Certains environnements hautement sécurisés nécessitent que vous empêchiez tous les périphériques USB que les utilisateurs peuvent avoir connectés à leurs périphériques clients d'être redirigés vers leurs applications et postes de travail distants. Vous pouvez désactiver la redirection USB pour tous les pools de postes de travail, pour des pools de postes de travail spécifiques ou pour des utilisateurs spécifiques dans un pool de postes de travail.
Utilisez l'une des stratégies suivantes, selon votre situation :
- Lorsque vous installez Horizon Agent sur une image de poste de travail ou un hôte RDS, désactivez l'option de configuration Redirection USB. (L'option est décochée par défaut.) Cette approche empêche d'accéder à des périphériques USB sur l'ensemble des applications et des postes de travail distants qui sont déployés à partir de l'image du poste de travail ou de l'hôte RDS.
- Dans la console, modifiez la stratégie Accès USB pour autoriser ou refuser l'accès sur un pool spécifique. Avec cette approche, vous n'avez pas besoin de modifier l'image du poste de travail et pouvez accéder aux périphériques USB de pools d'applications et de postes de travail spécifiques.
Seule la stratégie globale Accès USB est disponible pour les pools d'applications et de postes de travail publiés. Vous ne pouvez pas définir cette stratégie pour des pools d'applications ou de postes de travail publiés individuels.
- Dans la console, dès que vous avez défini la stratégie au niveau du pool de postes de travail ou d'applications, vous pouvez remplacer la stratégie d'un utilisateur spécifique du pool en sélectionnant le paramètre Remplacements d'utilisateur et en sélectionnant un utilisateur.
- Définissez la stratégie Exclude All Devices sur true, du côté Horizon Agent ou du côté client, selon le cas.
- Utilisez Stratégies de carte à puce pour créer une stratégie qui désactive le paramètre de stratégie Horizon Redirection USB. Avec cette approche, vous pouvez désactiver la redirection USB sur un poste de travail distant spécifique si certaines conditions sont respectées. Par exemple, vous pouvez configurer une stratégie qui désactive la redirection USB lorsque des utilisateurs se connectent à un poste de travail distant en dehors de votre réseau d'entreprise.
Si vous définissez la stratégie Exclude All Devices sur true, Horizon Client empêche la redirection de tous les périphériques USB. Vous pouvez utiliser d'autres paramètres de règle pour autoriser la redirection de périphériques spécifiques ou de familles de périphériques. Si vous définissez la stratégie sur false, Horizon Client autorise la redirection de tous les périphériques USB sauf ceux qui sont bloqués par d'autres paramètres de stratégie. Vous pouvez définir la stratégie dans Horizon Agent et Horizon Client. Le tableau suivant décrit comment la stratégie Exclude All Devices que vous pouvez définir pour Horizon Agent et Horizon Client se combinent pour produire une stratégie efficace pour l'ordinateur client. Par défaut, tous les périphériques USB sont autorisés à être redirigés, sauf blocage contraire.
Stratégie Exclure tous les périphériques sur Horizon Agent | Stratégie Exclure tous les périphériques dans Horizon Client | Règle Exclure tous les périphériques effective combinée |
---|---|---|
false ou non défini (inclure tous les périphériques USB) | false ou non défini (inclure tous les périphériques USB) | Inclure tous les périphériques USB |
false (inclure tous les périphériques USB) | true (exclure tous les périphériques USB) | Exclure tous les périphériques USB |
true (exclure tous les périphériques USB) | Aucun ou non défini | Exclure tous les périphériques USB |
Si vous avez défini la stratégie Disable Remote Configuration Download sur true, la valeur Exclude All Devices dans Horizon Agent n'est pas transmise à Horizon Client, mais Horizon Agent et Horizon Client appliquent la valeur locale Exclude All Devices.
Ces stratégies sont incluses dans le fichier de modèle d'administration ADMX pour la configuration d'Horizon Agent (vdm_agent.admx). Pour plus d'informations, reportez-vous à la section « Paramètres USB dans le modèle d'administration ADMX pour la configuration d'Horizon Agent » dans Fonctionnalités et GPO des postes de travail distants Horizon.