Wasserzeichen in Azure Virtual Desktop

Wasserzeichen sowie der Bildschirmaufnahmeschutz verhindern, dass vertrauliche Informationen auf Clientendpunkten erfasst werden. Wenn Sie Wasserzeichen aktivieren, werden QR-Code-Wasserzeichen als Teil von Remotedesktops angezeigt. Der QR-Code enthält die Verbindungs-ID oder Geräte-ID einer Remotesitzung, die Administratoren zum Nachverfolgen der Sitzung verwenden können. Wasserzeichen werden auf Sitzungshosts mit Microsoft Intune oder Gruppenrichtlinie konfiguriert und von Windows App oder dem Remotedesktopclient erzwungen.

Hier ist ein Screenshot, der zeigt, wie Wasserzeichen aussehen, wenn sie aktiviert sind:

Wichtig

• Sobald wasserzeichen auf einem Sitzungshost aktiviert sind, können nur Clients, die Wasserzeichen unterstützen, eine Verbindung mit diesem Sitzungshost herstellen. Wenn Sie versuchen, eine Verbindung von einem nicht unterstützten Client herzustellen, schlägt die Verbindung fehl, und Sie erhalten eine Fehlermeldung, die nicht spezifisch ist.

• Wasserzeichen sind nur für Remotedesktops vorgesehen. Mit RemoteApp wird keine Wasserzeichen angewendet, und die Verbindung ist zulässig.

• Wenn Sie mithilfe der Remotedesktopverbindungs-App (mstsc.exe) direkt (nicht über Azure Virtual Desktop) eine Verbindung mit einem Sitzungshost herstellen, wird keine Wasserzeichen angewendet, und die Verbindung ist zulässig.

Voraussetzungen

Sie benötigen Folgendes, bevor Sie Wasserzeichen verwenden können:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Ein Microsoft Entra ID Konto, dem mindestens die integrierten Rollen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) für Desktop Virtualization Host Pool Contributor für den Hostpool zugewiesen sind.

• Ein Client, der Wasserzeichen unterstützt. Die folgenden Clients unterstützen Wasserzeichen:

  • Remotedesktopclient für:

    • Windows Desktop, Version 1.2.3317 oder höher, auf Windows 10 und höher.
    • Webbrowser.
    • macOS, Version 10.9.5 oder höher.
    • iOS/iPadOS, Version 10.5.4 oder höher.

  • Windows App für:

    • Windows
    • macOS
    • iOS und iPadOS
    • Android/Chrome OS (Vorschau)
    • Webbrowser

• Azure Virtual Desktop Insights ist für Ihre Umgebung konfiguriert.

• Wenn Sie Ihre Sitzungshosts mit Microsoft Intune verwalten, benötigen Sie Folgendes:

  • Microsoft Entra ID Konto, dem die integrierte RBAC-Rolle "Richtlinien- und Profil-Manager" zugewiesen ist.

  • Eine Gruppe, die die Geräte enthält, die Sie konfigurieren möchten.

• Wenn Sie Ihre Sitzungshosts mit Gruppenrichtlinie in einer Active Directory-Domäne verwalten, benötigen Sie Folgendes:

  • Ein Domänenkonto, das Mitglied der Sicherheitsgruppe Domänenadministratoren ist.

  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Sitzungshosts enthält, die Sie konfigurieren möchten.

Aktivieren der Wasserzeichen

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So aktivieren Sie die Wasserzeichen mithilfe von Microsoft Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Windows 10 und höhere Geräte mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

4. Aktivieren Sie das Kontrollkästchen Wasserzeichen aktivieren, und schließen Sie dann die Einstellungsauswahl.

   Wichtig

   Wählen Sie nicht [Veraltet] Wasserzeichen aktivieren aus, da diese Einstellung nicht die Option zum Angeben des eingebetteten QR-Codes enthält.

5. Erweitern Sie die Kategorie Administrative Vorlagen , und schalten Sie dann den Schalter für Wasserzeichen aktivieren auf Aktiviert um.

   

6. Sie können die folgenden Optionen konfigurieren:

   Option	Werte	Beschreibung
   QR-Code-Bitmap-Skalierungsfaktor	1 bis 10 (Standard = 4)	Die Größe jedes QR-Codepunkts in Pixel. Dieser Wert bestimmt die Anzahl der Quadrate pro Punkt im QR-Code.
   BITMAP-Deckkraft im QR-Code	100 bis 9999 (Standard = 2000)	Wie transparent das Wasserzeichen ist, wo 100 vollständig transparent ist.
   Breite des Rasterfelds in Prozent, die für die Breite der QR-Code-Bitmap relevant ist	100 bis 1000 (Standard = 320)	Bestimmt den Abstand zwischen den QR-Codes in Prozent. In Kombination mit der Höhe würde ein Wert von 100 dazu führen, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Höhe des Rasterfelds in Prozent, relevant für die Breite der QR-Code-Bitmap	100 bis 1000 (Standard = 180)	Bestimmt den Abstand zwischen den QR-Codes in Prozent. In Kombination mit der Breite würde ein Wert von 100 dazu führen, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Eingebetteter QR-Codeinhalt	Verbindungs-ID (Standard) Geräte-ID	Geben Sie an, ob die Verbindungs-ID oder die Geräte-ID im QR-Code verwendet werden soll. Wählen Sie nur Geräte-ID mit Sitzungshosts aus, die sich in einem persönlichen Hostpool befinden und mit Microsoft Entra ID oder Microsoft Entra hybrid eingebunden sind.

   Tipp

   Es wird empfohlen, verschiedene Deckkraftwerte auszuprobieren, um ein Gleichgewicht zwischen der Lesbarkeit der Remotesitzung und der Möglichkeit zum Scannen des QR-Codes zu finden, aber die Standardwerte für die anderen Parameter beizubehalten.

7. Wählen Sie Weiter aus.

8. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

9. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

10. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.

11. Synchronisieren Sie Ihre Sitzungshosts mit Intune, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So aktivieren Sie wasserzeichen mit Gruppenrichtlinie

1. Führen Sie die Schritte aus, um die administrative Vorlage für Azure Virtual Desktop in Gruppenrichtlinie verfügbar zu machen.

2. Öffnen Sie die Gruppenrichtlinie-Verwaltungskonsole auf einem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden, und erstellen oder bearbeiten Sie dann eine Richtlinie, die auf die Computer abzielt, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten.

3. Navigieren Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

4. Öffnen Sie die Richtlinieneinstellung Wasserzeichen aktivieren , und legen Sie sie auf Aktiviert fest.

   

5. Sie können die folgenden Optionen konfigurieren:

   Option	Werte	Beschreibung
   QR-Code-Bitmap-Skalierungsfaktor	1 bis 10 (Standard = 4)	Die Größe jedes QR-Codepunkts in Pixel. Dieser Wert bestimmt die Anzahl der Quadrate pro Punkt im QR-Code.
   BITMAP-Deckkraft im QR-Code	100 bis 9999 (Standard = 2000)	Wie transparent das Wasserzeichen ist, wo 100 vollständig transparent und 9999 vollständig undurchsichtig ist.
   Breite des Rasterfelds in Prozent, die für die Breite der QR-Code-Bitmap relevant ist	100 bis 1000 (Standard = 320)	Bestimmt den Abstand zwischen den QR-Codes in Prozent. In Kombination mit der Höhe würde ein Wert von 100 dazu führen, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Höhe des Rasterfelds in Prozent, relevant für die Breite der QR-Code-Bitmap	100 bis 1000 (Standard = 180)	Bestimmt den Abstand zwischen den QR-Codes in Prozent. In Kombination mit der Breite würde ein Wert von 100 dazu führen, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Eingebetteter QR-Codeinhalt	Verbindungs-ID (Standard) Geräte-ID	Geben Sie an, ob die Verbindungs-ID oder die Geräte-ID im QR-Code verwendet werden soll. Wählen Sie nur Geräte-ID mit Sitzungshosts aus, die sich in einem persönlichen Hostpool befinden und mit Microsoft Entra ID oder Microsoft Entra hybrid eingebunden sind.

   Tipp

   Es wird empfohlen, verschiedene Deckkraftwerte auszuprobieren, um ein Gleichgewicht zwischen der Lesbarkeit der Remotesitzung und der Möglichkeit zum Scannen des QR-Codes zu finden, aber die Standardwerte für die anderen Parameter beizubehalten.

6. Stellen Sie sicher, dass die Richtlinie auf Ihre Sitzungshosts angewendet wird, aktualisieren Sie dann Gruppenrichtlinie auf den Sitzungshosts, oder starten Sie sie neu, damit die Einstellungen wirksam werden.

7. Stellen Sie mit einem unterstützten Client eine Verbindung mit einer Remotesitzung her, in der QR-Codes angezeigt werden sollen. Alle vorhandenen Sitzungen müssen sich abmelden und wieder einsteigen, damit die Änderung wirksam wird.

Suchen von Sitzungsinformationen

Nachdem Sie die Wasserzeichen aktiviert haben, können Sie die Sitzungsinformationen im QR-Code mithilfe von Azure Virtual Desktop Insights oder durch Abfragen von Azure Monitor Log Analytics finden.

Azure Virtual Desktop Insights

So ermitteln Sie die Sitzungsinformationen aus dem QR-Code mithilfe von Azure Virtual Desktop Insights:

1. Öffnen Sie einen Webbrowser, und öffnen https://aka.ms/avdi Sie Azure Virtual Desktop Insights. Melden Sie sich mit Ihren Azure-Anmeldeinformationen an, wenn Sie dazu aufgefordert werden.

2. Wählen Sie das relevante Abonnement, die Ressourcengruppe, den Hostpool und den Zeitbereich aus, und wählen Sie dann die Registerkarte Verbindungsdiagnose aus.

3. Im Abschnitt Erfolgsrate des (erneuten) Herstellens einer Verbindung (% der Verbindungen) finden Sie eine Liste aller Verbindungen mit erstem Versuch, Verbindungs-ID, Benutzer und Versuche. Sie können die Verbindungs-ID aus dem QR-Code in dieser Liste suchen oder nach Excel exportieren.

Azure Monitor-Protokollanalyse

So ermitteln Sie die Sitzungsinformationen aus dem QR-Code, indem Sie Azure Monitor Log Analytics abfragen:

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie in der Suchleiste Log Analytics-Arbeitsbereiche ein , und wählen Sie den entsprechenden Diensteintrag aus.

3. Wählen Sie diese Option aus, um den Log Analytics-Arbeitsbereich zu öffnen, der mit Ihrer Azure Virtual Desktop-Umgebung verbunden ist.

4. Wählen Sie unter Allgemein die Option Protokolle aus.

5. Starten Sie eine neue Abfrage, und führen Sie dann die folgende Abfrage aus, um Sitzungsinformationen für eine bestimmte Verbindungs-ID (in Log Analytics als CorrelationId dargestellt) abzurufen. Ersetzen Sie dabei durch den vollständigen <connection ID> oder teilweisen Wert aus dem QR-Code:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Verwandte Inhalte

• Aktivieren Sie den Bildschirmaufnahmeschutz in Azure Virtual Desktop.