制限付き資格の機能を使用し、ユーザーが接続する Horizon 接続サーバ インスタンスに基づいてリモート デスクトップ アクセスを制限できます。

制限付き資格では、1 つ以上のタグを接続サーバ インスタンスに割り当てます。その後、デスクトップ プールを構成するときに、デスクトップ プールにアクセスできるようにする接続サーバ インスタンスのタグを選択します。ユーザーがタグ付きの接続サーバ インスタンスにログインするとき、ユーザーは少なくとも 1 つのタグが一致するか、タグがないデスクトップ プールにのみアクセスできます。

たとえば、Horizon 7 の展開に 2 つの接続サーバ インスタンスが含まれるものとします。第 1 のインスタンスは内部ユーザーをサポートします。第 2 のインスタンスはセキュリティ サーバと対になって、外部ユーザーをサポートします。外部ユーザーが特定のデスクトップにアクセスできないようにするには、次のように制限付き資格を設定します。

  • タグ「Internal」を、内部ユーザーをサポートする接続サーバ インスタンスに割り当てます。
  • タグ「External」を、セキュリティ サーバと対になって外部ユーザーをサポートする接続サーバ インスタンスに割り当てます。
  • 内部ユーザーのみがアクセスできるようにするデスクトップ プールに、「Internal」タグを割り当てます。
  • 外部ユーザーのみがアクセスできるようにするデスクトップ プールに、「External」タグを割り当てます。

外部ユーザーは、External というタグの付いた接続サーバを使用してログインするので、Internal というタグの付いたデスクトップ プールにはアクセスできません。また、内部ユーザーは、Internal というタグの付いた接続サーバを使用してログインするので、External というタグの付いたデスクトップ プールにはアクセスできません。制限付き資格の例は、この構成を示しています。

図 1. 制限付き資格の例
制限付き資格の例を示す図。

制限付き資格を使用して、特定の接続サーバ インスタンスに対して構成されているユーザー認証方法に基づいて、デスクトップ アクセスを制御することもできます。たとえば、スマート カードで認証されているユーザーのみが特定のデスクトップ プールを使用できるようにすることができます。

制限付き資格の機能は、タグの一致を適用するだけです。特定のクライアントが特定の接続サーバ インスタンスを通して接続するように、ネットワーク トポロジを設計する必要があります。