これらの設定を使用して、さまざまな Horizon Client を使用する非認証ユーザーへの Active Directory ドメイン名の通信を防止します。これらの設定は、Horizon Cloud 環境に登録されている Active Directory ドメインに関する情報を、Horizon エンドユーザー クライアントに送信するかどうか、および送信する場合はエンドユーザー クライアントのログイン画面にどのように表示するかを制御します。
環境の構成には、Active Directory ドメインへの環境の登録が含まれます。エンドユーザーが、使用資格のあるデスクトップおよびリモート アプリケーションにアクセスするために Horizon Client を使用すると、それらのドメインは使用資格が付与されたアクセスに関連付けられます。2019 年 3 月の四半期ごとのサービスリリース以前は、システムとクライアントにはデフォルトの動作があり、そのデフォルトの動作を調整するオプションはありませんでした。2019 年 3 月のリリース以降では、デフォルトが変更されると共に、オプションで新しいドメイン セキュリティ設定コントロールを使用してデフォルトから変更できます。
このトピックには次のセクションが含まれています。
- ドメイン セキュリティ設定
- 過去のリリースと比較したこのリリースのデフォルト動作
- ポッドのマニフェスト レベルとの関係
- 単一の Active Directory ドメインのシナリオとユーザーのログイン要件
- 複数の Active Directory ドメインのシナリオとユーザーのログイン要件
- 2 要素認証で構成された Unified Access Gateway インスタンスを使用する Microsoft Azure 内のポッドについて
ドメイン セキュリティ設定
これらの設定の組み合わせは、ドメイン情報をクライアントに送信するかどうか、およびクライアントのエンドユーザーがドメイン選択メニューを使用できるかどうかを決定します。
| オプション | 説明 |
|---|---|
| [デフォルトのドメインのみを表示] | このオプションは、ユーザー認証の前に、システムが接続先クライアントに送信するドメイン情報を制御します。
|
| [ドメイン フィールドを非表示にする] | このオプションは、[[デフォルトのドメインのみを表示]] 設定に基づいて、クライアントに送られるドメイン関連情報のクライアントのログイン画面における表示を制御します。
|
過去のリリースと比較したこのリリースのデフォルト動作
次の表では、以前のデフォルト動作、新しいデフォルト動作、および組織のニーズに合わせて動作を調整するための設定について説明します。
| 以前のリリースのデフォルト動作 | このリリースのデフォルト動作 | このリリースのデフォルト動作に対応するドメイン セキュリティ設定の組み合わせ |
|---|---|---|
| システムは登録された Active Directory ドメイン名をクライアントに送信します。 |
システムは、文字列値 (
*DefaultDomain*) だけをクライアントに送信し、登録された Active Directory ドメイン名は送信しません。
注: 文字列を送信することで、ドメイン名の文字列リストを想定するために実装された古い Horizon Client がサポートされます。
|
[デフォルトのドメインのみを表示] デフォルト設定:[はい] |
| クライアントにはログイン画面にドロップダウン メニューが表示され、ログインする前にエンドユーザーがドメインを選択するための登録済み Active Directory ドメイン名のリストが示されます。 |
クライアントには文字列 |
[ドメイン フィールドを非表示にする] デフォルト設定:[いいえ] |
ポッドのマニフェスト レベルとの関係
以前のサービス リリースで作成されたポッドを持つ既存のユーザーである場合は、Microsoft Azure 内のすべてのポッドがこの Horizon Cloud リリースのマニフェスト レベルに更新されるまで、以前の Horizon Cloud リリースと同じ動作を提供するために、環境はデフォルトで設定されます。その以前の動作とは次のとおりです。
- システムによって Active Directory ドメイン名がクライアントに送信されます([デフォルトのドメインのみを表示] が [いいえ] に設定)。
- クライアントには、ログインする前にエンドユーザーにドメイン名のリストを表示するドロップダウン メニューがあります([ドメイン フィールドを非表示にする] が [いいえ] に設定)。
また、すべてのポッドがこのサービス リリース レベルになるまで、[全般設定] ページにはドメイン セキュリティ設定のコントロールが表示されません。更新されていない既存のポッドと、このリリース レベルで新たにデプロイされたポッドが混在する環境では、新しいコントロールは使用できません。その結果、すべてのポッドがこのサービス リリース レベルになるまで、以前の動作を変更することはできません。
環境のすべてのポッドがアップグレードされると、Horizon Cloud 管理コンソールで設定を使用できるようになります。更新後のデフォルト設定は、更新前の動作に設定されます([デフォルトのドメインのみを表示] が [いいえ]、かつ [ドメイン フィールドを非表示にする] が [いいえ])。更新後のデフォルト設定は、新しいユーザーのデフォルト値とは異なります。これらの設定は、組織のセキュリティ ニーズに合わせて設定を変更することを選択するまで、更新後のエンドユーザーに対して更新前のレガシー動作が継続するように適用されます。
単一の Active Directory ドメインのシナリオとユーザーのログイン要件
次の表では、環境内に単一の Active Directory ドメインがあり、2 要素認証を使用しておらず、エンドユーザーが Horizon Client 5.0 以降のバージョンを使用する場合の、さまざまな設定の組み合わせの動作について説明します。
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain*) |
ドメイン フィールドを非表示にする | Horizon Client 5.0 ログイン画面の詳細 | ユーザーのログイン方法 |
|---|---|---|---|
| はい | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。 ![[ドメインを非表示] フィールドが [はい] に設定されている場合の 5.0 Horizon Client for Windows のスクリーンショット](images/GUID-05163C42-3AA8-4934-8B81-4A3CAB635A38-low.png)
|
ログインするドメインが 1 つだけの場合、[ユーザー名] テキスト ボックスに次のいずれかの値を入力できます。ドメイン名は不要です。
コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。 |
| はい | いいえ | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。 ![[デフォルト ドメインのみを表示] を [はい] にし、[ドメイン フィールドを非表示] を [いいえ] にした場合の Horizon Client for Windows 5.0 ログイン画面のスクリーンショット](images/GUID-2E66D83B-E107-43D0-8795-DE5126B242C3-low.png)
|
ログインするドメインが 1 つだけの場合、[ユーザー名] テキスト ボックスに次のいずれかの値を入力できます。ドメイン名は不要です。
コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。 |
| いいえ | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。通常、システムがドメイン名を送信している場合でも、ドメインフィールドを非表示にするため、この組み合わせは通常は使用されません。
ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。 |
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
|
| いいえ | いいえ | クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 | エンドユーザーは、[ユーザー名]テキストボックスにユーザー名を指定して、クライアントに表示されるリストにある単一のドメインを使用することができます。 コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。 |
この表は、環境に単一の Active Directory ドメインがあり、エンドユーザーが以前のバージョンの Horizon Client(5.0 より前)を使用している場合の動作について説明します。
*DefaultDomain* を使用するか、クライアントを 5.0 バージョンに更新します。ただし、複数の Active Directory ドメインがある場合は、
*DefaultDomain* の受け渡しが機能しません。
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain*) |
ドメイン フィールドを非表示にする | 5.0 より前 Horizon Client ログイン画面の詳細 | ユーザーのログイン方法 |
|---|---|---|---|
| はい | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 | エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
|
| はい | いいえ | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 |
エンドユーザーは、[ユーザー名] テキストボックスに username を入力する必要があります。ドメイン名が含まれていると、指定したドメイン名がドメイン リストに存在しないというエラー メッセージが表示されます。 |
| いいえ | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。通常、システムがドメイン名を送信している場合でも、ドメインフィールドを非表示にするため、この組み合わせは通常は使用されません。
ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。 |
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
|
| いいえ | いいえ | クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 | エンドユーザーは、[ユーザー名]テキストボックスにユーザー名を指定して、クライアントに表示されるリストにある単一のドメインを使用することができます。 |
複数の Active Directory ドメインのシナリオとユーザーのログイン要件
次の表では、環境内に複数の Active Directory ドメインがあり、2 要素認証を使用しておらず、エンドユーザーが Horizon Client 5.0 以降のバージョンを使用する場合の、さまざまな設定の組み合わせの動作について説明します。
基本的に、エンドユーザーはユーザー名を domain\username のようにドメイン名を含めて入力する必要があります。ただし、ドメイン名が送信されていてクライアントで表示されるレガシーの組み合わせの場合を除きます。
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain*) |
ドメイン フィールドを非表示にする | Horizon Client 5.0 ログイン画面の詳細 | ユーザーのログイン方法 |
|---|---|---|---|
| はい | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。
|
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。 |
| はい | いいえ | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。
|
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。 |
| いいえ | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。システムがドメイン名を送信している場合でも、ドメイン フィールドを非表示にするため、この組み合わせは通常使用されません。
ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。 |
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
|
| いいえ | いいえ | クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名のリストが表示されます。ドメイン名が送信されます。 | エンドユーザーは、[ユーザー名] テキスト ボックスにユーザー名を指定して、クライアントに表示されるリストからドメインを選択することができます。 コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。 |
この表は、環境に複数の Active Directory ドメインがあり、エンドユーザーが以前のバージョンの Horizon Client(5.0 以前)を使用している場合の動作について説明します。
- [ドメイン フィールドを非表示にする] 設定を [はい] に設定すると、エンドユーザーはこれらの 5.0 以前の Horizon Client において [ユーザー名] テキスト ボックスにドメインを入力することができるようになります。複数のドメインがあり、5.0 より前の Horizon Client の使用をサポートする場合は、[ドメイン フィールドを非表示にする] を [はい] に設定して、エンドユーザーがユーザー名を入力するときにドメイン名を含めることができるようにする必要があります。
- 以前の(5.0 より前の)クライアントのコマンドライン クライアント起動を使用し、コマンドでドメインを指定すると、以下のすべての組み合わせに対して失敗します。複数の Active Directory ドメインがあり、コマンドライン クライアントの起動を使用する場合の唯一の回避方法は、クライアントを 5.0 バージョンに更新することです。
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain*) |
ドメイン フィールドを非表示にする | 5.0 より前 Horizon Client ログイン画面の詳細 | ユーザーのログイン方法 |
|---|---|---|---|
| はい | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 | エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
|
| はい | いいえ | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 |
この組み合わせは、複数の Active Directory ドメインがある環境ではサポートされません。 |
| いいえ | はい | クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。システムがドメイン名を送信している場合でも、ドメイン フィールドを非表示にするため、この組み合わせは通常使用されません。
|
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
|
| いいえ | いいえ | クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 | エンドユーザーは、[ユーザー名] テキスト ボックスにユーザー名を指定して、クライアントに表示されるリストからドメインを選択することができます。 |
2 要素認証で構成された Unified Access Gateway インスタンスを使用する Microsoft Azure 内のポッドについて
ポッドのための 2 要素認証機能の指定で説明されているように、ポッドを Microsoft Azure にデプロイするときには、その Unified Access Gateway インスタンスに構成された RADIUS の 2 要素認証を使用したデプロイを選択することができます。
Microsoft Azure 内のポッドが RADIUS の 2 要素認証を使用した Unified Access Gateway 構成を持っている場合、Horizon Client で認証するエンドユーザーには、最初に 2 要素認証情報を求める画面が表示され、次に Active Directory ドメインの認証情報を求めるログイン画面が表示されます。この場合、システムは、エンドユーザーの認証情報が正常に初期認証画面に適合した場合に限って、ドメイン リストをクライアントに送信します。
一般的に、すべてのポッドで Unified Access Gateway インスタンスに RADIUS の 2 要素認証が構成されている場合、システムによってドメイン リストがクライアントに送信され、クライアントにドメイン ドロップダウン メニューが表示されるようにする必要があります。この構成では、使用している Horizon Client のバージョンや、Active Directory ドメインの数に関係なく、すべてのエンドユーザーに同じレガシー エンドユーザー エクスペリエンスが提供されます。エンドユーザーが 2 要素認証パスコードの手順を問題なく完了すると、2 回目のログイン画面のドロップダウン メニューからドメインを選択できます。最初の認証画面に認証情報を入力するときに、ドメイン名を含める必要がなくなります。
ただし、ドメインのセキュリティ設定は Horizon Cloud ユーザーアカウント(テナント)レベルで適用されるため、一部のポッドで 2 要素認証が構成されていない場合、エンドユーザーがログインする前に、それらのポッドが接続するクライアントにドメイン名を送信してしまうので、ドメイン リストを送信しないようにした方がいい場合があります。
Horizon Client のエンドユーザーのログイン要件は、単一の Active Directory ドメインのシナリオとユーザーのログイン要件および複数の Active Directory ドメインのシナリオとユーザーのログイン要件に記載されているものと同じパターンに従います。RADIUS の 2 要素認証が構成されているポッドに接続するときに複数の Active Directory ドメインがある場合、[ドメイン フィールドを非表示にする] が [はい] に設定されているのであれば、エンドユーザーはドメイン名を domain\username として指定する必要があります。
