VDAホスト上のインストーラー、アプリケーション、実行可能ファイル、およびスクリプトに対してWindows AppLockerルールを構成することを推奨しています。
8.3形式のファイル名
VDAで8.3形式のファイル名を無効にできます。Microsoft fsutilのドキュメントを参照してください。
デスクトップ環境は、プールされたデスクトップや専用デスクトップなど、さまざまな種類のデスクトップで構成される場合があります。ユーザーは、プールされたデスクトップなど、ユーザー間で共有されるデスクトップにデータを保存してはなりません。ユーザーが専用デスクトップにデータを保存する場合、そのデスクトップが後で他のユーザーに利用可能になる場合は、そのデータを削除する必要があります。
ユーザーアカウント管理
アカウント管理にはWindowsのベストプラクティスを適用してください。Machine Creation ServicesまたはProvisioning Servicesによって複製される前に、テンプレートまたはイメージ上にアカウントを作成しないでください。特権のあるドメインアカウントを保存してタスクをスケジュールしないでください。共有Active Directoryマシンアカウントを手動で作成しないでください。これらの慣行は、マシン攻撃がローカルの永続的なアカウントパスワードを取得し、それらを使用して他のユーザーに属するMCS/PVS共有イメージにログオンするのを防ぐのに役立ちます。
ユーザーには、必要な機能のみを付与してください。Microsoft Windowsの特権は、通常どおりデスクトップに適用され続けます。ユーザー権利の割り当てを通じて特権を構成し、グループポリシーを通じてグループメンバーシップを構成します。このリリースの一つの利点は、デスクトップが保存されているコンピューターの物理的な制御を付与することなく、ユーザーにデスクトップへの管理者権限を付与できることです。
-
デスクトップの特権を計画する際には、次の点に注意してください。
- デフォルトでは、非特権ユーザーがデスクトップに接続すると、自分のユーザーデバイスのタイムゾーンではなく、デスクトップを実行しているシステムのタイムゾーンが表示されます。ユーザーがデスクトップを使用する際にローカルタイムを表示できるようにする方法については、「デリバリーグループの管理」の記事を参照してください。
- デスクトップの管理者であるユーザーは、そのデスクトップを完全に制御できます。デスクトップが専用デスクトップではなくプールされたデスクトップである場合、そのユーザーは、将来のユーザーを含む、そのデスクトップの他のすべてのユーザーに関して信頼されている必要があります。デスクトップのすべてのユーザーは、この状況によって引き起こされるデータセキュリティへの潜在的な永続的なリスクを認識する必要があります。この考慮事項は、単一のユーザーしかいない専用デスクトップには適用されません。そのユーザーは、他のデスクトップの管理者であってはなりません。
- デスクトップの管理者であるユーザーは、通常、そのデスクトップにソフトウェア(潜在的に悪意のあるソフトウェアを含む)をインストールできます。また、ユーザーは、デスクトップに接続されているネットワーク上のトラフィックを監視または制御できる可能性もあります。
ログオン権限の管理
ログオン権限は、ユーザーアカウントとコンピューターアカウントの両方に必要です。Microsoft Windowsの特権と同様に、ログオン権限は通常どおりデスクトップに適用され続けます。ユーザー権利の割り当てを通じてログオン権限を構成し、グループポリシーを通じてグループメンバーシップを構成します。
Windowsのログオン権限は、ローカルログオン、リモートデスクトップサービス経由のログオン、ネットワーク経由のログオン(ネットワークからこのコンピューターにアクセス)、バッチジョブとしてのログオン、サービスとしてのログオンです。
コンピューターアカウントの場合、コンピューターには必要なログオン権限のみを付与してください。「ネットワークからこのコンピューターにアクセス」のログオン権限は、Delivery Controllerのコンピューターアカウントに必要です。
ユーザーアカウントについては、必要なログオン権限のみをユーザーに付与してください。
Microsoft によると、既定では Remote Desktop Users グループに「リモートデスクトップサービス経由でのログオンを許可」ログオン権限が付与されています(ドメインコントローラーを除く)。
組織のセキュリティポリシーによっては、このグループをそのログオン権限から削除するよう明示的に規定されている場合があります。次のアプローチを検討してください。
- マルチセッション OS 用の Virtual Delivery Agent (VDA) は、Microsoft リモートデスクトップサービスを使用します。Remote Desktop Users グループを制限付きグループとして構成し、Active Directory グループポリシーを介してグループのメンバーシップを制御できます。詳細については、Microsoft ドキュメントを参照してください。
- シングルセッション OS 用 VDA を含む Citrix Virtual Apps™ and Desktops の他のコンポーネントでは、Remote Desktop Users グループは必要ありません。したがって、これらのコンポーネントでは、Remote Desktop Users グループに「リモートデスクトップサービス経由でのログオンを許可」ログオン権限は必要ありません。削除できます。さらに:
- リモートデスクトップサービスを介してこれらのコンピューターを管理する場合は、そのようなすべての管理者がすでに Administrators グループのメンバーであることを確認してください。
- リモートデスクトップサービスを介してこれらのコンピューターを管理しない場合は、これらのコンピューターでリモートデスクトップサービス自体を無効にすることを検討してください。
「リモートデスクトップサービス経由でのログオンを拒否」ログオン権限にユーザーとグループを追加することは可能ですが、ログオン拒否権限の使用は一般的に推奨されません。詳細については、Microsoft ドキュメントを参照してください。
Delivery Controller のセキュリティ
Delivery Controller の Windows サービス
Delivery Controller のインストールにより、次の Windows サービスが作成されます。
- Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): VM の Microsoft Active Directory コンピューターアカウントを管理します。
- Citrix Analytics (NT SERVICE\CitrixAnalytics): サイト管理者が承認した場合、Citrix が使用するサイト構成の使用状況情報を収集します。その後、製品改善のためにこの情報を Citrix に送信します。
- Citrix App Library (NT SERVICE\CitrixAppLibrary): AppDisk の管理とプロビジョニング、AppDNA 統合、および App-V の管理をサポートします。
- Citrix Broker Service (NT SERVICE\CitrixBrokerService): ユーザーが利用できる仮想デスクトップまたはアプリケーションを選択します。
- Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): 管理者がサイトに対して行ったすべての構成変更およびその他の状態変更を記録します。
- Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): 共有構成のためのサイト全体のリポジトリ。
- Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): 管理者に付与された権限を管理します。
- Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): 他の Delivery Controller サービスのセルフテストを管理します。
- Citrix Host Service (NT SERVICE\CitrixHostService): Citrix Virtual Apps または Citrix Virtual Desktops の展開で使用されるハイパーバイザーインフラストラクチャに関する情報を保存し、コンソールがハイパーバイザープール内のリソースを列挙するために使用する機能も提供します。
- Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): デスクトップ VM の作成をオーケストレーションします。
- Citrix Monitor Service (NT SERVICE\CitrixMonitor): Citrix Virtual Apps または Citrix Virtual Desktops のメトリックを収集し、履歴情報を保存し、トラブルシューティングおよびレポートツール用のクエリインターフェイスを提供します。
- Citrix StoreFront Service (NT SERVICE\ CitrixStorefront): StoreFront の管理をサポートします。(StoreFront コンポーネント自体の一部ではありません。)
- Citrix StoreFront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): StoreFront の特権管理操作をサポートします。(StoreFront コンポーネント自体の一部ではありません。)
- Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): メインサイトデータベースからローカルホストキャッシュに構成データを伝播します。
- Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): メインサイトデータベースが利用できない場合に、ユーザーが利用できる仮想デスクトップまたはアプリケーションを選択します。
Delivery Controller のインストールにより、次の Windows サービスも作成されます。これらは他の Citrix コンポーネントと一緒にインストールされた場合にも作成されます。
- Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Citrix サポートが使用する診断情報の収集をサポートします。
- Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Citrix による分析のために診断情報を収集し、分析結果と推奨事項を管理者が表示してサイトの問題を診断できるようにします。
Delivery Controller のインストールにより、次の Windows サービスも作成されます。これは現在使用されていません。有効になっている場合は、無効にしてください。
- Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)
Delivery Controller のインストールにより、次の Windows サービスも作成されます。これらは現在使用されていませんが、有効にする必要があります。無効にしないでください。
- Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
- Citrix Trust Service (NT SERVICE\CitrixTrust)
Citrix StoreFront™ Privileged Administration Service を除き、これらのサービスには「サービスとしてログオン」ログオン権限と、「プロセスのメモリクォータの調整」、「セキュリティ監査の生成」、「プロセスレベルトークンの置き換え」の特権が付与されています。これらのユーザー権限を変更する必要はありません。これらの特権は Delivery Controller では使用されず、自動的に無効になります。
Citrix StoreFront Privileged Administration Service および Citrix Telemetry Service を除き、前述の Delivery Controller Windows サービスは NETWORK SERVICE ID としてログオンするように構成されています。これらのサービス設定を変更しないでください。
Citrix Config Synchronizer Service は、NETWORK SERVICE アカウントが Delivery Controller のローカル管理者グループに属している必要があります。これにより、ローカルホストキャッシュが正しく機能します。
Citrix StoreFront Privileged Administration Service は、ローカルシステム (NT AUTHORITY\SYSTEM) としてログオンするように構成されています。これは、通常サービスでは利用できない Delivery Controller StoreFront 操作(Microsoft IIS サイトの作成を含む)に必要です。そのサービス設定を変更しないでください。
Citrix Telemetry Service は、独自のサービス固有の ID としてログオンするように構成されています。
Citrix Telemetry Service は無効にできます。このサービスとすでに無効になっているサービスを除き、他の Delivery Controller Windows サービスを無効にしないでください。
ログオン権限の管理
VDA のコンピューターアカウントには、「ネットワーク経由でこのコンピューターにアクセス」ログオン権限が必要です。Active Directory OU ベースの Controller 検出を参照してください。
クライアントアクセス
クライアントアクセスは通常、Citrix StoreFront を展開することで提供されます。StoreFront のセキュリティ保護に関する詳細は、StoreFront ドキュメントを参照してください。
リモートユーザーが StoreFront および VDA に安全に接続できるようにするには、NetScaler® Gateway を展開します。
Citrix は、クライアントが Citrix Workspace アプリを使用して StoreFront に接続することを推奨します。詳細については、各オペレーティングシステム用の Citrix Workspace アプリのドキュメントのセキュリティセクションを参照してください。あるいは、ユーザーは Web ブラウザを使用して StoreFront にアクセスすることもできます。
ユーザーが Citrix Workspace™ アプリ以外のアプリケーションを実行する能力が制限されているシンクライアントをユーザーに提供することを検討してください。デバイスが組織によって管理されている場合、オペレーティングシステムのセキュリティ更新プログラムとウイルス対策ソフトウェアの展開を確実にするためのポリシーを設定する必要があります。しかし、多くの場合、ユーザーは組織の管理外にある管理されていないデバイスから接続できる必要があります。以下の機能の使用を検討してください。
- Endpoint Analysis:エンドポイントでオペレーティングシステムやウイルス対策などのセキュリティ情報をスキャンし、セキュリティ要件を満たさないクライアントへのアクセスを拒否します。
- App Protection:キーロガーおよび画面キャプチャをブロックします。
混在バージョン環境
VDA と Delivery Controller のバージョンが異なる場合など、混在バージョン環境は一部のアップグレード中に避けられません。ベストプラクティスに従い、異なるバージョンの Citrix コンポーネントが共存する時間を最小限に抑えてください。混在バージョン環境では、たとえばセキュリティポリシーが均一に適用されない場合があります。
注:
これは他のソフトウェア製品にも共通しています。以前のバージョンの Active Directory を使用すると、新しいバージョンの Windows ではグループポリシーが部分的にしか適用されません。
以下のシナリオは、特定の混在バージョン Citrix 環境で発生する可能性のあるセキュリティ問題について説明しています。Citrix Receiver 1.7 を使用して XenApp および XenDesktop 7.6 Feature Pack 2 の VDA を実行している仮想デスクトップに接続する場合、ポリシー設定 Allow file transfer between desktop and client はサイトで有効になっていますが、XenApp および XenDesktop 7.1 を実行している Delivery Controller では無効にできません。これは、製品の新しいバージョンでリリースされたポリシー設定を認識しないためです。このポリシー設定により、ユーザーはファイルを仮想デスクトップにアップロードおよびダウンロードできるようになり、これがセキュリティ問題となります。この問題を回避するには、Delivery Controller (または Studio のスタンドアロンインスタンス) をバージョン 7.6 Feature Pack 2 にアップグレードし、グループポリシーを使用してポリシー設定を無効にします。あるいは、影響を受けるすべての仮想デスクトップでローカルポリシーを使用します。
Remote PC Access のセキュリティに関する考慮事項
Remote PC Access は、以下のセキュリティ機能を実装しています。
- スマートカードの使用をサポート
- リモートセッションが接続されると、オフィス PC のモニターは空白で表示
- Remote PC Access は、CTRL+ALT+DEL および USB 対応スマートカードと生体認証デバイスを除き、すべてのキーボードおよびマウス入力をリモートセッションにリダイレクト
- SmoothRoaming は単一ユーザーのみをサポート
- ユーザーがオフィス PC にリモートセッションを接続している場合、そのユーザーのみがオフィス PC のローカルアクセスを再開できます。ローカルアクセスを再開するには、ユーザーはローカル PC で Ctrl-Alt-Del を押し、リモートセッションで使用されたものと同じ資格情報でログオンします。システムに適切なサードパーティの資格情報プロバイダー統合がある場合、ユーザーはスマートカードを挿入するか、生体認証を利用することによってもローカルアクセスを再開できます。このデフォルトの動作は、グループポリシーオブジェクト (GPO) を介して高速ユーザー切り替えを有効にするか、レジストリを編集することによって上書きできます
注:
Citrix は、VDA 管理者権限を一般セッションユーザーに割り当てないことを推奨します。
自動割り当て
デフォルトでは、Remote PC Access は複数のユーザーを VDA に自動割り当てすることをサポートしています。XenDesktop 5.6 Feature Pack 1 では、管理者は RemotePCAccess.ps1 PowerShell スクリプトを使用してこの動作を上書きできます。このリリースでは、複数の自動 Remote PC 割り当てを許可または禁止するためにレジストリエントリを使用します。この設定はサイト全体に適用されます。
注意:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。レジストリエディターの使用は自己責任で行ってください。編集する前に必ずレジストリをバックアップしてください。
自動割り当てを単一ユーザーに制限するには:
サイト内の各 Controller で、以下のレジストリエントリを設定します。
HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = 複数ユーザーの割り当てを無効にする, 1 = (デフォルト) 複数ユーザーの割り当てを有効にする
既存のユーザー割り当てがある場合は、SDK コマンドを使用してそれらを VDA から削除し、その後、単一の自動割り当ての対象となるようにします。
- VDA から割り当て済みのすべてのユーザーを削除:
$machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine - Delivery Group から VDA を削除:
$machine | Remove-BrokerMachine -DesktopGroup $desktopGroup
物理オフィス PC を再起動します。
共有
共有
この記事の概要
- ファイアウォール
- Delivery Controller™とのセキュアな通信
- Delivery Controller とライセンスサーバー間のセキュアな通信
- Web ブラウザーと Web Studio および Director 間のセキュアな通信
- ICA® 通信の保護
- 仮想チャネル
- 印刷サーバーとのセキュアな通信
- サイトデータベースとのセキュアな通信
- VDAマシンのセキュリティ
- Delivery Controller のセキュリティ
- Delivery Controller の Windows サービス
- クライアントアクセス
- 混在バージョン環境
- Remote PC Access のセキュリティに関する考慮事項
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.