As configurações de política de filtro que você define para Horizon Agent e Horizon Client estabelecem quais dispositivos USB podem ser redirecionados de um computador cliente para uma área de trabalho remota ou aplicativo. A filtragem de dispositivo USB é frequentemente usada por empresas para desativar o uso de dispositivos de armazenamento em massa em áreas de trabalho remotas ou para impedir que um tipo específico de dispositivo seja encaminhado, como um adaptador USB para Ethernet que conecta o dispositivo cliente à área de trabalho remota .
Quando você se conecta a um desktop ou aplicativo, o Horizon Client baixa as configurações de política de Horizon Agent USB e as usa em conjunto com as configurações de política de Horizon Client USB para decidir quais dispositivos USB ele permitirá que você redirecione do computador cliente.
Horizon aplica qualquer configuração de política de divisão de dispositivo antes de aplicar as configurações de política de filtro. Se você tiver dividido um dispositivo USB composto, o Horizon examinará cada uma das interfaces do dispositivo para decidir quais devem ser excluídas ou incluídas de acordo com as configurações de política de filtro. Se você não tiver dividido um dispositivo USB composto, o Horizon aplicará as configurações de política de filtro a todo o dispositivo.
As políticas de divisão de dispositivos estão incluídas no Horizon Agent arquivo de modelo ADMX de configuração (vdm_agent.admx).
Interação das configurações USB aplicadas pelo agente
A tabela a seguir mostra os modificadores que especificam como Horizon Client trata uma configuração de política de filtro Horizon Agent para uma configuração executável pelo agente se existir uma configuração de política de filtro equivalente para Horizon Client.
Modificador | Descrição |
---|---|
m (mesclar) | Horizon Client aplica a configuração de política de filtro Horizon Agent, além da configuração de política de filtro Horizon Client. No caso de configurações booleanas ou verdadeiro/falso, se a política do cliente não estiver definida, as configurações do agente serão usadas. Se a política do cliente estiver definida, as configurações do agente serão ignoradas, exceto a configuração Exclude All Devices. Se a política Exclude All Devices for definida no lado do agente, a política substituirá a configuração do cliente. |
o (substituir) | Horizon Client usa a configuração de política de filtro Horizon Agent em vez da configuração de política de filtro Horizon Client. |
Por exemplo, a seguinte política no lado do agente substitui quaisquer regras de inclusão no lado do cliente, e somente o dispositivo VID-0911_PID-149a terá uma regra de inclusão aplicada:
IncludeVidPid: o:VID-0911_PID-149a
Você também pode usar asteriscos como caracteres curinga; por exemplo: o:vid-0911_pid-****
Interação das configurações USB interpretadas pelo cliente
A tabela a seguir mostra os modificadores que especificam como Horizon Client trata uma configuração de política de filtro Horizon Agent para uma configuração interpretada pelo cliente.
Modificador | Descrição |
---|---|
Default (d na configuração do registro) | Se uma configuração de política de filtro Horizon Client não existir, Horizon Client usará a configuração de política de filtro Horizon Agent. Se houver uma configuração de política de filtro Horizon Client, Horizon Client aplicará essa configuração de política e ignorará a configuração de política de filtro Horizon Agent. |
Override (o na configuração do registro) | Horizon Client usa a configuração de política de filtro Horizon Agent em vez de qualquer configuração de política de filtro Horizon Client equivalente. |
Horizon Agent não aplica as configurações de política de filtro para configurações interpretadas pelo cliente em seu lado da conexão.
A tabela a seguir mostra exemplos de como Horizon Client processa as configurações de Allow Smart Cards quando você especifica diferentes modificadores de filtro.
Permitir configuração de smart cards em Horizon Agent | Permitir configuração de smart cards em Horizon Client | Configuração de política de permissão efetiva de cartões inteligentes usada por Horizon Client |
---|---|---|
Disable - Default Client Setting (d:false na configuração do registro) | true (Permitir) | true (Permitir) |
Disable - Override Client Setting (o:false na configuração do registro) | true (Permitir) | false (Desativar) |
Se você definir a política Disable Remote Configuration Download como true, Horizon Client ignorará todas as configurações de política de filtro que receber de Horizon Agent.
Horizon Agent sempre aplica as configurações de política de filtro nas configurações executáveis pelo agente no lado da conexão, mesmo se você configurar Horizon Client para usar uma configuração de política de filtro diferente ou desativar Horizon Client para baixar as configurações de política de filtro de Horizon Agent. Horizon Client não relata que Horizon Agent está bloqueando o encaminhamento de um dispositivo.
Precedência das configurações
Horizon Client avalia as configurações de política de filtro de acordo com uma ordem de precedência. Uma configuração de política de filtro que exclui um dispositivo correspondente do redirecionamento tem precedência sobre a configuração de política de filtro equivalente que inclui o dispositivo. Se Horizon Client não encontrar uma configuração de política de filtro para excluir um dispositivo, Horizon Client permitirá que o dispositivo seja redirecionado, a menos que você tenha definido a política Exclude All Devices como true. No entanto, se você tiver definido uma configuração de política de filtro em Horizon Agent para excluir o dispositivo, a área de trabalho ou o aplicativo bloqueará qualquer tentativa de redirecionar o dispositivo para ele.
Horizon Client avalia as configurações de política de filtro em ordem de precedência, levando em consideração as configurações de Horizon Client e as configurações de Horizon Agent junto com os valores do modificador que você aplica às configurações de Horizon Agent. A lista a seguir mostra a ordem de precedência, com o item 1 tendo a precedência mais alta.
- Exclude Path
- Include Path
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- Allow Audio Input Devices, Allow Audio Output Devices, Allow HIDBootable, Allow HID (Non Bootable and Not Mouse Keyboard), Allow Keyboard and Mouse Devices, Allow Smart Cards e Allow Video Devices
- Política Exclude All Devices efetiva combinada avaliada para excluir ou incluir todos os dispositivos USB
Você pode definir as configurações de política de filtro Exclude Path e Include Path somente para Horizon Client. As configurações de política de filtro Allow que se referem a famílias de dispositivos separadas têm a mesma precedência.
Se você definir uma configuração de política para excluir dispositivos com base nos valores de ID do fornecedor e do produto, Horizon Client excluirá um dispositivo cujos valores de ID do fornecedor e do produto correspondam a essa configuração de política, mesmo que você tenha definido uma configuração de política Allow para a família à qual o dispositivo pertence.
A ordem de precedência das configurações de política resolve os conflitos entre as configurações de política. Se você configurar Allow Smart Cards para permitir o redirecionamento de cartões inteligentes, qualquer configuração de política de exclusão de precedência mais alta substituirá essa política. Por exemplo, você pode ter definido uma configuração de política Exclude Vid/Pid Device para excluir dispositivos de cartão inteligente com valores correspondentes de caminho ou fornecedor e ID do produto, ou pode ter definido uma configuração de política Exclude Device Family que também exclui totalmente a família de dispositivos smart-card .
Se você tiver definido alguma configuração de política de filtro Horizon Agent, o Horizon Agent avaliará e aplicará as configurações de política de filtro na seguinte ordem de precedência na área de trabalho remota ou no aplicativo, com o item 1 tendo a precedência mais alta.
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- Política Exclude All Devices aplicada pelo agente definida para excluir ou incluir todos os dispositivos USB
Horizon Agent aplica esse conjunto limitado de configurações de política de filtro no próprio lado da conexão.
Ao definir as configurações de política de filtro para Horizon Agent, você pode criar uma política de filtragem para computadores cliente não gerenciados. O recurso também permite bloquear o encaminhamento de dispositivos de computadores clientes, mesmo que as configurações de política de filtro para Horizon Client permitam o redirecionamento.
Por exemplo, se você configurar uma política que permita que Horizon Client permita que um dispositivo seja redirecionado, Horizon Agent bloqueará o dispositivo se você configurar uma política para Horizon Agent excluir o dispositivo.
Exemplos de configuração de políticas para filtrar dispositivos USB
As IDs de fornecedor e de produto usadas nesses exemplos são apenas exemplos. Para obter informações sobre como determinar a ID do fornecedor e a ID do produto para um dispositivo específico, consulte Usando arquivos de log para solucionar problemas e determinar IDs de dispositivos USB.
- No cliente, exclua um determinado dispositivo do redirecionamento:
Exclude Vid/Pid Device: Vid-0341_Pid-1a11
- Impedir que todos os dispositivos de armazenamento sejam redirecionados para essa área de trabalho ou pool de aplicativos. Use uma configuração do lado do agente:
Exclude Device Family: o:storage
- Para todos os usuários em um pool de desktops, bloqueie dispositivos de áudio e vídeo para garantir que esses dispositivos estejam sempre disponíveis para o recurso Áudio e Vídeo em Tempo Real. Use uma configuração do lado do agente::
Exclude Device Family: o:video;audio
Observe que outra estratégia seria excluir dispositivos específicos por fornecedor e ID do produto.
- No cliente, bloqueie todos os dispositivos para que não sejam redirecionados, exceto um dispositivo específico:
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd
- Exclua todos os dispositivos fabricados por uma determinada empresa, pois esses dispositivos causam problemas para os usuários finais. Use uma configuração do lado do agente:
Exclude Vid/Pid Device: o:Vid-0341_Pid-*
- No cliente, inclua dois dispositivos específicos, mas exclua todos os outros:
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd;Vid-1abc_Pid-0001