Citrix環境でクリップボードのリダイレクトを制御する方法

こんにちは。Citrix製品のサポートをしている宇津見です。

今回は、Citrix環境におけるクライアント端末と仮想セッション間のクリップボードリダイレクト（コピー＆ペースト）を制御する方法についてご紹介します。

※本記事は、弊社サポートセンターのFAQ:32068と同様の内容です。

Citrix環境では、デフォルトでクライアント端末（ローカルPC）と公開アプリケーションや仮想デスクトップ間で、テキストなどのコピー＆ペーストが双方向で許可されています。

セキュリティ要件などにより、コピー＆ペーストを全面的に禁止したい場合や、ローカルから仮想環境へのコピーのみを許可し、データの持ち出し（仮想環境からローカルへのコピー）を禁止したい場合は、Citrixポリシーを利用してクリップボードの動作を細かく制御できます。

本記事では、Citrixポリシーを用いたクリップボードの制御方法について解説します。

対象製品：
Citrix Virtual Apps and Desktops、Citrix DaaS、Citrix Workspace app など

前提条件：
・ポリシー設定の変更には管理者権限が必要です。

・クライアント環境やOSによって動作が異なる場合があります。事前に検証環境での動作確認を行うことをお勧めします。

※本記事では、下記のバージョンで確認しています。
Citrix Virtual Apps and Desktops 2402 LTSR CU3
Windows 2022 Server

クライアント端末とセッション間のコピー＆ペーストを全体的に制御する場合は、以下のポリシーを設定します。

1. Citrix Web Studioにログインします。

2. ご利用中のポリシーを開きます。
下記画像では、「Unfiltered」を編集しています。

3. 以下のポリシー項目を「全ての設定」から検索し、編集をクリックします。

・クライアント クリップボード リダイレクト

4. 要件に合わせて設定し、保存します。

クライアント クリップボード リダイレクト
「許可」（デフォルト値）: 双方向のコピー＆ペーストが可能になります。
「禁止」: 双方向のコピー＆ペーストが全面的に禁止されます。
この設定を「禁止」にした場合、他のクリップボード関連のポリシーは無視されます。

データの持ち出しや持ち込みなど、特定方向のコピー＆ペーストのみを禁止（単方向の制御）する場合は、以下のポリシーを使用します。

※設定を有効にするには、前提として「クライアントクリップボードリダイレクト」ポリシーが「許可」に設定されている必要があります。

1. Citrix Web Studioにログインし、ご利用中のポリシーを開きます。
下記画像では、「Unfiltered」を編集しています。

2. 以下のポリシー項目を「全ての設定」から検索し、編集をクリックします。

・クライアント クリップボードの書き込み制限
・セッション クリップボードの書き込み制限

下記画像では、「クライアント クリップボードの書き込み制限」を検索しています。

3. 目的に応じて、以下のポリシーを「有効」に設定し、保存します。

クライアント クリップボードの書き込み制限
「有効」に設定すると、仮想環境からクライアント端末（ローカル）へのコピー＆ペースト（データの持ち出し）が禁止されます。デフォルトは「無効」です。

セッション クリップボードの書き込み制限
「有効」に設定すると、クライアント端末（ローカル）から仮想環境へのコピー＆ペースト（データの持ち込み）が禁止されます。デフォルトは「無効」です。

コピー＆ペーストを制限した上で、テキストデータなど特定のデータ形式のみを例外として許可することも可能です。

※設定を有効にするには、前提として「クライアントクリップボードリダイレクト」ポリシーが「許可」に設定されており、「クライアント クリップボードの書き込み制限」あるいは「セッション クリップボードの書き込み制限」が有効に設定されている必要があります。

1. Citrix Web Studioにログインし、ご利用中のポリシーを開きます。
下記画像では、「Unfiltered」を編集しています。

2. 以下のポリシー項目を「全ての設定」から検索し、編集をクリックします。

・クライアント クリップボードに書き込みを許可する形式
・セッション クリップボードに書き込みを許可する形式

下記画像では、「クライアント クリップボードに書き込みを許可する形式」を検索しています。

3. 以下の該当するポリシーに、許可したいデータ形式を追加し、保存します。
※特定のデーター形式を追加したい場合は、「デフォルト値を使用する」のチェックを外してください。

クライアント クリップボードに書き込みを許可する形式（ローカルへのコピー＆ペーストを許可）

セッション クリップボードに書き込みを許可する形式（仮想環境へのコピー＆ペーストを許可）

いくつか設定例をご紹介します。

1. 【双方向の制御】テキスト（文字データ）のコピー＆ペーストのみを双方向で許可し、その他は禁止したい場合

2. 【持ち出しの完全禁止】ローカルPCから仮想環境へのコピー＆ペーストのみを許可し、逆方向（仮想環境からローカルPC）は完全に禁止したい場合

3. 【持ち出しの一部許可】ローカルPCから仮想環境へのコピー＆ペーストは許可し、逆方向（仮想環境からローカルPC）はテキスト（文字データ）のみに限定したい場合

※ファイル（CFX_FILE）やHTML（CF_HTML）など、他のデータ形式に関する詳細は、公式ドキュメントの記載に合わせてご確認ください。

ポリシー適用のタイミング
Citrixポリシーの設定は、主にユーザーのログオン時に読み込まれます。
すでに接続中の既存セッションには即座に反映されないため、設定変更後は必ず対象ユーザーのセッションを一度ログオフし、再接続して動作を確認してください。

※リモートデスクトップの画面を右上の「×」ボタンで閉じる（切断）だけでは、セッションが裏で残っているため新しいポリシーは適用されません。必ずWindowsのスタートメニュー等から明示的に「サインアウト（ログオフ）」を行ってください。

※Web Studioでポリシーを保存した後、仮想マシン（VDA）に設定が同期されるまで数分〜10分程度のタイムラグが発生する場合があります。設定直後に再接続しても古いポリシーのまま動作してしまうことがあるため、設定保存後、少し時間を置いてから動作確認を行ってください。


サーバーリプレース時などの意図しない設定変更
サーバーの移行やリプレースを実施した際、移行前のポリシーが正しく引き継がれず、クリップボードの設定が初期値（双方向許可）に戻ってしまったり、逆に制限状態に変わってしまったりする事例が報告されています。
移行後は、意図したポリシーが正しく割り当てられているか再度ご確認ください。

ファイルの持ち出しについて
本記事で紹介した「クリップボードのリダイレクト制御」により、ファイルのコピー＆ペースト」という操作自体は防ぐことができますが、「クライアントドライブマッピング」というファイル転送機能が有効なままだと、エクスプローラー経由などでローカルPCのドライブに直接アクセスされ、ファイルを持ち出されるリスクが残ります。
ファイルの持ち出しを完全に制限したい場合は、別途「クライアントドライブリダイレクト」などのポリシー設定を併用してください。

いかがでしたでしょうか。
Citrix環境でクリップボードのリダイレクトを制御する方法、ご参考にしていただければ幸いです。

いつもCitrixサポートブログをご覧いただきありがとうございます。

アシストとCitrix保守契約を締結されている方は、Webサポートセンター「AWSC-2」をご利用いただけます。本ブログサイトではご紹介しきれないFAQや過去のCitrixヘルプデスクメールマガジンを公開していますので、是非ご利用ください。

また、アシストではCitrixユーザー企業様向けの無償セミナーを多数ご提供しています。Citrix製品を利用するうえで必要となる情報やトラブルシューティング時のノウハウをご紹介するセミナーなどご用意していますので、貴社の課題解決へとお役立てください。アシストと保守契約を締結されていないお客様にもご参加いただけます。

Citrix Virtual Apps and Desktopsに関する「入門編の情報」や「トラブルシューティングの情報」をお探しの場合、以下の動画をご視聴いただけますと幸いです。効率よく情報収集をしていただけます。

・Citrix Virtual Apps and Desktops入門動画
・Citrixトラブルシューティングセミナー

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。