これらは箇条書きにされた段落に示されているため、簡単に確認できます。確認後、必要に応じて表のセル内の段落についてコンテンツ参照を設定できます。

Windows 仮想デスクトップは、単一セッションの仮想マシンです。

このバージョンの Horizon Client は、Horizon Agent 7.5 以降がインストールされている Windows 仮想デスクトップでサポートされます。サポートされるゲスト OS は、Windows 7、Windows 8.x、Windows 10、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 ですが、次の制限があります。

Windows Server 2019 仮想デスクトップでは、Horizon Agent 7.7 以降が必要です。

Windows 7 および Windows 8.x の仮想デスクトップは、Horizon Agent 2006 以降でサポートされていません。

RDS ホストは、Windows リモート デスクトップ サービスと Horizon Agent がインストールされたサーバ コンピュータです。RDS ホスト上の公開デスクトップ セッションは、複数のユーザーで同時に利用することができます。RDS ホストには物理マシンまたは仮想マシンのいずれかを使用できます。

このバージョンの Horizon Client は、Horizon Agent 7.5 以降がインストールされている RDS ホストでサポートされます。サポートされるゲスト OS は、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 ですが、次の制限があります。

Windows Server 2019 RDS ホストでは、Horizon Agent 7.7 以降が必要です。

Windows Server 2012 RDS ホストは Horizon Agent 2006 以降でサポートされていません。

サポートされる Linux ゲスト オペレーティング システムと機能については、Horizon での Linux デスクトップのセットアップを参照してください。

RDS ホストは、Windows リモート デスクトップ サービスと Horizon Agent がインストールされたサーバ コンピュータです。RDS ホスト上のリモート デスクトップ セッションは複数のユーザーによる同時利用が可能です。RDS ホストには物理マシンまたは仮想マシンのいずれかを使用できます。

表 1. RDS ホストでサポートされる機能

機能

Windows Server 2012 および Windows Server 2012 R2 RDS ホスト

Windows Server 2016 RDS ホスト

Windows Server 2019 RDS ホスト

RSA SecurID または RADIUS

X

X

X

スマート カード

X

X

X

シングル サインオン

X

X

X

PCoIP 表示プロトコル

X

X

X

VMware Blast 表示プロトコル

X

X

X

HTML Access

X

X

X

USB リダイレクト

X

X

X

クライアント ドライブのリダイレクト

X

X

X

VMware Integrated Printing とロケーション ベースの印刷

X

X

X

複数のモニター

X

X

X

リアルタイム オーディオビデオ (RTAV)

X

X

X

VMware Blast 表示プロトコルまたは PCoIP 表示プロトコルでは、リモート デスクトップの 4K (3840 x 2160) の画面解像度がサポートされます。サポートされる 4K ディスプレイの数は、デスクトップ仮想マシンのハードウェア バージョンと Windows のバージョンによって異なります。

ハードウェア バージョン

Windows バージョン

サポートされる 4K ディスプレイの数

10(ESXi 5.5.x 互換)

7、8、8.x、10

1

11(ESXi 6.0 互換)

7

(3D レンダリング機能が無効で、Windows Aero が無効の場合)

3

11

7

(3D レンダリング機能が有効の場合)

1

11

8、8.x、10

1

13、14

7、8、8.x、10

(3D レンダリング機能が有効の場合)

1

13、14

7、8、8.x、10

4

表 2. Horizon Clientの構成テンプレート:セキュリティ設定

設定

説明

Allow command line credentials

([コンピュータの構成] 設定)

Horizon Clientのコマンド ライン オプションでユーザー認証情報を指定できるかどうかを指定します。この設定が無効になっていると、ユーザーがコマンド ラインから Horizon Clientを実行するときに smartCardPIN および password オプションは使用できません。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は AllowCmdLineCredentials です。

Servers Trusted For Delegation

([コンピュータの構成] 設定)

ユーザーが [現在のユーザーとしてログイン] チェック ボックスを選択すると渡されるユーザー ID と認証情報を受け付ける Connection Server インスタンスを指定します。Connection Server インスタンスを指定しない場合は、すべての Connection Server インスタンスがこの情報を受け付けます。

Connection Server インスタンスを追加するには、次のいずれかの形式を使用します。

domain\system$

system$@domain.com

Connection Server サービスのサービス プリンシパル名(SPN)

これに相当する Windows レジストリの値は BrokersTrustedForDelegation です。

Certificate verification mode

([コンピュータの構成] 設定)

Horizon Clientで実行される証明書確認のレベルを構成します。次のいずれかのモードを選択できます。

No Security。証明書を確認しません。

Warn But Allow。Connection Server のホストが自己署名証明書を提示すると、警告が表示されます。ただし、ユーザーは Connection Server への接続を継続できます。証明書名は、Horizon Clientのユーザーによって提供される Connection Server 名と一致する必要はありません。その他の証明書エラーが発生すると、エラー ダイアログ ボックスが表示され、ユーザーは Connection Server に接続できません。Warn But Allow はデフォルト値です。

Full Security。証明書に関する何らかのエラーが発生すると、ユーザーは Connection Server に接続できなくなります。ユーザーに証明書エラーが表示されます。

このグループ ポリシー設定が構成されると、ユーザーは選択した証明書検証モードをHorizon Clientで確認できますが、設定を構成することはできません。ユーザー向けの SSL 構成に関するダイアログ ボックスには、管理者が設定をロックしたことが表示されます。

この設定が未構成か無効になっている場合、Horizon Clientユーザーは証明書検証モードを選択できます。

グループ ポリシーとして証明書検証設定を構成したくない場合は、さらに、Windows レジストリ設定を修正して証明書検証を有効にできます。

Default value of the 'Log in as current user' checkbox

([コンピュータおよびユーザー構成] 設定)

Horizon Client接続ダイアログ ボックスの [現在のユーザーとしてログイン] チェックボックスのデフォルトの値を指定します。

この設定により、Horizon Clientインストール中に指定したデフォルトの値が上書きされます。

ユーザーがコマンド ラインから Horizon Clientを実行し、logInAsCurrentUser オプションを指定すると、この設定はその値によって上書きされます。

[現在のユーザーとしてログイン] チェック ボックスをオンにすると、ユーザーがクライアント システムにログインするときに入力した ID と認証情報が、Connection Server インスタンスに、そして最終的にはリモート デスクトップに渡されます。チェック ボックスをオフにすると、ユーザーはリモート デスクトップにアクセスするまでに ID と認証情報を何回も入力する必要があります。

デフォルトでは、この設定は無効になっています。

これに相当する Windows レジストリの値は LogInAsCurrentUser です。

Display option to Log in as current user

([コンピュータおよびユーザー構成] 設定)

[現在のユーザーとしてログイン] チェックボックスはHorizon Client接続ダイアログ ボックスで表示できるかどうかを指定します。

チェック ボックスを表示すると、ユーザーはそれをオンまたはオフにして、デフォルト値を上書きできます。チェック ボックスを表示しないと、ユーザーは Horizon Clientの接続ダイアログ ボックスからデフォルト値をオーバーライドできません。

Default value of the 'Log in as current user' checkboxのポリシー設定を使用することで、[現在のユーザーとしてログイン] チェック ボックスのデフォルト値を指定できます。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は LogInAsCurrentUser_Display です。

Enable jump list integration

([コンピュータの構成] 設定)

Windows 7 以降のシステムのタスクバーにあるHorizon Clientアイコンにジャンプ リストを表示するかどうかを決定します。ユーザーはこのジャンプ リストを使用して、最近使った Connection Server インスタンスおよびリモート デスクトップに接続できます。

Horizon Clientが共有されている場合、最近使用したデスクトップの名前を他のユーザーに見られたくないことがあります。この設定を無効にすると、ジャンプ リストを非表示にできます。

デフォルトでは、この設定は有効になっています。

これに相当する Windows レジストリの値は EnableJumplist です。

Enable SSL encrypted framework channel

([コンピュータおよびユーザー構成] 設定)

SSL 暗号化フレームワーク チャネルを有効にするかどうかを決定します。

[有効化]:SSL を有効にしますが、リモート デスクトップで SSL がサポートされていない場合は、非暗号化接続に戻ることを許可します。

[無効化]:SSL を無効にします。この設定は推奨されませんが、デバッグする場合、またはチャネルがトンネリングされず、WAN アクセラレータ製品によって最適化される可能性がある場合に便利なことがあります。

[強制]:SSL を有効にし、SSL がサポートされていないデスクトップへの接続を拒否します。

これに相当する Windows レジストリの値は EnableTicketSSLAuth です。

Configures SSL protocols and cryptographic algorithms

([コンピュータおよびユーザー構成] 設定)

SSL 暗号化接続を確立する前に、特定の暗号化アルゴリズムとプロトコルの使用を制限する暗号リストを構成します。暗号リストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。

Horizon Client のデフォルト値は、[TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES] です。

すべての暗号文字列では、大文字と小文字が区別されます。

暗号化スイートは 128 ビットまたは 256 ビット AES を使用し、匿名 DH アルゴリズムを削除して、現在の暗号リストを暗号化アルゴリズムのキー長の順にソートします。

Web ブラウザで openssl cipher string を検索して、暗号リストの形式を確認できます。

これに相当する Windows レジストリの値は SSLCipherList です。

この設定をグループ ポリシーとして構成したくないときは、クライアント コンピュータの次のレジストリ キーのいずれかに、SSLCipherList 値の名前を追加することにより、証明書検証を有効にできます。

32 ビット Windows の場合: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

64 ビット Windows の場合:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security

Enable Single Sign-On for smart card authentication

([コンピュータの構成] 設定)

スマート カード認証に対してシングル サインオンを有効にするかどうかを指定します。シングル サインオンを有効にすると、Horizon Clientは、スマート カードの暗号化された PIN を、一時的なメモリに格納してから Connection Server に送信します。シングル サインオンを無効にすると、Horizon Clientでカスタム PIN ダイアログは表示されません。

これに相当する Windows レジストリの値は EnableSmartCardSSO です。

デフォルトでは、この設定は有効になっています。

デフォルトでは、この設定は無効になっています。

AllowDirectRDP

Horizon Clientデバイス以外のクライアントが RDP を使用してリモート デスクトップに直接接続できるかどうかを指定します。この設定が無効になっていると、エージェントでは、Horizon Client経由での Horizon によって管理される接続のみが許可されます。

Horizon Clientfor Mac からリモート デスクトップに接続する場合は、AllowDirectRDP の設定を無効にしないでください。この設定を無効にすると、Access is denied(アクセスが拒否されました) エラーが発生して接続に失敗します。

重要

Windows リモート デスクトップ サービスが各デスクトップのゲスト OS で実行されている必要があります。この設定を使用して、ユーザーが自分のデスクトップに直接 RDP 接続を作成することを不可にできます。

AllowSingleSignon

シングル サインオン (SSO) を使用して、ユーザーをデスクトップおよびアプリケーションに接続するかどうかを決定します。この設定が有効になっていると、ユーザーはサーバにログインするときに、自分の認証情報を 1 回入力するだけで済みます。この設定を無効にすると、ユーザーはリモート接続の確立時に再認証する必要があります。

デフォルトではリストは指定されていません。

CommandsToRunOnConnect

セッションに初めて接続するときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。

CommandsToRunOnDisconnect

セッションが切断されたときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。

CommandsToRunOnReconnect

セッションが切断された後、再接続されるときに実行されるコマンドまたはコマンド スクリプトのリストを指定します。

ConnectionTicketTimeout

Horizon 接続チケットが有効な時間(秒)を指定します。

Horizon Clientデバイスは、エージェントに接続するときに、検証とシングル サインオンのために接続チケットを使用します。セキュリティ上の理由から、接続チケットは限られた期間のみ有効です。ユーザーがリモート デスクトップに接続するときは、接続チケットのタイムアウト期間内に認証を行う必要があります。そうでないとセッションがタイムアウトになります。この設定が構成されていない場合、デフォルトのタイムアウト期間は 900 秒になります。

CredentialFilterExceptions

エージェントの CredentialFilter のロードを許可されていない実行可能ファイルを指定します。ファイル名にパスまたはサフィックスを含めることはできません。複数のファイル名を区切るにはセミコロンを使用します。

Connect all USB devices to the desktop on launch

デスクトップの起動時に、クライアント システム上の使用可能なすべての USB デバイスをデスクトップに接続するかどうかを指定します。

Connect all USB devices to the desktop when they are plugged in

USB デバイスがクライアント システムにプラグインされたときに、それらの USB デバイスをデスクトップに接続するかどうかを指定します。

Logon Password

Horizon Client がログイン時に使用するパスワードを指定します。このパスワードは、Active Directory によってテキスト形式で格納されます。

viewusb.AllowAutoDeviceSplitting

Allow Auto Device Splitting

複合 USB デバイスの自動分割を許可します。

デフォルト値は未定義で、false と同じです。

viewusb.SplitExcludeVidPid

Exclude Vid/Pid Device From Split

ベンダーおよびプロダクト ID で指定された複合 USB デバイスは、分割対象から除外します。設定の形式: vid-<xxx1>_pid-<yyy2>[;vid-<xxx2>_pid-<yyy2>]...

ID 番号は 16 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。

例: vid-0781_pid-55**

デフォルト値は定義されていません。

viewusb.SplitVidPid

Split Vid/Pid Device

ベンダーおよびプロダクト ID で指定した複合 USB デバイスのコンポーネントを、別のデバイスとして扱います。設定の形式:

vid-<xxxx>_pid-<yyyy>(exintf:<zz>[;exintf:<ww> ])

exintf というキーワードを使用すれば、インターフェイス番号を指定することで、コンポーネントをリダイレクトから除外することができます。ID 番号は 16 進数で指定し、インターフェイス番号は先行ゼロをすべて含む 10 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。

例: vid-0781_pid-554c(exintf:01;exintf:02)

明示的に除外しなかったコンポーネントは、Horizon で自動的に含まれることはありません。これらのコンポーネントを含めるには、Include Vid/Pid Device などのフィルタ ポリシーを指定する必要があります。

デフォルト値は定義されていません。

viewusb.AllowAudioIn

Allow Audio Input Devices

オーディオ入力デバイスのリダイレクトを許可します。

デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。

viewusb.AllowAudioOut

Allow Audio Output Devices

オーディオ出力デバイスのリダイレクトを許可します。

デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。

viewusb.AllowHID

キーボードまたはマウス以外の入力デバイスのリダイレクトを許可します。

デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。

viewusb.AllowHIDBootable

Allow HIDBootable

キーボードとマウス以外で、起動時に利用可能な入力デバイス(HID 起動可能なデバイス)のリダイレクトを許可します。

デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。

viewusb.AllowDevDescFailsafe

Allow Device Descriptor Failsafe

Horizon Client が設定またはデバイス記述子を取得できない場合でも、デバイスのリダイレクトを許可します。

config/desc が失敗してもデバイスを許可するには、IncludeVidPidまたは IncludePath などの Include フィルタにそれを含みます。

デフォルト値は未定義で、false と同じです。

Allow Other Input Devices

HID 起動可能なデバイスや統合型ポインティング デバイス付きキーボード以外の入力デバイスのリダイレクトを許可します。

デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。

viewusb.AllowKeyboardMouse

Allow Keyboard and Mouse Devices

統合型ポインティング デバイス(マウス、トラックボール、タッチ パッドなど)付きキーボードのリダイレクトを許可します。

デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。

viewusb.AllowSmartcard

Allow Smart Cards

スマート カード デバイスのリダイレクトを許可します。

デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。

viewusb.AllowVideo

Allow Video Devices

ビデオ デバイスのリダイレクトを許可します。

デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。

viewusb.DisableRemoteConfig

Disable Remote Configuration Download

USB デバイスのフィルタリングを実行するときは、エージェント設定の使用を無効にします。

デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。

viewusb.ExcludeAllDevices

Exclude All Devices

リダイレクト対象からすべての USB デバイスを除外します。true に設定すると、その他のポリシー設定を使用して、特定のデバイスまたはデバイス ファミリがリダイレクトされるようにすることができます。false に設定すると、その他のポリシー設定を使用して、特定のデバイスまたはデバイス ファミリがリダイレクトされるのを防止できます。

エージェントで Exclude All Devicesの値を true に設定し、この設定が Horizon Client に渡されると、エージェントの設定によって Horizon Client の設定はオーバーライドされます。

デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。

viewusb.ExcludeFamily

Exclude Device Family

リダイレクト対象からデバイス ファミリを除外します。設定の形式: <family_name_1>[;<family_name_2>]...

例: bluetooth;smart-card

自動デバイス分割を有効にした場合、Horizon は複合 USB デバイスの各インターフェイスのデバイス ファミリを調べ、除外するインターフェイスを判断します。自動デバイス分割を無効にした場合、Horizon は複合 USB デバイス全体のデバイス ファミリを調べます。

デフォルト値は定義されていません。

viewusb.ExcludeVidPid

Exclude Vid/Pid Device

指定したベンダーとプロダクト ID のデバイスを、リダイレクト対象から除外します。設定の形式: vid-<xxx1>_pid-<yyy2>[;vid-<xxx2>_pid-<yyy2>]...

ID 番号は 16 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。

例: vid-0781_pid-****;vid-0561_pid-554c

デフォルト値は定義されていません。

viewusb.ExcludePath

Exclude Path

特定のハブまたはポートのパスにあるデバイスをリダイレクト対象から除外します。設定の形式: bus-<x1>[/<y1>].../port-<z1>[;bus-<x2>[/<y2>].../port-<z2>]...

バスやポート番号は 16 進数で指定する必要があります。パスにワイルドカード文字を使用することはできません。

例: bus-1/2/3_port-02;bus-1/1/1/4_port-ff

デフォルト値は定義されていません。

viewusb.IncludeFamily

Include Device Family

デバイス ファミリをリダイレクト対象に含めます。設定の形式: <family_name_1>[;<family_name_2>]...

例: storage

デフォルト値は定義されていません。

viewusb.IncludePath

Include Path

特定のハブやポートのパスにあるデバイスをリダイレクト対象に含めます。設定の形式: bus-<x1>[/<y1>].../port-<z1>[;bus-<x2>[/<y2>].../port-<z2>]...

バスやポート番号は 16 進数で指定する必要があります。パスにワイルドカード文字を使用することはできません。

例: bus-1/2_port-02;bus-1/7/1/4_port-0f

デフォルト値は定義されていません。

viewusb.IncludeVidPid

Include Vid/Pid Device

指定したベンダーとプロダクト ID のデバイスを、リダイレクト対象に含めます。設定の形式: vid-<xxx1>_pid-<yyy2>[;vid-<xxx2>_pid-<yyy2>]...

ID 番号は 16 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。

例: vid-0561_pid-554c

デフォルト値は定義されていません。

重要

[クライアントのユーザー インターフェイスでドメイン リストを非表示] 設定を有効にし、Connection Server インスタンスで 2 要素認証(RSA SecureID または RADIUS)を選択している場合は、Windows ユーザー名の一致を強制しないでください。Windows ユーザー名の一致を強制すると、ユーザーは、ユーザー名のテキスト ボックスにドメイン情報を入力できなくなり、ログインが常に失敗します。

「ドメイン リストを送信」の設定

「クライアントのユーザー インターフェイスでドメイン リストを非表示」の設定

ユーザーのログイン方法

無効(デフォルト)

有効

[ドメイン] ドロップダウン メニューは表示されません。ユーザーは、[ユーザー名] テキスト ボックスに次のいずれかの値を入力する必要があります。

ユーザー名(複数のドメインの場合は使用できません)

<domain>\<username>

<username>@<domain.com>

無効(デフォルト)

無効

クライアントでデフォルトのドメインが設定されている場合、デフォルトのドメインが [ドメイン] ドロップダウン メニューに表示されます。クライアントがデフォルトのドメインを認識していない場合は、[ドメイン] ドロップダウン メニューに *DefaultDomain* が表示されます。ユーザーは、[ユーザー名] テキスト ボックスに次のいずれかの値を入力する必要があります。

ユーザー名(複数のドメインの場合は使用できません)

<domain>\<username>

<username>@<domain.com>

有効

有効

[ドメイン] ドロップダウン メニューは表示されません。ユーザーは、[ユーザー名] テキスト ボックスに次のいずれかの値を入力する必要があります。

ユーザー名(複数のドメインの場合は使用できません)

<domain>\<username>

<username>@<domain.com>

有効

無効

ユーザーは、[ユーザー名] テキスト ボックスにユーザー名を入力して、[ドメイン] ドロップダウン メニューからドメインを選択できます。あるいは、[ユーザー名] テキスト ボックスに次のいずれかの値を入力できます。

<domain>\<username>

<username>@<domain.com>

空のアプリケーション セッションが開かれたままにする時間を決定します。アプリケーション セッションで実行されているアプリケーションがすべて閉じられた時点で、そのセッションは空の状態です。セッションが開かれている間、ユーザーはアプリケーションを速やかに開くことができます。空のアプリケーション セッションを切断またはログオフすると、システム リソースを節約できます。タイムアウト値として、[なし] または [直後] を選択するか、分単位で数字を設定します。デフォルトは [1 分後] です。[直後] を選択すると、30 秒以内にセッションがログオフまたは切断します。

Horizon Agent がインストールされている RDS ホストのレジストリ キーを編集すると、セッションのログオフまたは切断時間をさらに短縮できます。HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Plugins\wssm\applaunchmgr\Params に移動し、WindowCheckInterval の値を設定します。デフォルト値は 20000 です。この場合、空のセッションの確認が 20 秒ごとに行われます。最後のアプリケーション セッションが終了してからセッションがログオフするまでの最大時間は 40 秒に設定されます。この値は 2500 に変更できます。この場合、空のセッションの確認が 2.5 秒ごとに行われます。最後のアプリケーションが終了してからセッションがログオフするまでの最大時間は 5 秒に設定されます。