Vous utilisez ces paramètres pour empêcher la communication des noms de domaine Active Directory aux utilisateurs non authentifiés avec des instances d'Horizon Client différentes. Ces paramètres indiquent si les informations sur les domaines Active Directory enregistrés dans votre environnement Horizon Cloud sont envoyées aux clients des utilisateurs finaux d'Horizon et, si c'est le cas, leur mode d'affichage dans les écrans de connexion des clients des utilisateurs finaux.

La configuration de votre environnement comprend son enregistrement dans vos domaines Active Directory. Lorsque vos utilisateurs finaux utilisent une instance d'Horizon Client pour accéder à leurs applications distantes et postes de travail autorisés, ces domaines sont associés à leur accès autorisé. Avant cette version de service trimestrielle de mars 2019, le système et les clients avaient un comportement par défaut sans options pour ajuster ce dernier. À partir de mars 2019, les valeurs par défaut sont modifiées. Vous pouvez utiliser éventuellement les nouveaux contrôles Paramètres de sécurité du domaine pour les modifier par rapport aux valeurs par défaut.

Important : Lorsque vous modifiez ces paramètres, un délai maximal de 5 minutes peut être nécessaire pour que la mise à jour prenne effet.

Cette rubrique contient les sections suivantes.

Paramètres de sécurité du domaine

Les combinaisons de ces paramètres déterminent si les informations de domaine sont envoyées au client et si un menu de sélection des domaines est fourni à l'utilisateur final dans le client.

Important : Ces paramètres s'appliquent à tous vos espaces de Microsoft Azure qui se trouvent dans le même environnement Horizon Cloud. La même combinaison s'applique à tous les espaces déployés dans Microsoft Azure utilisant le même compte client Horizon Cloud (locataire). Ce comportement est attribué à tous les utilisateurs finaux qui se connectent à vos espaces selon ces paramètres, quel que soit l'espace qui provisionne leurs postes de travail virtuels et applications distantes.
Attention : Ces paramètres modifient l'expérience utilisateur dans les clients. Le comportement des utilisateurs finaux utilisant des versions d'Horizon Client antérieures à la version 5.0 est différent de celui utilisant Horizon Client 5.0 et version ultérieure. Certaines combinaisons peuvent définir des exigences sur la manière dont vos utilisateurs finaux spécifient leurs informations de domaine dans l'écran de connexion des clients, en particulier lors de l'utilisation de clients antérieurs, de clients de ligne de commande et lorsque votre environnement est configuré avec plusieurs domaines Active Directory. L'impact de ces paramètres sur l'expérience utilisateur du client dépend de celui-ci. Vous devrez peut-être équilibrer votre expérience utilisateur final souhaitée selon les stratégies de sécurité de votre organisation. Reportez-vous aux sections Scénarios de domaine Active Directory unique et exigences de connexion des utilisateurs et Scénarios de plusieurs domaines Active Directory et exigences de connexion des utilisateurs.
Tableau 1. Paramètres de sécurité du domaine sur la page Paramètres généraux
Option Description
Afficher uniquement le domaine par défaut

Cette option contrôle les informations de domaine que le système envoie aux clients en cours de connexion avant l'authentification de l'utilisateur.

  • Oui : le système n'envoie que la valeur de la chaîne littérale *DefaultDomain*.
  • Non : le système envoie la liste de noms de domaine Active Directory enregistrés au client.
Masquer le champ de domaine

Cette option contrôle la visibilité dans l'écran de connexion du client de toutes les informations liées au domaine qui sont envoyées au client, selon le paramètre Afficher uniquement le domaine par défaut.

  • Oui : rien sur les domaines ne s'affiche dans l'écran de connexion du client, quel que soit le paramétrage de l'option Afficher uniquement le domaine par défaut. Ni la valeur de chaîne littérale *DefaultDomain*, ni les noms de domaine ne s'affichent dans l'écran de connexion du client.
  • Non : l'écran de connexion du client affiche l'un des éléments suivants, selon le paramètre Afficher uniquement le domaine par défaut.
    • Le texte littéral *DefaultDomain*, lorsque l'option Afficher uniquement le domaine par défaut est Oui. Cette combinaison est optimisée pour l'expérience utilisateur dans les instances d'Horizon Client antérieures à la version 5.0, tout en renforçant également la sécurité.
    • La liste des noms de domaine dans un menu déroulant, lorsque l'option Afficher uniquement le domaine par défaut est Non.

Comportement par défaut de cette version par rapport aux versions antérieures

Le tableau suivant détaille le comportement par défaut précédent, le nouveau comportement par défaut et les paramètres que vous pouvez utiliser pour ajuster le comportement afin de répondre aux besoins de votre organisation.

Comportement par défaut de la version précédente Comportement par défaut de cette version Combinaison correspondante des paramètres de sécurité du domaine pour le comportement par défaut de cette version

Le système a envoyé les noms des domaines Active Directory enregistrés aux clients.

Le système envoie uniquement une valeur de chaîne littérale ( *DefaultDomain*) aux clients et pas les noms des domaines Active Directory enregistrés.
Note : L'envoi de la chaîne littérale fournit la prise en charge des instances d'Horizon Client antérieures implémentées pour attendre une liste de noms de domaine sous la forme d'une chaîne.
Afficher uniquement le domaine par défaut

Paramètre par défaut : Oui

Les clients ont affiché un menu déroulant dans l'écran de connexion qui présente la liste de noms de domaine Active Directory enregistrés pour que l'utilisateur final choisisse son domaine avant de se connecter.

Les clients affichent cette chaîne littérale *DefaultDomain*.

Masquer le champ de domaine

Paramètre par défaut : Non

Relation aux niveaux du manifeste de vos espaces

Lorsque vous êtes un client actuel dont les espaces sont créés dans une version de service antérieure, tant que vos espaces de Microsoft Azure ne sont pas mis à niveau vers le niveau de manifeste de cette version d'Horizon Cloud, votre environnement est configuré par défaut pour fournir le même comportement qu'il avait dans la version précédente d'Horizon Cloud. Ce comportement hérité est le suivant :

  • Le système envoie les noms de domaine Active Directory au client (l'option Afficher uniquement le domaine par défaut est définie sur Non).
  • Les clients disposent d'un menu déroulant qui fournit la liste des noms de domaine à l'utilisateur final avant de se connecter (l'option Masquer le champ de domaine est défini sur Non).

De plus, tant que tous vos espaces ne sont pas au niveau de cette version de service, la page Paramètres généraux n'affiche pas les contrôles Paramètres de sécurité du domaine. Si vous disposez d'un environnement mixte avec des espaces non mis à jour existants et des espaces récemment déployés au niveau de cette version, les nouveaux contrôles ne sont pas disponibles. Par conséquent, vous ne pouvez pas les modifier par rapport au comportement hérité, tant que tous vos espaces ne sont pas au niveau de cette version de service.

Une fois tous les espaces de votre environnement mis à jour, les paramètres sont disponibles dans la console d'administration d'Horizon Cloud. Les valeurs par défaut postérieures à la mise à jour sont définies sur le comportement antérieur à la mise à jour (l'option Afficher uniquement le domaine par défaut est Non et l'option Masquer le champ de domaine est Non). Les paramètres par défaut postérieurs à la mise à jour sont différents de ceux du nouveau client. Ces paramètres sont appliqués afin que le comportement hérité antérieur à la mise à jour se poursuive pour vos utilisateurs finaux après la mise à jour, jusqu'à ce que vous choisissiez de modifier les paramètres afin de répondre aux besoins de sécurité de votre organisation.

Scénarios de domaine Active Directory unique et exigences de connexion des utilisateurs

Le tableau suivant décrit le comportement de différentes combinaisons de paramètres lorsque votre environnement dispose d'un domaine Active Directory unique, sans authentification à deux facteurs, et que vos utilisateurs finaux utilisent les instances d'Horizon Client 5.0 et versions ultérieures.

Tableau 2. Comportement des instances d'Horizon Client 5.0 et versions ultérieures, et vous disposez d'un seul domaine Active Directory
Afficher uniquement le domaine par défaut (l'option activée envoie *DefaultDomain*) Masquer le champ de domaine Détails de l'écran de connexion d'Horizon Client 5.0 Mode de connexion des utilisateurs
Oui Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Aucun nom de domaine n'est envoyé.

La capture d'écran suivante est un exemple de l'apparence de l'écran de connexion obtenu pour le client Windows.


Capture d'écran d'Horizon Client 5.0 pour Windows lorsque le champ Masquer le domaine est défini sur Oui

En cas de domaine unique, pour se connecter, les utilisateurs finaux peuvent entrer l'une des deux valeurs suivantes dans la zone de texte Nom d'utilisateur. Le nom de domaine n'est pas requis.
  • username
  • domain\username

L'utilisation du lancement du client de ligne de commande et la spécification du domaine dans la commande fonctionnent.

Oui Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Le champ de domaine affiche *DefaultDomain*. Aucun nom de domaine n'est envoyé.

La capture d'écran suivante est un exemple de l'apparence de l'écran de connexion obtenu pour le client Windows.


Capture d'écran de l'écran de connexion d'Horizon Client 5.0 pour Windows avec l'option Afficher uniquement le domaine par défaut définie sur Oui et l'option Masquer le champ de domaine définie sur Non

En cas de domaine unique, pour se connecter, les utilisateurs finaux peuvent entrer l'une des deux valeurs suivantes dans la zone de texte Nom d'utilisateur. Le nom de domaine n'est pas requis.
  • username
  • domain\username

L'utilisation du lancement du client de ligne de commande et la spécification du domaine dans la commande fonctionnent.

Non Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Le système envoie le nom de domaine au client.
Note : Cette combinaison est atypique. Vos n'utiliseriez normalement pas cette combinaison, car elle masque le champ de domaine, même si le système envoie le nom de domaine.

L'écran de connexion est semblable à celui de la première ligne de ce tableau, sans champ de domaine affiché.

Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username
Non Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard, et un sélecteur de domaine déroulant standard affiche le nom de domaine disponible. Le nom de domaine est envoyé. L'utilisateur final peut spécifier son nom d'utilisateur dans la zone de texte Nom d'utilisateur et utiliser le domaine unique qui se trouve dans la liste visible du client.

L'utilisation du lancement du client de ligne de commande et la spécification du domaine dans la commande fonctionnent.

Ce tableau décrit le comportement lorsque votre environnement contient un domaine Active Directory unique et que vos utilisateurs finaux utilisent des versions précédentes des instances d'Horizon Client (antérieures à 5.0).

Important : L'utilisation du lancement du client de ligne de commande des anciens clients (versions antérieures à 5.0) et la spécification du domaine dans la commande échouent pour toutes les combinaisons ci-dessous. Pour contourner ce comportement, utilisez *DefaultDomain* pour l'option du domaine de la commande ou mettez à jour le client vers la version 5.0. Cependant, lorsque vous avez plus d'un domaine Active Directory, la transmission de *DefaultDomain* ne fonctionne pas.
Tableau 3. Comportement des instances d'Horizon Client antérieures (avant 5.0) et vous disposez d'un seul domaine Active Directory
Afficher uniquement le domaine par défaut (l'option activée envoie *DefaultDomain*) Masquer le champ de domaine Détails de l'écran de connexion d'Horizon Client de version antérieure à 5.0 Mode de connexion des utilisateurs
Oui Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Aucun nom de domaine n'est envoyé. Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username
Oui Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Le champ de domaine affiche *DefaultDomain*. Aucun nom de domaine n'est envoyé. Un utilisateur final doit entrer username dans la zone de texte Nom d'utilisateur. Lorsque le nom de domaine est inclus, un message d'erreur s'affiche et indique que le nom de domaine spécifié n'existe pas dans la liste de domaines.
Non Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Le système envoie le nom de domaine au client.
Note : Cette combinaison est atypique. Vos n'utiliseriez normalement pas cette combinaison, car elle masque le champ de domaine, même si le système envoie le nom de domaine.

L'écran de connexion est semblable à celui de la première ligne de ce tableau, sans champ de domaine affiché.

Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username
Non Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard, et un sélecteur de domaine déroulant standard affiche le nom de domaine disponible. Le nom de domaine est envoyé. L'utilisateur final peut spécifier son nom d'utilisateur dans la zone de texte Nom d'utilisateur et utiliser le domaine unique qui se trouve dans la liste visible du client.

Scénarios de plusieurs domaines Active Directory et exigences de connexion des utilisateurs

Ce tableau décrit le comportement de différentes combinaisons de paramètres lorsque votre environnement dispose de plusieurs domaines Active Directory, sans authentification à deux facteurs, et que vos utilisateurs finaux utilisent les instances d'Horizon Client 5.0 et versions ultérieures.

À la base, l'utilisateur final doit inclure le nom de domaine lorsqu'il entre son nom d'utilisateur, par exemple domain\username, à l'exception de la combinaison héritée dans laquelle les noms de domaine sont envoyés et s'affichent dans le client.

Tableau 4. Comportement des instances d'Horizon Client 5.0 et versions ultérieures, et vous disposez de plusieurs domaines Active Directory
Afficher uniquement le domaine par défaut (l'option activée envoie *DefaultDomain*) Masquer le champ de domaine Détails de l'écran de connexion d'Horizon Client 5.0 Mode de connexion des utilisateurs
Oui Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Aucun nom de domaine n'est envoyé.

La capture d'écran suivante est un exemple de l'apparence de l'écran de connexion obtenu pour le client Windows.


Capture d'écran d'Horizon Client 5.0 pour Windows lorsque le champ Masquer le domaine est défini sur Oui

Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username

L'utilisation du lancement du client de ligne de commande et la spécification du domaine dans la commande fonctionnent.

Oui Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Le champ de domaine affiche *DefaultDomain*. Aucun nom de domaine n'est envoyé.

La capture d'écran suivante est un exemple de l'apparence de l'écran de connexion obtenu pour le client Windows.


Capture d'écran de l'écran de connexion d'Horizon Client 5.0 pour Windows avec l'option Afficher uniquement le domaine par défaut définie sur Oui et l'option Masquer le champ de domaine définie sur Non

Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username

L'utilisation du lancement du client de ligne de commande et la spécification du domaine dans la commande fonctionnent.

Non Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Le système envoie les noms de domaine au client.
Note : Cette combinaison est atypique. Vos n'utiliseriez normalement pas cette combinaison, car elle masque le champ de domaine, même si le système envoie les noms de domaine.

L'écran de connexion est semblable à celui de la première ligne de ce tableau, sans champ de domaine affiché.

Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username
Non Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard, et un sélecteur de domaine déroulant standard affiche la liste des noms de domaine. Les noms de domaine sont envoyés. L'utilisateur final peut spécifier son nom d'utilisateur dans la zone de texte Nom d'utilisateur et sélectionner son domaine dans la liste visible du client.

L'utilisation du lancement du client de ligne de commande et la spécification du domaine dans la commande fonctionnent.

Ce tableau décrit le comportement lorsque votre environnement contient plusieurs domaines Active Directory et que vos utilisateurs finaux utilisent des versions précédentes des instances d'Horizon Client (antérieures à 5.0).

Important :
  • Définir l'option Masquer le champ de domaine sur Oui permet aux utilisateurs finaux d'entrer leur domaine dans la zone de texte Nom d'utilisateur de ces instances d'Horizon Client antérieures à la version 5.0. Lorsque vous disposez de plusieurs domaines et que vous voulez que vos utilisateurs finaux prennent en charge les instances d'Horizon Client antérieures à la version 5.0, vous devez définir l'option Masquer le champ de domaine sur Oui pour que vos utilisateurs finaux puissent inclure le nom de domaine lorsqu'ils entrent leur nom d'utilisateur.
  • L'utilisation du lancement du client de ligne de commande des anciens clients (versions antérieures à 5.0) et la spécification du domaine dans la commande échouent pour toutes les combinaisons ci-dessous. La mise à jour du client vers la version 5.0 est la seule solution lorsque vous disposez de plusieurs domaines Active Directory et que vous voulez utiliser le lancement du client de ligne de commande.
Tableau 5. Comportement des instances d'Horizon Client antérieures (avant 5.0) et vous disposez de plusieurs domaines Active Directory
Afficher uniquement le domaine par défaut (l'option activée envoie *DefaultDomain*) Masquer le champ de domaine Détails de l'écran de connexion d'Horizon Client de version antérieure à 5.0 Mode de connexion des utilisateurs
Oui Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Aucun nom de domaine n'est envoyé. Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username
Oui Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Le champ de domaine affiche *DefaultDomain*. Aucun nom de domaine n'est envoyé. Cette combinaison n'est pas prise en charge pour les environnements contenant plusieurs domaines Active Directory.
Non Oui L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard. Aucun champ de domaine ne s'affiche. Le système envoie le nom de domaine au client.
Note : Cette combinaison est atypique. Vos n'utiliseriez normalement pas cette combinaison, car elle masque le champ de domaine, même si le système envoie les noms de domaine.
Un utilisateur final doit inclure le nom de domaine dans la zone de texte Nom d'utilisateur.
  • domain\username
Non Non L'écran de connexion du client contient les champs Nom d'utilisateur et Mot de passe standard, et un sélecteur de domaine déroulant standard affiche le nom de domaine disponible. Le nom de domaine est envoyé. L'utilisateur final peut spécifier son nom d'utilisateur dans la zone de texte Nom d'utilisateur et sélectionner son domaine dans la liste visible du client.

À propos des espaces dans Microsoft Azure contenant des instances d'Unified Access Gateway configurées avec l'authentification à deux facteurs

Comme indiqué à la section Spécifier la fonctionnalité d'authentification à deux facteurs pour le nouvel espace, lorsque vous déployez un espace dans Microsoft Azure, vous avez la possibilité de le déployer avec l'authentification à deux facteurs RADIUS configurée dans ses instances d'Unified Access Gateway.

Lorsqu'une instance d'Unified Access Gateway est configurée dans un espace de Microsoft Azure avec l'authentification à deux facteurs RADIUS, les utilisateurs finaux qui tentent de s'authentifier dans leurs instances d'Horizon Client voient d'abord un écran qui leur demande leurs informations d'identification à deux facteurs, suivi d'un écran de connexion leur demandant leurs informations d'identification du domaine Active Directory. Dans ce cas précis, le système envoie la liste de domaines aux clients uniquement après la validation des informations d'identification de l'utilisateur final dans l'écran d'authentification initiale.

En général, si l'authentification à deux facteurs RADIUS est configurée dans tous vos espaces dans leurs instances d'Unified Access Gateway, vous pouvez envisager de configurer le système afin qu'il envoie la liste de domaines aux clients et de configurer les clients pour qu'ils affichent le menu déroulant des domaines. Cette configuration fournit la même expérience héritée à tous vos utilisateurs finaux, quelle que soit la version d'Horizon Client utilisée ou le nombre de domaines Active Directory dont vous disposez. Une fois que l'utilisateur final a terminé l'étape de code secret d'authentification à deux facteurs, il peut sélectionner son domaine dans le menu déroulant du deuxième écran de connexion. Il peut éviter ainsi d'inclure son nom de domaine lorsqu'il entre ses informations d'identification dans l'écran d'authentification initiale.

Cependant, étant donné que les paramètres de sécurité du domaine sont appliqués au niveau du compte client Horizon Cloud (locataire), si l'authentification à deux facteurs n'est pas configurée dans certains de vos espaces, vous souhaiterez peut-être éviter d'envoyer la liste de domaines, car ces espaces enverront les noms de domaine aux clients qui s'y connectent avant la connexion des utilisateurs finaux.

Important : Lorsque l'option Conserver le nom d'utilisateur est définie dans la configuration de l'authentification à deux facteurs d'un espace sur Oui, assurez-vous que le champ Masquer le champ de domaine est défini sur Non. Sinon, vos utilisateurs finaux ne pourront pas fournir les informations de domaine requises pour que le système les associe à leurs informations d'identification de connexion.

Les conditions requises de connexion de l'utilisateur final par Horizon Client respectent les mêmes modèles que ceux décrits dans les sections Scénarios de domaine Active Directory unique et exigences de connexion des utilisateurs et Scénarios de plusieurs domaines Active Directory et exigences de connexion des utilisateurs. Lors de la connexion à un espace dans lequel l'authentification à deux facteurs RADIUS est configurée et que vous disposez de plusieurs domaines Active Directory, l'utilisateur final doit fournir son nom de domaine sous domain\username si l'option Masquer le champ de domaine est définie sur Oui.