Horizon Client の ADM または ADMX テンプレート ファイルのセキュリティ セクションとスクリプト定義セクションには、セキュリティ関連の設定があります。ADM テンプレート ファイルの名前は vdm_client.adm、ADMX テンプレート ファイルの名前は vdm_client.admx です。特に注記のない限り、これらの設定にはコンピュータの構成の設定のみが含まれます。ユーザーの構成の設定が利用可能であり、値を定義している場合には、同等のコンピュータの構成の設定は上書きされます。

次の表では、ADM または ADMX テンプレート ファイルにおけるセキュリティ セクションの設定について説明します。

表 1. Horizon Clientの構成テンプレート:セキュリティ設定
設定 説明
Allow command line credentials

([コンピュータの構成] 設定)

Horizon Clientのコマンド ライン オプションでユーザー認証情報を指定できるかどうかを指定します。この設定が無効になっていると、ユーザーがコマンド ラインから Horizon Clientを実行するときに smartCardPIN および password オプションは使用できません。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は AllowCmdLineCredentials です。

Servers Trusted For Delegation

([コンピュータの構成] 設定)

ユーザーが [現在のユーザーとしてログイン] チェック ボックスを選択すると渡されるユーザー ID と認証情報を受け付ける Connection Server インスタンスを指定します。Connection Server インスタンスを指定しない場合は、すべての Connection Server インスタンスがこの情報を受け付けます。

Connection Server インスタンスを追加するには、次のいずれかの形式を使用します。

  • domain\system$
  • system$@domain.com
  • Connection Server サービスのサービス プリンシパル名(SPN)

これに相当する Windows レジストリの値は BrokersTrustedForDelegation です。

Certificate verification mode

([コンピュータの構成] 設定)

Horizon Clientで実行される証明書確認のレベルを構成します。次のいずれかのモードを選択できます。
  • No Security。証明書を確認しません。
  • Warn But Allow。Connection Server のホストが自己署名証明書を提示すると、警告が表示されます。ただし、ユーザーは Connection Server への接続を継続できます。証明書名は、Horizon Clientのユーザーによって提供される Connection Server 名と一致する必要はありません。その他の証明書エラーが発生すると、エラー ダイアログ ボックスが表示され、ユーザーは Connection Server に接続できません。Warn But Allow はデフォルト値です。
  • Full Security。証明書に関する何らかのエラーが発生すると、ユーザーは Connection Server に接続できなくなります。ユーザーに証明書エラーが表示されます。

このグループ ポリシー設定が構成されると、ユーザーは選択した証明書検証モードをHorizon Clientで確認できますが、設定を構成することはできません。ユーザー向けの SSL 構成に関するダイアログ ボックスには、管理者が設定をロックしたことが表示されます。

この設定が未構成か無効になっている場合、Horizon Clientユーザーは証明書検証モードを選択できます。

グループ ポリシーとして証明書検証設定を構成したくない場合は、さらに、Windows レジストリ設定を修正して証明書検証を有効にできます。

Default value of the 'Log in as current user' checkbox

([コンピュータおよびユーザー構成] 設定)

Horizon Client接続ダイアログ ボックスの [現在のユーザーとしてログイン] チェックボックスのデフォルトの値を指定します。

この設定により、Horizon Clientインストール中に指定したデフォルトの値が上書きされます。

ユーザーがコマンド ラインから Horizon Clientを実行し、logInAsCurrentUser オプションを指定すると、この設定はその値によって上書きされます。

[現在のユーザーとしてログイン] チェック ボックスをオンにすると、ユーザーがクライアント システムにログインするときに入力した ID と認証情報が、Connection Server インスタンスに、そして最終的にはリモート デスクトップに渡されます。チェック ボックスをオフにすると、ユーザーはリモート デスクトップにアクセスするまでに ID と認証情報を何回も入力する必要があります。

デフォルトでは、この設定は無効になっています。

これに相当する Windows レジストリの値は LogInAsCurrentUser です。

Display option to Log in as current user

([コンピュータおよびユーザー構成] 設定)

[現在のユーザーとしてログイン] チェックボックスはHorizon Client接続ダイアログ ボックスで表示できるかどうかを指定します。

チェック ボックスを表示すると、ユーザーはそれをオンまたはオフにして、デフォルト値を上書きできます。チェック ボックスを表示しないと、ユーザーは Horizon Clientの接続ダイアログ ボックスからデフォルト値をオーバーライドできません。

Default value of the 'Log in as current user' checkboxのポリシー設定を使用することで、[現在のユーザーとしてログイン] チェック ボックスのデフォルト値を指定できます。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は LogInAsCurrentUser_Display です。

Enable jump list integration

([コンピュータの構成] 設定)

Windows 7 以降のシステムのタスクバーにあるHorizon Clientアイコンにジャンプ リストを表示するかどうかを決定します。ユーザーはこのジャンプ リストを使用して、最近使った Connection Server インスタンスおよびリモート デスクトップに接続できます。

Horizon Clientが共有されている場合、最近使用したデスクトップの名前を他のユーザーに見られたくないことがあります。この設定を無効にすると、ジャンプ リストを非表示にできます。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は EnableJumplist です。

Enable SSL encrypted framework channel

([コンピュータおよびユーザー構成] 設定)

SSL 暗号化フレームワーク チャネルを有効にするかどうかを決定します。
  • [有効化]:SSL を有効にしますが、リモート デスクトップで SSL がサポートされていない場合は、非暗号化接続に戻ることを許可します。
  • [無効化]:SSL を無効にします。この設定は推奨されませんが、デバッグする場合、またはチャネルがトンネリングされず、WAN アクセラレータ製品によって最適化される可能性がある場合に便利なことがあります。
  • [強制]:SSL を有効にし、SSL がサポートされていないデスクトップへの接続を拒否します。

これに相当する Windows レジストリの値は EnableTicketSSLAuth です。

Configures SSL protocols and cryptographic algorithms

([コンピュータおよびユーザー構成] 設定)

SSL 暗号化接続を確立する前に、特定の暗号化アルゴリズムとプロトコルの使用を制限する暗号リストを構成します。暗号リストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。
注: : すべての暗号文字列では、大文字と小文字が区別されます。
  • Horizon Client 4.10 以降のデフォルト値は [TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES] になります。
  • Horizon Client 4.2 以降のデフォルト値は [TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES] になります。
  • Horizon Client4.0.1 と 4.1 のデフォルト値は、[TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH] になります。
  • Horizon Client4.0 のデフォルト値は、[TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH] になります。
  • Horizon Client3.5 のデフォルト値は、[TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH] になります。
  • Horizon Client3.3 および 3.4 のデフォルト値は、[TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH] になります。
  • Horizon Client3.2 以前の値は [SSLv3:TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH] になります。

Horizon Client 4.10 以降では、TLS v1.0 が完全に無効になり、サポートされません。

Horizon Client 4.0.1 から 4.9 では、TLS v1.0、TLS v1.1、TLS v1.2 がデフォルトで有効になっています。(SSL v2.0 および v3.0 は削除されました)。サーバと TLS v1.0 に互換性が必要ない場合、TLS v1.0 を無効にできます。

Horizon Client 4.0 では、TLS v1.1、および TLS v1.2 は有効になっています。(TLS v1.0 は無効です。SSL v2.0 および v3.0 は削除されました)。

Horizon Client 3.5 では、TLS v1.0、TLS v1.1、および TLS v1.2 は有効になっています。(SSL v2.0 および v3.0 は無効になります)。Horizon Client 3.3 および 3.4 では、TLS v1.0 および TLS v1.1 が有効になっています。(SSL v2.0、SSL v3.0、TLS v1.2 は無効になっています)。

Horizon Client 3.2 以前では、SSL v3.0 も有効になっています。(SSL v2.0 および TLS v1.2 は無効になります。)

暗号化スイートは 128 ビットまたは 256 ビット AES を使用し、匿名 DH アルゴリズムを削除して、現在の暗号リストを暗号化アルゴリズムのキー長の順にソートします。

構成の参照リンク:http://www.openssl.org/docs/apps/ciphers.html

これに相当する Windows レジストリの値は SSLCipherList です。

この設定をグループ ポリシーとして構成したくないときは、クライアント コンピュータの次のレジストリ キーのいずれかに、SSLCipherList 値の名前を追加することにより、証明書検証を有効にできます。

  • 32 ビット Windows の場合: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • 64 ビット Windows の場合:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security
Enable Single Sign-On for smart card authentication

([コンピュータの構成] 設定)

スマート カード認証に対してシングル サインオンを有効にするかどうかを指定します。シングル サインオンを有効にすると、Horizon Clientは、スマート カードの暗号化された PIN を、一時的なメモリに格納してから Connection Server に送信します。シングル サインオンを無効にすると、Horizon Clientでカスタム PIN ダイアログは表示されません。

これに相当する Windows レジストリの値は EnableSmartCardSSO です。

次の表では、ADM または ADMX テンプレート ファイルにおけるスクリプトの定義セクションの設定について説明します。

表 2. スクリプト定義セクションのセキュリティ関連の設定
設定 説明
Connect all USB devices to the desktop on launch

デスクトップの起動時に、クライアント システム上の使用可能なすべての USB デバイスをデスクトップに接続するかどうかを指定します。

デフォルトでは、この設定は無効になっています。

これに相当する Windows レジストリの値は connectUSBOnStartup です。

Connect all USB devices to the desktop when they are plugged in

USB デバイスがクライアント システムにプラグインされたときに、それらの USB デバイスをデスクトップに接続するかどうかを指定します。

デフォルトでは、この設定は無効になっています。

これに相当する Windows レジストリの値は connectUSBOnInsert です。

Logon Password

Horizon Client がログイン時に使用するパスワードを指定します。このパスワードは、Active Directory によってテキスト形式で格納されます。

デフォルトでは、この設定は定義されていません。

これに相当する Windows レジストリの値は Password です。

これらの設定およびセキュリティに与える影響の詳細については、Horizon Client for Windows のドキュメントを参照してください。