Remarque : cette version de la rubrique s'applique aux versions 2111.2 et 2306, et ultérieures de Sécurité d'Horizon 8. Vous pouvez accéder aux paramètres globaux liés à la sécurité pour les sessions et les connexions clientes sous Paramètres > Paramètres globaux > Paramètres de sécurité ou sous Paramètres > Paramètres globaux > Paramètres généraux dans Horizon Console.

Tableau 1. Paramètres globaux liés à la sécurité
Paramètre Description
Modifier le mot de passe de récupération de données

Le mot de passe est requis lorsque vous restaurez la configuration d'Horizon LDAP à partir d'une sauvegarde chiffrée.

Dans les environnements VMware Horizon 8 :
  • Lorsque vous installez le Serveur de connexion, fournissez un mot de passe de récupération de données. Vous pouvez modifier ce mot de passe dans la console.
  • Lorsque vous sauvegardez le Serveur de connexion, la configuration d'Horizon LDAP est exportée sous forme de données LDIF chiffrées. Pour restaurer la sauvegarde cryptée avec l'utilitaire vdmimport, vous devez fournir le mot de passe de récupération de données. Le mot de passe doit contenir entre 1 et 128 caractères. Suivez les meilleures pratiques de votre entreprise concernant la génération de mots de passe sécurisés.
Mode de sécurité des messages

Détermine le mécanisme de sécurité utilisé lorsque des messages JMS sont transmis entre composants VMware Horizon 8.

  • Si le paramètre est défini sur Désactivé, le mode de sécurité des messages est désactivé.
  • S'il est défini sur Activé, la signature des messages hérités et la vérification des messages JMS sont effectuées. Les composants VMware Horizon 8 rejettent les messages non signés. Ce mode prend en charge une combinaison de connexions TLS et JMS en texte brut.
  • S'il est défini sur Amélioré, TLS est utilisé pour toutes les connexions JMS, pour chiffrer tous les messages. Le contrôle d'accès est également activé pour restreindre les rubriques JMS avec lesquelles les composants VMware Horizon 8 peuvent échanger des messages.
  • Si le paramètre est défini sur Mélangé, le mode de sécurité des messages est activé, mais pas appliqué pour les composants de VMware Horizon 8.

Le paramètre par défaut est Amélioré pour les nouvelles installations. Si vous procédez à une mise à niveau à partir d'une version précédente, le paramètre utilisé dans la version précédente est conservé.

Important : VMware recommande vivement de définir le mode de sécurité des messages sur Amélioré une fois que vous avez mis à niveau toutes les instances du routeur de connexions et tous les postes de travail VMware Horizon 8 vers cette version. Le réglage Amélioré apporte de nombreuses améliorations importantes à la sécurité et des mises à jour à la file d'attente des messages (MQ).
État de sécurité amélioré (lecture seule)

Champ en lecture seule qui s'affiche lorsque Mode de sécurité des messages est modifié de Activé à Amélioré. Comme la modification est effectuée par phases, ce champ montre la progression de l'opération :

  • En attente du redémarrage du bus de message est la première phase. Cet état s'affiche jusqu'à ce que vous redémarriez manuellement toutes les instances du Serveur de connexion de l'espace ou le service Composant du bus de message VMware Horizon sur tous les hôtes de Serveur de connexion de l'espace.
  • Amélioré en attente est l'état suivant. Dès que tous les services Composant du bus de messages Horizon ont été redémarrés, le système commence à modifier le mode de sécurité des messages sur Amélioré pour tous les postes de travail.
  • Amélioré est l'état final, indiquant que tous les composants utilisent maintenant le mode de sécurité des messages Amélioré.
Authentifier à nouveau les connexions par tunnel sécurisé après une interruption de réseau

Détermine si les informations d'identification nécessitent une nouvelle authentification après une interruption réseau lorsque des clients Horizon Client se connectent à des postes de travail et des applications VMware Horizon 8 à l'aide d'un tunnel sécurisé.

Ce paramètre offre une sécurité améliorée. Par exemple, si un ordinateur portable qui a été volé se connecte à un autre réseau, l'utilisateur ne peut pas accéder automatiquement aux postes de travail et aux applications VMware Horizon 8, car la connexion réseau a été temporairement interrompue.

Ce paramètre est désactivé par défaut.

Forcer la déconnexion des utilisateurs

Déconnecte tous les postes de travail et toutes les applications après que le nombre de minutes spécifié s'est écoulé depuis que l'utilisateur s'est connecté à VMware Horizon 8. Tous les postes de travail et toutes les applications seront déconnectés en même temps, quel que soit le moment auquel l'utilisateur les a ouverts.

La valeur par défaut est de 600 minutes.

Pour les clients prenant en charge les applications.

Si l'utilisateur cesse d'utiliser le clavier et la souris, déconnecter ses applications et supprimer les informations d'identification SSO

Protège les sessions d'application en l'absence d'activité de clavier ou de souris sur le périphérique client. Si ce paramètre est défini sur Après ... minutes, VMware Horizon 8, View déconnecte toutes les applications et ignore les informations d'identification SSO au terme du nombre spécifié de minutes sans activité de l'utilisateur. Les sessions de postes de travail sont déconnectées. L'utilisateur doit ouvrir une nouvelle session pour se reconnecter aux applications déconnectées ou lancer un nouveau poste de travail ou une nouvelle application.

Si ce paramètre est défini sur Jamais, VMware Horizon 8 ne déconnecte jamais les applications et n'ignore jamais les informations d'identification SSO suite à l'inactivité de l'utilisateur.

La valeur par défaut est Jamais.

Supprimer les informations d'identification SSO

Utilisez ce paramètre pour configurer la suppression des informations d'identification SSO à une heure fixe après la connexion. Une fois les informations d'identification SSO supprimées, un utilisateur est invité à s'authentifier sur le système d'exploitation invité Windows lors de la connexion à une nouvelle session de poste de travail ou d'application sur une autre batterie de serveurs RDS. Les connexions aux sessions de poste de travail et d'application existantes resteront ouvertes.

Si le paramètre est défini sur Après ... minutes, les informations d'identification SSO sont supprimées après le nombre indiqué de minutes écoulé depuis la connexion de l'utilisateur à VMware Horizon, quelle que soit l'activité utilisateur sur le périphérique client. La valeur par défaut est Après 15 minutes.

Si cette option est définie sur Jamais, VMware Horizon enregistre les informations d'identification SSO jusqu'à ce que l'utilisateur ferme Horizon Client ou que le délai d'expiration Forcer la déconnexion des utilisateurs soit atteint, selon la première de ces éventualités.

Cochez l'une de ces cases ou les deux :
  • Appliquer aux connexions d'utilisateurs internes : les informations d'identification SSO sont supprimées pour les connexions à partir de périphériques clients sur des réseaux privés.
  • Appliquer aux connexions d'utilisateurs externes : les informations d'identification SSO sont supprimées pour les connexions à partir de périphériques clients sur des réseaux non privés.

Par défaut, les deux cases sont décochées lorsque l'option Supprimer les informations d'identification SSO est définie sur Jamais. Les deux cases sont cochées lorsque l'option Supprimer les informations d'identification SSO est définie sur Après ... minutes. Vous devez cocher l'une ou l'une des deux cases afin d'enregistrer vos modifications.
Délai d'expiration de la session de View Administrator Détermine la durée pendant laquelle une session de console inactive continue avant d'expirer.
Important : Définir le délai d'expiration de la session de console sur un nombre de minutes élevé augmente le risque d'utilisation non autorisée d'Horizon Console. Soyez prudent lorsque vous autorisez une session inactive à durer longtemps.

Par défaut, le délai d'expiration de la session de console est de 30 minutes. Vous pouvez définir un délai d'expiration de session compris entre 1 et 4 320 minutes.

Authentification par certificat Utilisez ce paramètre pour modifier le mappage d'authentification par certificat en attribut d'utilisateurs Identités de sécurité alternatives personnalisées dans Active Directory en spécifiant une option de contrôle de mappage d'authentification par certificat. Les types de mappages basés sur des noms d'utilisateur et des adresses e-mail sont considérés comme faibles et doivent être mis à jour avec l'un des types de mappage forts. Pour plus d'informations, reportez-vous à la section Configurer des mappages de certificats pour l'authentification basée sur les certificats.
Paramètres d'extraction préalable de la CRL Utilisez ce paramètre pour effectuer une vérification de la révocation des certificats sur un certificat lorsque les URL du point de distribution CRL (CDP, CRL Distribution Point) du certificat ne sont pas directement accessibles au Serveur de connexion.
Note : TLS est requis pour toutes les connexions d' Horizon Client et les connexions de la console à VMware Horizon 8. Si votre déploiement de VMware Horizon 8 utilise des équilibrages de charge ou d'autres serveurs intermédiaires orientés clients, vous pouvez décharger TLS sur ceux-ci et configurer des connexions non TLS sur des instances individuelles du routeur de connexions. Reportez-vous à la section « Décharger des connexions TLS sur des serveurs intermédiaires » dans le document Administration d'Horizon 8.