Horizon Agent の ADM および ADMX テンプレート ファイル(vdm_agent.admvdm_agent.admx)には、Horizon Agent のセキュリティ関連の設定が含まれています。特に記述のない限り、これらのファイルにはコンピュータの構成の設定のみが含まれます。

セキュリティ設定は、HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration にあるゲスト マシンのレジストリに保存されます。

表 1. Horizon Agent セキュリティ関連の設定
設定 説明
AllowDirectRDP

Horizon Clientデバイス以外のクライアントが RDP を使用してリモート デスクトップに直接接続できるかどうかを指定します。この設定が無効になっていると、エージェントでは、Horizon Client経由での Horizon によって管理される接続のみが許可されます。

Horizon Clientfor Mac からリモート デスクトップに接続する場合は、AllowDirectRDP の設定を無効にしないでください。この設定を無効にすると、Access is denied(アクセスが拒否されました) エラーが発生して接続に失敗します。

デフォルトの設定の場合、ユーザーは、リモート デスクトップ セッションにログイン中に RDP を使用して仮想マシンに接続できます。RDP 接続によってリモート デスクトップ セッションが終了し、ユーザーの保存されていないデータや設定は失われます。ユーザーは、外部の RDP 接続が閉じられるまで、デスクトップにログインできません。この状況を回避するには、AllowDirectRDP 設定を無効にします。

重要: Windows リモート デスクトップ サービスが各デスクトップのゲスト OS で実行されている必要があります。この設定を使用して、ユーザーが自分のデスクトップに直接 RDP 接続を作成することを不可にできます。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は AllowDirectRDP です。

AllowSingleSignon

シングル サインオン (SSO) を使用して、ユーザーをデスクトップおよびアプリケーションに接続するかどうかを決定します。この設定が有効になっていると、ユーザーはサーバにログインするときに、自分の認証情報を 1 回入力するだけで済みます。この設定を無効にすると、ユーザーはリモート接続の確立時に再認証する必要があります。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は AllowSingleSignon です。

CommandsToRunOnConnect

セッションに初めて接続するときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。

デフォルトではリストは指定されていません。

これに相当する Windows レジストリの値は CommandsToRunOnConnect です。

CommandsToRunOnDisconnect

セッションが切断されたときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。

デフォルトではリストは指定されていません。

これに相当する Windows レジストリの値は CommandsToRunOnReconnect です。

CommandsToRunOnReconnect

セッションが切断された後、再接続されるときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。

デフォルトではリストは指定されていません。

これに相当する Windows レジストリの値は CommandsToRunOnDisconnect です。

ConnectionTicketTimeout

Horizon 接続チケットが有効な時間(秒)を指定します。

Horizon Clientデバイスは、エージェントに接続するときに、検証とシングル サインオンのために接続チケットを使用します。セキュリティ上の理由から、接続チケットは限られた期間のみ有効です。ユーザーがリモート デスクトップに接続するときは、接続チケットのタイムアウト期間内に認証を行う必要があります。そうでないとセッションがタイムアウトになります。この設定が構成されていない場合、デフォルトのタイムアウト期間は 900 秒になります。

これに相当する Windows レジストリの値は VdmConnectionTicketTimeout です。

CredentialFilterExceptions

エージェントの CredentialFilter のロードを許可されていない実行可能ファイルを指定します。ファイル名にパスまたはサフィックスを含めることはできません。複数のファイル名を区切るにはセミコロンを使用します。

デフォルトではリストは指定されていません。

これに相当する Windows レジストリの値は CredentialFilterExceptions です。

これらの設定およびセキュリティに与える影響の詳細については、『Horizon リモート デスクトップの機能と GPO』ドキュメントを参照してください。