注意:此版本的主題適用於 Horizon 8 安全性 2111.2 版和 2306 版以及更新版本。用戶端工作階段和連線的安全性相關全域設定可在 Horizon Console 中的設定 > 全域設定 > 安全性設定,或在設定 > 全域設定 > 一般設定下方存取。

表 1. 安全性相關的全域設定
設定 說明
變更資料復原密碼

從加密備份還原 Horizon LDAP 組態時,必須要有此密碼。

VMware Horizon 8 環境中:
  • 安裝連線伺服器時,您必須提供資料復原密碼。安裝完成後,您可以在主控台中變更此密碼。
  • 備份連線伺服器時,系統會將 Horizon LDAP 組態匯出為加密的 LDIF 資料。若要使用 vdmimport 公用程式還原加密的備份,您必須提供資料復原密碼。密碼必須包含 1 至 128 個字元。請遵循組織的最佳做法,產生安全密碼。
訊息安全模式

決定 JMS 訊息在 VMware Horizon 8 元件之間傳遞時所使用的安全性機制。

  • 如果設為已停用,就會停用訊息安全模式。
  • 若設為已啟用,則會簽署和驗證舊版 JMS 訊息。VMware Horizon 8 元件會拒絕未簽署的訊息。此模式支援 TLS 和一般 JMS 連線的混合。
  • 若設為增強,則 TLS 將用於所有 JMS 連線,以加密所有訊息。此外,還會啟用存取控制,以限制 VMware Horizon 8 元件可傳送和接收訊息的 JMS 主題。
  • 如果設為混合,則會啟用訊息安全模式,但不會對 VMware Horizon 8 元件強制執行。

新安裝的預設設定為增強。如果從舊版升級,則會保留舊版中使用的設定。

重要: VMware 強烈建議在升級所有連線代理執行個體和 VMware Horizon 8 桌面平台至此版本後,將訊息安全模式設定為 增強增強設定可提供許多重要的安全性改進和 MQ (訊息佇列) 更新。
增強安全性狀態 (唯讀)

訊息安全模式已啟用變更為增強時顯示的唯讀欄位。因為變更是分階段進行,此欄位會顯示在不同階段時的進度:

  • 等待訊息匯流排重新啟動是第一階段。在您手動重新啟動網繭中的所有連線伺服器執行個體或網繭中所有連線伺服器主機上的 VMware Horizon 訊息匯流排元件服務之前,會一直顯示此狀態。
  • 正在擱置增強是下一個狀態。重新啟動所有 Horizon 訊息匯流排元件服務之後,系統會開始針對所有桌面平台將訊息安全模式變更為增強
  • 增強是最後的狀態,表示所有元件目前正在使用增強訊息安全模式。
網路中斷後重新驗證安全通道連線

決定當 Horizon Client 使用安全通道連線至 VMware Horizon 8 桌面平台和應用程式時,在網路中斷後是否必須重新驗證使用者認證。

此設定可加強安全性。例如,如果筆記型電腦遭竊,並移至不同的網路上,使用者便無法自動取得 VMware Horizon 8 桌面平台和應用程式的存取權,因為網路連線暫時中斷。

依預設會停用此設定。

強制中斷使用者連線

自使用者登入 VMware Horizon 8 起經過指定的分鐘數後,將中斷與所有桌面平台及應用程式的連線。將會同時中斷所有桌面平台和應用程式的連線,無論使用者在何時開啟它們。

預設值為 600 分鐘。

支援應用程式的用戶端。

如果使用者停止使用鍵盤與滑鼠,請中斷與應用程式的連線並捨棄 SSO 認證

在用戶端裝置上無鍵盤或滑鼠活動時保護應用程式工作階段。如果設定為 ...分鐘後,則VMware Horizon 8 將在無使用者活動進行後的指定分鐘數後中斷與所有應用程式的連線,並捨棄 SSO 認證。會中斷與桌面平台工作階段的連線。使用者必須再次登入才能與中斷連線的應用程式重新連線,或者啟動新的桌面平台或應用程式。

如果設定為永不VMware Horizon 8 將永不會因為使用者無活動而中斷應用程式連線或捨棄 SSO 認證。

預設值為永不

捨棄 SSO 認證

使用此設定可設定 SSO 認證會在登入後的某個固定時間捨棄。捨棄 SSO 認證後,當使用者連線到新桌面平台或不同 RDS 伺服器陣列上的新應用程式工作階段時,系統會提示該使用者進行 Windows 客體作業系統驗證。與現有桌面平台和應用程式工作階段的連線將維持開啟狀態。

如果設定為 ... 分鐘後,則自使用者登入 VMware Horizon 起的指定分鐘數後,就會捨棄 SSO 認證,無論用戶端裝置上發生任何使用者活動都一樣。預設值為 15 分鐘後

如果設為永不,則使用者關閉 Horizon Client 或者達到強制中斷使用者連線逾時 (以發生者為準) 之後,VMware Horizon 才會儲存 SSO 認證。

以下這兩個核取方塊擇一或全選:
  • 套用至內部使用者連線 - 從私人網路上的用戶端裝置進行連線時,SSO 認證會被捨棄。
  • 套用至外部使用者連線 - 從非私人網路上的用戶端裝置進行連線時,SSO 認證會被捨棄。

依預設,當 [捨棄 SSO 認證] 設定為永不時,會取消勾選這兩個核取方塊。當 [捨棄 SSO 認證] 設定為 ... 分鐘後時,會勾選這兩個核取方塊。您必須選取其中一個或這兩個核取方塊,才能儲存變更。

View Administrator 工作階段逾時 決定主控台工作階段會持續閒置多久的時間,工作階段才會逾時。
重要: 若將主控台工作階段逾時分鐘設為很大的數字,會增加未經授權使用主控台的風險。若您允許讓工作階段持續閒置很長的時間,請小心。

依預設,主控台工作階段逾時為 30 分鐘。您可以將工作階段逾時設為 1 到 4320 分鐘。

憑證驗證 使用此設定時,可透過指定 [憑證驗證對應控制] 選項,將憑證驗證對應變更為 Active Directory 中使用者的 [自訂替代安全性身分識別] 屬性。以使用者名稱和電子郵件地址為基礎的對應類型被視為弱對應類型,且必須更新為其中一種較強的對應類型。如需詳細資料,請參閱設定憑證式驗證的憑證對應
CRL 預先擷取設定 當連線伺服器無法直接存取憑證的 CRL 散佈點 (CDP) URL 時,使用此設定可對憑證執行憑證撤銷檢查。
備註: 所有與 VMware Horizon 8 之間的 Horizon Client 連線和主控台連線都需要 TLS。如果您的 VMware Horizon 8 部署使用負載平衡器或其他面向用戶端的中繼伺服器,您可以將 TLS 卸載到這些負載平衡器或中繼伺服器,然後在個別連線代理執行個體上設定非 TLS 連線。請參閱 《Horizon 8 管理》文件中的〈將 TLS 連線卸載至中繼伺服器〉。