Si vous êtes inscrit avec Windows Hello for Business sur le système client, la fonctionnalité Se connecter en tant qu'utilisateur actuel sur Horizon Client pour Windows prend en charge Windows Hello for Business avec l'authentification par certificat. Windows Hello for Business est pris en charge uniquement pour le protocole d'affichage VMware Blast.

Note : Si la fonctionnalité True SSO est activée sur Horizon Connection Server, elle est prioritaire sur Windows Hello for Business.

Conditions préalables

Votre système doit répondre aux exigences suivantes pour l'authentification avec Windows Hello for Business :
  • Vous devez activer la connexion en tant qu'utilisateur actuel sur le broker et sur Horizon Client.
  • Votre système client doit être inscrit avec un déploiement de Windows Hello for Business qui prend en charge l'approbation de certificat. Pour plus d'informations sur les modèles de déploiement pris en charge incluant l'approbation de certificat, reportez-vous à la section https://learn.microsoft.com/fr-fr/windows/security/identity-protection/hello-for-business/hello-deployment-guide.
  • Vous devez être connecté au système sur lequel Horizon Client est installé à l'aide des informations d'identification Windows Hello for Business.
  • Si vous utilisez Unified Access Gateway, il doit être en mode relais.
  • La configuration matérielle requise du système est la suivante :
    • Horizon Connection Server et Horizon Agent version 8.6 ou ultérieure.
    • Horizon Client pour Windows version 2206 ou ultérieure.
    • Windows Server 2019 ou une version ultérieure si Horizon Agent est installé sur Windows Server.

Cas d'utilisation non pris en charge

Windows Hello for Business n'est pas pris en charge pour les scénarios suivants :
  • Unified Access Gateway en mode non direct
  • Unified Access Gateway avec l'authentification à deux facteurs ou SAML activé
  • Applications de postes de travail
  • Environnement dans lequel Horizon Agent et Horizon Client sont installés sur le même système et utilisés dans un environnement imbriqué
  • Connexion directe à l'agent
  • Le système client (sur lequel Horizon Client est lancé) est inscrit à l'aide de Windows Hello for Business en utilisant une autre méthode que l'approbation de certificat.
  • Machines de poste de travail distant sur lesquelles le service LSASS (Local Security Authority Subsystem Service) s'exécute en mode protégé. Par défaut, le service LSASS s'exécute en mode protégé sur les machines Windows 11.

Partager le certificat Windows Hello for Business avec des applications tierces

Vous pouvez utiliser la bibliothèque CertStoreIntercept pour partager le certificat Windows Hello for Business utilisé pour SSO avec des applications tierces pour l'authentification utilisateur. Vous pouvez configurer cette bibliothèque via le paramètre GPO de redirection de certificat Windows Hello For Business. Pour plus d'informations, reportez-vous aux paramètres de modèle ADMX de configuration de VMware View Agent dans le document Configuration des fonctionnalités de poste de travail distant Horizon et GPO.

Journalisation

La journalisation pour la redirection de certificat Windows Hello for Business est désactivée par défaut. Les administrateurs peuvent activer la journalisation via la clé de registre HKM\SOFTWARE\VMware, Inc.\VMware VDM\Whfb\IsCertInterceptLoggerEnabled.

Dans Horizon Agent, les journaux Windows Hello for Business sont enregistrés dans les journaux de débogage de l'agent. Sur Horizon Client, ils sont enregistrés dans le fichier journal de débogage dans %LOCALAPPDATA%\VMware\VDM\logs.