これらの設定を使用して、さまざまな Horizon Client を使用する非認証ユーザーへの Active Directory ドメイン名の通信を防止します。これらの設定は、Horizon Cloud 環境に登録されている Active Directory ドメインに関する情報を、Horizon エンドユーザー クライアントに送信するかどうか、および送信する場合はエンドユーザー クライアントのログイン画面にどのように表示するかを制御します。

環境の構成には、Active Directory ドメインへの環境の登録が含まれます。エンドユーザーが、使用資格のあるデスクトップおよびリモート アプリケーションにアクセスするために Horizon Client を使用すると、それらのドメインは使用資格が付与されたアクセスに関連付けられます。2019 年 3 月の Horizon Cloud リリースより前は、システムとクライアントにはデフォルトの動作があり、そのデフォルトの動作を調整するオプションはありませんでした。2019 年 3 月のリリース以降では、デフォルトが変更されると共に、オプションで新しいドメイン セキュリティ設定コントロールを使用してデフォルトから変更できます。

重要: これら設定を変更する場合、更新内容が有効になるまでに最大 5 分かかる場合があります。

このトピックには次のセクションが含まれています。

ドメイン セキュリティ設定

これらの設定の組み合わせは、ドメイン情報をクライアントに送信するかどうか、およびクライアントのエンドユーザーがドメイン選択メニューを使用できるかどうかを決定します。

注意: これらの設定により、クライアントのユーザー エクスペリエンスが変更されます。バージョン 5.0 より前の Horizon Client のバージョンを使用するエンドユーザーの動作は、Horizon Client 5.0 以降とは異なります。特定の組み合わせでは、特に、より古いクライアント、コマンドライン クライアントを使用する場合、および環境が複数の Active Directory を使用して構成されている場合に、エンドユーザーがクライアント ログイン画面でドメイン情報を指定する方法の要件を設定できます。これらの設定がクライアントのユーザー エクスペリエンスに与える影響は、クライアントによって異なります。組織のセキュリティ ポリシーに応じて、エンドユーザー エクスペリエンスのバランスを取る必要がある場合があります。 単一の Active Directory ドメインのシナリオとユーザーのログイン要件および 複数の Active Directory ドメインのシナリオとユーザーのログイン要件のセクションを参照してください。
表 1. [全般設定] ページのドメイン セキュリティ設定
オプション 説明
[デフォルトのドメインのみを表示]

このオプションは、ユーザー認証の前に、システムが接続先クライアントに送信するドメイン情報を制御します。

  • [はい] - システムは文字列値 *DefaultDomain* のみを送信します。
  • [いいえ] - システムは、登録されている Active Directory ドメイン名のリストをクライアントに送信します。
[ドメイン フィールドを非表示にする]

このオプションは、[[デフォルトのドメインのみを表示]] 設定に基づいて、クライアントに送られるドメイン関連情報のクライアントのログイン画面における表示を制御します。

  • [はい] - [デフォルトのドメインのみを表示] の設定に関わらず、クライアントのログイン画面にはドメインに関する情報は表示されません。文字列値 *DefaultDomain* もドメイン名もクライアントのログイン画面に表示されません。
  • [いいえ] - クライアントのログイン画面には、[デフォルトのドメインのみを表示] 設定に応じて次のいずれかの項目が表示されます。
    • [デフォルトのドメインのみを表示][はい] の場合は、文字テキスト*DefaultDomain*。この組み合わせは、バージョン 5.0 よりも古い Horizon Client におけるユーザー エクスペリエンスを最適化する一方で、セキュリティも向上させます。
    • [デフォルトのドメインのみを表示][いいえ] の場合は、ドロップダウン メニューのドメイン名のリスト。

過去のリリースと比較したこのリリースのデフォルト動作

次の表では、以前のデフォルト動作、新しいデフォルト動作、および組織のニーズに合わせて動作を調整するための設定について説明します。

以前のリリースのデフォルト動作 このリリースのデフォルト動作 このリリースのデフォルト動作に対応するドメイン セキュリティ設定の組み合わせ

システムは登録された Active Directory ドメイン名をクライアントに送信します。

システムは、文字列値 ( *DefaultDomain*) だけをクライアントに送信し、登録された Active Directory ドメイン名は送信しません。
注: 文字列を送信することで、ドメイン名の文字列リストを想定するために実装された古い Horizon Client がサポートされます。
[デフォルトのドメインのみを表示]

デフォルト設定:[はい]

クライアントにはログイン画面にドロップダウン メニューが表示され、ログインする前にエンドユーザーがドメインを選択するための登録済み Active Directory ドメイン名のリストが示されます。

クライアントには文字列 *DefaultDomain* が表示されます。

[ドメイン フィールドを非表示にする]

デフォルト設定:[いいえ]

単一の Active Directory ドメインのシナリオとユーザーのログイン要件

次の表では、環境内に単一の Active Directory ドメインがあり、2 要素認証を使用しておらず、エンドユーザーが Horizon Client 5.0 以降のバージョンを使用する場合の、さまざまな設定の組み合わせの動作について説明します。

表 2. Horizon Client 5.0 以降のバージョンで、1 つの Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする Horizon Client 5.0 ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[ドメインを非表示] フィールドが [はい] に設定されている場合の 5.0 Horizon Client for Windows のスクリーンショット

ログインするドメインが 1 つだけの場合、[ユーザー名] テキスト ボックスに次のいずれかの値を入力できます。ドメイン名は不要です。
  • username
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[デフォルトドメインのみを表示] を「はい」にし、ドメインフィールドを「いいえ」にした場合のHorizon Client for Windows 5.0 ログイン画面のスクリーンショット

ログインするドメインが 1 つだけの場合、[ユーザー名] テキスト ボックスに次のいずれかの値を入力できます。ドメイン名は不要です。
  • username
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。通常、システムがドメイン名を送信している場合でも、ドメインフィールドを非表示にするため、この組み合わせは通常は使用されません。

ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名]テキストボックスにユーザー名を指定して、クライアントに表示されるリストにある単一のドメインを使用することができます。

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

この表は、環境に単一の Active Directory ドメインがあり、エンドユーザーが以前のバージョンの Horizon Client(5.0 より前)を使用している場合の動作について説明します。

重要: 以前の(5.0 より前の)クライアントのコマンドライン クライアント起動を使用し、コマンドでドメインを指定すると、以下のすべての組み合わせに対して失敗します。この動作を回避するには、コマンドのドメイン オプションに *DefaultDomain* を使用するか、クライアントを 5.0 バージョンにアップグレードします。ただし、複数の Active Directory ドメインがある場合は、 *DefaultDomain* の受け渡しが機能しません。
表 3. 古い Horizon Client(5.0 より前)と 1 つの Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする 5.0 より前 Horizon Client ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 エンドユーザーは、[ユーザー名] テキストボックスに username を入力する必要があります。ドメイン名が含まれていると、指定したドメイン名がドメイン リストに存在しないというエラー メッセージが表示されます。
いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。通常、システムがドメイン名を送信している場合でも、ドメインフィールドを非表示にするため、この組み合わせは通常は使用されません。

ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名]テキストボックスにユーザー名を指定して、クライアントに表示されるリストにある単一のドメインを使用することができます。

複数の Active Directory ドメインのシナリオとユーザーのログイン要件

次の表では、環境内に複数の Active Directory ドメインがあり、2 要素認証を使用しておらず、エンドユーザーが Horizon Client 5.0 以降のバージョンを使用する場合の、さまざまな設定の組み合わせの動作について説明します。

基本的に、エンドユーザーはユーザー名を domain\username のようにドメイン名を含めて入力する必要があります。ただし、ドメイン名が送信されていてクライアントで表示されるレガシーの組み合わせの場合を除きます。

表 4. Horizon Client 5.0 以降のバージョンで、複数の Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする Horizon Client 5.0 ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[ドメインを非表示] フィールドが [はい] に設定されている場合の 5.0 Horizon Client for Windows のスクリーンショット

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。

次のスクリーンショットは、Windows クライアントのログイン画面の表示についての例です。


[デフォルトドメインのみを表示] を「はい」にし、ドメインフィールドを「いいえ」にした場合のHorizon Client for Windows 5.0 ログイン画面のスクリーンショット

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。システムがドメイン名を送信している場合でも、ドメイン フィールドを非表示にするため、この組み合わせは通常使用されません。

ログイン画面は、この表の最初の行と同じように見えますが、ドメインフィールドは表示されません。

エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名のリストが表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名] テキスト ボックスにユーザー名を指定して、クライアントに表示されるリストからドメインを選択することができます。

コマンドライン クライアントの起動を使用し、コマンドでドメインを指定すると機能します。

この表は、環境に複数の Active Directory ドメインがあり、エンドユーザーが以前のバージョンの Horizon Client(5.0 以前)を使用している場合の動作について説明します。

重要:
  • [ドメイン フィールドを非表示にする] 設定を [はい] に設定すると、エンドユーザーはこれらの 5.0 以前の Horizon Client において [ユーザー名] テキスト ボックスにドメインを入力することができるようになります。複数のドメインがあり、5.0 より前の Horizon Client の使用をサポートする場合は、[ドメイン フィールドを非表示にする][はい] に設定して、エンドユーザーがユーザー名を入力するときにドメイン名を含めることができるようにする必要があります。
  • 以前の(5.0 より前の)クライアントのコマンドライン クライアント起動を使用し、コマンドでドメインを指定すると、以下のすべての組み合わせに対して失敗します。複数の Active Directory ドメインがあり、コマンドライン クライアントの起動を使用する場合の唯一の回避方法は、クライアントを 5.0 バージョンにアップグレードすることです。
表 5. 古い Horizon Client(5.0 より前)と複数の Active Directory ドメインがある場合の動作
デフォルトのドメインのみを表示(有効な送信 *DefaultDomain* ドメイン フィールドを非表示にする 5.0 より前 Horizon Client ログイン画面の詳細 ユーザーのログイン方法
はい はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。ドメイン名は送信されません。 エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
はい いいえ クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。[ドメイン] フィールドには、*DefaultDomain* と表示されます。ドメイン名は送信されません。 この組み合わせは、複数の Active Directory ドメインがある環境ではサポートされません。
いいえ はい クライアントのログイン画面には、標準のユーザー名フィールドとパスワードフィールドがあります。ドメインフィールドが表示されません。システムによって、ドメイン名がクライアントに送信されます。
注: この組み合わせは、典型的なものです。システムがドメイン名を送信している場合でも、ドメイン フィールドを非表示にするため、この組み合わせは通常使用されません。
エンドユーザーは、[ユーザー名]テキスト ボックスにドメイン名を含める必要があります。
  • domain\username
いいえ いいえ クライアントのログイン画面には、標準のユーザー名とパスワードのフィールドがあり、標準のドロップダウン ドメイン セレクタには使用可能なドメイン名が 1 つ表示されます。ドメイン名が送信されます。 エンドユーザーは、[ユーザー名] テキスト ボックスにユーザー名を指定して、クライアントに表示されるリストからドメインを選択することができます。

テナントが 2 要素認証で構成されている場合

テナントが RSA SecureID または RADIUS の 2 要素認証を使用して設定されている場合、エンドユーザーには最初に 2 要素認証情報を求める画面が表示され、次にログイン画面が表示されます。(Active Directory ドメインの認証情報を使用する場合)。テナントが 2 要素認証で構成されている場合、システムは、エンドユーザーの認証情報が正常に初期認証画面に適合した場合に限って、ドメイン リストをクライアントに送信します。[デフォルトのドメインのみを表示] の設定に関わらず、システムはドメイン リストを送信します。

2 要素認証を使用するテナントに複数の Active Directory ドメインがある場合、最適なエンドユーザー エクスペリエンスとして、[ドメイン フィールドを非表示にする][いいえ] に設定し、ドメインのログイン画面でドメイン セレクタを表示します。この構成によって、エンドユーザーは、2 回目のログイン画面のドロップダウン メニューからドメインを選択し、最初の認証画面に認証情報を入力するときにドメイン名を含めないようにすることができます。

重要: テナントの 2 要素認証構成で [ユーザー名を維持][はい] に設定されている場合、 [ドメイン フィールドを非表示にする][いいえ] に設定されていることを確認してください。そうしないと、システムがログイン認証情報を関連付けるために必要なドメイン情報を、エンドユーザーが提供することができません。

管理コンソールを使用してテナントの 2 要素認証設定を表示する方法については、2 要素認証を参照してください。

次の表では、2 要素認証を使用するようにテナントが構成されている場合に、[ドメイン フィールドを非表示にする] の設定によって生じる動作について説明します。

表 6. テナントに 2 要素認証が構成されている場合
ドメイン セキュリティ設定 ドメイン ログイン画面の動作 説明 Horizon Client のバージョン

[ドメイン フィールドを非表示にする][いいえ]

エンドユーザーが 2 要素認証資格情報で問題なく認証されると、ドメイン ログイン画面には、[ユーザー名] および [パスワード] フィールド、ならびに [ドメイン] ドロップダウン メニューが表示されます。

この動作は、このサービス リリースより前の動作と同じです。最初の 2 要素認証画面の後、エンドユーザーは、[ユーザー名] テキスト ボックスにユーザー名を指定し、クライアントに表示されているリストからドメインを選択できます。

このリリースでサポートされているすべてのバージョン。

[ドメイン フィールドを非表示にする][はい]

エンドユーザーが 2 要素認証の認証情報で正常に認証されると、ドメイン ログイン画面には [ユーザー名] および [パスワード] フィールドだけが含まれます。

テナントの 2 要素認証構成で [ユーザー名の維持][はい] に設定されている場合は、この構成を使用しないでください。

エンドユーザーの手順は次のとおりです。

  • 最初の 2 要素認証画面で、エンドユーザーは [ユーザー名] テキスト ボックス domain\username にドメインを含める必要があります。
  • テナントの構成に応じて、エンドユーザーは、ドメイン チャレンジやパスコードなどの次の 2 要素認証手順を完了します。
  • ドメイン ログイン画面で、エンドユーザーはユーザー名とパスワードを入力します。

このリリースでサポートされているすべてのバージョン。