配置会话录制策略
可以激活系统定义的录制策略,也可以创建并激活您的自定义录制策略。系统定义的录制策略将单个规则应用到整个会话。自定义录制策略指定录制哪些会话。
活动录制策略确定要录制的会话。每次只能有一个录制策略处于活动状态。
注意:
创建或激活录制策略后,该策略将应用到所选站点的所有 Session Recording Server。可以为不同的站点创建和激活单独的录制策略。
系统定义的录制策略
Session Recording 提供以下系统定义的录制策略:
注意:
Session Recording 版本 2308 及更高版本提供了有损屏幕录制功能和未优化的 HDX 音频的音频录制功能。
- 不录制。默认策略。如果未指定其他策略,则不会录制会话。
- 录制整个会话,不包括音频(面向所有人,并且通知)。此策略会录制整个会话(包括屏幕和事件,但不包括音频)。用户会提前收到录制通知。
- 录制整个会话,不包括音频(面向所有人,并且不通知)。此策略会录制整个会话(包括屏幕和事件,但不包括音频)。用户不会收到录制通知。
- 录制整个会话,不包括音频且启用有损屏幕录制(面向所有人,并且通知)。此策略会录制整个会话(包括屏幕和事件,但不包括音频)。将启用有损屏幕录制以减小录制文件的大小。用户会提前收到录制通知。
- 录制整个会话,不包括音频且启用有损屏幕录制(面向所有人,并且不通知)。此策略会录制整个会话(包括屏幕和事件,但不包括音频)。将启用有损屏幕录制以减小录制文件的大小。用户不会收到录制通知。
- 录制整个会话,包括音频(面向所有人,并且通知)。此策略会录制整个会话(包括屏幕、事件和音频)。用户会提前收到录制通知。您可以为未优化的 HDX 音频启用音频录制。未优化的 HDX 音频是指在 VDA 上处理的并传送到/传送自安装了 Citrix Workspace 应用程序的客户端的音频。与未优化的 HDX 音频形成鲜明对比的是优化的 HDX 音频,后者的处理工作已转移到客户端,如“浏览器内容重定向 (BCR)”和“面向 Microsoft Teams 的优化”场景中所示。
- 录制整个会话,包括音频(面向所有人,并且不通知)。此策略会录制整个会话(包括屏幕、事件和音频)。用户不会收到录制通知。
- 仅录制事件(针对所有人,并发出通知)。此策略仅录制事件检测策略指定的事件。它不录制屏幕或音频。用户会提前收到录制通知。
- 仅录制事件(针对所有人,不发出通知)。此策略仅录制事件检测策略指定的事件。它不录制屏幕或音频。用户不会收到录制通知。
不能修改或删除系统定义的录制策略。
创建自定义录制策略
注意事项
可以录制特定用户或组的会话、已发布的应用程序或桌面、交付组或 VDA 计算机以及 Citrix Workspace 应用程序客户端 IP 地址。要获取已发布的应用程序或桌面的列表以及交付组或 VDA 计算机的列表,您必须具有作为站点管理员所拥有的读取权限。在站点的 Delivery Controller 上配置管理员读取权限。
您还可以指定智能访问标记,以用作要应用自定义录制策略的范围。此功能在 Session Recording 2402 及更高版本中可用。它允许您根据用户访问上下文应用策略,包括:
- 用户的位置
- IP 地址范围
- 交付组
- 设备类型
- 已安装的应用程序
对于创建的每条规则,您都需要指定录制操作以及规则范围。录制操作适用于属于规则范围的会话。
对于每条规则,请选择一种录制操作:
- 启用会话录制并通知。此选项将录制整个会话(屏幕和事件)。用户会提前收到录制通知。您可以进一步选择启用音频录制或有损屏幕录制。
- 启用会话录制而不通知。此选项将录制整个会话(屏幕和事件)。用户不会收到录制通知。您可以进一步选择启用音频录制或有损屏幕录制。
- 启用带通知的仅事件会话录制。仅录制特定事件有助于释放存储空间。此选项在整个会话中仅录制事件检测策略指定的事件。它不录制屏幕。用户会提前收到录制通知。
- 启用不带通知的仅事件会话录制。仅录制特定事件有助于释放存储空间。此选项在整个会话中仅录制事件检测策略指定的事件。它不录制屏幕。用户不会收到录制通知。
- 禁用会话录制。此选项意味着不录制任何会话。
对于每条规则,请至少选择以下项目之一来创建规则范围。规则适用时,将使用 AND 和 OR 逻辑运算符来计算最终操作。一般来说,“OR”运算符在规则项内部使用,“AND”运算符在单独的规则项之间使用。如果结果为 true,Session Recording 策略引擎将执行规则的操作。否则,将转至下一条规则并重复该过程。
- 已发布的应用程序和桌面。创建要应用规则的操作的已发布应用程序和桌面列表。默认情况下会选择 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)站点。不支持 Citrix Virtual Apps and Desktops 站点。
- 交付组和 VDA 计算机。创建要应用规则的操作的交付组和 VDA 计算机列表。
- IP 地址和 IP 地址范围。创建要应用规则的操作的 IP 地址和 IP 地址范围列表。此处提到的 IP 地址是指 Citrix Workspace 应用程序的 IP 地址。
-
过滤器。创建要应用规则的操作的智能访问标记列表。可以使用 Citrix NetScaler 上的智能访问策略 Citrix 设备状态服务和基于用户的网络位置的自适应访问来配置上下文访问(智能访问)。
Session Recording 2402 及更高版本提供上下文访问(智能访问)。
-
用户和用户组。创建要应用规则的操作的用户和用户组列表。同时支持 Azure Active Directory (Azure AD) 和 Active Directory 标识类型。有关用户组场景的示例,请参阅使用用户组和将用户列入白名单。
注意:
Azure AD 支持是一项预览版功能。它适用于 Session Recording 版本 2402 及更高版本。
预览版功能可能未完全本地化,建议在非生产环境中使用。Citrix 技术支持不对在预览功能中发现的问题提供支持。
要完全启用 Azure AD 标识支持,以便从云端配置各种策略和播放权限,请完成以下步骤,然后重新启动 VDA:
-
使用 Citrix Virtual Apps and Desktops 安装程序在加入了 Azure AD 的计算机上安装 Session Recording Agent。在安装期间选择 Enable Azure AD support(启用 Azure AD 支持)。
对于您以其他方式安装的 Session Recording Agent,请在 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent 下设置以下注册表值以启用 Azure AD 支持:
- 将 CommunicationProtocalToggle 设置为 1(0 表示 .net 远程处理。1 表示 Websocket)。
- 将 AuthType 设置为 1(0 表示 Active Directory。1 表示 Citrix Cloud 身份验证)。
- 将 SmAudIdpEnabled 设置为 1(0 表示已禁用。1 表示已启用)
-
也可以使用 MSI 包在加入了 Azure AD 的计算机上安装 Session Recording Server。在 MSI 安装期间选择 Enable Azure AD support(启用 Azure AD 支持)。
-
转到“完整配置”界面的主页,启用 Preview features(预览版功能)部分下的 SessionRecordingSupportAAD 和 Send User Identity Info In Prepare Session(在准备会话中发送用户身份信息)开关。要访问“完整配置”界面的主页,请完成以下步骤:
- 登录 Citrix Cloud。
- 在左上角的菜单中,选择我的服务 > DaaS。默认情况下,将显示“完整配置”界面的主页。
-
在一个录制策略中创建多条规则时,某些会话可能满足多条规则的条件。在这些情况下,具有最高优先级的规则会应用到这些会话。
规则的录制操作决定其优先级:
- 具有禁用会话录制操作的规则具有最高优先级。
- 具有启用带通知的会话录制操作的规则具有次高优先级。
- 具有启用不带通知的会话录制操作的规则具有次低优先级。
- 启用带通知的仅事件会话录制操作的规则的优先级为中。
- 启用不带通知的仅事件会话录制操作的规则优先级最低。
某些会话可能不满足录制策略中的任何规则。对于这些会话,将应用策略回退规则的操作。回退规则的操作始终是禁用会话录制。您无法修改或删除回退规则。
步骤
- 登录 Citrix Cloud。
- 在左上角的菜单中,选择我的服务 > DaaS。
- 在管理中,选择 Session Recording。
- 在 Session Recording 服务页面的左侧导航栏中选择策略。
- 选择目标站点。默认情况下会显示录制策略选项卡。
- 单击 Add policy(添加策略)。
- 输入新策略的名称和说明,然后单击添加规则。
-
输入规则的名称和说明。指定录制操作并至少选择下面其中一个项目以创建规则作用域。
对于每条规则,请指定录制操作:
- 启用会话录制并通知
- 启用会话录制但不通知
- 启用带通知的仅事件会话录制
- 启用仅事件会话录制但不通知
- 禁用会话录制
对于每条规则,请至少选择以下项目之一来创建规则范围。
- 已发布的应用程序和桌面
- 用户和用户组
- 交付组和 VDA 计算机
- IP 地址和 IP 地址范围
- 过滤
- 创建新策略后,在录制策略选项卡上找到该策略,然后打开开关以激活该策略。
使用用户组
Session Recording 允许您在创建策略时使用用户组。使用用户组代替单个用户可简化规则和策略的创建和管理。例如,如果公司财务部门中的用户包含在名为 Finance 的 Active Directory 组中,您可以通过在 规则向导中选择 Finance 组来创建应用到所有组成员的规则。
将用户加入白名单
可以创建 Session Recording 策略,确保绝不会录制组织中某些用户的会话。这种情况称为将这些用户 加入白名单。加入白名单对负责处理隐私相关信息的用户非常有用,在贵组织不希望录制某些级别的员工的会话时也非常有用。
例如,如果贵公司内的所有经理都属于名为 Executive 的 Active Directory 组中的成员,您可以创建规则来禁用 Executive 组的会话录制,从而确保这些用户的会话绝不会被录制。包含此规则的策略处于活动状态时,不会录制“Executive”组成员的会话。组织内其他成员的会话根据活动策略中的其他规则进行录制。
了解滚动行为
激活策略之后,之前的活动策略仍然有效,直至录制的会话结束或会话录制文件被滚动更新。文件达到最大大小时会发生滚动。有关录制件的最大文件大小的详细信息,请参阅指定录制件的文件大小。
下表详细说明了在录制会话并发生滚动更新的过程中应用新策略时会出现的情况:
| 如果之前的录制策略为: | 并且新的录制策略为: | 滚动更新后,录制策略将变为: |
|---|---|---|
| 不录制 | 任何其他策略 | 不更改。仅当用户登录到新会话时新策略才生效。 |
| 录制但不通知 | 不录制 | 录制停止。 |
| 录制但不通知 | 录制并通知 | 录制将继续进行并显示一条通知消息。 |
| 录制并通知 | 不录制 | 录制停止。 |
| 录制并通知 | 录制但不通知 | 录制将继续进行。下次用户登录时不显示任何消息。 |