Horizon Client の ADM または ADMX テンプレート ファイルのセキュリティ セクションとスクリプト定義セクションには、セキュリティ関連の設定があります。ADM テンプレート ファイルの名前は vdm_client.adm、ADMX テンプレート ファイルの名前は vdm_client.admx です。特に注記のない限り、これらの設定にはコンピュータの構成の設定のみが含まれます。ユーザーの構成の設定が利用可能であり、値を定義している場合には、同等のコンピュータの構成の設定は上書きされます。
次の表では、ADM または ADMX テンプレート ファイルにおけるセキュリティ セクションの設定について説明します。
設定 | 説明 |
---|---|
Allow command line credentials ([コンピュータの構成] 設定) |
Horizon Clientのコマンド ライン オプションでユーザー認証情報を指定できるかどうかを指定します。この設定が無効になっていると、ユーザーがコマンド ラインから Horizon Clientを実行するときに smartCardPIN および password オプションは使用できません。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は AllowCmdLineCredentials です。 |
Servers Trusted For Delegation ([コンピュータの構成] 設定) |
ユーザーが [現在のユーザーとしてログイン] チェック ボックスを選択すると渡されるユーザー ID と認証情報を受け付ける Connection Server インスタンスを指定します。Connection Server インスタンスを指定しない場合は、すべての Connection Server インスタンスがこの情報を受け付けます。 Connection Server インスタンスを追加するには、次のいずれかの形式を使用します。
これに相当する Windows レジストリの値は BrokersTrustedForDelegation です。 |
Certificate verification mode ([コンピュータの構成] 設定) |
Horizon Clientで実行される証明書確認のレベルを構成します。次のいずれかのモードを選択できます。
このグループ ポリシー設定が構成されると、ユーザーは選択した証明書検証モードをHorizon Clientで確認できますが、設定を構成することはできません。ユーザー向けの SSL 構成に関するダイアログ ボックスには、管理者が設定をロックしたことが表示されます。 この設定が未構成か無効になっている場合、Horizon Clientユーザーは証明書検証モードを選択できます。 グループ ポリシーとして証明書検証設定を構成したくない場合は、さらに、Windows レジストリ設定を修正して証明書検証を有効にできます。 |
Default value of the 'Log in as current user' checkbox ([コンピュータおよびユーザー構成] 設定) |
Horizon Client接続ダイアログ ボックスの [現在のユーザーとしてログイン] チェックボックスのデフォルトの値を指定します。 この設定により、Horizon Clientインストール中に指定したデフォルトの値が上書きされます。 ユーザーがコマンド ラインから Horizon Clientを実行し、logInAsCurrentUser オプションを指定すると、この設定はその値によって上書きされます。 [現在のユーザーとしてログイン] チェック ボックスをオンにすると、ユーザーがクライアント システムにログインするときに入力した ID と認証情報が、Connection Server インスタンスに、そして最終的にはリモート デスクトップに渡されます。チェック ボックスをオフにすると、ユーザーはリモート デスクトップにアクセスするまでに ID と認証情報を何回も入力する必要があります。 デフォルトでは、この設定は無効になっています。 これに相当する Windows レジストリの値は LogInAsCurrentUser です。 |
Display option to Log in as current user ([コンピュータおよびユーザー構成] 設定) |
[現在のユーザーとしてログイン] チェックボックスはHorizon Client接続ダイアログ ボックスで表示できるかどうかを指定します。 チェック ボックスを表示すると、ユーザーはそれをオンまたはオフにして、デフォルト値を上書きできます。チェック ボックスを表示しないと、ユーザーは Horizon Clientの接続ダイアログ ボックスからデフォルト値をオーバーライドできません。 Default value of the 'Log in as current user' checkboxのポリシー設定を使用することで、[現在のユーザーとしてログイン] チェック ボックスのデフォルト値を指定できます。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は LogInAsCurrentUser_Display です。 |
Enable jump list integration ([コンピュータの構成] 設定) |
Windows 7 以降のシステムのタスクバーにあるHorizon Clientアイコンにジャンプ リストを表示するかどうかを決定します。ユーザーはこのジャンプ リストを使用して、最近使った Connection Server インスタンスおよびリモート デスクトップに接続できます。 Horizon Clientが共有されている場合、最近使用したデスクトップの名前を他のユーザーに見られたくないことがあります。この設定を無効にすると、ジャンプ リストを非表示にできます。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は EnableJumplist です。 |
Enable SSL encrypted framework channel ([コンピュータおよびユーザー構成] 設定) |
SSL 暗号化フレームワーク チャネルを有効にするかどうかを決定します。
これに相当する Windows レジストリの値は EnableTicketSSLAuth です。 |
Configures SSL protocols and cryptographic algorithms ([コンピュータおよびユーザー構成] 設定) |
SSL 暗号化接続を確立する前に、特定の暗号化アルゴリズムとプロトコルの使用を制限する暗号リストを構成します。暗号リストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。
注: : すべての暗号文字列では、大文字と小文字が区別されます。
Horizon Client 4.10 以降では、TLS v1.0 が完全に無効になり、サポートされません。 Horizon Client 4.0.1 から 4.9 では、TLS v1.0、TLS v1.1、TLS v1.2 がデフォルトで有効になっています。(SSL v2.0 および v3.0 は削除されました)。サーバと TLS v1.0 に互換性が必要ない場合、TLS v1.0 を無効にできます。 Horizon Client 4.0 では、TLS v1.1、および TLS v1.2 は有効になっています。(TLS v1.0 は無効です。SSL v2.0 および v3.0 は削除されました)。 Horizon Client 3.5 では、TLS v1.0、TLS v1.1、および TLS v1.2 は有効になっています。(SSL v2.0 および v3.0 は無効になります)。Horizon Client 3.3 および 3.4 では、TLS v1.0 および TLS v1.1 が有効になっています。(SSL v2.0、SSL v3.0、TLS v1.2 は無効になっています)。 Horizon Client 3.2 以前では、SSL v3.0 も有効になっています。(SSL v2.0 および TLS v1.2 は無効になります。) 暗号化スイートは 128 ビットまたは 256 ビット AES を使用し、匿名 DH アルゴリズムを削除して、現在の暗号リストを暗号化アルゴリズムのキー長の順にソートします。 構成の参照リンク:http://www.openssl.org/docs/apps/ciphers.html これに相当する Windows レジストリの値は SSLCipherList です。 この設定をグループ ポリシーとして構成したくないときは、クライアント コンピュータの次のレジストリ キーのいずれかに、SSLCipherList 値の名前を追加することにより、証明書検証を有効にできます。
|
Enable Single Sign-On for smart card authentication ([コンピュータの構成] 設定) |
スマート カード認証に対してシングル サインオンを有効にするかどうかを指定します。シングル サインオンを有効にすると、Horizon Clientは、スマート カードの暗号化された PIN を、一時的なメモリに格納してから Connection Server に送信します。シングル サインオンを無効にすると、Horizon Clientでカスタム PIN ダイアログは表示されません。 これに相当する Windows レジストリの値は EnableSmartCardSSO です。 |
次の表では、ADM または ADMX テンプレート ファイルにおけるスクリプトの定義セクションの設定について説明します。
設定 | 説明 |
---|---|
Connect all USB devices to the desktop on launch | デスクトップの起動時に、クライアント システム上の使用可能なすべての USB デバイスをデスクトップに接続するかどうかを指定します。 デフォルトでは、この設定は無効になっています。 これに相当する Windows レジストリの値は connectUSBOnStartup です。 |
Connect all USB devices to the desktop when they are plugged in | USB デバイスがクライアント システムにプラグインされたときに、それらの USB デバイスをデスクトップに接続するかどうかを指定します。 デフォルトでは、この設定は無効になっています。 これに相当する Windows レジストリの値は connectUSBOnInsert です。 |
Logon Password | Horizon Client がログイン時に使用するパスワードを指定します。このパスワードは、Active Directory によってテキスト形式で格納されます。 デフォルトでは、この設定は定義されていません。 これに相当する Windows レジストリの値は Password です。 |
これらの設定およびセキュリティに与える影響の詳細については、Horizon Client for Windows のドキュメントを参照してください。