[ポリシーの構成] タブでテナントのポリシーを設定できます。

[ポリシーの構成] タブを表示するには、次の手順を実行します。

  1. サービス センターのユーザー インターフェイスで、[テナント] > [ポリシー] を選択します。
  2. [組織] ドロップダウン メニューから、テナント組織を選択します。

ポリシーは、テナントごとに設定します。[ポリシーの構成] 画面には、テナント アプライアンスとデスクトップ マネージャの構成パラメータの値が表示されます。

[説明を表示] ボタンをクリックして、各パラメータの簡単な説明を表示します。デフォルト値は、角括弧で表示されます。

ポリシー パラメータの値を変更するには、次のようにします。

  1. 変更するパラメータの行をダブルクリックします。
  2. 新しい値を入力します。
  3. [OK] をクリックして変更を加えるか、[キャンセル] をクリックして現在の値を保持します。

デフォルトでは、画面には最も一般的なポリシーのみが表示されます。詳細ポリシーを含む完全なリストを表示するには、Web ページを選択して「dtpolicy」と入力します。

デバイスごとの RDSH ライセンスのポリシーの構成

この機能は、発行されたライセンスを保存し、接続時に RDS ホストに提供し、アップグレードを保存することで、デバイスのクライアント アクセス ライセンス (CAL) ごとの RDSH を適切に処理します。これにより、デバイスごとの CAL の過剰な使用を防止できます。Horizon Agent および Horizon Client に実装されており、サポートするには Horizon Cloud の実装が必要です。

サービス センターでは、rds.license.enablerds.license.brokeronly.enable の 2 つの新しいポリシーを使用して、この機能を有効にできます。両方のデフォルト値は false です。これらのポリシーの各設定の結果は次のとおりです。

rds.license.enable rds.license.brokeronly.enable 結果
True False CAL はブローカとクライアントの両方に保存されます。
True True CAL はブローカーにのみ保存されます。
False True/False CAL はいずれの場所にも保存されません。機能が無効になっています。

単一の vCenter Server 構成のポリシーの構成

単一の vCenter Server で環境を設定するには、このポリシーを true に設定する必要があります。

ポリシー 説明
allow.shared.hostmanager ホスト マネージャを管理アプライアンスおよびテナント プール リソースで直接共有できるかどうかを制御します。
  • ホスト マネージャの共有を許可する場合は、true に設定します。
  • ホスト マネージャの共有を許可しない場合は、false に設定します。

エージェントのアップデート機能のポリシーの構成

エージェントのアップデート機能を使用するには、agentupdate.updateserver.url ポリシーでアップグレード サーバの URL を指定する必要があります。

次のポリシーはこの機能にも影響し、必要に応じて設定できます(デフォルト値は角括弧内に示されます)。
ポリシー 説明
agentupdate.cachePath エージェント インストーラをダウンロードするためのファイル共有の場所。テナント アプライアンスは、必要に応じてこの場所を更新します。
agentupdate.cipherList アップデート サーバに接続する際に SSL で使用する暗号化暗号 [ECDHE-RSA-AES256-GCM-SHA384]
agentupdate.enable 有効にすると(true に設定)、テナント アプライアンスはアップデート サーバでエージェントのアップデートをスキャンします。このポリシーを false に設定すると、新しいエージェントのスキャンが無効になり、ファイル共有上のホット パッチ ファイルのスキャンも無効になります。
agentupdate.enablehotpatch このポリシーを true に設定すると、お客様の管理者がファイル共有に配置したホット パッチ ファイルがテナント アプライアンスによってスキャンされます。このポリシーを false に設定すると、ファイル共有上のホット パッチ ファイルのスキャンが無効になります。
agentupdate.job.repeatInterval アップデート サーバ上の新しいエージェントのスキャン間隔(ミリ秒単位)。デフォルトは 24 時間 [86400000]。
agentupdate.job.startDelay テナント アプライアンスの起動後にエージェント アップデートのスキャンが開始されるまでの待機時間(ミリ秒単位)。デフォルトは 1 分 [60000]。
agentupdate.sslProtocol アップデート サーバに接続する際に SSL で使用する暗号化プロトコル [TLS_V1_2]。
element.agentupdate.max.concurrent.updates.per.pool 各プールで一度にアップデートする仮想マシンの最大数。この値は、エージェントのアップデート タスクが停止して失敗するまでの、プール内の障害の最大数にもなります。デフォルト値は 30 です。
仮想マシンのスキップ オプションを有効にするには、skipVmsWithLoggedInUser プロパティを true に設定する必要があります。仮想マシンの再起動オプションを有効にするには、rebootVmBeforeAAU プロパティを true に設定する必要があります。これらの設定を行った後、サービスの再起動や再開は必要ありません。マルチ DM 環境では、プライマリ アプライアンスのペアのみを編集する必要があります。

仮想マシンに直接アクセスするためのポリシーの設定

ポリシー 説明
element.agentcontroller.validate.user.logon.enabled 仮想マシンへの直接アクセスを許可するかどうかを制御します。デフォルト設定は false です。
  • 直接アクセスを許可する場合は、false に設定します。
  • 直接アクセスを許可しない場合は、true に設定します。

ドメイン セキュリティ設定のポリシーの構成

これらの設定を使用して、さまざまな Horizon Client を使用する非認証ユーザーへの Active Directory ドメイン名の通信を防止します。これらの設定は、環境に登録されている Active Directory ドメインに関する情報を、Horizon エンドユーザー クライアントに送信するかどうか、および送信する場合はエンドユーザー クライアントのログイン画面にどのように表示するかを制御します。

ポリシー 説明
secure.domain.list ドメイン情報をクライアントに送信するかどうかを制御します。設定は次のとおりです。
  • true - ドメイン情報がクライアントに送信されません。クライアントには、ドロップダウンが通常表示される場所にテキスト *DefaultDomain* が表示されます。
  • false - ドメイン情報がクライアントに送信され、ユーザーはクライアントのドメイン ドロップダウン メニューでドメインを選択できるようになります。

このポリシーは、管理コンソールの同じ設定にマッピングされます([全般設定] > [デフォルトのドメインのみを表示])。

client.hide.domain.list クライアントにドメイン テキスト ボックスを表示するかどうかを制御します。設定は次のとおりです。
  • true - ドメイン テキスト ボックスがクライアントに表示されます(このテキスト ボックスに表示される内容は、secure.domain.list 設定によって制御されます)。
  • false - ドメイン テキスト ボックスがクライアントに表示されません。
注: テナントに複数のドメインがあり、secure.domain.list 設定が true の場合は、5.0 よりも前のバージョンの Horizon Client からの起動をサポートするために、client.hide.domain.list ポリシーも true である必要があります。

このポリシーは、管理コンソールの同じ設定にマッピングされます([全般設定] > [ドメイン フィールドを非表示にする])。

display.default.domain.at.top クライアントのドメイン ドロップダウン メニューに一覧表示されるドメインの順序を制御します。設定は次のとおりです。
  • true - クライアント ドロップダウン メニューのリストの上部にデフォルトのドメインが表示され、その他のドメインがアルファベット順に並べ替えられます。
  • false - クライアント ドロップダウン メニューには、ドメインが登録した順序で表示されます。最も古い登録済みドメインがメニューの一番上に表示され、最近登録されたドメインが一番下に表示されます。

デフォルト ドメインは、管理コンソールのチェック ボックス設定([設定] > [全般設定])によって定義されます。

注: display.default.domain.at.top ポリシーは、次の両方の条件が満たされた場合にのみ有効になります。
  • secure.domain.list ポリシーが false に設定される(管理コンソールで、[全般設定] > [デフォルトのドメインのみを表示] がオフに設定される)。
  • client.hide.domain.list policy ポリシーが false に設定される(管理コンソールで、[全般設定] > [ドメイン フィールドを非表示にする] がオフに設定される)。

display.default.domain.at.top ポリシーを変更する場合、更新内容が有効になるまでに最大 5 分かかる場合があります。

2 要素認証のポリシーの構成

このポリシーを使用すると、サービス プロバイダ管理者はテナントに 2 要素認証 (2FA) をテナント ポータルから Unified Access Gateway に強制的に移動できます。設定には、管理ポータルの [2 要素認証] ページからアクセスできます。

ポリシー 説明
tenant.2fa.through.uag ポリシーのデフォルト値は、次の 2 要素認証構成に基づいて設定されます。
  • デフォルト設定は、2FA が RSA として構成されている 9.2.1 より前のテナントと、9.2.1 以降の新しいテナントで true です。
  • デフォルト設定は、2FA が RADIUS として構成されている 9.2.1 より前のテナントで false です。
説明:
  • true - United Access Gateway から 2FA を構成します
  • false - テナント管理ポータルから Unified Access Gateway の 2FA を構成できます