Windows マシンの場合、VMware View Agent 構成 ADMX テンプレート ファイル (view_agent_direct_connection.admx) には、Horizon Agent Direct-Connection プラグイン(旧称 View Agent Direct-Connection プラグイン)に関連する構成が含まれています。Linux マシンの場合は、これらの設定を /etc/vmware/vadc/viewagent-vadc.conf 構成ファイルに指定します。
(Windows) Horizon Agent Direct-Connection プラグイン構成の設定
Windows デスクトップの場合は、VMware のダウンロード サイトから VMware View Agent 構成 ADMX テンプレート ファイル (view_agent_direct_connection.admx) をダウンロードできます。「https://my.vmware.com/web/vmware/downloads」に移動します。[デスクトップおよびエンドユーザー コンピューティング] を探し、このカテゴリで VMware Horizon の [製品のダウンロード] を選択します。適切な Horizon バージョンを選択して、[ダウンロードする] をクリックします。ここから、VMware View Agent 構成 ADMX テンプレート ファイルを含む [Horizon GPO バンドル]をダウンロードします。
Horizon Agent Direct-Connection プラグイン構成の設定はグループ ポリシー管理エディタにあります。 の順に移動します。
| 設定 | 説明 |
|---|---|
| アプリケーションが有効 | この設定は、リモート デスクトップ セッション ホストでのアプリケーションの起動をサポートします。デフォルト値が有効になっています。 |
| クライアント構成の名前/値のペア | name=value の形式でクライアントに渡される値のリスト。例:clientCredentialCacheTimeout=1440。 |
| クライアント セッション タイムアウト | クライアントが接続していない場合にセッションがアクティブ状態を維持する最長時間(秒)。デフォルトは 36,000 秒 (10 時間) です。 |
| クライアント設定:AlwaysConnect | この値には、TRUE または FALSE を指定できます。常に接続設定は、Horizon Client に送信されます。このポリシーが TRUE に設定されている場合、保存されているすべての設定が上書きされます。デフォルトでは値は設定されていません。このポリシーを有効にすると、値が TRUE に設定されます。このポリシーを無効にすると、値が FALSE に設定されます。 |
| クライアント設定: AutoConnect | この設定は、保存されている Horizon Client の設定を上書きします。デフォルトでは値は設定されていません。このポリシーを有効にすると、値が true に設定されます。無効にすると、値が false に設定されます。 |
| クライアント設定: ScreenSize | Horizon Client に送信される設定。構成した場合、保存されたクライアント設定が上書きされます。構成しない場合、クライアントの設定が使用されます。 |
| マルチメディア リダイレクト (MMR) が有効 | クライアント システムで MMR を有効にするかどうかを指定します。MMR は Microsoft DirectShow のフィルタであり、マルチメディア データをリモート デスクトップ上の特定のコーデックから TCP ソケット経由で直接クライアント システムに転送します。その後、データはクライアント システム上で直接デコードされ、そこで再生されます。デフォルト値は FALSE です。これは、MMR が無効になっていることを意味します。 クライアント システムのビデオ再生ハードウェアでオーバーレイがサポートされていない場合は、MMR が正しく機能しません。クライアント システムに十分なリソースがなく、ローカル マルチメディア デコーディングが処理できない場合があります。 |
| リセットが有効 | この値には、TRUE または FALSE を指定できます。TRUE に設定された場合、認証された Horizon Client クライアントは、オペレーティング システム レベルで再起動を実行できます。デフォルトの設定が有効になっていません (FALSE)。 |
| セッション タイムアウト | ユーザーが Horizon Client にログインした後にセッションを開いておくことができる時間を指定します。時間は分単位で設定します。デフォルトは 600 分です。タイムアウトになると、すべてのユーザーのデスクトップとアプリケーションのセッションが切断されます。 |
| USB 自動接続 | この値には、TRUE または FALSE を指定できます。プラグインされている場合は、USB デバイスをデスクトップに接続します。このポリシーが設定されている場合、保存されたクライアント設定が上書きされます。デフォルトでは値は設定されていません。 |
| USB が有効 | この値には、TRUE または FALSE を指定できます。デスクトップがクライアント システムに接続されている USB デバイスを使用できるかどうかを指定します。デフォルト値は有効です。セキュリティ上の理由のため、外部デバイスを使用できないようにするには、設定を無効 (FALSE) に変更します。 |
| ユーザー アイドル タイムアウト | Horizon Client でユーザー アクティビティがこの期間ない場合、ユーザーのデスクトップとアプリケーションのセッションが切断されます。値は秒単位で設定します。デフォルトは 900 秒(15 分)です。 |
(Windows) Horizon Agent Direct-Connection プラグインの認証設定
Windows デスクトップの場合、認証の設定を確認するには、グループ ポリシー管理エディタで の順に移動します。このフォルダ内には、「現在のユーザーとしてログイン」の設定があります。
| 設定 | 説明 |
|---|---|
| レガシー クライアントを許可 | この設定を無効にすると、5.5 より古いバージョンの Horizon Client は、現在のユーザーとしてログイン機能で認証されません。この設定が構成されていない場合は、以前のクライアントがサポートされます。 |
| NTLM フォールバックを許可 | 有効にすると、ドメイン コントローラにアクセスできない場合に、Horizon Client は Kerberos ではなく NTLM 認証を使用します。この設定が構成されていない場合、NTLM フォールバックは許可されません。 |
| チャネル バインディングを必須にする | 有効にすると、チャネル バインディングにより、追加のセキュリティ レイヤーが提供され、NTLM 認証が保護されます。5.5 より前のバージョンの Horizon Client は、チャネル バインディングをサポートしていません。 |
| クライアント認証情報のキャッシュ タイムアウト | Horizon Client でユーザーが保存されたパスワードを使用できる期間(分単位)。0 は使用できない、-1 は永久に使用できることを意味します。Horizon Client により、ユーザーはこの設定が有効な値に設定された場合、パスワードを保存することができます。デフォルトは 0 分です。 |
| 免責条項が有効 | この値には、TRUE または FALSE を指定できます。TRUE に設定された場合、ログイン時のユーザー承諾の免責条項テキストが表示されます。
.テキストは、「免責条項テキスト」から表示されるか(このテキストが作成されている場合)、次の GPO から表示されます:Configuration\Windows Settings\Security Settings\Local Policies\Security Options: Interactive logon。disclaimerEnabled のデフォルト設定は FALSE です。 |
| 免責条項テキスト | Horizon View Client のユーザーがログインする際に表示される免責条項テキストです。免責事項有効ポリシーは TRUE に設定する必要があります。このテキストが指定されていない場合、デフォルトでは Windows ポリシー Configuration\Windows Settings\Security Settings\Local Policies\Security Options にある値が使用されます。 |
| X509 証明書認証 | スマート カード X.509 証明書認証を無効、許可または必須に指定します。 |
| X509 SSL 証明書認証が有効 | Horizon Client からの SSL 直接接続でスマート カード X.509 証明書認証を有効にするかどうかを指定します。X.509 証明書認証が中間の SSL 終端点経由で処理される場合、このオプションは必要ありません。この設定を変更するには、Horizon Agent を再起動する必要があります。 |
(Windows) Horizon Agent Direct-Connection プラグインのプロトコルとネットワークの設定
Windows デスクトップの場合、プロトコルとネットワークの設定を確認するには、グループ ポリシー管理エディタで の順に移動します。
| 設定 | 説明 |
|---|---|
| デフォルトのプロトコル | Horizon Client がデスクトップとの接続に使用するデフォルトの表示プロトコルです。値が設定されていない場合、デフォルト値は BLAST です。 |
| 外部 Blast ポート | HTML5/Blast プロトコルに使用されるターゲット TCP のポート番号で、Horizon Client に送信されるポート番号です。番号の前の A + 文字は、HTTPS で使用されたポート番号からの関連番号を示します。外部に公開されているポート番号がサービスがリスンしているポートと一致しない場合にのみこの値を設定します。通常、これは NAT 環境内のポート番号です。デフォルトでは値は設定されていません。 |
| 外部フレームワーク チャネル ポート | フレームワーク チャネル プロトコルに使用されるターゲット TCP のポート番号で、Horizon Client に送信されるポート番号です。番号の前の A + 文字は、HTTPS で使用されたポート番号からの関連番号を示します。外部に公開されているポート番号がサービスがリスンしているポートと一致しない場合にのみこの値を設定します。通常、これは NAT 環境内のポート番号です。デフォルトでは値は設定されていません。 |
| IP アドレス | セカンダリ プロトコルに使用されるターゲット IP アドレスで、Horizon Client に送信される IPV4 アドレスです。外部に公開されているアドレスがデスクトップ マシンのアドレスと一致しない場合にのみ、この値を設定します。通常、これは NAT 環境内のアドレスです。デフォルトでは値は設定されていません。 |
| 外部 PCoIP ポート | PCoIP プロトコルに使用されるターゲット TCP/UDP のポート番号で、Horizon Client に送信されるポート番号です。番号の前の A + 文字は、HTTPS で使用されたポート番号からの関連番号を示します。外部に公開されているポート番号がサービスがリスンしているポートと一致しない場合にのみこの値を設定します。通常、これは NAT 環境内のポート番号です。デフォルトでは値は設定されていません。 |
| 外部 RDP ポート | RDP プロトコルに使用されるターゲット TCP のポート番号で、Horizon Client に送信されるポート番号です。番号の前の A + 文字は、HTTPS で使用されたポート番号からの関連番号を示します。外部に公開されているポート番号がサービスがリスンしているポートと一致しない場合にのみこの値を設定します。通常、これは NAT 環境内のポート番号です。デフォルトでは値は設定されていません。 |
| HTTPS ポート番号 | プラグインが、Horizon Client からの受信 HTTPS リクエストをリスンする TCP ポートです。この値が変更された場合、Windows のファイアウォールに対応する変更を行い、トラフィックを受信することを許可します。デフォルトは 443 です。 |
外部ポート番号および外部 IP アドレスの値は、Network Address Translation (NAT) およびポートマッピング サポートに使用されます。詳細については、「Windows - ネットワーク アドレス変換とポート マッピングの使用」を参照してください。
スマート カード認証を使用する場合、スマート カード証明書に署名する認証局 (CA) が Windows 証明書ストアに存在する必要があります。認証局の追加方法の詳細については、「
Windows - スマート カード認証の設定」を参照してください。
注: ユーザーがスマート カードを使用して Windows 7 または Windows Server 2008 R2 マシンにログインしようとするときに、スマート カード証明書が中間 CA によって署名されている場合、Windows は中間 CA の名前を含まない信頼された発行者リストをクライアントに送信する可能性があるため、そのログインは失敗することがあります。この状況が発生すると、クライアントは適切なスマート カード証明書を選択できなくなります。この問題を回避するために、レジストリ キー
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL でレジストリの値
SendTrustedIssuerList(REG_DWORD)を 0 に設定します。このレジストリ値が 0 に設定されていると、Windows は信頼された発行者リストをクライアントに送信しなくなるため、スマート カードから有効なすべての証明書を選択できるようになります。
(Linux) Horizon Agent Direct-Connection プラグイン構成の設定
Linux デスクトップの場合、Horizon Agent Direct-Connection プラグイン構成の設定は /etc/vmware/vadc/viewagent-vadc.conf 構成ファイルにあります。
| 設定 | 説明 |
|---|---|
| AgentDisconnectTimeout | クライアント セッションが切断された後、Horizon Agent がデスクトップからのログアウトを待機する期間(分)。自動ログアウトを無効にして、クライアントがデスクトップにログインしている状態を無制限に維持するには、値を 0 に設定します。クライアントがセッションを切断したときにすぐにデスクトップからログアウトする場合は、値を -1 に設定します。デフォルト値は 0 です。 |
| AgentEmptySessionLogoff | AgentEmptySessionTimeout ポリシーで指定した期間が経過した後に、アプリケーション セッションからログアウトするのか、切断するのかを指定します。ログアウト アクションを指定するには、値を TRUE に設定します。切断アクションを指定するには、値を FALSE に設定します。この設定を構成しない場合、デフォルト値は FALSE になります。 |
| AgentEmptySessionTimeout | クライアント ユーザーがすべてのアプリケーション ウィンドウを閉じた後、Horizon Agent がアプリケーション セッションの切断またはログアウトを待機する時間(分)。クライアントがアプリケーション セッションに接続またはログインしている状態を無制限に維持するには、値を 0 に設定します。すべてのアプリケーション ウィンドウを閉じたときにすぐにアプリケーション セッションから切断またはログアウトするには、値を -1 に設定します。デフォルト値は 1 分です。 このタイムアウト ポリシーは、AgentEmptySessionLogoff ポリシーで指定されたアクション(セッションからの切断またはログアウト)で使用されます。 |
| AgentPreLaunchSessionTimeout | クライアント ユーザーがアプリケーションを起動しない場合に、Horizon Agent がアプリケーション セッションをアクティブな状態に保つ最大時間(分)。アプリケーション セッションがアクティブな状態を無制限に維持するには、値を 0 に設定します。デフォルト値は 10 分です。 |
| ClientAlwaysConnect | 値を TRUE に設定してポリシーを有効にするか、FALSE に設定してポリシーを無効にすることができます。この設定は Horizon Client に送信されます。このポリシーが TRUE に設定されている場合、保存されているすべての設定が上書きされます。デフォルトでは値は設定されていません。 |
| ClientAutoConnect | この設定は、保存されている Horizon Client の設定を上書きします。値を TRUE に設定してポリシーを有効にするか、FALSE に設定してポリシーを無効にすることができます。デフォルトでは値は設定されていません。 |
| ClientCredentialCacheTimeout | Horizon Client でユーザーが保存されたパスワードを使用できる期間(分単位)。0 は使用できない、-1 は永久に使用できることを意味します。Horizon Client により、ユーザーはこの設定が有効な値に設定された場合、パスワードを保存することができます。この設定を構成しない場合、デフォルト値は 0 (使用できない)になります。 |
| ClientScreenSize | Horizon Client に送信される設定。構成した場合、保存されたクライアント設定が上書きされます。構成しない場合、クライアントの設定が使用されます。 |
| ClientSessionTimeout | 最後に報告されたユーザー アクティビティの後、セッションがアイドル状態で切断状態と見なされるまで Horizon Client が許可する期間(秒)。最小値は 300 秒(5 分)です。デフォルトは 36,000 秒 (10 時間) です。 |
| CSRFProtectionEnabled | Web サービス要求を含む X-CSRF-TOKEN を送信して CSRF 保護を有効にするかどうかを指定します。TRUE に設定すると、保護が有効になります。FALSE に設定すると、保護は無効になります。デフォルトは、TRUE です。 |
| DesktopName | リモート デスクトップの名前です。この設定が構成されていない場合、デスクトップはホスト マシンの名前を使用します。 |
| DisclaimerFile | ログイン時に Horizon Client ユーザーに表示される免責事項のテキストを含むファイルのパス。デフォルトでは値は設定されていません。 |
| DomainName | クライアント ユーザーの FQDN ドメイン名を設定します。マシンをドメインに参加させる場合、ドメイン名は自動的に取得されるため、この設定は不要です。 Linux マシンをドメインに参加させずに LDAP 認証サービスを使用する場合は、ドメイン名を取得するようにこの設定を構成します。プレースホルダ値 |
| EntitleGroups | メンバーに直接接続のデスクトップまたはアプリケーションへのアクセスが許可されているユーザー グループまたはグループのリスト。デフォルトでは、この設定は 追加の資格グループを構成するには、グループ名を設定リストに追加します。エントリの区切りにはコロンを使用します。 |
| ExternalBlastPort | ポート マッピング デバイス経由で Blast 接続に使用される宛先の TCP ポート番号として Horizon Client に送信されるポート番号。番号の前の A + 文字は、NAT HTTPS で使用されたポート番号からの関連番号を示します。外部に公開されているポート番号がサービスがリスンしているポートと一致しない場合にのみこの値を設定します。通常、これは NAT 環境で使用されるポート番号です。デフォルトでは値は設定されていません。 |
| ExternalIPAddress | ポート マッピング デバイス経由で Blast 接続に使用される宛先の IP アドレスとして Horizon Client に送信される IPv4 アドレス。外部に公開されているアドレスがデスクトップ マシンのアドレスと一致しない場合にのみ、この値を設定します。通常、これは NAT 環境で使用されるアドレスです。デフォルトでは値は設定されていません。 |
| HTTPSPortNumber | プラグインが、Horizon Client からの受信 HTTPS リクエストをリスンする TCP ポートです。デフォルトは 8443 です。 |
| MaxSessions | Horizon Agent がサポートする公開デスクトップまたは公開アプリケーション セッションの最大数。このポリシーは、Linux マシンが複数セッション ホストとして構成されている場合にのみ有効になります。デフォルト値は 50 です。 |
| ResetEnabled | この値には、TRUE または FALSE を指定できます。TRUE に設定された場合、認証された Horizon Client クライアントは、オペレーティング システム レベルで再起動を実行できます。この設定を行わない場合、デフォルト値は FALSE になり、再起動機能が無効になります。 |
| SessionTimeout | ユーザーが Horizon Client にログインした後にセッションを開いておくことができる時間を指定します。時間は分単位で設定します。値 -1 は無制限を意味します。デフォルトは 600 分(10 時間)です。タイムアウトになると、すべてのユーザーのデスクトップとアプリケーションのセッションが切断されます。 |
| USBAutoConnect | この値には、TRUE または FALSE を指定できます。TRUE に設定すると、Horizon Client は自動的に USB デバイスをデスクトップに接続します。このポリシーが設定されている場合、保存されているすべての設定が上書きされます。デフォルトでは値は設定されていません。 |
| UserIdleTimeout | Horizon Client でユーザー アクティビティがこの期間にない場合、ユーザーのデスクトップとアプリケーションのセッションが切断されます。値は秒単位で設定します。値 -1 は、セッションが切断されないことを意味します。デフォルトは 900 秒(15 分)です。 |
| X509CertAuth | スマート カード X.509 証明書認証のサポート レベル。値は、0(無効)、1(許可)、または 2(必須)に設定できます。デフォルト値は 0 です。 |
