您可以使用受限制的授权功能，根据用户连接的连接代理实例限制远程桌面访问。

使用受限制的授权功能，您可以为一个连接代理实例分配一个或多个标记。之后，在配置桌面池时，您可以选择希望能够访问该桌面池的连接代理实例的标记。当用户通过带标记的连接代理实例登录时，他们只能访问那些至少有一个匹配标记或没有标记的桌面池。

例如，您的 Horizon 8 部署中可能包含两个连接代理实例。其中一个实例用于支持内部用户。另一个实例则与 Unified Access Gateway 设备配对，用于支持您的外部用户。为防止外部用户访问特定桌面，您可以采用以下操作设置受限制的授权：

• 将“内部”标记分配给支持内部用户的连接代理实例。
• 将“外部”标记分配给与 Unified Access Gateway 设备配对并支持外部用户的连接代理实例。
• 将“内部”标记分配给仅供内部用户访问的桌面池。
• 将“外部”标记分配给仅供外部用户访问的桌面池。

外部用户无法看到带“内部”标记的桌面池，因为他们是通过带“外部”标记的连接代理登录的；而内部用户无法看到带“外部”标记的桌面池，因为他们是通过带“内部”标记的连接代理登录的。

您也可以使用受限制的授权功能，根据您为特定连接代理实例配置的用户身份验证方法控制桌面访问。例如，您可以仅允许经过智能卡身份验证的用户使用特定的桌面池。

受限制的授权功能只能强制执行标记匹配。您必须设计网络拓扑结构以强制特定的客户端通过特定的连接代理实例进行连接。