クライアント セッションと接続のセキュリティに関連するグローバル設定には、Horizon Console の [設定] > [グローバル設定] > [セキュリティ設定] または [設定] > [グローバル設定] > [全般設定] でアクセス可能です。

表 1. セキュリティ関連のグローバル設定
設定 説明
[データ リカバリのパスワードを変更]

パスワードは、暗号化されたバックアップから Horizon LDAP 構成をリストアする場合に必要です。

VMware Horizon 8 環境の場合:
  • Connection Server 以降をインストールするときに、データ リカバリ パスワードを指定します。インストール後、このパスワードはコンソールで変更できます。
  • Connection Server をバックアップすると、Horizon LDAP 構成が暗号化された LDIF データとしてエクスポートされます。暗号化されたバックアップを vdmimport ユーティリティで復元するには、データ リカバリ パスワードを指定する必要があります。パスワードは 1 文字から 128 文字の間にする必要があります。安全なパスワードの生成に関する組織のベスト プラクティスに従ってください。
[メッセージ セキュリティ モード]

VMware Horizon 8 コンポーネント間で JMS メッセージが渡される場合に使用するセキュリティ メカニズムを決定します。

  • [無効化] に設定すると、メッセージ セキュリティ モードが無効になります。
  • [有効] に設定すると、レガシー メッセージへの署名と JMS メッセージの検証が行われます。VMware Horizon 8 コンポーネントは未署名のメッセージを拒否します。このモードは、TLS とプレーン JMS 接続の混在をサポートします。
  • [拡張済み] に設定されている場合、TLS は全 JMS 接続に使用され、すべてのメッセージを暗号化します。アクセス制御は、VMware Horizon 8 コンポーネントがメッセージを送信する、およびメッセージを受信する JMS トピックを制限するためにも有効化されます。
  • [混在] に設定すると、メッセージ セキュリティ モードは有効になりますが、VMware Horizon 8 コンポーネントでは強制されません。

新しくインストールする場合のデフォルトの設定は、[拡張済み] です。前のバージョンからアップグレードする場合は、前のバージョンで使用されていた設定が維持されます。

重要: VMware は、すべてのコネクション ブローカー インスタンスと VMware Horizon 8 デスクトップをこのリリースにアップグレード後、メッセージ セキュリティ モードを [拡張済み] に設定することを強く推奨します。 [拡張済み] 設定にすると、多くの重要なセキュリティ向上と MQ(メッセージ キュー)の更新が提供されます。
[拡張セキュリティのステータス](読み取り専用)

[メッセージ セキュリティ モード][有効] から [拡張済み] に変更された場合に表示される読み取り専用フィールド。変更は段階的に行われるため、このフィールドにはフェーズを通じた進捗が表示されます。

  • [MessageBus の再起動待機中] が最初のフェーズです。この状態は、手動でポッド内のすべての Connection Server インスタンスを再起動するか、ポッド内のすべての Connection Server ホストの VMware Horizon Message Bus Component サービスを再起動するまで、表示されます。
  • 次の段階は [拡張の保留] です。すべての Horizon Message Bus コンポーネント サービスが再起動されると、すべてのデスクトップに対して、システムはメッセージ セキュリティ モードを [拡張済み] に変更する処理を開始します。
  • 最後の段階は [拡張済み] であり、すべてのコンポーネントが [拡張済み] メッセージ セキュリティ モードを使用するようになったことを示します。
[ネットワークへの割り込み後に安全なトンネル接続を再認証する]

Horizon ClientVMware Horizon 8 デスクトップおよびアプリケーションへのセキュアなトンネル接続を使用する場合、ネットワークの中断後にユーザー認証情報を再認証する必要があるかどうかを決定します。

この設定により、セキュリティが強化されます。たとえば、ノート PC が盗まれて別のネットワークに移動された場合、ネットワーク接続が一時的に中断されたことにより、ユーザーは VMware Horizon 8 デスクトップおよびアプリケーションに自動的にアクセスできなくなります。

デフォルトでは、この設定は無効になっています。

[ユーザーの強制切断]

ユーザーが VMware Horizon 8 にログインしてから指定した時間(分)が経過すると、すべてのデスクトップとアプリケーションが切断されます。すべてのデスクトップとアプリケーションは、ユーザーがそれらをいつ開いたかにかかわらず同時に切断されます。

デフォルトは 600 分です。

[アプリケーションをサポートするクライアント。]

[ユーザーがキーボードとマウスを使用しなくなった場合に、アプリケーションを切断し、SSO 認証情報を破棄する]

クライアント デバイスで、キーボードやマウスが使用されなくなった場合にアプリケーション セッションを保護します。[経過時間...分] に設定した場合、指定された時間(分)ユーザーのアクティビティがないと、VMware Horizon 8 により、すべてのアプリケーションが切断され、SSO 認証情報は破棄されます。デスクトップ セッションは切断されます。ユーザーは、再度ログインして切断されたアプリケーションに再接続するか、新しいデスクトップまたはアプリケーションを起動する必要があります。

[なし] に設定すると、ユーザーのアクティビティがなくても、VMware Horizon 8 によるアプリケーションの切断や SSO 認証情報の破棄は行われません。

デフォルトは [なし] です。

[その他のクライアント。]

[SSO 認証情報の破棄]

一定の期間後に SSO 認証情報を破棄します。この設定は、アプリケーションのリモート処理をサポートしていないクライアント用です。[経過時間...分] に設定した場合、クライアント デバイスでのユーザー アクティビティにかかわらず、VMware Horizon 8 へログイン後指定時間(分)が経過したら、ユーザーはデスクトップへ再度ログインしてデスクトップに接続する必要があります。

デフォルトは、[15 分後] です。

[View Administrator セッション タイムアウト] セッションがタイムアウトする前にアイドル状態のコンソール セッションがどれだけ続くかを決定します。
重要: コンソール セッション タイムアウトを長く設定すると、コンソールが不正に使用されるリスクが増大します。アイドル状態のセッションを長時間許可する場合は用心してください。

デフォルトでは、コンソール セッション タイムアウトは 30 分です。セッション タイムアウトは 1 分から 4320 分の間で設定できます。

注: VMware Horizon 8 に対するすべての Horizon Client 接続とコンソール接続には、TLS が必要です。 VMware Horizon 8 の展開でロード バランサまたはその他のクライアントが接続する中間サーバが使用されている場合、TLS をそれらにオフロードしてから、それぞれのコネクション ブローカー インスタンスで非 TLS 接続を構成できます。『 Horizon 8 の管理』ドキュメントの「TLS 接続を中間サーバにオフロードする」を参照してください。