クライアント システムで Windows Hello for Business に登録している場合は、Horizon Client for Windows の現在のユーザーとしてログイン機能で、証明書認証を使用した Windows Hello for Business がサポートされます。Windows Hello for Business は、VMware Blast 表示プロトコルでのみサポートされます。
前提条件
- ブローカーと Horizon Client で、現在のユーザーとしてログインを有効にする必要があります。
- クライアント システムは、証明書信頼をサポートする Windows Hello for Business 展開で登録する必要があります。証明書信頼を含むサポート対象の展開モデルの詳細については、https://learn.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-deployment-guideを参照してください。
- Horizon Client がインストールされているシステムに、Windows Hello for Business 認証情報を使用してログインする必要があります。
- Unified Access Gateway を使用する場合は、パススルー モードにする必要があります。
- システムのハードウェア要件は次のとおりです。
- Horizon Connection Server と Horizon Agent バージョン 8.6 以降。
- Horizon Client for Windows バージョン 2206 以降。
- Windows サーバに Horizon Agent がインストールされている場合は、Windows Server 2019 以降。
サポートされていないユースケース
- 非パススルー モードでの Unified Access Gateway
- 2 要素認証または SAML が有効な Unified Access Gateway
- デスクトップ アプリ
- Horizon Agent と Horizon Client が同じシステムにインストールされ、ネストされた環境で使用されている場合
- Direct Agent Connect
- クライアント システム(Horizon Client が起動しているシステム)は、証明書信頼を除くその他の方法により、Windows Hello for Business を使用して登録されます。
- Local Security Authority Subsystem Service (LSASS) が保護モードで実行されているリモート デスクトップ マシン。デフォルトでは、Windows 11 マシンの LSASS は保護モードで実行されています。
サードパーティ アプリケーションとの Windows Hello for Business 証明書の共有
CertStoreIntercept ライブラリを使用すると、SSO に使用される Windows Hello For Business 証明書をユーザー認証用のサードパーティ アプリケーションと共有できます。このライブラリは、Windows Hello For Business Certificate Redirection GPO 設定を使用して構成できます。詳細については、『Horizon リモート デスクトップ機能と GPO』ドキュメントの「VMware View Agent 構成 ADMX テンプレートの設定」を参照してください。
ログ記録
デフォルトでは、Windows Hello for Business 証明書リダイレクトのログ記録は無効になっています。管理者は、レジストリ キー HKM\SOFTWARE\VMware, Inc.\VMware VDM\Whfb\IsCertInterceptLoggerEnabled でログ記録を有効にできます。
Horizon Agent では、Windows Hello for Business ログがエージェントのデバッグ ログに保存されます。Horizon Client では、%LOCALAPPDATA%\VMware\VDM\logs のデバッグ ログ ファイルに保存されます。