セキュリティ設定には、証明書、ログイン認証情報、シングル サインオン機能のグループ ポリシーが含まれます。

次の表では、Horizon Client の設定 ADMX テンプレート ファイルにおけるセキュリティ設定について説明します。この表では、設定に含まれているのがコンピュータ構成とユーザー設定の両方か、コンピュータ構成だけかを示しています。両タイプの設定を含むセキュリティ設定の場合、ユーザー設定の方が、同等のコンピュータ設定よりも優先されます。設定を確認するには、グループ ポリシー管理エディタで [VMware Horizon Client の設定] > [セキュリティ設定] フォルダの順に移動します。

表 1. Horizon Clientの構成テンプレート:セキュリティ設定
設定 コンピュータ ユーザー 説明
Allow command line credentials X Horizon Clientのコマンドライン オプションでユーザー認証情報を指定できるかどうかを指定します。この設定が無効になっていると、ユーザーがコマンド ラインから Horizon Clientを実行するときに smartCardPIN および password オプションは使用できません。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は AllowCmdLineCredentials です。

Configures the SSL Proxy certificate checking behavior of the Horizon Client X Blast Secure Gateway とセキュアなトンネル接続で SSL プロキシ サーバ経由のセカンダリ接続で証明書確認を許可するかどうかを指定します。

この設定を使用しない場合(デフォルト)、ユーザーは Horizon Client で SSL プロキシの設定を手動で変更できます。Horizon Client の証明書検証モードの設定を参照してください。

デフォルトでは、Horizon Client は、Blast Secure Gateway とセキュアな接続で SSL プロキシ接続をブロックします。
Servers Trusted For Delegation X

ユーザーが Horizon Client のメニュー バーの [オプション] メニューで [現在のユーザーとしてログイン] を選択したときに、入力されたユーザー ID と認証情報を受け入れる Connection Server インスタンスを指定します。Connection Server インスタンスを指定しない場合、Horizon Console で Connection Server インスタンスの [現在のユーザーとしてログインを許可] 認証設定が無効になっていない限り、すべての Connection Server インスタンスがこの情報を受け付けます。

Connection Server インスタンスを追加するには、次のいずれかの形式を使用します。

  • domain\system$
  • [email protected]
  • Connection Server サービスのサービス プリンシパル名(SPN)

これに相当する Windows レジストリの値は BrokersTrustedForDelegation です。

Certificate verification mode X Horizon Client が実行する証明書確認のレベルを設定します。次のいずれかのモードを選択できます。
  • No Security。証明書の確認は行われません。
  • Warn But Allow。サーバが自己署名証明書を使用するために証明書の確認に失敗した場合、ユーザーに警告が表示されますが、この警告は無視してかまいません。自己署名証明書の場合、Horizon Client に入力したサーバ名と証明書名が一致する必要はありません。

    他の証明書エラーが発生した場合、Horizon Client はエラーを表示し、ユーザーはサーバに接続できません。

    Warn But Allow はデフォルト値です。

  • Full Security。証明書に関する何らかのエラーが発生すると、ユーザーはサーバに接続できなくなります。Horizon Client で証明書エラーが表示されます。

この設定が構成されている場合、ユーザーは選択した証明書確認モードを Horizon Client で確認できますが、設定することはできません。証明書確認モードのダイアログ ボックスが表示され、管理者が設定をロックしていることをユーザーに通知します。

この設定を無効にすると、Horizon Client ユーザーは証明書確認モードを選択できるようになります。デフォルトでは、この設定は無効になっています。

サーバがHorizon Clientから提供された証明書の確認を実行できるようにするには、クライアントが Connection Server またはセキュリティ サーバ ホストに対して HTTPS 接続を行う必要があります。Connection Server またはセキュリティ サーバ ホストに対する HTTP 接続を確立する中間デバイスに TLS をオフロードした場合、証明書確認はサポートされません。

この設定をグループ ポリシーとして構成したくないときは、クライアント コンピュータの次のレジストリ キーのいずれかに、CertCheckMode 値の名前を追加することにより、証明書検証を有効にできます。

  • 32 ビット Windows の場合:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • 64 ビット Windows の場合: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

レジストリ キーでは次の値を使用します。

  • 0 は、No Security を実装します。
  • 1 は、Warn But Allow を実装します。
  • 2 は、Full Security を実装します。

グループ ポリシー設定と Windows レジストリ キーの CertCheckMode 設定の両方を構成すると、グループ ポリシー設定の方がレジストリ キーでの設定よりも優先されます。

注: Horizon Client の今後のリリースでは、Windows レジストリでの設定がサポートされなくなる可能性があります。グループ ポリシー設定を使用してください。
Default value of the 'Log in as current user' checkbox X X

Horizon Client のメニュー バーの [オプション] メニューで、[現在のユーザーとしてログイン] のデフォルト値を指定します。

この設定により、Horizon Clientインストール中に指定したデフォルトの値が上書きされます。

ユーザーがコマンド ラインから Horizon Clientを実行し、logInAsCurrentUser オプションを指定すると、この設定はその値によって上書きされます。

[オプション] メニューで [現在のユーザーとしてログイン] が選択されると、ユーザーがクライアント システムにログインするときに入力した ID と認証情報が Connection Server インスタンスに渡され、最終的にリモート デスクトップまたは公開アプリケーションに渡されます。[現在のユーザーとしてログイン] が選択されていない場合、リモート デスクトップまたは公開アプリケーションにアクセスする前に、ユーザーが ID と認証情報を複数回入力する必要があります。

デフォルトでは、この設定は無効になっています。

これに相当する Windows レジストリの値は LogInAsCurrentUser です。

Display option to Log in as current user X X

[現在のユーザーとしてログイン]Horizon Client のメニュー バーの [オプション] メニューに表示するかどうかを指定します。

[現在のユーザーとしてログイン] が表示される場合、ユーザーはこのオプションを選択または選択解除し、デフォルト値をオーバーライドできます。[現在のユーザーとしてログイン] が表示されない場合、ユーザーは Horizon Client[オプション] メニューからデフォルト値をオーバーライドできません。

Default value of the 'Log in as current user' checkbox のポリシー設定を使用することで、[現在のユーザーとしてログイン] のデフォルト値を指定できます。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は LogInAsCurrentUser_Display です。

Enable jump list integration

X Windows 7 以降のシステムのタスクバーにあるHorizon Clientアイコンにジャンプ リストを表示するかどうかを決定します。ジャンプ リストを使用すると、最近使用したサーバ、リモート デスクトップまたは公開アプリケーションに接続できます。

Horizon Client が共有されている場合、最近使用したデスクトップおよび公開アプリケーションの名前を他のユーザーに見られたくないことがあります。この設定を無効にすると、ジャンプ リストを非表示にできます。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は EnableJumplist です。

Enable SSL encrypted framework channel X X View 5.0 以前のリモート デスクトップで TLS を有効にするかどうかを決めます。View 5.0 以前では、ポート TCP 32111 経由でリモート デスクトップに送信されるデータが暗号化されませんでした。
  • [有効化]:TLS を有効にしますが、リモート デスクトップで TLS がサポートされていない場合は、非暗号化接続に戻ることを許可します。たとえば、View 5.0 以前のリモート デスクトップでは TLS がサポートされていません。[有効化] はデフォルトの設定です。
  • [無効化]:TLS を無効にします。デバッグを行う場合や、チャネルがトンネリングされず、WAN アクセラレータ製品によって最適化される可能性がある場合、この設定が役立つことがあります。
  • [強制]:TLS を有効にします。TLS をサポートしていないリモート デスクトップへの接続は拒否されます。

これに相当する Windows レジストリの値は EnableTicketSSLAuth です。

Configures SSL protocols and cryptographic algorithms X X TLS 暗号化接続を確立する前に、特定の暗号化アルゴリズムとプロトコルの使用を制限する暗号リストを構成します。暗号リストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。暗号文字列では、大文字と小文字が区別されます。

デフォルト値は、[TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES] になります。

この暗号文字列は、TLS v1.1 と TLS v1.2 が有効で、SSL v.2.0、SSL v3.0、TLS v1.0 が無効になっていることを意味します。SSL v2.0、SSL v3.0、TLS v1.0 は、承認プロトコルではなくなりました。今後は無効になります。

暗号化スイートは、128 ビットまたは 256 ビット AES を使用して、ECDHE、ECDH、RSA を使用します。GCM モードをおすすめします。

詳細については、http://www.openssl.org/docs/apps/ciphers.html を参照してください。

これに相当する Windows レジストリの値は SSLCipherList です。

Enable Single Sign-On for smart card authentication X スマート カード認証に対してシングル サインオンを有効にするかどうかを指定します。シングル サインオンを有効にすると、Horizon Clientは、スマート カードの暗号化された PIN を、一時的なメモリに格納してから Connection Server に送信します。シングル サインオンを無効にすると、Horizon Clientでカスタム PIN ダイアログ ボックスは表示されません。

これに相当する Windows レジストリの値は EnableSmartCardSSO です。

Ignore certificate revocation problems X X 失効したサーバ証明書に関連するエラーを無視するかどうかを指定します。

サーバが送信する証明書が失効するか、クライアントが証明書の失効ステータスを確認できない場合、エラーが表示されます。

デフォルトでは、この設定は無効になっています。

注: この設定を有効にすると、クライアントはサーバ証明書の検証中にキャッシュされた URL のみを使用することができます。キャッシュされた URL 情報のタイプには、CRL 配布ポイント (CDP) と機関情報アクセス(OCSP および CA 発行者のアクセス方法)があります。
Unlock remote sessions when the client machine is unlocked X X 再帰的なロック解除機能を有効にするかどうかを指定します。再帰的なロック解除機能を使用すると、クライアント マシンのロックが解除された後で、すべてのリモート セッションのロックを解除できます。この機能が適用されるのは、ユーザーが「現在のユーザーとしてログイン」機能を使用してサーバにログインした後です。

デフォルトでは、この設定は有効になっています。

以下の設定を確認するには、グループ ポリシー管理エディタで [VMware Horizon Client の設定] > [セキュリティ設定] > [NTLM の設定] フォルダの順に移動します。

表 2. Horizon Client 構成テンプレート:セキュリティ設定、NTLM 認証設定
設定 コンピュータ ユーザー 説明
Allow NTLM Authentication X この設定を有効にすると、[現在のユーザーとしてログイン] 機能で NTLM 認証が許可されます。この設定を無効にすると、どのサーバでも NTLM 認証は使用されません。

この設定が有効になっている場合は、[Kerberos から NTLM へのフォールバックを許可] ドロップダウン メニューから [はい] または [なし] を選択できます。

  • [はい] を選択すると、クライアントがサーバの Kerberos チケットを取得できない場合に NTLM 認証を使用できます。
  • [ No ] を選択すると、[サーバに NTLM を常に使用] グループ ポリシー設定にリストされているサーバにのみ NTLM 認証が許可されます。

この設定が行われていない場合、[サーバに NTLM を常に使用] グループ ポリシー設定にあるサーバに NTLM 認証が許可されます。

NTLM 認証を使用するには、サーバ SSL 証明書が有効である必要があります。また、Windows ポリシーで NTLM の使用を制限しないようにする必要があります。

Connection Server インスタンスで Kerberos から NTLM へのフォールバックを構成する方法については、VMware Horizon Console の管理の「Windows ベースの Horizon Client で使用可能な現在のユーザーとしてログイン機能」を参照してください。
Always use NTLM for servers X この設定を有効にすると、リストにあるサーバの [現在のユーザーとしてログイン] 機能で常に NTLM 認証が使用されます。サーバ リストを作成するには、[表示] をクリックして、[値] 列にサーバ名を入力します。サーバ名の形式は完全修飾ドメイン名 (FQDN) です。