USBとクライアント側ドライブの考慮事項
HDXテクノロジは、一般的なUSBデバイスのほとんどに最適化されたサポートを提供します。以下が対象となります:
- モニター
- マウス
- キーボード
- ボイスオーバーIP電話
- ヘッドセット
- Webカメラ
- スキャナー
- カメラ
- プリンター
- ドライブ
- スマートカードリーダー
- 描画用タブレット
- 署名パッド
最適化されたサポートにより、パフォーマンスが良くなることでユーザーエクスペリエンスが向上し、WAN経由の帯域幅効率が改善されます。最適化されたサポートは通常、遅延が多い環境やセキュリティが厳しい環境で最善のオプションです。
HDXテクノロジにより、特殊デバイスに次のような最適化されたサポートがないときや、不適切なときに汎用USBリダイレクトを使用できます:
- USBデバイスに追加の高度な機能があり(追加ボタンがあるマウスやWebカメラなど)、それらの機能が最適化されたサポートに含まれていないとき。
- ユーザーが最適化されたサポートに含まれない機能(CDの書き込みなど)を必要とするとき。
- USBデバイスが特殊なデバイス(テスト用機器、測定用機器、工業用コントローラーなど)であるとき。
- アプリケーションがUSBデバイスとしてデバイスに直接アクセスする必要があるとき。
- USBデバイスでWindowsドライバーしか使用できないとき。たとえば、スマートカードリーダーにCitrix Receiver for Androidで使用できるドライバーがないことがあります。
- Citrix Receiverのバージョンが、該当するタイプのUSBデバイスに最適化されたサポートを提供しないとき。
汎用USBリダイレクトでは、以下に注意してください。
- ユーザーデバイスにデバイスドライバーをインストールする必要はありません。
- USBクライアントドライバーはVDAマシン上にインストールされます。
注
- 汎用USBリダイレクトは、最適化されたサポートと併用できます。汎用USBリダイレクトを有効にする場合は、整合性の不一致と予期しない動作を避けるために、CitrixのUSBデバイスのポリシー設定で汎用USBリダイレクトと最適化されたサポートの両方を構成します。
- 一部のUSBデバイスでは、Citrixのポリシー設定のクライアントUSBデバイス最適化規則は、汎用USBリダイレクト専用の設定となります。ここで説明したような最適化されたサポートではありません
- クライアントUSBプラグアンドプレイデバイスリダイレクトは、Picture Transfer Protocol(PTP)やMedia Transfer Protocol(MTP)を使用するカメラやメディアプレーヤーなどのデバイスに、最適化されたサポートを提供する関連機能です。クライアントUSBプラグアンドプレイリダイレクトは汎用USBリダイレクトの一部ではありません。サポートされているバージョンについては、「デフォルトのポリシー設定」を参照してください。
USBデバイスのパフォーマンスに関する考慮事項
一部のタイプのUSBデバイスの汎用USBリダイレクトでは、ネットワークの遅延と帯域幅がユーザーエクスペリエンスとUSBデバイスの操作に影響を与えます。たとえば、遅延が多く低帯域幅のリンクでタイミングが重要なデバイスが正しく動作しないことがあります。可能な場合は、代わりに最適化されたサポートを使用してください。
3Dマウスなどの一部のUSBデバイスは、高い帯域幅を使用できる必要があります(通常、これも高帯域幅を必要とする3Dアプリとともに使用)。パフォーマンスの問題はCitrixポリシーを使って回避することができます。詳しくは、「帯域幅のポリシー設定」(クライアントUSBデバイスリダイレクトの場合)および 「マルチストリーム接続のポリシー設定」を参照してください。
USBデバイスのセキュリティに関する考慮事項
スマートカードリーダーやフィンガープリントリーダー、署名パッドなどの一部のUSBデバイスは、もともとセキュリティを重視します。USBストレージデバイスなどの他のUSBデバイスは、機密扱いである可能性のあるデータの受け渡しに使用できます。
USBデバイスは、しばしばマルウェアの配信に使用されます。このようなUSBデバイスのリスクを、Citrix Receiver、XenApp、およびXenDesktopの構成で減らすことはできますが、すべて取り除くことはできません。このことは、汎用USBリダイレクトを使用しているか最適化されたサポートを使用しているかにかかわらず当てはまります。
重要
セキュリティを重視するデバイスやデータを扱う場合は、TLSまたはIPSecのどちらかを使用して、常にHDX接続をセキュリティで保護してください。
必要なUSBデバイスのサポートのみを有効にしてください。汎用USBリダイレクトと最適化されたサポートの両方で、このニーズを満たしてください。
信用できるソースから入手したUSBデバイスのみを使用する、USBデバイスを人がいないオープンな環境に置きっぱなしにしない(例:インターネットカフェにFlashデバイスを置きっぱなしにしない)といった、USBデバイスの安全な使用についてのガイダンスをユーザーに提供してください。また、複数のコンピューターで1つのUSBデバイスを使用することのリスクを説明してください。
汎用USBリダイレクトの互換性
汎用USBリダイレクトは、USB 2.0以前のデバイスでサポートされます。USB 3.0デバイスをUSB 2.0またはUSB 3.0ポートに接続した場合も、汎用USBリダイレクトがサポートされます。汎用USBリダイレクトは、USB3.0に導入された超高速などのUSB機能はサポートしません。
次のCitrix Receiverは、汎用USBリダイレクトをサポートします:
- Citrix Receiver for Windowsについては、「USBサポートの構成」を参照してください。
- Citrix Receiver for Macについては、Citrix Receiver for Macの構成を参照してください。
- Citrix Receiver for Linuxについては、「最適化」を参照してください。
- Citrix Receiver for Chrome OSについては、「新機能」を参照してください
Citrix Receiverのバージョンについては、『Citrix Receiver Feature Matrix』を参照してください。
前のバージョンのCitrix Receiverを使用している場合は、Citrix Receiverのドキュメントを参照して、汎用USBリダイレクトがサポートされていることを確認してください。サポートされるUSBデバイスのタイプに関する制限事項については、Citrix Receiverのドキュメントを参照してください。
汎用USBリダイレクトはVDA for Desktop OSのバージョン7.6以上のデスクトップセッションでサポートされます。
汎用USBリダイレクトはVDA for Server OSのバージョン7.6以上のデスクトップセッションでサポートされますが、以下の制限事項があります。
- VDAはWindows Server 2012 R2またはWindows Server 2016で動作している必要があります。
- USBデバイスドライバーは、完全仮想化サポートなど、Windows 2012 R2のリモートデスクトップセッションホスト(RDSH)と完全に互換性がある必要があります。
次のような一部のタイプのUSBデバイスは、リダイレクトしても役に立たないため、汎用USBリダイレクトをサポートしません。
- USBモデム。
- USBネットワークアダプター。
- USBハブ。USBハブに接続したUSBデバイスは、個別に扱われます。
- USB仮想COMポート。汎用USBリダイレクトではなく、COMポートリダイレクトを使用します。
汎用USBリダイレクトでテストされたUSBデバイスについては、CTX123569を参照してください。一部のUSBデバイスは、汎用USBリダイレクトを使用すると正しく動作しません。
汎用USBリダイレクトの設定
汎用USBリダイレクトを使用するUSBデバイスのタイプを制御できます。次の手段で別々に設定できます:
- Citrixポリシー設定を使ってVDAで設定します。詳しくは、「ポリシー設定リファレンス」の「クライアントドライブやデバイスのリダイレクト」、および「USBデバイスのポリシー設定」を参照してください。
- Citrix ReceiverでCitrix Receiverに依存するメカニズムを使用します。たとえば、Citrix Receiver for Windowsは、管理用テンプレートで制御できるレジストリ設定で設定します。USBリダイレクトのデフォルトでは、特定のクラスのUSBデバイスでのみ許可され、ほかのクラスのデバイスはリダイレクトされません。詳しくは、Citrix Receiver for Windowsのドキュメントの「USBサポートの構成」を参照してください。
別々に設定できることで柔軟性が提供されます。例:
- 2つの異なる組織または部門がCitrix ReceiverとVDAを担当している場合に、それぞれが別に制御を実行できます。このことは、ある組織のユーザーが別の組織のアプリケーションにアクセスするときにも適用されます。
- USBデバイスを、特定のユーザーのみまたは(NetScaler Gateway経由ではなく)LAN経由で接続しているユーザーのみに許可する必要がある場合は、Citrixポリシー設定で制御できます。
汎用USBリダイレクトの有効化
汎用USBリダイレクトを有効にするには、Citrixポリシー設定とCitrix Receiverの両方を設定します。
Citrixポリシー設定で、次の手順に従います:
-
ポリシーに [クライアントUSBデバイスリダイレクト] を追加して、値を [許可] に設定します。
-
必要な場合は、ポリシーに [クライアントUSBデバイスリダイレクト規則] 設定を追加してUSBポリシー規則を指定し、リダイレクトするUSBデバイスの一覧を変更します。
Citrix Receiverで、次の手順に従います:
-
ユーザーデバイスにCitrix Receiverをインストールするときに、USBサポートを有効にします。この操作は、管理用テンプレートを使うか、[Citrix Receiver for Windows]>[基本設定]>[接続]で実行できます。
前の手順でVDAのUSBポリシー規則を指定した場合は、Citrix Receiverについても同じポリシー規則を指定します。
シンクライアントでのUSBサポートおよびその構成方法については、デバイスの製造元に問い合わせてください。
汎用USBリダイレクトで使用できるUSBデバイスタイプの設定
USBサポート機能が有効になっており、USB関連のユーザー設定でUSBデバイスに自動接続するように設定されている場合は、USBデバイスが自動的にリダイレクトされます。また、デスクトップアプライアンスモードで接続バーが表示されていない場合も、USBデバイスが自動的にリダイレクトされます。
ユーザーは、USBデバイスの一覧からデバイスを選択することによって、自動的にリダイレクトされないデバイスを明示的にリダイレクトすることができます。この手順について詳しくは、Citrix Receiver for Windowsのユーザーヘルプ「Desktop Viewerでのデバイスの表示」に説明されています。
最適化されたサポートではなく汎用USBリダイレクトを使用するには、次のどちらかの手順を実行します。
- Citrix Receiverで、汎用USBリダイレクトを使うUSBデバイスを手動で選択し、[基本設定]ダイアログボックスの[デバイス]タブから [汎用に切り替え] を選択します。
- USBデバイスタイプの自動リダイレクトを設定することで(たとえばAutoRedirectStorage=1)、汎用USBリダイレクトを使うUSBデバイスを自動選択して、USBユーザー基本設定を自動接続USBデバイスに設定します。詳しくは、CTX123015を参照してください。
注:
WebカメラとHDXマルチメディアリダイレクトの互換性がない場合は、Webカメラで使用する汎用USBリダイレクトのみを設定します。
USBデバイスを一覧に表示しないようにしたり、USBデバイスをリダイレクトできないようにしたりするには、Citrix ReceiverおよびVDAのデバイス規則を定義します。
汎用USBリダイレクトでは、少なくともUSBデバイスクラスとサブクラスを知っておく必要があります。すべてのUSBデバイスが明確なUSBデバイスクラスとサブクラスを持つわけではありません。例:
- ペンはマウスデバイスクラスを使用します。
- スマートカードリーダーはベンダー定義のクラスまたはHIDデバイスクラスを使用できます。
より正確な制御のためには、ベンダーID、製品ID、およびリリースIDも知っておく必要があります。この情報はデバイスベンダーから入手できます。
重要
悪意のあるUSBデバイスが、意図された使用状況にマッチしないUSBデバイス特性を示すことがあります。デバイス規則は、この動作を防ぐことを目的としていません。
VDAとCitrix Receiver両方のUSBデバイスリダイレクト規則を指定し、デフォルトのUSBポリシー規則よりも優先することで、汎用USBリダイレクトを使用できるUSBデバイスを制御できます。
VDAの場合:
- グループポリシー規則を介して、サーバーOSマシン上のOSの管理者による上書き規則を編集します。グループポリシー管理コンソールは、インストールメディアにあります。
- x64の場合:DVDルートの\os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- x86の場合:DVDルートの\os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
Citrix Receiver for Windowsの場合:
- ユーザーデバイス側のレジストリを編集します。インストールメディアに収録されている管理テンプレート(ADMファイル。 DVDのルート \os\lang\Support\Configuration\icaclient_usb.adm)により、Active Directoryのグループポリシーを使用してユーザーデバイスを変更できます。
警告
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
製品のデフォルトの規則は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRulesに格納されています。このデフォルトの規則は変更しないでください。ただし、以下で説明しているように、製品のデフォルトの規則を参照して管理者による上書き規則を作成できます。管理者による上書き規則は、製品のデフォルトの規則よりも先に評価されます。
管理者による上書き規則は、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRulesに格納されています。GPOポリシー規則は、{Allow:|Deny:}の後にスペースで区切った一連の「tag=value」式の形式で設定します。
以下のタグがサポートされます。
| タグ | 説明 |
|---|---|
| VID | デバイス記述子のベンダーID |
| PID | デバイス記述子の製品ID |
| REL | デバイス記述子のリリースID |
| クラス | デバイス記述子またはインターフェイス記述子のクラス。使用可能なUSBクラスコードについては、USB Webサイトhttps://www.usb.org/を参照してください |
| SubClass | デバイス記述子またはインターフェイス記述子のサブクラス |
| Prot | デバイス記述子またはインターフェイス記述子のプロトコル |
新しいポリシー規則を作成する場合、以下の点に注意してください:
- 大文字と小文字は区別されません。
- 規則の末尾に、#で始まる任意のコメントを追加できます。区切り文字は不要で、コメントは無視されます。
- 空白行およびコメントのみの行は無視されます。
- 区切り文字にはスペースが使用されますが、番号または識別子の間には使用できません。たとえば、「Deny: Class = 08 SubClass=05」は有効ですが、「Deny: Class=0 Sub Class=05」は無効です。
- タグには等号(=)を使用する必要がありますたとえば、VID=1230とします。
- 各規則を1行ずつ記述するか、同一行に記述する場合はセミコロンで区切られたリスト形式である必要があります。
注
ADMテンプレートを使用する場合は、規則を単一行に(セミコロン区切りのリストとして)作成する必要があります。
例:
-
次の例に、ベンダーIDと製品IDに関する管理者定義のUSBポリシー規則を示します。
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products <!--NeedCopy--> -
次の例に、クラス、サブクラス、およびプロトコルに関する管理者定義のUSBポリシー規則を示します:
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices <!--NeedCopy-->
USBデバイスの装着と取り外し
ユーザーは、仮想セッションの開始前および開始後にUSBデバイスを装着できます。
Citrix Receiver for Windowsでは、以下の点について考慮してください:
- セッションを開始した後で装着したデバイスは、Desktop Viewerの[USB]メニューに追加されます。
- USBデバイスが正しくリダイレクトされない場合、仮想セッションが開始されてからデバイスを装着することで問題が解決される場合があります。
- データの損失を避けるため、Windowsで推奨される手順([ハードウェアの安全な取り外し]アイコンの使用など)に従ってUSBデバイスを取り外してください。
USBマスストレージデバイスのセキュリティ制御
USBマスストレージデバイスでは最適化されたサポートが提供されます。これは、XenAppおよびXenDesktopクライアントドライブのマッピングに含まれています。ユーザーのログオン時にユーザーデバイス上のドライブが自動的に仮想デスクトップのドライブ文字にマップされます。これらのドライブは、マップされたドライブ文字を持つ共有フォルダーとして表示されます。クライアントドライブのマッピングを構成するには、ICAのポリシー設定の [ファイルリダイレクトポリシー設定] セクションの [クライアント側リムーバブルドライブ] 設定を使用します。
USBマスストレージデバイスでは、Citrixポリシーによって制御されるClient側ドライブのマッピングまたは汎用USBリダイレクトのどちらか、またはこの両方を使用できます。主な違いは次のとおりです。
| 機能 | クライアントドライブマッピング | 汎用USBリダイレクト |
|---|---|---|
| デフォルトで有効。 | はい | いいえ |
| 読み取り専用アクセスの構成が可能 | はい | いいえ |
| デバイスアクセスが暗号化される | はい、デバイスにアクセスする前に暗号化のロックを解除した場合 | いいえ |
| セッション中にデバイスを安全に取り外せる | いいえ | はい(ユーザーがオペレーティングシステムで推奨される手順に従う場合) |
汎用USBリダイレクトとクライアントドライブのマッピングのポリシーの両方が有効な場合、セッション開始前または後に装着されたマスストレージデバイスがクライアントドライブのマッピングによりリダイレクトされます。汎用USBリダイレクトとクライアント側ドライブのマッピングのポリシーの両方が有効で、自動リダイレクトが構成されている場合(https://support.citrix.com/article/CTX123015を参照)、セッション開始前または後に装着されたマスストレージデバイスが汎用USBリダイレクトによりリダイレクトされます。
注
USBリダイレクトはより低い帯域幅の接続(50Kbpsなど)でもサポートされますが、大きなファイルはコピーできません。
クライアント側ドライブのマッピングを使うファイルアクセスの制御
管理者は、ユーザーが仮想環境のファイルをユーザーデバイス上にコピーすることを許可したり禁止したりできます。デフォルトでは、マップされたクライアント側ドライブ上のフォルダーやファイルに対するセッション内での読み取りや書き込みが許可されます。
マップされたクライアントドライブ上のフォルダーやファイルの追加や変更を禁止するには、[クライアントドライブへの読み取り専用アクセス] 設定を有効にします。この設定項目をポリシーに追加するときは、[クライアントドライブリダイレクト] 設定も追加されており、[許可] が選択されていることを確認してください。