Vodoznaky ve službě Azure Virtual Desktop

Vodoznaky spolu s ochranou zachytávání obrazovky pomáhají zabránit zachycení citlivých informací na koncových bodech klienta. Když povolíte vodoznaky, zobrazí se vodoznaky kódu QR jako součást vzdálených ploch. Kód QR obsahuje ID Připojení ionu nebo ID zařízení vzdálené relace, kterou můžou správci použít k trasování relace. Vodoznaky se konfigurují u hostitelů relací pomocí Microsoft Intune nebo zásad skupiny a vynucuje je aplikace pro Windows nebo klient vzdálené plochy.

Tady je snímek obrazovky znázorňující, jak vodoznak vypadá, když je povolený:

Důležité

• Po povolení vodoznaku na hostiteli relace se k danému hostiteli relace můžou připojit jenom klienti, kteří podporují vodoznaky. Pokud se pokusíte připojit z nepodporovaného klienta, připojení selže a zobrazí se chybová zpráva, která není specifická.

• Vodoznaky jsou určené jenom pro vzdálené plochy. U RemoteAppu se vodoznak nepoužije a připojení je povolené.

• Pokud se připojíte k hostiteli relace přímo (ne přes Azure Virtual Desktop) pomocí aplikace Vzdálená plocha Připojení ion (mstsc.exe), vodoznak se nepoužije a připojení je povolené.

Požadavky

Abyste mohli použít vodoznak, budete potřebovat následující věci:

• Existující fond hostitelů s hostiteli relací.

• Účet ID Microsoft Entra, který má přiřazené předdefinované role řízení přístupu na základě role (RBAC) přispěvatele fondu hostitelů virtualizace plochy jako minimum.

• Klient, který podporuje vodoznaky. Vodoznaky podporují následující klienti:

  • Klient vzdálené plochy pro:

    • Windows Desktop verze 1.2.3317 nebo novější ve Windows 10 a novějších verzích.
    • Webový prohlížeč.
    • macOS verze 10.9.5 nebo novější.
    • iOS/iPadOS verze 10.5.4 nebo novější.

  • Aplikace pro Windows pro:

    • Windows
    • macOS
    • Webový prohlížeč

• Azure Virtual Desktop Přehledy nakonfigurované pro vaše prostředí.

• Pokud spravujete hostitele relací pomocí Microsoft Intune, potřebujete:

  • Účet Microsoft Entra ID přiřazený předdefinované roli RBAC správce zásad a profilů.

  • Skupina obsahující zařízení, která chcete nakonfigurovat.

• Pokud spravujete hostitele relací pomocí zásad skupiny v doméně služby Active Directory, potřebujete:

  • Účet domény, který je členem skupiny zabezpečení Domain Správa s.

  • Skupina zabezpečení nebo organizační jednotka obsahující hostitele relací, které chcete nakonfigurovat.

Povolení vodoznaku

Vyberte příslušnou kartu pro váš scénář.

Microsoft Intune

Povolení vodoznaku pomocí Microsoft Intune:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.

3. V nástroji pro výběr nastavení přejděte na Správa istrativní šablony>windows Components>Remote Desktop Services>Remote Desktop Session Host>Azure Virtual Desktop.

   

4. Zaškrtněte políčko Povolit vodoznak a pak zavřete výběr nastavení.

   Důležité

   Nevybírejte možnost [Zastaralé] Povolit vodoznaky , protože toto nastavení neobsahuje možnost zadat vložený obsah kódu QR.

5. Rozbalte kategorii Správa istrativních šablon a přepněte přepínač Pro povolení vodoznaku na Povoleno.

   

6. Můžete konfigurovat následující možnosti:

   Možnost	Hodnoty	Popis
   Faktor měřítka rastrového obrázku qr kódu	1 až 10 (výchozí = 4)	Velikost v pixelech každého bodu kódu QR. Tato hodnota určuje, kolik čtverců na tečku v kódu QR.
   Neprůhlednost rastrového obrázku QR	100 až 9999 (výchozí = 2000)	Jak je vodoznak průhledný, kde 100 je plně transparentní.
   Šířka mřížky v procentech relevantních pro šířku rastrového obrázku QR	100 až 1000 (výchozí = 320)	Určuje vzdálenost mezi kódy QR v procentech. Když se zkombinuje s výškou, hodnota 100 způsobí, že se kódy QR zobrazí vedle sebe a vyplní celou obrazovku.
   Výška mřížky v procentech relevantních pro šířku rastrového obrázku QR	100 až 1000 (výchozí = 180)	Určuje vzdálenost mezi kódy QR v procentech. Když se zkombinuje s šířkou, hodnota 100 by se kódy QR zobrazovaly vedle sebe a vyplnily celou obrazovku.
   Vložený obsah kódu QR	ID Připojení ionu (výchozí) ID zařízení	Určete, jestli se má v kódu QR použít ID Připojení ionu nebo ID zařízení. Vyberte POUZE ID zařízení s hostiteli relací, kteří jsou v osobním fondu hostitelů a připojeni k Microsoft Entra ID nebo hybridnímu připojení Microsoft Entra.

   Tip

   Doporučujeme vyzkoušet různé hodnoty neprůhlednosti a najít rovnováhu mezi čitelností vzdálené relace a schopností naskenovat kód QR, ale zachovat výchozí hodnoty pro ostatní parametry.

7. Vyberte Další.

8. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

9. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.

10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

11. Synchronizujte hostitele relací s Intune , aby se nastavení projevilo.

Zásady skupiny

Povolení vodoznaku pomocí zásad skupiny:

1. Podle pokynů zpřístupníte šablonu Správa istrativní pro Azure Virtual Desktop.

2. Otevřete konzolu pro správu zásad skupiny na zařízení, které používáte ke správě domény služby Active Directory, a pak vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

3. Přejděte na Zásady> konfigurace>počítače Správa istrativní šablony>komponent systému Windows Vzdálená>plocha Vzdálená plocha Hostitel>relace vzdálené plochy>Azure Virtual Desktop.

4. Otevřete nastavení zásad Povolit vodoznak a nastavte ho na Povoleno.

   

5. Můžete konfigurovat následující možnosti:

   Možnost	Hodnoty	Popis
   Faktor měřítka rastrového obrázku qr kódu	1 až 10 (výchozí = 4)	Velikost v pixelech každého bodu kódu QR. Tato hodnota určuje, kolik čtverců na tečku v kódu QR.
   Neprůhlednost rastrového obrázku QR	100 až 9999 (výchozí = 2000)	Jak průhledný je vodoznak, kde 100 je plně průhledné a 9999 je zcela neprůhledný.
   Šířka mřížky v procentech relevantních pro šířku rastrového obrázku QR	100 až 1000 (výchozí = 320)	Určuje vzdálenost mezi kódy QR v procentech. Když se zkombinuje s výškou, hodnota 100 způsobí, že se kódy QR zobrazí vedle sebe a vyplní celou obrazovku.
   Výška mřížky v procentech relevantních pro šířku rastrového obrázku QR	100 až 1000 (výchozí = 180)	Určuje vzdálenost mezi kódy QR v procentech. Když se zkombinuje s šířkou, hodnota 100 by se kódy QR zobrazovaly vedle sebe a vyplnily celou obrazovku.
   Vložený obsah kódu QR	ID Připojení ionu (výchozí) ID zařízení	Určete, jestli se má v kódu QR použít ID Připojení ionu nebo ID zařízení. Vyberte POUZE ID zařízení s hostiteli relací, kteří jsou v osobním fondu hostitelů a připojeni k Microsoft Entra ID nebo hybridnímu připojení Microsoft Entra.

   Tip

   Doporučujeme vyzkoušet různé hodnoty neprůhlednosti a najít rovnováhu mezi čitelností vzdálené relace a schopností naskenovat kód QR, ale zachovat výchozí hodnoty pro ostatní parametry.

6. Ujistěte se, že se zásady použijí u hostitelů relací, aktualizujte zásady skupiny na hostitelích relací nebo je restartujte, aby se nastavení projevilo.

7. Připojení do vzdálené relace s podporovaným klientem, kde by se měly zobrazit kódy QR. Všechny existující relace se budou muset odhlásit a znovu se vrátit, aby se změna projevila.

Vyhledání informací o relaci

Jakmile povolíte vodoznaky, najdete informace o relaci z kódu QR pomocí Přehledy služby Azure Virtual Desktop nebo dotazováním služby Azure Monitor Log Analytics.

Přehledy služby Azure Virtual Desktop

Informace o relaci z kódu QR zjistíte pomocí služby Azure Virtual Desktop Přehledy:

1. Otevřete webový prohlížeč a přejděte k https://aka.ms/avdi otevření služby Azure Virtual Desktop Přehledy. Po zobrazení výzvy se přihlaste pomocí svých přihlašovacích údajů Azure.

2. Vyberte příslušné předplatné, skupinu prostředků, fond hostitelů a časový rozsah a pak vyberte kartu diagnostika Připojení ion.

3. V části Úspěšnost (re)navazování připojení (% připojení) je seznam všech připojení zobrazující první pokus, id Připojení ion, uživatele a pokusy. ID připojení můžete vyhledat z kódu QR v tomto seznamu nebo exportovat do Excelu.

Log Analytics služby Azure Monitor

Informace o relaci z kódu QR zjistíte dotazem služby Azure Monitor Log Analytics:

1. Přihlaste se k portálu Azure.

2. Na panelu hledání zadejte pracovní prostory služby Log Analytics a vyberte odpovídající položku služby.

3. Výběrem otevřete pracovní prostor služby Log Analytics, který je připojený k prostředí Služby Azure Virtual Desktop.

4. V části Obecné vyberte Protokoly.

5. Spusťte nový dotaz a spuštěním následujícího dotazu získejte informace o relaci pro konkrétní ID připojení (reprezentované jako Id korelace v Log Analytics) a nahraďte <connection ID> úplnou nebo částečnou hodnotou z kódu QR:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Související obsah

• Povolení ochrany zachytávání obrazovky ve službě Azure Virtual Desktop