Utilice estos ajustes para evitar la comunicación de los nombres de dominio de Active Directory a usuarios sin autenticar que utilicen las distintas versiones de Horizon Client. Esta configuración determina si la información sobre los dominios de Active Directory que están registrados en el entorno de Horizon Cloud se envía a los clientes de usuario final de Horizon y, si se envía, la forma en que se muestra en las pantallas de inicio de sesión de los clientes de usuario final.

La configuración del entorno incluye registrar el entorno con los dominios de Active Directory. Cuando los usuarios finales utilizan Horizon Client para acceder a sus aplicaciones remotas y a los escritorios autorizados, esos dominios se asocian a su acceso autorizado. Antes de la versión de servicio trimestral de marzo de 2019, el sistema y los clientes tenían un comportamiento predeterminado sin opciones para ajustar ese comportamiento predeterminado. A partir de la versión de marzo de 2019, se cambian los valores predeterminados y, de forma opcional, se pueden utilizar los controles de configuración de seguridad del dominio nuevos para cambiar los valores predeterminados.

Importante: Cuando se cambia cualquiera de estos ajustes, es posible que la actualización tarde hasta 5 minutos en surtir efecto.

Este tema tiene las secciones siguientes.

Configuración de seguridad del dominio

Las combinaciones de esta configuración determinan si la información del dominio se envía al cliente y si un menú de selección de dominio está disponible para el usuario final en el cliente.

Importante: Esta configuración se aplica a todos los pods de Microsoft Azure que se encuentran en el mismo entorno de Horizon Cloud. Todos los pods que se implementan en Microsoft Azure con la misma cuenta de cliente de Horizon Cloud (arrendatario) obtienen la misma combinación. Todos los usuarios finales que se conecten a los pods recibirán el comportamiento de acuerdo con esta configuración, independientemente del pod que aprovisione sus aplicaciones remotas y escritorios virtuales.
Precaución: Esta configuración cambia la experiencia del usuario en los clientes. El comportamiento de los usuarios finales que utilizan versiones de Horizon Client anteriores a la versión 5.0 es diferente que en el caso de Horizon Client 5.0 y versiones posteriores. Algunas combinaciones pueden establecer requisitos en la forma en que los usuarios finales especifican la información del dominio en la pantalla de inicio de sesión del cliente, especialmente cuando se utilizan clientes más antiguos o clientes de línea de comandos, y cuando el entorno está configurado con varios dominios de Active Directory. La forma en que esta configuración afecta a la experiencia del usuario cliente depende del cliente. Es posible que necesite equilibrar la experiencia de usuario final que desee en función de las directivas de seguridad de su organización. Consulte las secciones Escenarios de dominio de Active Directory único y requisitos de inicio de sesión del usuario y Escenarios de varios dominios de Active Directory y requisitos de inicio de sesión del usuario.
Tabla 1. Configuración de seguridad del dominio en la página Configuración general
Opción Descripción
Mostrar solo el dominio predeterminado

Esta opción controla qué información de dominio envía el sistema a los clientes que se conectan antes de la autenticación del usuario.

  • : el sistema solo envía el valor de cadena literal *DefaultDomain*.
  • No: el sistema envía la lista de nombres de dominio de Active Directory registrados al cliente.
Ocultar el campo de dominio

Esta opción controla la visibilidad en la pantalla de inicio de sesión del cliente de cualquier información relacionada con el dominio que se envíe al cliente, en función del ajuste de Mostrar solo el dominio predeterminado.

  • : no se muestra nada acerca de los dominios en la pantalla de inicio de sesión del cliente, independientemente del valor establecido en Mostrar solo el dominio predeterminado. Ni el valor de cadena literal *DefaultDomain* ni los nombres de dominio se muestran en la pantalla de inicio de sesión del cliente.
  • No: la pantalla de inicio de sesión del cliente muestra uno de los siguientes elementos, en función del ajuste de Mostrar solo el dominio predeterminado.
    • El texto literal *DefaultDomain*, cuando Mostrar solo el dominio predeterminado es . Esta combinación está optimizada para la experiencia de usuario en clientes de Horizon anteriores a la versión 5.0, a la vez que proporciona una seguridad mejorada.
    • La lista de nombres de dominio en un menú desplegable, cuando Mostrar solo el dominio predeterminado es No.

Comportamiento predeterminado de esta versión comparado con las versiones anteriores

En la siguiente tabla se detallan el comportamiento predeterminado anterior, el nuevo comportamiento predeterminado y la configuración que puede utilizar para ajustar el comportamiento conforme a las necesidades de su organización.

Comportamiento predeterminado de la versión anterior Comportamiento predeterminado de esta versión Combinación de la configuración de seguridad del dominio correspondiente para el comportamiento predeterminado de esta versión

El sistema enviaba los nombres de los dominios de Active Directory registrados a los clientes.

El sistema envía solo un valor de cadena literal ( *DefaultDomain*) a los clientes y no los nombres de los dominios de Active Directory registrados.
Nota: El envío de la cadena literal proporciona compatibilidad con clientes antiguos de Horizon que se implementan para esperar una lista de cadenas de nombres de dominio.
Mostrar solo el dominio predeterminado

Configuración predeterminada:

Los clientes mostraban un menú desplegable en la pantalla de inicio de sesión que presenta la lista de nombres de dominio de Active Directory registrados para que el usuario final elija su dominio antes de iniciar sesión.

Los clientes muestran esa cadena literal *DefaultDomain*.

Ocultar el campo de dominio

Configuración predeterminada: No

Relación con los niveles de manifiesto de los pods

Cuando se trata de un cliente existente con pods creados en una versión de servicio anterior, hasta que todos los pods de Microsoft Azure se actualizan al nivel de manifiesto de esta versión de Horizon Cloud, el entorno está configurado de forma predeterminada para proporcionar el mismo comportamiento que tenía en la versión anterior de Horizon Cloud. El comportamiento heredado es:

  • El sistema envía los nombres de dominio de Active Directory al cliente (Mostrar solo el dominio predeterminado está establecido en No).
  • Los clientes tienen un menú desplegable que muestra la lista de nombres de dominio para el usuario final antes del inicio de sesión (Ocultar el campo de dominio está establecido en No).

Además, hasta que todos los pods estén en este nivel de versión de servicio, la página Configuración general no muestra los controles de configuración de seguridad del dominio. Si tiene un entorno mixto con pods no actualizados existentes y pods recién implementados en este nivel de versión, los nuevos controles no estarán disponibles. Como resultado, no se puede cambiar desde el comportamiento heredado hasta que todos los pods estén en este nivel de versión de servicio.

Cuando todos los pods de su entorno están actualizados, la configuración está disponible en la consola administrativa de Horizon Cloud. Los valores predeterminados posteriores a la actualización se establecen en el comportamiento anterior a la actualización (Mostrar solo el dominio predeterminado es No y Ocultar el campo de dominio es No). La configuración predeterminada posterior a la actualización es diferente a los valores predeterminados del nuevo cliente. Esta configuración se aplica para que el comportamiento heredado previo a la actualización continúe para los usuarios finales después de la actualización, hasta que decida cambiar la configuración para satisfacer las necesidades de seguridad de su organización.

Escenarios de dominio de Active Directory único y requisitos de inicio de sesión del usuario

En la siguiente tabla se describe el comportamiento de varias combinaciones de ajuste cuando el entorno tiene un dominio de Active Directory único, sin autenticación en dos fases, y los usuarios finales utilizan Horizon Client 5.0 y versiones posteriores.

Tabla 2. Comportamiento para Horizon Client 5.0 y versiones posteriores cuando se tiene un dominio de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía *DefaultDomain*) Ocultar el campo de dominio Detalles de la pantalla de inicio de sesión de Horizon Client 5.0 Cómo inician sesión los usuarios
La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio.

La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.


Captura de pantalla de Horizon Client 5.0 para Windows cuando Ocultar el campo de dominio se establece en Sí

Cuando hay un solo dominio, para iniciar sesión, los usuarios finales pueden introducir uno de los siguientes valores en el cuadro de texto Nombre de usuario. El nombre de dominio no es necesario.
  • username
  • domain\username

La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra *DefaultDomain*. No se envía ningún nombre de dominio.

La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.


Captura de pantalla de la pantalla de inicio de sesión de Horizon Client 5.0 para Windows con Mostrar solo el dominio predeterminado en Sí y Ocultar el campo de dominio en No

Cuando hay un solo dominio, para iniciar sesión, los usuarios finales pueden introducir uno de los siguientes valores en el cuadro de texto Nombre de usuario. El nombre de dominio no es necesario.
  • username
  • domain\username

La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía el nombre de dominio al cliente.
Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe el nombre de dominio.

La pantalla de inicio de sesión tiene el mismo aspecto que la de la primera fila de esta tabla, sin que se muestre ningún campo de dominio.

Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username
No No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra el nombre de dominio disponible. Se envía el nombre de dominio. El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y utilizar el dominio único que se encuentra en la lista visible en el cliente.

La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

En esta tabla se describe el comportamiento cuando el entorno tiene un dominio de Active Directory único y los usuarios finales utilizan versiones anteriores de Horizon Client (anteriores a la 5.0).

Importante: La opción de usar el inicio del cliente desde la línea de comandos de clientes anteriores (anteriores a la versión 5.0) y especificar el dominio en el comando falla para todas las combinaciones que aparecen a continuación. Para solucionar este comportamiento, use *DefaultDomain* para la opción de dominio del comando o actualice el cliente a la versión 5.0. Sin embargo, cuando tiene más de un dominio de Active Directory, la opción de pasar *DefaultDomain* no funciona.
Tabla 3. Comportamiento para versiones de Horizon Client más antiguas (anteriores a la 5.0) cuando se tiene un dominio de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía *DefaultDomain*) Ocultar el campo de dominio Detalles de la pantalla de inicio de sesión de Horizon Client en versiones anteriores a la 5.0 Cómo inician sesión los usuarios
La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio. Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username
No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra *DefaultDomain*. No se envía ningún nombre de dominio. Un usuario final debe introducir username en el cuadro de texto Nombre de usuario. Cuando se incluye el nombre de dominio, aparece un mensaje de error que indica que el nombre de dominio especificado no existe en la lista de dominios.
No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía el nombre de dominio al cliente.
Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe el nombre de dominio.

La pantalla de inicio de sesión tiene el mismo aspecto que la de la primera fila de esta tabla, sin que se muestre ningún campo de dominio.

Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username
No No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra el nombre de dominio disponible. Se envía el nombre de dominio. El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y utilizar el dominio único que se encuentra en la lista visible en el cliente.

Escenarios de varios dominios de Active Directory y requisitos de inicio de sesión del usuario

En esta tabla se describe el comportamiento de varias combinaciones de ajuste cuando el entorno tiene varios dominios de Active Directory, sin autenticación en dos fases, y los usuarios finales utilizan Horizon Client 5.0 y versiones posteriores.

Básicamente, el usuario final debe incluir el nombre de dominio cuando escriba su nombre de usuario, como domain\username, excepto para la combinación heredada, en la que los nombres de dominio se envían y son visibles en el cliente.

Tabla 4. Comportamiento para Horizon Client 5.0 y versiones posteriores cuando se tiene varios dominios de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía *DefaultDomain*) Ocultar el campo de dominio Detalles de la pantalla de inicio de sesión de Horizon Client 5.0 Cómo inician sesión los usuarios
La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio.

La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.


Captura de pantalla de Horizon Client 5.0 para Windows cuando Ocultar el campo de dominio se establece en Sí

Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username

La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra *DefaultDomain*. No se envía ningún nombre de dominio.

La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.


Captura de pantalla de la pantalla de inicio de sesión de Horizon Client 5.0 para Windows con Mostrar solo el dominio predeterminado en Sí y Ocultar el campo de dominio en No

Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username

La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía los nombres de dominio al cliente.
Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe los nombres de dominio.

La pantalla de inicio de sesión tiene el mismo aspecto que la de la primera fila de esta tabla, sin que se muestre ningún campo de dominio.

Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username
No No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra la lista de nombres de dominio. Se envían los nombres de dominio. El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y seleccionar el dominio en la lista visible en el cliente.

La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

En esta tabla se describe el comportamiento cuando el entorno tiene varios dominios de Active Directory y los usuarios finales utilizan versiones anteriores de Horizon Client (anteriores a la 5.0).

Importante:
  • Si se establece Ocultar el campo de dominio en , se permite que los usuarios finales introduzcan su dominio en el cuadro de texto Nombre de usuario en versiones de Horizon Client anteriores a la 5.0. Si tiene varios dominios y desea admitir el uso de versiones de Horizon Client anteriores a la 5.0 por parte de los usuarios finales, debe establecer Ocultar el campo de dominio en para que los usuarios finales puedan incluir el nombre de dominio cuando escriban su nombre de usuario.
  • La opción de usar el inicio del cliente desde la línea de comandos de clientes anteriores (anteriores a la versión 5.0) y especificar el dominio en el comando falla para todas las combinaciones que aparecen a continuación. La única solución alternativa cuando hay varios dominios de Active Directory y desea utilizar el inicio del cliente desde la línea de comandos es actualizar el cliente a la versión 5.0.
Tabla 5. Comportamiento para versiones de Horizon Client más antiguas (anteriores a la 5.0) cuando se tienen varios dominios de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía *DefaultDomain*) Ocultar el campo de dominio Detalles de la pantalla de inicio de sesión de Horizon Client en versiones anteriores a la 5.0 Cómo inician sesión los usuarios
La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio. Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username
No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra *DefaultDomain*. No se envía ningún nombre de dominio. Esta combinación no se admite en entornos con varios dominios de Active Directory.
No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía el nombre de dominio al cliente.
Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe los nombres de dominio.
Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario.
  • domain\username
No No La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra el nombre de dominio disponible. Se envía el nombre de dominio. El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y seleccionar el dominio en la lista visible en el cliente.

Acerca de los pods de Microsoft Azure con instancias de Unified Access Gateway configuradas con autenticación en dos fases

Como se describe en Especificar la funcionalidad Autenticación en dos fases para el pod, cuando implementa un pod en Microsoft Azure, tiene la opción de implementarlo con la autenticación en dos fases RADIUS configurada en sus instancias de Unified Access Gateway.

Cuando un pod de Microsoft Azure tiene Unified Access Gateway configurado con la autenticación en dos fases RADIUS, los usuarios finales que intentan autenticarse con Horizon Client ven primero una pantalla que les solicita sus credenciales de autenticación en dos fases, seguida por una pantalla de inicio de sesión que les solicita sus credenciales de dominio de Active Directory. En este caso, el sistema envía la lista de dominios a los clientes solo después de que las credenciales del usuario final hayan pasado correctamente esa pantalla de autenticación inicial.

En general, si todos los pods tienen una autenticación en dos fases RADIUS configurada en sus instancias de Unified Access Gateway, es posible que deba hacer que el sistema envíe la lista de dominios a los clientes y que los clientes muestren el menú desplegable del dominio. Esa configuración proporciona la misma experiencia de usuario final heredada para todos los usuarios finales, independientemente de la versión de Horizon Client que utilicen o el número de dominios de Active Directory que usted tenga. Una vez que el usuario final complete correctamente el paso del código de acceso de autenticación en dos fases, podrá seleccionar su dominio en el menú desplegable de la segunda pantalla de inicio de sesión. Puede evitar tener que incluir su nombre de dominio cuando introduzca sus credenciales en la pantalla de autenticación inicial.

Sin embargo, dado que la configuración de seguridad del dominio se aplica en el nivel de cuenta de cliente (arrendatario) de Horizon Cloud, si algunos pods no tienen configurada una autenticación en dos fases, es posible que desee evitar el envío de la lista de dominios, ya que esos pods enviarán los nombres de dominio a los clientes que se conecten a ellos antes de que inicien sesión los usuarios finales.

Importante: Cuando la configuración de la autenticación en dos fases de un pod tiene Mantener nombre de usuario configurado como , asegúrese de que Ocultar el campo de dominio esté establecido en No. De lo contrario, los usuarios finales no podrán proporcionar la información de dominio requerida para que el sistema la asocie con sus credenciales de inicio de sesión.

Los requisitos de inicio de sesión del usuario final mediante Horizon Client siguen los mismos patrones que se describen en Escenarios de dominio de Active Directory único y requisitos de inicio de sesión del usuario y Escenarios de varios dominios de Active Directory y requisitos de inicio de sesión del usuario. Cuando se conecta a un pod que tiene configurada una autenticación de dos factores RADIUS y tiene varios dominios de Active Directory, el usuario final debe proporcionar su nombre de dominio como domain\username si Ocultar el campo de dominio está establecido en .