Horizon Agent および Horizon Client に対して構成するフィルタ ポリシー設定では、クライアント コンピュータからリモート デスクトップまたはアプリケーションまでリダイレクト可能な USB デバイスが指定されます。USB デバイス フィルタリングは、多くの場合、企業がリモート デスクトップ上の大容量ストレージ デバイスの使用を無効にしたり、クライアント デバイスをリモート デスクトップに接続する USB イーサネット アダプタのような、特定タイプのデバイスが転送されないようにブロックするために使用されます。
デスクトップまたはアプリケーションに接続すると、Horizon Client は Horizon Agent の USB ポリシー設定をダウンロードし、Horizon Client USB ポリシー設定とともにそれらの設定を使用して、クライアント コンピュータからのリダイレクトを許可する USB デバイスを決定します。
Horizon 7 では、デバイス分割ポリシー設定をすべて適用してから、フィルタ ポリシー設定を適用します。複合 USB デバイスを分割した場合、Horizon 7 では各デバイスのインターフェイスが調べられ、フィルタ ポリシー設定に従って、含めるものと含めないものが判断されます。複合 USB デバイスを分割しなかった場合、Horizon 7 でフィルタ ポリシー設定がデバイス全体に適用されます。
デバイス分割ポリシーは Horizon Agent の構成 ADMX テンプレート ファイル (vdm_agent.admx) に含まれます。
エージェント適用型 USB 設定の操作
次の表に、Horizon Client に同等のフィルタ ポリシー設定が存在する場合に、Horizon Client でエージェント適用型設定の Horizon Agent フィルタ ポリシー設定を処理する方法を指定する修飾子を示します。
修飾子 | 説明 |
---|---|
m(マージ) | Horizon Client により、Horizon Client フィルタ ポリシー設定に加えて、Horizon Agent フィルタ ポリシー設定が適用されます。ブール (true/false) 設定の場合、クライアント ポリシーが設定されていなければエージェントの設定が使用されます。クライアント ポリシーが設定されている場合、Exclude All Devices 設定の場合を除き、エージェントの設定は無視されます。Exclude All Devices ポリシーがエージェント側に設定されている場合、このポリシーはクライアント設定よりも優先されます。 |
o(上書き) | Horizon Client は Horizon Client フィルタ ポリシー設定ではなく、Horizon Agent フィルタ ポリシー設定を使用します。 |
たとえば、エージェント側で次のポリシー設定を行うと、クライアント側のすべての包含ルールに優先し、デバイス VID-0911_PID-149a にのみ包含ルールが適用されます。
IncludeVidPid: o:VID-0911_PID-149a
アスタリスクをワイルドカードとして使用することもできます(例:o:vid-0911_pid-****)。
クライアント解釈型 USB 設定の操作
次の表に、クライアント解釈型設定の Horizon Agent フィルタ ポリシー設定を、Horizon Client で処理する方法を指定する修飾子を示します。
修飾子 | 説明 |
---|---|
Default (レジストリ設定では d) | Horizon Client フィルタ ポリシー設定が存在しない場合、Horizon Client は Horizon Agent フィルタ ポリシー設定を使用します。 Horizon Client フィルタ ポリシー設定が存在する場合、Horizon Client はそのポリシー設定を適用し、Horizon Agent フィルタ ポリシー設定は無視します。 |
Override(レジストリ設定では o) | Horizon Client では、同等の Horizon Client フィルタ ポリシー設定ではなく、Horizon Agent フィルタ ポリシー設定が使用されます。 |
Horizon Agent は、クライアント解釈型設定のフィルタ ポリシー設定を接続先で適用しません。
次の表に、別のフィルタ修飾子を指定したときに、Horizon Client で Allow Smart Cards の設定を処理する方法の例を示します。
Horizon Agent での Allow Smart Cards(スマート カードを許可する)設定 | Horizon Client での Allow Smart Cards(スマート カードを許可する)設定 | Horizon Client で使用される効果的な Allow Smart Cards(スマート カードを許可する)ポリシー設定 |
---|---|---|
Disable - Default Client Setting (レジストリ設定では d:false) | true (許可する) | true (許可する) |
Disable - Override Client Setting (レジストリ設定では o:false) | true (許可する) | false (無効にする) |
Disable Remote Configuration Download ポリシーを true に設定すると、Horizon Client は、Horizon Agent から送信されるフィルタ ポリシー設定をすべて無視します。
Horizon Agent は、別のフィルタ ポリシー設定を使用するよう Horizon Client を構成しても、または Horizon Client において Horizon Agent からのフィルタ ポリシー設定のダウンロードを無効にしても、エージェント適用型設定にあるフィルタ ポリシー設定を常に接続先で適用します。Horizon Client では、Horizon Agent がデバイスの転送をブロックしていることをレポートしません。
設定の優先
Horizon Client では、優先順位に従って、フィルタ ポリシー設定が評価されます。一致デバイスがリダイレクトされないようにするフィルタ ポリシー設定は、デバイスを含む同等のフィルタ ポリシー設定よりも優先されます。デバイスを除外するフィルタ ポリシー設定が Horizon Client にない場合は、Exclude All Devices ポリシーを true に設定していない限り、Horizon Client ではデバイスのリダイレクトが許可されます。しかし、デバイスを除外するように Horizon Agent でフィルタ ポリシー設定を構成した場合、デスクトップまたはアプリケーションはデバイスをそれにリダイレクトしようとする試みをすべてブロックします。
Horizon Client は、Horizon Client 設定と Horizon Agent 設定に加え、Horizon Agent 設定に適用する修飾子の値を考慮し、優先順位に従いフィルタ ポリシー設定を評価します。次のリストに優先順位(項目 1 が最優先)を示します。
- Exclude Path
- Include Path
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- Allow Audio Input Devices、Allow Audio Output Devices、Allow HIDBootable、Allow HID (Non Bootable and Not Mouse Keyboard)、Allow Keyboard and Mouse Devices、Allow Smart Cards、Allow Video Devices
- すべての USB デバイスを除外するか含めるかが判断される、組み合わせた場合の効果的な Exclude All Devices ポリシー
Exclude Path および Include Path フィルタ ポリシー設定は、Horizon Client に対してのみ設定できます。別のデバイス ファミリ向けの Allow フィルタ ポリシー設定は、優先順位が同じです。
ベンダーおよびプロダクト ID の値に基づいてデバイスを除外するポリシー設定を構成すると、デバイスが属するファミリの Allow ポリシー設定を構成していたとしても、Horizon Client によりベンダーとプロダクト ID の値がこのポリシー設定と一致するデバイスは除外されます。
ポリシー設定の優先順位により、ポリシー設定間の競合が解決されます。スマート カードのリダイレクトを可能にするために Allow Smart Cards を構成した場合、それよりも優先順位の高い除外ポリシー設定を構成すると、このポリシーは上書きされます。たとえば、パス、ベンダー、プロダクト ID の値が一致するスマート カード デバイスを除外するよう Exclude Vid/Pid Device ポリシー設定を構成する場合が考えられます。また、Exclude Device Family デバイス ファミリ全体も除外する smart-card ポリシー設定を構成する場合も同様です。
何らかの Horizon Agent フィルタ ポリシー設定を構成すると、Horizon Agent はリモート デスクトップまたはアプリケーション上で次の優先順位(項目 1 が最優先)に従って、フィルタ ポリシー設定を評価して適用します。
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- すべての USB デバイスを除外するか含めるかが設定されている、エージェント適用型の Exclude All Devices ポリシー
Horizon Agent は、この限定的なフィルタ ポリシー設定のセットを接続先で適用します。
Horizon Agent のフィルタ ポリシー設定を定義することで、管理されていないクライアント コンピュータのフィルタリング ポリシーを作成できます。また、この機能により、Horizon Client のフィルタ ポリシー設定でリダイレクトが許可されている場合でも、クライアント コンピュータから転送されないようデバイスをブロックすることもできます。
たとえば、Horizon Client がデバイスのリダイレクトを可能にするのを許可するポリシーを構成する場合、デバイスを除外するよう Horizon Agent のポリシーを構成すれば、Horizon Agent はデバイスをブロックします。
USB デバイスをフィルタリングするためのポリシーの設定例
これらの例で使用されるベンダー ID とプロダクト ID は、単なる例です。特定デバイスに対するベンダー ID とプロダクト ID の決定については、ログ ファイルを使用してのトラブルシューティングと USB デバイス ID の確認を参照してください。
- クライアントで特定のデバイスがリダイレクトされないようにする
Exclude Vid/Pid Device: Vid-0341_Pid-1a11
- すべてのストレージ デバイスがこのデスクトップまたはアプリケーション プールにリダイレクトされないようにブロックします。次のエージェント側設定を使用します。
Exclude Device Family: o:storage
- デスクトップ プールのすべてのユーザーに対してオーディオおよびビデオ デバイスをブロックし、これらのデバイスがリアルタイム オーディオビデオ機能で常時利用可能になるようにする次のエージェント側設定を使用します。
Exclude Device Family: o:video;audio
ベンダーおよびプロダクト ID を使用して特定のデバイスを除外することもできることに注意してください。
- クライアントで 1 つの特定のデバイスを除くすべてのデバイスがリダイレクトされないようにブロックする
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd
- エンド ユーザーに問題が起こるため、特定の企業で製造されたすべてのデバイスを除外する次のエージェント側設定を使用します。
Exclude Vid/Pid Device: o:Vid-0341_Pid-*
- クライアントで 2 つの特定のデバイスを含め、その他すべてを除外する
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd;Vid-1abc_Pid-0001