こんにちは、ネットワールドの海野です。
この記事は vExperts Advent Calendar 2023 の23日目の記事として投稿されています。
以前の VMUG (VMware User Group) で Horizon 環境でのセキュリティについてお話をさせていただきました。
このときは YubiKey と呼ばれる FIDO2 認証に対応した物理的なセキュリティキーで VMware Horizon の認証をするという内容だったのですが、Hrozion 2306 以降で FIDO2 のリダイレクトの機能が追加されたというリリースノートを見つけましたので、こちらをご紹介したいと思います。
以下の画像は公式ドキュメントからの抜粋です。
では、さっそく検証してみましょう。
検証のステップとしては以下の通りです。
- VMware Horizon をセットアップする
- FIDO2 リダイレクトを有効にするためのポリシーを適用する
- テストとして セキュリティキーを利用して Google へサインインする
検証環境
検証環境は以下の通りです。
- VMware Horizon 2309 (投稿日現在で最新)
- VDI : Windows 10 22H2
- Horizon Client 2309 (Windows 10 22H2)
FIDO2 リダイレクトのシステム要件
以下、公式ドキュメントから抜粋です。
セキュリティキー
今回は YubiKey ではなく、新しく私が自腹で購入した Google Titan セキュリティキーを利用します。
取り出すとこんな感じです。
当然 FIDO2 リダイレクトの要件に対応しています。
VMware Horizon の設定
Horizon 側で追加が必要なモジュールのインストールなどは特にありませんが、VMware のポータルから入手できる Horizon GPO Bundle だけは必要です。
これをダウンロードしておきましょう。(以下の図は 2309 の場合です。)
ポリシーの設定
ここでは検証の単純化を目的として Active Directory を利用せず、ローカルポリシーへの適用の手順を例示します。
Horizon GPO Bundle の .zip ファイルを展開し、その内容を VDI (Horizon Agent) 側の "C:\Windows\PolicyDefinetions" へコピーします。
※Active Directory の場合はコピー先のパスが異なりますのでご注意ください。
VDI 側の "gpedit.msc" でローカルグループポリシーエディターを起動します。
[ローカルコンピューターポリシー] の [管理用テンプレート] - [VMware View Agent の構成] - [エージェントの構成] から [FIDO2 認証子へのアクセスを許可する] の設定を見つけます。
[FIDO2 認証子へのアクセスを許可する] の設定を [有効] にし、[OK] で進めます。
この後、コンピューターポリシーを確実に反映させるために VDI を再起動しました。
再起動後、改めて Horizon Client から VDI へ接続し、Chrome から Google へのサインインを試みます。
パスワードは入力せずに、[別の方法を試す] で進めます。
セキュリティキーを利用した認証をしたいので、[パスキーを使用] を選択します。
セキュリティキーの挿入が求められます。
Horizon Client 側のパソコンにセキュリティキーを挿入します。
セキュリティキーへのタッチが求められますので、タッチします。
無事にログインできました。
ちなみに…
ポリシーを指定しないとセキュリティキーを Horizon Client 側のパソコンに挿入しても VDI 側に認識がされず、セキュリティキーでの認証ができない状態になります。
以上で Horizon 環境での FIDO2 セキュリティキーが利用できるようになりました。
あとがき
パスキーが利用できる環境が増えてきています。
VDI でもこうした物理キーが使えるようになるのはとても便利に感じますが、これは使ってるひとじゃないとわからない感覚かもしれませんね。
海野
得意ジャンルは EUC で、好きなジャンルは無心でできるコーディング。
