使用用戶端裝置憑證驗證功能時,您可以為用戶端裝置設定憑證驗證。Unified Access Gateway 會驗證用戶端裝置。Microsoft 憑證服務與 Active Directory 可管理用戶端裝置的憑證建立和散發。裝置驗證成功後,使用者仍必須執行使用者驗證。

這項功能具有下列的需求。

  • Unified Access Gateway 2.6 或更新版本
  • Horizon 7 (7.5 版) 或更新版本
  • 用戶端裝置上已安裝 Unified Access Gateway 會接受的憑證

如需如何設定 Unified Access Gateway 的相關資訊,請參閱 Unified Access Gateway 說明文件。

對於憑證發行範本中所指定的密碼編譯服務提供者 (CSP),請使用 Microsoft 增強型 RSA 和 AES 密碼編譯提供者。此 CSP 可支援 SHA-256 憑證和 TLS v1.2。請使用 SHA-256。SHA-1 的強度太弱,不適合用於驗證。

若要讓 Windows 使用憑證來驗證用戶端裝置,該用戶端裝置上的使用者必須有權讀取憑證的私密金鑰。私密金鑰不需要為可匯出。憑證的金鑰使用方式必須包含數位簽章和金鑰編密 (a0)。

您可以將憑證安裝在用戶端裝置上的「目前使用者」或「本機電腦」憑證存放區。在 Windows 10 上,如果您將憑證安裝在「本機電腦」憑證存放區中,而且使用者不屬於「系統」或「本機管理員」使用者群組,則必須執行下列步驟來對使用者提供憑證私密金鑰讀取權限。如果您將憑證安裝在「目前使用者」憑證存放區,則不需要執行這些步驟。

  1. 開啟用戶端裝置上的「本機電腦」憑證存放區。
  2. 用滑鼠右鍵按一下裝置憑證,然後選取所有工作 > 管理私密金鑰
  3. 新增使用者、對使用者指派讀取權限,然後按一下確定