Freigeben über

Aktivieren des Bildschirmaufnahmeschutzes in Azure Virtual Desktop

Der Bildschirmaufnahmeschutz trägt zusammen mit wasserzeichen dazu bei, zu verhindern, dass vertrauliche Daten mithilfe bestimmter Betriebssystemfeatures und APIs auf Clientgeräten erfasst werden. Wenn Sie den Bildschirmaufnahmeschutz aktivieren, werden Remoteinhalte automatisch in Screenshots und Bildschirmfreigaben blockiert.

Wenn der Bildschirmaufnahmeschutz aktiviert ist, können Benutzer ihr Remotefenster nicht mit lokaler Software für die Zusammenarbeit wie Microsoft Teams freigeben. Mit Teams kann die lokale Teams-App oder die Verwendung von Teams mit Der Medienoptimierung keine geschützten Inhalte freigeben.

Tipp

  • Um die Sicherheit Ihrer vertraulichen Informationen zu erhöhen, sollten Sie auch die Umleitung der Zwischenablage, des Laufwerks und des Druckers deaktivieren. Das Deaktivieren der Umleitung verhindert, dass Benutzer Inhalte aus der Remotesitzung kopieren. Informationen zu unterstützten Umleitungswerten finden Sie unter Geräteumleitung.

  • Um andere Methoden der Bildschirmaufnahme zu verhindern, z. B. das Aufnehmen eines Fotos eines Bildschirms mit einer physischen Kamera, können Sie Wasserzeichen aktivieren, bei denen Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

Bestimmen Ihrer Konfiguration

Die Schritte zum Konfigurieren des Bildschirmaufnahmeschutzes hängen davon ab, wo Sie ihn konfigurieren, von welchen Plattformen Ihre Benutzer eine Verbindung herstellen und welches Szenario Sie erreichen möchten.

  • Windows- und macOS-Geräte: Sie verhindern die Bildschirmaufnahme, indem Sie Sitzungshosts mithilfe einer Intune Gerätekonfigurationsrichtlinie oder Gruppenrichtlinie konfigurieren. Windows App oder der Remotedesktopclient erzwingt Bildschirmaufnahmeschutzeinstellungen von einem Sitzungshost ohne weitere Konfiguration.

    Wenn Sie den Bildschirmaufnahmeschutz auf Sitzungshosts konfigurieren, können Sie zwei weitere Einstellungen konfigurieren, um Ihre Anforderungen zu erfüllen:

    • Bildschirmaufnahme auf Client blockieren: Verhindert die Bildschirmaufnahme vom lokalen Gerät von Anwendungen, die in der Remotesitzung ausgeführt werden.

    • Bildschirmaufnahme auf Client und Server blockieren: Verhindert die Bildschirmaufnahme vom lokalen Gerät von Anwendungen, die in der Remotesitzung ausgeführt werden, aber auch, dass Tools und Dienste innerhalb des Sitzungshosts den Bildschirm erfassen.

    In diesem Szenario sehen Sie das Ergebnis, wenn sie von jedem Plattformtyp aus eine Verbindung herstellen:

    Plattform Verbindung zulässig Bildschirmaufnahme blockiert
    Windows
    macOS
    iOS/iPadOS Nicht zutreffend
    Android Nicht zutreffend
    Web Nicht zutreffend

  • iOS-/iPadOS- und Android-Geräte: Sie verhindern die Bildschirmaufnahme, indem Sie lokale Geräte mithilfe von Microsoft Intune Mobile Application Management (MAM) konfigurieren. Es verhindert nicht, dass Tools und Dienste innerhalb des Sitzungshosts den Bildschirm erfassen. Weitere Informationen finden Sie unter Verwalten von Einstellungen für die lokale Geräteumleitung mit Microsoft Intune.

    In diesem Szenario sehen Sie das Ergebnis, wenn sie von jedem Plattformtyp aus eine Verbindung herstellen:

    Plattform Verbindung zulässig Bildschirmaufnahme blockiert
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

Wichtig

Sie müssen basierend auf Ihren Anforderungen auswählen, welche lokalen Geräte für den Bildschirmaufnahmeschutz verwendet werden sollen. Es gibt kein Szenario, in dem Sie den Bildschirmaufnahmeschutz auf allen Plattformen gleichzeitig von denselben Sitzungshosts aus aktivieren können. Wenn beide konfiguriert sind, hat der Bildschirmaufnahmeschutz auf Sitzungshosts Vorrang vor der Verwendung einer Intune MAM-Richtlinie auf lokalen Geräten.

Überlegungen zur Plattform für den Bildschirmaufnahmeschutz unter macOS

Obwohl unter Windows vollständig unterstützt wird, gibt es aufgrund der aktuellen Sicherheitsarchitektur der Plattform bekannte Einschränkungen unter macOS:

  • Microsoft Teams-Kompatibilität: Unter macOS kann das Aktivieren des Bildschirmaufnahmeschutzes die Bildschirmfreigabe in Microsoft Teams beeinträchtigen, was dazu führen kann, dass freigegebene Fenster leer oder nicht ordnungsgemäß angezeigt werden. Wenn eine Teams-basierte Zusammenarbeit erforderlich ist, muss der Bildschirmaufnahmeschutz möglicherweise vorübergehend auf dem Gerät deaktiviert werden.

  • Erzwingung auf Plattformebene: Aufgrund von macOS-Einschränkungen berücksichtigen einige native Anwendungen möglicherweise die Erzwingung des Bildschirmaufnahmeschutzes nicht vollständig. Dies ist eine Einschränkung der verfügbaren APIs des Betriebssystems, kein Fehler beim Bildschirmaufnahmeschutz selbst.

Hier sind einige Empfehlungen für diese Einschränkungen:

  • Für macOS-Workflows mit hoher Zusammenarbeit sollten Sie die Einstellungen für den Bildschirmaufnahmeschutz basierend auf geschäftlichen Notwendigkeiten und Risikostufen konfigurieren.

  • Für hochsensible Inhalte werden Windows-Endpunkte zur vollständigen Erzwingung von Bildschirmschutzfeatures empfohlen.

  • Wasserzeichen- und Verwaltungsrichtlinien können verwendet werden, um Missbrauch auf Plattformen mit eingeschränkter Durchsetzung weiter zu verhindern.

Voraussetzungen

Bevor Sie den Bildschirmaufnahmeschutz konfigurieren können, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Für Szenarien, in denen Sie Sitzungshosts konfigurieren müssen, müssen diese Sitzungshosts eine Windows 11, Version 22H2 oder höher, oder Windows 10 Version 22H2 oder höher ausführen.

  • Benutzer müssen über Windows App oder die Remotedesktop-App eine Verbindung mit Azure Virtual Desktop herstellen, um den Bildschirmaufnahmeschutz verwenden zu können. In der folgenden Tabelle sind unterstützte Szenarien aufgeführt:

    • Windows App:

      Plattform Mindestversion Desktopsitzung RemoteApp-Sitzung
      Windows App unter Windows Any Ja Ja. Das lokale Gerätebetriebssystem muss Windows 11 Version 22H2 oder höher sein.
      Windows App unter macOS Any Ja Ja
      Windows App unter iOS/iPadOS 11.0.8 Ja Ja
      Windows App unter Android (Vorschau)¹ 1.0.145 Ja Ja

      1. Bietet keine Unterstützung für Chrome OS, da Intune MAM unter Chrome OS nicht unterstützt wird.

    • Remotedesktopclient:

      Plattform Mindestversion Desktopsitzung RemoteApp-Sitzung
      Windows (Desktopclient) 1.2.1672 Ja Ja. Das lokale Gerätebetriebssystem muss Windows 11 Version 22H2 oder höher sein.
      Windows (Azure Virtual Desktop Store-App) Any Ja Ja. Das lokale Gerätebetriebssystem muss Windows 11 Version 22H2 oder höher sein.
      macOS 10.7.0 oder höher Ja Ja

  • Zum Konfigurieren Microsoft Intune benötigen Sie Folgendes:

    • Microsoft Entra ID Konto, dem die integrierte RBAC-Rolle "Richtlinien- und Profil-Manager" zugewiesen ist.

    • Eine Gruppe, die die Geräte enthält, die Sie konfigurieren möchten.

  • Zum Konfigurieren Gruppenrichtlinie benötigen Sie Folgendes:

    • Ein Domänenkonto, das Mitglied der Sicherheitsgruppe Domänenadministratoren ist.

    • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

Aktivieren des Bildschirmaufnahmeschutzes auf Sitzungshosts mithilfe einer Intune Gerätekonfigurationsrichtlinie oder Gruppenrichtlinie

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

So konfigurieren Sie den Bildschirmaufnahmeschutz auf Sitzungshosts mit Microsoft Intune

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Windows 10 und höhere Geräte mit dem Profiltyp Einstellungskatalog.

  3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

    Screenshot: Azure Virtual Desktop-Optionen im Microsoft Intune-Portal

  4. Aktivieren Sie das Kontrollkästchen Bildschirmaufnahmeschutz aktivieren, und schließen Sie dann die Einstellungsauswahl.

  5. Erweitern Sie die Kategorie Administrative Vorlagen , und schalten Sie dann den Schalter für Bildschirmaufnahmeschutz aktivieren auf Aktiviert um.

    Screenshot: Bildschirmaufnahmeschutzeinstellungen in Microsoft Intune

  6. Schalten Sie den Schalter für Bildschirmaufnahmeschutzoptionen (Gerät) für Bildschirmaufnahme auf Client blockieren auf aus oder auf Ein für Bildschirmaufnahme auf Client und Server blockieren, und wählen Sie dann OK aus.

  7. Wählen Sie Weiter aus.

  8. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

  9. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

  10. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.

  11. Sobald die Richtlinie für die Computer gilt, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Aktivieren des Bildschirmaufnahmeschutzes auf lokalen Geräten mit Intune MAM

Zum Verwenden des Bildschirmaufnahmeschutzes auf iOS-/iPadOS- und Android-Geräten, auf denen Windows App ausgeführt werden, müssen Sie eine Intune App-Schutzrichtlinie konfigurieren.

So konfigurieren Sie eine Intune App-Schutzrichtlinie zum Aktivieren des Bildschirmaufnahmeschutzes auf iOS-/iPadOS- und Android-Geräten:

  1. Führen Sie die Schritte unter Anfordern der Sicherheitskonformität für lokale Clientgeräte mit Microsoft Intune und Microsoft Entra bedingten Zugriff aus. Die Sicherheitskonformität für lokale Clientgeräte bietet die Grundlage zum Konfigurieren des Bildschirmaufnahmeschutzes auf iOS-/iPadOS- und Android-Geräten, auf denen Windows App ausgeführt werden.

  2. Konfigurieren Sie beim Konfigurieren einer App-Schutzrichtlinie auf der Registerkarte Datenschutz je nach Plattform die folgende Einstellung:

    1. Legen Sie für iOS/iPadOS Organisationsdaten an andere Apps senden auf Keine fest.

    2. Legen Sie für Android Bildschirmaufnahme und Google Assistant auf Blockieren fest.

  3. Konfigurieren Sie andere Einstellungen basierend auf Ihren Anforderungen, und richten Sie die App-Schutzrichtlinie auf Benutzer und Geräte aus.

Überprüfen des Bildschirmaufnahmeschutzes

So überprüfen Sie, ob der Bildschirmaufnahmeschutz funktioniert:

  1. Stellen Sie eine Verbindung mit einer neuen Remotesitzung mit einem unterstützten Client her. Stellen Sie keine Verbindung mit einer vorhandenen Sitzung her. Sie müssen sich von allen vorhandenen Sitzungen abmelden und erneut anmelden, damit die Änderung wirksam wird.

  2. Erstellen Sie auf einem lokalen Gerät einen Screenshot, oder geben Sie Ihren Bildschirm in einem Teams-Anruf oder einer Besprechung frei. Der Inhalt wird blockiert oder ausgeblendet.

  3. Wenn Sie auf Windows- und macOS-Geräten Bildschirmaufnahme auf Client und Server auf Ihren Sitzungshosts blockieren aktiviert haben, versuchen Sie, den Bildschirm mithilfe eines Tools oder Diensts innerhalb des Sitzungshosts zu erfassen. Der Inhalt wird blockiert oder ausgeblendet.

Wenn Sie den Bildschirmaufnahmeschutz auf Sitzungshosts aktivieren, müssen Sie eine Verbindung über ein unterstütztes Gerät herstellen. Andernfalls wird eine Fehlermeldung angezeigt, die angibt, dass der Bildschirmaufnahmeschutz aktiviert ist. Die Fehlermeldung sieht in etwa wie folgt aus:

  • Webbrowser:

    Screenshot von Windows App in einem Webbrowser mit einer Fehlermeldung, dass die Bildschirmaufnahme aktiviert ist und Sie eine Verbindung über einen unterstützten Client herstellen müssen.

  • iOS/iPadOS:

    Screenshot aus Windows App für iOS/iPadOS mit einer Fehlermeldung, dass die Bildschirmaufnahme aktiviert ist und Sie eine Verbindung von einem unterstützten Client herstellen müssen.

Verwandte Inhalte

  • Aktivieren Sie Wasserzeichen, wobei Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

  • Informationen zum Schützen Ihrer Azure Virtual Desktop-Bereitstellung finden Sie unter Bewährte Sicherheitsmethoden.