一部の非常にセキュリティ要件が厳しい環境では、ユーザーがクライアント デバイスに接続した可能性のあるすべての USB デバイスがリモート デスクトップおよびアプリケーションにリダイレクトされるのを回避する必要があります。すべてのデスクトップ プール、特定のデスクトップ プール、またはデスクトップ プール内の特定のユーザーの USB リダイレクトを無効にすることができます。
状況に応じて、次に示す方法の中から任意のものを使用してください。
- Horizon Agent をデスクトップ イメージまたは RDS ホストでインストールする場合、[USB リダイレクト] セットアップ オプションを選択解除してください。(このオプションはデフォルトで選択されていません)。この手法では、デスクトップ イメージまたは RDS ホストから展開されるすべてのリモート デスクトップおよびアプリケーションで、USB デバイスへのアクセスが回避されます。
- Horizon Console で、特定のプールに対する [USB アクセス] ポリシーを編集して、アクセスを拒否または許可します。この手法では、デスクトップ イメージを変更する必要はなく、特定のデスクトップおよびアプリケーション プールで USB デバイスへのアクセスを制御できます。
公開デスクトップおよびアプリケーション プールには、グローバル [USB アクセス] ポリシーのみを使用できます。個々の公開デスクトップまたはアプリケーション プールに対してこのポリシーを設定することはできません。
- Horizon Console で、デスクトップまたはアプリケーション プール レベルでポリシーを設定した後、[ユーザー上書き] 設定を選択し、ユーザーを選択することで、プール内の特定のユーザーに対するポリシーを上書きできます。
- Horizon Agent 側またはクライアント側で、必要に応じて Exclude All Devices ポリシーを true に設定する。
- スマート ポリシーを使用して、[USB リダイレクト] Horizon ポリシー設定を無効にするポリシーを作成します。この手法により、特定の条件が満たされる場合に特定のリモート デスクトップでの USB リダイレクトを無効化できます。たとえば、ユーザーが企業のネットワーク以外からリモート デスクトップに接続している場合は USB リダイレクトを無効にするポリシーを設定できます。
Exclude All Devices ポリシーを true に設定すると、Horizon Client はどの USB デバイスもリダイレクトされないようにします。その他のポリシー設定を使用して、特定のデバイスまたはデバイス ファミリがリダイレクトされるように変更できます。このポリシーを false に設定すると、Horizon Client は、その他のポリシー設定でブロックされているものを除き、すべての USB デバイスがリダイレクトされるようにします。このポリシーは、Horizon Agent と Horizon Client の両方に設定できます。次の表は、Horizon Agent と Horizon Client に設定できる Exclude All Devices ポリシーを組み合わせて、クライアント コンピュータに効果的なポリシーを作成する方法を示しています。デフォルトでは、ブロックされていない限り、すべての USB デバイスがリダイレクトされるようになっています。
Horizon Agent での Exclude All Devices(すべてのデバイスを除外する)ポリシー | Horizon Client での Exclude All Devices (すべてのデバイスを除外する)ポリシー | 組み合わせた場合の効果的な Exclude All Devices(すべてのデバイスを除外する)ポリシー |
---|---|---|
false または未定義(すべての USB デバイスを含む) | false または未定義(すべての USB デバイスを含む) | すべての USB デバイスを含む |
false (すべての USB デバイスを含む) | true (すべての USB デバイスを除外する) | すべての USB デバイスを除外する |
true (すべての USB デバイスを除外する) | いずれか、または未定義 | すべての USB デバイスを除外する |
Disable Remote Configuration Download ポリシーを true に設定すると、Horizon Agent での Exclude All Devices の値が Horizon Client に渡されませんが、Horizon Agent と Horizon Client は Exclude All Devices のローカル値を適用します。
これらのポリシーは、Horizon Agent の構成 ADMX テンプレート ファイル (vdm_agent.admx) に含まれています。詳細については、Horizon でのリモート デスクトップ機能の構成の「Horizon Agent の構成 ADMX テンプレートの USB 設定」を参照してください。