Horizon Client for Windows で、ユーザーが [オプション] メニューの [現在のユーザーとしてログイン] チェックボックスを選択すると、クライアント システムへのログイン時に入力した認証情報が Horizon Connection Server インスタンスとリモート デスクトップの Kerberos 認証で使用されます。追加のユーザー認証は必要ありません。

この機能をサポートするため、ユーザー認証情報は Connection Server インスタンスとクライアント システムの両方に格納されます。

  • Connection Server インスタンスで、ユーザー認証情報は、ユーザー名、ドメイン、オプションの UPN とともにユーザー セッションに暗号化されて保存されます。認証情報は、認証が行われると追加され、セッション オブジェクトが破棄されると削除されます。セッション オブジェクトは、ユーザーがログアウトするか、セッションがタイムアウトになるか、認証が失敗した場合に破棄されます。セッション オブジェクトは揮発性メモリに保存され、Horizon LDAP またはディスク ファイルには保存されません。
  • Horizon Client[オプション] メニューで [現在のユーザーとしてログイン] を選択したときに渡されるユーザー ID と認証情報が Connection Server インスタンスで受け入れられるように、Connection Server インスタンスで [現在のユーザーとしてのログインを受け入れる] 設定を有効にします。
    重要: この設定を有効にする前に、セキュリティ リスクを理解しておく必要があります。『 Horizon 7 のセキュリティ』ドキュメントの「ユーザー認証のセキュリティ関連のサーバ設定」を参照してください。
  • クライアント システムで、ユーザー認証情報は暗号化され、Horizon Client のコンポーネントである Authentication Package のテーブルに保存されます。認証情報は、ユーザーのログイン時にテーブルに追加され、ユーザーのログアウト時にテーブルから削除されます。テーブルは揮発性メモリに存在します。
[現在のユーザーとしてのログインを受け入れる] を選択すると、次のユーザー設定を有効にできます。
  • レガシー クライアントを許可:古いクライアントをサポートします。Horizon Client バージョン 2006 および 5.4 以前のバージョンは、古いクライアントとみなされます。
  • NTLM フォールバックを許可:ドメイン コントローラにアクセスできない場合、Kerberos ではなく NTLM 認証を使用します。NTLM グループ ポリシー設定は、Horizon Client 構成で有効にする必要があります。
  • チャネル バインディングを無効にする:NTLM 認証を保護する追加のセキュリティ レイヤー。デフォルトでは、クライアントでチャネル バインディングが有効になっています。
    注: チャネル バインディングが有効になっている場合は、LMCompatibilityLevel スイッチを使用して NTLMv2 がオンになっていることと、ユーザー環境でセキュリティ レベルが 3 以上であることを確認します。詳細については、 こちらの Microsoft ドキュメントを参照してください。
  • True SSO 統合:デスクトップへの SSO で True SSO を許可する場合は、この設定を Connection Server で有効にします。たとえば、ネスト モードの場合、ネストされたクライアントにログインする際に True SSO が使用され、その後、セカンダリ デスクトップのログインが実行されます。ネスト モードの詳細については、『VMware Horizon Client for Windows のインストールとセットアップ ガイド』を参照してください。
    • 無効:クライアントがログイン認証情報を受信しなかった場合、ユーザーはログイン情報を入力する必要があります。
    • オプション:可能であれば、クライアントの認証情報が使用されます。そうでない場合は、True SSO が使用されます。True SSO と現在のユーザーとしてログインの両方が有効になっている場合は、この設定を推奨します。
    • 有効:True SSO を使用してデスクトップにログインします。

管理者は、Horizon Client のグループ ポリシー設定を使用して、[オプション] メニューの [現在のユーザーとしてログイン] を使用可能にするかどうかを制御し、そのデフォルト値を設定することができます。さらに、管理者はグループ ポリシーを使用して、ユーザーが Horizon Client[現在のユーザーとしてログイン] をオンにした場合に渡されるユーザー ID と認証情報を受け入れる Connection Server インスタンスを指定することもできます。

現在のユーザーとしてログイン機能を使用して Connection Server にログインすると、再帰的なロック解除機能が有効になります。再帰的なロック解除機能を使用すると、クライアント マシンのロックが解除された後で、すべてのリモート セッションのロックを解除できます。管理者は、 Horizon Client[クライアント マシンのロックを解除するときにリモート セッションのロックを解除します] グローバル ポリシー設定で再帰的なロック解除機能を制御できます。 Horizon Client のグローバル ポリシー設定の詳細については、 VMware Horizon Client ドキュメント Web ページにある Horizon Client ドキュメントを参照してください。
注: Horizon Client がドメイン コントローラにアクセスできないときに、現在のユーザーとしてログイン機能で NTLM 認証を使用すると、再帰的なロック解除機能の動作が遅くなることがあります。この問題を回避するには、グループポリシー管理エディタで [VMware Horizon Client の構成] > [セキュリティ設定] > [NTLM 設定] フォルダで、 [サーバに NTLM を常に使用] グループ ポリシー設定を有効にします。

「現在のユーザーとしてログイン」機能には次の制限と要件があります。

  • Connection Server インスタンスでスマート カード認証が [必須] に設定されている場合、Connection Server インスタンスに接続する際に [現在のユーザーとしてログイン] を選択したユーザーの認証が失敗します。これらのユーザーは、Connection Server にログインする際にスマート カードと PIN を使用して再認証する必要があります。
  • クライアントがログインするシステムの時間と、Connection Server ホストの時間が同期している必要があります。
  • クライアント システムで、デフォルトの [ネットワーク経由でコンピュータへアクセス] ユーザー権限割り当てを変更する場合は、VMware ナレッジベース(KB)の記事 1025691 の説明に従って変更する必要があります。