セキュリティを強化するために、ドメイン ポリシー GPO(グループ ポリシー オブジェクト)を構成し、Horizon Client と仮想マシンベースのデスクトップや RDS ホスト間の通信で SSL/TLS プロトコルを必ず使用し、強度の低い暗号化方式を許可しないようにすることができます。

手順

  1. Active Directory サーバで、[スタート] > [管理ツール] > [グループ ポリシー管理] を選択し、その GPO を右クリックし、[編集] を選択して編集します。
  2. グループ ポリシー管理エディタで、[コンピュータの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL 設定] に移動します。
  3. [SSL 暗号の順位] をダブルクリックします。
  4. [SSL 暗号の順位] ウィンドウで [有効] をクリックします。
  5. [オプション] ペインで、[SSL 暗号] テキスト ボックスの内容全体を次の暗号リストに置き換えます。 
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA

    上記に示した暗号化スイートは、読みやすいように複数の行に分割されています。このリストをテキスト ボックスに追加するときは、カンマの後にスペースを入れずに 1 行の暗号化スイートとして貼り付ける必要があります。

  6. グループ ポリシー管理エディタを閉じます。
  7. Horizon Agent Direct-Connection プラグイン マシンを再起動して、新しいグループ ポリシーを有効にします。

結果

注: 仮想デスクトップ OS でサポートされているいずれかの暗号化方式をサポートするように Horizon Client が構成されていなければ、TLS/SSL ネゴシエーションは失敗し、クライアントは接続できません。

Horizon Client でサポートされる暗号化スイートの構成についての詳細は、https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html で公開されている Horizon Client ドキュメントを参照してください。