您可以启用 Microsoft VBS,并可以将虚拟可信平台模块 (vTPM) 设备添加到即时克隆桌面池。
注: 可以在不启用 VBS 的情况下,为桌面池启用 vTPM。此外,尽管 Microsoft 建议在启用 VBS 时使用 vTPM,但这不是必需的。
设置密钥管理服务器集群是一个必备条件,要进行此设置,请参阅 vSphere 文档的《vSphere 安全性》文档中的“设置密钥管理服务器集群”。
有关兼容性要求,请参阅 vSphere 文档的《vSphere 安全性》文档中的“使用虚拟可信平台模块保护虚拟机”。
用于 vTPM 即时克隆桌面池的最佳配置映像必须在创建虚拟机时启用 VBS,并且在客户机操作系统内将本地安全策略设置为启用 VBS。
可以使用 ClonePrep 或 Microsoft Sysprep 客户机自定义将 vTPM 设备添加到即时克隆。如果使用的是 Sysprep 自定义,并且启用了智能置备或禁用了父虚拟机(模式 B),请确保集群中的所有主机都运行 ESXi 7.0 Update 3f 或更高版本。
在推送映像操作期间,您还可以选择或取消选择用于添加或移除 vTPM 的选项。
注: 如果集群中的所有主机都运行 ESXi 7.0 Update 3f 或更高版本,Horizon 只能对启用了 vTPM 的桌面池使用模式 B(不使用父虚拟机的即时克隆)。如果池启用了 vGPU,则智能置备会选择模式 B,因此,如果您需要 vGPU 和 vTPM,并且运行的是较旧的 ESXi 版本,则可以强制对池使用模式 A 置备方案。有关详细信息,请参阅
https://kb.vmware.com/s/article/81026。
