通用串口总线とクライアント側ドライブの考慮事項
HDXテクノロジは、一般的な通用串口总线デバイスのほとんどに最適化されたサポートを提供します。以下が対象となります:
- モニター
- マウス
- キーボード
- ボイスオーバーIP電話
- ヘッドセット
- 网状物カメラ
- スキャナー
- カメラ
- プリンター
- ドライブ
- スマートカードリーダー
- 描画用タブレット
- 署名パッド
最適化されたサポートにより,パフォーマンスが良くなることでユーザーエクスペリエンスが向上し,WAN経由の帯域幅効率が改善されます。最適化されたサポートは通常,遅延が多い環境やセキュリティが厳しい環境で最善のオプションです。
HDXテクノロジにより,特殊デバイスに次のような最適化されたサポートがないときや,不適切なときに汎用通用串口总线リダイレクトを使用できます:
- 通用串口总线デバイスに追加の高度な機能があり(追加ボタンがあるマウスや网状物カメラなど)、それらの機能が最適化されたサポートに含まれていないとき。
- ユーザーが最適化されたサポートに含まれない機能(CDの書き込みなど)を必要とするとき。
- USBデバイスが特殊なデバイス(テスト用機器,測定用機器,工業用コントローラーなど)であるとき。
- アプリケーションがUSBデバイスとしてデバイスに直接アクセスする必要があるとき。
- 通用串口总线デバイスで窗户ドライバーしか使用できないとき。たとえば、スマートカードリーダーにAndroid的Citrix接收器で使用できるドライバーがないことがあります。
- Citrix接收器のバージョンが、該当するタイプの通用串口总线デバイスに最適化されたサポートを提供しないとき。
汎用通用串口总线リダイレクトでは、以下に注意してください。
- ユーザーデバイスにデバイスドライバーをインストールする必要はありません。
- USBクライアントドライバーはVDAマシン上にインストールされます。
注
- 汎用通用串口总线リダイレクトは、最適化されたサポートと併用できます。汎用通用串口总线リダイレクトを有効にする場合は、整合性の不一致と予期しない動作を避けるために、思杰公司のUSBデバイスのポリシー設定で汎用USBリダイレクトと最適化されたサポートの両方を構成します。
- 一部の通用串口总线デバイスでは、思杰公司のポリシー設定のクライアントUSBデバイス最適化規則は、汎用通用串口总线リダイレクト専用の設定となります。ここで説明したような最適化されたサポートではありません
- クライアント通用串口总线プラグアンドプレイデバイスリダイレクトは、图像传输协议(PTP)や媒体传输协议(MTP)を使用するカメラやメディアプレーヤーなどのデバイスに、最適化されたサポートを提供する関連機能です。クライアント通用串口总线プラグアンドプレイリダイレクトは汎用通用串口总线リダイレクトの一部ではありません。サポートされているバージョンについては、「デフォルトのポリシー設定“を参照してください。
通用串口总线デバイスのパフォーマンスに関する考慮事項
一部のタイプの通用串口总线デバイスの汎用通用串口总线リダイレクトでは、ネットワークの遅延と帯域幅がユーザーエクスペリエンスと通用串口总线デバイスの操作に影響を与えます。たとえば、遅延が多く低帯域幅のリンクでタイミングが重要なデバイスが正しく動作しないことがあります。可能な場合は、代わりに最適化されたサポートを使用してください。
3 dマウスなどの一部のUSBデバイスは,高い帯域幅を使用できる必要があります(通常,これも高帯域幅を必要とする3 dアプリとともに使用)。パフォーマンスの問題はCitrixポリシーを使って回避することができます。詳しくは。”帯域幅のポリシー設定”(クライアントUSBデバイスリダイレクトの場合)および”マルチストリーム接続のポリシー設定“を参照してください。
USBデバイスのセキュリティに関する考慮事項
スマートカードリーダーやフィンガープリントリーダー,署名パッドなどの一部のUSBデバイスは,もともとセキュリティを重視します。USBストレージデバイスなどの他のUSBデバイスは,機密扱いである可能性のあるデータの受け渡しに使用できます。
通用串口总线デバイスは、しばしばマルウェアの配信に使用されます。このような通用串口总线デバイスのリスクを、Citrix接收器、XenApp、およびXenDesktopの構成で減らすことはできますが、すべて取り除くことはできません。このことは、汎用通用串口总线リダイレクトを使用しているか最適化されたサポートを使用しているかにかかわらず当てはまります。
重要
セキュリティを重視するデバイスやデータを扱う場合は、TLSまたはIPSecのどちらかを使用して、常にHDX接続をセキュリティで保護してください。
必要なUSBデバイスのサポートのみを有効にしてください。汎用通用串口总线リダイレクトと最適化されたサポートの両方で、このニーズを満たしてください。
信用できるソースから入手した通用串口总线デバイスのみを使用する、通用串口总线デバイスを人がいないオープンな環境に置きっぱなしにしない(例:インターネットカフェに闪光デバイスを置きっぱなしにしない)といった、通用串口总线デバイスの安全な使用についてのガイダンスをユーザーに提供してください。また、複数のコンピューターで1.つの通用串口总线デバイスを使用することのリスクを説明してください。
汎用USBリダイレクトの互換性
汎用通用串口总线リダイレクトは、USB 2.0以前のデバイスでサポートされます。USB 3.0デバイスをUSB 2.0またはUSB 3.0ポートに接続した場合も、汎用通用串口总线リダイレクトがサポートされます。汎用通用串口总线リダイレクトは、USB3.0に導入された超高速などの通用串口总线機能はサポートしません。
次のCitrix接收机は,汎用USBリダイレクトをサポートします:
- 用于Windows的Citrix接收器については、「USBサポートの構成“を参照してください。
- Citrix接收机为Macについては,用于Mac的Citrix接收机の構成を参照してください。
- Citrix接收机为Linuxについては,”最適化“を参照してください。
- 用于Chrome OS的Citrix接收器については、「新機能“を参照してください
Citrix接收机のバージョンについては,”Citrix接收机特征矩阵』を参照してください。
前のバージョンのCitrix接收器を使用している場合は、Citrix接收器のドキュメントを参照して、汎用通用串口总线リダイレクトがサポートされていることを確認してください。サポートされる通用串口总线デバイスのタイプに関する制限事項については、Citrix接收器のドキュメントを参照してください。
汎用通用串口总线リダイレクトは用于桌面操作系统的VDAのバージョン7.6以上のデスクトップセッションでサポートされます。
汎用通用串口总线リダイレクトは服务器操作系统的VDAのバージョン7.6以上のデスクトップセッションでサポートされますが、以下の制限事項があります。
- VDAはWindows Server 2012 R2またはWindows Server 2016で動作している必要があります。
- USBデバイスドライバーは,完全仮想化サポートなど,Windows 2012 R2のリモートデスクトップセッションホスト(RDSH)と完全に互換性がある必要があります。
次のような一部のタイプのUSBデバイスは,リダイレクトしても役に立たないため,汎用USBリダイレクトをサポートしません。
- 通用串口总线モデム。
- 通用串口总线ネットワークアダプター。
- USBハブ。USBハブに接続したUSBデバイスは,個別に扱われます。
- 通用串口总线仮想组件对象模型ポート。汎用通用串口总线リダイレクトではなく、组件对象模型ポートリダイレクトを使用します。
汎用通用串口总线リダイレクトでテストされた通用串口总线デバイスについては、CTX123569を参照してください。一部のUSBデバイスは,汎用USBリダイレクトを使用すると正しく動作しません。
汎用USBリダイレクトの設定
汎用通用串口总线リダイレクトを使用する通用串口总线デバイスのタイプを制御できます。次の手段で別々に設定できます:
- 思杰公司ポリシー設定を使ってVDAで設定します。詳しくは、「ポリシー設定リファレンス」の「クライアントドライブやデバイスのリダイレクト”,および”USBデバイスのポリシー設定“を参照してください。
- Citrix接收器でCitrix接收器に依存するメカニズムを使用します。たとえば、用于Windows的Citrix接收器は、管理用テンプレートで制御できるレジストリ設定で設定します。通用串口总线リダイレクトのデフォルトでは、特定のクラスの通用串口总线デバイスでのみ許可され、ほかのクラスのデバイスはリダイレクトされません。詳しくは、用于Windows的Citrix接收器のドキュメントの「USBサポートの構成“を参照してください。
別々に設定できることで柔軟性が提供されます。例:
- 2.つの異なる組織または部門がCitrix接收器とVDAを担当している場合に、それぞれが別に制御を実行できます。このことは、ある組織のユーザーが別の組織のアプリケーションにアクセスするときにも適用されます。
- 通用串口总线デバイスを、特定のユーザーのみまたは(NetScaler网关)経由ではなく)局域网経由で接続しているユーザーのみに許可する必要がある場合は、思杰公司ポリシー設定で制御できます。
汎用USBリダイレクトの有効化
汎用USBリダイレクトを有効にするには,Citrixポリシー設定とCitrix接收机の両方を設定します。
思杰公司ポリシー設定で、次の手順に従います:
ポリシーに[クライアント通用串口总线デバイスリダイレクト]を追加して、値を[許可]に設定します。
![ローカライズされた画像]()
必要な場合は,ポリシーに[クライアント通用串口总线デバイスリダイレクト規則]設定を追加してUSBポリシー規則を指定し,リダイレクトするUSBデバイスの一覧を変更します。
Citrix接收机で,次の手順に従います:
ユーザーデバイスにCitrix接收器をインストールするときに、通用串口总线サポートを有効にします。この操作は、管理用テンプレートを使うか、[适用于Windows的Citrix接收器]>[基本設定]>[接続]で実行できます。
前の手順でVDAの通用串口总线ポリシー規則を指定した場合は、Citrix接收器についても同じポリシー規則を指定します。
シンクライアントでのUSBサポートおよびその構成方法については,デバイスの製造元に問い合わせてください。
汎用USBリダイレクトで使用できるUSBデバイスタイプの設定
通用串口总线サポート機能が有効になっており、通用串口总线関連のユーザー設定で通用串口总线デバイスに自動接続するように設定されている場合は、通用串口总线デバイスが自動的にリダイレクトされます。また、デスクトップアプライアンスモードで接続バーが表示されていない場合も、通用串口总线デバイスが自動的にリダイレクトされます。
ユーザーは、通用串口总线デバイスの一覧からデバイスを選択することによって、自動的にリダイレクトされないデバイスを明示的にリダイレクトすることができます。この手順について詳しくは、用于Windows的Citrix接收器のユーザーヘルプ「桌面查看器でのデバイスの表示」に説明されています。
最適化されたサポートではなく汎用通用串口总线リダイレクトを使用するには、次のどちらかの手順を実行します。
- Citrix接收机で,汎用USBリダイレクトを使うUSBデバイスを手動で選択し,[基本設定]ダイアログボックスの[デバイス]タブから[汎用に切り替え]を選択します。
- USBデバイスタイプの自動リダイレクトを設定することで(たとえばAutoRedirectStorage = 1),汎用USBリダイレクトを使うUSBデバイスを自動選択して,USBユーザー基本設定を自動接続USBデバイスに設定します。詳しくは,CTX123015を参照してください。
注:
网状物カメラとHDXマルチメディアリダイレクトの互換性がない場合は、网状物カメラで使用する汎用通用串口总线リダイレクトのみを設定します。
USBデバイスを一覧に表示しないようにしたり,USBデバイスをリダイレクトできないようにしたりするには,Citrix接收机およびVDAのデバイス規則を定義します。
汎用通用串口总线リダイレクトでは、少なくとも通用串口总线デバイスクラスとサブクラスを知っておく必要があります。すべての通用串口总线デバイスが明確な通用串口总线デバイスクラスとサブクラスを持つわけではありません。例:
- ペンはマウスデバイスクラスを使用します。
- スマートカードリーダーはベンダー定義のクラスまたは隐藏デバイスクラスを使用できます。
より正確な制御のためには、ベンダー身份证件製品身份证件およびリリース身份证件も知っておく必要があります。この情報はデバイスベンダーから入手できます。
重要
悪意のある通用串口总线デバイスが、意図された使用状況にマッチしない通用串口总线デバイス特性を示すことがあります。デバイス規則は、この動作を防ぐことを目的としていません。
VDAとCitrix接收器両方の通用串口总线デバイスリダイレクト規則を指定し、デフォルトの通用串口总线ポリシー規則よりも優先することで、汎用通用串口总线リダイレクトを使用できる通用串口总线デバイスを制御できます。
VDAの場合:
- グループポリシー規則を介して,サーバーOSマシン上のOSの管理者による上書き規則を編集します。グループポリシー管理コンソールは,インストールメディアにあります。
- x64の場合:DVDルートの朗\ os \ \ x64 \ \ CitrixGroupPolicyManagement_x64.msi Citrix政策
- x86の場合:DVDルートの朗\ os \ \ x86 \ \ CitrixGroupPolicyManagement_x86.msi Citrix政策
Citrix接收机为Windowsの場合:
- ユーザーデバイス側のレジストリを編集します。インストールメディアに収録されている管理テンプレート(ADMファイル。朗DVDのルート\ os \ \ \ Configuration \ icaclient_usb.adm支持)により,Active Directoryのグループポリシーを使用してユーザーデバイスを変更できます。
警告
レジストリエディターの使用を誤ると,深刻な問題が発生する可能性があり,オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して,シトリックスでは一切責任を負いません。レジストリエディターは,お客様の責任と判断の範囲でご使用ください。また,レジストリファイルのバックアップを作成してから,レジストリを編集してください。
製品のデフォルトの規則は、HKEY\U LOCAL\U MACHINE\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRulesに格納されています。このデフォルトの規則は変更しないでください。ただし、以下で説明しているように、製品のデフォルトの規則を参照して管理者による上書き規則を作成できます。管理者による上書き規則は、製品のデフォルトの規則よりも先に評価されます。
管理者による上書き規則は,HKEY_LOCAL_MACHINE \ SOFTWARE \政策\ Citrix \ PortICA \ GenericUSB \ DeviceRulesに格納されています。GPOポリシー規則は,{允许:|拒绝:}の後にスペースで区切った一連の「标记=值”式の形式で設定します。
以下のタグがサポートされます。
| タグ | 説明 |
|---|---|
| 从视频 | デバイス記述子のベンダー身份证件 |
| PID | デバイス記述子の製品身份证件 |
| 雷尔 | デバイス記述子のリリース身份证件 |
| クラス | デバイス記述子またはインターフェイス記述子のクラス。使用可能なUSBクラスコードについては,USB网络サイトhttps://www.usb.org/を参照してください |
| 子类 | デバイス記述子またはインターフェイス記述子のサブクラス |
| 普罗特 | デバイス記述子またはインターフェイス記述子のプロトコル |
新しいポリシー規則を作成する場合、以下の点に注意してください:
- 大文字と小文字は区別されません。
- 規則の末尾に、#で始まる任意のコメントを追加できます。区切り文字は不要で、コメントは無視されます。
- 空白行およびコメントのみの行は無視されます。
- 区切り文字にはスペースが使用されますが、番号または識別子の間には使用できません。たとえば、「拒绝:类别=08子类别=05」は有効ですが、「拒绝:类别=0子类别=05」は無効です。
- タグには等号(=)を使用する必要がありますたとえば、VID=1230とします。
- 各規則を1行ずつ記述するか,同一行に記述する場合はセミコロンで区切られたリスト形式である必要があります。
注
行政テンプレートを使用する場合は、規則を単一行に(セミコロン区切りのリストとして)作成する必要があります。
例:
次の例に、ベンダー身份证件と製品身份证件に関する管理者定義の通用串口总线ポリシー規則を示します。
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products次の例に、クラス、サブクラス、およびプロトコルに関する管理者定義の通用串口总线ポリシー規則を示します:
Class=EF SubClass=01 #允许同步设备允许:Class=EF #允许所有USB-Miscellaneous设备
通用串口总线デバイスの装着と取り外し
ユーザーは、仮想セッションの開始前および開始後に通用串口总线デバイスを装着できます。
Citrix接收机为Windowsでは,以下の点について考慮してください:
- セッションを開始した後で装着したデバイスは、桌面查看器の[USB]メニューに追加されます。
- 通用串口总线デバイスが正しくリダイレクトされない場合、仮想セッションが開始されてからデバイスを装着することで問題が解決される場合があります。
- データの損失を避けるため,Windowsで推奨される手順([ハードウェアの安全な取り外し]アイコンの使用など)に従ってUSBデバイスを取り外してください。
通用串口总线マスストレージデバイスのセキュリティ制御
USBマスストレージデバイスでは最適化されたサポートが提供されます。これは,XenAppおよびXenDesktopクライアントドライブのマッピングに含まれています。ユーザーのログオン時にユーザーデバイス上のドライブが自動的に仮想デスクトップのドライブ文字にマップされます。これらのドライブは,マップされたドライブ文字を持つ共有フォルダーとして表示されます。クライアントドライブのマッピングを構成するには,ICAのポリシー設定の[ファイルリダイレクトポリシー設定]セクションの[クライアント側リムーバブルドライブ]設定を使用します。
通用串口总线マスストレージデバイスでは、思杰公司ポリシーによって制御される客户側ドライブのマッピングまたは汎用通用串口总线リダイレクトのどちらか、またはこの両方を使用できます。主な違いは次のとおりです。
| 機能 | クライアントドライブマッピング | 汎用通用串口总线リダイレクト |
|---|---|---|
| デフォルトで有効。 | はい | いいえ |
| 読み取り専用アクセスの構成が可能 | はい | いいえ |
| デバイスアクセスが暗号化される | はい、デバイスにアクセスする前に暗号化のロックを解除した場合 | いいえ |
| セッション中にデバイスを安全に取り外せる | いいえ | はい(ユーザーがオペレーティングシステムで推奨される手順に従う場合) |
汎用通用串口总线リダイレクトとクライアントドライブのマッピングのポリシーの両方が有効な場合、セッション開始前または後に装着されたマスストレージデバイスがクライアントドライブのマッピングによりリダイレクトされます。汎用通用串口总线リダイレクトとクライアント側ドライブのマッピングのポリシーの両方が有効で、自動リダイレクトが構成されている場合(https://support.citrix.com/article/CTX123015を参照)、セッション開始前または後に装着されたマスストレージデバイスが汎用通用串口总线リダイレクトによりリダイレクトされます。
注
USBリダイレクトはより低い帯域幅の接続(50 kbpsなど)でもサポートされますが,大きなファイルはコピーできません。
クライアント側ドライブのマッピングを使うファイルアクセスの制御
管理者は、ユーザーが仮想環境のファイルをユーザーデバイス上にコピーすることを許可したり禁止したりできます。デフォルトでは、マップされたクライアント側ドライブ上のフォルダーやファイルに対するセッション内での読み取りや書き込みが許可されます。
マップされたクライアントドライブ上のフォルダーやファイルの追加や変更を禁止するには,[クライアントドライブへの読み取り専用アクセス]設定を有効にします。この設定項目をポリシーに追加するときは,[クライアントドライブリダイレクト]設定も追加されており、[許可]が選択されていることを確認してください。