如果您已在客户端系统上注册了 Windows Hello for Business,则适用于 Windows 的 Horizon Client 上的“以当前用户身份登录”功能支持使用证书身份验证的 Windows Hello for Business。仅 VMware Blast 显示协议支持 Windows Hello for Business。

注: 如果在 Horizon Connection Server 上启用 True SSO,它将优先于 Windows Hello for Business。

必备条件

您的系统必须满足以下要求才能使用 Windows Hello for Business 进行身份验证:
  • 必须在代理和 Horizon Client 上启用“以当前用户身份登录”。
  • 必须通过 Windows Hello for Business 注册客户端系统。
  • 必须使用 Windows Hello for Business 凭据登录到安装了 Horizon Client 的系统。
  • 如果使用了 Unified Access Gateway,则必须使其处于直通模式。
  • 系统硬件要求如下所示:
    • Horizon Connection Server 和 Horizon Agent 版本 8.6 或更高版本。
    • 适用于 Windows 的 Horizon Client 版本 2206 或更高版本。
    • Windows Server 2019 或更高版本(如果在 Windows Server 上安装了 Horizon Agent)。

不支持的用例

以下场景中不支持 Windows Hello for Business:
  • Unified Access Gateway 处于非直通模式
  • 启用了双因素身份验证或 SAML 的 Unified Access Gateway
  • 桌面版应用程序
  • 在其中将 Horizon AgentHorizon Client 安装到同一系统并在嵌套环境中使用的环境
  • Direct Agent Connect
  • 在受保护模式下运行本地安全机构子系统服务 (LSASS) 的远程桌面计算机。默认情况下,Windows 11 计算机在受保护模式下运行 LSASS。

日志记录

默认情况下,将为 Windows Hello for Business 证书重定向禁用日志记录。管理员可以通过注册表项 HKM\SOFTWARE\VMware, Inc.\VMware VDM\Whfb\IsCertInterceptLoggerEnabled 启用日志记录。

Horizon Agent 上,Windows Hello for Business 日志保存在 Agent 调试日志中。在 Horizon Client 上,这些日志保存在位于 %LOCALAPPDATA%\VMware\VDM\logs 的调试日志文件。

与第三方应用程序共享 Windows Hello for Business 证书

您可以使用 CertStoreIntercept 库与第三方应用程序共享用于 SSO 的 Windows Hello For Business 证书以进行用户身份验证。可以通过 Windows Hello for Business Certificate Redirection GPO 设置来配置此库。有关更多信息,请参阅《Horizon 远程桌面功能和 GPO》文档中的“VMware View Agent 配置 ADMX 模板设置”。