Configuración de seguridad del dominio en la página Configuración general

Utilice estos ajustes para evitar la comunicación de los nombres de dominio de Active Directory a usuarios sin autenticar que utilicen las distintas versiones de Horizon Client. Esta configuración determina si la información sobre los dominios de Active Directory que están registrados en el entorno de Horizon Cloud se envía a los clientes de usuario final de Horizon y, si se envía, la forma en que se muestra en las pantallas de inicio de sesión de los clientes de usuario final.

La configuración del entorno de incluye registrar el entorno con los dominios de Active Directory. Cuando los usuarios finales utilizan Horizon Client para acceder a sus aplicaciones remotas y a los escritorios autorizados, esos dominios se asocian a su acceso autorizado. Antes de la versión de marzo de 2019 de Horizon Cloud, el sistema y los clientes tenían un comportamiento predeterminado sin opciones para ajustar ese comportamiento predeterminado. A partir de la versión de marzo de 2019, se cambian los valores predeterminados y, de forma opcional, se pueden utilizar los controles de configuración de seguridad del dominio nuevos para cambiar los valores predeterminados.

Importante: Cuando se cambia cualquiera de estos ajustes, es posible que la actualización tarde hasta 5 minutos en surtir efecto.

Este tema tiene las secciones siguientes.

Configuración de seguridad del dominio
Comportamiento predeterminado de esta versión comparado con las versiones anteriores
Escenarios de dominio de Active Directory único y requisitos de inicio de sesión del usuario
Escenarios de varios dominios de Active Directory y requisitos de inicio de sesión del usuario
Cuando el arrendatario está configurado con la autenticación en dos fases

Configuración de seguridad del dominio

Las combinaciones de esta configuración determinan si la información del dominio se envía al cliente y si un menú de selección de dominio está disponible para el usuario final en el cliente.

Precaución: Esta configuración cambia la experiencia del usuario en los clientes. El comportamiento de los usuarios finales que utilizan versiones de Horizon Client anteriores a la versión 5.0 es diferente que en el caso de Horizon Client 5.0 y versiones posteriores. Algunas combinaciones pueden establecer requisitos en la forma en que los usuarios finales especifican la información del dominio en la pantalla de inicio de sesión del cliente, especialmente cuando se utilizan clientes más antiguos o clientes de línea de comandos, y cuando el entorno está configurado con varios dominios de Active Directory. La forma en que esta configuración afecta a la experiencia del usuario cliente depende del cliente. Es posible que necesite equilibrar la experiencia de usuario final que desee en función de las directivas de seguridad de su organización. Consulte las secciones Escenarios de dominio de Active Directory único y requisitos de inicio de sesión del usuario y Escenarios de varios dominios de Active Directory y requisitos de inicio de sesión del usuario.

Tabla 1. Configuración de seguridad del dominio en la página Configuración general
Opción	Descripción
Mostrar solo el dominio predeterminado	Esta opción controla qué información de dominio envía el sistema a los clientes que se conectan antes de la autenticación del usuario. Sí: el sistema solo envía el valor de cadena literal `DefaultDomain`. No: el sistema envía la lista de nombres de dominio de Active Directory registrados al cliente.
Ocultar el campo de dominio	Esta opción controla la visibilidad en la pantalla de inicio de sesión del cliente de cualquier información relacionada con el dominio que se envíe al cliente, en función del ajuste de Mostrar solo el dominio predeterminado. Sí: no se muestra nada acerca de los dominios en la pantalla de inicio de sesión del cliente, independientemente del valor establecido en Mostrar solo el dominio predeterminado. Ni el valor de cadena literal `DefaultDomain` ni los nombres de dominio se muestran en la pantalla de inicio de sesión del cliente. No: la pantalla de inicio de sesión del cliente muestra uno de los siguientes elementos, en función del ajuste de Mostrar solo el dominio predeterminado. El texto literal `DefaultDomain`, cuando Mostrar solo el dominio predeterminado es Sí. Esta combinación está optimizada para la experiencia de usuario en clientes de Horizon anteriores a la versión 5.0, a la vez que proporciona una seguridad mejorada. La lista de nombres de dominio en un menú desplegable, cuando Mostrar solo el dominio predeterminado es No.

Comportamiento predeterminado de esta versión comparado con las versiones anteriores

En la siguiente tabla se detallan el comportamiento predeterminado anterior, el nuevo comportamiento predeterminado y la configuración que puede utilizar para ajustar el comportamiento conforme a las necesidades de su organización.


Comportamiento predeterminado de la versión anterior	Comportamiento predeterminado de esta versión	Combinación de la configuración de seguridad del dominio correspondiente para el comportamiento predeterminado de esta versión
El sistema enviaba los nombres de los dominios de Active Directory registrados a los clientes.	El sistema envía solo un valor de cadena literal ( `DefaultDomain`) a los clientes y no los nombres de los dominios de Active Directory registrados. Nota: El envío de la cadena literal proporciona compatibilidad con clientes antiguos de Horizon que se implementan para esperar una lista de cadenas de nombres de dominio.	Mostrar solo el dominio predeterminado Configuración predeterminada: Sí
Los clientes mostraban un menú desplegable en la pantalla de inicio de sesión que presenta la lista de nombres de dominio de Active Directory registrados para que el usuario final elija su dominio antes de iniciar sesión.	Los clientes muestran esa cadena literal `DefaultDomain`.	Ocultar el campo de dominio Configuración predeterminada: No

Escenarios de dominio de Active Directory único y requisitos de inicio de sesión del usuario

En la siguiente tabla se describe el comportamiento de varias combinaciones de ajuste cuando el entorno tiene un dominio de Active Directory único, sin autenticación en dos fases, y los usuarios finales utilizan Horizon Client 5.0 y versiones posteriores.

Tabla 2. Comportamiento para Horizon Client 5.0 y versiones posteriores cuando se tiene un dominio de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía `DefaultDomain`)	Ocultar el campo de dominio	Detalles de la pantalla de inicio de sesión de Horizon Client 5.0	Cómo inician sesión los usuarios
Sí	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio. La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.	Cuando hay un solo dominio, para iniciar sesión, los usuarios finales pueden introducir uno de los siguientes valores en el cuadro de texto Nombre de usuario. El nombre de dominio no es necesario. `username` `domain\username` La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.
Sí	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra `DefaultDomain`. No se envía ningún nombre de dominio. La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.	Cuando hay un solo dominio, para iniciar sesión, los usuarios finales pueden introducir uno de los siguientes valores en el cuadro de texto Nombre de usuario. El nombre de dominio no es necesario. `username` `domain\username` La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.
No	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía el nombre de dominio al cliente. Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe el nombre de dominio. La pantalla de inicio de sesión tiene el mismo aspecto que la de la primera fila de esta tabla, sin que se muestre ningún campo de dominio.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username`
No	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra el nombre de dominio disponible. Se envía el nombre de dominio.	El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y utilizar el dominio único que se encuentra en la lista visible en el cliente. La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

En esta tabla se describe el comportamiento cuando el entorno tiene un dominio de Active Directory único y los usuarios finales utilizan versiones anteriores de Horizon Client (anteriores a la 5.0).

Importante: La opción de usar el inicio del cliente desde la línea de comandos de clientes anteriores (anteriores a la versión 5.0) y especificar el dominio en el comando falla para todas las combinaciones que aparecen a continuación. Para solucionar este comportamiento, use *DefaultDomain* para la opción de dominio del comando o actualice el cliente a la versión 5.0. Sin embargo, cuando tiene más de un dominio de Active Directory, la opción de pasar *DefaultDomain* no funciona.

Tabla 3. Comportamiento para versiones de Horizon Client más antiguas (anteriores a la 5.0) cuando se tiene un dominio de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía `DefaultDomain`)	Ocultar el campo de dominio	Detalles de la pantalla de inicio de sesión de Horizon Client en versiones anteriores a la 5.0	Cómo inician sesión los usuarios
Sí	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username`
Sí	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra `DefaultDomain`. No se envía ningún nombre de dominio.	Un usuario final debe introducir `username` en el cuadro de texto Nombre de usuario. Cuando se incluye el nombre de dominio, aparece un mensaje de error que indica que el nombre de dominio especificado no existe en la lista de dominios.
No	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía el nombre de dominio al cliente. Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe el nombre de dominio. La pantalla de inicio de sesión tiene el mismo aspecto que la de la primera fila de esta tabla, sin que se muestre ningún campo de dominio.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username`
No	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra el nombre de dominio disponible. Se envía el nombre de dominio.	El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y utilizar el dominio único que se encuentra en la lista visible en el cliente.

Escenarios de varios dominios de Active Directory y requisitos de inicio de sesión del usuario

En esta tabla se describe el comportamiento de varias combinaciones de ajuste cuando el entorno tiene varios dominios de Active Directory, sin autenticación en dos fases, y los usuarios finales utilizan Horizon Client 5.0 y versiones posteriores.

Básicamente, el usuario final debe incluir el nombre de dominio cuando escriba su nombre de usuario, como domain\username, excepto para la combinación heredada, en la que los nombres de dominio se envían y son visibles en el cliente.

Tabla 4. Comportamiento para Horizon Client 5.0 y versiones posteriores cuando se tiene varios dominios de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía `DefaultDomain`)	Ocultar el campo de dominio	Detalles de la pantalla de inicio de sesión de Horizon Client 5.0	Cómo inician sesión los usuarios
Sí	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio. La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username` La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.
Sí	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra `DefaultDomain`. No se envía ningún nombre de dominio. La siguiente captura de pantalla es un ejemplo del aspecto de la pantalla de inicio de sesión resultante para el cliente Windows.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username` La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.
No	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía los nombres de dominio al cliente. Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe los nombres de dominio. La pantalla de inicio de sesión tiene el mismo aspecto que la de la primera fila de esta tabla, sin que se muestre ningún campo de dominio.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username`
No	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra la lista de nombres de dominio. Se envían los nombres de dominio.	El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y seleccionar el dominio en la lista visible en el cliente. La opción de usar el inicio del cliente desde la línea de comandos y especificar el dominio en el comando, funciona.

En esta tabla se describe el comportamiento cuando el entorno tiene varios dominios de Active Directory y los usuarios finales utilizan versiones anteriores de Horizon Client (anteriores a la 5.0).

Importante:

Si se establece Ocultar el campo de dominio en Sí, se permite que los usuarios finales introduzcan su dominio en el cuadro de texto Nombre de usuario en versiones de Horizon Client anteriores a la 5.0. Si tiene varios dominios y desea admitir el uso de versiones de Horizon Client anteriores a la 5.0 por parte de los usuarios finales, debe establecer Ocultar el campo de dominio en Sí para que los usuarios finales puedan incluir el nombre de dominio cuando escriban su nombre de usuario.
La opción de usar el inicio del cliente desde la línea de comandos de clientes anteriores (anteriores a la versión 5.0) y especificar el dominio en el comando falla para todas las combinaciones que aparecen a continuación. La única solución alternativa cuando hay varios dominios de Active Directory y desea utilizar el inicio del cliente desde la línea de comandos es actualizar el cliente a la versión 5.0.

Tabla 5. Comportamiento para versiones de Horizon Client más antiguas (anteriores a la 5.0) cuando se tienen varios dominios de Active Directory
Mostrar solo el dominio predeterminado (habilitado envía `DefaultDomain`)	Ocultar el campo de dominio	Detalles de la pantalla de inicio de sesión de Horizon Client en versiones anteriores a la 5.0	Cómo inician sesión los usuarios
Sí	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. No se envía ningún nombre de dominio.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username`
Sí	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. El campo dominio muestra `DefaultDomain`. No se envía ningún nombre de dominio.	Esta combinación no se admite en entornos con varios dominios de Active Directory.
No	Sí	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña. No se muestra ningún campo de dominio. El sistema envía el nombre de dominio al cliente. Nota: Esta combinación es atípica. Normalmente, no usaría esta combinación porque oculta el campo de dominio aunque el sistema envíe los nombres de dominio.	Un usuario final debe incluir el nombre de dominio en el cuadro de texto Nombre de usuario. `domain\username`
No	No	La pantalla de inicio de sesión del cliente tiene los campos estándar de nombre de usuario y contraseña, y un selector de dominio desplegable estándar muestra el nombre de dominio disponible. Se envía el nombre de dominio.	El usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y seleccionar el dominio en la lista visible en el cliente.

Cuando el arrendatario está configurado con la autenticación en dos fases

Cuando el tenant está configurado con la autenticación en dos fases RADIUS o RSA SecureID, los usuarios finales que intentan autenticarse con Horizon Client ven primero una pantalla donde se les solicitan sus credenciales de autenticación en dos fases. A continuación, aparece una pantalla de inicio de sesión donde se les solicitan sus credenciales de dominio de Active Directory. Cuando el arrendatario está configurado con la autenticación en dos fases, el sistema envía la lista de dominios a los clientes solo después de que las credenciales del usuario final hayan pasado correctamente esa pantalla de autenticación inicial. El sistema envía la lista de dominios independientemente de la configuración de Mostrar solo el dominio predeterminado.

Cuando el arrendatario con autenticación en dos fases tiene varios dominios de Active Directory, la experiencia de usuario final óptima es tener Ocultar el campo de dominio establecido en No y tener el selector de dominio visible en esa pantalla de inicio de sesión del dominio. Esa configuración permite que los usuarios finales seleccionen su dominio en el menú desplegable de la segunda pantalla de inicio de sesión y les evita tener que incluir su nombre de dominio cuando introduzcan sus credenciales en la pantalla de autenticación inicial.

Importante: Cuando la configuración de la autenticación en dos fases del arrendatario tiene Mantener nombre de usuario configurado como Sí, asegúrese de que Ocultar el campo de dominio esté establecido en No. De lo contrario, los usuarios finales no podrán proporcionar la información de dominio requerida para que el sistema la asocie con sus credenciales de inicio de sesión.

Para obtener información sobre el uso de la consola de administración para ver la configuración de autenticación en dos fases del arrendatario, consulte Autenticación en dos fases.

La siguiente tabla describe el comportamiento resultante del ajuste Ocultar campo de dominio cuando el arrendatario está configurado para usar la autenticación en dos fases.

Tabla 6. Cuando el arrendatario tiene configurada la autenticación en dos fases
Configuración de seguridad del dominio	Comportamiento de la pantalla de inicio de sesión del dominio	Descripción	Versión de Horizon Client
Ocultar el campo de dominio es No	Una vez que el usuario final se autentica correctamente con sus credenciales de autenticación en dos fases, la pantalla de inicio de sesión del dominio contiene los campos Nombre de usuario y Contraseña y el menú desplegable Dominio.	Este comportamiento es el mismo que el comportamiento anterior a esta versión de servicio. Tras la pantalla inicial de autenticación en dos fases, el usuario final puede especificar su nombre de usuario en el cuadro de texto Nombre de usuario y seleccionar el dominio en la lista visible en el cliente.	En esta versión se admiten todas las versiones.
Ocultar el campo de dominio es Sí	Una vez que el usuario final se autentica correctamente con sus credenciales de autenticación en dos fases, la pantalla de inicio de sesión del dominio contiene solo los campos Nombre de usuario y Contraseña.	Evite utilizar esta configuración si la configuración de la autenticación en dos fases del arrendatario tiene Mantener nombre de usuario configurado como Sí. Los pasos del usuario final son los siguientes: En la pantalla inicial de autenticación en dos fases, el usuario final debe incluir su dominio en el cuadro de texto Nombre de usuario, `domain\username`. Según corresponda a la configuración del arrendatario, el usuario final completa el siguiente paso de autenticación en dos fases, como el código de acceso o la pregunta de desafío del dominio. En la pantalla de inicio de sesión del dominio, el usuario final proporciona el nombre de usuario y la contraseña.	En esta versión se admiten todas las versiones.