Si está inscrito a Windows Hello para empresas en el sistema cliente, se admitirá Windows Hello para empresas con autenticación de certificado para la función Iniciar sesión como usuario actual en Horizon Client para Windows. Windows Hello para empresas solo es compatible con el protocolo de visualización VMware Blast.

Nota: Si True SSO está habilitado en Horizon Connection Server, tendrá prioridad sobre Windows Hello para empresas.

Requisitos previos

El sistema debe cumplir los siguientes requisitos para la autenticación con Windows Hello para empresas:
  • Iniciar sesión como usuario actual debe estar habilitado en el agente y en Horizon Client.
  • El sistema cliente debe estar inscrito con una implementación de Windows Hello para empresas que admita certificados de confianza. Para obtener más información sobre los modelos de implementación compatibles, incluido el certificado de confianza, consulte https://learn.microsoft.com/es-es/windows/security/identity-protection/hello-for-business/hello-deployment-guide.
  • Debe haber iniciado sesión en el sistema en el que está instalado Horizon Client con credenciales de Windows Hello para empresas.
  • Si se utiliza Unified Access Gateway, debe estar en modo de acceso directo.
  • Los requisitos de hardware del sistema son los siguientes:
    • Horizon Connection Server y Horizon Agent versión 8.6 o posteriores.
    • Horizon Client para Windows versión 2206 o posteriores.
    • Windows Server 2019 o versiones posteriores si Horizon Agent está instalado en Windows Server.

Casos prácticos no admitidos

Windows Hello para empresas no admite los siguientes escenarios:
  • Unified Access Gateway en modo sin acceso directo
  • Unified Access Gateway con autenticación en dos fases o SAML habilitado
  • Aplicaciones de escritorio
  • Entorno en el que Horizon Agent y Horizon Client se instalan en el mismo sistema y se utilizan en un entorno anidado
  • Direct Agent Connect
  • El sistema cliente (donde se inició Horizon Client) se inscribe mediante Windows Hello para empresas con cualquier otro método, excepto los certificados de confianza.
  • Máquinas de escritorios remotos que ejecutan LSASS (servicio de subsistema de la autoridad de seguridad local) en modo protegido. De forma predeterminada, las máquinas con Windows 11 ejecutan LSASS en modo protegido.

Compartir certificado de Windows Hello para empresas con aplicaciones de terceros

Puede usar la biblioteca de CertStoreIntercept para compartir el certificado de Windows Hello para empresas que se utiliza para SSO con aplicaciones de terceros para la autenticación de usuarios. Esta biblioteca se puede configurar a través de la opción GPO de redireccionamiento de certificados de Windows Hello para empresas. Para obtener más información, consulte "Opciones de la plantilla ADMX de configuración de VMware View Agent" en el documento Funciones de escritorios remotos y GPO de Horizon.

Registro

El registro del redireccionamiento de certificados de Windows Hello para empresas está deshabilitado de forma predeterminada. Los administradores pueden habilitar el registro a través de la clave de registro HKM\SOFTWARE\VMware, Inc.\VMware VDM\Whfb\IsCertInterceptLoggerEnabled.

En Horizon Agent, se guardan registros de Windows Hello para empresas en los registros de depuración del agente. En Horizon Client, se guardan en el archivo de registro de depuración en %LOCALAPPDATA%\VMware\VDM\logs.