Horizon Client for Windows で、ユーザーが [オプション] メニューの [現在のユーザーとしてログイン] チェックボックスを選択すると、クライアント システムへのログイン時に入力した認証情報がコネクション ブローカー インスタンスとリモート デスクトップの Kerberos 認証で使用されます。追加のユーザー認証は必要ありません。

クライアント システムで証明書信頼を使用する Windows Hello for Business に登録している場合は、Horizon Agent システムへのシングル サインオンに、Windows Hello for Business 発行のユーザー ログイン証明書が使用されます。詳細については、『Horizon の管理』ドキュメントの「Windows Hello for Business での認証」を参照してください。

この機能をサポートするため、ユーザー認証情報はコネクション ブローカー インスタンスとクライアント システムの両方に格納されます。

  • コネクション ブローカー インスタンスで、ユーザー認証情報は、ユーザー名、ドメイン、オプションの UPN とともにユーザー セッションに暗号化されて保存されます。認証情報は、認証が行われると追加され、セッション オブジェクトが破棄されると削除されます。セッション オブジェクトは、ユーザーがログアウトするか、セッションがタイムアウトになるか、認証が失敗した場合に破棄されます。セッション オブジェクトは揮発性メモリに保存され、Horizon LDAP またはディスク ファイルには保存されません。
  • Horizon Client[オプション] メニューで [現在のユーザーとしてログイン] を選択したときに渡されるユーザー ID と認証情報がコネクション ブローカー インスタンスで受け入れられるように、コネクション ブローカー インスタンスで [現在のユーザーとしてのログインを受け入れる] 設定を有効にします。
    重要: この設定を有効にする前に、セキュリティ リスクを理解しておく必要があります。『 Horizon セキュリティ』ドキュメントの「ユーザー認証のセキュリティ関連のサーバ設定」を参照してください。
  • クライアント システムで、ユーザー認証情報は暗号化され、Horizon Client のコンポーネントである Authentication Package のテーブルに保存されます。認証情報は、ユーザーのログイン時にテーブルに追加され、ユーザーのログアウト時にテーブルから削除されます。テーブルは揮発性メモリに存在します。
    [現在のユーザーとしてのログインを受け入れる] を選択すると、次のユーザー設定を有効にできます。
    • レガシー クライアントを許可:古いクライアントをサポートします。Horizon Client バージョン 2006 および 5.4 以前のバージョンは、古いクライアントとみなされます。
    • NTLM フォールバックを許可:ドメイン コントローラにアクセスできない場合、Kerberos ではなく NTLM 認証を使用します。NTLM グループ ポリシー設定は、Horizon Client 構成で有効にする必要があります。
    • チャネル バインディングを無効にする:NTLM 認証を保護する追加のセキュリティ レイヤー。デフォルトでは、クライアントでチャネル バインディングが有効になっています。
      注: チャネル バインディングが有効になっている場合は、LMCompatibilityLevel スイッチを使用して NTLMv2 がオンになっていることと、ユーザー環境でセキュリティ レベルが 3 以上であることを確認します。詳細については、 こちらの Microsoft ドキュメントを参照してください。
    • True SSO 統合:デスクトップへの SSO で True SSO を許可する場合は、この設定をコネクション ブローカーで有効にします。たとえば、ネスト モードの場合、ネストされたクライアントにログインする際に True SSO が使用され、その後、セカンダリ デスクトップのログインが実行されます。ネスト モードの詳細については、『Horizon Client for Windows ガイド』を参照してください。
      • 無効:クライアントがログイン認証情報を受信しなかった場合、ユーザーはログイン情報を入力する必要があります。
      • オプション:クライアント認証情報が使用されます(使用可能な場合)。それ以外の場合は True SSO が使用されます。True SSO と現在のユーザーとしてログインの両方が有効になっている場合は、この設定を推奨します。
      • 有効:True SSO を使用してデスクトップにログインします。

管理者は、Horizon Client のグループ ポリシー設定を使用して、[オプション] メニューの [現在のユーザーとしてログイン] を使用可能にするかどうかを制御し、そのデフォルト値を設定することができます。さらに、管理者はグループ ポリシーを使用して、ユーザーが Horizon Client[現在のユーザーとしてログイン] をオンにした場合に渡されるユーザー ID と認証情報を受け入れるコネクション ブローカー インスタンスを指定することもできます。

現在のユーザーとしてログイン機能を使用してコネクション ブローカーにログインすると、再帰的なロック解除機能が有効になります。再帰的なロック解除機能を使用すると、クライアント マシンのロックが解除された後で、すべてのリモート セッションのロックを解除できます。管理者は、 Horizon Client[クライアント マシンのロックを解除するときにリモート セッションのロックを解除します] グローバル ポリシー設定で再帰的なロック解除機能を制御できます。 Horizon Client のグローバル ポリシー設定の詳細については、 VMware Horizon Client ドキュメント Web ページにある Horizon Client ドキュメントを参照してください。
注: Horizon Client がドメイン コントローラにアクセスできないときに、現在のユーザーとしてログイン機能で NTLM 認証を使用すると、再帰的なロック解除機能の動作が遅くなることがあります。この問題を回避するには、グループポリシー管理エディタで [VMware Horizon Client の構成] > [セキュリティ設定] > [NTLM 設定] フォルダで、 [サーバに NTLM を常に使用] グループ ポリシー設定を有効にします。

「現在のユーザーとしてログイン」機能には次の制限と要件があります。

  • コネクション ブローカー インスタンスでスマート カード認証が [必須] に設定されている場合、コネクション ブローカー インスタンスに接続する際に [現在のユーザーとしてログイン] を選択したユーザーの認証が失敗します。これらのユーザーは、コネクション ブローカーにログインする際にスマート カードと PIN を使用して再認証する必要があります。
  • クライアントがログインするシステムの時間と、コネクション ブローカー ホストの時間が同期している必要があります。
  • クライアント システムで、デフォルトの [ネットワーク経由でコンピュータへアクセス] ユーザー権限割り当てを変更する場合は、VMware ナレッジベース(KB)の記事 1025691 の説明に従って変更する必要があります。