一部の非常にセキュリティ要件が厳しい環境では、ユーザーがクライアント デバイスに接続した可能性のあるすべての USB デバイスがリモート デスクトップおよびアプリケーションにリダイレクトされるのを回避する必要があります。すべてのデスクトップ プール、特定のデスクトップ プール、またはデスクトップ プール内の特定のユーザーの USB リダイレクトを無効にすることができます。

状況に応じて、次に示す方法の中から任意のものを使用してください。

  • Horizon Agent をデスクトップ イメージまたは RDS ホストでインストールする場合、[USB リダイレクト] セットアップ オプションを選択解除してください。(このオプションはデフォルトで選択されていません)。この手法では、デスクトップ イメージまたは RDS ホストから展開されるすべてのリモート デスクトップおよびアプリケーションで、USB デバイスへのアクセスが回避されます。
  • Horizon Console で、特定のプールに対する [USB アクセス] ポリシーを編集して、アクセスを拒否または許可します。この手法では、デスクトップ イメージを変更する必要はなく、特定のデスクトップおよびアプリケーション プールで USB デバイスへのアクセスを制御できます。

    公開デスクトップおよびアプリケーション プールには、グローバル [USB アクセス] ポリシーのみを使用できます。個々の公開デスクトップまたはアプリケーション プールに対してこのポリシーを設定することはできません。

  • Horizon Console で、デスクトップまたはアプリケーション プール レベルでポリシーを設定した後、[ユーザー上書き] 設定を選択し、ユーザーを選択することで、プール内の特定のユーザーに対するポリシーを上書きできます。
  • Horizon Agent 側またはクライアント側で、必要に応じて Exclude All Devices ポリシーを true に設定する。
  • スマート ポリシーを使用して、[USB リダイレクト] Horizon ポリシー設定を無効にするポリシーを作成します。この手法により、特定の条件が満たされる場合に特定のリモート デスクトップでの USB リダイレクトを無効化できます。たとえば、ユーザーが企業のネットワーク以外からリモート デスクトップに接続している場合は USB リダイレクトを無効にするポリシーを設定できます。

Exclude All Devices ポリシーを true に設定すると、Horizon Client はどの USB デバイスもリダイレクトされないようにします。その他のポリシー設定を使用して、特定のデバイスまたはデバイス ファミリがリダイレクトされるように変更できます。このポリシーを false に設定すると、Horizon Client は、その他のポリシー設定でブロックされているものを除き、すべての USB デバイスがリダイレクトされるようにします。このポリシーは、Horizon AgentHorizon Client の両方に設定できます。次の表は、Horizon AgentHorizon Client に設定できる Exclude All Devices ポリシーを組み合わせて、クライアント コンピュータに効果的なポリシーを作成する方法を示しています。デフォルトでは、ブロックされていない限り、すべての USB デバイスがリダイレクトされるようになっています。

表 1. Exclude All Devices(すべてのデバイスを除外する)ポリシーの組み合わせた場合の効果
Horizon Agent での Exclude All Devices(すべてのデバイスを除外する)ポリシー Horizon Client での Exclude All Devices (すべてのデバイスを除外する)ポリシー 組み合わせた場合の効果的な Exclude All Devices(すべてのデバイスを除外する)ポリシー
false または未定義(すべての USB デバイスを含む) false または未定義(すべての USB デバイスを含む) すべての USB デバイスを含む
false (すべての USB デバイスを含む) true (すべての USB デバイスを除外する) すべての USB デバイスを除外する
true (すべての USB デバイスを除外する) いずれか、または未定義 すべての USB デバイスを除外する

Disable Remote Configuration Download ポリシーを true に設定すると、Horizon Agent での Exclude All Devices の値が Horizon Client に渡されませんが、Horizon Agent と Horizon ClientExclude All Devices のローカル値を適用します。

これらのポリシーは、Horizon Agent の構成 ADMX テンプレート ファイル (vdm_agent.admx) に含まれています。詳細については、Horizon でのリモート デスクトップ機能の構成の「Horizon Agent の構成 ADMX テンプレートの USB 設定」を参照してください。