セッション録画ポリシーの構成
システム定義の録画ポリシーをアクティブにすることも、独自のカスタム録画ポリシーを作成してアクティブにすることもできます。システム定義の録画ポリシーにより、セッション全体に単一の規則を適用します。カスタム録画ポリシーにより、録画するセッションを指定します。
アクティブな録画ポリシーによって録画するセッションが決定されます。一度にアクティブにできる録画ポリシーは1つだけです。
システム定義の録画ポリシー
Session Recordingには、次のシステム定義の録画ポリシーがあります:
-
録画しない。デフォルトのポリシーです。ほかのポリシーを指定しなければ、セッションは録画されません。
-
イベントのみを録画する(全ユーザー、通知あり)。このポリシーは、イベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは事前に録画通知を受け取ります。
-
イベントのみを録画する(全ユーザー、通知なし)。このポリシーは、イベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは録画通知を受け取りません。
-
セッション全体を録画する(全ユーザー、通知あり)。このポリシーは、セッション全体(画面とイベント)を録画します。ユーザーは事前に録画通知を受け取ります。
-
セッション全体を録画する(全ユーザー、通知なし)。このポリシーは、セッション全体(画面とイベント)を録画します。ユーザーは録画通知を受け取りません。
システム定義の録画ポリシーは変更または削除できません。
カスタム録画ポリシーの作成
ユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはVDAマシン、およびCitrix WorkspaceアプリクライアントのIPアドレスを指定すれば、そのセッションを録画できます。Session Recordingポリシーコンソールにはウィザードが用意されており、このウィザードに従って規則を作成します。公開されているアプリケーションまたはデスクトップや、デリバリーグループまたはVDAマシンの一覧を取得するには、サイト管理者の読み取り権限が必要です。サイトのDelivery Controllerで管理者の読み取り権限を構成します。
作成する規則ごとに録画操作および規則条件を指定します。録画操作は規則条件を満たすセッションに適用されます。
規則ごとに録画操作を1つ選択します:
-
通知してセッションを録画する。このオプションは、セッション全体(画面とイベント)を録画します。ユーザーは事前に録画通知を受け取ります。
-
通知しないでセッションを録画する。このオプションは、セッション全体(画面とイベント)を録画します。ユーザーは録画通知を受け取りません。
-
通知してイベントのみのセッションを録画する。このオプションは、セッションを通してイベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは事前に録画通知を受け取ります。
-
通知しないでイベントのみのセッションを録画する。このオプションは、セッションを通してイベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは録画通知を受け取りません。
-
セッションを録画しない。このオプションは、セッションが録画されないことを意味します。
規則ごとに次の項目のいずれかを少なくとも1つ選択して、規則条件を作成します:
- ユーザーまたはグループ。規則の操作を適用するユーザーまたはグループの一覧を作成します。Session RecordingによってActive Directoryグループおよびユーザーのホワイトリスト化を使用できます。
- 公開アプリケーションまたはデスクトップ。規則の操作を適用する公開アプリケーションまたはデスクトップの一覧を作成します。規則ウィザードで、アプリケーションまたはデスクトップを使用できるCitrix Virtual Apps and DesktopsまたはCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)を選択します。
- デリバリーグループまたはマシン。規則の操作を適用するデリバリーグループまたはマシンの一覧を作成します。規則ウィザードで、デリバリーグループまたはマシンの場所を選択します。
-
IPアドレスまたはIP範囲。規則の操作を適用するIPアドレスまたはIPアドレスの範囲の一覧を作成します。[IPアドレスまたはIPの範囲の選択] 画面で、録画が有効または無効になった有効なIPアドレスまたはIP範囲を追加します。このIPアドレスは、Citrix WorkspaceアプリのIPアドレスです。
注:
Session Recordingポリシーコンソールでは、1つの規則内で複数の条件を構成できます。規則が適用される際には、「AND」と「OR」の両方の論理演算子が、最終的なアクションを計算するために使われます。一般的に、「OR」演算子は一定の条件内の項目に使われ、「AND」演算子は違った複数の条件に当てはまる項目に使われます。結果がtrueであれば、Session Recordingポリシーエンジンがその規則のアクションをとります。そうでなければ、次の規則に進み、処理を繰り返します。
録画ポリシーに複数の規則を作成する場合は、複数の規則条件に一致するセッションがある可能性があります。そのような場合は、優先順位が最も高い規則がセッションに適用されます。
規則により実行される録画操作によってその優先順位が決まります。
- 「録画しない」規則の優先順位が最も高くなります。
- 「通知して録画する」規則の優先順位が次に高くなります。
- 「通知しないで録画する」規則の優先順位が最も低くなります。
- 「通知してイベントのみのセッションを録画する」規則の優先度は中程度です。
- 「通知しないでイベントのみのセッションを録画する」規則の優先度は最も低くなります。
録画ポリシーの規則条件のいずれにも当てはまらないセッションがある可能性があります。そのようなセッションについては、フォールバック規則の操作が適用されます。フォールバック規則の操作は常に 「録画しない」 です。フォールバック規則は変更または削除できません。
カスタム録画ポリシーを作成するには:
- 承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
- Session Recordingポリシーコンソールを起動して、左側のペインで [録画ポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択します。
- 新しいポリシーを右クリックして [規則の追加] をクリックします。
-
規則ウィザードで、録画オプションを選択し、[次へ] をクリックします。
-
規則条件の選択 - 次の1つまたは複数の規則条件を選択することができます:
ユーザーまたはグループ
公開アプリケーションまたはデスクトップ
デリバリーグループまたはマシン
IPアドレスまたはIPの範囲 -
規則条件の編集 - 編集するには、下線付きの値をクリックします。前の手順で選択した条件に基づき、値に下線が引かれます。
注:
[公開アプリケーションまたはデスクトップ] の下線付きの値を選択した場合、[サイトアドレス] はIPアドレス、URL、またはコントローラーがローカルネットワーク上にある場合はコンピューター名になります。[アプリケーションの名前] リストに表示名が表示されます。
[公開アプリケーションまたはデスクトップ] または [デリバリーグループまたはマシン] を選択する場合、Session Recordingポリシーコンソールで通信に使用するDelivery Controllerを指定します。
Session Recordingポリシーコンソールは、Citrix Cloudおよびオンプレミス環境からDelivery Controllerに通信する唯一のチャネルです。
たとえば、[デリバリーグループまたはマシン] を選択する場合、上のスクリーンショットの手順3で関連するハイパーリンクを選択して [追加] をクリックし、Delivery Controllerへのクエリを追加します。
以下の表は、オンプレミスおよびCitrix CloudのDelivery Controllerの使用例について説明しています:
使用例 必要な操作 オンプレミスDelivery Controller - Broker_PowerShellSnapIn_x64.msiをインストールする。2.[Citrix Cloud Controller] チェックボックスをオフにする。
Citrix Cloud Delivery Controller - Citrix DaaS Remote PowerShell SDKをインストールする。2. Citrix Cloudのアカウント資格情報を検証する。3.[Citrix Cloud Controller] チェックボックスをオンにする。
オンプレミスDelivery ControllerからCitrix Cloud Delivery Controllerに切り替える - Broker_PowerShellSnapIn_x64.msiをアンインストールしてマシンを再起動する。2. Citrix DaaS Remote PowerShell SDKをインストールする。3. Citrix Cloudのアカウント資格情報を検証する。4.[Citrix Cloud Controller] チェックボックスをオンにする。
Citrix Cloud Delivery ControllerからオンプレミスDelivery Controllerに切り替える - Citrix DaaS Remote PowerShell SDKをアンインストールしてマシンを再起動する。2. Broker_PowerShellSnapIn_x64.msiをインストールする。3.[Citrix Cloud Controller] チェックボックスをオフにする。
Citrix Cloudの資格情報の検証
Citrix CloudでホストされているDelivery Controllerにクエリするには、Session Recordingポリシーコンソールがインストールされたマシンで手動でCitrix Cloud資格情報を検証します。この作業を行わない場合、エラーが発生しSession Recordingポリシーコンソールが正常に機能しなくなることがあります。
手動で検証するには:
-
Citrix Cloudコンソールにログオンし、[IDおよびアクセス管理]>[APIアクセス] に移動します。APIアクセス用セキュアクライアントを作成して、Citrix Cloudの認証プロンプトを省略できる認証プロファイルを取得します。セキュアクライアントをダウンロードし、名前を変更して安全な場所に保存します。デフォルトのファイル名はsecureclient.csvです。
-
PowerShellセッションを開いて次のコマンドを実行し、(前の手順で取得した)認証プロファイルを有効にします。
asnp citrix.* Set-XDCredentials -CustomerId “citrixdemo” -SecureClientFile “c:\temp\secureclient.csv” -ProfileType CloudAPI –StoreAs “default” <!--NeedCopy-->必要に応じて、CustomerIdとSecureClientFileを設定します。上記のコマンドで、顧客用のデフォルトの認証プロファイル
citrixdemoが作成され、以降のすべてのPowerShellセッションで認証プロンプトが省略されます。
- ウィザードの指示に従って構成を終了します。
注: 事前起動されたアプリケーションセッションに関する制限事項:
- アクティブなポリシーがアプリケーション名との一致を試みた場合、事前起動されたセッションで開かれているアプリケーションとは一致しません。その結果、事前起動されたセッションは録画できません。
- アクティブなポリシーがすべてのアプリケーションを録画していて、セッションの事前起動が有効になっている場合は、ユーザーがWindows向けCitrix Workspaceアプリにログオンしたときに、録画通知が表示されます。事前起動された(空の)セッションと、そのセッションで今後起動されるアプリケーションが録画されます。
これを回避するには、録画ポリシーに従って別のデリバリーグループでアプリケーションを公開します。録画条件にアプリケーション名を使用しないでください。このアプローチによって、事前起動されたセッションを録画できます。ただし、通知は表示されます。
Active Directoryグループの使用
Active Directoryグループを使用して、Session Recordingのポリシーを作成できます。個々のユーザーではなくActive Directoryグループを使用すると、規則とポリシーを簡単に作成したり管理したりできます。たとえば、財務部門のユーザーがFinanceという名前のActive Directoryグループに含まれている場合は、 [規則] ウィザードでFinanceグループを選択することで、このグループのすべてのメンバーに適用される規則を作成できます。
ユーザーのホワイトリスト化
組織内の一部のユーザーのセッションを確実に録画対象から除外する、Session Recordingポリシーを作成できます。これは ユーザーのホワイトリスト化と呼ばれます。個人情報を取り扱う社員や特定の階層の従業員など、セッションを録画するべきではないユーザーをホワイトリストに登録すると便利です。
すべての上級管理職がExecutiveという名前のActive Directoryグループのメンバーである場合、Executiveグループのセッション録画を無効にする規則を作成して、それらのユーザーのセッションが決して録画されないように設定できます。この規則を含むポリシーがアクティブな間は、Executiveグループのメンバーのセッションは録画されません。組織内のほかのメンバーのセッションは、アクティブなポリシーのほかの規則に基づいて録画されます。
Directorを構成してSession Recordingサーバーを使用する
Directorコンソールを使用して、録画ポリシーを作成およびアクティブ化できます。
- HTTPS接続の場合は、Directorサーバーの[信頼されたルート証明書]にSession Recordingサーバーを信頼する証明書をインストールします。
- Session Recordingサーバーを使用するようにDirectorサーバーを構成するには、
C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecordingコマンドを実行します。 - Directorサーバーで、Session RecordingサーバーのIPアドレスまたはFQDN、ポート番号、およびSession Recording AgentがSession Recording Brokerとの接続に使用する接続の種類(HTTPまたはHTTPS)を入力します。
ロールオーバーの動作
ポリシーをアクティブにする場合、それまでアクティブだったポリシーはセッションの録画が終了するまで、またはセッションの録画ファイルが上限に達するまで効力を保ちます。ロールオーバーは、ファイルサイズが上限に達すると実行されます。録画ファイルのサイズの上限について詳しくは、「録画ファイルのサイズの指定」 を参照してください。
次の表で、セッションの録画中に新しい録画ポリシーを適用してロールオーバーが起きたときに生じる現象について説明します:
| 以前の録画ポリシー: | 新しい録画ポリシー: | ロールオーバーの後の録画ポリシー: |
|---|---|---|
| 録画しない | ほかのポリシー | 変更なし。ユーザーが新しいセッションにログオンするときのみに新しいポリシーが有効になります。 |
| 通知しないで録画する | 録画しない | 録画を停止します。 |
| 通知しないで録画する | 通知して録画する | 録画を続行し通知メッセージを表示します。 |
| 通知して録画する | 録画しない | 録画を停止します。 |
| 通知して録画する | 通知しないで録画する | 録画を続行します。ユーザーが次にログオンするときはメッセージが表示されません。 |