Use essas configurações para impedir a comunicação de nomes de domínio do Active Directory com usuários não autenticados usando os vários Horizon Clients. Essas configurações determinam se as informações sobre os domínios do Active Directory que são registrados com seu ambiente do Horizon Cloud são enviadas aos clientes de usuário final do Horizon e, se enviadas, como elas são exibidas nas telas de login dos clientes de usuário final.

Faz parte da configuração de seu ambiente registrá-lo nos domínios do Active Directory. Quando os usuários finais usam um Horizon Client para acessar suas áreas de trabalho e aplicativos remotos autorizadas, esses domínios são associados ao seu acesso autorizado. Antes da versão de manutenção trimestral de março de 2019, o sistema e os clientes tinham um comportamento padrão, sem opção de ajustá-lo. A partir de março de 2019, os padrões são alterados e você pode, opcionalmente, usar os novos controles de Configurações de Segurança do Domínio para alterar os padrões.

Importante: Quando você altera essas configurações, pode levar até 5 minutos para que a atualização entre em vigor.

Este tópico tem as seguintes seções.

Configurações de Segurança do Domínio

As combinações dessas configurações determinam se as informações do domínio são enviadas ao cliente e se um menu de seleção de domínio está disponível para o usuário final no cliente.

Importante: Essas configurações se aplicam a todos os pods no Microsoft Azure que estão dentro do mesmo ambiente do Horizon Cloud. Todos os pods que são implantados no Microsoft Azure usando a mesma conta de cliente (tenant) do Horizon Cloud têm a mesma combinação. Todos os usuários finais que se conectam aos pods receberão o comportamento de acordo com essas configurações, independentemente de qual pod está provisionando suas áreas de trabalho virtuais e aplicativos remotos.
Cuidado: Essas configurações alteram a experiência do usuário nos clientes. O comportamento para usuários finais que usam as versões do Horizon Client anteriores à versão 5.0 é diferente daquele no Horizon Client 5.0 e posterior. Determinadas combinações podem definir requisitos sobre como os usuários finais especificam suas informações de domínio na tela de login do cliente, especialmente ao usar clientes mais antigos, clientes de linha de comando e quando seu ambiente está configurado com vários domínios do Active Directory. Como essas configurações afetam a experiência do usuário do cliente depende do cliente. Talvez seja necessário equilibrar a experiência do usuário final desejada de acordo com as políticas de segurança da sua organização. Consulte as seções Cenários de domínio único do Active Directory e requisitos de login do usuário e Cenários de vários domínios do Active Directory e requisitos de login do usuário.
Tabela 1. Configurações de segurança do domínio na página Configurações Gerais
Opção Descrição
Mostrar Somente Domínio Padrão

Essa opção controla quais informações de domínio o sistema envia para a conexão de clientes antes da autenticação do usuário.

  • Sim: o sistema envia somente o valor de cadeia de caracteres literal *DefaultDomain*.
  • Não: o sistema envia a lista de nomes de domínio registrados do Active Directory para o cliente.
Ocultar Campo de Domínio

Essa opção controla a visibilidade na tela de login do cliente de qualquer informação relacionada ao domínio que é enviada ao cliente, com base na configuração Mostrar Somente Domínio Padrão.

  • Sim: nada sobre domínios é exibido na tela de login do cliente, independentemente de como a opção Mostrar Somente Domínio Padrão esteja definida. O valor da cadeia de caracteres literal *DefaultDomain* nem os nomes de domínio são exibidos na tela de login do cliente.
  • Não: a tela de login do cliente exibe um dos seguintes itens, dependendo da configuração Mostrar Somente Domínio Padrão.
    • O texto literal *DefaultDomain*, quando Mostrar Somente Domínio Padrão é Sim. Essa combinação é otimizada para a experiência do usuário em Horizon Clients anteriores à versão 5.0, além de fornecer segurança aprimorada.
    • A lista de nomes de domínio em um menu suspenso, quando Mostrar Somente Domínio Padrão é Não.

Comportamento padrão desta versão comparado ao das versões anteriores

A tabela a seguir detalha o comportamento padrão anterior, o novo comportamento padrão e as configurações que você pode usar para ajustar o comportamento de acordo com as necessidades da sua organização.

Comportamento padrão da versão anterior Comportamento padrão desta versão Combinação de configurações de segurança do domínio correspondentes para o comportamento padrão desta versão

O sistema enviou os nomes dos domínios registrados do Active Directory para os clientes.

O sistema envia apenas um valor de cadeia de caracteres literal ( *DefaultDomain*) aos clientes e não os nomes dos domínios registrados do Active Directory.
Observação: O envio da cadeia de caracteres literal fornece suporte para Horizon Clients mais antigos que são implementados para esperar uma lista de cadeias de caracteres de nomes de domínio.
Mostrar Somente Domínio Padrão

Configuração padrão: Sim

Os clientes exibiram um menu suspenso na tela de login que apresenta a lista de nomes de domínio registrados do Active Directory para que o usuário final escolha seu domínio antes de fazer login.

Os clientes exibem essa cadeia de caracteres literal *DefaultDomain*.

Ocultar Campo de Domínio

Configuração padrão: Não

Relacionamento com os níveis de manifesto dos pods

Quando você é um cliente existente com pods criados em uma versão anterior do serviço, até que todos os pods no Microsoft Azure sejam atualizados para o nível de manifesto desta versão do Horizon Cloud, seu ambiente é configurado por padrão para fornecer o mesmo comportamento que tinha na versão anterior do Horizon Cloud. Este comportamento herdado é:

  • O sistema envia os nomes de domínio do Active Directory para o cliente (Mostrar Somente Domínio Padrão está definido como Não).
  • Os clientes têm um menu suspenso que exibe a lista de nomes de domínio para o usuário final antes de fazer login (Ocultar Campo de Domínio está definido como Não).

Além disso, até que todos os pods estejam nesse nível de versão do serviço, a página Configurações Gerais não exibirá os controles de Configurações de Segurança do Domínio. Se você tiver um ambiente misto com pods não atualizados existentes e pods implantados recentemente neste nível de versão, os novos controles não estarão disponíveis. Como resultado, você não poderá mudar do comportamento herdado até que todos os pods estejam nesse nível de versão do serviço.

Quando todos os pods do seu ambiente forem atualizados, as configurações estarão disponíveis no console administrativo do Horizon Cloud. Os padrões de pós-atualização estão definidos como o comportamento de pré-atualização (Mostrar Somente Domínio Padrão é Não e Ocultar Campo de Domínio é Não). As configurações padrão de pós-atualização são diferentes dos padrões do novo cliente. Essas configurações são aplicadas para que o comportamento herdado de pré-atualização continue para seus usuários finais após a atualização, até que você opte por alterar as configurações para atender às necessidades de segurança da sua organização.

Cenários de domínio único do Active Directory e requisitos de login do usuário

A tabela a seguir descreve o comportamento de várias combinações de configurações quando o seu ambiente tem um único domínio do Active Directory, sem a autenticação de dois fatores, e seus usuários finais usam os Horizon Clients 5.0 e versões posteriores.

Tabela 2. Comportamento para o Horizon Clients 5.0 e versões posteriores e você tem um domínio do Active Directory
Mostrar Somente Domínio Padrão (quando habilitado envia *DefaultDomain*) Ocultar Campo de Domínio Detalhes da tela de login do Horizon Client 5.0 Como os usuários fazem login
Sim Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. Nenhum nome de domínio é enviado.

A seguinte captura de tela é um exemplo de como a tela de login resultante é semelhante à do cliente Windows.


Captura de tela do Horizon Client para Windows 5.0 quando Ocultar Campo de Domínio está definido como Sim

Quando há um único domínio, para fazer login, os usuários finais podem inserir qualquer um dos seguintes valores na caixa de texto Nome do usuário. O nome de domínio não é necessário.
  • username
  • domain\username

I uso da inicialização do cliente de linha de comando e a especificação do domínio no comando funcionam.

Sim Não A tela de login do cliente tem os campos padrão de nome de usuário e senha. O campo de domínio exibe *DefaultDomain*. Nenhum nome de domínio é enviado.

A seguinte captura de tela é um exemplo de como a tela de login resultante é semelhante à do cliente Windows.


Captura de tela da tela de login do Horizon Client para Windows 5.0 com Mostrar Somente Domínio Padrão definido como Sim e Ocultar Campo de Domínio definido como Não

Quando há um único domínio, para fazer login, os usuários finais podem inserir qualquer um dos seguintes valores na caixa de texto Nome do usuário. O nome de domínio não é necessário.
  • username
  • domain\username

I uso da inicialização do cliente de linha de comando e a especificação do domínio no comando funcionam.

Não Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. O sistema envia o nome de domínio ao cliente.
Observação: Essa combinação é atípica. Você normalmente não usaria essa combinação porque ela oculta o campo de domínio, mesmo que o sistema esteja enviando o nome de domínio.

A tela de login tem a mesma aparência da que está na primeira linha desta tabela, sem o campo de domínio exibido.

Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username
Não Não A tela de login do cliente tem os campos padrão de nome de usuário e senha, e um seletor de domínio suspenso padrão exibe o nome de domínio disponível. O nome de domínio é enviado. O usuário final pode especificar seu nome de usuário na caixa de texto Nome do usuário e usar o único domínio que está na lista visível no cliente.

I uso da inicialização do cliente de linha de comando e a especificação do domínio no comando funcionam.

Esta tabela descreve o comportamento quando seu ambiente tem um único domínio do Active Directory e seus usuários finais usam versões anteriores dos Horizon Clients (pré-5.0).

Importante: O uso da inicialização do cliente de linha de comando dos clientes antigos (pré-5.0) e a especificação do domínio no comando falham para todas as combinações abaixo. Para solucionar esse comportamento, use *DefaultDomain* para a opção de domínio do comando ou atualize o cliente para a versão 5.0. No entanto, quando você tem mais de um domínio do Active Directory, passar *DefaultDomain* não funciona.
Tabela 3. Comportamento para Horizon Clients mais antigos (antes da 5.0) e você tem um domínio do Active Directory
Mostrar Somente Domínio Padrão (quando habilitado envia *DefaultDomain*) Ocultar Campo de Domínio Detalhes da tela de login do Horizon Client pré-5.0 Como os usuários fazem login
Sim Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. Nenhum nome de domínio é enviado. Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username
Sim Não A tela de login do cliente tem os campos padrão de nome de usuário e senha. O campo de domínio exibe *DefaultDomain*. Nenhum nome de domínio é enviado. Um usuário final deve inserir username na caixa de texto Nome do usuário. Quando o nome de domínio é incluído, uma mensagem de erro é exibida indicando que o nome de domínio especificado não existe na lista de domínios.
Não Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. O sistema envia o nome de domínio ao cliente.
Observação: Essa combinação é atípica. Você normalmente não usaria essa combinação porque ela oculta o campo de domínio, mesmo que o sistema esteja enviando o nome de domínio.

A tela de login tem a mesma aparência da que está na primeira linha desta tabela, sem o campo de domínio exibido.

Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username
Não Não A tela de login do cliente tem os campos padrão de nome de usuário e senha, e um seletor de domínio suspenso padrão exibe o nome de domínio disponível. O nome de domínio é enviado. O usuário final pode especificar seu nome de usuário na caixa de texto Nome do usuário e usar o único domínio que está na lista visível no cliente.

Cenários de vários domínios do Active Directory e requisitos de login do usuário

Esta tabela descreve o comportamento de várias combinações de configurações quando o seu ambiente tem vários domínios do Active Directory, sem a autenticação de dois fatores, e seus usuários finais usam os Horizon Clients 5.0 e versões posteriores.

Basicamente, o usuário final tem que incluir o nome de domínio quando eles digitam o nome de usuário, como domain\username, exceto para a combinação herdada onde os nomes de domínio são enviados e estão visíveis no cliente.

Tabela 4. Comportamento para o Horizon Clients 5.0 e versões posteriores e você tem vários domínios do Active Directory
Mostrar Somente Domínio Padrão (quando habilitado envia *DefaultDomain*) Ocultar Campo de Domínio Detalhes da tela de login do Horizon Client 5.0 Como os usuários fazem login
Sim Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. Nenhum nome de domínio é enviado.

A seguinte captura de tela é um exemplo de como a tela de login resultante é semelhante à do cliente Windows.


Captura de tela do Horizon Client 5.0 para Windows quando Ocultar Campo de Domínio está definido como Sim

Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username

I uso da inicialização do cliente de linha de comando e a especificação do domínio no comando funcionam.

Sim Não A tela de login do cliente tem os campos padrão de nome de usuário e senha. O campo de domínio exibe *DefaultDomain*. Nenhum nome de domínio é enviado.

A seguinte captura de tela é um exemplo de como a tela de login resultante é semelhante à do cliente Windows.


Captura de tela da tela de login do Horizon Client 5.0 para Windows com Mostrar Somente Domínio Padrão definido como Sim e Ocultar Campo de Domínio definido como Não

Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username

I uso da inicialização do cliente de linha de comando e a especificação do domínio no comando funcionam.

Não Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. O sistema envia os nomes de domínio para o cliente.
Observação: Essa combinação é atípica. Você normalmente não usaria essa combinação porque ela oculta o campo de domínio, mesmo que o sistema esteja enviando os nomes de domínio.

A tela de login tem a mesma aparência da que está na primeira linha desta tabela, sem o campo de domínio exibido.

Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username
Não Não A tela de login do cliente tem os campos padrão de nome de usuário e senha, e um seletor de domínio suspenso padrão exibe a lista de nomes de domínio. Os nomes de domínio são enviados. O usuário final pode especificar seu nome de usuário na caixa de texto Nome do usuário e selecionar seu domínio na lista visível no cliente.

I uso da inicialização do cliente de linha de comando e a especificação do domínio no comando funcionam.

Esta tabela descreve o comportamento quando seu ambiente tem vários domínios do Active Directory e seus usuários finais usam versões anteriores dos Horizon Clients (pré-5.0).

Importante:
  • A configuração Ocultar Campo de Domínio como Sim permite que os usuários finais insiram seus domínios na caixa de texto Nome do usuário nesses Horizon Clients pré-5.0. Quando você tiver vários domínios e quiser oferecer suporte ao uso de Horizon Clients pré-5.0 por seus usuários finais, deverá definir Ocultar Campo de Domínio como Sim para que seus usuários finais possam incluir o nome do domínio quando digitarem seu nome de usuário.
  • O uso da inicialização do cliente de linha de comando dos clientes antigos (pré-5.0) e a especificação do domínio no comando falham para todas as combinações abaixo. A única solução é o momento em que você tem vários domínios do Active Directory e deseja usar a inicialização do cliente de linha de comando é atualizar o cliente para a versão 5.0.
Tabela 5. Comportamento para Horizon Clients mais antigos (antes da 5.0) e você tem vários domínios do Active Directory
Mostrar Somente Domínio Padrão (quando habilitado envia *DefaultDomain*) Ocultar Campo de Domínio Detalhes da tela de login do Horizon Client pré-5.0 Como os usuários fazem login
Sim Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. Nenhum nome de domínio é enviado. Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username
Sim Não A tela de login do cliente tem os campos padrão de nome de usuário e senha. O campo de domínio exibe *DefaultDomain*. Nenhum nome de domínio é enviado. Não há suporte para essa combinação em ambientes com vários domínios do Active Directory.
Não Sim A tela de login do cliente tem os campos padrão de nome de usuário e senha. Nenhum campo de domínio é exibido. O sistema envia o nome de domínio ao cliente.
Observação: Essa combinação é atípica. Você normalmente não usaria essa combinação porque ela oculta o campo de domínio, mesmo que o sistema esteja enviando os nomes de domínio.
Um usuário final deve incluir o nome de domínio na caixa de texto Nome do usuário.
  • domain\username
Não Não A tela de login do cliente tem os campos padrão de nome de usuário e senha, e um seletor de domínio suspenso padrão exibe o nome de domínio disponível. O nome de domínio é enviado. O usuário final pode especificar seu nome de usuário na caixa de texto Nome do usuário e selecionar seu domínio na lista visível no cliente.

Sobre pods no Microsoft Azure com instâncias do Unified Access Gateway configuradas com autenticação de dois fatores

Conforme descrito em Especificar o recurso de autenticação de dois fatores para o novo pod, ao implantar um pod no Microsoft Azure, você tem a opção de implantá-lo com a autenticação de dois fatores RADIUS configurada em suas instâncias do Unified Access Gateway.

Quando um pod no Microsoft Azure tem seu Unified Access Gateway configurado com a autenticação de dois fatores RADIUS, os usuários finais que tentam se autenticar com seus Horizon Clients primeiro vêem uma tela solicitando suas credenciais de autenticação de dois fatores, seguidas por uma tela de login solicitando suas credenciais de domínio do Active Directory. Nesse caso, o sistema envia a lista de domínios aos clientes somente após as credenciais do usuário final passarem com êxito essa tela de autenticação inicial.

Em geral, se todos os pods tiverem a autenticação de dois fatores RADIUS configurada em suas instâncias do Unified Access Gateway, você poderá considerar fazer com que o sistema envie a lista de domínios para os clientes e os clientes exibam o menu suspenso de domínio. Essa configuração fornece a mesma experiência de usuário final herdada para todos os seus usuários finais, independentemente da versão do Horizon Client sendo usada ou quantos domínios do Active Directory você tem. Após o usuário final concluir com êxito a etapa de senha de autenticação de dois fatores, ele poderá selecionar o domínio no menu suspenso na segunda tela de login. Ele pode evitar a necessidade de incluir o nome de domínio quando insere suas credenciais na tela de autenticação inicial.

No entanto, como as configurações de segurança do domínio são aplicadas no nível Horizon Cloud da conta do cliente (tenant), se alguns dos pods não tiverem a autenticação de dois fatores configurada, talvez você queira evitar o envio da lista de domínios, pois esses pods enviarão os nomes de domínio aos clientes que se conectarem a eles antes dos usuários finais fizerem login.

Importante: Quando a configuração de autenticação de dois fatores de um pod tiver Manter Nome de Usuário configurado como Sim, certifique-se de que Ocultar Campo de Domínio esteja definido como Não. Caso contrário, seus usuários finais não poderão fornecer as informações de domínio necessárias para o sistema associar a suas credenciais de login.

Os requisitos de login do usuário final pelo Horizon Client seguem os mesmos padrões descritos em Cenários de domínio único do Active Directory e requisitos de login do usuário e Cenários de vários domínios do Active Directory e requisitos de login do usuário. Ao se conectar a um pod que tem a autenticação de dois fatores RADIUS configurada e você tiver vários domínios do Active Directory, o usuário final deverá fornecer seu nome de domínio como domain\username se Ocultar Campo de Domínio estiver definido como Sim.