Povolení ochrany před zachycením obrazovky ve službě Azure Virtual Desktop

Ochrana zachytávání obrazovky společně s vodoznaky pomáhá zabránit zachycení citlivých dat na klientských zařízeních pomocí konkrétních funkcí operačního systému a rozhraní API. Když povolíte ochranu před zachycením obrazovky, vzdálený obsah se automaticky zablokuje na snímcích obrazovky a sdílení obrazovky.

Pokud je povolená ochrana snímků obrazovky, nemůžou uživatelé sdílet své vzdálené okno pomocí softwaru pro místní spolupráci, jako je Microsoft Teams. Místní aplikace Teams nebo aplikace Teams s optimalizací médií nemůže sdílet chráněný obsah.

Tip

• Pokud chcete zvýšit zabezpečení citlivých informací, měli byste také zakázat přesměrování schránky, jednotky a tiskárny. Zakázání přesměrování pomáhá zabránit uživatelům ve kopírování obsahu ze vzdálené relace. Informace o podporovaných hodnotách přesměrování najdete v tématu Přesměrování zařízení.

• Pokud chcete odradit od jiných metod zachycení obrazovky, jako je pořízení fotky obrazovky pomocí fyzické kamery, můžete povolit vodoznaky, kde správci můžou ke sledování relace použít kód QR.

Určení konfigurace

Postup konfigurace ochrany zachytávání obrazovky závisí na tom, kde ji nakonfigurujete, na jakých platformách se uživatelé připojují a jaký scénář chcete dosáhnout.

• Zařízení s Windows a macOS: Zabráníte zachycení obrazovky konfigurací hostitelů relací pomocí zásad konfigurace Intune zařízení nebo Zásady skupiny. Windows App nebo klient Vzdálené plochy vynucuje nastavení ochrany zachytávání obrazovky z hostitele relace bez další konfigurace.

  Když nakonfigurujete ochranu před zachycením obrazovky na hostitelích relací, můžete nakonfigurovat dvě další nastavení, která vám pomůžou splnit vaše požadavky:

  • Blokovat snímek obrazovky na klientovi: Zabraňuje zachycení obrazovky z místního zařízení aplikací spuštěných ve vzdálené relaci.

  • Blokování zachycení obrazovky na klientovi a serveru: Zabraňuje zachycení obrazovky z místního zařízení aplikací spuštěných ve vzdálené relaci, ale také brání nástrojům a službám v rámci hostitele relace zachytit obrazovku.

  V tomto scénáři je výsledek při připojování z jednotlivých typů platformy:

Platforma	Připojení povoleno	Zablokovaný snímek obrazovky
Windows	✅	✅
macOS	✅	✅
iOS/iPadOS	✅¹	✅¹
Android	❌	Není k dispozici.
Web	❌	Není k dispozici.

^{1. Koexistence (iOS/iPadOS): Pokud je na hostiteli relace povolená ochrana zachycení obrazovky a Windows App v systému iOS/iPadOS je chráněná zásadami ochrany aplikací INTUNE MAM, které blokují snímky obrazovky, jsou povolená připojení iOS/iPadOS a na spravovaném zařízení (aplikace verze 11.2.4) je zablokovaný snímek obrazovky.}

• Zařízení s Androidem: Zabráníte zachytávání obrazovky tím, že nakonfigurujete místní zařízení pomocí Microsoft Intune správy mobilních aplikací (MAM). Nezabrání nástrojům a službám v rámci hostitele relace zachytit obrazovku. Další informace najdete v tématu Správa nastavení přesměrování místního zařízení pomocí Microsoft Intune.

  V tomto scénáři je výsledek při připojování z jednotlivých typů platformy:

Platforma	Připojení povoleno	Zablokovaný snímek obrazovky
Windows	✅	❌
macOS	✅	❌
iOS/iPadOS	✅	✅
Android	✅	✅
Web	✅	❌

Důležité

Na základě vašich požadavků musíte zvolit, která místní zařízení se ochranou před zachycením obrazovky se mají používat. Neexistuje scénář, ve kterém byste mohli povolit ochranu zachycení obrazovky na všech platformách ze stejných hostitelů relací současně. Pokud jsou nakonfigurované obě možnosti, ochrana zachycení obrazovky na hostitelích relací má přednost před použitím zásad mam Intune na místních zařízeních.

Aspekty platformy pro ochranu před zachycením obrazovky v macOS

I když je ve Windows plně podporovaná, existují známá omezení pro macOS vzhledem k aktuální architektuře zabezpečení platformy:

• Kompatibilita s Microsoft Teams: V systému macOS může povolení ochrany snímků obrazovky narušovat sdílení obrazovky v Microsoft Teams, což může způsobit, že se sdílená okna budou zobrazovat prázdná nebo se nezobrazí správně. Pokud se vyžaduje spolupráce založená na Teams, možná bude potřeba na zařízení dočasně zakázat ochranu snímků obrazovky.

• Vynucování na úrovni platformy: Kvůli omezením macOS nemusí některé nativní aplikace plně respektovat vynucování ochrany zachytávání obrazovky. Jedná se o omezení dostupných rozhraní API operačního systému, nikoli o vadu samotné ochrany před zachycením obrazovky.

Tady je několik doporučení pro tato omezení:

• V případě pracovních postupů macOS náročných na spolupráci zvažte konfiguraci nastavení ochrany snímků obrazovky na základě obchodních potřeb a úrovně rizika.

• U vysoce citlivého obsahu se pro úplné vynucování funkcí ochrany obrazovky doporučují koncové body Windows.

• Zásady vodoznaků a správy se dají použít k dalšímu odrazování od zneužití na platformách s omezeným vynucováním.

Požadavky

Než budete moct nakonfigurovat ochranu před zachycením obrazovky, ujistěte se, že splňujete následující požadavky:

• Ve scénářích, ve kterých potřebujete nakonfigurovat hostitele relací, musí na těchto hostitelích relací běžet Windows 11 verze 22H2 nebo novější nebo Windows 10 verze 22H2 nebo novější.

Důležité

V iOS/iPadOS se ujistěte, že uživatelé používají nejnovější Windows App 11.2.4. V některých prostředích může být nutné, aby uživatelé aplikaci aktualizovali ručně, aby získali nejnovější opravy.

• Uživatelé se musí připojit ke službě Azure Virtual Desktop pomocí Windows App nebo aplikace Vzdálená plocha, aby mohli používat ochranu před zachycením obrazovky. Následující tabulka uvádí podporované scénáře:

  • Windows App:

    Platforma	Minimální verze	Relace plochy	Relace RemoteAppu
    Windows App ve Windows	Jakákoli	Ano	Ano. Místní operační systém zařízení musí být Windows 11 verze 22H2 nebo novější.
    Windows App v systému macOS	Jakákoli	Ano	Ano
    Windows App v iOS/iPadOS	11.0.8	Ano	Ano
    Windows App v Androidu (Preview)¹	1.0.145	Ano	Ano

    ^{1. Nezahrnuje podporu pro Chrome OS, protože Intune MAM není podporováno v systému Chrome OS.}

  • Klient Vzdálené plochy:

    Platforma	Minimální verze	Relace plochy	Relace RemoteAppu
    Windows (desktopový klient)	1.2.1672	Ano	Ano. Místní operační systém zařízení musí být Windows 11 verze 22H2 nebo novější.
    Windows (aplikace Azure Virtual Desktop Store)	Jakákoli	Ano	Ano. Místní operační systém zařízení musí být Windows 11 verze 22H2 nebo novější.
    macOS	10.7.0 nebo novější	Ano	Ano

• Ke konfiguraci Microsoft Intune potřebujete:

  • Microsoft Entra ID účtu, kterému je přiřazena integrovaná role Správce zásad a profilů RBAC.

  • Skupina obsahující zařízení, která chcete nakonfigurovat.

• Ke konfiguraci Zásady skupiny potřebujete:

  • Účet domény, který je členem skupiny zabezpečení Domain Admins .

  • Skupina zabezpečení nebo organizační jednotka obsahující zařízení, která chcete nakonfigurovat.

Povolení ochrany snímků obrazovky na hostitelích relací pomocí zásad konfigurace Intune zařízení nebo Zásady skupiny

Vyberte kartu relevantní pro váš scénář.

Microsoft Intune

Konfigurace ochrany snímků obrazovky na hostitelích relací pomocí Microsoft Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vytvořte nebo upravte konfigurační profil pro Windows 10 a novější zařízení s typem profilu katalogu Nastavení.

3. Ve výběru nastavení přejděte na Šablony> pro správuSoučásti systému> WindowsVzdálená plocha Vzdálená>plocha Hostitel> relace vzdálené plochy Azure Virtuální plocha.

   

4. Zaškrtněte políčko Povolit ochranu snímků obrazovky a pak zavřete výběr nastavení.

5. Rozbalte kategorii Šablony pro správu a pak přepněte přepínač Povolit ochranu zachycení obrazovky na Povoleno.

   

6. Přepněte přepínač Možnosti ochrany před zachycením obrazovky (zařízení) do polohy Vypnuto u možnosti Blokovat zachycení obrazovky na klientovi nebo v části Blokovat zachycení obrazovky na klientovi a serveru na základě vašich požadavků a pak vyberte OK.

7. Vyberte Další.

8. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace najdete v: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

9. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat, a pak vyberte Další.

10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

11. Jakmile se zásada použije pro počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.

Zásady skupiny

Konfigurace ochrany zachycení obrazovky na hostitelích relací pomocí Zásady skupiny v doméně služby Active Directory:

1. Podle pokynů zpřístupněte šablonu pro správu pro Azure Virtual Desktop v Zásady skupiny.

2. Otevřete konzolu pro správu Zásady skupiny na zařízení, které používáte ke správě domény služby Active Directory.

3. Vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

4. Přejděte naZásady>konfigurace> počítačeŠablony pro správu> Součástisystému>Windows Hostitel> relace >vzdálené plochy vzdálené plochyAzure Virtuální plocha.

   

5. Poklikejte na nastavení zásady Povolit ochranu snímků obrazovky , aby se otevřela, a pak vyberte Povoleno.

   

6. V rozevírací nabídce vyberte scénář ochrany snímků obrazovky, který chcete použít, v části Blokovat zachycení obrazovky na klientovi nebo Blokovat snímek obrazovky na klientovi a serveru na základě vašich požadavků a pak vyberte OK.

7. Ujistěte se, že jsou zásady použity na počítače poskytující vzdálenou relaci, a pak je restartujte, aby se nastavení projevilo.

Povolení ochrany snímků obrazovky na místních zařízeních pomocí Intune MAM

Pokud chcete používat ochranu zachycení obrazovky na zařízeních s iOS/iPadOS a Androidem se systémem Windows App, musíte nakonfigurovat zásady ochrany aplikací Intune.

Konfigurace Intune zásad ochrany aplikací pro povolení ochrany snímků obrazovky na zařízeních s iOS/iPadOS a Androidem:

1. Postupujte podle pokynů k vyžadování dodržování předpisů zabezpečení místních klientských zařízení u Microsoft Intune a Microsoft Entra podmíněného přístupu. Dodržování předpisů zabezpečení místních klientských zařízení poskytuje základ pro konfiguraci ochrany zachycení obrazovky na zařízeních s iOS/iPadOS a Androidem se systémem Windows App.

2. Při konfiguraci zásad ochrany aplikací nakonfigurujte na kartě Ochrana dat následující nastavení v závislosti na platformě:

   1. Pro iOS/iPadOS nastavte Možnost Odesílat data organizace do jiných aplikací na Žádné.

   2. V případě Androidu nastavte Možnost Snímek obrazovky a Google Assistant na Blokovat.

3. Nakonfigurujte další nastavení na základě svých požadavků a zaměřte zásady ochrany aplikací na uživatele a zařízení.

Ověření ochrany před zachycením obrazovky

Ověření fungování ochrany před zachycením obrazovky:

1. Připojte se k nové vzdálené relaci pomocí podporovaného klienta. Nepřipojujte se znovu k existující relaci. Aby se změna projevila, musíte se odhlásit ze všech existujících relací a znovu se přihlásit.

2. Na místním zařízení pořiďte snímek obrazovky nebo nasdílejte obrazovku při hovoru nebo schůzce Teams. Obsah je zablokovaný nebo skrytý.

3. Pokud jste na zařízeních s Windows a macOS povolili blokování zachycení obrazovky na klientovi a serveru na hostitelích relací, zkuste zachytit obrazovku pomocí nástroje nebo služby v rámci hostitele relace. Obsah je zablokovaný nebo skrytý.

Pokud povolíte ochranu zachycení obrazovky na hostitelích relací, musíte se připojit z podporovaného zařízení. Pokud ne, zobrazí se chybová zpráva oznamující, že je povolená ochrana proti zachycení obrazovky. Chybová zpráva vypadá podobně jako na těchto snímcích obrazovky:

• Webový prohlížeč:

  

• iOS/iPadOS:

  

Související obsah

• Povolte vodoznaky, kde správci můžou ke sledování relace použít kód QR.

• Informace o tom, jak zabezpečit nasazení Azure Virtual Desktopu, najdete v tématu Osvědčené postupy zabezpečení.