Sie können Richtlinien für Mandanten auf der Registerkarte Richtlinienkonfiguration festlegen.

So zeigen Sie die Registerkarte Richtlinienkonfiguration an:

  1. Wählen Sie auf der Benutzeroberfläche des Service Centers die Optionen Mandanten > Richtlinie aus.
  2. Wählen Sie im Dropdown-Menü Organisation Ihre Mandantenorganisation aus.

Richtlinien werden pro Mandant festgelegt. Auf dem Bildschirm Richtlinienkonfiguration werden die Werte der Konfigurationsparameter für Mandanten-Appliances und Desktop-Manager angezeigt.

Klicken Sie auf die Schaltfläche Beschreibung anzeigen, um eine kurze Beschreibung der einzelnen Parameter anzuzeigen. Der Standardwert wird in eckigen Klammern angezeigt.

So ändern Sie den Wert eines Richtlinienparameters:

  1. Doppelklicken Sie auf die Zeile des zu ändernden Parameters.
  2. Geben Sie den neuen Wert ein.
  3. Klicken Sie auf OK , um die Änderung vorzunehmen oder auf Abbrechen, um den aktuellen Wert beizubehalten.

Auf dem Bildschirm werden standardmäßig nur die gängigsten Richtlinien angezeigt. Um die vollständige Liste einschließlich der erweiterten Richtlinien anzuzeigen, wählen Sie die Webseite aus und geben Sie „dtpolicy“ ein.

Konfigurieren von Richtlinien für die Lizenzierung von RDSH pro Gerät

Diese Funktion bietet eine ordnungsgemäße Handhabung von gerätebezogenen RDSH-Clientzugriffslizenzen (CALs), indem die ausgestellte Lizenz gespeichert wird, die sie zum Zeitpunkt der Verbindung auf dem RDS-Host bereitstellt, und etwaige Upgrades gespeichert werden. Dadurch wird eine potentielle Übernutzung von gerätebezogenen CALs verhindert. Sie wird in Horizon Agent und Horizon Client implementiert und es ist eine Horizon Cloud-Implementierung erforderlich, um sie zu unterstützen.

Es gibt zwei neue Richtlinien, die Sie im Servicecenter festlegen können, um diese Funktionalität zu aktivieren: rds.license.enable und rds.license.brokeronly.enable. Der Standardwert für beides ist „false“. Die Ergebnisse verschiedener Einstellungen für diese Richtlinien werden unten angezeigt.

rds.license.enable rds.license.brokeronly.enable Ergebnis
Wahr Falsch CALs werden sowohl in Broker als auch in Client gespeichert.
Wahr Wahr CALs werden nur in Broker gespeichert.
Falsch Wahr/Falsch CALs werden an keiner Stelle gespeichert. Funktion ist deaktiviert.

Konfigurieren der Richtlinie für eine einzelne vCenter Server-Konfiguration

Um eine Umgebung mit einem einzelnen vCenter Server einzurichten, müssen Sie für diese Richtlinie true festlegen.

Richtlinie Beschreibung
allow.shared.hostmanager Steuert, ob ein direkter Hostmanager von Verwaltungs-Appliances und Mandantenpoolressourcen gemeinsam genutzt werden kann.
  • Um einen gemeinsam genutzten Hostmanager zuzulassen, legen Sie hierfür true fest.
  • Um einen gemeinsam genutzten Hostmanager nicht zuzulassen, legen Sie hierfür false fest.

Konfigurieren von Richtlinien für Agent-Aktualisierungsfunktionalität

Damit Sie die Funktionalität für die Agent-Aktualisierung nutzen können, müssen Sie die URL des Upgrade-Servers in der Richtlinie agentupdate.updateserver.url angeben.

Die folgenden Richtlinien wirken sich auch auf diese Funktionalität aus und können nach Bedarf festgelegt werden (Standardwerte werden in Klammern angezeigt):
Richtlinie Beschreibung
agentupdate.cachePath Dateifreigabeort für das Herunterladen von Agent-Installationsprogrammen. Die Mandanten-Appliance aktualisiert diesen Speicherort nach Bedarf.
agentupdate.cipherList Kryptografische Verschlüsselungs-Suite zur Verwendung mit SSL, wenn eine Verbindung mit dem Update-Server hergestellt wird [ECDHE-RSA-AES256-GCM-SHA384]
agentupdate.enable Wenn diese Option aktiviert ist (auf true festgelegt), sucht die Mandanten-Appliance auf dem Update-Server nach Agent-Aktualisierungen. Wenn Sie für diese Richtlinie false einstellen, wird die Überprüfung auf neue Agents deaktiviert und auch die Suche nach Hot-Patch-Dateien in der Dateifreigabe wird deaktiviert.
agentupdate.enablehotpatch Wenn Sie für diese Richtlinie true festlegen, sucht die Mandanten-Appliance nach Hot-Patch-Dateien in der Dateifreigabe des Kundenadministrators. Wenn Sie für diese Richtlinie false einstellen, wird die Suche nach Hot-Patch-Dateien in der Dateifreigabe deaktiviert.
agentupdate.job.repeatInterval Intervall (in ms) zwischen der Suche nach neuen Agents auf dem Update-Server. Standardmäßig 24 Stunden [86400000].
agentupdate.job.startDelay Wartezeit (in ms) für die Suche zur Agent-Aktualisierung, die nach dem Start der Mandanten-Appliance gestartet wird. Standardmäßig 1 Minute [60000].
agentupdate.sslProtocol Kryptografische Protokolle, die mit SSL bei der Verbindung mit dem Update-Server verwendet werden sollen [TLS_V1_2].
element.agentupdate.max.concurrent.updates.per.pool Maximale Anzahl der VMs, die gleichzeitig in jedem Pool aktualisiert werden sollen. Bei diesem Wert handelt es sich auch um die maximale Anzahl an Fehlern in einem Pool, nach denen eine Aufgabe zum Aktualisieren eines Agents abgebrochen wird und fehlschlägt. Der Standardwert ist 30.
Um die Option „VM überspringen“ aktivieren zu können, müssen Sie für die Eigenschaft „agentUpdate.skipVmsWithLoggedInUser property“ „wahr“ festlegen. Um die Option „VM neu starten“ aktivieren zu können, müssen Sie für die Eigenschaft „agentUpdate.rebootVmBeforeAAU property“ „wahr“ festlegen. Nach der Erstellung dieser Einstellungen ist kein Neustart eines Diensts erforderlich. In einer Umgebung mit mehreren DMs muss nur das primäre Appliance-Paar bearbeitet werden.

Konfigurieren der Richtlinie für den direkten Zugriff auf VMs

Richtlinie Beschreibung
element.agentcontroller.validate.user.logon.enabled Steuert, ob der direkte Zugriff auf die VM zulässig ist. Die Standardeinstellung ist false.
  • Um den direkten Zugriff zuzulassen, legen Sie für die Option false fest.
  • Um den direkten Zugriff nicht zuzulassen, legen Sie für die Option true fest.

Konfigurieren von Richtlinien für die Sicherheitseinstellungen der Domäne

Verwenden Sie diese Einstellungen, um eine Kommunikation der Active Directory-Domänennamen an nicht authentifizierte Benutzer zu verhindern, die die verschiedenen Horizon Clients verwenden. Diese Einstellungen bestimmen, ob die Informationen zu den in Ihrer Umgebung registrierten Active Directory-Domänen an die Horizon-Endbenutzer-Clients gesendet werden und, wenn sie gesendet werden, wie sie auf den Anmeldebildschirmen der Endbenutzer-Clients angezeigt werden.

Richtlinie Beschreibung
secure.domain.list Steuert, ob Domäneninformationen an den Client gesendet werden. Die Einstellungen sind wie folgt.
  • true: Domäneninformationen werden nicht an den Client gesendet. Der Client zeigt den Text *DefaultDomain* an der Stelle an, an der das Dropdown-Menü normalerweise angezeigt wird.
  • false: Domäneninformationen werden an den Client gesendet, sodass der Benutzer im Dropdown-Menü für die Client-Domäne eine Domäne auswählen kann.

Diese Richtlinie wird mit derselben Einstellung in der Verwaltungskonsole verknüpft (Allgemeine Einstellungen > Nur Standarddomäne anzeigen).

client.hide.domain.list Steuert, ob das Domänentextfeld im Client angezeigt wird. Die Einstellungen sind wie folgt.
  • true: Das Domänentextfeld wird im Client angezeigt (was in diesem Textfeld angezeigt wird, hängt von der Einstellung „secure.domain.list“ ab).
  • false: Das Domänentextfeld wird im Client überhaupt nicht angezeigt.
Hinweis: Wenn der Mandant über mehrere Domänen verfügt und für die Einstellung „secure.domain.list“ true festgelegt ist, muss auch für „client.hide.domain.list“ true festgelegt sein, damit Horizon Client-Versionen vor 5.0 unterstützt werden.

Diese Richtlinie wird mit derselben Einstellung in der Verwaltungskonsole verknüpft (Allgemeine Einstellungen > Domänenfeld ausblenden).

display.default.domain.at.top Steuert die Reihenfolge bei der Auflistung von Domänen im Dropdown-Menü „Clientdomäne“. Die Einstellungen sind wie folgt.
  • true – Im Dropdown-Menü „Client“ wird die Standarddomäne oben in der Liste angezeigt, während die anderen Domänen in alphabetischer Reihenfolge sortiert werden.
  • false – Im Dropdown-Menü „Client“ werden die Domänen in der Reihenfolge angezeigt, in der sie registriert wurden. Die zuerst registrierte Domäne wird oben und die zuletzt registrierte Domäne unten im Menü angezeigt.

Die Standarddomäne wird durch die Kontrollkästcheneinstellung in der Verwaltungskonsole festgelegt (Einstellungen > Allgemeine Einstellungen).

Hinweis: Die Richtlinie „display.default.domain.at.top“ wird nur wirksam, wenn die folgenden zwei Bedingungen erfüllt sind.
  • Die Richtlinie „secure.domain.list“ ist auf false festgelegt (in der Verwaltungskonsole ist Allgemeine Einstellungen > Nur Standarddomäne anzeigen deaktiviert).
  • Die Richtlinie „client.hide.domain.list“ ist auf false festgelegt (in der Verwaltungskonsole ist Allgemeine Einstellungen > Domänenfeld ausblenden deaktiviert).

Wenn die Richtlinie „display.default.domain.at.top“ geändert wird, kann es bis zu 5 Minuten dauern, bis die Aktualisierung wirksam wird.

Konfigurieren der Richtlinie für die Zwei-Faktor-Authentifizierung

Mit dieser Richtlinie können Dienstanbieteradministratoren die Mandanten dazu zwingen, die Zwei-Faktor-Authentifizierung (2FA) vom Mandantenportal auf Unified Access Gateway zu übertragen. Sie können auf die Einstellungen über die Seite „Zwei-Faktor-Authentifizierung“ im Administratorportal zugreifen.

Richtlinie Beschreibung
tenant.2fa.through.uag Der Standardwert der Richtlinie wird basierend auf der Konfiguration der Zwei-Faktor-Authentifizierung festgelegt:
  • Die Standardeinstellung ist true für Mandanten vor 9.2.1, bei denen 2FA als RSA konfiguriert ist, und für neue Mandanten unter 9.2.1.
  • Die Standardeinstellung ist false für Mandanten vor 9.2.1, bei denen 2FA als RADIUS konfiguriert ist.
wobei:
  • true – konfiguriert 2FA über United Access Gateway
  • false – ermöglicht die Konfiguration von 2FA-RADIUS über das Mandantenportal