Sdílet prostřednictvím


Vodoznaky ve službě Azure Virtual Desktop

Vodoznaky spolu s ochranou zachytávání obrazovky pomáhají zabránit zachycení citlivých informací na koncových bodech klienta. Když povolíte vodoznaky, zobrazí se vodoznaky kódu QR jako součást vzdálených ploch. Kód QR obsahuje ID připojení nebo ID zařízení vzdálené relace, kterou můžou správci použít k trasování relace. Vodoznaky se konfigurují u hostitelů relací pomocí Microsoft Intune nebo zásad skupiny a vynucuje je aplikace pro Windows nebo klient vzdálené plochy.

Tady je snímek obrazovky znázorňující, jak vodoznak vypadá, když je povolený:

Snímek obrazovky s povoleným vodoznakem na vzdálené ploše

Důležité

  • Po povolení vodoznaku na hostiteli relace se k danému hostiteli relace můžou připojit jenom klienti, kteří podporují vodoznaky. Pokud se pokusíte připojit z nepodporovaného klienta, připojení selže a zobrazí se chybová zpráva, která není specifická.

  • Vodoznaky jsou určené jenom pro vzdálené plochy. U RemoteAppu se vodoznak nepoužije a připojení je povolené.

  • Pokud se připojujete přímo k hostiteli relace (ne přes Azure Virtual Desktop) pomocí aplikace Připojení ke vzdálené ploše (mstsc.exe), vodoznak se nepoužije a připojení je povolené.

Požadavky

Abyste mohli použít vodoznak, budete potřebovat následující věci:

  • Existující fond hostitelů s hostiteli relací.

  • Účet ID Microsoft Entra, který má přiřazené předdefinované role řízení přístupu na základě role (RBAC) přispěvatele fondu hostitelů virtualizace plochy jako minimum.

  • Klient, který podporuje vodoznaky. Vodoznaky podporují následující klienti:

    • Klient vzdálené plochy pro:

    • Aplikace pro Windows pro:

      • Windows
      • macOS
      • iOS a iPadOS
      • Webový prohlížeč
  • Služba Azure Virtual Desktop Insights nakonfigurovaná pro vaše prostředí

  • Pokud spravujete hostitele relací pomocí Microsoft Intune, potřebujete:

  • Pokud spravujete hostitele relací pomocí zásad skupiny v doméně služby Active Directory, potřebujete:

    • Účet domény, který je členem skupiny zabezpečení Domain Admins .

    • Skupina zabezpečení nebo organizační jednotka obsahující hostitele relací, které chcete nakonfigurovat.

Povolení vodoznaku

Vyberte příslušnou kartu pro váš scénář.

Povolení vodoznaku pomocí Microsoft Intune:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.

  3. V nástroji pro výběr nastavení přejděte do šablon pro>správu komponent>vzdálené plochy Vzdálená>plocha služby Vzdálená plocha hostitelem služby>Azure Virtual Desktop.

    Snímek obrazovky Centra pro správu Intune zobrazující nastavení služby Azure Virtual Desktop

  4. Zaškrtněte políčko Povolit vodoznak a pak zavřete výběr nastavení.

    Důležité

    Nevybírejte možnost [Zastaralé] Povolit vodoznaky , protože toto nastavení neobsahuje možnost zadat vložený obsah kódu QR.

  5. Rozbalte kategorii Šablony pro správu a přepněte přepínač Pro povolení vodoznaku na Povoleno.

    Snímek obrazovky s dostupnými nastaveními pro vodoznaky v Intune

  6. Můžete konfigurovat následující možnosti:

    Možnost Hodnoty Popis
    Faktor měřítka rastrového obrázku qr kódu 1 až 10
    (výchozí = 4)
    Velikost v pixelech každého bodu kódu QR. Tato hodnota určuje, kolik čtverců na tečku v kódu QR.
    Neprůhlednost rastrového obrázku QR 100 až 9999 (výchozí = 2000) Jak je vodoznak průhledný, kde 100 je plně transparentní.
    Šířka mřížky v procentech relevantních pro šířku rastrového obrázku QR 100 až 1000
    (výchozí = 320)
    Určuje vzdálenost mezi kódy QR v procentech. Když se zkombinuje s výškou, hodnota 100 způsobí, že se kódy QR zobrazí vedle sebe a vyplní celou obrazovku.
    Výška mřížky v procentech relevantních pro šířku rastrového obrázku QR 100 až 1000
    (výchozí = 180)
    Určuje vzdálenost mezi kódy QR v procentech. Když se zkombinuje s šířkou, hodnota 100 by se kódy QR zobrazovaly vedle sebe a vyplnily celou obrazovku.
    Vložený obsah kódu QR ID připojení (výchozí)
    ID zařízení
    Určete, jestli se má v kódu QR použít ID připojení nebo ID zařízení. Vyberte POUZE ID zařízení s hostiteli relací, kteří jsou v osobním fondu hostitelů a připojeni k Microsoft Entra ID nebo hybridnímu připojení Microsoft Entra.

    Tip

    Doporučujeme vyzkoušet různé hodnoty neprůhlednosti a najít rovnováhu mezi čitelností vzdálené relace a schopností naskenovat kód QR, ale zachovat výchozí hodnoty pro ostatní parametry.

  7. Vyberte Další.

  8. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

  9. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.

  10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

  11. Synchronizujte hostitele relací s Intune , aby se nastavení projevilo.

Vyhledání informací o relaci

Jakmile povolíte vodoznaky, najdete informace o relaci z kódu QR pomocí Azure Virtual Desktop Insights nebo dotazováním služby Azure Monitor Log Analytics.

Přehledy služby Azure Virtual Desktop

Informace o relaci z kódu QR zjistíte pomocí Azure Virtual Desktop Insights:

  1. Otevřete webový prohlížeč a přejděte na https://aka.ms/avdi Web Desktop Insights. Po zobrazení výzvy se přihlaste pomocí svých přihlašovacích údajů Azure.

  2. Vyberte příslušné předplatné, skupinu prostředků, fond hostitelů a časový rozsah a pak vyberte kartu Diagnostika připojení.

  3. V části Úspěšnost (re)navazování připojení (% připojení) je seznam všech připojení zobrazující první pokus, ID připojení, uživatele a pokusy. ID připojení můžete vyhledat z kódu QR v tomto seznamu nebo exportovat do Excelu.

Log Analytics služby Azure Monitor

Informace o relaci z kódu QR zjistíte dotazem služby Azure Monitor Log Analytics:

  1. Přihlaste se k portálu Azure.

  2. Na panelu hledání zadejte pracovní prostory služby Log Analytics a vyberte odpovídající položku služby.

  3. Výběrem otevřete pracovní prostor služby Log Analytics, který je připojený k prostředí Služby Azure Virtual Desktop.

  4. V části Obecné vyberte Protokoly.

  5. Spusťte nový dotaz a spuštěním následujícího dotazu získejte informace o relaci pro konkrétní ID připojení (reprezentované jako Id korelace v Log Analytics) a nahraďte <connection ID> úplnou nebo částečnou hodnotou z kódu QR:

    WVDConnections
    | where CorrelationId contains "<connection ID>"