Horizon Cloud - 一般設定頁面上的網域安全性設定

您可以使用這些設定，防止 Active Directory 網域名稱傳送給未經驗證、且使用不同 Horizon Client 的使用者。這些設定可控管已登錄至 Horizon Cloud 環境之 Active Directory 網域的相關資訊是否會傳送至 Horizon 使用者用戶端，且若已傳送，將會以何種方式顯示在使用者用戶端的登入畫面中。

在設定環境時，您必須向 Active Directory 網域登錄您的環境。您的使用者使用 Horizon Client 存取其有權使用的桌面和遠端應用程式時，這些網域將會與他們獲得的存取權相關聯。在 2019 年 3 月的季度服務版本之前，系統和用戶端都只有預設行為，且沒有選項可調整此預設行為。從 2019 年 3 月開始，預設值已可變更，且您可以選擇性地使用新的「網域安全性設定」控制項來變更預設值。

重要：變更這些設定時，更新可能需要 5 分鐘才會生效。

此主題有以下小節。

網域安全性設定
此版本與舊版的預設行為比較
對您網繭資訊清單層級的關聯性
單一 Active Directory 網域案例和使用者登入需求
多個 Active Directory 網域案例和使用者登入需求
關於 Microsoft Azure 之中為其 Unified Access Gateway 執行個體設定了雙因素驗證的網繭

網域安全性設定

這些設定的組合可決定網域資訊是否會傳送至用戶端，以及用戶端中的使用者是否可使用網域選取功能表。

重要：這些設定適用位於相同 Horizon Cloud 環境內所有 Microsoft Azure 中的 Horizon Cloud Pod。使用相同 Horizon Cloud 客戶帳戶 (租用戶) 部署在 Microsoft Azure 中的所有此類網繭，都會獲得相同的組合。所有連線至您的網繭的使用者都會根據這些設定收到對應的行為，無論其虛擬桌面和遠端應用程式佈建在哪個網繭上。

注意：這些設定會變更用戶端中的使用者體驗。使用者若使用 5.0 版之前的 Horizon Client 版本，其行為將不同於 Horizon Client 5.0 及更新版本的行為。某些組合可能會對使用者在用戶端登入畫面中指定其網域資訊的方式產生相關需求，尤其是在使用舊版的用戶端、命令列用戶端，以及您的環境設定為使用多個 Active Directory 網域時。這些設定會對用戶端使用者體驗產生影響的方式取決於用戶端。您可能需要根據組織的安全性原則來平衡您想要的使用者體驗。請參閱單一 Active Directory 網域案例和使用者登入需求和多個 Active Directory 網域案例和使用者登入需求小節。

表 1. 一般設定頁面上的網域安全性設定
選項	說明
僅顯示預設網域	此選項可控制系統在使用者驗證之前會將哪些網域資訊傳送至連線用戶端。是 - 系統只會傳送常值字串值 `DefaultDomain`。否 - 系統會將已登錄的 Active Directory 網域名稱清單傳送至用戶端。
隱藏網域欄位	此選項可根據僅顯示預設網域設定，控制任何傳送至用戶端的網域相關資訊在用戶端登入畫面中的可見度。是 - 在用戶端登入畫面中不會顯示任何網域相關資訊，無論僅顯示預設網域設定為何。常值字串值 `DefaultDomain` 和網域名稱都不會顯示在用戶端登入畫面中。否 - 用戶端登入畫面會根據僅顯示預設網域設定，顯示下列其中一個項目。常值文字 `DefaultDomain` (當僅顯示預設網域為是時)。此組合在 5.0 版之前的 Horizon Client 使用者體驗為最佳化，並且提供增強的安全性。下拉式功能表中的網域名稱清單 (當僅顯示預設網域為否時)。

此版本與舊版的預設行為比較

下表詳列先前的預設行為、新的預設行為，以及可用來調整此行為以滿足組織需求的設定。


舊版的預設行為	此版本的預設行為	適用於此版本預設行為的對應網域安全性設定組合
系統會將已登錄的 Active Directory 網域名稱傳送至用戶端。	系統只會將常值字串值 ( `DefaultDomain`) 傳送至用戶端，而不會傳送已登錄的 Active Directory 網域名稱。備註：傳送常值字串的功能可支援實作時預期具有網域名稱字串清單的舊版 Horizon Client。	僅顯示預設網域預設設定：是
用戶端會在登入畫面中顯示下拉式功能表，為使用者呈現已登錄 Active Directory 網域名稱的清單，以便他們在登入之前選擇其網域。	用戶端會顯示常值字串 `DefaultDomain`。	隱藏網域欄位預設設定：否

對您網繭資訊清單層級的關聯性

如果您是已在舊版服務中建立網繭的現有客戶，在您位於 Microsoft Azure 中的所有網繭都更新為此 Horizon Cloud 版本的資訊清單層級之前，您的環境會設定為依預設提供舊版 Horizon Cloud 中具備的相同行為。舊版行為為：

系統會將 Active Directory 網域名稱傳送至用戶端 (僅顯示預設網域設為否)。
在使用者登入前，用戶端會有下拉式功能表向使用者顯示網域名稱清單 (隱藏網域欄位設為否)。

此外，在您的所有網繭都達到此服務版本層級之前，[一般設定] 頁面將不會顯示「網域安全性設定」控制項。如果您的混合環境同時具有未更新的現有網繭與在此版本層級新部署的網繭，則新的控制項會無法使用。因此，在您所有的網繭都達到此服務版本層級之前，您將無法變更舊版的行為。

當環境中的所有網繭都更新後，即可在 Horizon Cloud 管理主控台中進行這些設定。更新後的預設值會設為更新前的行為 (僅顯示預設網域為否，隱藏網域欄位為否)。更新後的預設設定與新客戶的預設值不同。這些設定會繼續套用，讓您的使用者在更新後繼續保有更新前的舊版行為，直到您選擇變更設定以符合組織的安全需求。

單一 Active Directory 網域案例和使用者登入需求

下表說明各種設定組合在您的環境具有單一 Active Directory 網域、未使用雙因素驗證，且您的使用者使用 Horizon Client 5.0 及更新版本時的行為。

表 2. 使用 Horizon Client 5.0 及更新版本，且您具有一個 Active Directory 網域時的行為
僅顯示預設網域 (傳送 `DefaultDomain` 已啟用)	隱藏網域欄位	Horizon Client 5.0 登入畫面詳細資料	使用者登入方式
是	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。	只有單一網域時，使用者要登入時可以在使用者名稱文字方塊中輸入下列任一值。網域名稱並非必要項目。 `username` `domain\username` 可以使用命令列用戶端啟動，並在命令中指定網域。
是	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 `DefaultDomain`。不會傳送網域名稱。下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。	只有單一網域時，使用者要登入時可以在使用者名稱文字方塊中輸入下列任一值。網域名稱並非必要項目。 `username` `domain\username` 可以使用命令列用戶端啟動，並在命令中指定網域。
否	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。備註：此組合並不常見。您通常不會使用此組合，因為即使系統傳送網域名稱，網域欄位仍會隱藏。登入畫面的樣貌與在此表格的第一列相同，即不會顯示網域欄位。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username`
否	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位，且標準下拉式功能表網域選取器會顯示一個可用的網域名稱。系統會傳送網域名稱。	使用者可以在使用者名稱文字方塊中指定其使用者名稱，並使用顯示於用戶端清單中的單一網域。可以使用命令列用戶端啟動，並在命令中指定網域。

此表格說明您的環境具有單一 Active Directory 網域，且您的使用者使用舊版 Horizon Client (5.0 之前) 時的行為。

重要：在下列所有組合中，無法使用舊版 (5.0 之前) 用戶端的命令列用戶端啟動並在命令中指定網域。若要修正此行為，請使用 *DefaultDomain* 作為命令的網域選項，或將用戶端更新為 5.0 版。但是，當您有多個 Active Directory 網域時，則無法傳遞 *DefaultDomain*。

表 3. 使用舊版 Horizon Client (5.0 之前)，且您具有一個 Active Directory 網域時的行為
僅顯示預設網域 (傳送 `DefaultDomain` 已啟用)	隱藏網域欄位	5.0 之前的 Horizon Client 登入畫面詳細資料	使用者登入方式
是	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username`
是	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 `DefaultDomain`。不會傳送網域名稱。	使用者必須在使用者名稱文字方塊中輸入 `username`。納入網域名稱後會顯示錯誤訊息，說明指定的網域名稱不存在於網域清單中。
否	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。備註：此組合並不常見。您通常不會使用此組合，因為即使系統傳送網域名稱，網域欄位仍會隱藏。登入畫面的樣貌與在此表格的第一列相同，即不會顯示網域欄位。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username`
否	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位，且標準下拉式功能表網域選取器會顯示一個可用的網域名稱。系統會傳送網域名稱。	使用者可以在使用者名稱文字方塊中指定其使用者名稱，並使用顯示於用戶端清單中的單一網域。

多個 Active Directory 網域案例和使用者登入需求

此表格說明各種設定組合在您的環境具有多個 Active Directory 網域、未使用雙因素驗證，且您的使用者使用 Horizon Client 5.0 及更新版本時的行為。

基本上，除非使用會傳送網域名稱並在用戶端中顯示的舊版組合，否則使用者在輸入其使用者名稱時都必須納入網域名稱，例如 domain\username。

表 4. 使用 Horizon Client 5.0 及更新版本，且您具有多個 Active Directory 網域時的行為
僅顯示預設網域 (傳送 `DefaultDomain` 已啟用)	隱藏網域欄位	Horizon Client 5.0 登入畫面詳細資料	使用者登入方式
是	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username` 可以使用命令列用戶端啟動，並在命令中指定網域。
是	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 `DefaultDomain`。不會傳送網域名稱。下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username` 可以使用命令列用戶端啟動，並在命令中指定網域。
否	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。備註：此組合並不常見。您通常不會使用此組合，因為即使系統傳送網域名稱，網域欄位仍會隱藏。登入畫面的樣貌與在此表格的第一列相同，即不會顯示網域欄位。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username`
否	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位，且標準下拉式功能表網域選取器會顯示網域名稱清單。系統會傳送網域名稱。	使用者可以在使用者名稱文字方塊中指定其使用者名稱，並從顯示於用戶端的清單中選取其網域。可以使用命令列用戶端啟動，並在命令中指定網域。

此表格說明您的環境具有多個 Active Directory 網域，且您的使用者使用舊版 Horizon Client (5.0 之前) 時的行為。

重要：

將隱藏網域欄位設為是，可讓使用者在這些 5.0 之前的 Horizon Client 中將其網域輸入使用者名稱文字方塊中。如果您有多個網域，且您想要支援使用者使用 5.0 之前的 Horizon Client，您必須將隱藏網域欄位設為是，讓使用者在輸入其使用者名稱時可以納入網域名稱。
在下列所有組合中，無法使用舊版 (5.0 之前) 用戶端的命令列用戶端啟動並在命令中指定網域。當您有多個 Active Directory 網域，並且想要使用命令列用戶端啟動時，唯一的因應措施是將用戶端更新為 5.0 版。

表 5. 使用舊版 Horizon Client (5.0 之前)，且您具有多個 Active Directory 網域時的行為
僅顯示預設網域 (傳送 `DefaultDomain` 已啟用)	隱藏網域欄位	5.0 之前的 Horizon Client 登入畫面詳細資料	使用者登入方式
是	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username`
是	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 `DefaultDomain`。不會傳送網域名稱。	在具有多個 Active Directory 網域的環境中不支援此組合。
否	是	用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。備註：此組合並不常見。您通常不會使用此組合，因為即使系統傳送網域名稱，網域欄位仍會隱藏。	使用者必須在使用者名稱文字方塊中納入網域名稱。 `domain\username`
否	否	用戶端的登入畫面具有標準使用者名稱和密碼欄位，且標準下拉式功能表網域選取器會顯示一個可用的網域名稱。系統會傳送網域名稱。	使用者可以在使用者名稱文字方塊中指定其使用者名稱，並從顯示於用戶端的清單中選取其網域。

關於 Microsoft Azure 之中為其 Unified Access Gateway 執行個體設定了雙因素驗證的網繭

如為網繭指定雙因素驗證功能所說明，當您將網繭部署至 Microsoft Azure 時，您可以選擇在其 Unified Access Gateway 執行個體上所設定的雙因素驗證來進行部署。

若 Microsoft Azure 中的網繭為其 Unified Access Gateway 設定了雙因素驗證，而使用者在嘗試驗證其 Horizon Client 時，將會先看到要求他們提供雙因素驗證認證的畫面，且隨後顯示的登入畫面會要求他們提供 Active Directory 網域認證。在此情況下，只有在使用者的認證成功通過該初始驗證畫面時，系統才會將網域清單傳送至用戶端。

一般而言，如果您的所有網繭都在其 Unified Access Gateway 執行個體上設定了雙因素驗證，您可以考慮讓系統將網域清單傳送至用戶端，並且在用戶端中顯示網域下拉式功能表。無論他們使用哪個 Horizon Client 版本，或您所擁有 Active Directory 網域的數量為何，該組態可為您的所有使用者提供相同的舊有使用者體驗。當使用者成功完成雙因素驗證密碼步驟後，他們即可進入第二個登入畫面，並從下拉式功能表中選取其網域。如此，他們在初始驗證畫面中輸入其認證時，就不需要再納入其網域名稱。

不過，由於「網域安全性設定」會套用在 Horizon Cloud 客戶帳戶 (租用戶) 層級上，如果您的部分網繭並未設定雙因素驗證，您可能想要避免傳送網域清單，因為這些網繭將會在使用者登入前，將網域名稱傳送至與其連線的用戶端。

重要：如果網繭的雙因素驗證組態將維護使用者名稱設定為是，請確保將隱藏網域欄位設為否。否則，您的使用者將無法提供必要的網域資訊讓系統與其登入認證產生關聯。

Horizon Client 的使用者登入需求遵循循單一 Active Directory 網域案例和使用者登入需求和多個 Active Directory 網域案例和使用者登入需求所說明的相同模式。在連線至設定了雙因素驗證的網繭時，如果您有多個 Active Directory 網域，且隱藏網域欄位設為是，則使用者必須以 domain\username 的形式提供其網域名稱。