これらの設定を使用して、さまざまな Horizon Client を使用する非認証ユーザーへの Active Directory ドメイン名の通信を防止します。これらの設定は、Horizon Cloud 環境に登録されている Active Directory ドメインに関する情報を、Horizon エンドユーザー クライアントに送信するかどうか、および送信する場合はエンドユーザー クライアントのログイン画面にどのように表示するかを制御します。

環境の構成には、Active Directory ドメインへの環境の登録が含まれます。エンドユーザーが、使用資格のあるデスクトップおよびリモート アプリケーションにアクセスするために Horizon Client を使用すると、それらのドメインは使用資格が付与されたアクセスに関連付けられます。2019 年 3 月の四半期ごとのサービスリリース以前は、システムとクライアントにはデフォルトの動作があり、そのデフォルトの動作を調整するオプションはありませんでした。2019 年 3 月のリリース以降では、デフォルトが変更されると共に、オプションで新しいドメイン セキュリティ設定コントロールを使用してデフォルトから変更できます。

重要: これら設定を変更する場合、更新内容が有効になるまでに最大 5 分かかる場合があります。

このトピックには次のセクションが含まれています。

ドメイン セキュリティ設定

これらの設定の組み合わせは、ドメイン情報をクライアントに送信するかどうか、およびクライアントのエンドユーザーがドメイン選択メニューを使用できるかどうかを決定します。

重要: これらの設定は、同じ Horizon Cloud 環境内にある Microsoft Azure 内のすべてのポッドに適用されます。同じ Horizon Cloud ユーザー アカウント(テナント)を使用して Microsoft Azure にデプロイされているすべてのポッドは、同じ組み合わせになります。ポッドに接続しているすべてのエンドユーザーは、どのポッドが仮想デスクトップとリモート アプリケーションをプロビジョニングしているかにかかわらず、これらの設定に従って動作を受け取ります。
注意: これらの設定により、クライアントのユーザー エクスペリエンスが変更されます。バージョン 5.0 より前の Horizon Client のバージョンを使用するエンドユーザーの動作は、Horizon Client 5.0 以降とは異なります。特定の組み合わせでは、特に、より古いクライアント、コマンドライン クライアントを使用する場合、および環境が複数の Active Directory を使用して構成されている場合に、エンドユーザーがクライアント ログイン画面でドメイン情報を指定する方法の要件を設定できます。これらの設定がクライアントのユーザー エクスペリエンスに与える影響は、クライアントによって異なります。組織のセキュリティ ポリシーに応じて、エンドユーザー エクスペリエンスのバランスを取る必要がある場合があります。 単一の Active Directory ドメインのシナリオとユーザーのログイン要件および 複数の Active Directory ドメインのシナリオとユーザーのログイン要件のセクションを参照してください。
表 1. [全般設定] ページのドメイン セキュリティ設定
オプション 説明
[デフォルトのドメインのみを表示]

このオプションは、ユーザー認証の前に、システムが接続先クライアントに送信するドメイン情報を制御します。

  • [はい] - システムは文字列値 *DefaultDomain* のみを送信します。
  • [いいえ] - システムは、登録されている Active Directory ドメイン名のリストをクライアントに送信します。
[ドメイン フィールドを非表示にする]

このオプションは、[[デフォルトのドメインのみを表示]] 設定に基づいて、クライアントに送られるドメイン関連情報のクライアントのログイン画面における表示を制御します。

  • [はい] - [デフォルトのドメインのみを表示] の設定に関わらず、クライアントのログイン画面にはドメインに関する情報は表示されません。文字列値 *DefaultDomain* もドメイン名もクライアントのログイン画面に表示されません。
  • [いいえ] - クライアントのログイン画面には、[デフォルトのドメインのみを表示] 設定に応じて次のいずれかの項目が表示されます。
    • [デフォルトのドメインのみを表示][はい] の場合は、文字テキスト*DefaultDomain*。この組み合わせは、バージョン 5.0 よりも古い Horizon Client におけるユーザー エクスペリエンスを最適化する一方で、セキュリティも向上させます。
    • [デフォルトのドメインのみを表示][いいえ] の場合は、ドロップダウン メニューのドメイン名のリスト。

過去のリリースと比較したこのリリースのデフォルト動作

次の表では、以前のデフォルト動作、新しいデフォルト動作、および組織のニーズに合わせて動作を調整するための設定について説明します。

以前のリリースのデフォルト動作 このリリースのデフォルト動作 このリリースのデフォルト動作に対応するドメイン セキュリティ設定の組み合わせ

システムは登録された Active Directory ドメイン名をクライアントに送信します。

システムは、文字列値 ( *DefaultDomain*) だけをクライアントに送信し、登録された Active Directory ドメイン名は送信しません。
注: 文字列を送信することで、ドメイン名の文字列リストを想定するために実装された古い Horizon Client がサポートされます。
[デフォルトのドメインのみを表示]

デフォルト設定:[はい]

クライアントにはログイン画面にドロップダウン メニューが表示され、ログインする前にエンドユーザーがドメインを選択するための登録済み Active Directory ドメイン名のリストが示されます。

クライアントには文字列 *DefaultDomain* が表示されます。

[ドメイン フィールドを非表示にする]

デフォルト設定:[いいえ]

ポッドのマニフェスト レベルとの関係

以前のサービス リリースで作成されたポッドを持つ既存のユーザーである場合は、Microsoft Azure 内のすべてのポッドがこの Horizon Cloud リリースのマニフェスト レベルに更新されるまで、以前の Horizon Cloud リリースと同じ動作を提供するために、環境はデフォルトで設定されます。その以前の動作とは次のとおりです。

  • システムによって Active Directory ドメイン名がクライアントに送信されます([デフォルトのドメインのみを表示][いいえ] に設定)。
  • クライアントには、ログインする前にエンドユーザーにドメイン名のリストを表示するドロップダウン メニューがあります([ドメイン フィールドを非表示にする][いいえ] に設定)。

また、すべてのポッドがこのサービス リリース レベルになるまで、[全般設定] ページにはドメイン セキュリティ設定のコントロールが表示されません。更新されていない既存のポッドと、このリリース レベルで新たにデプロイされたポッドが混在する環境では、新しいコントロールは使用できません。その結果、すべてのポッドがこのサービス リリース レベルになるまで、以前の動作を変更することはできません。

環境のすべてのポッドがアップグレードされると、Horizon Cloud 管理コンソールで設定を使用できるようになります。更新後のデフォルト設定は、更新前の動作に設定されます([デフォルトのドメインのみを表示][いいえ]、かつ [ドメイン フィールドを非表示にする][いいえ])。更新後のデフォルト設定は、新しいユーザーのデフォルト値とは異なります。これらの設定は、組織のセキュリティ ニーズに合わせて設定を変更することを選択するまで、更新後のエンドユーザーに対して更新前のレガシー動作が継続するように適用されます。

単一の Active Directory ドメインのシナリオとユーザーのログイン要件

次の表では、環境内に単一の Active Directory ドメインがあり、2 要素認証を使用しておらず、エンドユーザーが Horizon Client 5.0 以降のバージョンを使用する場合の、さまざまな設定の組み合わせの動作について説明します。

表 2. Horizon Client 5.0 以降のバージョンで、1 つの Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする Horizon Client 5.0 ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[ドメインを非表示] フィールドが [はい] に設定されている場合の 5.0 Horizon Client for Windows のスクリーンショット

ログインするドメインが 1 つだけの場合、[ユーザー名] テキスト ボックスに次のいずれかの値を入力できます。ドメイン名は不要です。
  • username
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[デフォルト ドメインのみを表示] を [はい] にし、[ドメイン フィールドを非表示] を [いいえ] にした場合の Horizon Client for Windows 5.0 ログイン画面のスクリーンショット

ログインするドメインが 1 つだけの場合、[ユーザー名] テキスト ボックスに次のいずれかの値を入力できます。ドメイン名は不要です。
  • username
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。通常、システムがドメイン名を送信している場合でも、ドメインフィールドを非表示にするため、この組み合わせは通常は使用されません。

ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名]テキストボックスにユーザー名を指定して、クライアントに表示されるリストにある単一のドメインを使用することができます。

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

この表は、環境に単一の Active Directory ドメインがあり、エンドユーザーが以前のバージョンの Horizon Client(5.0 より前)を使用している場合の動作について説明します。

重要: 以前の(5.0 より前の)クライアントのコマンドライン クライアント起動を使用し、コマンドでドメインを指定すると、以下のすべての組み合わせに対して失敗します。この動作を回避するには、コマンドのドメイン オプションに *DefaultDomain* を使用するか、クライアントを 5.0 バージョンに更新します。ただし、複数の Active Directory ドメインがある場合は、 *DefaultDomain* の受け渡しが機能しません。
表 3. 古い Horizon Client(5.0 より前)と 1 つの Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする 5.0 より前 Horizon Client ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 エンドユーザーは、[ユーザー名] テキストボックスに username を入力する必要があります。ドメイン名が含まれていると、指定したドメイン名がドメイン リストに存在しないというエラー メッセージが表示されます。
いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。通常、システムがドメイン名を送信している場合でも、ドメインフィールドを非表示にするため、この組み合わせは通常は使用されません。

ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名]テキストボックスにユーザー名を指定して、クライアントに表示されるリストにある単一のドメインを使用することができます。

複数の Active Directory ドメインのシナリオとユーザーのログイン要件

次の表では、環境内に複数の Active Directory ドメインがあり、2 要素認証を使用しておらず、エンドユーザーが Horizon Client 5.0 以降のバージョンを使用する場合の、さまざまな設定の組み合わせの動作について説明します。

基本的に、エンドユーザーはユーザー名を domain\username のようにドメイン名を含めて入力する必要があります。ただし、ドメイン名が送信されていてクライアントで表示されるレガシーの組み合わせの場合を除きます。

表 4. Horizon Client 5.0 以降のバージョンで、複数の Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする Horizon Client 5.0 ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[ドメインを非表示] フィールドが [はい] に設定されている場合の 5.0 Horizon Client for Windows のスクリーンショット

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[デフォルト ドメインのみを表示] を [はい] にし、[ドメイン フィールドを非表示] を [いいえ] にした場合の Horizon Client for Windows 5.0 ログイン画面のスクリーンショット

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。システムがドメイン名を送信している場合でも、ドメイン フィールドを非表示にするため、この組み合わせは通常使用されません。

ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名のリストが表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名] テキスト ボックスにユーザー名を指定して、クライアントに表示されるリストからドメインを選択することができます。

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

この表は、環境に複数の Active Directory ドメインがあり、エンドユーザーが以前のバージョンの Horizon Client(5.0 以前)を使用している場合の動作について説明します。

重要:
  • [ドメイン フィールドを非表示にする] 設定を [はい] に設定すると、エンドユーザーはこれらの 5.0 以前の Horizon Client において [ユーザー名] テキスト ボックスにドメインを入力することができるようになります。複数のドメインがあり、5.0 より前の Horizon Client の使用をサポートする場合は、[ドメイン フィールドを非表示にする][はい] に設定して、エンドユーザーがユーザー名を入力するときにドメイン名を含めることができるようにする必要があります。
  • 以前の(5.0 より前の)クライアントのコマンドライン クライアント起動を使用し、コマンドでドメインを指定すると、以下のすべての組み合わせに対して失敗します。複数の Active Directory ドメインがあり、コマンドライン クライアントの起動を使用する場合の唯一の回避方法は、クライアントを 5.0 バージョンに更新することです。
表 5. 古い Horizon Client(5.0 より前)と複数の Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする 5.0 より前 Horizon Client ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 この組み合わせは、複数の Active Directory ドメインがある環境ではサポートされません。
いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。システムがドメイン名を送信している場合でも、ドメイン フィールドを非表示にするため、この組み合わせは通常使用されません。
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名] テキスト ボックスにユーザー名を指定して、クライアントに表示されるリストからドメインを選択することができます。

2 要素認証で構成された Unified Access Gateway インスタンスを使用する Microsoft Azure 内のポッドについて

ポッドのための 2 要素認証機能の指定で説明されているように、ポッドを Microsoft Azure にデプロイするときには、その Unified Access Gateway インスタンスに構成された RADIUS の 2 要素認証を使用したデプロイを選択することができます。

Microsoft Azure 内のポッドが RADIUS の 2 要素認証を使用した Unified Access Gateway 構成を持っている場合、Horizon Client で認証するエンドユーザーには、最初に 2 要素認証情報を求める画面が表示され、次に Active Directory ドメインの認証情報を求めるログイン画面が表示されます。この場合、システムは、エンドユーザーの認証情報が正常に初期認証画面に適合した場合に限って、ドメイン リストをクライアントに送信します。

一般的に、すべてのポッドで Unified Access Gateway インスタンスに RADIUS の 2 要素認証が構成されている場合、システムによってドメイン リストがクライアントに送信され、クライアントにドメイン ドロップダウン メニューが表示されるようにする必要があります。この構成では、使用している Horizon Client のバージョンや、Active Directory ドメインの数に関係なく、すべてのエンドユーザーに同じレガシー エンドユーザー エクスペリエンスが提供されます。エンドユーザーが 2 要素認証パスコードの手順を問題なく完了すると、2 回目のログイン画面のドロップダウン メニューからドメインを選択できます。最初の認証画面に認証情報を入力するときに、ドメイン名を含める必要がなくなります。

ただし、ドメインのセキュリティ設定は Horizon Cloud ユーザーアカウント(テナント)レベルで適用されるため、一部のポッドで 2 要素認証が構成されていない場合、エンドユーザーがログインする前に、それらのポッドが接続するクライアントにドメイン名を送信してしまうので、ドメイン リストを送信しないようにした方がいい場合があります。

重要: ポッドの 2 要素認証構成で [ユーザー名を維持][はい] に設定されている場合、 [ドメイン フィールドを非表示にする][いいえ] に設定されていることを確認してください。そうしないと、システムがログイン認証情報を関連付けるために必要なドメイン情報を、エンドユーザーが提供することができません。

Horizon Client のエンドユーザーのログイン要件は、単一の Active Directory ドメインのシナリオとユーザーのログイン要件および複数の Active Directory ドメインのシナリオとユーザーのログイン要件に記載されているものと同じパターンに従います。RADIUS の 2 要素認証が構成されているポッドに接続するときに複数の Active Directory ドメインがある場合、[ドメイン フィールドを非表示にする][はい] に設定されているのであれば、エンドユーザーはドメイン名を domain\username として指定する必要があります。