より強固なセキュリティを実現するため、View Agent または Horizon Agent を実行する Windows ベースのマシンが TLS プロトコルによる通信で弱い暗号化方式を使用しないように、ドメイン ポリシーのグループ ポリシー オブジェクト (GPO) を構成できます。

注:

Active Directory と交換されるメッセージで機密性の問題が発生する可能性を回避するために、Active Directory との LDAP 接続で RPC シーリングを必須にすることをお勧めします。これらのメッセージをシーリングすると、ネゴシエートされたセッション キーを使用して各メッセージを暗号化し、機密性を維持できます。現在はオプションですが、Microsoft は 2023 年に RPC シーリングを必須にする予定です。詳細については、Microsoft KB5021130を参照してください。

手順

  1. Active Directory サーバで GPO を編集するには、[スタート] > [管理ツール] > [グループ ポリシーの管理 ] の順に選択して、GPO を右クリックし [編集] を選択します。
  2. グループ ポリシー管理エディタで、[コンピュータの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL 設定] に移動します。
  3. [SSL 暗号化スイートの順位] をダブルクリックします。
  4. [SSL 暗号化スイートの順位] ウィンドウで [有効] をクリックします。
  5. [オプション] ペインで、[SSL 暗号化スイート] テキスト ボックスの内容全体を次の暗号リストに置き換えます。
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    暗号化スイートは、読みやすいように複数の行に分割されています。このリストをテキスト ボックスに追加するときは、カンマの後にスペースを入れずに 1 行の暗号化スイートとして貼り付ける必要があります。
    重要: FIPS モードの場合、GCM 暗号化スイートのみが表示されます。
    注: 独自のセキュリティ ポリシーに合わせて、この暗号化スイートのリストを修正できます。
  6. グループ ポリシー管理エディタを閉じます。
  7. 新しいグループ ポリシーを有効にするには、Horizon Agent マシンを再起動します。