Vodoznaky ve službě Azure Virtual Desktop

Vodoznaky společně s ochranou před zachycením obrazovky pomáhají zabránit zachycení citlivých informací v koncových bodech klienta. Když povolíte vodoznaky, vodoznaky kódu QR se zobrazí jako součást vzdálené plochy. Kód QR obsahuje ID připojení nebo ID zařízení vzdálené relace, které můžou správci použít ke sledování relace. Vodoznaky se na hostitelích relací konfigurují pomocí Microsoft Intune nebo Zásady skupiny a vynucují Windows App nebo klienta Vzdálené plochy.

Tady je snímek obrazovky ukazující, jak vodoznak vypadá, když je povolené:

Důležité

• Po povolení vodoznaku na hostiteli relace se k ho hostiteli relace můžou připojit jenom klienti, kteří podporují vodoznaky. Pokud se pokusíte připojit z nepodporovaného klienta, připojení selže a zobrazí se chybová zpráva, která není specifická.

• Vodoznaky jsou určené jenom pro vzdálené plochy. U RemoteAppu se nepoužívá vodoznak a připojení je povolené.

• Pokud se k hostiteli relace připojujete přímo (ne přes Azure Virtual Desktop) pomocí aplikace Připojení ke vzdálené ploše (mstsc.exe), vodoznak se nepoužije a připojení je povolené.

Požadavky

Než budete moct vodoznaky používat, budete potřebovat následující:

• Existující fond hostitelů s hostiteli relací

• Účet Microsoft Entra ID přiřazený minimálně předdefinovaným rolím řízení přístupu na základě role (RBAC) přispěvatele fondu hostitelů virtualizace plochy ve fondu hostitelů.

• Klient, který podporuje vodoznaky. Následující klienti podporují vodoznaky:

  • Klient Vzdálené plochy pro:

    • Windows Desktop verze 1.2.3317 nebo novější, Windows 10 a novější.
    • Webový prohlížeč.
    • macOS verze 10.9.5 nebo novější.
    • iOS/iPadOS verze 10.5.4 nebo novější.

  • Windows App pro:

    • Windows
    • macOS
    • iOS a iPadOS
    • Android/Chrome OS (Preview)
    • Webový prohlížeč

• Azure Virtual Desktop Insights nakonfigurované pro vaše prostředí.

• Pokud spravujete hostitele relací pomocí Microsoft Intune, potřebujete:

  • Microsoft Entra ID účtu, kterému je přiřazena integrovaná role Správce zásad a profilů RBAC.

  • Skupina obsahující zařízení, která chcete nakonfigurovat.

• Pokud spravujete hostitele relací pomocí Zásady skupiny v doméně služby Active Directory, potřebujete:

  • Účet domény, který je členem skupiny zabezpečení Domain Admins .

  • Skupina zabezpečení nebo organizační jednotka obsahující hostitele relací, které chcete nakonfigurovat.

Povolit vodoznaky

Vyberte kartu relevantní pro váš scénář.

Microsoft Intune

Povolení vodoznaků pomocí Microsoft Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vytvořte nebo upravte konfigurační profil pro Windows 10 a novější zařízení s typem profilu katalogu Nastavení.

3. Ve výběru nastavení přejděte na Šablony> pro správuSoučásti systému> WindowsVzdálená plocha Vzdálená>plocha Hostitel> relace vzdálené plochyAzure Virtual Desktop.

   

4. Zaškrtněte políčko Povolit vodoznaky a zavřete výběr nastavení.

   Důležité

   Nevybírejte možnost [Zastaralé] Povolit vodoznaky , protože toto nastavení neobsahuje možnost zadat vložený obsah kódu QR.

5. Rozbalte kategorii Šablony pro správu a pak přepněte přepínač Povolit vodoznaky na Povoleno.

   

6. Můžete nakonfigurovat následující možnosti:

   Možnost	Hodnoty	Popis
   Faktor měřítka rastrového obrázku kódu QR	1 až 10 (výchozí hodnota = 4)	Velikost každé tečky kódu QR v pixelech Tato hodnota určuje počet čtverců na tečku v kódu QR.
   Neprůhlednost rastrového obrázku v kódu QR	100 až 9999 (výchozí hodnota = 2000)	Jak průhledný je vodoznak, kde 100 je plně průhledné.
   Šířka pole mřížky v procentech odpovídajících šířce rastrového obrázku kódu QR	100 až 1000 (výchozí hodnota = 320)	Určuje vzdálenost mezi kódy QR v procentech. V kombinaci s výškou by se při hodnotě 100 kódy QR zobrazovaly vedle sebe a vyplnily celou obrazovku.
   Výška pole mřížky v procentech relevantních pro šířku rastrového obrázku kódu QR	100 až 1000 (výchozí hodnota = 180)	Určuje vzdálenost mezi kódy QR v procentech. V kombinaci se šířkou by se při hodnotě 100 kódy QR zobrazovaly vedle sebe a vyplnily celou obrazovku.
   Vložený obsah kódu QR	ID připojení (výchozí) ID zařízení	Určete, jestli se má v kódu QR použít ID připojení nebo ID zařízení . Vyberte pouze ID zařízení s hostiteli relací, kteří jsou v osobním fondu hostitelů a jsou připojeni k Microsoft Entra ID nebo Microsoft Entra hybridně připojeni.

   Tip

   Doporučujeme vyzkoušet různé hodnoty neprůhlednosti, abyste našli rovnováhu mezi čitelností vzdálené relace a možností naskenovat kód QR, ale zachovat výchozí hodnoty pro ostatní parametry.

7. Vyberte Další.

8. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace najdete v: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

9. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat, a pak vyberte Další.

10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

11. Synchronizujte hostitele relací s Intune, aby se nastavení projevilo.

Zásady skupiny

Povolení vodoznaků pomocí Zásady skupiny:

1. Postupujte podle pokynů a zpřístupněte šablonu pro správu služby Azure Virtual Desktop v Zásady skupiny.

2. Otevřete konzolu pro správu Zásady skupiny na zařízení, které používáte ke správě domény služby Active Directory, a pak vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

3. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému Windows Hostitel>> relace >vzdálené plochy Vzdálené plochyAzure Virtual Desktop.

4. Otevřete nastavení zásad Povolit vodoznak a nastavte ho na Povoleno.

   

5. Můžete nakonfigurovat následující možnosti:

   Možnost	Hodnoty	Popis
   Faktor měřítka rastrového obrázku kódu QR	1 až 10 (výchozí hodnota = 4)	Velikost každé tečky kódu QR v pixelech Tato hodnota určuje počet čtverců na tečku v kódu QR.
   Neprůhlednost rastrového obrázku v kódu QR	100 až 9999 (výchozí hodnota = 2000)	Jak průhledný je vodoznak, kde 100 je plně průhledný a 9999 je zcela neprůhledný.
   Šířka pole mřížky v procentech odpovídajících šířce rastrového obrázku kódu QR	100 až 1000 (výchozí hodnota = 320)	Určuje vzdálenost mezi kódy QR v procentech. V kombinaci s výškou by se při hodnotě 100 kódy QR zobrazovaly vedle sebe a vyplnily celou obrazovku.
   Výška pole mřížky v procentech relevantních pro šířku rastrového obrázku kódu QR	100 až 1000 (výchozí hodnota = 180)	Určuje vzdálenost mezi kódy QR v procentech. V kombinaci se šířkou by se při hodnotě 100 kódy QR zobrazovaly vedle sebe a vyplnily celou obrazovku.
   Vložený obsah kódu QR	ID připojení (výchozí) ID zařízení	Určete, jestli se má v kódu QR použít ID připojení nebo ID zařízení . Vyberte pouze ID zařízení s hostiteli relací, kteří jsou v osobním fondu hostitelů a jsou připojeni k Microsoft Entra ID nebo Microsoft Entra hybridně připojeni.

   Tip

   Doporučujeme vyzkoušet různé hodnoty neprůhlednosti, abyste našli rovnováhu mezi čitelností vzdálené relace a možností naskenovat kód QR, ale zachovat výchozí hodnoty pro ostatní parametry.

6. Ujistěte se, že se zásady vztahují na hostitele relací, a pak aktualizujte Zásady skupiny na hostitelích relací nebo je restartujte, aby se nastavení projevilo.

7. Připojte se ke vzdálené relaci pomocí podporovaného klienta, kde by se měly zobrazit kódy QR. Všechny existující relace se budou muset odhlásit a znovu se přihlásit, aby se změna projevila.

Najít informace o relaci

Po povolení vodoznaku můžete informace o relaci z kódu QR najít pomocí Azure Virtual Desktop Insights nebo dotazování Služby Azure Monitor Log Analytics.

Azure Virtual Desktop Insights

Informace o relacích z kódu QR pomocí azure Virtual Desktop Insights zjistíte takto:

1. Otevřete webový prohlížeč a přejděte na https://aka.ms/avdi stránku a otevřete Azure Virtual Desktop Insights. Po zobrazení výzvy se přihlaste pomocí svých přihlašovacích údajů Azure.

2. Vyberte příslušné předplatné, skupinu prostředků, fond hostitelů a časový rozsah a pak vyberte kartu Diagnostika připojení .

3. V části Míra úspěšnosti (opětovného navazování připojení (% připojení) je seznam všech připojení s prvním pokusem, ID připojení, uživatelem a pokusy. ID připojení můžete vyhledat z kódu QR v tomto seznamu nebo ho můžete exportovat do Excelu.

Azure Monitor Log Analytics

Pokud chcete zjistit informace o relacích z kódu QR dotazováním služby Azure Monitor Log Analytics:

1. Přihlaste se k Azure Portal.

2. Na panelu hledání zadejte Pracovní prostory služby Log Analytics a vyberte odpovídající položku služby.

3. Výběrem otevřete pracovní prostor služby Log Analytics, který je připojený k vašemu prostředí Azure Virtual Desktop.

4. V části Obecné vyberte Protokoly.

5. Spusťte nový dotaz a spuštěním následujícího dotazu získejte informace o relaci pro konkrétní ID připojení (v Log Analytics reprezentované jako CorrelationId ) a nahraďte <connection ID> úplnou nebo částečnou hodnotou z kódu QR:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Související obsah

• Povolte ochranu snímků obrazovky ve službě Azure Virtual Desktop.