Citrix Workspace app Desktop Lockの導入手順

概要

Windows端末に「Citrix Workspace app Desktop Lock」を導入し、端末へのログオンと同時に仮想デスクトップへ自動接続させる（ローカルデスクトップを操作させない）シンクライアント環境の構築方法を解説します。

Desktop Lockとは

Citrix Workspace app Desktop Lockを導入すると、端末へのログオン後に自動的に仮想デスクトップへ接続するようになります。端末のデスクトップ画面は一切表示されなくなるため、ユーザーによる端末の設定やVDI以外へのアクセスなどを防止できるため、キオスクモードなどのユースケースに最適で、セキュリティリスクを低減することができます。

導入手順

Citrix Workspace app 2507 LTSR 以降はWorkspace appのメインインストーラーに統合されたため、追加コンポーネントは不要になりました。またSSOの前提条件等も従来から変更されていますので、製品ドキュメントを参照してください(注1)。以下に記載する手順はWorkspace app 2402 LTSR 以前のものです。

注1：https://docs.citrix.com/en-us/citrix-workspace-app-for-windows/2507-1-ltsr/workspace-windows-desktop-lock.html#overview

1. 前提コンポーネントのインストール

Desktop Lockを動作させるには、事前にCitrix Workspace app本体をインストールする必要があります。またDesktop LockはVDIに自動的にログオンする挙動となるため、シングルサインオン構成にする必要があります。CVADのシングルサインオン構成は、Workspace app／Storefront／Delivery controllerなど、それぞれのコンポーネントごとに設定が必要です。この記事ではシングルサインオンの設定方法等を省略します。

Citrix Receiver (Workspace app) のインストール:

重要: シングルサインオン（SSO）を有効にしてインストールする必要があります。

コマンド例: CitrixReceiver.exe /includeSSON STORE0="DesktopStore;http://StorefrontURL/Citrix/Store/PNAgent/config.xml;on;StoreName"
ポイント: XenApp公開デスクトップに接続する場合、通常のStore URLではなく、XenApp Servicesサイト（PNAgentサイト）のURLを指定しないとストア検出に失敗することがあります。

2. Desktop Lockのインストール

MSIインストーラーを実行します。サイレントインストール時の再起動を抑止するオプション例は以下の通りです。 msiexec /i CitrixReceiverDesktopLock.msi /qn /norestart

3. StoreFront側の設定（重要）

クライアント側だけでなく、サーバー側でも以下の対応が必要です。

XenApp Servicesサイトの有効化:
- StoreFrontコンソールで、PNAgent（レガシーサポート）サイトを有効にします。
SSOの有効化（PowerShell）:
- デフォルトではPNAgentサイトの認証が「プロンプト」になっているため、PowerShellでSSOに変更します。
- & ".\EnablePnaForStore.ps1" -SiteID 1 -ResourcesVirtualPath /Citrix/Store -LogonMethod sson
表示リソースのフィルタリング:
- Desktop Lockは「単一のデスクトップ」に接続することを前提としています。公開アプリなどが混在していると動作しないため、StoreFrontのフィルタリング機能で**「デスクトップ」のみを表示**するように制限します。
- Set-DSResourceFilterType ... -IncludeTypes @("Desktops")