ユーザー認証にスマート カードを使用するクライアント デバイスは、特定の要件を満たす必要があります。

クライアントのハードウェア要件とソフトウェア要件

ユーザー認証にスマート カードを使用する各クライアント デバイスには、次のハードウェアおよびソフトウェアが必要です。

  • Horizon Client
  • PKCS#11 または Microsoft CNG API/CryptoAPI プロバイダを使用するスマート カードおよびスマート カード リーダーがサポートされています。
  • 製品固有のアプリケーション ドライバ

スマート カードで認証を行うユーザーはスマート カードまたは USB スマート カード トークンを所有している必要があり、各スマート カードにはユーザー証明書が含まれる必要があります。

証明書を発行する前に、証明書テンプレートを作成する必要があります。[キー ストレージ プロバイダ][レガシー暗号化サービス プロバイダ] のいずれかを選択する必要があります。

KSP 証明書テンプレートを作成するには、[互換性] タブで認証局に [Windows Server 2008] 以降を選択し、[暗号化] タブで [キー ストレージ プロバイダ] を選択します。

KSP 証明書テンプレートを使用して証明書を発行する場合は、証明書発行テンプレートで指定された CSP に [Microsoft Smart Card Key Storage Provider] を選択するか、SHA-256 アルゴリズムで RSA をサポートするサードパーティのスマート カード KSP を選択します。レガシー CSP 証明書テンプレートを使用している場合は、[Microsoft Base Smart Card Crypto Provider] を選択するか、SHA-256 アルゴリズムで RSA をサポートするサードパーティのスマート カード CSP を選択します。

スマート カード登録の要件

スマート カードに証明書をインストールするには、管理者が登録局として機能するようにコンピュータを設定する必要があります。このコンピュータは、ユーザーにスマート カードを発行するための権限を持っている必要があり、証明書を発行するドメインのメンバーである必要があります。

スマート カードを登録するときに、生成される証明書のキー サイズを選択できます。ローカル デスクトップでスマート カードを使用するには、スマートカードの登録時に 1024 ビットまたは 2048 ビットのキー サイズを選択する必要があります。512 ビットの鍵の証明書はサポートされていません。

Microsoft TechNet の Web サイトでは、Windows システム用にスマート カード認証を計画して実装する方法についての詳細情報が提供されています。

リモート デスクトップおよび公開アプリケーションのソフトウェア要件

Horizon 管理者は、仮想デスクトップまたは RDS ホストに製品固有のアプリケーション ドライバをインストールする必要があります。

Horizon Client で、[ユーザー名のヒント] テキスト ボックスを有効にする

いくつかの環境では、スマート カード ユーザーは、単一のスマート カード証明書を使用して、複数のユーザーアカウントを認証できます。スマート カードでログインするときに、[ユーザー名のヒント] テキスト ボックスにユーザー名を入力します。

[ユーザー名のヒント] テキスト ボックスが Horizon Client のログイン ダイアログ ボックスに表示されるようにするには、Connection Server でスマート カードのユーザー名のヒント機能を有効にする必要があります。スマート カード ユーザー名のヒント機能を有効にする方法については、Horizon の管理を参照してください。

外部アクセスの安全を確保するために、お使いの環境で Unified Access Gateway アプライアンスを使用している場合、スマート カード ユーザー名のヒント機能をサポートするように、Unified Access Gateway アプライアンスを構成する必要があります。スマート カード ユーザー名のヒント機能は、Unified Access Gateway 2.7.2 以降でのみサポートされます。Unified Access Gateway でスマート カード ユーザー名のヒント機能を有効にする方法については、VMware Unified Access Gateway の導入および設定ドキュメントを参照してください。

Horizon Client は、スマート カード ユーザー名のヒント機能が有効な場合、単一アカウントのスマート カード証明書も引き続きサポートします。

スマート カード認証の追加要件

Horizon Client システムのスマート カード要件以外に、他の Horizon コンポーネントは、スマート カードをサポートするための特定の構成要件を満たす必要があります。

Connection Server およびセキュリティ サーバ ホスト
管理者は、すべての信頼されたユーザー証明書に適用可能なすべての認証局 (CA) 証明書チェーンを Connection Server ホスト(セキュリティ サーバを使用している場合は、セキュリティ サーバ ホスト)のサーバ信頼ストア ファイルに追加する必要があります。これらの証明書チェーンにはルート証明書が含まれています。中間認証局がユーザーのスマート カードの証明書を発行している場合は、中間証明書も含まれます。

スマート カードの使用をサポートするように Connection Server を構成する方法については、Horizon の管理を参照してください。

Unified Access Gateway アプライアンス
Unified Access Gateway アプライアンスでのスマート カード認証の設定については、 VMware Unified Access Gateway の導入および設定を参照してください。
Active Directory
スマート カード認証のために管理者が Active Directory で実行する必要があるタスクについては、 Horizon の管理ドキュメントを参照してください。