使用 Windows Hello 企業版進行驗證

如果您已在用戶端系統上註冊了 Windows Hello 企業版，則 Windows 版 Horizon Client 上的 [以目前使用者身分登入] 功能支援採取憑證驗證的 Windows Hello 企業版。僅 VMware Blast 顯示通訊協定支援 Windows Hello 企業版。

備註：如果在 Horizon Connection Server 上啟用 True SSO，其優先順序高於 Windows Hello 企業版。

先決條件

您的系統必須符合以下需求，才能使用 Windows Hello 企業版進行驗證：

必須在代理和 Horizon Client 上啟用「以目前使用者身分登入」。
您的用戶端系統必須使用支援憑證信任的 Windows Hello 企業版部署進行註冊。如需支援的部署模型 (包括憑證信任) 的詳細資訊，請參閱 https://learn.microsoft.com/zh-tw/windows/security/identity-protection/hello-for-business/hello-deployment-guide。
必須使用 Windows Hello 企業版認證登入安裝了 Horizon Client 的系統。
如果使用了 Unified Access Gateway，它必須處於傳遞模式。
系統硬體需求如下所示：
- Horizon Connection Server 和 Horizon Agent 8.6 版或更新版本。
- Windows 版 Horizon Client 2206 或更新版本。
- Windows Server 2019 或更新版本 (如果在 Windows Server 上安裝了 Horizon Agent)。

不支援的使用案例

下列案例不支援 Windows Hello 企業版：

Unified Access Gateway 處於非傳遞模式
啟用了雙因素驗證或 SAML 的 Unified Access Gateway
桌面平台應用程式
環境中的 Horizon Agent 和 Horizon Client 安裝在同一系統，且用於巢狀環境中
Direct Agent Connect
使用除憑證信任以外的任何其他方法，透過 Windows Hello 企業版註冊要啟動 Horizon Client 的用戶端系統。
在受保護模式下執行本機安全性授權子系統服務 (LSASS) 的遠端桌面平台機器。依預設，Windows 11 機器會在受保護模式下執行 LSASS。

與第三方應用程式共用 Windows Hello 企業版憑證

您可以使用 CertStoreIntercept 程式庫，將用於 SSO 的 Windows Hello 企業版憑證提供給第三方應用程式共用，以進行使用者驗證。可以透過 Windows Hello 企業版的 [憑證重新導向 GPO] 設定，來設定此程式庫。如需詳細資訊，請參閱《Horizon 遠端桌面平台功能和 GPO》文件中的〈VMware View Agent 組態 ADMX 範本設定〉。

記錄

依預設，會停用 Windows Hello 企業版憑證重新導向的記錄功能。管理員可以透過登錄機碼 HKM\SOFTWARE\VMware, Inc.\VMware VDM\Whfb\IsCertInterceptLoggerEnabled 來啟用記錄功能。

在 Horizon Agent 上，Windows Hello 企業版的記錄儲存在 Agent 偵錯記錄中。在 Horizon Client 上，這些記錄儲存在位於 %LOCALAPPDATA%\VMware\VDM\logs 的偵錯記錄檔中。