Avec Horizon Client pour Windows, lorsque des utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options, les informations d'identification qu'ils fournissent lors de l'ouverture de session sur le système client sont utilisées pour les authentifier sur l'instance du routeur de connexions et sur le poste de travail distant à l'aide de Kerberos. Aucune autre authentification d'utilisateur n'est requise.

Si vous êtes inscrit avec Windows Hello for Business avec une approbation de certificat sur le système client, le certificat d'ouverture de session utilisateur émis par Windows Hello for Business est utilisé pour Single Sign-On sur le système Horizon Agent. Pour plus d'informations, reportez-vous à la section « Authentification avec Windows Hello for Business » dans le document Administration d'Horizon.

Pour prendre en charge cette fonctionnalité, les informations d'identification utilisateur sont stockées sur l'instance du routeur de connexions et sur le système client.

  • Sur l'instance du routeur de connexions, les informations d'identification utilisateur sont chiffrées et stockées dans la session utilisateur avec le nom d'utilisateur, le domaine et le nom d'utilisateur principal (UPN) facultatif. Les informations d'identification sont ajoutées lors de l'authentification et sont supprimées lors de la destruction de l'objet de session. L'objet de session est détruit quand l'utilisateur ferme sa session, quand la session expire ou quand l'authentification échoue. L'objet de session réside dans une mémoire volatile et n'est pas stocké dans Horizon LDAP ou dans un fichier de disque.
  • Sur l'instance du routeur de connexions, activez le paramètre Autoriser l'ouverture de session en tant qu'utilisateur actuel pour permettre à l'instance du routeur de connexions d'accepter l'identité et les informations d'identification utilisateur qui sont transmises lorsque les utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options dans Horizon Client.
    Important : Vous devez comprendre les risques de sécurité avant d'activer ce paramètre. Consultez la section « Paramètres de serveur liés à la sécurité pour l'authentification utilisateur » dans le document Sécurité d'Horizon.
  • Sur le système client, les informations d'identification d'utilisateur sont chiffrées et stockées dans un tableau dans Authentication Package, qui est un composant d'Horizon Client. Les informations d'identification sont ajoutées au tableau quand l'utilisateur ouvre une session et sont supprimées du tableau quand l'utilisateur ferme sa session. Le tableau réside dans la mémoire volatile.
    Lorsque vous sélectionnez Autoriser l'ouverture de session en tant qu'utilisateur actuel, vous pouvez activer les paramètres utilisateur suivants :
    • Autoriser les clients hérités : prise en charge des clients plus anciens. Les versions 2006 et 5.4, et les versions antérieures d'Horizon Client sont considérées comme des clients plus anciens.
    • Autoriser le recours NTLM : utilise l'authentification NTLM au lieu de Kerberos lorsqu'il n'existe aucun accès au contrôleur de domaine. Vous devez activer les paramètres de stratégie de groupe NTLM dans la configuration d'Horizon Client.
    • Désactiver les liaisons de canal : couche de sécurité supplémentaire permettant de sécuriser l'authentification NTLM. Par défaut, les liaisons de canal sont activées sur le client.
      Note : Si la liaison de canal est activée, vérifiez que NTLMv2 est activé à l'aide du commutateur LMCompatibilityLevel et que le niveau de sécurité 3 ou supérieur est défini dans l'environnement utilisateur. Pour plus d'informations, reportez-vous ici à la documentation de Microsoft https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level.
    • Intégration de True SSO : activez ce paramètre sur le routeur de connexions pour autoriser SSO sur le poste de travail à l'aide de True SSO. Par exemple, en mode imbriqué, True SSO permet de se connecter à un client imbriqué, puis une connexion de poste de travail secondaire est effectuée. Pour plus d'informations sur le mode imbriqué, reportez-vous à la section Guide d'Horizon Client pour Windows.
      • Désactivé : l'utilisateur doit entrer des informations de connexion si le client n'a pas reçu d'informations d'identification d'ouverture de session.
      • Facultatif : les informations d'identification du client sont utilisées si disponibles ; sinon, la fonctionnalité True SSO est utilisée. Il s'agit du paramètre recommandé si les options True SSO et Connexion en tant qu'utilisateur actuel sont activées.
      • Activé : True SSO est utilisée pour se connecter au poste de travail.

Les administrateurs peuvent utiliser des paramètres de stratégie de groupe Horizon Client pour contrôler la disponibilité du paramètre Se connecter en tant qu'utilisateur actuel dans le menu Options et pour spécifier sa valeur par défaut. Les administrateurs peuvent également utiliser une stratégie de groupe pour spécifier les instances du routeur de connexions qui acceptent l'identité et les informations d'identification de l'utilisateur qui sont transmises lorsque celui-ci sélectionne Se connecter en tant qu'utilisateur actuel dans Horizon Client.

La fonctionnalité de déverrouillage récursif est activée lorsqu'un utilisateur se connecte au routeur de connexions avec la fonctionnalité Se connecter en tant qu'utilisateur actuel. Cette fonctionnalité déverrouille toutes les sessions distantes après que la machine cliente a été déverrouillée. Les administrateurs peuvent contrôler la fonction de déverrouillage récursif avec le paramètre de stratégie globale Déverrouiller les sessions distantes lorsque la machine cliente est déverrouillée dans Horizon Client. Pour plus d'informations sur les paramètres de stratégie globale pour Horizon Client, consultez la documentation Horizon Client dans la page Web de la documentation des clients VMware Horizon Client.
Note : La fonctionnalité de déverrouillage récursif peut être lente lorsque vous utilisez l'option Se connecter en tant qu'utilisateur actuel avec l'authentification NTLM si Horizon Client ne peut pas accéder aux contrôleurs de domaine. Pour atténuer ce problème, activez le paramètre de stratégie de groupe Toujours utiliser NTLM pour les serveurs dans le dossier Configuration de VMware Horizon Client > Paramètres de sécurité > Paramètres NTLM dans l'Éditeur de gestion de stratégie de groupe.

La fonction Se connecter en tant qu'utilisateur actuel a les limites et exigences suivantes :

  • Lorsque l'authentification par carte à puce est requise sur une instance du routeur de connexions, l'authentification échoue pour les utilisateurs qui sélectionnent Se connecter en tant qu'utilisateur actuel lorsqu'ils se connectent à cette instance. Ces utilisateurs doivent s'authentifier de nouveau avec leur carte à puce et leur code PIN lorsqu'ils se connectent au routeur de connexions.
  • L'heure du système sur lequel le client se connecte et l'heure de l'hôte du routeur de connexions doivent être synchronisées.
  • Si les affectations de droits d'usage par défaut Accéder à cet ordinateur à partir du réseau sont modifiées sur le système client, elles doivent être modifiées comme indiqué dans l'article 1025691 de la base de connaissances de VMware.