您可以使用這些設定,防止 Active Directory 網域名稱傳送給未經驗證、且使用不同 Horizon Client 的使用者。這些設定可控管已登錄至 Horizon Cloud 環境之 Active Directory 網域的相關資訊是否會傳送至 Horizon 使用者用戶端,且若已傳送,將會以何種方式顯示在使用者用戶端的登入畫面中。
在設定 環境時,您必須將 Active Directory 網域登錄至您的環境。您的使用者使用 Horizon Client 存取其有權使用的桌面和遠端應用程式時,這些網域將會與他們獲得的存取權相關聯。在 2019 年 3 月 Horizon Cloud 版本之前,系統和用戶端都只有預設行為,且沒有選項可調整此預設行為。從 2019 年 3 月開始,預設值已可變更,且您可以選擇性地使用新的「網域安全性設定」控制項來變更預設值。
此主題有以下小節。
- 網域安全性設定
- 此版本與舊版的預設行為比較
- 單一 Active Directory 網域案例和使用者登入需求
- 多個 Active Directory 網域案例和使用者登入需求
- 當您的租用戶設定了雙因素驗證時
網域安全性設定
這些設定的組合可決定網域資訊是否會傳送至用戶端,以及用戶端中的使用者是否可使用網域選取功能表。
| 選項 | 說明 |
|---|---|
| 僅顯示預設網域 | 此選項可控制系統在使用者驗證之前會將哪些網域資訊傳送至連線用戶端。
|
| 隱藏網域欄位 | 此選項可根據僅顯示預設網域設定,控制任何傳送至用戶端的網域相關資訊在用戶端登入畫面中的可見度。
|
此版本與舊版的預設行為比較
下表詳列先前的預設行為、新的預設行為,以及可用來調整此行為以滿足組織需求的設定。
| 舊版的預設行為 | 此版本的預設行為 | 適用於此版本預設行為的對應網域安全性設定組合 |
|---|---|---|
| 系統會將已登錄的 Active Directory 網域名稱傳送至用戶端。 |
系統只會將常值字串值 (
*DefaultDomain*) 傳送至用戶端,而不會傳送已登錄的 Active Directory 網域名稱。
備註: 傳送常值字串的功能可支援實作時預期具有網域名稱字串清單的舊版 Horizon Client。
|
僅顯示預設網域 預設設定:是 |
| 用戶端會在登入畫面中顯示下拉式功能表,為使用者呈現已登錄 Active Directory 網域名稱的清單,以便他們在登入之前選擇其網域。 |
用戶端會顯示常值字串 |
隱藏網域欄位 預設設定:否 |
單一 Active Directory 網域案例和使用者登入需求
下表說明各種設定組合在您的環境具有單一 Active Directory 網域、未使用雙因素驗證,且您的使用者使用 Horizon Client 5.0 及更新版本時的行為。
僅顯示預設網域 (傳送 *DefaultDomain* 已啟用) |
隱藏網域欄位 | Horizon Client 5.0 登入畫面詳細資料 | 使用者登入方式 |
|---|---|---|---|
| 是 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。 下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。 ![Windows 版 Horizon Client 5.0 在 [隱藏網域欄位] 設為 [是] 時的螢幕擷取畫面](images/GUID-05163C42-3AA8-4934-8B81-4A3CAB635A38-low.png)
|
只有單一網域時,使用者要登入時可以在使用者名稱文字方塊中輸入下列任一值。網域名稱並非必要項目。
可以使用命令列用戶端啟動,並在命令中指定網域。 |
| 是 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 *DefaultDomain*。不會傳送網域名稱。 下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。 ![Windows 版 Horizon Client 5.0 登入畫面在 [僅顯示預設網域] 設為 [是]、且 [隱藏網域欄位] 設為 [否] 時的螢幕擷取畫面](images/GUID-2E66D83B-E107-43D0-8795-DE5126B242C3-low.png)
|
只有單一網域時,使用者要登入時可以在使用者名稱文字方塊中輸入下列任一值。網域名稱並非必要項目。
可以使用命令列用戶端啟動,並在命令中指定網域。 |
| 否 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。
備註: 此組合並不常見。您通常不會使用此組合,因為即使系統傳送網域名稱,網域欄位仍會隱藏。
登入畫面的樣貌與在此表格的第一列相同,即不會顯示網域欄位。 |
使用者必須在使用者名稱文字方塊中納入網域名稱。
|
| 否 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位,且標準下拉式功能表網域選取器會顯示一個可用的網域名稱。系統會傳送網域名稱。 | 使用者可以在使用者名稱文字方塊中指定其使用者名稱,並使用顯示於用戶端清單中的單一網域。 可以使用命令列用戶端啟動,並在命令中指定網域。 |
此表格說明您的環境具有單一 Active Directory 網域,且您的使用者使用舊版 Horizon Client (5.0 之前) 時的行為。
*DefaultDomain* 作為命令的網域選項,或將用戶端升級至 5.0 版。但是,當您有多個 Active Directory 網域時,則無法傳遞
*DefaultDomain*。
僅顯示預設網域 (傳送 *DefaultDomain* 已啟用) |
隱藏網域欄位 | 5.0 之前的 Horizon Client 登入畫面詳細資料 | 使用者登入方式 |
|---|---|---|---|
| 是 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。 | 使用者必須在使用者名稱文字方塊中納入網域名稱。
|
| 是 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 *DefaultDomain*。不會傳送網域名稱。 |
使用者必須在使用者名稱文字方塊中輸入 username。納入網域名稱後會顯示錯誤訊息,說明指定的網域名稱不存在於網域清單中。 |
| 否 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。
備註: 此組合並不常見。您通常不會使用此組合,因為即使系統傳送網域名稱,網域欄位仍會隱藏。
登入畫面的樣貌與在此表格的第一列相同,即不會顯示網域欄位。 |
使用者必須在使用者名稱文字方塊中納入網域名稱。
|
| 否 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位,且標準下拉式功能表網域選取器會顯示一個可用的網域名稱。系統會傳送網域名稱。 | 使用者可以在使用者名稱文字方塊中指定其使用者名稱,並使用顯示於用戶端清單中的單一網域。 |
多個 Active Directory 網域案例和使用者登入需求
此表格說明各種設定組合在您的環境具有多個 Active Directory 網域、未使用雙因素驗證,且您的使用者使用 Horizon Client 5.0 及更新版本時的行為。
基本上,除非使用會傳送網域名稱並在用戶端中顯示的舊版組合,否則使用者在輸入其使用者名稱時都必須納入網域名稱,例如 domain\username。
僅顯示預設網域 (傳送 *DefaultDomain* 已啟用) |
隱藏網域欄位 | Horizon Client 5.0 登入畫面詳細資料 | 使用者登入方式 |
|---|---|---|---|
| 是 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。 下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。
|
使用者必須在使用者名稱文字方塊中納入網域名稱。
可以使用命令列用戶端啟動,並在命令中指定網域。 |
| 是 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 *DefaultDomain*。不會傳送網域名稱。 下列螢幕擷取畫面中的範例顯示 Windows 用戶端登入畫面所將呈現的樣貌。
|
使用者必須在使用者名稱文字方塊中納入網域名稱。
可以使用命令列用戶端啟動,並在命令中指定網域。 |
| 否 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。
備註: 此組合並不常見。您通常不會使用此組合,因為即使系統傳送網域名稱,網域欄位仍會隱藏。
登入畫面的樣貌與在此表格的第一列相同,即不會顯示網域欄位。 |
使用者必須在使用者名稱文字方塊中納入網域名稱。
|
| 否 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位,且標準下拉式功能表網域選取器會顯示網域名稱清單。系統會傳送網域名稱。 | 使用者可以在使用者名稱文字方塊中指定其使用者名稱,並從顯示於用戶端的清單中選取其網域。 可以使用命令列用戶端啟動,並在命令中指定網域。 |
此表格說明您的環境具有多個 Active Directory 網域,且您的使用者使用舊版 Horizon Client (5.0 之前) 時的行為。
- 將隱藏網域欄位設為是,可讓使用者在這些 5.0 之前的 Horizon Client 中將其網域輸入使用者名稱文字方塊中。如果您有多個網域,且您想要支援使用者使用 5.0 之前的 Horizon Client,您必須將隱藏網域欄位設為是,讓使用者在輸入其使用者名稱時可以納入網域名稱。
- 在下列所有組合中,無法使用舊版 (5.0 之前) 用戶端的命令列用戶端啟動並在命令中指定網域。當您有多個 Active Directory 網域,並且想要使用命令列用戶端啟動時,唯一的因應措施是將用戶端升級至 5.0 版。
僅顯示預設網域 (傳送 *DefaultDomain* 已啟用) |
隱藏網域欄位 | 5.0 之前的 Horizon Client 登入畫面詳細資料 | 使用者登入方式 |
|---|---|---|---|
| 是 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。不會傳送網域名稱。 | 使用者必須在使用者名稱文字方塊中納入網域名稱。
|
| 是 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。網域欄位會顯示 *DefaultDomain*。不會傳送網域名稱。 |
在具有多個 Active Directory 網域的環境中不支援此組合。 |
| 否 | 是 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位。不會顯示網域欄位。系統會將網域名稱傳送至用戶端。
備註: 此組合並不常見。您通常不會使用此組合,因為即使系統傳送網域名稱,網域欄位仍會隱藏。
|
使用者必須在使用者名稱文字方塊中納入網域名稱。
|
| 否 | 否 | 用戶端的登入畫面具有標準使用者名稱和密碼欄位,且標準下拉式功能表網域選取器會顯示一個可用的網域名稱。系統會傳送網域名稱。 | 使用者可以在使用者名稱文字方塊中指定其使用者名稱,並從顯示於用戶端的清單中選取其網域。 |
當您的租用戶設定了雙因素驗證時
若您的租用戶設定了 RSA SecureID 或 RADIUS 雙因素驗證,使用者在嘗試驗證其 Horizon Client 時,將會先看到要求他們提供雙因素驗證認證的畫面,且隨後顯示的登入畫面會要求他們提供 Active Directory 網域認證。若您的租用戶設定使用雙因素驗證,僅在使用者的認證成功通過該初始驗證畫面時,系統才會將網域清單傳送至用戶端。無論僅顯示預設網域設定為何,系統都會傳送網域清單。
如果設有雙因素驗證的租用戶有多個 Active Directory 網域,則將隱藏網域欄位設為否,並且在該網域登入畫面上顯示網域選取器,將可提供最理想的使用者體驗。該組態可讓您的使用者從第二個登入畫面中的下拉式功能表選取其網域,且他們在初始驗證畫面中輸入其認證時,將無須納入網域名稱。
若想瞭解如何使用管理主控台查看租用戶的雙因素驗證設定,請參閱雙因素驗證。
下表說明您的租用戶設定為使用雙因素驗證時,隱藏網域欄位設定將產生的行為。
| 網域安全性設定 | 網域登入畫面行為 | 說明 | Horizon Client 版本 |
|---|---|---|---|
| 隱藏網域欄位為否 |
使用者使用其雙因素驗證認證成功通過驗證後,網域登入畫面將會包含使用者名稱和密碼欄位,以及網域下拉式功能表。 |
此行為與此服務版本之前的行為相同。在初始雙因素驗證畫面之後,使用者可以在使用者名稱文字方塊中指定其使用者名稱,並從顯示於用戶端的清單中選取其網域。 |
所有版本皆支援此版本。 |
| 隱藏網域欄位為是 |
使用者使用其雙因素驗證認證成功通過驗證後,網域登入畫面將只會包含使用者名稱和密碼欄位。 |
如果租用戶的雙因素驗證組態將維護使用者名稱設定為是,請避免使用此組態。 使用者的步驟如下:
|
所有版本皆支援此版本。 |
