支持密钥身份验证

我们很高兴地宣布在 Workspace ONE Access 中提供用于身份验证的密钥。

密钥是可发现的 FIDO 凭据，这是根据 WebAuthn 标准生成的。密钥允许无密码身份验证，并在所有设备上为用户提供更快、更轻松和更安全的登录体验。密钥已获得广泛的行业支持，并为密码提供一种防网络钓鱼的可行替代方案。

通过在用户设备之间同步 FIDO 注册信息，密钥简化了 FIDO2 身份验证。在所有设备中都提供了密钥支持，包括 iOS、Mac、Windows 和 Android 以及所有主要浏览器。管理员可以继续在 Workspace ONE Access 中将 FIDO2 配置为身份验证方法，并且可以利用密钥的优势。

密钥使用公钥加密技术并包含两个部分：用户登录到的服务器上的公钥以及其设备上的相应私钥。公钥是在具有通用登录名（例如 Chrome 浏览器配置文件或 Apple ID）的设备之间同步的。在用户登录时，Workspace ONE Access 启动 WebAuthn 流程，该流程触发设备生物识别身份验证或 PIN 以验证用户身份，并检查用户的公钥与其私钥是否匹配。用户体验与用户熟悉的典型设备解锁一致。用户将登录到帐户，而私钥及其生物识别信息安全地保留在设备上，并且永远不会共享这些信息。

支持 PKCE 和 OAuth 2.0 公共客户端

PKCE（代码交换证明密钥）是 OAuth 2.0 授权代码流程的扩展，有助于保护 OAuth 令牌以免受到 CSRF 和代码注入攻击。使用授权代码授予的 OAuth 2.0 公共客户端很容易受到授权代码拦截攻击。不受 TLS 保护的通信路径很容易受到该攻击，攻击者可以访问授权代码并使用该代码获取访问令牌。

PKCE 扩展利用动态创建的加密随机密钥，以确保证明客户端拥有授权。Workspace ONE Access 支持为 OAuth 2.0 公共客户端以及参与授权代码流程的客户端启用 PKCE。除了支持 PKCE 以外，Workspace ONE Access 现在还支持创建 OAuth 2.0 公共客户端。对于在浏览器或移动设备上运行并且无法将其注册的客户端密钥保持安全的应用程序，公共客户端是非常有用的。

PKCE 默认处于启用状态，并且对于在 Workspace ONE Access 中创建的所有公共客户端是必需的。

用户选择身份验证

我们很高兴地宣布在 Workspace ONE Access 中提供用户选择身份验证功能。借助这一新功能，用户可以灵活地从提供给他们的一组身份验证选项中进行选择，以进行第二因素身份验证。

在用户可能无法访问其第二因素身份验证选项（例如，用于接收推送通知的智能手机）的情况下，该功能是特别有价值的。在这些情况下，用户可以从提供的选项中无缝地选择替代方法，以成功完成登录过程。

管理员可以配置策略以控制各种身份验证选项的可用性，从而满足特定的身份验证要求。此外，可以配置条件访问参数（如网络范围、设备规格、设备管理状态或用户组），以保护和自定义最终用户的身份验证体验。

该功能仅适用于 Workspace ONE Access SaaS。 

支持具有 Duo Universal Prompt 的 Duo v4 SDK

Workspace ONE Access 现在支持 Duo v4 SDK。Duo v4 支持新的 Duo Universal Prompt，可为基于 Web 的应用程序提供简化且可访问的 Duo 登录体验，它提供了一个重新设计的可视化界面，并增强了安全性和可用性。推出此支持后，Workspace ONE Access 用户会自动从传统的 Duo 提示迁移到 Duo Universal Prompt。无需执行任何管理员操作即可启用此更改。

支持从快捷方式启动 Horizon Client 和应用程序

Workspace ONE Access 现在提供了使用启动 URL 从快捷方式重新启动 Horizon 发布的虚拟桌面和应用程序的功能。在此版本之前，启动指向 Horizon Client 或应用程序的快捷方式时，用户会被定向到空白屏幕，从而阻止客户端或应用程序启动。在此更新中，将向用户提供应用程序信息和启动选项。 

Workspace ONE Access Connector 23.09

Workspace ONE Access Connector 23.09 与 Workspace ONE Access Cloud、Workspace ONE Access 内部部署版本 23.09 和 Workspace ONE Access for FedRAMP 兼容。

下面列出了已解决的 Connector 问题。

• HW-180874：Horizon 虚拟应用程序集合的“默认启动客户端”设置被忽略

• HW-170798：通过代理使用连接时，无法同步 Horizon Enterprise 虚拟应用程序集合

• HW-174051：更新虚拟应用程序集合会重置网络范围

• HW-172671：Citrix 应用程序在 Firefox 浏览器上启动失败

• HW-171435：当虚拟应用程序集合中的第一个连接器关闭时，Citrix 应用程序启动失败

• HW-170576：通过代理使用连接时，无法同步虚拟应用程序集合

• HW-174269：当域名包含“_”字符时，Workspace ONE Access Connector 22.09.1 安装失败

• HW-181989：在 Horizon Server 关闭时保存或同步 Horizon 虚拟应用程序集合会移除现有元数据

• HW-170576：配置代理后，虚拟应用程序服务无法从“Horizon Cloud Service 单容器代理”设置获取元数据

宣布正式发布适用于 Apple 设备的移动 SSO 身份验证

我们很高兴地宣布在 Workspace ONE Access 中正式发布适用于 Apple 设备的移动 SSO 身份验证 - 下一代移动 SSO 功能。

作为 iOS 13 SDK 和 MDM 规范的一部分，Apple 引入了新的跨平台 SSO 扩展，该扩展提供了使用标准联合协议的本机 SSO 方法。Workspace ONE Access 中适用于 Apple 设备的移动 SSO 正是利用了 Apple 的这一本机 SSO 扩展 SDK。

除了跨 iOS 和 iPadOS 设备提供无缝 SSO 之外，Workspace ONE Access 中适用于 Apple 的移动 SSO 还提供了可配置的生物识别身份验证，允许在访问应用程序之前使用平台的内置生物识别身份验证器（如触控 ID、面容 ID 或通行码）进行额外的身份验证。

适用于 Apple 的移动 SSO 身份验证方法能够限制仅对选定应用程序进行单点登录。该解决方案针对 Workspace ONE Access 使用基于证书的身份验证，并支持 Workspace ONE 共享 iOS 设备签入/签出用例。

注意：必须在参与 SSO 的设备中安装 Workspace ONE Intelligent Hub。

适用于 Apple 的移动 SSO 取代了 Workspace ONE Access 中当前提供的适用于 iOS 的移动 SSO。但是，这两个解决方案可以作为迁移配置的一部分共存。建议从适用于 iOS 的移动 SSO 逐步迁移到适用于 Apple 的移动 SSO。有关迁移步骤，请访问此处。

此功能仅在 Workspace ONE Access 云环境中可用。

Workspace ONE Access 策略规则支持 Windows 11 设备

现在，Workspace ONE Access 可识别 Windows 11 设备以进行注册和条件访问。在提供此支持之前，设备类型设置为 Windows 10 的访问策略不会应用于 Windows 11 设备。发布此更新后，设备类型为 Windows 10 及以上版本的规则将会用于 Windows 10 和 Windows 11 设备。所有 Windows 11 设备（包括桌面和移动设备）均支持此功能。

Workspace ONE Access 现在支持将 FIDO2 作为主要身份验证器

Workspace ONE Access 现在允许将 FIDO2 身份验证器配置为主要身份验证器。以前对 FIDO2 身份验证的支持仅限于递增身份验证。在此版本中，最终用户可以使用 FIDO2 身份验证器进行 Workspace ONE Access 身份验证。最终用户还可以自行注册 FIDO2 身份验证器。平台身份验证器（支持 FIDO2 的移动设备、笔记本电脑等）和第三方身份验证器（Yubikey、USB 安全设备等）均受支持。

停止使用不受支持的 VMware Identity Manager Connector

在此版本的 Workspace ONE Access Cloud 中，将停止使用任何环境中不受支持的连接器上的所有功能。要继续享有所有功能，必须使用受支持的 Workspace ONE Access Connector 版本。

运行不受支持的连接器的环境将在此更改后停止使用以下功能。

1. Active Directory 和其他受支持的 LDAP 服务器的目录集成

2. 更改 Active Directory 用户的密码

3. 使用基于连接器的身份验证方法进行用户身份验证

4. “虚拟应用程序集合”集成，包括启动 

有关更多信息，请参阅此 VMware 知识库文章。

更新了 Workspace ONE Access 控制台中的 Workspace ONE Access 报告界面

管理员用户的 Workspace ONE Access 报告界面进行了新的改版。这种新设计是最新式的，可以简单导览以下报告。

• 最近的活动

• 资源使用情况

• 资源授权

• 资源活动

• 组成员身份

• 用户

• 设备使用情况

• 置备状态

• 审核事件

可以在 Workspace ONE Access 控制台的新角色配置页面中轻松重新配置操作

通过用于配置角色的新导航，可以为服务添加、重新配置和移除所有操作。可以通过任何方式为每项服务自定义可执行特定操作的角色。对管理员角色具有管理权限的用户还可以删除为服务配置的任何或所有操作。

取消不受支持的 VMware Identity Manager Connector 的部分功能

在 Workspace ONE Access Cloud 的 3 月版本中，任何使用不受支持的 Connector 的环境都无法再创建、编辑或删除目录。要继续享有所有功能，必须使用受支持的 Workspace ONE Access Connector 版本。强烈建议每位客户尽快迁移到最新的 Connector。

对于计划的同步和按需同步，同步预先存在的目录这一功能将继续可用。有关详细信息，请参见 https://kb.vmware.com/s/article/90808。

更新了 Workspace ONE Access 导航页面

我们向 Workspace ONE Access 控制台添加了新的导航页面，使用最新设计对这些页面进行了更新。以下页面具有全新的外观。

• “UEM 集成”页面

• “目录”页面

• “身份提供程序”页面

“自动发现”和“使用条款”页面已移除，因为它们与生命周期已终止的 Workspace ONE 应用程序相关。有关 Workspace ONE 应用程序生命周期终止的信息，请参见 2022 年 4 月版本发行说明。

用于在登录屏幕上显示密码的新选项

我们在登录屏幕上引入了一个新的切换开关，以便允许用户选择在系统提示他们登录并使用 Workspace ONE Access 服务进行身份验证时显示密码。这项新功能将在使用密码身份验证方法的身份验证屏幕上提供。

Workspace ONE Access 现在支持在移动浏览器上进行 FIDO2 身份验证

Workspace ONE Access 现在允许注册 FIDO2 身份验证器并用于在移动浏览器上进行身份验证。以前仅支持在桌面浏览器上进行 FIDO2 注册和身份验证。在此版本中，最终用户可以通过移动或桌面浏览器使用 FIDO2 身份验证器（例如 YubiKey、Touch ID、Windows Hello 等），在 Workspace ONE Access 联合应用程序中进行身份验证。最终用户也可以自行注册要用作主要身份验证方法或第二因素身份验证方法的 FIDO2 身份验证器。

VMware Identity Services 入门

如果您是 Workspace ONE Access 和 Workspace ONE UEM 的新客户，我们添加了一项服务，可简化用户置备和联合！现在，您可以利用 VMware Identity Services，在 Workspace ONE Cloud 管理控制台中使用 SCIM 2.0 协议配置已置备的用户和组目录。VMware Identity Services 会自动将用户和组以及身份验证设置置备到 Workspace ONE UEM 和 Workspace ONE Access 管理控制台。 

支持的身份提供程序和目录源：

• Azure AD，Microsoft Azure 中的云端标识服务

• 通用 SCIM 2.0 标识源（已针对 Okta 进行测试）

有关详细信息，请参阅 VMware Identity Services 发行说明。

组件兼容性

支持的 Windows Server

Workspace ONE Access Connector 23.09 支持以下版本。

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

支持的 Web 浏览器

• Mozilla Firefox，最新版本

• Google Chrome，最新版本

• Safari，最新版本

• Microsoft Edge，最新版本

支持的目录服务器

• Active Directory - Windows Server 2022、Windows Server 2019、Windows Server 2016 或 Windows Server 2012 R2，且域功能级别和林功能级别为 Windows 2003 或更高版本。

• OpenLDAP - 2.4

• Oracle LDAP - Directory Server Enterprise Edition 11g 版本 1 (11.1.1.7.0)

• IBM Tivoli Directory Server 6.3.1

虚拟应用程序兼容性

Workspace ONE Access 23.09 Connector 支持 VMware Horizon、Horizon Cloud Service、Citrix 以及 ThinApp 与虚拟应用程序服务的集成。

支持以下版本的 Citrix：Citrix Virtual Apps and Desktops 7 2203、Citrix Virtual Apps and Desktops 7 1912 LTSR、XenApp and XenDesktop 7.15 LTSR 以及 XenApp and XenDesktop 7.6 LTSR。支持以下版本的 Citrix Gateway：12.1-62.27、12.1-65.25 和 13.1-37.38。此连接器支持 Citrix StoreFront API，但不支持 Citrix Web Interface SDK。

有关受支持的 Horizon 版本，请参阅 VMware 产品互操作性列表。

兼容性列表

VMware 产品互操作性列表提供了有关 VMware 产品和组件（如 VMware vCenter Server、VMware ThinApp 和 Horizon）的当前版本和以前版本的兼容性的详细信息。

升级到 VMware Workspace ONE Access Connector 23.09 (Windows)

支持将 Workspace ONE Access Connector 从版本 22.09.1.0、22.09.0.0、22.05、21.08.0.1 和 21.08.0.0 升级到 23.09。

有关信息，请参阅《升级到 VMware Workspace ONE Access Connector 23.09》指南。

迁移到 Workspace ONE Access Connector 23.09 (Windows)

您可以从 22.09.0.0 支持的相同版本迁移到 Workspace ONE Access Connector 22.09.1.0

现提供从 Workspace ONE Access Connector 版本 19.03.x 迁移到版本 22.09 的途径。该过程包括安装新的 22.09 Connector，以及将现有目录和虚拟应用程序集合迁移到新的连接器。迁移是一次性过程，因此必须将目录和虚拟应用集合一起迁移。

迁移完成后，不再需要为 Citrix 集成使用 Integration Broker。所需的功能现已包含在 Workspace ONE Access Connector 的虚拟应用程序服务组件内。

有关信息，请参阅《迁移到 VMware Workspace ONE Access Connector 22.09》指南。

将旧版连接器迁移到版本 22.09 后，您便可以将其升级到 23.09。

VMware Workspace ONE Access 文档中心提供了 VMware Workspace ONE Access 文档。

VMware Workspace ONE Access 提供以下语言版本。

• 英语

• 法语

• 德语

• 西班牙语

• 日语

• 简体中文

• 韩语

• 繁体中文

• 俄语

• 意大利语

• 葡萄牙语（巴西）

• 荷兰语

如果您需要 Workspace ONE Access 环境方面的帮助，请联系 VMware 技术支持团队。您可以使用 VMware CustomerConnect 帐户向 VMware 技术支持团队在线提交支持请求，也可以通过电话请求获取支持。

知识库文章 2151511《如何联系 VMware Workspace ONE 技术支持团队》介绍了如何联系 Workspace ONE 技术支持团队。