全般的なグローバル設定では、セッション タイムアウトの長さ、SSO の有効性とタイムアウト制限、Horizon Console でのステータス更新を設定します。また、ログイン前メッセージや警告メッセージを表示するかどうか、Horizon Console が Windows Server をリモート デスクトップ用にサポートされるオペレーティング システムとして扱うかどうかなども設定できます。
Horizon Console でグローバル設定を行うには、 の順に移動します。
以下の表の設定の変更はただちに有効になります。Connection Server または Horizon Client の再起動は不要です。
設定 | 説明 |
---|---|
Horizon Console アイドル セッション タイムアウト | Horizon Console がタイムアウトになる前に、アイドル状態の Horizon Console セッションが継続できる時間を決定します。タイムアウトの上限は、指定された API セッション タイムアウトによって定義されます。タイムアウトになるとセッションが終了し、管理者は再度ログインする必要があります。タイムアウト値の変更は、次のセッションで有効になります。
重要:
Horizon Console アイドル セッションのタイムアウトを長く設定すると、
Horizon Console が不正に使用されるリスクが増大します。アイドル状態のセッションを長時間許可する場合は用心してください。
セッションがタイムアウトする前に、60 秒間のカウントダウン付きで警告メッセージが表示されます。カウントダウンが終了する前にセッションをクリックすると、セッションが続行します。60 秒後にセッションがタイムアウトすると、再度ログインする必要があることを通知するエラー メッセージが表示されます。 Connection Server セッション タイムアウトの最小値を 2 分に設定し、最大値を 4,320 分(72 時間)に設定できます。 [Connection Server セッションのタイムアウト] の値を上書きして、アイドル状態の Horizon Console セッションがタイムアウトするまでの時間に独自の設定を行うには、Horizon Console ヘッダーの [設定] をクリックします。[自分の環境設定] ダイアログ ボックスで、[Connection Server セッション タイムアウトの上書き] に値を入力します。 Horizon ポッドをクラウド制御プレーンに接続するように求めるサブスクリプション バナーを非表示にするには、[Horizon ユニバーサル ライセンス情報バナーの表示] チェックボックスをオフにします。 |
Horizon Console セッションと API タイムアウト | セッションがタイムアウトする前に API セッションまたは Horizon Console セッションがどれだけ続くかを決定します。
重要: Horizon Console および API セッションのタイムアウトを長く設定すると、
Horizon Console が不正に使用されるリスクが増大します。アイドル状態のセッションを長時間許可する場合は用心してください。デフォルトでは、セッション タイムアウトは 10 分間です。セッション タイムアウトは 10 分から 4320 分(72 時間)の間で設定できます。タイムアウト値の変更は、次のセッションで有効になります。
|
ユーザーの強制切断 | ユーザーが VMware Horizon にログインしてから指定した時間(分)が経過すると、すべてのデスクトップとアプリケーションが切断されます。すべてのデスクトップとアプリケーションは、ユーザーがそれらをいつ開いたかにかかわらず同時に切断されます。 アプリケーションのリモート処理をサポートしないクライアントでは、この設定の値が [なし] または 1200 分よりも長い場合、最大タイムアウト値である 1200 分が適用されます。 デフォルトは、[600 分後] です。 |
強制切断メッセージ | ユーザーが強制的に切断される前に表示するメッセージを入力します。 デフォルトのメッセージは [セッションが期限切れになりました。ポータルに再接続して、セッションを再開してください] です。 |
強制切断の警告時間 | 強制切断の警告を表示する時間を設定します。たとえば、1 分前 に設定されている場合、ユーザーがログオフされる 1 分前から警告が表示されます。 |
強制切断の警告メッセージ | セッションがまもなく切断されていることを警告するためのメッセージを入力します。 デフォルトのメッセージは [仮想セッションがログオフされます。作業内容を保存してください] です。 |
シングル サインオン (SSO) | SSO が有効な場合、VMware Horizon にはユーザーの認証情報がキャッシュされるため、ユーザーは Windows リモート セッションにログインするための認証情報を指定せずにリモート デスクトップまたはアプリケーションを起動できます。デフォルトは [有効化] です VMware Horizon 以降で導入されている True SSO 機能を使用する場合は、SSO を有効にする必要があります。True SSO では、ユーザーが Active Directory 認証情報以外の認証形式を使用してログインする場合、ユーザーが Workspace ONE Access にログインした後に、キャッシュされた認証情報ではなく短期間の証明書が True SSO 機能によって生成されます。
注: デスクトップが
Horizon Client から起動し、セキュリティ ポリシーに基づきユーザーまたは Windows のいずれかによりロックされた場合、デスクトップで
VMware Horizon Agent 6.0 以降または
Horizon Agent 7.0 以降が実行されている場合は、Connection Server はユーザーの SSO 認証情報を破棄します。ユーザーはログイン認証情報を指定して新しいデスクトップまたは新しいアプリケーションを起動するか、または切断されたデスクトップまたはアプリケーションに再接続する必要があります。SSO を再度有効にするには、Connection Server から切断するか、または
Horizon Client を終了し、Connection Server に再接続する必要があります。ただし、デスクトップが
Workspace ONE または VMware Identity Manager から起動してロックされている場合、SSO 認証情報は破棄されません。
|
アプリケーションを切断し、アイドル状態のユーザーの SSO 認証情報を破棄する |
クライアント デバイスで、キーボードやマウスが使用されなくなった場合にセッションを保護します。[経過時間...分] に設定した場合、ユーザーのアクティビティがない状態で指定した時間(分)が経過すると、Horizon Client は、開いている Horizon アプリケーション セッションをすべて終了します。開いている Horizon デスクトップ セッションは影響を受けないため、開いたままになります。アイドル状態のセッション タイムアウトに達すると、アプリケーションの起動に再認証が必要になります。ユーザーは、再度ログインして切断されたアプリケーションに再接続するか、新しいデスクトップまたはアプリケーションを起動する必要があります。 この設定は True SSO 機能にも適用されます。SSO 認証情報が破棄されると、ユーザーは Active Directory 認証情報の入力を求められます。ユーザーが Active Directory 認証情報を使用せずに VMware Identity Manager にログイン済みで、入力すべき Active Directory 認証情報がわからない場合は、ログアウトしてから VMware Identity Manager にログインし直してリモート デスクトップとアプリケーションにアクセスできます。
重要: アプリケーションとデスクトップの両方が開いて、タイムアウトによりアプリケーションが切断されている場合でも、デスクトップは接続されたままになることを認識しておく必要があります。ユーザーはデスクトップの保護のためにこのタイムアウトに依存することがないようにしてください。
[なし] に設定すると、ユーザーのアクティビティがなくても、VMware Horizon によるアプリケーションの切断や SSO 認証情報の破棄は行われません。ファームまたはアプリケーション プールで [セッション タイムアウトを回避] を有効にしないでください。 デフォルトは [なし] です。 |
SSO 認証情報の破棄 |
この設定を使用して、ログイン後の一定の時間に SSO 認証情報を破棄するように構成します。SSO 認証情報が破棄された後、ユーザーは、新しいデスクトップまたはアプリケーション セッションに接続するために再認証を行う必要があります。既存のデスクトップおよびアプリケーション セッションとの接続は開いたままになります。 [経過時間...分] に設定した場合、クライアント デバイスでのユーザー アクティビティにかかわらず、VMware Horizon へログイン後に指定の時間(分)が経過すると、SSO 認証情報は破棄されます。デフォルトは、[15 分後] です。 [なし] に設定すると、ユーザーが Horizon Client を閉じるまで、または [ユーザーの強制切断] タイムアウトに達するまで、このどちらが先であっても、VMware Horizon は SSO 認証情報を保存します。
次のチェックボックスのいずれかまたは両方を選択します。
デフォルトでは、[SSO 認証情報の破棄] が [しない] に設定されている場合、両方のチェックボックスはオフになります。[SSO 認証情報の破棄] が [経過時間...分] に設定されている場合、両方のチェックボックスがオンになります。変更を保存するには、1 つまたは両方のチェックボックスを選択する必要があります。 |
Horizon Console のログイン前バナーの表示 | 管理者が Horizon Console にログインするときに、免責事項または別のメッセージが表示されます。
|
ステータス更新の自動更新を有効にする | ステータスの更新が、Horizon Console の左上隅にあるグローバル ステータス ペインに数分ごとに表示されるかどうかを指定します。また、Horizon Console のダッシュボード ページも数分ごとに更新されます。 デフォルトでは、この設定は有効になっていません。 |
強制的にログアウトする前に警告を表示する | スケジュール設定された更新や、デスクトップの更新操作などの即座の更新が開始されようとしているためにユーザーが強制的にログオフされる場合、警告メッセージを表示します。この設定では、警告を表示してからユーザーがログオフするまでの待機時間も指定します。 警告メッセージを表示するにはチェック ボックスをオンにします。 警告を表示してからユーザーがログオフするまでの待機時間を分単位で入力します。デフォルトは 5 分です。 警告メッセージを入力します。次のデフォルト メッセージを使用できます。 お使いのデスクトップは、重要なアップデートがスケジュールされているため、5 分後にシャットダウンされます。保存していない作業を今すぐ保存してください。 |
Windows Server デスクトップを有効にする | デスクトップとして使用できる Windows Server マシンを選択できるかどうかを指定します。この設定が有効な場合、Horizon Console では、VMware Horizon Server コンポーネントがインストールされているマシンを含む、使用可能なすべての Windows Server マシンが表示されます。
注:
Horizon Agent ソフトウェアは、Connection Server など、他の
VMware Horizon サーバ ソフトウェア コンポーネントと同じ仮想マシンまたは物理マシンにインストールできません。
|
HTML Access のタブを閉じるときに認証情報をクリーンアップする | リモート デスクトップやアプリケーションに接続するタブや、HTML Access クライアントのデスクトップとアプリケーションの選択ページに接続するタブをユーザーが閉じるときに、キャッシュからユーザーの認証情報を削除します。 この設定が有効である場合、VMware Horizon は、次の HTML Access クライアントのシナリオにおいても認証情報をキャッシュから削除します。
この設定を有効にすると、Workspace ONE から開始した場合の HTML Access の動作に影響します。詳細については、Workspace ONE ドキュメンテーションを参照してください。 この設定が無効である場合、証明書はキャッシュに残ります。デフォルトでは、この機能は無効になっています。 |
クライアントのユーザー インターフェイスでサーバ情報を非表示 | このセキュリティ設定を有効にして、Horizon Client でサーバの URL 情報を非表示にします。 |
クライアントのユーザー インターフェイスでドメイン リストを非表示 | このセキュリティ設定を有効にして、Horizon Client で [ドメイン] ドロップダウン メニューを非表示にします。 [クライアントのユーザー インターフェイスでドメイン リストを非表示] グローバル設定が有効になっている Connection Server にユーザーがログインすると、ドメイン ドロップダウン メニューが Horizon Client で非表示になり、ユーザーはドメイン情報を Horizon Client の [ユーザー名] テキスト ボックスに指定する必要があります。たとえば、ユーザー名を
重要:
[クライアントのユーザー インターフェイスでドメイン リストを非表示] 設定を有効にし、Connection Server インスタンスで 2 要素認証(RSA SecureID または RADIUS)を選択している場合は、Windows ユーザー名の一致を強制しないでください。Windows ユーザー名の一致を強制すると、ユーザーは、ユーザー名のテキスト ボックスにドメイン情報を入力できなくなり、ログインが常に失敗します。単一ユーザー ドメインの場合、これは
Horizon Client バージョン 5.0 以降に適用されません。
重要: この設定のセキュリティと操作性に対する影響については、『
Horizon セキュリティ』ドキュメントを参照してください。
|
ドメイン リストを送信 | このチェックボックスは、ユーザー認証の前に、Connection Server がドメイン名のリストをクライアントに送信できるようにする場合に選択します。
重要: この設定のセキュリティと操作性に対する影響については、『
Horizon セキュリティ』ドキュメントを参照してください。
|
2 要素認証の再認証を有効にする | セッションのタイムアウト後に行われる 2 要素認証を有効にするには、この設定を選択します。 |