如果您已在客户端系统上注册了 Windows Hello for Business,则适用于 Windows 的 Horizon Client 上的“以当前用户身份登录”功能支持使用证书身份验证的 Windows Hello for Business。仅 VMware Blast 显示协议支持 Windows Hello for Business。

注: 如果在 Horizon Connection Server 上启用 True SSO,它将优先于 Windows Hello for Business。

必备条件

您的系统必须满足以下要求才能使用 Windows Hello for Business 进行身份验证:
  • 必须在代理和 Horizon Client 上启用“以当前用户身份登录”。
  • 您的客户端系统必须使用支持证书信任的 Windows Hello for Business 部署进行注册。有关支持的部署模型(包括证书信任)的详细信息,请参阅 https://learn.microsoft.com/zh-cn/windows/security/identity-protection/hello-for-business/hello-deployment-guide
  • 必须使用 Windows Hello for Business 凭据登录到安装了 Horizon Client 的系统。
  • 如果使用了 Unified Access Gateway,则必须使其处于直通模式。
  • 系统硬件要求如下所示:
    • Horizon Connection Server 和 Horizon Agent 版本 8.6 或更高版本。
    • 适用于 Windows 的 Horizon Client 版本 2206 或更高版本。
    • Windows Server 2019 或更高版本(如果在 Windows Server 上安装了 Horizon Agent)。

不支持的用例

以下场景中不支持 Windows Hello for Business:
  • Unified Access Gateway 处于非直通模式
  • 启用了双因素身份验证或 SAML 的 Unified Access Gateway
  • 桌面版应用程序
  • 在其中将 Horizon AgentHorizon Client 安装到同一系统并在嵌套环境中使用的环境
  • Direct Agent Connect
  • 使用除证书信任以外的任何其他方法,通过 Windows Hello for Business 注册要启动 Horizon Client 的客户端系统。
  • 在受保护模式下运行本地安全机构子系统服务 (LSASS) 的远程桌面计算机。默认情况下,Windows 11 计算机在受保护模式下运行 LSASS。

与第三方应用程序共享 Windows Hello for Business 证书

您可以使用 CertStoreIntercept 库与第三方应用程序共享用于 SSO 的 Windows Hello For Business 证书以进行用户身份验证。可以通过 Windows Hello for Business Certificate Redirection GPO 设置来配置此库。有关更多信息,请参阅《Horizon 远程桌面功能和 GPO》文档中的“VMware View Agent 配置 ADMX 模板设置”。

日志记录

默认情况下,将为 Windows Hello for Business 证书重定向禁用日志记录。管理员可以通过注册表项 HKM\SOFTWARE\VMware, Inc.\VMware VDM\Whfb\IsCertInterceptLoggerEnabled 启用日志记录。

Horizon Agent 上,Windows Hello for Business 日志保存在 Agent 调试日志中。在 Horizon Client 上,这些日志保存在位于 %LOCALAPPDATA%\VMware\VDM\logs 的调试日志文件。