支援通行金鑰驗證

我們很高興宣佈 Workspace ONE Access 中提供用於驗證的通行金鑰。

通行金鑰是可探索的 FIDO 認證，以 WebAuthn 標準為建置基礎。通行金鑰允許無密碼驗證，可讓使用者在其所有裝置上擁有更快、更輕鬆且更安全的登入體驗。通行金鑰已獲得廣泛的業界支援，並提供一種可抵禦網路釣魚的可行方案，來替代密碼。

藉由在使用者的裝置之間同步 FIDO 登錄資訊，通行金鑰可簡化 FIDO2 驗證。包括 iOS、Mac、Windows、Android 和所有主要瀏覽器在內的所有裝置，均可支援通行金鑰。管理員可以繼續將 FIDO2 設定為 Workspace ONE Access 中的驗證方法，並且可以利用通行金鑰的優點。

通行金鑰使用公開金鑰密碼編譯，並有兩個部分：使用者登入伺服器上的公開金鑰，以及其裝置上對應的私密金鑰。公開金鑰在共用一般登入的裝置之間是同步的，例如 Chrome 瀏覽器設定檔或 Apple ID。當使用者登入時，Workspace ONE Access 會起始 Webauthn 流程，這會觸發裝置生物識別驗證或 PIN 碼，來驗證使用者的身分，並檢查使用者的公開金鑰是否與其私密金鑰相符。使用者體驗與使用者熟悉的一般裝置解除鎖定是一致的。使用者將登入帳戶，而私密金鑰及其生物識別會安全地保留在裝置上，並且絕不提供共用。

支援 PKCE 和 OAuth 2.0 公用用戶端

PKCE (代碼交換的證明金鑰) 是 OAuth 2.0 授權代碼流程的延伸模組，有助於保護 OAuth 權杖免受 CSRF 和代碼注入攻擊。利用「授權代碼授與」的 OAuth 2.0 公用用戶端容易受到授權代碼攔截攻擊。不受 TLS 保護的通訊路徑容易受到此攻擊，而攻擊者可以取得授權代碼的存取權，並用它來取得存取權杖。

PKCE 延伸模組會利用以密碼編譯方式動態建立的隨機金鑰，來確保用戶端的擁有證明。Workspace ONE Access 支援為 OAuth 2.0 公用用戶端和參與「授權代碼」流程的用戶端，啟用 PKCE。除了支援 PKCE，Workspace ONE Access 現在還支援建立 OAuth 2.0 公用用戶端。對於在瀏覽器上執行的應用程式，或在無法保護其已登錄用戶端密碼安全的行動裝置上執行的應用程式，公用用戶端非常有用。

依預設會啟用 PKCE，且對於在 Workspace ONE Access 中建立的所有公用用戶端是必要的。

使用者選擇的驗證

我們很高興宣佈 Workspace ONE Access 中提供了「使用者選擇的驗證」功能。透過這項新功能，使用者可靈活地從提供給他們的一組驗證選項中選擇，來進行其第二個要素驗證。

在使用者可能無法存取其第二個要素驗證選項 (例如：用來接收推播通知的智慧型手機) 的情況下，此功能特別有價值。在這種情況下，使用者可以從提供的選項中順暢地選擇替代方法，以成功完成登入順序。

管理員可設定原則，以針對特定驗證需求，控制各種驗證選項的可用性。此外，還可以設定條件式存取參數 (例如：網路範圍、裝置規格、裝置管理狀態或使用者群組)，以保護並自訂使用者的驗證體驗。

此功能僅適用於 Workspace ONE Access SaaS。 

支援具有 Duo Universal Prompt 的 Duo v4 SDK

Workspace ONE Access 現在支援 Duo v4 SDK。Duo v4 支援新的 Duo Universal Prompt，該提示可為 Web 型應用程式提供簡化且可存取的 Duo 登入體驗，並提供了一個重新設計的視覺化介面，並增強了安全性和可用性。此支援推出後，Workspace ONE Access 使用者會自動從傳統的 Duo 提示移轉至 Duo Universal Prompt。管理員無需執行任何動作即可啟用此變更。

支援從捷徑啟動 Horizon Client 和應用程式

Workspace ONE Access 現在提供了使用啟動 URL 從捷徑重新啟動 Horizon 已發佈的虛擬桌面平台和應用程式的功能。在此版本之前，啟動指向 Horizon Client 或應用程式的捷徑時，系統會將使用者導向至空白畫面，以阻止用戶端或應用程式啟動。透過此項更新，為使用者提供應用程式資訊和啟動選項。 

Workspace ONE Access Connector 23.09

Workspace ONE Access Connector 23.09 與 Workspace ONE Access Cloud、Workspace ONE Access 內部部署 23.09 和 Workspace ONE Access for FedRAMP 相容。

以下是連接器已解決的問題清單。

• HW-180874：系統會忽略 Horizon 虛擬應用程式集合的 [預設啟動用戶端] 設定

• HW-170798：透過 Proxy 使用連線時，無法同步 Horizon Enterprise 虛擬應用程式集合

• HW-174051：更新虛擬應用程式集合會重設網路範圍

• HW-172671：Citrix 應用程式在 Firefox 瀏覽器上無法啟動

• HW-171435：當虛擬應用程式集合中的第一個連接器關閉時，Citrix 應用程式啟動失敗

• HW-170576：透過 Proxy 使用連線時，無法同步虛擬應用程式集合

• HW-174269：當網域名稱具有「_」字元時，Workspace ONE Access Connector 22.09.1 安裝失敗

• HW-181989：當 Horizon Server 關閉時儲存或同步 Horizon 虛擬應用程式集合會移除現有中繼資料

• HW-170576：設定 Proxy 時，虛擬應用程式服務無法從 [Horizon Cloud Service 單一網繭代理] 設定擷取中繼資料

宣佈正式發佈適用於 Apple 裝置的行動 SSO 驗證

我們很高興地宣佈在 Workspace ONE Access 中正式推出適用於 Apple 裝置的行動 SSO 驗證 - 下一代行動 SSO 功能。

作為 iOS 13 SDK 和 MDM 規格的一部分，Apple 引入了新的跨平台 SSO 延伸，提供了使用標準聯盟通訊協定的原生 SSO 方法。Workspace ONE Access 中適用於 Apple 裝置的行動 SSO 會利用 Apple 中的原生 SSO 延伸 SDK。

除了跨 iOS 和 iPadOS 裝置提供順暢的 SSO 體驗外，Workspace ONE Access 中的行動 SSO (適用於 Apple) 還提供可設定的生物識別驗證，允許在存取應用程式之前，使用平台內建的生物識別驗證器 (例如 TouchID、FaceID 或密碼) 進行額外的驗證。

行動 SSO (適用於 Apple) 驗證方法能夠限制對選取的應用程式進行單一登入。該解決方案針對 Workspace ONE Access 使用憑證式驗證，並支援 Workspace ONE 共用 iOS 裝置簽入簽出使用案例。

附註：必須在參與 SSO 的裝置中安裝 Workspace ONE Intelligent Hub。

行動 SSO (適用於 Apple) 取代了 Workspace ONE Access 中目前提供的行動 SSO (適用於 iOS)。不過，這兩個解決方案在移轉組態中可以並存。建議從行動 SSO (適用於 iOS) 逐步移轉至行動 SSO (適用於 Apple)。可在此處找到相關移轉步驟。

此功能僅適用於 Workspace ONE Access Cloud 環境。

Workspace ONE Access 原則規則支援 Windows 11 裝置

現在，Workspace ONE Access 可辨識 Windows 11 裝置以進行註冊和條件式存取。在推出此支援之前，裝置類型設為 Windows 10 的存取原則不會套用至 Windows 11 裝置。推出此更新後，Windows 10+ 裝置類型的規則將套用至 Windows 10 和 Windows 11 裝置。所有 Windows 11 裝置 (包括桌面平台和行動裝置) 均支援此功能。

Workspace ONE Access 現在支援將 FIDO2 作為主要驗證器

Workspace ONE Access 現在允許將 FIDO2 驗證器設定為主要驗證器。之前對 FIDO2 驗證的支援僅限於逐步驗證。在此版本中，使用者可以使用 FIDO2 驗證器進行 Workspace ONE Access 驗證。使用者還可以自行登錄 FIDO2 驗證器。平台驗證器 (支援 FIDO2 的行動裝置、筆記型電腦等) 和第三方驗證器 (Yubkey、USB 安全裝置等) 均受支援。

停止使用不受支援的 VMware Identity Manager Connector

在此版本的 Workspace ONE Access Cloud 中，將停止使用任何環境中不受支援的連接器上的所有功能。若要繼續執行所有功能的功能，必須使用受支援的 Workspace ONE Access Connector 版本。

執行不受支援的連接器的環境將隨著此變更而停止使用以下功能。

1. Active Directory 和其他受支援的 LDAP 伺服器的目錄整合

2. 變更 Active Directory 使用者的密碼

3. 使用連接器型驗證方法進行使用者驗證

4. 虛擬應用程式集合整合，包括啟動 

如需詳細資訊，請參閱此 VMware 知識庫文章。

更新了 Workspace ONE Access 主控台中的 Workspace ONE Access 報告介面

管理員使用者的 Workspace ONE Access 報告介面進行了新的改版。這是全新的設計，可讓您輕鬆導覽以下報告。

• 最近活動

• 資源使用

• 資源權利

• 資源活動

• 群組成員資格

• 使用者

• 裝置使用量

• 佈建狀態

• 稽核事件

您可以在 Workspace ONE Access 主控台的新角色組態頁面中，輕鬆地重新設定動作

透過用於設定角色的全新導覽，可以為服務新增、重新設定和移除所有動作。可透過任何方式為每項服務自訂可執行特定動作的角色。對管理員角色具有管理權限的使用者還可以刪除為服務設定的任何或所有動作。

減少了不受支援的 VMware Identity Manager Connector 的功能

在 3 月版本的 Workspace ONE Access Cloud 中，任何使用不受支援的 Connector 的環境再也無法建立、編輯或刪除目錄。若要繼續執行所有功能的功能，必須使用受支援的 Workspace ONE Access Connector 版本。強烈建議每位客戶儘快移轉至最新的 Connector。

用來同步既存目錄的功能，在排定的同步和隨選同步中仍會繼續運作。如需詳細資訊，請參閱 https://kb.vmware.com/s/article/90808。

更新了 Workspace ONE Access 導覽頁面

我們在 Workspace ONE Access 主控台中新增了導覽頁面，以最新的設計對這些頁面進行了更新。下列頁面具有全新的外觀與操作方式。

• [UEM 整合] 頁面

• [目錄] 頁面

• [身分識別提供者] 頁面

[自動探索] 和 [使用條款] 頁面已移除，因為它們與生命週期已終止的 Workspace ONE 應用程式相關。如需 Workspace ONE 應用程式生命週期終止的相關資訊，請參閱 2022 年 4 月版本說明。

提供新選項可在登入畫面上顯示密碼

我們在登入畫面上導入了新的切換，可讓使用者選擇在收到登入提示並使用 Workspace ONE Access 服務進行驗證時顯示密碼。這項新功能將在使用密碼驗證方法的驗證畫面上提供。

Workspace ONE Access 現在支援行動瀏覽器上的 FIDO2 驗證

Workspace ONE Access 現在允許登錄 FIDO2 驗證器，並用於行動瀏覽器上的驗證。先前對 FIDO2 登錄和驗證的支援僅限於桌面平台瀏覽器。在此版本中，使用者可以在行動或桌面平台瀏覽器上，使用 FIDO2 驗證器 (例如 YubiKey、Touch ID、Windows Hello 等) 向 Workspace ONE Access 聯盟應用程式進行驗證。使用者也可以自行登錄 FIDO2 驗證器，以作為其主要驗證方法或第二個要素驗證。

開始使用 VMware Identity Services

如果您是 Workspace ONE Access 和 Workspace ONE UEM 的新客戶，我們新增了可簡化使用者佈建和聯盟的服務！您現在可以利用 VMware Identity Services，在 Workspace ONE 雲端管理主控台中，設定使用 SCIM 2.0 通訊協定的使用者和群組的已佈建目錄。VMware Identity Services 會自動將使用者和群組以及驗證設定，佈建至您的 Workspace ONE UEM 和 Workspace ONE Access 管理主控台。 

支援的身分識別提供者和目錄來源：

• Azure AD，Microsoft Azure 中的雲端式身分識別服務

• 一般 SCIM 2.0 身分識別來源 (已針對 Okta 進行測試)

如需詳細資訊，請參閱 VMware Identity Services 版本說明。

元件相容性

支援的 Windows Server

Workspace ONE Access Connector 23.09 支援下列版本。

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

支援的 Web 瀏覽器

• Mozilla Firefox，最新版本

• Google Chrome，最新版本

• Safari，最新版本

• Microsoft Edge，最新版本

支援的目錄伺服器

• Active Directory - Windows Server 2022、Windows Server 2019、Windows Server 2016 和 Windows Server 2012 R2，且網域功能層級和樹系功能層級為 Windows 2003 或更新版本。

• OpenLDAP - 2.4

• Oracle LDAP - Directory Server Enterprise Edition 11g 第 1 版 (11.1.1.7.0)

• IBM Tivoli Directory Server 6.3.1

虛擬應用程式相容性

Workspace ONE Access 23.09 Connector 支援 VMware Horizon、Horizon Cloud Service、Citrix 和 ThinApp 與虛擬應用程式服務的整合。

支援下列 Citrix 版本：Citrix 虛擬應用程式和桌面平台 7 2203、Citrix 虛擬應用程式和桌面平台 7 1912 LTSR、XenApp 和 XenDesktop 7.15 LTSR，以及 XenApp 和 XenDesktop 7.6 LTSR。支援以下版本的 Citrix Gateway：12.1-62.27、12.1-65.25 和 13.1-37.38。該連接器支援 Citrix StoreFront API，且不支援 Citrix Web Interface SDK。

如需受支援的 Horizon 版本，請參閱 VMware 產品互通性對照表。

相容性對照表

VMware 產品互通性對照表提供目前版本和舊版 VMware 產品與元件 (例如 VMware vCenter Server、VMware ThinApp 和 Horizon) 的相容性詳細資料。

升級至 VMware Workspace ONE Access Connector 23.09 (Windows)

支援將 Workspace ONE Access Connector 從 22.09.1.0、22.09.0.0、22.05, 21.08.0.1 和 21.08.0.0 版升級至 23.09 版。

如需相關資訊，請參閱升級至 VMware Workspace ONE Access Connector 23.09 指南。

移轉至 Workspace ONE Access Connector 23.09 (Windows)

您可以從與 Workspace ONE Access Connector 22.09.0.0 支援的相同版本移轉至 22.09.1.0。

提供了從 Workspace ONE Access Connector 19.03.x 版移轉至 22.09 版的路徑。該程序包括安裝新的 Connector 22.09，以及將您現有的目錄和虛擬應用程式集合移轉至新的連接器。移轉是一次性程序，且您必須一併移轉目錄和虛擬應用程式集合。

移轉完成後，您便不再需要使用 Integration Broker 來進行 Citrix 整合。必要功能現在是 Workspace ONE Access Connector 中虛擬應用程式服務元件的一部分。

如需相關資訊，請參閱移轉至 VMware Workspace ONE Access Connector 22.09 指南。

將舊版連接器移轉至 22.09 版後，您可以將其升級至 23.09。

VMware Workspace ONE Access 說明文件位於 VMware Workspace ONE Access 說明文件中心。

VMware Workspace ONE Access 提供下列語言版本。

• 英文

• 法文

• 德文

• 西班牙文

• 日文

• 簡體中文

• 韓文

• 繁體中文

• 俄文

• 義大利文

• 葡萄牙文 (巴西)

• 荷蘭文

如果您需要 Workspace ONE Access 環境的相關協助，請連絡 VMware 支援服務。您可以透過電話，或使用 VMware CustomerConnect 帳戶，以線上方式向 VMware 支援服務提交支援要求。

知識庫文章 2151511 如何存取 VMware Workspace ONE 支援說明如何與 Workspace ONE 支援服務連絡。