Horizon Client for Windows で、ユーザーが [オプション] メニューの [現在のユーザーとしてログイン] チェックボックスを選択すると、クライアント システムへのログイン時に入力した認証情報がコネクション ブローカー インスタンスとリモート デスクトップの Kerberos 認証で使用されます。追加のユーザー認証は必要ありません。
クライアント システムで証明書信頼を使用する Windows Hello for Business に登録している場合は、Horizon Agent システムへのシングル サインオンに、Windows Hello for Business 発行のユーザー ログイン証明書が使用されます。詳細については、『Horizon 8 の管理』ドキュメントの「Windows Hello for Business での認証」を参照してください。
この機能をサポートするため、ユーザー認証情報はコネクション ブローカー インスタンスとクライアント システムの両方に格納されます。
- コネクション ブローカー インスタンスで、ユーザー認証情報は、ユーザー名、ドメイン、オプションの UPN とともにユーザー セッションに暗号化されて保存されます。認証情報は、認証が行われると追加され、セッション オブジェクトが破棄されると削除されます。セッション オブジェクトは、ユーザーがログアウトするか、セッションがタイムアウトになるか、認証が失敗した場合に破棄されます。セッション オブジェクトは揮発性メモリに保存され、Horizon LDAP またはディスク ファイルには保存されません。
- Horizon Client の [オプション] メニューで [現在のユーザーとしてログイン] を選択したときに渡されるユーザー ID と認証情報がコネクション ブローカー インスタンスで受け入れられるように、コネクション ブローカー インスタンスで [現在のユーザーとしてのログインを受け入れる] 設定を有効にします。
重要: この設定を有効にする前に、セキュリティ リスクを理解しておく必要があります。『 Horizon セキュリティ』ドキュメントの「ユーザー認証のセキュリティ関連のサーバ設定」を参照してください。
- クライアント システムで、ユーザー認証情報は暗号化され、Horizon Client のコンポーネントである Authentication Package のテーブルに保存されます。認証情報は、ユーザーのログイン時にテーブルに追加され、ユーザーのログアウト時にテーブルから削除されます。テーブルは揮発性メモリに存在します。
[現在のユーザーとしてのログインを受け入れる] を選択すると、次のユーザー設定を有効にできます。
- レガシー クライアントを許可:古いクライアントをサポートします。Horizon Client バージョン 2006 および 5.4 以前のバージョンは、古いクライアントとみなされます。
- NTLM フォールバックを許可:ドメイン コントローラにアクセスできない場合、Kerberos ではなく NTLM 認証を使用します。NTLM グループ ポリシー設定は、Horizon Client 構成で有効にする必要があります。
- チャネル バインディングを無効にする:NTLM 認証を保護する追加のセキュリティ レイヤー。デフォルトでは、クライアントでチャネル バインディングが有効になっています。
注: チャネル バインディングが有効になっている場合は、LMCompatibilityLevel スイッチを使用して NTLMv2 がオンになっていることと、ユーザー環境でセキュリティ レベルが 3 以上であることを確認します。詳細については、 こちらの Microsoft ドキュメントを参照してください。
- True SSO 統合:デスクトップへの SSO で True SSO を許可する場合は、この設定をコネクション ブローカーで有効にします。たとえば、ネスト モードの場合、ネストされたクライアントにログインする際に True SSO が使用され、その後、セカンダリ デスクトップのログインが実行されます。ネスト モードの詳細については、『Horizon Client for Windows ガイド』を参照してください。
- 無効:クライアントがログイン認証情報を受信しなかった場合、ユーザーはログイン情報を入力する必要があります。
- オプション:クライアント認証情報が使用されます(使用可能な場合)。それ以外の場合は True SSO が使用されます。True SSO と現在のユーザーとしてログインの両方が有効になっている場合は、この設定を推奨します。
- 有効:True SSO を使用してデスクトップにログインします。
管理者は、Horizon Client のグループ ポリシー設定を使用して、[オプション] メニューの [現在のユーザーとしてログイン] を使用可能にするかどうかを制御し、そのデフォルト値を設定することができます。さらに、管理者はグループ ポリシーを使用して、ユーザーが Horizon Client の [現在のユーザーとしてログイン] をオンにした場合に渡されるユーザー ID と認証情報を受け入れるコネクション ブローカー インスタンスを指定することもできます。
現在のユーザーとしてログイン機能を使用してコネクション ブローカーにログインすると、再帰的なロック解除機能が有効になります。再帰的なロック解除機能を使用すると、クライアント マシンのロックが解除された後で、すべてのリモート セッションのロックを解除できます。管理者は、
Horizon Client の
[クライアント マシンのロックを解除するときにリモート セッションのロックを解除します] グローバル ポリシー設定で再帰的なロック解除機能を制御できます。
Horizon Client のグローバル ポリシー設定の詳細については、
VMware Horizon Client ドキュメント Web ページにある
Horizon Client ドキュメントを参照してください。
注:
Horizon Client がドメイン コントローラにアクセスできないときに、現在のユーザーとしてログイン機能で NTLM 認証を使用すると、再帰的なロック解除機能の動作が遅くなることがあります。この問題を回避するには、グループポリシー管理エディタで
フォルダで、
[サーバに NTLM を常に使用] グループ ポリシー設定を有効にします。
「現在のユーザーとしてログイン」機能には次の制限と要件があります。
- コネクション ブローカー インスタンスでスマート カード認証が [必須] に設定されている場合、コネクション ブローカー インスタンスに接続する際に [現在のユーザーとしてログイン] を選択したユーザーの認証が失敗します。これらのユーザーは、コネクション ブローカーにログインする際にスマート カードと PIN を使用して再認証する必要があります。
- クライアントがログインするシステムの時間と、コネクション ブローカー ホストの時間が同期している必要があります。
- クライアント システムで、デフォルトの [ネットワーク経由でコンピュータへアクセス] ユーザー権限割り当てを変更する場合は、VMware ナレッジベース(KB)の記事 1025691 の説明に従って変更する必要があります。