Horizon Client の ADMX テンプレート ファイルのセキュリティ セクションとスクリプト定義セクションには、セキュリティ関連の設定があります。ADMX テンプレート ファイルの名前は vdm_client.admx です。特に注記のない限り、これらの設定にはコンピュータの構成の設定のみが含まれます。ユーザーの構成の設定が利用可能であり、値を定義している場合には、同等のコンピュータの構成の設定は上書きされます。
次の表では、ADMX テンプレート ファイルにおけるセキュリティ セクションの設定について説明します。
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
Allow command line credentials | X | Horizon Clientのコマンドライン オプションでユーザー認証情報を指定できるかどうかを指定します。この設定が無効になっていると、ユーザーがコマンド ラインから Horizon Clientを実行するときに smartCardPIN および password オプションは使用できません。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は AllowCmdLineCredentials です。 |
|
Configures the SSL Proxy certificate checking behavior of the Horizon Client | X | Blast Secure Gateway とセキュアなトンネル接続で SSL プロキシ サーバ経由のセカンダリ接続で証明書確認を許可するかどうかを指定します。 この設定を使用しない場合(デフォルト)、ユーザーは Horizon Client で SSL プロキシの設定を手動で変更できます。 デフォルトでは、Horizon Client は、Blast Secure Gateway とセキュアな接続で SSL プロキシ接続をブロックします。 |
|
Servers Trusted For Delegation | X | ユーザーが Horizon Client のメニュー バーの [オプション] メニューで [現在のユーザーとしてログイン] を選択したときに、入力されたユーザー ID と認証情報を受け入れる Connection Server インスタンスを指定します。Connection Server インスタンスを指定しない場合、Horizon Console で Connection Server インスタンスの [現在のユーザーとしてログインを許可] 認証設定が無効になっていない限り、すべての Connection Server インスタンスがこの情報を受け付けます。 Connection Server インスタンスを追加するには、Connection Server サービスのサービス プリンシパル名 (SPN) を指定します。 これに相当する Windows レジストリの値は BrokersTrustedForDelegation です。 |
|
Certificate verification mode | X | Horizon Client が実行する証明書確認のレベルを設定します。次のいずれかのモードを選択できます。
このグループ ポリシー設定が構成されると、ユーザーは選択した証明書確認モードを Horizon Client で確認できますが、設定を構成することはできません。証明書確認モードのダイアログ ボックスが表示され、管理者が設定をロックしていることをユーザーに通知します。 この設定を無効にすると、Horizon Client ユーザーは証明書確認モードを選択できるようになります。デフォルトでは、この設定は無効になっています。 この設定をグループ ポリシーとして構成したくないときは、クライアント コンピュータの次のレジストリ キーのいずれかに、CertCheckMode 値の名前を追加することにより、証明書検証を有効にできます。
レジストリ キーでは次の値を使用します。
グループ ポリシー設定と Windows レジストリ キーの CertCheckMode 設定の両方を構成すると、グループ ポリシー設定の方がレジストリ キーでの設定よりも優先されます。
注:
Horizon Client の今後のリリースでは、Windows レジストリでの設定がサポートされなくなる可能性があります。グループ ポリシー設定を使用してください。
|
|
Default value of the 'Log in as current user' checkbox | X | X | Horizon Client のメニュー バーの [オプション] メニューで、[現在のユーザーとしてログイン] のデフォルト値を指定します。 この設定により、Horizon Clientインストール中に指定したデフォルトの値が上書きされます。 ユーザーがコマンド ラインから Horizon Clientを実行し、logInAsCurrentUser オプションを指定すると、この設定はその値によって上書きされます。 [オプション] メニューで [現在のユーザーとしてログイン] が選択されると、ユーザーがクライアント システムにログインするときに入力した ID と認証情報が Connection Server インスタンスに渡され、最終的にリモート デスクトップまたは公開アプリケーションに渡されます。[現在のユーザーとしてログイン] が選択されていない場合、リモート デスクトップまたは公開アプリケーションにアクセスする前に、ユーザーが ID と認証情報を複数回入力する必要があります。 デフォルトでは、この設定は無効になっています。 これに相当する Windows レジストリの値は LogInAsCurrentUser です。 |
Display option to Log in as current user | X | X | [現在のユーザーとしてログイン] を Horizon Client のメニュー バーの [オプション] メニューに表示するかどうかを指定します。 [現在のユーザーとしてログイン] が表示される場合、ユーザーはこのオプションを選択または選択解除し、デフォルト値をオーバーライドできます。[現在のユーザーとしてログイン] が表示されない場合、ユーザーは Horizon Client の [オプション] メニューからデフォルト値をオーバーライドできません。 Default value of the 'Log in as current user' checkbox のポリシー設定を使用することで、[現在のユーザーとしてログイン] のデフォルト値を指定できます。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は LogInAsCurrentUser_Display です。 |
Enable jump list integration
|
X | Windows 7 以降のシステムのタスクバーにあるHorizon Clientアイコンにジャンプ リストを表示するかどうかを決定します。ジャンプ リストを使用すると、最近使用したサーバ、リモート デスクトップまたは公開アプリケーションに接続できます。 Horizon Client が共有されている場合、最近使用したデスクトップおよび公開アプリケーションの名前を他のユーザーに見られたくないことがあります。この設定を無効にすると、ジャンプ リストを非表示にできます。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は EnableJumplist です。 |
|
Enable SSL encrypted framework channel | X | X | View 5.0 以前のリモート デスクトップで TLS を有効にするかどうかを決めます。View 5.0 以前では、ポート TCP 32111 経由でリモート デスクトップに送信されるデータが暗号化されませんでした。
これに相当する Windows レジストリの値は EnableTicketSSLAuth です。 |
Configures SSL protocols and cryptographic algorithms | X | X | TLS 暗号化接続を確立する前に、特定の暗号化アルゴリズムとプロトコルの使用を制限する暗号リストを構成します。暗号リストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。暗号文字列では、大文字と小文字が区別されます。 デフォルト値は、[TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES] になります。 この暗号文字列は、TLS v1.1 と TLS v1.2 が有効で、SSL v.2.0、SSL v3.0、TLS v1.0 が無効になっていることを意味します。SSL v2.0、SSL v3.0、TLS v1.0 は、承認プロトコルではなくなりました。今後は無効になります。 暗号化スイートは、128 ビットまたは 256 ビット AES を使用して、ECDHE、ECDH、RSA を使用します。GCM モードをおすすめします。 詳細については、http://www.openssl.org/docs/apps/ciphers.html を参照してください。 これに相当する Windows レジストリの値は SSLCipherList です。 |
Enable Single Sign-On for smart card authentication | X | スマート カード認証に対してシングル サインオンを有効にするかどうかを指定します。シングル サインオンを有効にすると、Horizon Clientは、スマート カードの暗号化された PIN を、一時的なメモリに格納してから Connection Server に送信します。シングル サインオンを無効にすると、Horizon Clientでカスタム PIN ダイアログ ボックスは表示されません。 これに相当する Windows レジストリの値は EnableSmartCardSSO です。 |
|
Ignore certificate revocation problems | X | X | 失効したサーバ証明書に関連するエラーを無視するかどうかを指定します。 サーバが送信する証明書が失効するか、クライアントが証明書の失効ステータスを確認できない場合、エラーが表示されます。 デフォルトでは、この設定は無効になっています。 |
Unlock remote sessions when the client machine is unlocked | X | X | 再帰的なロック解除機能を有効にするかどうかを指定します。再帰的なロック解除機能を使用すると、クライアント マシンのロックが解除された後で、すべてのリモート セッションのロックを解除できます。この機能が適用されるのは、ユーザーが「現在のユーザーとしてログイン」機能を使用してサーバにログインした後です。 デフォルトでは、この設定は有効になっています。 |
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
Allow NTLM Authentication | X | この設定を有効にすると、[現在のユーザーとしてログイン] 機能で NTLM 認証が許可されます。この設定を無効にすると、どのサーバでも NTLM 認証は使用されません。 この設定が有効になっている場合は、[Kerberos から NTLM へのフォールバックを許可] ドロップダウン メニューから [はい] または [なし] を選択できます。
この設定が行われていない場合、[サーバに NTLM を常に使用] グループ ポリシー設定にあるサーバに NTLM 認証が許可されます。 NTLM 認証を使用するには、サーバ SSL 証明書が有効である必要があります。また、Windows ポリシーで NTLM の使用を制限しないようにする必要があります。 Connection Server インスタンスで Kerberos から NTLM へのフォールバックを構成する方法については、VMware Horizon Console の管理の「Windows ベースの Horizon Client で使用可能な現在のユーザーとしてログイン機能」を参照してください。 |
|
Always use NTLM for servers | X | この設定を有効にすると、リストにあるサーバの [現在のユーザーとしてログイン] 機能で常に NTLM 認証が使用されます。サーバ リストを作成するには、[表示] をクリックして、[値] 列にサーバ名を入力します。サーバ名の形式は完全修飾ドメイン名 (FQDN) です。 |
次の表では、ADMX テンプレート ファイルにおけるスクリプトの定義セクションの設定について説明します。
設定 | 説明 |
---|---|
Connect all USB devices to the desktop on launch | デスクトップの起動時に、クライアント システム上の使用可能なすべての USB デバイスをデスクトップに接続するかどうかを指定します。 デフォルトでは、この設定は無効になっています。 これに相当する Windows レジストリの値は connectUSBOnStartup です。 |
Connect all USB devices to the desktop when they are plugged in | USB デバイスがクライアント システムにプラグインされたときに、それらの USB デバイスをデスクトップに接続するかどうかを指定します。 デフォルトでは、この設定は無効になっています。 これに相当する Windows レジストリの値は connectUSBOnInsert です。 |
Logon Password | Horizon Client がログイン時に使用するパスワードを指定します。このパスワードは、Active Directory によってテキスト形式で格納されます。 デフォルトでは、この設定は定義されていません。 これに相当する Windows レジストリの値は Password です。 |
これらの設定およびセキュリティに与える影響の詳細については、Horizon Client for Windows のドキュメントを参照してください。