Horizon Agent와 Horizon Client에 대해 구성하는 필터 정책 설정에 따라 클라이언트 컴퓨터에서 원격 데스크톱 또는 애플리케이션으로 어떤 USB 디바이스를 리디렉션할 수 있는지가 결정됩니다. 일반적으로 USB 디바이스 필터링은 원격 데스크톱에서 대량의 스토리지 디바이스를 사용하지 못하게 하거나, 클라이언트 디바이스를 원격 데스크톱에 연결하는 USB와 이더넷 간 어댑터 같은 특정 유형의 디바이스를 전달하지 못하게 차단하기 위해 기업에서 주로 사용합니다.
데스크톱 또는 애플리케이션에 연결할 때 Horizon Client는 Horizon Agent USB 정책 설정을 다운로드한 후 Horizon Client USB 정책 설정과 함께 사용하여 클라이언트 컴퓨터에서 리디렉션할 수 있도록 허용할 USB 디바이스를 결정합니다.
Horizon는 모든 디바이스 분할 정책 설정을 적용한 후에 필터 정책 설정을 적용합니다. 복합 USB 디바이스를 분할한 경우 Horizon는 디바이스의 인터페이스 각각을 검사하여 필터 정책 설정에 따라 제외하거나 포함할 인터페이스를 결정합니다. 복합 USB 디바이스를 분할하지 않은 경우 Horizon는 전체 디바이스에 필터 정책 설정을 적용합니다.
디바이스 분할 정책은 Horizon Agent 구성 ADMX 템플릿 파일(vdm_agent.admx)에 포함되어 있습니다.
에이전트가 강제로 적용하는 USB 설정의 상호 작용
다음 표에서는 Horizon Client에 동일한 필터 정책 설정이 존재할 경우 에이전트가 강제로 적용할 수 있는 설정에 대해 Horizon Client가 Horizon Agent 필터 정책 설정을 어떻게 처리하는지 지정하는 수정자를 보여 줍니다.
수정자 | 설명 |
---|---|
m(병합) | Horizon Client는 Horizon Client 필터 정책 설정과 함께 Horizon Agent 필터 정책 설정을 적용합니다. 부울이나 true/false 설정의 경우 클라이언트 정책이 설정되어 있지 않으면 에이전트 설정이 사용됩니다. 클라이언트 정책이 설정되어 있으면 Exclude All Devices 이외의 모든 에이전트 설정이 무시됩니다. Exclude All Devices 정책이 에이전트 측에 설정되어 있으면 이 정책이 클라이언트 설정보다 우선합니다. |
o(재정의) | Horizon Client는 Horizon Client 필터 정책 설정 대신 Horizon Agent 필터 정책 설정을 사용합니다. |
예를 들어, 다음의 에이전트 측 정책은 클라이언트 측의 모든 규칙을 재정의하며 VID-0911_PID-149a 디바이스에만 포함 규칙이 적용됩니다.
IncludeVidPid: o:VID-0911_PID-149a
별표를 와일드카드 문자로 사용할 수도 있습니다(예: o:vid-0911_pid-****).
클라이언트 해석 USB 설정의 상호 작용
다음 표에서는 Horizon Client가 클라이언트 해석 설정에 대해 Horizon Agent 필터 정책 설정을 어떻게 처리하는지 지정하는 수정자를 보여 줍니다.
수정자 | 설명 |
---|---|
Default(레지스트리 설정의 d) | Horizon Client 필터 정책 설정이 존재하지 않는 경우 Horizon Client는 Horizon Agent 필터 정책 설정을 사용합니다. Horizon Client 필터 정책 설정이 존재하는 경우 Horizon Client는 해당 정책 설정을 적용하고 Horizon Agent 필터 정책 설정은 무시합니다. |
Override(레지스트리 설정의 o) | Horizon Client는 동등한 Horizon Client 필터 정책 설정 대신 Horizon Agent 필터 정책 설정을 사용합니다. |
Horizon Agent는 연결 측면에서 클라이언트 해석 설정에 대한 필터 정책 설정을 적용하지 않습니다.
다음 표에서는 서로 다른 필터 수정자를 지정한 경우에 Horizon Client가 Allow Smart Cards의 설정을 처리하는 방법의 예를 보여 줍니다.
Horizon Agent의 스마트 카드 허용 설정 | Horizon Client의 스마트 카드 허용 설정 | Horizon Client에서 사용하는 유효한 스마트 카드 허용 정책 설정 |
---|---|---|
Disable - Default Client Setting(레지스트리 설정의 d:false) | true(허용) | true(허용) |
Disable - Override Client Setting(레지스트리 설정의 o:false) | true(허용) | false(사용 안 함) |
Disable Remote Configuration Download 정책을 true로 설정하면 Horizon Client는 Horizon Agent에서 수신하는 모든 필터 정책 설정을 무시합니다.
다른 필터 정책 설정을 사용하도록 Horizon Client를 구성하거나 Horizon Agent에서 필터 정책 설정을 다운로드하지 못하게 Horizon Client를 사용하지 않도록 설정하더라도 Horizon Agent는 연결 측면에서 에이전트가 강제로 적용할 수 있는 설정의 필터 정책 설정을 항상 적용합니다. Horizon Client는 Horizon Agent가 디바이스 전달을 차단하고 있다는 것을 보고하지 않습니다.
설정 우선 순위
Horizon Client는 우선 순위에 따라 필터 정책 설정을 평가합니다. 리디렉션되지 않도록 일치하는 디바이스를 제외하는 필터 정책 설정은 디바이스를 포함하는 동일한 필터 정책 설정보다 우선합니다. Horizon Client에 디바이스를 제외하는 필터 정책 설정이 없는 경우 Horizon Client 정책을 Exclude All Devicestrue로 설정하지 않는 한 는 디바이스 리디렉션을 허용합니다. 그러나 Horizon Agent에 디바이스를 제외하는 필터 정책 설정을 구성한 경우 데스크톱 또는 애플리케이션은 디바이스를 리디렉션하려는 모든 시도를 차단합니다.
Horizon Client는 Horizon Agent 설정에 적용하는 수정자 값과 함께 Horizon Client 설정과 Horizon Agent 설정을 고려하여 우선 순위에 따라 필터 정책 설정을 평가합니다. 다음은 설정 우선 순위 목록이며, 여기서 항목 1이 우선 순위가 가장 높습니다.
- Exclude Path
- Include Path
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- Allow Audio Input Devices, Allow Audio Output Devices, Allow HIDBootable, Allow HID (Non Bootable and Not Mouse Keyboard), Allow Keyboard and Mouse Devices, Allow Smart Cards 및 Allow Video Devices
- 모든 USB 디바이스를 제외 또는 포함하도록 평가되는 결합된 효율적인 Exclude All Devices 정책
Exclude Path 및 Include Path 필터 정책 설정은 Horizon Client에만 설정할 수 있습니다. 개별 디바이스 제품군을 참조하는 Allow 필터 정책 설정은 우선 순위가 동일합니다.
벤더 및 제품 ID 값에 기반하여 디바이스를 제외하는 정책 설정을 구성할 경우, 디바이스가 속한 제품군에 Horizon Client 정책 설정을 구성하더라도 Allow는 벤더 및 제품 ID 값이 이 정책 설정과 일치하는 디바이스를 제외합니다.
정책 설정의 순서는 정책 설정 간 충돌을 해결합니다. 스마트 카드의 리디렉션을 허용하는 Allow Smart Cards를 구성할 경우, 더 높은 우선 순위의 제외 정책 설정이 있으면 이 설정이 무시됩니다. 예를 들어, 경로 또는 벤더 및 제품 ID 값이 일치하는 스마트 카드 디바이스를 제외하는 Exclude Vid/Pid Device 정책 설정이 구성되어 있거나 Exclude Device Family 디바이스 제품군까지 완전히 제외하는 smart-card 정책 설정이 구성되어 있을 수 있습니다.
Horizon Agent 필터 정책 설정을 구성한 경우 Horizon Agent는 원격 데스크톱 또는 애플리케이션에서 다음과 같은 우선 순위에 따라 필터 정책 설정을 평가하고 강제로 적용합니다. 이 목록에서 항목 1의 우선 순위가 가장 높습니다.
- Include a device by Vendor/Product ID
- Include a device by USB family
- Exclude a device by Vendor/Product ID
- Exclude a device by USB family
- Exclude all USB devices
Horizon Agent는 연결 측면에서 이 제한된 필터 정책 설정 집합을 강제로 적용합니다.
Horizon Agent의 필터 정책 설정을 정의하여 관리되지 않는 클라이언트 컴퓨터를 위한 필터링 정책을 생성할 수 있습니다. 또한 이 기능을 사용하면 Horizon Client의 필터 정책 설정이 리디렉션을 허용하더라도 클라이언트 컴퓨터에서 전달되지 않도록 디바이스를 차단할 수 있습니다.
예를 들어, Horizon Client에 디바이스를 리디렉션할 수 있는 정책을 구성한 경우 Horizon Agent에 디바이스를 제외하는 정책을 구성하면 Horizon Agent가 해당 디바이스를 차단합니다.
USB 디바이스를 필터링하는 정책 설정의 예
이 예에 사용된 벤더 ID와 제품 ID는 예시일 뿐입니다. 특정 디바이스의 벤더 ID와 제품 ID를 확인하는 방법에 대한 자세한 내용은 로그 파일을 사용하여 문제 해결 및 USB 디바이스 ID 확인 항목을 참조하십시오.
- 클라이언트에서 특정 디바이스가 리디렉션되지 않도록 제외:
Exclude Vid/Pid Device: Vid-0341_Pid-1a11
- 모든 스토리지 디바이스가 이 데스크톱 또는 애플리케이션 풀로 리디렉션되지 않도록 차단. 에이전트 측 설정 사용:
Exclude Device Family: o:storage
- 데스크톱 풀의 모든 사용자에 대해 오디오 및 비디오 디바이스를 차단하여 이러한 디바이스를 실시간 오디오-비디오 기능에 대해 항상 사용할 수 있도록 합니다. 에이전트 측 설정 사용::
Exclude Device Family: o:video;audio
벤더 및 제품 ID별로 특정 디바이스를 제외하는 방법도 사용할 수 있습니다.
- 클라이언트에서 특정 디바이스 하나만 제외하고 모든 디바이스가 리디렉션되지 않도록 차단:
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd
- 최종 사용자에게 문제가 될 수 있는 특정 업체의 모든 디바이스 제외. 에이전트 측 설정 사용:
Exclude Vid/Pid Device: o:Vid-0341_Pid-*
- 클라이언트에서 특정 디바이스 두 개만 포함하고 다른 모든 디바이스 제외:
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd;Vid-1abc_Pid-0001