用戶端工作階段和連線的安全性相關全域設定可在 Horizon Console 中的設定 > 全域設定 > 安全性設定,或在設定 > 全域設定 > 一般設定下方存取。

表 1. 安全性相關的全域設定
設定 說明
變更資料復原密碼

從加密備份還原 Horizon LDAP 組態時,必須要有此密碼。

VMware Horizon 8 環境中:
  • 安裝連線伺服器時,您必須提供資料復原密碼。安裝完成後,您可以在主控台中變更此密碼。
  • 備份連線伺服器時,系統會將 Horizon LDAP 組態匯出為加密的 LDIF 資料。若要使用 vdmimport 公用程式還原加密的備份,您必須提供資料復原密碼。密碼必須包含 1 至 128 個字元。請遵循組織的最佳做法,產生安全密碼。
訊息安全模式

決定 JMS 訊息在 VMware Horizon 元件之間傳遞時所使用的安全性機制。

  • 如果設為已停用,就會停用訊息安全性模式。
  • 若設為已啟用,則會簽署和驗證舊版 JMS 訊息。VMware Horizon 元件會拒絕未簽署的訊息。此模式支援 TLS 和一般 JMS 連線的混合。
  • 若設為增強,則 TLS 將用於所有 JMS 連線,以加密所有訊息。此外,還會啟用存取控制,以限制 VMware Horizon 元件可傳送和接收訊息的 JMS 主題。
  • 如果設為混合,則會啟用訊息安全模式,但不會對 VMware Horizon 元件強制執行。

新安裝的預設設定為增強。如果從舊版升級,則會保留舊版中使用的設定。

重要: VMware 強烈建議在升級所有連線代理執行個體和 VMware Horizon 桌面平台至此版本後,將訊息安全模式設定為 增強增強設定可提供許多重要的安全性改進和 MQ (訊息佇列) 更新。
增強安全性狀態 (唯讀)

訊息安全模式已啟用變更為增強時顯示的唯讀欄位。因為變更是分階段進行,此欄位會顯示在不同階段時的進度:

  • 等待訊息匯流排重新啟動是第一階段。在您手動重新啟動網繭中的所有連線伺服器執行個體或網繭中所有連線伺服器主機上的 VMware Horizon 訊息匯流排元件服務之前,會一直顯示此狀態。
  • 正在擱置增強是下一個狀態。重新啟動所有 Horizon 訊息匯流排元件服務之後,系統會開始針對所有桌面平台將訊息安全模式變更為增強
  • 增強是最後的狀態,表示所有元件目前正在使用增強訊息安全模式。
網路中斷後重新驗證安全通道連線

決定當 Horizon Client 使用安全通道連線至 VMware Horizon 桌面平台和應用程式時,在網路中斷後是否必須重新驗證使用者認證。

此設定可加強安全性。例如,如果筆記型電腦遭竊,並移至不同的網路上,使用者便無法自動取得 VMware Horizon 桌面平台和應用程式的存取權,因為網路連線暫時中斷。

此設定依預設為停用。

強制中斷使用者連線

自使用者登入 VMware Horizon 起經過指定的分鐘數後,將中斷與所有桌面平台及應用程式的連線。將會同時中斷所有桌面平台和應用程式的連線,無論使用者在何時開啟它們。

預設值為 600 分鐘。

支援應用程式的用戶端。

如果使用者停止使用鍵盤與滑鼠,請中斷與應用程式的連線並捨棄 SSO 認證

在用戶端裝置上無鍵盤或滑鼠活動時保護應用程式工作階段。如果設定為 ...分鐘後,則VMware Horizon 將在無使用者活動進行後的指定分鐘數後中斷與所有應用程式的連線,並捨棄 SSO 認證。會中斷與桌面平台工作階段的連線。使用者必須再次登入才能與中斷連線的應用程式重新連線,或者啟動新的桌面平台或應用程式。

如果設定為永不VMware Horizon 將永不會因為使用者無活動而中斷應用程式連線或捨棄 SSO 認證。

預設值為永不

其他用戶端。

捨棄 SSO 認證

在特定時段後捨棄 SSO 認證。此設定適用於不支援應用程式遠端處理的用戶端。如果設定為 ...分鐘後,使用者必須在其登入 VMware Horizon 起的指定分鐘數後再次登入才能連線到桌面平台,無論用戶端裝置上發生任何使用者活動。

預設值為 15 分鐘後

View Administrator 工作階段逾時 決定主控台工作階段會持續閒置多久的時間,工作階段才會逾時。
重要: 若將主控台工作階段逾時分鐘設為很大的數字,會增加未經授權使用主控台的風險。若您允許讓工作階段持續閒置很長的時間,請小心。

依預設,主控台工作階段逾時為 30 分鐘。您可以將工作階段逾時設為 1 到 4320 分鐘。

備註: 所有與 VMware Horizon 之間的 Horizon Client 連線和主控台連線都需要 TLS。如果您的 VMware Horizon 部署使用負載平衡器或其他面向用戶端的中繼伺服器,您可以將 TLS 卸載到這些負載平衡器或中繼伺服器,然後在個別連線代理執行個體上設定非 TLS 連線。請參閱 《Horizon 管理》文件中的〈將 TLS 連線卸載至中繼伺服器〉。