リモートPCアクセス
リモートPCアクセスは、Citrix Virtual Apps and Desktops™の機能であり、組織が従業員に企業リソースへのセキュアなリモートアクセスを容易に許可できるようにします。Citrixプラットフォームは、ユーザーが物理的なオフィスPCにアクセスできるようにすることで、このセキュアなアクセスを可能にします。ユーザーがオフィスPCにアクセスできれば、業務に必要なすべてのアプリケーション、データ、リソースにアクセスできます。リモートPCアクセスは、テレワークに対応するための他のツールを導入・提供する必要性を排除します。例えば、仮想デスクトップやアプリケーション、およびそれらに関連するインフラストラクチャなどです。
リモートPCアクセスは、仮想デスクトップとアプリケーションを提供するCitrix Virtual Apps and Desktopsのコンポーネントと同じものを使用します。その結果、リモートPCアクセスの展開と構成の要件およびプロセスは、仮想リソースを提供するためのCitrix Virtual Apps and Desktopsの展開に必要なものと同じです。この一貫性により、一貫性のある統一された管理エクスペリエンスが提供されます。ユーザーは、Citrix HDXを使用してオフィスPCセッションを配信することで、最高のユーザーエクスペリエンスを得られます。
この機能は、リモートPCアクセスタイプのマシンカタログで構成されており、以下の機能を提供します。
- OUを指定してマシンを追加する機能。この機能により、PCの一括追加が容易になります。
- オフィスWindows PCにログオンするユーザーに基づいた自動ユーザー割り当て。単一ユーザーおよび複数ユーザーの割り当てをサポートしています。
Citrix Virtual Apps and Desktopsは、他の種類のマシンカタログを使用することで、物理PCのより多くのユースケースに対応できます。これらのユースケースには以下が含まれます。
- 物理リナックスPC
- プールされた物理PC(つまり、ランダムに割り当てられ、専用ではないもの)
注:
サポートされているOSバージョンの詳細については、[デスクトップOS用Virtual Delivery Agent (VDA)]のシステム要件(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/system-requirements.html#virtual-delivery-agent-vda-for-desktop-os)とLinux VDAを参照してください。
オンプレミス環境での展開においては、リモートPCアクセスはCitrix Virtual Apps and Desktops AdvancedまたはPremiumライセンスにのみ対応しています。ライセンスの消費は、他のCitrix Virtual Desktops™セッションと同様の方式で行われます。Citrix Cloudにおいては、リモートPCアクセスはCitrix Virtual Apps and Desktops ServiceおよびWorkspace Premium Plusに対応しています。
考慮事項
Citrix Virtual Apps and Desktops全般に適用されるすべての技術要件と考慮事項はリモートPCアクセスにも適用されますが、物理PCのユースケースにより関連性が高い、または排他的なものもあります。
展開に関する考慮事項
Remote PC Accessの展開を計画する際には、いくつかの一般的な決定事項があります。
- 既存のCitrix Virtual Apps and Desktops展開にRemote PC Accessを追加できます。このオプションを選択する前に、以下を考慮してください。
- 現在のDelivery ControllerまたはCloud Connectorは、Remote PC Access VDAに関連する追加の負荷をサポートするのに適切なサイズですか?
- オンプレミスのサイトデータベースおよびデータベースサーバーは、Remote PC Access VDAに関連する追加の負荷をサポートするのに適切なサイズですか?
- 既存のVDAと新しいRemote PC Access VDAは、サイトあたりの最大サポートVDA数を超えることになりますか?
- VDAは自動プロセスを通じてオフィスPCに展開する必要があります。利用可能なオプションは次の2つです。
- SCCMなどの電子ソフトウェア配布(ESD)ツール: SCCMを使用したVDAのインストール。
- 展開スクリプト: スクリプトを使用したVDAのインストール。
- Remote PC Accessのセキュリティに関する考慮事項を確認してください。
マシンカタログに関する考慮事項
必要なマシンカタログの種類は、ユースケースによって異なります。
- リモートPCアクセス
- ウィンドウズ専用PC
- Windows専用マルチユーザーPC
- シングルセッションOS
- 静的 - 専用リナックスPC
- ランダム - プールされたWindowsおよびLinux PC
マシンカタログの種類を特定したら、以下を考慮してください。
- 1台のマシンは、一度に1つのマシンカタログにのみ割り当てることができます。
- 委任された管理を容易にするために、地理的な場所、部門、または各カタログの管理を適切な管理者に委任しやすくするその他のグループに基づいてマシンカタログを作成することを検討してください。
- マシンアカウントが存在するOUを選択する際は、より詳細な粒度を得るために下位レベルのOUを選択してください。そのような粒度が必要ない場合は、上位レベルのOUを選択できます。たとえば、Bank/Officers/Tellers の場合、より詳細な粒度を得るには Tellers を選択します。それ以外の場合は、要件に基づいて Officers または Bank を選択できます。
- Remote PC Access マシンカタログに割り当てられた後にOUを移動または削除すると、VDAの関連付けに影響を与え、将来の割り当てで問題が発生します。したがって、マシンカタログのOU割り当て更新がActive Directoryの変更計画で考慮されるように、適切に計画してください。
- OU構造のためにマシンカタログにマシンを追加するOUを選択するのが難しい場合でも、OUを選択する必要はありません。後でPowerShellを使用してカタログにマシンを追加できます。デスクトップ割り当てがデリバリーグループで正しく構成されていれば、ユーザーの自動割り当ては引き続き機能します。ユーザー割り当てとともにマシンカタログにマシンを追加するサンプルスクリプトは、GitHubで入手できます。
- 統合されたWake on LAN機能は、Remote PC Accessタイプのマシンカタログでのみ利用可能です。
Linux VDAに関する考慮事項
これらの考慮事項は、Linux VDAに固有のものです。
- 物理マシンでLinux VDAを使用する場合は、非3Dモードでのみ使用してください。NVIDIAドライバーの制限により、HDX™ 3Dモードが有効になっている場合、PCのローカル画面をブラックアウトできず、セッションのアクティビティが表示されます。この画面を表示することはセキュリティリスクです。
- 物理Linuxマシンには、シングルセッションOSタイプのマシンカタログを使用してください。
- 統合されたWake on LAN機能は、Linuxマシンでは利用できません。
技術的な要件および考慮すべき事項
このセクションでは、物理PCの技術要件と考慮事項について説明します。
- 以下はサポートされていません。
- KVMスイッチ、またはセッションを切断する可能性のあるその他のコンポーネント。
- オールインワンPCやNVIDIA Optimus搭載のラップトップおよびPCを含むハイブリッドPC。
- キーボードとマウスはPCに直接接続してください。モニターや、電源がオフになったり切断されたりする可能性のあるその他のコンポーネントに接続すると、これらの周辺機器が使用できなくなることがあります。入力デバイスをモニターなどのコンポーネントに接続する必要がある場合は、それらのコンポーネントの電源をオフにしないでください。
- パソコンはActive Directory Domain Servicesドメインに参加している必要があります。
- セキュアブートはWindows 10でのみサポートされています。
- PCにはアクティブなネットワーク接続が必要です。信頼性と帯域幅を向上させるため、有線接続が推奨されます。
- Wi-Fiを使用する場合は、以下を実行してください。
- ワイヤレスアダプターをオンのままにするように電源設定を行います。
- ユーザーがログオンする前にワイヤレスネットワークに自動的に接続できるように、ワイヤレスアダプターとネットワークプロファイルを構成します。そうしないと、ユーザーがログオンするまでVDAは登録されません。ユーザーがログオンするまで、PCはリモートアクセスに使用できません。
- Delivery ControllerまたはCloud ConnectorがWi-Fiネットワークから到達可能であることを確認してください。
- ラップトップコンピューターでRemote PC Accessを使用できます。ラップトップがバッテリーで動作するのではなく、電源に接続されていることを確認してください。ラップトップの電源オプションをデスクトップPCのオプションと一致するように構成します。例:
- 休止状態機能を無効にします。
- スリープ機能を無効にします。
- 「蓋を閉じたときの動作」を「何もしない」に設定します。
- 「電源ボタンを押したときの動作」を「シャットダウン」に設定します。
- ビデオカードとNICの省電力機能を無効にします。
- Remote PC Accessは、Windows 10を搭載したSurface Proデバイスでサポートされています。以前に述べたノートPCと同じガイドラインに従ってください。
-
ドッキングステーションを使用している場合、ノートPCのドッキング解除と再ドッキングが可能です。ノートPCをドッキング解除すると、VDAはWi-Fi経由でDelivery ControllerまたはCloud Connectorに再登録されます。ただし、ノートPCを再ドッキングしても、ワイヤレスアダプターを切断しない限り、VDAは有線接続に切り替わりません。一部のデバイスには、有線接続が確立されたときにワイヤレスアダプターを切断する組み込み機能が備わっています。その他のデバイスでは、ワイヤレスアダプターを切断するためにカスタムソリューションまたはサードパーティ製ユーティリティが必要です。以前に述べたWi-Fiに関する考慮事項を確認してください。
Remote PC Accessデバイスでドッキングとドッキング解除を有効にするには、以下を実行します。
- スタートメニューで、「設定 > システム > 電源とスリープ」を選択し、「スリープ」を「なし」に設定します。
- デバイスマネージャー > ネットワークアダプター > イーサネットアダプターで、電源の管理に移動し、電力の節約のために、コンピューターでこのデバイスの電源をオフにできるようにするのチェックを外します。このデバイスで、コンピューターのスタンバイ状態を解除できるようにするがオンになっていることを確認します。
- 同じオフィスPCにアクセスできる複数のユーザーは、Citrix Workspaceで同じアイコンを見ます。ユーザーがCitrix Workspaceにログオンすると、そのリソースがすでに別のユーザーによって使用されている場合、利用不可として表示されます。
- オフィスPCにアクセスする各クライアントデバイス(たとえば、自宅のPC)にCitrix Workspaceアプリをインストールします。
構成シーケンス
このセクションでは、Remote PC Accessタイプのマシンカタログを使用する場合のRemote PC Accessの構成方法の概要を説明します。他の種類のマシンカタログの作成方法については、「マシンカタログの作成」を参照してください。
-
オンプレミスサイトのみ - 統合されたWake on LAN機能を使用するには、Wake on LANで概説されている前提条件を構成します。
-
リモートPCアクセス用に新しいCitrix Virtual Apps and Desktopsサイトが作成された場合:
- Remote PC Accessサイトの種類を選択します。
- 「電源管理」ページで、デフォルトのRemote PC Accessマシンカタログの電源管理を有効または無効にするかを選択します。この設定は、後でマシンカタログのプロパティを編集して変更できます。Wake on LANの構成について詳しくは、「Wake on LAN」を参照してください。
- 「ユーザー」ページと「マシンアカウント」ページで情報を入力します。
これらの手順を完了すると、「Remote PC Access Machines」という名前のマシンカタログと、「Remote PC Access Desktops」という名前のデリバリーグループが作成されます。
-
If adding to an existing Citrix Virtual Apps and Desktops site:
- 種類がRemote PC Accessのマシンカタログを作成します(ウィザードのオペレーティングシステムページ)。マシンカタログの作成方法について詳しくは、「マシンカタログの作成」を参照してください。ターゲットPCがRemote PC Accessで使用できるように、正しいOUを割り当ててください。
- ユーザーがマシンカタログ内のPCにアクセスできるように、デリバリーグループを作成します。デリバリーグループの作成方法について詳しくは、「デリバリーグループの作成」を参照してください。デリバリーグループを、PCへのアクセスを必要とするユーザーを含むActive Directoryグループに割り当ててください。
-
VDAをオフィスPCに展開します。
- シングルセッションOSコアVDAインストーラー(VDAWorkstationCoreSetup.exe)を使用することをお勧めします。
- シングルセッションフルVDAインストーラー(VDAWorkstationSetup.exe)を
/remotepcオプションとともに使用することもできます。これは、コアVDAインストーラーを使用した場合と同じ結果になります。 - ヘルプデスクチームがCitrix Directorを介してリモートサポートを提供できるように、Windowsリモートアシスタンスを有効にすることを検討してください。これを行うには、
/enable_remote_assistanceオプションを使用します。詳しくは、「コマンドラインを使用したインストール」を参照してください。 - Directorでログオン期間情報を表示できるようにするには、シングルセッションフルVDAインストーラーを使用し、Citrix User Profile Manager WMI Pluginコンポーネントを含める必要があります。このコンポーネントを含めるには、
/includeadditionalオプションを使用します。詳しくは、「コマンドラインを使用したインストール」を参照してください。 - SCCMを使用したVDAの展開については、「SCCMを使用したVDAのインストール」を参照してください。
- 展開スクリプトを使用したVDAの展開については、「スクリプトを使用したVDAのインストール」を参照してください。
手順2~4を正常に完了すると、ユーザーがPCにローカルでログオンしたときに、自分のマシンに自動的に割り当てられます。
-
ユーザーには、オフィスPCにリモートでアクセスするために使用する各クライアントデバイスにCitrix Workspaceアプリをダウンロードしてインストールするよう指示してください。Citrix Workspaceアプリは、
https://www.citrix.com/downloads/またはサポートされているモバイルデバイスのアプリケーションストアから入手できます。
レジストリで管理される機能
注意: レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディターはご自身の責任において使用してください。編集する前に必ずレジストリをバックアップしてください。
複数ユーザーの自動割り当てを無効にする
各Delivery Controller™で、次のレジストリ設定を追加します。
HKEY_LOCAL_MACHINE\Software\Citrix\DesktopServer
- Name: AllowMultipleRemotePCAssignments
- Type: DWORD
- データ: 0
スリープモード (最小バージョン 7.16)
Remote PC Accessマシンをスリープ状態にするには、VDAでこのレジストリ設定を追加し、マシンを再起動します。再起動後、オペレーティングシステムの省電力設定が適用されます。事前に構成されたアイドルタイマーが経過すると、マシンはスリープモードに入ります。マシンがウェイクアップすると、Delivery Controllerに再登録されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA
- Name: DisableRemotePCSleepPreventer
- 種類はDWORDです
- データ: 1
セッション管理
既定では、ローカルユーザーがそのマシンでセッションを開始すると(CTRL+ALT+DELを押すことで)、リモートユーザーのセッションは自動的に切断されます。この自動動作を防ぐには、オフィスPCに以下のレジストリエントリを追加し、マシンを再起動してください。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePC
- 名前はSasNotificationという名称です
- 値の種類: DWORD
- データ: 1
既定では、タイムアウト期間内に接続メッセージが確認されない場合、リモートユーザーがローカルユーザーよりも優先されます。この動作を設定するには、以下の設定を使用します。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePC
- レジストリ名: RpcaMode
- Type: DWORD
- データ:
- 1 - 指定されたタイムアウト期間内にメッセージングUIに応答しない場合、リモートユーザーが常に優先されます。この設定が構成されていない場合、この動作が既定となります。
- 2 - ローカルユーザーが優先されます。
リモートPCアクセスモードを適用するためのタイムアウトは、既定で30秒です。このタイムアウトは構成できますが、30秒未満に設定しないでください。タイムアウトを構成するには、以下のレジストリ設定を使用します。
HKLM\SOFTWARE\Citrix\PortICA\RemotePC
- レジストリ設定項目名:RpcaTimeout
- Type: DWORD
- データ: タイムアウトの秒数 (10進数値)
ユーザーが強制的にコンソールアクセスを取得したい場合:ローカルユーザーは、10秒以内にCtrl+Alt+Delを2回押すことで、リモートセッションのローカル制御を取得し、切断イベントを強制できます。
レジストリの変更とマシンの再起動後、リモートユーザーが使用中のPCにローカルユーザーがCtrl+Alt+Delを押してログオンしようとすると、リモートユーザーにプロンプトが表示されます。プロンプトでは、ローカルユーザーの接続を許可するか拒否するかが尋ねられます。接続を許可すると、リモートユーザーのセッションは切断されます。
ウェイク・オン・ラン
統合されたWake on LANは、オンプレミスのシトリックス バーチャル アプリケーションズ アンド デスクトップでのみ利用可能で、マイクロソフト システム センター コンフィギュレーション マネージャー (SCCM)が必要です。
Remote PC AccessはWake on LANをサポートしており、これによりユーザーは物理PCをリモートで起動できます。この機能により、ユーザーは使用していないときにオフィスPCの電源を切ったままにしておくことができ、エネルギーコストを節約できます。また、誤ってマシンの電源が切れてしまった場合でも、リモートアクセスを可能にします。たとえば、停電が原因の場合などです。
Remote PC AccessのWake on LAN機能は、 BIOS/UEFIでWake on LANオプションが有効になっているPCでサポートされています。
SCCMとリモートPCアクセスにおけるウェイクオンLAN
Remote PC AccessのWake on LAN機能を構成するには、VDAを展開する前に、以下を完了してください。
- 組織内でSCCM 2012 R2、2016、または2019を構成します。次に、すべてのRemote PC AccessマシンにSCCMクライアントを展開し、スケジュールされたSCCMインベントリサイクルが実行される時間を確保します (または必要に応じて手動で強制実行します)。
- SCCM Wake Proxyまたはマジックパケットのサポートの場合:
- 各PCのBIOS/UEFI設定でウェイク・オン・LANを構成します。
- Wake Proxyのサポートの場合、SCCMでオプションを有効にします。Remote PC Access Wake on LAN機能を使用するPCを含む組織内の各サブネットについて、3台以上のマシンがセンチネルマシンとして機能できることを確認してください。
- マジックパケットのサポートの場合、ネットワークルーターとファイアウォールを構成して、サブネット指向ブロードキャストまたはユニキャストのいずれかを使用してマジックパケットの送信を許可します。
オフィスPCにVDAをインストールした後、接続とマシンカタログを作成する際に電源管理を有効または無効にします。
- カタログで電源管理を有効にする場合、SCCMアドレス、アクセス資格情報、および接続名など、接続の詳細を指定します。アクセス資格情報には、スコープ内のコレクションとRemote Tools Operatorロールへのアクセス権が必要です。
- 電源管理を有効にしない場合、後で電源管理(Configuration Manager)接続を追加し、その後、Remote PC Accessマシンカタログを編集して電源管理を有効にできます。
電源管理接続を編集して詳細設定を構成できます。有効にできる項目は次のとおりです。
- SCCMによって提供されるウェイクアッププロキシ。
- Wake on LAN(マジック)パケット。Wake on LANパケットを有効にする場合、Wake on LANの送信方法(サブネット指向ブロードキャストまたはユニキャスト)を選択できます。
PCはAMT電源コマンド(サポートされている場合)と、有効になっている詳細設定を使用します。PCがAMT電源コマンドを使用しない場合、詳細設定を使用します。
トラブルシューティング
診断に関する情報
Remote PC Accessに関する診断情報はWindowsアプリケーションイベントログに書き込まれます。情報メッセージはスロットリングされません。エラーメッセージは、重複するメッセージを破棄することでスロットリングされます。
- 3300(情報):マシンがカタログに追加されました
- 3301(情報):マシンがデリバリーグループに追加されました
- 3302(情報):マシンがユーザーに割り当てられました
- 3303(エラー):例外
電源管理
Remote PC Access の電源管理が有効になっている場合、サブネット指向ブロードキャストは、Controller とは異なるサブネットにあるマシンを起動できない可能性があります。サブネット指向ブロードキャストを使用してサブネット間で電源管理が必要で、AMT サポートが利用できない場合は、Wake-up プロキシまたはユニキャスト方式を試してください。これらの設定が、電源管理接続の高度なプロパティで有効になっていることを確認してください。
その他のリソース
Remote PC Access のその他のリソースは次のとおりです。
- ソリューション設計ガイダンス: リモートPCアクセス設計の決定事項。
- リモートPCアクセス アーキテクチャの例: Citrix Remote PC Access ソリューションの参照アーキテクチャ。