VMware Workspace ONE Access | 2022 年 12 月 VMware Workspace ONE Access Connector (Windows) 22.09.1.0 | 2022 年 12 月 13 日 | 内部版本 Workspace-ONE-Access-Connector-Installer-22.09.1.0.exe |
VMware Workspace ONE Access | 2022 年 12 月 VMware Workspace ONE Access Connector (Windows) 22.09.1.0 | 2022 年 12 月 13 日 | 内部版本 Workspace-ONE-Access-Connector-Installer-22.09.1.0.exe |
为所有客户启用了新管理控制台导航
对于所有用户,已将 Workspace ONE Access 控制台迁移到全新导航。已从所有客户的控制台标题中移除用于恢复到较旧导航的选项开关。有关更改的控制台的概览,请参阅在 Workspace ONE Access 管理控制台中导航一节中的“Workspace ONE Access 控制台功能和设置”主题。
更新了适用于本地用户的 Workspace ONE Access 云部署版本默认密码策略
由于 VMware 致力于满足最高的安全标准,因此 Workspace ONE Access 正在强化本地用户的默认密码策略。此更改会影响密码长度,以及数字和特殊字符的数量。更改或创建密码时,将强制实施复杂性要求。此更新仅适用于对在 Workspace ONE Access 控制台中创建的本地用户使用默认密码策略的客户。
Workspace ONE 中基于轮班的访问控制(处于技术预览版)
基于轮班的访问控制功能现在作为技术预览版提供。
通过基于轮班的访问控制,客户可以将 Hub 服务功能配置为在基于轮班的员工正常工作时使用。在 Workspace ONE Access 控制台中,您可以将基于轮班的身份验证配置为授权方法,以根据员工是上班还是下班来管理员工可以启动特定 Workspace ONE Access 联合应用程序的时间。
此版本的基于轮班的访问控制利用来自客户 WorkJam 或 Kronos 计时系统的工作状态信息,并在认为用户未工作时启用对通知、应用程序授权和单点登录等 Workspace ONE Intelligent Hub 功能的可配置限制。
基于轮班的访问控制技术预览版为您预览该功能提供了机会,并会向我们提供反馈和功能建议。此功能不完全受支持,无法在生产环境中使用。您可以在测试环境中安装技术预览版。如果要启用此功能,请联系您的客户团队。
注意:此版本的基于轮班的访问控制支持与 WorkJam 或 Shiftos 计时系统集成,并且需要 Workspace ONE Experience Workflows、Hub 服务(仅限云)、Workspace ONE Access(仅限云部署版本)、适用于 iOS 的 Workspace ONE Intelligent Hub 22.08 或更高版本,及适用于 Android 的 Workspace ONE Intelligent Hub 22.11 或更高版本。
新管理控制台导航默认处于开启状态
成功启动 Workspace ONE Access 控制台导航重新设计后,Workspace ONE Access 控制台标题处的新导航选项开关现在将处于打开状态,以默认为所有用户显示新导航。有关更改的概览,请参阅在最新的 Workspace ONE 管理控制台中导航一节中的“Workspace ONE Access 控制台功能和设置”主题。此选项开关将于 2022 年 12 月移除。
重新设计的用户参与仪表板
Workspace ONE Access 控制台中的“用户参与”仪表板显示有关用户和资源的信息。您可以查看已登录的人员、正在使用的应用程序以及应用程序的访问频率。您可以创建报告来跟踪用户和组的活动以及资源使用情况。重新设计的 UI 将更新为 Workspace ONE 标准 UI。现在,您可以在 Workspace ONE Access 中所显示的用户和组总数下方找到今日唯一用户登录次数的数量。一段时间内的登录总次数将显示每周的登录动态。
目录同步频率更新
同步时间之间的间隔变得更加灵活,使管理员能够选择设置每小时同步、每 2 小时同步、每 6 小时同步或每 12 小时同步。管理员还可以选择将其同步频率设置为每日或每周时间间隔这样较低的频率。
Workspace ONE Access 中基于轮班的条件访问策略可支持对 Workspace ONE 数字工作区进行基于轮班的访问
通过 Workspace ONE 的基于轮班的访问控制,贵公司能够提供一个可识别轮班的数字工作区。基于轮班的访问控制可限制员工在没有打卡上班时使用不同的产品应用程序和功能。
在 Workspace ONE Access 控制台中,您可以将基于轮班的身份验证配置为授权方法,以根据员工是上班还是下班来管理员工可以启动特定 Workspace ONE Access 联合应用程序的时间。在根据您的访问策略规则使用第一因素身份验证方法对工作者进行身份验证后,将应用授权。
UEM 令牌设备注册身份验证方法
UEM 令牌身份验证方法允许客户将身份验证源从 Workspace ONE UEM 无缝更改为 Workspace ONE Access,以便对适用于 iOS 和 Android 的 Workspace ONE Intelligent Hub 进行设备注册。对于处于已注册模式的设备和注册时没有 Workspace ONE UEM 证书的 Android 设备,可以对其进行标识并在 Workspace ONE Access 中进行身份验证。此功能解决了以前出现的重复身份验证问题,并为 Workspace ONE UEM 客户提供了到 Workspace ONE Access 的最无缝转换,并且不会影响现有的已注册设备。
注意:UEM 令牌身份验证适用于 Workspace ONE UEM 版本 2210 及更高版本。
基于时间的一次性密码 (TOTP) 身份验证现可在 Workspace ONE Intelligent Hub iOS 和 Android 中使用
适用于 iOS 和 Android 的 Workspace ONE Intelligent Hub 支持添加和生成基于时间的一次性密码(简称 TOTP)。
具有二维码或帐户密钥的最终用户可以在 Workspace ONE Intelligent Hub 中注册该密钥,以便生成基于时间的一次性密码。这不需要 Internet 连接。
最终用户可以在应用程序“帐户”屏幕中的“双因素身份验证”下找到此功能,方法是点击任何屏幕(如果用户具有 Hub 服务)或主屏幕(如果处于仅 UEM 模式)中应用程序顶部的图标。由于 TOTP 提供的设备访问基本安全功能,对于为多个用户传递设备的多个注册预备用户的情况,不支持此功能。
绕过 WS-Fed 活动流量中的 multipleauthn SAML 属性声明
将不再在活动的联合流量中传递 multipleauthn SAML 属性。
Workspace ONE Access Connector 22.09
集成启用了多站点聚合的 Citrix Virtual Apps and Desktops。对于 SaaS 托管部署和内部部署,Workspace ONE Access 版本 22.09 支持创建启用了多站点聚合的 Citrix 应用程序和桌面。Citrix 多站点聚合允许将跨多个站点复制的应用程序或桌面组合在一起,并显示为单个应用程序或桌面图标。
对 Citrix Virtual Apps and Desktops 使用关键字筛选。管理员可以使用关键字从其 Citrix Virtual Apps and Desktops 中筛选资源,以仅向最终用户显示筛选的资源。此功能在 SaaS 托管部署和内部部署模型中均受支持,可以在安装 22.09 Workspace ONE Access Connector 时进行配置。
Windows 连接器支持 ThinApp。Workspace ONE Access Connector 22.09 提供了 ThinApp 支持。这将允许在 Workspace ONE Access 的内部部署版本和 SaaS 托管版本中进行 ThinApp 软件包同步。必须转换现有的 ThinApp 软件包,才能与 22.09 Workspace ONE Access Connector 配合使用。此外,在迁移到 22.09 Connector 之前,必须先将旧版 Linux 连接器升级到适用于 Windows 的 VMware Identity Manager Connector 19.03.01。
需要 Workspace ONE Access Desktop 应用程序才能启动 ThinApp 软件包,而且 22.09 版本提供了新功能。最终用户将能够查看进度条浏览器,这将增强在后台下载 ThinApp 软件包时的用户体验。此外,还有一个新的立即同步按钮,允许用户按需强制下载软件包。
注意:在 Workspace ONE Access Desktop 应用程序中,已弃用打开我的 Identity Manager 门户命令。
此版本包括 Workspace ONE Access Connector 22.09 中已解决的以下问题
HW-157180:提高了 Horizon 虚拟应用程序集合同步的弹性
HW-164225:解决了与从 Workspace ONE 目录启动 Citrix 专用桌面相关的问题
HW-151085:解决了通过 Workspace ONE Access 同步的 Horizon 应用程序和桌面的显示名称不正确的问题
HW-139876:如果未安装适用于 Horizon 的 HTML Access,UI 现在会在容器配置页面上显示一条警告
HW-143339:解决了将用户迁移到同一 AD 林中的新域时导致同步失败的问题。此外,还增加了对迁移到不同域和林的用户的支持。
HW-163476:解决了在启动 Horizon 应用程序和桌面后提示用户再次输入其凭据的问题
更新了 People Search 设置,增加了对自定义属性的支持
在 Workspace ONE Access SaaS 租户中启用新的控制台导航时,用于 People Search 配置的新用户界面将为管理员提供分步设置流程。完成 People Search 设置后,People Search 页面将出现显示摘要和同步状态信息的卡片。摘要卡片允许管理员查看与 People Search 关联的目录以及在该目录中映射的用户属性。同步状态信息卡片允许管理员了解当前同步的进度、手动强制照片同步、修改照片同步频率以及查看同步日志。
改进了用户组管理 UI
在使用 Workspace ONE Access 控制台的新导航和重新设计的外观时,您会看到焕然一新的“帐户 > 用户组”页面。界面进行了一些特定的功能更改,可帮助您更高效地管理各个组。
现在,您可以从“用户组 > 单个组”页面为该组分配角色。
组可以按升序/降序方式排序,并在组列表页面中按名称过滤。
“用户组”列表页面添加了分页功能,以提高滚动效果。
更新了“登录首选项”页面
在使用 Workspace ONE Access 控制台的新导航和重新设计的外观时,您会在“设置 > 登录首选项”下看到焕然一新的“登录首选项”页面。要更改设置,管理员可单击标题处的“编辑”按钮。现在,每个字段都有一个包含帮助文本的工具提示,以帮助了解如何使用该设置。
“发生故障时继续”身份验证策略
此版本中引入了一个新的访问策略配置,可用于灵活控制规则策略的执行方式。现在,您可以使用以下规则创建访问策略,即允许用户在当前规则的身份验证失败时继续执行下一个规则。在 Workspace ONE Access 服务中,执行第一个匹配规则中的条件时,常规策略执行将终止。如果当前规则的身份验证失败,新的规则继续执行选项允许您继续执行策略中的下一个匹配规则。此配置的常见用例包括无密码身份验证流以及针对不同用户组的灵活替代身份验证规则。
更新了“自定义品牌标识”页面
在使用新的导航和重新设计的 Workspace ONE Access 控制台外观时,您会在“设置”>“品牌标识”下看到焕然一新的“品牌标识”页面。重新设计的控制台中不再提供用于更改图标的设置。现在,“品牌标识”页面上提供了用于自定义 VMware Verify 应用程序品牌标识的设置。
由于 Workspace ONE 应用程序支持期终止,因此移除了相关设置
由于 Workspace ONE 应用程序支持期终止,从 Workspace ONE Access 控制台的用户界面中移除了多个配置和品牌标识设置。有关 Workspace ONE 应用程序支持期终止的更多信息,请参阅 VMware Workspace ONE 应用程序支持期终止知识库文章 (80208)。
连接器支持具有单容器代理的 Horizon Cloud Service on Microsoft Azure(仅限 Workspace ONE Access 云部署版本)
22.05 版本的 Workspace ONE Access Connector 支持与具有单容器代理的 Horizon Cloud Service on Microsoft Azure 以及 Horizon Cloud Service on IBM Cloud 集成。这样可将用于虚拟应用程序的旧版连接器从版本 19.03 或 19.03.0.1 迁移到版本 22.05 Connector。在这个一次性过程中,必须同时迁移目录和虚拟应用集合。
连接器支持 FIPS 模式(仅限 Workspace ONE Access FedRAMP)
22.05 Workspace ONE Access Connector 包含一个用于在安装期间启用 FIPS 模式的选项。FIPS 模式会将连接器设置为使用美国政府建议的在合规性级别安全的数据和加密运行。使用的算法为符合 FIPS 140-2 的算法。
启用了 FIPS 模式的 Workspace ONE Access Connector 不支持与 Citrix、Horizon、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 集成。启用了 FIPS 模式的 Workspace ONE Access Connector 支持集成在具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 中运行的虚拟应用程序。
注意:
升级到 22.05 Connector 时,FIPS 模式选项不可用。仅在新的连接器安装中支持启用 FIPS 模式的选项。
在连接器中启用 FIPS 模式后,要禁用 FIPS 模式,必须重新安装连接器。
符合 RFC 6238 的身份验证器应用程序支持基于时间的一次性密码 (TOTP)*
Workspace ONE Access 现在支持新的身份验证方法“身份验证器应用程序”,以增强其本机 MFA 功能。此 MFA 非常适合具有未受管设备的用户,可以脱机使用,并且不需要收集个人标识信息 (PII)。用户可以在其自己的设备上利用自己选择的任何身份验证器应用程序,如 Google Authenticator、Microsoft Authenticator、Okta Verify、Okta Verify、Authy、1Password,这些应用遵循 RFC 6238 中定义的基于时间的一次性通行码 (TOTP) 标准。在今年第 3 季度晚些时候,将在 Intelligent Hub iOS 和 Android 应用程序上提供 TOTP 客户端支持。有关配置说明,请参阅为身份验证器应用程序配置双因素身份验证。
标识符为 CVE-2021-44228 和 CVE-2021-45046 的漏洞已在 Workspace ONE Access Connector 版本 22.05 中修复。有关详细信息,请参阅 VMware 安全公告 VMSA-2021-0028。
HW-151085。修复了在 Horizon 应用程序上显示错误的应用程序显示名称的问题。
HW-155731。同步组成员资格时,不再从 Active Directory 检索计算机对象。
HW-126664。解决了 Workspace ONE Access Connector 重试建立连接时出现的问题。
新增:2022 年 12 月 19 日
HW-170576 – Workspace ONE Access 22.05 Connector。配置代理后,虚拟应用程序服务无法从 Horizon Cloud Service 单容器代理设置中获取元数据。
请联系 VMware 技术支持团队以请求获取修补程序。
重新设计的 Workspace ONE Access 导航简介
重新设计的 Workspace ONE Access 管理控制台改进了用于导航和编辑关键设置的功能,可帮助您实现业务目标。位于控制台中标题处的新切换开关将可以帮助您切换到重新设计的控制台,为方便比较,您可以切换回来。这些页面归入到五个选项卡(即“监控”、“帐户”、“资源”、“集成”和“设置”)下,并且其菜单位于左侧面板中。为简化配置过程,移除了先前的“管理”和“设置”按钮。
监控选项卡包括先前的“仪表板”选项卡以及“限制”和“报告”监控工具。
帐户选项卡将先前的“用户和组”与“角色”选项卡组合在一起。
资源选项卡替换了“目录”选项卡,并包括“策略”,因为它们可提供对最终用户门户的安全访问。
集成选项卡包括与 Workspace ONE Access 集成的内部部署和云组件,用于管理用户、配置身份验证方法以及设置第三方集成。
设置选项卡现在是一个顶级导航选项卡,用于更快地访问品牌标识、密码策略、OAuth 2.0 管理及其他设置。
我们重新设计了几个关键页面,以帮助您探索 Workspace ONE Access 功能。此选项开关处于打开状态时,某些页面会有一些重大改进。例如,“用户配置文件”页面具有一个支持从该页面(编辑角色)编辑用户角色的全新外观和用户活动概览(“活动”选项卡)。在“用户”页面中,我们通过添加高级搜索并按用户名称排除,简化了用户搜索。在“设置”选项卡中,重新设计了 OAuth 2.0 页面,同时显示“密码策略”和“密码恢复”页面,并更新了“用户属性”页面。有关新控制台的更多信息,请参阅 Workspace ONE Access 功能与设置主题。
注意:此更改将影响此租户中的所有管理员用户。
在 Workspace ONE Access 中管理 OAuth 2.0 客户端
在重新设计的控制台中,当“新建导航”切换开关处于打开状态时,“远程应用程序访问”将重命名为“OAuth 2.0 管理”,并移动到“设置”选项卡。Workspace ONE Access 使用 OAuth 2.0 启用应用程序并创建对 Hub 目录中启用的应用程序的安全委派访问。
您可以创建单个 OAuth 2 客户端,以便能够在 Workspace ONE Access 中注册单个应用程序。您也可以创建一个模板以便能够动态注册一组客户端,从而允许访问指定的应用程序。
改进了“OAuth 2.0 管理”页面,其中包括:
客户端和模板现在支持从列表中删除
模板现在可编辑
移除了为客户端创建自已的密钥的功能
内置模板和内部客户端现在处于隐藏状态
2022 年 5 月 15 日提早终止旧版 Workspace ONE 体验产品周期(Workspace ONE 应用程序和 Web 门户产品周期终止)
由于 https://kb.vmware.com/s/article/87908 中列出的一些原因,我们将于 2022 年 5 月 15 日提早终止这些旧版体验的产品周期,其中包括从 App Store 和 Play Store 中移除 Workspace ONE 应用程序。部署了 Workspace ONE 应用程序的客户应立即迁移到 Workspace ONE Intelligent Hub 应用程序。
Workspace ONE 应用程序终止其产品周期后,我们将阻止注册 Workspace ONE 应用程序的新用户。此外,作为设备类型为“设备注册”的访问策略规则的一部分,检测到的所有对 Workspace ONE 应用程序的登录尝试都可能会被阻止。
Verify (Intelligent Hub) 用户体验增强功能
Workspace ONE Access 提升了没有注册设备的用户执行 Verify (Intelligent Hub) 的回退身份验证体验。在即时检测到用户没有合格设备后,Verify (Intelligent Hub) 将无缝地转为使用配置的回退身份验证方法,而不是等待令牌超时。对于没有受管设备的用户,如果配置访问策略规则以将 Verify (Intelligent Hub) 与任何其他双因素身份验证方法结合使用,此更改可提升一般用户体验。
“临时密码生存期”的默认值已更改为 24 小时
根据建议的安全措施,我们正在为新的 Workspace ONE Access 租户将临时密码重置链接的默认有效生存期值更改为 24 小时。此更改不会影响任何修改后的密码策略,并且管理员将仍能够更改此值以满足其独特的业务用例。我们建议所有管理员审查其组织的安全策略,以最大限度地将密码设置中的临时密码生存期仅降至视为绝对必要的小时数。
支持 UEM 令牌身份验证 - 测试版功能(持续时间:2022 年 2 月 17 日到 2022 年 3 月 31 日)
当 Workspace ONE Access 为“身份验证源”时,对 UEM 令牌身份验证的访问支持将允许从 Workspace ONE UEM 注册 Workspace ONE Intelligent Hub iOS 和 Android 移动应用程序。要访问测试版功能并获得更多说明,客户需要在 Early Access 社区门户上拥有一个帐户。在此门户上,导航到“测试版 - WS1 Access”项目,并在请求表单中填写 Access 和 UEM 测试租户信息。此功能的生产版本将在测试版计划结束后不久发布。
访问策略规则现在支持 Linux 和 Chrome OS 设备类型
以前,Linux 和 Chrome OS 设备仅限于匹配的访问策略规则,这些规则会访问“Web 浏览器”或“所有设备类型”中内容,以在 Workspace ONE Access 中进行身份验证。现在,我们分别支持使用 Linux 和 Chrome OS 设备自己的下拉选项来识别这些设备,从而提高了配置特定于 Linux 或 Chrome OS 的身份验证方法的灵活性。此项添加不会中断任何当前访问策略配置的功能,因为“Web 浏览器”和“所有设备类型”仍将适用于任何操作系统。
VMware Workspace ONE Access 提供以下语言版本。
英语
法语
德语
西班牙语
日语
简体中文
韩语
繁体中文
俄语
意大利语
葡萄牙语(巴西)
荷兰语
组件兼容性
支持的 Windows Server
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
支持的 Web 浏览器
Mozilla Firefox,最新版本
Google Chrome,最新版本
Safari,最新版本
Microsoft Edge,最新版本
支持的数据库
MS SQL 2014、2016、2017 和 2019
重要:必须使用 Microsoft SQL 修补程序来更新 Microsoft SQL Server 2014,以便支持 TLS 1.2。
支持的目录服务器
Active Directory - 单个 AD 域、单个 AD 林中的多个域,或多个 AD 林中的多个域。
OpenLDAP - 2.4
Oracle LDAP - Directory Server Enterprise Edition 11g 版本 1 (11.1.1.7.0)
IBM Tivoli Directory Server 6.3.1
虚拟应用程序兼容性
Workspace ONE Access 22.09 Connector 支持 VMware Horizon、Horizon Cloud Service、Citrix 和 ThinApp 与虚拟应用程序服务的集成。
支持以下版本的 Citrix:Citrix Virtual Apps and Desktops 7 2203、Citrix Virtual Apps and Desktops 7 1912 LTSR、XenApp and XenDesktop 7.15 LTSR 以及 XenApp and XenDesktop 7.6 LTSR。此连接器支持 Citrix StoreFront API,但不支持 Citrix Web Interface SDK。
有关受支持的 Horizon 版本,请参阅 VMware 产品互操作性列表。
兼容性列表
VMware 产品互操作性列表提供了有关 VMware 产品和组件(如 VMware vCenter Server、VMware ThinApp 和 Horizon)的当前版本和以前版本的兼容性的详细信息。
升级到 VMware Workspace ONE Access Connector 22.09
您可以将 Workspace ONE Access Connector 版本 22.05、21.08.x、20.10.x 和 20.01.x 升级到版本 22.09。
有关信息,请参阅《升级到 VMware Workspace ONE Access Connector 22.09》指南。
迁移到 Workspace ONE Access Connector 22.09 (Windows)
现提供从 Workspace ONE Access Connector 版本 19.03.x 迁移到版本 22.09 的途径。该过程包括安装新的 22.09 Connector,以及将现有目录和虚拟应用程序集合迁移到新的连接器。迁移是一次性过程,因此必须将目录和虚拟应用集合一起迁移。
迁移完成后,不再需要为 Citrix 集成使用 Integration Broker。所需的功能现已包含在 Workspace ONE Access Connector 的虚拟应用程序服务组件内。
重要信息:
所有旧版连接器必须为版本 19.03.x,才能进行迁移。
要迁移 ThinApp 虚拟应用程序集合,必须先从 Linux 2018.8.1.0 Connector 迁移到 Windows 19.03.0.1 Connector。然后,再从版本 19.03.0.1 迁移到版本 22.09。
有关信息,请参阅《迁移到 VMware Workspace ONE Access Connector 22.09》指南。
Horizon 虚拟应用集合的证书要求
确保 Horizon Connection Server 具有由受信证书颁发机构 (CA) 签名的有效证书。如果 Horizon Connection Server 具有自签名证书,则必须将证书链上载到安装了虚拟应用程序服务的 Workspace ONE Access Connector 实例,以便在连接器与 Horizon Connection Server 之间建立信任关系。这是从 Workspace ONE Access Connector 21.08 开始的新要求。您可以使用连接器安装程序上载证书。有关更多信息,请参阅安装 Workspace ONE Access Connector 22.09。
RSA SecurID 身份验证方法的要求
从 Workspace ONE Access Connector 版本 21.08 开始,RSA SecurID 集成具有以下新要求。
在 RSA 安全控制台中,必须使用完全限定域名 (FQDN) 将 Workspace ONE Access Connector 添加为身份验证代理。例如,connectorserver.example.com。如果已使用 NetBIOS 名称(而非 FQDN)将该连接器添加为身份验证代理,请使用 FQDN 再添加一个条目。将该新条目的“IP 地址”字段留空。请不要删除旧条目。
如果您部署了多个 RSA Authentication Manager 服务器实例,则必须在负载均衡器后面配置这些实例。有关更多信息,请参阅 RSA SecurID 负载均衡器的 Workspace ONE Access 要求。
VMware Workspace ONE Access 文档中心提供了 VMware Workspace ONE Access 文档。