VMware View Agent 構成 ADMX テンプレート ファイル (vdm_agent.admx) には、Horizon Agent の認証および環境コンポーネントに関するポリシー設定が含まれています。
ADMX ファイルは、VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip に含まれています。このファイルは、VMware ダウンロード サイトからダウンロードできます。https://my.vmware.com/web/vmware/downloadsをご覧ください。[デスクトップおよびエンドユーザー コンピューティング] を探し、このカテゴリで VMware Horizon の [製品のダウンロード] を選択します。適切な Horizon バージョンを選択して、[ダウンロードする] をクリックします。ここから、VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip ファイルを含む Horizon GPO バンドルを見つけることができます。
ゴールド イメージ マシンに Horizon GPO バンドルをインストールする必要があります。
次の表に、VMware View Agent の構成 ADMX テンプレート ファイルのポリシー設定を示します。テンプレートには、コンピュータの構成とユーザーの構成の両方の設定が含まれています。ユーザーの設定は、対応するコンピュータの設定より優先されます。
この設定は、
フォルダ内にあります。エージェントの構成
エージェントの設定は、グループ ポリシー管理エディタの
フォルダにあります。Microsoft チャートと Smart Art をフィルタリング 設定 |
コンピュータ | ユーザー | プロパティ |
---|---|---|---|
AllowDirectRDP | X | Horizon Clientデバイス以外のクライアントが RDP を使用してリモート デスクトップに直接接続できるかどうかを指定します。この設定が無効になっていると、エージェントでは、Horizon Client経由での Horizon によって管理される接続のみが許可されます。 Horizon Clientfor Mac からリモート デスクトップに接続する場合は、AllowDirectRDP の設定を無効にしないでください。この設定を無効にすると、Access is denied(アクセスが拒否されました) エラーが発生して接続に失敗します。 デフォルトの設定の場合、ユーザーは、リモート デスクトップ セッションにログイン中に RDP を使用して仮想マシンに接続できます。RDP 接続によってリモート デスクトップ セッションが終了し、ユーザーの保存されていないデータや設定は失われます。ユーザーは、外部の RDP 接続が閉じられるまで、デスクトップにログインできません。この状況を回避するには、AllowDirectRDP 設定を無効にします。
重要: Windows リモート デスクトップ サービスが各デスクトップのゲスト OS で実行されている必要があります。この設定を使用して、ユーザーが自分のデスクトップに直接 RDP 接続を作成することを不可にできます。
デフォルトでは、この設定は有効になっています。 |
|
Allow FIDO2 Authenticator Access | X | X | リモート デスクトップのアプリケーションがエンドポイントの FIDO2 認証子にアクセスできるかどうかを決定します。この設定を無効にすると、リモート デスクトップのアプリケーションはエンドポイントの FIDO2 認証子にアクセスできません。設定が有効になっているか、構成されていない場合、リモート デスクトップのアプリケーションはエンドポイントの FIDO2 認証子にアクセスできます。 デフォルトでは、この設定は構成されていません。 |
AllowSingleSignon | X | シングル サインオン (SSO) を使用して、ユーザーをデスクトップおよびアプリケーションに接続するかどうかを決定します。この設定が有効になっていると、ユーザーはサーバにログインするときに、自分の認証情報を 1 回入力するだけで済みます。この設定を無効にすると、ユーザーはリモート接続の確立時に再認証する必要があります。 デフォルトでは、この設定は有効になっています。 |
|
Audio option for single session Windows 10 physical Remote Desktop machine | X | リモート デスクトップ セッションをホストする Horizon Windows 10 物理マシンで使用するオーディオ デバイスを指定します。有効にした場合は、次のオプションから選択します。
|
|
Block Thumbnail Representation When Minimized | X | X | ウィンドウが最小化されているときに、リモート デスクトップのサムネイルにカーソルを置いた際にリモート デスクトップ コンテンツを表示するかどうかを指定します。 有効にすると、ウィンドウが最小化されているときに、ウィンドウのサムネイルとライブ プレビューにリモート デスクトップ コンテンツではなく、Horizon Client アプリケーションのアイコンが表示されます。 無効にするか、構成しない場合、最小化される前の最後のリモート デスクトップのスナップショットがウィンドウのサムネイルとライブ プレビューに表示されます。 デフォルトでは、この設定は無効になっています。 |
CommandsToRunOnConnect | X | セッションに初めて接続するときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。 詳細については、「Horizon デスクトップでのコマンドの実行」を参照してください。 |
|
CommandsToRunOnDisconnect | X | セッションが切断されたときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。 詳細については、「Horizon デスクトップでのコマンドの実行」を参照してください。 |
|
CommandsToRunOnReconnect | X | セッションが切断された後、再接続されるときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。 詳細については、「Horizon デスクトップでのコマンドの実行」を参照してください。 |
|
Connecting Session Threshold | X | RDSH マシンに同時にログインできるセッションの最大数を指定します。再接続セッションは除きます。有効にすると、セッションのしきい値は 20 に設定されますが、この値はユースケースに応じて変更する必要があります。0 を選択すると、接続セッションのしきい値が無効になります。このポリシーはデフォルトで無効になっているため、ポリシーを構成しないと、接続セッションのしきい値は無効になります。 | |
ConnectionTicketTimeout | X | Horizon 接続チケットが有効な時間(秒)を指定します。 Horizon Clientデバイスは、エージェントに接続するときに、検証とシングル サインオンのために接続チケットを使用します。セキュリティ上の理由から、接続チケットは限られた期間のみ有効です。ユーザーがリモート デスクトップに接続するときは、接続チケットのタイムアウト期間内に認証を行う必要があります。そうでないとセッションがタイムアウトになります。この設定が構成されていない場合、デフォルトのタイムアウト期間は 900 秒になります。 |
|
CredentialFilterExceptions | X | エージェントの CredentialFilter のロードを許可されていない実行可能ファイルを指定します。ファイル名にパスまたはサフィックスを含めることはできません。複数のファイル名を区切るにはセミコロンを使用します。 |
|
Disable Time Zone Synchronization | X | X | リモート デスクトップのタイムゾーンを接続されたクライアントのタイムゾーンと同期するかどうかを指定します。設定を有効にすると、Horizon Client の構成ポリシーの タイム ゾーンの転送を無効にする 設定が無効に設定されていない場合にのみ適用されます。 デフォルトでは、この設定は無効になっています。 |
Disconnect Session Time Limit (VDI) | X | 切断されたデスクトップ セッションが自動的にログアウトされるまでの時間を指定します。
Horizon Console のデスクトップ プール設定の [切断後に自動的にログアウト] で期限を設定することもできます。この設定を両方の場所で設定すると、グループ ポリシーの設定が優先されます。 たとえば、[実行しない] を選択すると、Horizon Console の設定に関係なく、このマシン上で切断されたセッションをログアウトできなくなります。 |
|
DPI Synchronization | X | X | リモート セッションに関するシステム全体の DPI 設定を調整します。この設定が有効にされていたり、構成されていなかったりすると、リモート セッションに関するシステム全体の DPI 設定は、クライアント オペレーティング システムの対応する DPI 設定と一致するように設定されます。この設定が無効になっていると、リモート セッションに関するシステム全体の DPI 設定は決して変更されません。 サポートされているゲスト OS のリストについては、『Horizon Client for Windows ガイド』の「DPI 同期の使用」を参照してください。 デフォルトでは、この設定は有効になっています。 |
DPI Synchronization Per Monitor | X | X | リモート セッションで複数のモニターの DPI 設定を調整します。 この設定を有効にした場合、リモート セッション中に、すべてのモニターの DPI 設定がクライアントのモニターごとの DPI 設定に合わせて変更されます。DPI 設定がカスタマイズされている場合は、カスタマイズされた DPI 設定と一致します。Horizon Client では、[ディスプレイのスケーリングを許可する] オプションが淡色表示になります。 この設定を無効にすると、すべてのモニターで DPI 設定の変更を有効にするため、ユーザーはログアウトしてリモート デスクトップに再接続する必要があります。 サポートされているゲスト OS のリストについては、『Horizon Client for Windows ガイド』の「DPI 同期の使用」を参照してください。 デフォルトでは、この設定は有効になっています。 |
Enable Battery State Redirection | X | バッテリ状態のリダイレクトを有効にするかどうかを指定します。この機能は、Windows と Linux のクライアント システムでサポートされます。 この設定を有効にすると、Windows または Linux のクライアント システムのバッテリ情報が Windows リモート デスクトップにリダイレクトされます。リモート デスクトップのシステム トレイのバッテリ アイコンはバッテリの充電率を表します。バッテリ残量が 10% 以下になると、バッテリの残量が少ないことを示すメッセージがポップアップ表示されます。 デフォルトでは、この設定は有効になっています。 |
|
Enable multi-media acceleration | X | リモート デスクトップでマルチメディア リダイレクト (MMR) を有効にするかどうかを指定します。 MMR は、TCP ソケットを介してリモート システムの固有のコーデックからマルチメディア データをクライアントに直接転送する Windows Media Foundation フィルタです。データはクライアント上で直接デコードされ、そこで再生されます。クライアントがローカル マルチメディア デコーディングを処理するために十分なリソースを持たない場合は、MMR を無効にできます。 デフォルトでは、この設定は有効になっています。 |
|
Enable Unauthenticated Access | X | 非認証アクセス機能を有効または無効にします。この設定を有効にすると、認証されていないユーザーは、Active Directory の認証情報を要求せずに Horizon Client から公開アプリケーションにアクセスできます。この設定を無効にすると、認証されていないユーザーは、Active Directory の認証情報を要求せずに Horizon Client から公開アプリケーションにアクセスすることはできません。 この設定を有効にするには、RDS ホストを再起動する必要があります。 デフォルトでは、この設定は有効になっています。 |
|
FIDO2 Allow List | X | エンドポイントの FIDO2 認証子にアクセスできる特定のアプリケーションを許可リストに一覧表示して、制御します。 構文は この設定が無効にされているか、構成されていない場合は、デフォルト値は |
|
Force MMR to use software overlay | X | MMR は、パフォーマンス向上のため、ハードウェア オーバーレイを使用してビデオの再生を試みます。複数のディスプレイを使用している場合、ハードウェア オーバーレイは 1 つのディスプレイ(プライマリ ディスプレイまたは WMP が開始しているディスプレイ)でのみ有効になります。ユーザーが WMP を別のディスプレイにドラッグすると、ビデオが黒色の四角形で表示されます。すべてのディスプレイで動作するソフトウェア オーバーレイを MMR で強制的に使用する場合には、このオプションを使用します。 デフォルトでは、この設定は有効になっています。 |
|
Idle Time Until Disconnect (VDI) | X | ユーザーが非アクティブになってからリモート デスクトップ セッションが切断されるまでの時間を指定します。 この設定を無効にするか、構成しない場合、または [実行しない] を設定して有効にした場合、リモート デスクトップ セッションは切断されません。 デスクトップ プールまたはマシンが切断後に自動的にログアウトするように設定されている場合、その設定が優先されます。 |
|
Key Logger Blocking | X | エンドポイントでのキー ログ マルウェアの攻撃を回避するために、エンド ポイントがキーボードと Horizon Client 間の通信を暗号化するかどうかを決定します。 この設定を有効にすると、すべてのキーストロークが暗号化されます。無効にすると、キーストロークは通常どおり送信されます。デフォルトでは、これは無効になっています。
次の点に注意してください。
|
|
Load Index Threshold | X | RDSH マシンがセッション ログインの拒否を開始する最小のロード インデックスを指定します。再接続セッションは除外されます。有効にすると、ロードのしきい値は 90 に設定されますが、この値はユースケースに応じて変更する必要があります。0 を選択すると、ロード インデックスのしきい値が無効になります。このポリシーはデフォルトで無効になっているため、ポリシーを構成しないと、ロード インデックスのしきい値は無効になります。 | |
Prewarm Session Time Limit | X | ウォームアップ デスクトップ セッションが自動的にログアウトされるまでの時間を指定します。デフォルトでは、この設定は構成されていません。 | |
RDS Connection Time Until Disconnect | X | リモート デスクトップ サービス セッションの最大持続時間を指定します。この時間が経過すると、セッションが自動的に切断されます。タイムアウト値の範囲は「なし」から 1 週間です。[なし] を選択すると、このマシンのリモート デスクトップ サービス セッションは切断されません。 | |
RDS Disconnected Time Until Logoff | X | 切断されたリモート デスクトップ サービス セッションが自動的にログオフされるまでの時間を指定します。タイムアウト値の範囲は「なし」から 1 週間です。[なし] を選択すると、このマシンで切断されたリモート デスクトップ サービス セッションはログオフされません。 | |
RDS End Session When Time Limit Reached | X | タイムアウトしたリモート デスクトップ サービス セッションを終了するのか、切断するのかを指定します。この設定を有効にすると、アクティブまたはアイドル状態のセッションが制限値に達したときに、リモート デスクトップ サービス セッションが終了します(ユーザーがログオフされ、セッションがサーバから削除されます)。デフォルトでは、制限時間に達したリモート デスクトップ サービス セッションが切断されます。 | |
RDS Idle Time Until Disconnect | X | リモート デスクトップ サービス セッションが自動的に切断されるまでの時間を指定します。タイムアウト値の範囲は「なし」から 1 週間です。[なし] を選択すると、このマシンのリモート デスクトップ サービス セッションは切断されません。 | |
Screen-capture Blocking | X | X* |
ユーザーがエンドポイントから仮想デスクトップまたは公開アプリケーションのスクリーンショットを取得できるかどうかを設定します。有効に設定すると、ユーザーは Windows または macOS デバイスを使用して、仮想デスクトップまたは仮想アプリケーションのスクリーンショットを取得できません。
注: ブラウザ リダイレクトと HTML5 マルチメディア リダイレクトの場合、スクリーンショットのブロックを有効にすると、リダイレクトされたコンテンツがキャプチャされる可能性があります。
デフォルトでは、この設定は無効になっています。ユーザーは、自分のデバイスを使用してスクリーンショットを取得できます。 要件: Horizon Agent 2106 以降では、この設定がサポートされています。この設定は、Horizon Client for Windows および Horizon Client for Mac 2106 以降に適用できます。 多くの場合、この設定はマシンまたはユーザーごとに構成できます。* ただし、エージェントで SSO を無効にする場合は、この設定をユーザーごとではなく、マシンに構成する必要があります。この機能をマシンとユーザーの両方に設定すると、ユーザーの設定が優先されます。 ネスト モードがサポートされます。 この動作をクライアントに適用するか、この設定をサポートしない条件で適用する場合は、セッション接続の制限を使用します。『Horizon 8 の管理』ドキュメントの「クライアント セッションのグローバル クライアント制限設定」を参照してください。 動作に関する注: 有効にすると、サポートされているクライアントから仮想デスクトップまたは仮想アプリケーションのスクリーンショットを取得できなくなります。以下の注意事項には、想定される結果の詳細が記載されています。 VMware WebRTC/Media Optimization for Microsoft Teams:
Optimized Zoom VDI:
Zoom や Microsoft Teams など、ホストのネイティブ アプリケーションは、この機能を有効にする VMware リモート デスクトップまたは公開アプリケーションのコンテンツを共有しない場合があります。 マルチメディア リダイレクトと HTML5 マルチメディア リダイレクトの使用
2309 以降では、Mac Client に「Horizon Mac Client の画面記録を許可」という追加の選択肢があります。このオプションを選択すると、エンド ユーザーは「スクリーン キャプチャのブロック」が有効になっている場合でも、macOS デバイスから仮想デスクトップまたはリモート アプリケーションの画面記録を取得できます。デフォルトでは選択解除されています。つまり、エンド ユーザーは macOS デバイスから画面記録を取得できません。[このオプションは、「スクリーン キャプチャのブロック」GPO が有効になっている場合にのみ有効になります。] |
Screen-capture for Media Offloaded Solution | X | ユーザーがエンドポイントから仮想デスクトップのスクリーンショットを取得できるようにします。有効にすると、デスクトップにプリント スクリーン アイコンが表示されます。デフォルトでは、この設定は構成されていません。 | |
ShowDiskActivityIcon | X | この設定は、このリリースではサポートされていません。 | |
Single sign-on retry timeout | X | シングル サインオンを再試行するまでの時間をミリ秒単位で指定します。シングル サインオンの再試行を無効にするには、値を 0 に設定します。デフォルト値は 5,000 ミリ秒です。 デフォルトでは、この設定は有効になっています。 |
|
Toggle Display Settings Control | X | クライアント セッションで PCoIP または Blast Extreme 表示プロトコルを使用するときに、[ディスプレイ] コントロール パネルの [設定] タブを無効にするかどうかを指定します。 デフォルトでは、この設定は有効になっています。 |
エージェントのセキュリティ
エージェント セキュリティの設定は、グループ ポリシー管理エディタの
フォルダにあります。設定 | コンピュータ | ユーザー | プロパティ |
---|---|---|---|
Accept SSL encrypted framework channel | X | TLS 暗号化フレームワーク チャネルを有効にします。次のいずれかのオプションを指定できます。
デフォルトでは、この設定は有効になっています。 |
認証
Windows Hello for Business 証明書リダイレクトのポリシー設定は、ADMX テンプレート ファイル vdm_agent.admx にあります。証明書リダイレクトの設定は、グループ ポリシー管理エディタの フォルダにあります。
設定 | コンピュータ | ユーザー | プロパティ |
---|---|---|---|
List of allowed executables | X | リダイレクトされた Windows Hello for Business 証明書の使用が許可されている実行ファイルのリスト。 デフォルトでは、この設定は有効ではありません。 |
クリップボード リダイレクト
クリップボード リダイレクトのポリシー設定は、ADMX テンプレート ファイル vdm_agent_clipboard.admx にあります。クリップボード リダイレクトの設定は、グループ ポリシー管理エディタの フォルダにあります。
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
Clipboard memory size on server | X | X | サーバのクリップボード メモリ サイズの値をバイトまたは KB 単位で指定します。構成しない場合、メモリ サイズは KB 単位になります。 クライアントには、クリップボードのメモリ サイズの値(KB 単位)も設定されています。セッション設定後、サーバは自身のクリップボードのメモリ サイズの値をクライアントに送信します。有効なクリップボードのメモリ サイズは、クライアントとサーバのクリップボードのメモリ サイズの値の小さい方となります。 ネットワークによっては、クリップボードのメモリ サイズを大きくすると、パフォーマンスに悪影響が及ぶ場合があります。クリップボードのメモリ サイズは、16 MB を超える値に設定しないことを推奨します。
注: 大量のデータを転送するには、クライアント ドライブ リダイレクト機能を使用します。
|
Configure clipboard audit | X | X | エージェント マシンでクリップボード監査機能を有効にするかどうかを指定します。この設定を有効にする場合、次のオプションを選択できます。
この設定が無効にされているか、構成されていない場合は、デフォルト値として [どちらの方向も無効にする] が使用されます。 エージェント マシンで Windows イベント ビューアを使用して、イベント ログを表示できます。ログの名前は VMware Horizon RX Audit です。イベント ログを一元的に表示するには、VMware Log Insight または Windows Event Collector を設定します。
注: エージェント マシンからクライアント マシンへのクリップボード監査をサポートしているのは Windows クライアントだけです。
|
Configure clipboard redirection | X | X | クリップボード リダイレクトを許可する方向を決定します。次のいずれかの値を選択できます。
クリップボードのリダイレクトは、仮想チャネルとして実装されます。仮想チャネルが無効になっている場合、クリップボードのリダイレクトは機能しません。 この設定は Horizon Agent にのみ適用されます。 この設定が無効または構成されていない場合、デフォルト値は [クライアントからエージェントの方向のみ有効] です。 |
Configure clipboard redirection formats | X | X | エージェント マシンでフィルタを有効にするかどうかをデータ形式ごとに指定します。
構成されていない場合、または無効になっている場合、クリップボード リダイレクトのフィルタはすべての形式で無効になります。 デフォルトでは、この設定は構成されていません。 |
Configure file transfer | X | リモート デスクトップと HTML Access または Horizon Client for Chrome の間で実行されるファイル転送機能の動作を設定します。有効な値は以下のとおりです。 この設定は、リモート デスクトップにのみ適用されます。
この設定が無効または構成されていない場合、デフォルト値は [ファイルのアップロードのみを有効にする] です。 |
|
Whether block clipboard redirection to client side when client doesn't support audit | X | X | クリップボード監査機能をサポートしていないクライアントへのクリップボード リダイレクトをブロックするかどうかを指定します。 この設定を有効にする場合、次のいずれかの値を選択する必要があります。
この設定が無効にされているか、構成されていない場合は、デフォルト値は [ブロック] になります。 この設定を有効にするには、Configure clipboard audit グループ ポリシー設定を有効にする必要があります。 |
共同作業
共同作業の設定は、グループ ポリシー管理エディタの
フォルダにあります。設定 | 説明 |
---|---|
Allow control passing to collaborators | 有効にすると、共同作業中に入力コントロールを他の共同作業者に渡すことができます。無効にすると、共同作業ウィンドウに切り替えスイッチが表示されません。デフォルトでは、この設定は有効になっています。 |
Allow inviting collaborators by e-mail | 有効にすると、インストールされているメール アプリケーションを使用して共同作業の招待を送信できます。無効にすると、メール アプリケーションがインストールされていても E メールでの共同作業の招待は送信できません。デフォルトでは、この設定は有効になっています。 |
Allow inviting collaborators by IM | 有効にすると、インストールしている IM (インスタント メッセージ)アプリケーションを使用して共同作業の招待を送信できます。無効にすると、IM アプリケーションがインストールされていても IM での共同作業の招待は行えません。デフォルトでは、この設定は有効になっています。 |
Include Outlook-formatted URL in clipboard text | この設定が有効になっていると、クリップボードの招待テキストに Microsoft Outlook 形式の招待 URL が含まれます。エンド ユーザーがクリップボードの招待テキストをメール メッセージに貼り付けることを想定している場合は、この設定を有効にします。デフォルトでは、この設定は無効になっています。 |
Separator used for multiple e-mail addresses in mailto: links | 各種のメール クライアントとの互換性を高めるため、mailto: リンク内で複数のメール アドレスを入力する際に使用する区切り文字を指定します。指定しない場合、メール アドレスのデフォルトの区切り文字はセミコロン(空白なし)になります。 既定のメール クライアントでセミコロンが区切り文字として許可されていない場合は、カンマと空白、セミコロンと空白など別の組み合わせを試してみてください。 |
Server URLs to include in invitation message | 共同作業の招待状に含めるサーバ URL を設定します。この設定が構成されていない場合、デフォルトの URL が使用されますが、最もシンプルな展開では正しくない場合があります。 |
Turn off collaboration | 有効にすると、セッション共同作業機能はオフになります。無効にする、または設定を行っていない場合、ファームまたはデスクトップ プール レベルで機能を制御できます。この設定は、Horizon Agent マシンの再起動後に反映されます。 |
Maximum number of invited collaborators | セッションの参加に招待できる共同作業者の最大数を指定します。デフォルトの最大数は 5 です。上限は 20 です。 |
SSL プロトコルと暗号化アルゴリズムを構成する
SSL プロトコルと暗号化アルゴリズムの設定は、グループ ポリシー管理エディタの [VMware View Agent の構成] フォルダにあります。
設定 | 説明 |
---|---|
Configures SSL protocols and cipher suites | 暗号化された SSL 接続を確立する前に、暗号化アルゴリズムとプロトコルを指定できます。暗号リストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。暗号文字列で大文字と小文字は区別されます。 この機能が有効な場合、デフォルト値は 'TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES' です。これは、TLS v1.1 と TLS v1.2 が有効であることを意味します。暗号化スイートは、128 または 256 ビット AES の ECDHE、ECDH、RSA を使用します。GCM モードを優先します。SSL v2.0、SSL v3.0、TLS v1.0 はサポートされていません。 |
Configures Signature Algorithms Extension | TLS v1.2 の署名アルゴリズムを指定します。コロンで区切られた署名アルゴリズムのリストを入力します。アルゴリズムは、優先順位の高い順に、[アルゴリズム+ハッシュ] の形式で入力します。アルゴリズムとハッシュ名は大文字と小文字が区別されることをご注意ください。例:RSA+SHA256:ECDSA+SHA256 このオプションが設定されていない場合、デフォルト値は OpenSSL ライブラリでサポートされているすべての署名アルゴリズムになります。 |
Configures Supported Groups Extension | サポートされている楕円曲線グループを設定します。コロンで区切られた曲線のリストを入力します。曲線名は大文字と小文字が区別されることをご注意ください。例:P-256:P-384 このオプションが設定されず、ECDHE 暗号化スイートが指定された場合、デフォルト値は OpenSSL ライブラリでサポートされているすべての署名アルゴリズムになります。 |
Strict certification revocation check | 有効にすると、Horizon Client は、証明書の失効ステータスを確認できない場合にサーバへの接続を拒否します。この設定を無効にすると、クライアントは失効を確認しますが、失効ステータスに基づいて接続がブロックされることはありません。Ignore certificate revocation problems GPO は、この GPO より優先されます。これらを一緒に使用しないでください。 デフォルトでは、この設定は無効になっています。 |
ドラッグ アンド ドロップ
ドラッグ アンド ドロップのポリシー設定は、ADMX テンプレート ファイル vdm_agent_dnd.admx にあります。ドラッグ アンド ドロップの設定は、グループ ポリシー管理エディタの フォルダにあります。
設定 | 説明 |
---|---|
Configure drag and drop direction | ドラッグ アンド ドロップを許可する方向を指定します。有効な場合、オプションは次のとおりです。
この設定が無効または構成されていない場合、デフォルト値は [クライアントからエージェントの方向のみ有効] です。 この設定は、エージェントにのみ適用されます。 |
Configure drag and drop formats | データ形式ごとに、許可されるドラッグ アンド ドロップの方向を設定します。[どちらの方向も無効]、[エージェントからクライアントの方向のみ有効]、[クライアントからエージェントの方向のみ有効]、[どちらの方向も有効] のいずれかを設定します。この設定を有効にする場合、次のオプションを選択できます。
この設定が無効にされているか、構成されていない場合は、すべての形式でデフォルト値として [どちらの方向も有効にする] が使用されます。 この設定は、エージェントにのみ適用されます。 |
Configure drag and drop size threshold | ファイルとフォルダ以外の共通データ タイプをドラッグする際のサイズ制限が決まります。 この設定を有効にした場合は、[ドラッグ アンド ドロップのサイズ単位の選択] ドロップダウン メニューからドラッグ アンド ドロップの単位を選択します。[バイト]、[KB] または [MB] を選択できます。[ドラッグ アンド ドロップのサイズのしきい値] テキスト ボックスで、ドラッグ データのサイズを選択するか、入力します。各単位で有効なデータ範囲は次のとおりです。
この設定が無効にされているか、構成されていない場合は、デフォルトのしきい値 (1 MB) が設定されます。 この設定は、エージェントにのみ適用されます。 |
Performance Tracker
設定 | 説明 |
---|---|
リモート デスクトップ接続で Horizon Performance Tracker の自動開始を有効にする | 有効にした場合、ユーザーがリモート デスクトップ接続にログインすると、Horizon Performance Tracker は自動的に開始します。この環境設定の GPO 設定をクリアするには、[無効にする] を選択します。 |
リモート アプリケーション接続で Horizon Performance Tracker の自動開始を有効にする | 有効にした場合、ユーザーがリモート アプリケーション接続にログインすると、Horizon Performance Tracker は自動的に開始します。この環境設定の GPO 設定をクリアするには、[無効にする] を選択します。 |
Performance Tracker の基本設定 | 有効にした場合、Horizon Performance Tracker がデータを収集する頻度を秒単位で設定できます。 |
スキャナ リダイレクト
スキャナ リダイレクトのポリシー設定は、ADMX テンプレート ファイル vdm_agent_scanner.admx にあります。スキャナ リダイレクトの設定は、グループ ポリシー管理エディタの フォルダにあります。
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
BandwidthLimit | X | スキャンされたデータをユーザー セッションに転送するときに使用できる最大バンド幅(KB/秒)を指定します。 0 または no を指定すると、バンド幅は無制限になります。 |
|
Compression | X | リモート デスクトップまたは公開アプリケーションへのイメージ転送時のイメージ圧縮率を指定します。 次のいずれかの圧縮モードを選択できます。
この設定を有効にすると、このポリシーが適用されるすべてのユーザーに対して選択した圧縮モードが設定されます。[VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスで [圧縮] オプションを変更することで、ポリシー設定をオーバーライドできます。 このポリシー設定を無効にすると、または構成しないと、JPEG 圧縮モードが使用されます。 |
|
Default Color Mode | この設定を有効にすると、デフォルトのカラー モード(黒、白、グレースケール、カラー)を設定できます。この設定は、Windows XP Professional または Windows Server 2003 以降でサポートされます。 | ||
Default Duplex | この設定を有効にすると、デフォルトのスキャン モード(シンプレックスまたはデュプレックス)を設定できます。デュプレックス モードでは、スキャン アプリケーションがデュプレックス スキャンをサポートし、スキャナから 2 ページを要求します。この設定は、Windows XP Professional または Windows Server 2003 以降でサポートされます。 | ||
Default Scanner | X | X | スキャナの自動選択を集中管理できるようにします。 スキャナの自動選択オプションは、TWAIN スキャナと WIA スキャナで個別に選択します。次のいずれかの自動選択オプションを選択できます。
この設定をコンピュータの構成ポリシーとして有効にすると、影響を受けるコンピュータのすべてのユーザーについて、この設定によりスキャナの自動選択モードが決まります。ユーザーは、[VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスの [デフォルト スキャナ] オプションを変更できません。 この設定をユーザーの構成ポリシーとして有効にすると、影響を受けるすべてのユーザーについて、この設定によりスキャナの自動選択モードが決まります。ただし、ユーザーは、[VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスの [デフォルト スキャナ] オプションを変更できます。 この設定をコンピュータの構成およびユーザーの構成の両方で有効にすると、影響を受けるコンピュータのすべてのユーザーについて、コンピュータの構成におけるスキャナの自動選択モードによって、ユーザーの構成における対応するポリシー設定がオーバーライドされます。 どちらかのポリシー構成でこの設定を無効にするか、または構成しないと、スキャナの自動選択モードは、対応するポリシー設定(ユーザーの構成またはコンピュータの構成)または [VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスにおけるユーザーの選択によって決まります。 |
Disable functionality | X | スキャナ リダイレクト機能を無効にします。 この設定を有効にすると、スキャナはリダイレクトできなくなり、ユーザーのデスクトップおよびアプリケーションのスキャナ メニューに表示されません。 この設定を無効にすると、または構成しないと、スキャナ リダイレクトは動作し、スキャナ メニューにスキャナが表示されます。 |
|
Force the TWAIN Scanning Properties dialog | X | この設定を有効にすると、[スキャン] ダイアログ ボックスにスキャン アプリケーションが表示されない場合でも、TWAIN スキャンのプロパティ ダイアログ ボックスが常に表示されます。 | |
Hide Webcam | X | X | [VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスのスキャナ選択メニューに、Web カメラが表示されないようにします。 デフォルトでは、Web カメラをデスクトップおよびアプリケーションにリダイレクトできます。ユーザーは Web カメラを選択し、仮想スキャナとして使用してイメージをキャプチャできます。 この設定をコンピュータの構成ポリシーとして有効にすると、Web カメラは影響を受けるコンピュータのすべてのユーザーに対して表示されなくなります。ユーザーは、[VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスの [Web カメラを非表示] オプションを変更できません。 この設定をユーザーの構成ポリシーとして有効にすると、Web カメラは影響を受けるすべてのユーザーに対して表示されなくなります。ただし、ユーザーは、[VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスの [Web カメラを非表示] オプションを変更できます。 この設定をコンピュータの構成およびユーザーの構成の両方で有効にすると、影響を受けるコンピュータのすべてのユーザーについて、コンピュータの構成における [Web カメラを非表示] 設定によって、ユーザーの構成における対応するポリシー設定がオーバーライドされます。 どちらかのポリシー構成でこの設定を無効にするか、または構成しないと、[Web カメラを非表示] 設定は、対応するポリシー設定(ユーザーの構成またはコンピュータの構成)または [VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスにおけるユーザーの選択によって決まります。 |
Lock config | X | スキャナ リダイレクトのユーザー インターフェイスをロックし、ユーザーがデスクトップおよびアプリケーションで構成オプションを変更できないようにします。 この設定を有効にすると、ユーザーはデスクトップおよびアプリケーションのトレイ メニューから使用できるオプションを構成できません。ユーザーは [VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスを表示することはできますが、オプションが非アクティブになっていて、変更できません。 この設定を無効にすると、または構成しないと、ユーザーは [VMware Horizon スキャナ リダイレクトの環境設定] ダイアログ ボックスでオプションを構成できます。 |
|
TWAIN Scanner Properties dialog location | X | TWAIN スキャンのプロパティ ダイアログ ボックスが表示される場所を指定します。次のいずれかのオプションを選択できます。
|
シリアル COM
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
PortSettings1 PortSettings2 PortSettings3 PortSettings4 PortSettings5 |
X | X | ポート設定は、クライアント システム上の COM ポートと、リモート デスクトップ上のリダイレクトされた COM ポートの間のマッピングを決定し、リダイレクトされた COM ポートに影響する他の設定を決定します。リダイレクトされた 各 COM ポートを個別に構成します。 5 個のポート設定ポリシーを利用でき、最大 5 個の COM ポートをクライアントからリモート デスクトップにマッピングできます。構成する各 COM ポートのポート設定ポリシーを 1 つ選択します。ポート設定ポリシーを有効にすると、リダイレクトされた COM ポートに影響する以下の項目を設定できます。
特定の COM ポートのポート設定ポリシーを有効にすると、ユーザーはリダイレクトされたポートを接続/切断できますが、リモート デスクトップ上のポートのプロパティを構成することはできません。たとえば、ユーザーはリモート デスクトップへのログイン時にポートが自動的にリダイレクトされるように設定することはできません。また、DSR 信号は無視できません。これらのプロパティはグループ ポリシー設定によって制御されます。
注: リダイレクトされた COM ポートは物理 COM ポートがローカルでクライアント システムに接続されている場合のみ接続されアクティブになります。クライアントに存在しない COM ポートをマップする場合、リダイレクトされたポートは非アクティブの表示になり、リモート デスクトップ上のツール トレイ メニューでは使用できません。
ポート設定ポリシーが無効になっているか構成されていない場合、リダイレクトされた COM ポートはユーザーがリモート デスクトップ上で構成した設定を使用します。[VMware Horizon のシリアル COM リダイレクト] メニュー オプションはアクティブでユーザーが使用できます。 これらの設定は、グループ ポリシー管理エディタの フォルダにあります。 |
Bandwidth limit | X | データ転送速度の限界を、リダイレクトされたシリアル ポートとクライアント システムの間の 1 秒あたりのキロバイト数で設定します。 この設定を有効にすると、リダイレクトされたシリアル ポートとクライアントの間の最大データ転送速度を決定する[バンド幅制限(KB/秒)] ボックスの値を設定できます。値「0」はバンド幅制限を無効にします。 この設定が無効になっている場合、バンド幅制限は設定されていません。 この設定が構成されていない場合、リモート デスクトップのローカル プログラムの設定によって、バンド幅制限が設定されるかどうか決定します。 この設定は、グループ ポリシー管理エディタの フォルダにあります。 |
|
COM Port Isolation Mode | X | COM ポートの隔離モードを指定します。この設定を有効にすると、次のいずれかの隔離モードを選択できます。
この設定を行わないと、シリアル ポート リダイレクトは [完全隔離] モードで動作します。 |
|
Connect all ports automatically | X | この設定を有効にすると、個々のグループ ポリシー設定が有効になっていない場合でも、すべての COM ポートが自動的に接続されます。特定のポートに対して個々のグループ ポリシー設定が構成されている場合は、個々のグループ ポリシー設定が使用されます。 この設定を無効にするか、構成しない場合、自動接続機能は、個々のポート グループのグループ ポリシー設定またはローカル プログラムの設定によって決まります。 デフォルトでは、この設定は構成されていません。 |
|
Disable functionality | X | シリアル ポート リダイレクト機能を無効にします。 この設定を有効にすると、COM ポートはリモート デスクトップにリダイレクトされません。リモート デスクトップ上のシリアル ポート ツール トレイ アイコンも表示されません。 この設定が無効になっている場合、シリアル ポート リダイレクトは機能し、シリアル ポート ツール トレイ アイコンが表示され、[VMware Horizon のシリアル COM リダイレクト] メニューに COM ポートが表示されます。 この設定が構成されていない場合、リモート デスクトップへのローカルの設定によって、シリアル ポート リダイレクトが無効か有効かが決まります。 この設定は、グループ ポリシー管理エディタの フォルダにあります。 |
|
Local settings priority | X | X | リモート デスクトップ上で構成された設定を優先します。 このポリシーを有効にすると、ユーザーがリモート デスクトップで構成するシリアル ポート リダイレクト設定が、グループ ポリシー設定よりも優先されます。グループ ポリシー設定は、設定がリモート デスクトップで構成されていない場合のみ有効になります。 この設定が無効になっているか構成されていない場合は、リモート デスクトップ上で構成された設定よりも、グループ ポリシー設定が優先されます。 この設定は、グループ ポリシー管理エディタの フォルダにあります。 |
Lock configuration | X | X | シリアル ポート リダイレクトのユーザー インターフェイスをロックし、ユーザーがリモート デスクトップの構成オプションを変更するのを防止します。 この設定を有効にすると、ユーザーはデスクトップのツール トレイ メニューから使用できるオプションを構成できません。ユーザーは [VMware Horizon のシリアル COM リダイレクト] メニューを表示できますが、オプションは非アクティブで変更はできません。 この設定が無効になっている場合、ユーザーは [VMware Horizon のシリアル COM リダイレクト] メニューのオプションを設定できます。 この設定が構成されていない場合、リモート デスクトップのローカル プログラムの設定によって、ユーザーが COM ポート リダイレクト設定を構成できるかどうかが決まります。 この設定は、グループ ポリシー管理エディタの フォルダにあります。 |
スマート カード リダイレクトの設定
Smartcard リダイレクトの設定は、グループ ポリシー管理エディタの
フォルダにあります。設定 | コンピュータ | ユーザー | プロパティ |
---|---|---|---|
Allow applications access to Local Smart Card readers | X | 有効にすると、スマート カード リダイレクト機能がインストールされていても、アプリケーションはすべてのローカル スマート カード リーダーにアクセスできます。有効にすると、デスクトップでローカル リーダーの存在がモニタリングされます。検出されると、スマート カード リダイレクトが無効になり、ローカル リーダーへのアクセスが許可されます。ユーザーが次回セッションに接続するまで、リダイレクトは無効になります。ローカル アクセスを有効にすると、アプリケーションはクライアントのリモート リーダーにアクセスできなくなります。 リモート デスクトップ サービス ロールが有効な場合、この設定は RDP または RDS ホストに適用されません。 デフォルトでは、この設定は無効になっています。 |
|
Local Reader Name | X | ローカル アクセスを有効にするためにモニタリングするローカル リーダーの名前を指定します。デフォルトでは、ローカル アクセスを有効にするには、リーダーにカードが挿入されている必要があります。Require an inserted Smart Card 設定を使用すると、この要件を無効にできます。 デフォルトでは、この設定は有効になっています。 |
|
Require an inserted Smart Card | X | 有効にすると、ローカル リーダーにカードが挿入されている場合にのみ、ローカル リーダー アクセスが有効になります。無効にすると、ローカル リーダーが検出されている間、ローカル アクセスが有効になります。 デフォルトでは、この設定は有効になっています。 |
True SSO の設定
True SSO の設定は、グループ ポリシー管理エディタの
フォルダにあります。『Horizon 8 の管理』ドキュメントを参照してください。Unity Touch およびホスト型アプリケーションの設定
Unity Touch およびホスト型アプリケーションの設定は、グループ ポリシー管理エディタの
フォルダにあります。設定 | コンピュータ | ユーザー | プロパティ |
---|---|---|---|
Send updates for empty or offscreen windows | X | クライアントが空またはオフスクリーン ウィンドウの更新を受信するかどうかを指定します。この設定を無効にすると、2x2 ピクセルより小さいウィンドウまたはオフスクリーンの位置にあるウィンドウの情報がクライアントに送信されません。 デフォルトでは、この設定は無効になっています。 |
|
Enable UWP support on RDSH platforms | X | 有効にすると、ユニバーサル Windows プラットフォーム (UWP) アプリケーションを Horizon Cloud Service on Azure の Windows 10 仮想デスクトップ (WVD) ホストで実行できます。無効にすると、Horizon Agent でアプリケーションの状態が使用不可と表示され、ユーザーはアプリケーションにアクセスできなくなります。この設定を有効にするには、エージェント仮想マシンを再起動します。 デフォルトでは、この設定は無効になっています。 |
|
Enable Unity Touch | X | リモート デスクトップで Unity Touch 機能を有効にするかどうかを決定します。Unity Touch は、Horizon Client で公開アプリケーションの配信をサポートし、モバイル デバイス ユーザーが Unity Touch サイドバーのアプリケーションにアクセスできるようにします。 デフォルトでは、この設定は有効になっています。 |
|
Enable system tray redirection for Hosted Apps | X | ユーザーが公開アプリケーションを実行しているときに、システム トレイのリダイレクトを有効にするかどうかを決定します。 デフォルトでは、この設定は有効になっています。 |
|
Enable user profile customization for Hosted Apps | X | X | 公開アプリケーションの使用時にユーザー プロファイルをカスタマイズするかどうかを指定します。この設定を有効にすると、ユーザー プロファイルが生成され、Windows のテーマがカスタマイズされます。また、スタートアップ アプリケーションが登録されます。 デフォルトでは、この設定は無効になっています。 |
Limit usage of Windows hooks | X | 公開アプリケーションまたは Unity Touch の使用時に大半のフックを無効にします。この設定は、OS レベルのフックを設定したときに互換性の問題が発生するアプリケーションに使用します。たとえば、この設定を有効にすると、大半の Windows Active Accessibility とインプロセス フックが使用できなくなります。 この設定は、デフォルトで無効になっています。すべての優先フックが使用されます。 |
|
Only launch new instances of Hosted Apps if arguments are different | X | このポリシーは、公開アプリケーションが起動されたが、切断されたプロトコル セッション内でそのアプリケーションの既存インスタンスがすでに実行中の場合の動作を制御します。無効にすると、アプリケーションの既存インスタンスがアクティベーションされます。有効にすると、コマンドラインのパラメータが一致する場合にのみ、アプリケーションの既存インスタンスがアクティベーションされます。 デフォルトでは、この設定は無効になっています。 |
|
Redirect legal notice messages as a window | X | このポリシーを有効にすると、法的通知が Horizon Client のカスタム サイズ ウィンドウにリダイレクトされます。ウィンドウの幅と高さをピクセル単位で指定します。高 DPI モニターの場合、サイズは DPI の倍数になります。この機能は、公開アプリケーションでのみサポートされます。 設定を有効にするには、RDSH サーバと Horizon Client を再起動します。 デフォルトでは、この設定は無効になっています。 |
|
Unity Filter rule list | X | 公開アプリケーション使用時の Unity ウィンドウに適用するフィルタ ルールを指定します。Horizon Agent は、これらのルールを使用してカスタム アプリケーションをサポートします。フィルタ ルールの作成方法については、「特別な Unity ウィンドウの管理」を参照してください。 デフォルトでは、この設定は構成されていません。 |
View Agent Direct-Connection の構成
View Agent Direct-Connection 構成のポリシー設定は、ADMX テンプレート ファイル vdm_agent_direct_connection.admx にあります。View Agent Direct-Connection 構成の設定は、グループ ポリシー管理エディタの フォルダにあります。『Horizon Agent Direct-Connection プラグイン』ドキュメントを参照してください。
リアルタイム オーディオビデオ構成
リアルタイム オーディオビデオ構成のポリシー設定は、ADMX テンプレート ファイル vdm_agent_rtav.admx にあります。RTAV の設定は、グループ ポリシー管理エディタの フォルダにあります。「リアルタイム オーディオビデオ グループ ポリシー設定」を参照してください。
USB 構成
USB 構成の設定は、グループ ポリシー管理エディタの USB リダイレクトを制御するポリシーの使用」を参照してください。
フォルダにあります。「VMware AppTap の設定
VMware AppTap の構成は、グループ ポリシー管理エディタの
フォルダにあります。設定 | コンピュータ | ユーザー | プロパティ |
---|---|---|---|
Processes to ignore when detecting empty application sessions | X | 空のアプリケーション セッションを検出したときに無視するプロセスのリストを指定します。プロセスのファイル名または完全パスのいずれかを指定できます。値は大文字と小文字の区別がありません。パスに環境変数を使用しないでください。UNC ネットワーク パスは使用できます。例:\\vmware\temp\app.exe デフォルトでは、この設定は構成されていません。 |
クライアント ドライブのリダイレクト
クライアント ドライブ リダイレクトのポリシー設定は、ADMX テンプレート ファイル vdm_agent_cdr.admx にあります。クライアント ドライブ リダイレクトの設定は、グループ ポリシー管理エディタの フォルダにあります。「クライアント ドライブ リダイレクト ポリシー設定」を参照してください。
VMware HTML5 機能
VMware HTML5 機能は、ブラウザ リダイレクト、位置情報リダイレクト、HTML5 マルチメディア リダイレクト、WebRTC リダイレクトで構成されています。これらの機能のポリシー設定は、グループ ポリシー管理エディタの VMware HTML5 機能のポリシー設定」を参照してください。
フォルダにあります。「VMware Integrated Printing
VMware Integrated Printing のポリシー設定は、ADMX テンプレート ファイル printerRedirection.admx にあります。VMware Integrated Printing の設定は、グループ ポリシー管理エディタの フォルダにあります。「VMware Integrated Printing ポリシー設定」を参照してください。
ウォーターマークの設定
ウォーターマーク構成の設定は、[ユーザー構成] フォルダ(グループポリシー管理エディタの フォルダ)にあります。
設定 | コンピュータ | ユーザー | プロパティ |
---|---|---|---|
Watermark Configuration | X | この設定を有効にして、仮想デスクトップに表示されるウォーターマークを設定します。[テキスト] に、ウォーターマークとして表示する情報を入力します。次のオプションがあります。 %ViewClient_IP_Address% %ViewClient_Broker_UserName% %ViewClient_Broker_DomainName% %COMPUTERNAME% %USERDOMAIN% %USERNAME% %ViewClient_ConnectTime% 文字数は 256 文字以下にする必要があります。展開後の文字数は 1,024 文字以下にする必要があります。
[イメージ レイアウト]:画面上のウォーターマークのレイアウト。9 マスに分割されています。
[テキストの回転]:ウォーターマーク テキストの角度。 [不透明度]:テキストの透明度レベル。範囲は 0 ~ 255 です。デフォルト値は 255 です。 [マージン]:タイル レイアウトでのウォーターマークの周囲のスペース。ウォーターマークをスケーリングすると、そのマージンもスケーリングされます。 [テキスト色]:スペース区切りの RGB 値を使用して、ウォーターマーク テキストの色を指定します。テキストのアウトラインは、対照的な色で表示されます。デフォルトでは、白色のテキストのアウトラインは黒になります。 [フォント サイズ]:ウォーターマーク テキストのサイズを指定します。この値が 0 の場合、デフォルトのフォント サイズが使用されます。 [更新間隔]:ウォーターマークが更新される間隔を秒単位で指定します。0 を指定すると、ウォーターマークの更新は無効になります。最大値は 86,400 秒です(24 時間)。 デフォルトでは、この設定は構成されていません。 |