USBおよびクライアントドライブに関する考慮事項
HDX™テクノロジーは、最も一般的なUSBデバイスに対して最適化されたサポートを提供します。これには以下が含まれます。
- モニター
- マウス
- キーボード
- VoIPフォン
- ヘッドセット
- Webカメラ
- スキャナー
- カメラ
- プリンター
- ドライブ
- スマートカードリーダー
- ペンタブレット
- 署名パッド
最適化されたサポートは、WAN経由でパフォーマンスと帯域幅効率を向上させ、ユーザーエクスペリエンスを改善します。最適化されたサポートは、特に高遅延またはセキュリティに敏感な環境において、通常は最適な選択肢です。
HDXテクノロジーは、最適化されたサポートがない、または不適切な特殊なデバイスに対して、汎用USBリダイレクトを提供します。例:
- USBデバイスに、追加ボタン付きのマウスやWebカメラなど、最適化されたサポートの一部ではない追加の高度な機能がある場合。
- ユーザーが、CDの書き込みなど、最適化されたサポートの一部ではない機能を必要とする場合。
- USBデバイスが、テストおよび測定機器や産業用コントローラーなど、特殊なデバイスである場合。
- アプリケーションが、USBデバイスとしてデバイスへの直接アクセスを必要とする場合。
- USBデバイスにWindowsドライバーしか利用できない場合。たとえば、スマートカードリーダーにはCitrix Receiver™ for Android用のドライバーが利用できない場合があります。
- Citrix Receiverのバージョンが、この種類のUSBデバイスに対して最適化されたサポートを提供しない場合。
汎用USBリダイレクトを使用する場合:
- ユーザーはユーザーデバイスにデバイスドライバーをインストールする必要がありません。
- USBクライアントドライバーはVDAマシンにインストールされます。
注
- 汎用USBリダイレクトは、最適化されたサポートと組み合わせて使用できます。汎用USBリダイレクトを有効にする場合は、一貫性のない予期しない動作を避けるため、汎用USBリダイレクトと最適化されたサポートの両方に対してCitrix USBデバイスポリシー設定を構成します。
- Citrixポリシー設定 クライアントUSBデバイス最適化規則は、特定のUSBデバイスに対する汎用USBリダイレクトの特定の設定です。これは、ここで説明されている最適化されたサポートではありません。
- クライアントUSBプラグアンドプレイデバイスリダイレクトは、Picture Transfer Protocol (PTP) または Media Transfer Protocol (MTP) を使用するカメラやメディアプレーヤーなどのデバイスに最適化されたサポートを提供する関連機能です。クライアントUSBプラグアンドプレイリダイレクトは、汎用USBリダイレクトの一部ではありません。サポートされているVDAバージョンのリストについては、デフォルトポリシー設定を参照してください。
USBデバイスのパフォーマンスに関する考慮事項
汎用USBリダイレクトでは、一部の種類のUSBデバイスにおいて、ネットワークの遅延と帯域幅がユーザーエクスペリエンスとUSBデバイスの動作に影響を与える可能性があります。たとえば、タイミングに敏感なデバイスは、高遅延低帯域幅リンクでは正しく動作しない場合があります。可能な場合は、最適化されたサポートを使用してください。
一部のUSBデバイスは、使用可能にするために高い帯域幅を必要とします。たとえば、3Dマウス(通常高い帯域幅を必要とする3Dアプリで使用)などです。Citrixポリシーを使用することで、パフォーマンスの問題を回避できます。詳しくは、「クライアントUSBデバイスリダイレクトの帯域幅ポリシー設定」および「マルチストリーム接続ポリシー設定」を参照してください。
USBデバイスのセキュリティに関する考慮事項
一部のUSBデバイスは、スマートカードリーダー、指紋リーダー、署名パッドなど、本質的にセキュリティに敏感です。USBストレージデバイスなどの他のUSBデバイスは、機密データである可能性のあるデータを送信するために使用されることがあります。
USBデバイスは、マルウェアを配布するためによく使用されます。Citrix Receiver、XenApp、およびXenDesktop®の構成により、これらのUSBデバイスからのリスクを軽減できますが、排除することはできません。これは、汎用USBリダイレクトを使用する場合でも、最適化されたサポートを使用する場合でも同様に適用されます。
重要
セキュリティに敏感なデバイスとデータの場合、TLSまたはIPSecのいずれかを使用して、HDX接続を常に保護してください。
必要なUSBデバイスのサポートのみを有効にしてください。このニーズを満たすために、汎用USBリダイレクトと最適化されたサポートの両方を構成してください。
USBデバイスを安全に使用するためのガイダンスをユーザーに提供してください。信頼できるソースから入手したUSBデバイスのみを使用すること。オープンな環境でUSBデバイスを放置しないこと(たとえば、インターネットカフェでのフラッシュドライブ)。複数のコンピューターでUSBデバイスを使用するリスクを説明すること。
汎用USBリダイレクトとの互換性
汎用USBリダイレクトは、USB 2.0以前のデバイスでサポートされています。汎用USBリダイレクトは、USB 2.0またはUSB 3.0ポートに接続されたUSB 3.0デバイスでもサポートされています。汎用USBリダイレクトは、スーパースピードなど、USB 3.0で導入されたUSB機能をサポートしていません。
以下のCitrix Receiverは、汎用USBリダイレクトをサポートしています。
- Citrix Receiver for Windows。詳しくは、「USBサポートの構成」を参照してください。
- シトリックス レシーバー フォー Mac の場合は、シトリックス レシーバー フォー Macの構成 を参照してください。
- Citrix Receiver for Linuxについては、最適化を参照してください。
- Chrome OS向けCitrix Receiverについては、新機能を参照してください。
Citrix Receiverのバージョンについては、Citrix Receiverの機能マトリックスを参照してください。
以前のバージョンのCitrix Receiverを使用している場合は、Citrix Receiverのドキュメントを参照して、汎用USBリダイレクトがサポートされていることを確認してください。サポートされているUSBデバイスの種類に関する制限については、Citrix Receiverのドキュメントを参照してください。
汎用USBリダイレクトは、VDA for Desktop OSバージョン7.6以降のデスクトップセッションでサポートされています。
汎用USBリダイレクトは、VDA for Server OSバージョン7.6以降のデスクトップセッションでサポートされていますが、以下の制限があります。
- VDA は ウィンドウズ サーバー 2012 R2 または ウィンドウズ サーバー 2016 を実行している必要があります。
- USBデバイスドライバーは、Windows 2012 R2用のRemote Desktop Session Host (RDSH)と完全に互換性があり、完全な仮想化サポートを含む必要があります。
一部の種類のUSBデバイスは、リダイレクトしても有用ではないため、汎用USBリダイレクトではサポートされていません。
- USBモデム。
- USBネットワークアダプター。
- USBハブ。USBハブに接続されているUSBデバイスは個別に処理されます。
- USB仮想COMポート。汎用USBリダイレクトではなく、COMポートリダイレクトを使用してください。
汎用USBリダイレクトでテスト済みのUSBデバイスについては、CTX123569を参照してください。一部のUSBデバイスは、汎用USBリダイレクトでは正しく動作しません。
汎用USBリダイレクトの構成
どの種類のUSBデバイスが汎用USBリダイレクトを使用するかを制御できます。これは個別に設定可能です。
- VDA上で、Citrixポリシー設定を使用します。詳細については、ポリシー設定リファレンスのクライアントドライブとユーザーデバイスのリダイレクトおよびUSBデバイスポリシー設定を参照してください。
- Citrix Receiverで、Citrix Receiverに依存するメカニズムを使用します。たとえば、Citrix Receiver for Windowsは、管理用テンプレートで制御できるレジストリ設定で構成されています。デフォルトでは、USBリダイレクトは特定のクラスのUSBデバイスに対して許可され、他のデバイスに対しては拒否されます。詳細については、Citrix Receiver for WindowsのドキュメントのUSBサポートの構成を参照してください。
この個別の構成により、柔軟性が提供されます。例:
- 2つの異なる組織または部門がCitrix ReceiverとVDAを担当している場合、それぞれ個別に制御を適用できます。これは、ある組織のユーザーが別の組織のアプリケーションにアクセスする場合に適用されます。
- USBデバイスを特定のユーザーのみ、またはLAN経由で接続するユーザーのみ(NetScaler® Gateway経由ではなく)に許可する必要がある場合、これはCitrix®ポリシー設定で制御できます。
汎用USBリダイレクトを有効にする
汎用USBリダイレクトを有効にするには、Citrixポリシー設定とCitrix Receiverの両方を構成します。
Citrixポリシー設定で:
-
クライアントUSBデバイスリダイレクトをポリシーに追加し、その値を許可に設定します。
-
(オプション) リダイレクトに利用できるUSBデバイスのリストを更新するには、クライアントUSBデバイスリダイレクト規則設定をポリシーに追加し、USBポリシー規則を指定します。
シトリックス レシーバーの場合:
-
ユーザーデバイスにCitrix Receiverをインストールするときに、USBサポートを有効にします。これは、管理用テンプレートを使用するか、Citrix Receiver for Windows > 環境設定 > 接続で行うことができます。
前の手順でVDAにUSBポリシー規則を指定した場合は、Citrix Receiverにも同じポリシー規則を指定します。
シンクライアントについては、USBサポートの詳細と必要な構成について製造元にお問い合わせください。
汎用USBリダイレクトで利用可能なUSBデバイスの種類を構成する
USBサポートが有効で、USBユーザー設定がUSBデバイスを自動的に接続するように設定されている場合、USBデバイスは自動的にリダイレクトされます。また、デスクトップアプライアンスモードで動作しており、接続バーが表示されていない場合も、USBデバイスは自動的にリダイレクトされます。
ユーザーは、USBデバイスリストからデバイスを選択することで、自動的にリダイレクトされないデバイスを明示的にリダイレクトできます。この方法の詳細については、Citrix Receiver for Windowsのユーザーヘルプ記事「デスクトップビューアでデバイスを表示する」を参照してください。
最適化されたサポートではなく、汎用USBリダイレクトを使用するには、次のいずれかの方法があります。
- Citrix Receiverで、汎用USBリダイレクトを使用するUSBデバイスを手動で選択し、[環境設定]ダイアログボックスの[デバイス]タブから[汎用に切り替える]を選択します。
- USBデバイスの種類(例:AutoRedirectStorage=1)の自動リダイレクトを構成し、USBユーザー設定をUSBデバイスを自動的に接続するように設定することで、汎用USBリダイレクトを使用するUSBデバイスを自動的に選択します。詳細については、CTX123015を参照してください。
注:
WebカメラがHDXマルチメディアリダイレクトと互換性がないと判明した場合にのみ、Webカメラでの使用のために汎用USBリダイレクトを構成してください。
USBデバイスがリストされたりリダイレクトされたりするのを完全に防ぐには、Citrix ReceiverとVDAにデバイス規則を指定できます。
汎用USBリダイレクトの場合、少なくともUSBデバイスのクラスとサブクラスを知っている必要があります。すべてのUSBデバイスが、その見た目から明らかなUSBデバイスクラスとサブクラスを使用するわけではありません。たとえば、
- ペンはマウスデバイスクラスを使用します。
- スマートカードリーダーは、ベンダー定義またはHIDデバイスクラスを使用する場合があります。
より正確な制御のためには、ベンダーID、製品ID、およびリリースIDも知る必要があります。この情報はデバイスベンダーから入手できます。
重要
悪意のあるUSBデバイスは、意図された用途と一致しないUSBデバイス特性を示す場合があります。デバイスルールは、この動作を防ぐことを目的としていません。
デフォルトのUSBポリシー規則を上書きするために、VDAとCitrix Receiverの両方に対してUSBデバイスリダイレクト規則を指定することで、汎用USBリダイレクトで利用可能なUSBデバイスを制御します。
VDAの場合:
- グループポリシー規則を通じて、サーバーOSマシンに対する管理者上書き規則を編集します。グループポリシー管理コンソールはインストールメディアに含まれています。
- For x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- For x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
Citrix Receiver for Windows クライアントでは、以下のようになります。
- ユーザーデバイスレジストリを編集します。Active Directoryグループポリシーを通じてユーザーデバイスを変更できるように、管理用テンプレート(ADMファイル)がインストールメディアに含まれています。 dvd root \os\lang\Support\Configuration\icaclient_usb.adm
警告
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディターは自己責任で使用してください。編集する前に必ずレジストリをバックアップしてください。
製品のデフォルトルールはHKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRulesに保存されています。これらの製品デフォルトルールは編集しないでください。代わりに、以下で説明するように、管理者上書きルールを作成するためのガイドとして使用してください。GPO上書きは、製品デフォルトルールよりも前に評価されます。
管理者による上書きルールは、HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules に保存されています。GPOポリシールールは、{Allow:|Deny:} という形式で記述され、その後に空白で区切られた複数の tag=value 式が続きます。
以下のタグがサポートされています。
| タグ | 説明 |
|---|---|
| VID | デバイス記述子からのベンダーID |
| PID | デバイス記述子からの製品ID |
| REL | デバイス記述子からのリリースID |
| クラス | デバイス記述子またはインターフェイス記述子のいずれかからのクラス。利用可能なUSBクラスコードについては、https://www.usb.org/ のUSB Webサイトを参照してください。 |
| サブクラス | デバイス記述子またはインターフェイス記述子のいずれかからのサブクラス |
| プロトコル | デバイス記述子またはインターフェイス記述子のいずれかからのプロトコル |
新しいポリシー規則を作成する際は、次の点に注意してください。
- ルールでは大文字と小文字は区別されません。
- ルールには、オプションで末尾に「#」で始まるコメントを付けることができます。区切り文字は不要で、コメントは照合目的では無視されます。
- 空行およびコメントのみの行は無視されます。
- 空白は区切り文字として使用されますが、数値または識別子の途中に含めることはできません。たとえば、「Deny: Class = 08 SubClass=05」は有効なルールですが、「Deny: Class=0 Sub Class=05」は無効です。
- タグは一致演算子「=」を使用する必要があります。たとえば、「VID=1230」です。
- 各ルールは新しい行で開始するか、セミコロン区切りのリストの一部である必要があります。
注
ADMテンプレートファイルを使用している場合は、ルールをセミコロン区切りのリストとして1行で作成する必要があります。
例を挙げます:
-
次の例は、ベンダーおよび製品識別子に対する管理者定義のUSBポリシー規則を示しています。
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products <!--NeedCopy--> -
次の例は、定義されたクラス、サブクラス、およびプロトコルに対する管理者定義のUSBポリシー規則を示しています。
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices <!--NeedCopy-->
USBデバイスの使用と削除
ユーザーは、仮想セッションを開始する前または開始した後にUSBデバイスを接続できます。
Citrix Receiver for Windowsを使用する場合、以下が適用されます。
- セッション開始後に接続されたデバイスは、Desktop ViewerのUSBメニューにすぐに表示されます。
- USBデバイスが適切にリダイレクトされない場合、仮想セッションが開始されるまでデバイスの接続を待つことで問題を解決できる可能性があります。
- データ損失を避けるため、USBデバイスを取り外す前にWindowsの「ハードウェアを安全に取り外す」アイコンを使用してください。
USB大容量記憶装置のセキュリティ制御
USB大容量記憶装置には最適化されたサポートが提供されます。これはXenAppおよびXenDesktopのクライアントドライブマッピングの一部です。ユーザーがログオンすると、ユーザーデバイス上のドライブは仮想デスクトップ上のドライブ文字に自動的にマッピングされます。これらのドライブは、マッピングされたドライブ文字を持つ共有フォルダーとして表示されます。クライアントドライブマッピングを構成するには、ICAポリシー設定のファイルリダイレクトポリシー設定セクションにあるクライアントリムーバブルドライブ設定を使用します。
USB大容量記憶装置では、Citrixポリシーによって制御されるクライアントドライブマッピングまたは汎用USBリダイレクト、あるいはその両方を使用できます。主な違いは次のとおりです。
| 機能 | クライアントドライブマッピング | 汎用USBリダイレクト |
|---|---|---|
| デフォルトで有効 | はい | いいえ |
| 読み取り専用アクセス設定可能 | はい | いいえ |
| 暗号化されたデバイスアクセス | はい、デバイスにアクセスする前に暗号化が解除されている場合 | いいえ |
| セッション中にデバイスを安全に取り外す | いいえ | はい、ユーザーがオペレーティングシステムの安全な取り外しに関する推奨事項に従う場合 |
汎用USBリダイレクトとクライアントドライブマッピングの両方のポリシーが有効になっており、セッション開始前または開始後に大容量記憶装置が挿入された場合、クライアントドライブマッピングを使用してリダイレクトされます。汎用USBリダイレクトとクライアントドライブマッピングの両方のポリシーが有効になっており、デバイスが自動リダイレクト用に構成されている場合 (https://support.citrix.com/article/CTX123015を参照)、セッション開始前または開始後に大容量記憶装置が挿入されると、汎用USBリダイレクトを使用してリダイレクトされます。
注
USBリダイレクトは、例えば50 Kbpsのような低帯域幅接続でもサポートされますが、大きなファイルのコピーは機能しません。
クライアントドライブマッピングでファイルアクセスを制御する
ユーザーが仮想環境からユーザーデバイスにファイルをコピーできるかどうかを制御できます。デフォルトでは、マップされたクライアントドライブ上のファイルとフォルダーは、セッション内から読み取り/書き込みモードで利用できます。
ユーザーがマップされたクライアントデバイス上のファイルやフォルダーを追加または変更できないようにするには、読み取り専用クライアントドライブアクセスポリシー設定を有効にします。この設定をポリシーに追加する際は、クライアントドライブリダイレクト設定が許可に設定されており、かつポリシーにも追加されていることを確認してください。