Wenn Sie mit Windows Hello for Business auf dem Clientsystem registriert sind, wird Windows Hello for Business mit Zertifikatsauthentifizierung für die Funktion „Als aktueller Benutzer anmelden“ auf Horizon Client für Windows unterstützt. Windows Hello for Business wird nur für das VMware Blast-Anzeigeprotokoll unterstützt.

Hinweis: Wenn True SSO auf Horizon Connection Server aktiviert ist, hat dies Vorrang vor Windows Hello for Business.

Voraussetzungen

Ihr System muss die folgenden Anforderungen für die Authentifizierung mit Windows Hello for Business erfüllen:
  • Die Anmeldung als aktueller Benutzer muss auf dem Broker und auf Horizon Client aktiviert sein.
  • Ihr Clientsystem muss mit einer Windows Hello for Business-Bereitstellung registriert sein, die Zertifikatvertrauensstellung unterstützt. Weitere Informationen zu unterstützten Bereitstellungsmodellen, einschließlich Zertifikatvertrauensstellung, finden Sie unter https://learn.microsoft.com/de-de/windows/security/identity-protection/hello-for-business/hello-deployment-guide.
  • Sie müssen mit Windows Hello for Business-Anmeldedaten bei dem System angemeldet sein, auf dem Horizon Client installiert ist.
  • Wenn Unified Access Gateway verwendet wird, muss es sich im Passthrough-Modus befinden.
  • Die Systemhardwareanforderungen lauten wie folgt:
    • Horizon Connection Server und Horizon Agent Version 8.6 oder höher.
    • Horizon Client für Windows Version 2206 oder höher.
    • Windows Server 2019 oder höher, wenn Horizon Agent auf Windows Server installiert ist.

Anwendungsbeispiele werden nicht unterstützt

Windows Hello for Business wird für die folgenden Szenarien nicht unterstützt:
  • Unified Access Gateway im Nicht-Passthrough-Modus
  • Unified Access Gateway, auf dem Zwei-Faktor-Authentifizierung oder SAML aktiviert ist
  • Desktop-Anwendungen
  • Umgebung, in der Horizon Agent und Horizon Client auf demselben System installiert sind und in einer geschachtelten Umgebung verwendet werden
  • Direct Agent Connect
  • Das Clientsystem (auf dem der Horizon Client gestartet wird) wird mit Windows Hello for Business mit einer anderen Methode als der Zertifikatvertrauensstellung registriert.
  • Remote-Desktop-Maschinen, auf denen der Local Security Authority Subsystem Service (LSASS) im geschützten Modus ausgeführt wird. Standardmäßig wird LSASS auf Windows 11-Maschinen im geschützten Modus ausgeführt.

Freigeben des Windows Hello for Business-Zertifikats für Drittanbieteranwendungen

Sie können die CertStoreIntercept-Bibliothek verwenden, um das Windows Hello for Business-Zertifikat, das für SSO verwendet wird, für Drittanbieteranwendungen zur Benutzerauthentifizierung freizugeben. Diese Bibliothek kann über die GPO-Einstellung für die Windows Hello for Business-Zertifikatsumleitung konfiguriert werden. Weitere Informationen finden Sie in den ADMX-Vorlageneinstellungen für die VMware View Agent-Konfiguration im Dokument Horizon-Remote-Desktopfunktionen und GPOs.

Protokollierung

Die Protokollierung für die Windows Hello for Business-Zertifikatsumleitung ist standardmäßig deaktiviert. Administratoren können die Protokollierung über den Registrierungsschlüssel HKM\SOFTWARE\VMware, Inc.\VMware VDM\Whfb\IsCertInterceptLoggerEnabled aktivieren.

Auf dem Horizon Agent werden Windows Hello for Business-Protokolle in den Agent-Debug-Protokollen gespeichert. Auf dem Horizon Client werden sie in der Debug-Protokolldatei in %LOCALAPPDATA%\VMware\VDM\logs gespeichert.