Wasserzeichenerstellung in Azure Virtual Desktop

Wasserzeichenerstellung trägt zusammen mit dem Schutz vor Bildschirmaufnahmen dazu bei, zu verhindern, dass vertrauliche Informationen auf Clientendpunkten erfasst werden. Wenn Sie die Wasserzeichenerstellung aktivieren, werden QR-Code-Wasserzeichen als Teil von Remotedesktops angezeigt. Der QR-Code enthält die Verbindungs-ID oder Geräte-ID einer Remotesitzung, mit der Administrator*innen die Sitzung nachverfolgen können. Die Wasserkennzeichnung wird auf Sitzungshosts mithilfe von Microsoft Intune oder Gruppenrichtlinien konfiguriert und von der Windows-App oder dem Remotedesktopclient durchgesetzt.

Im Folgenden sehen Sie einen Screenshot, der zeigt, wie die Wasserzeichenerstellung bei Aktivierung aussieht:

Wichtig

• Sobald die Wasserzeichenerstellung auf einem Sitzungshost aktiviert ist, können nur noch Clients, die Wasserzeichen unterstützen, eine Verbindung mit diesem Sitzungshost herstellen. Wenn Sie versuchen, eine Verbindung von einem nicht unterstützten Client herzustellen, tritt bei der Verbindung ein Fehler auf, und Sie erhalten eine nicht spezifische Fehlermeldung.

• Die Wasserzeichenerstellung steht nur für Remotedesktops zur Verfügung. Bei RemoteApp wird das Wasserzeichen nicht angewendet und die Verbindung ist erlaubt.

• Wenn Sie mithilfe der Remotedesktopverbindungs-App (mstsc.exe) eine direkte Verbindung mit einem Sitzungshost herstellen (nicht über Azure Virtual Desktop), wird kein Wasserzeichen angewendet, und die Verbindung wird zugelassen.

Voraussetzungen

Bevor Sie die Wasserzeichenerstellung verwenden können, benötigen Sie Folgendes:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Ein Microsoft Entra ID-Konto, dem der Desktop Virtualization Host Pool Contributor integrierte rollenbasierte Zugriffssteuerungsrollen (RBAC) im Hostpool zugewiesen ist.

• Ein Client, der Wasserzeichen unterstützt. Die folgenden Clients unterstützen Wasserzeichen:

  • Remotedesktopclient für:

    • Windows Desktop ab Version 1.2.3317 unter Windows 10 und höher.
    • Webbrowser.
    • macOS, Version 10.9.5 oder höher.
    • iOS/iPadOS, Version 10.5.4 oder höher.

  • Windows-App für:

    • Windows
    • macOS
    • Webbrowser

• Azure Virtual Desktop Insights konfiguriert für Ihre Umgebung.

• Wenn Sie Ihre Sitzungshosts mit Microsoft Intune verwalten, benötigen Sie Folgendes:

  • Ein Microsoft Entra ID-Konto, dem die integrierte RBAC-Rolle Richtlinien- und Profil-Manager*in zugewiesen ist.

  • Eine Gruppe mit den Geräten, die Sie konfigurieren möchten

• Wenn Sie Ihre Sitzungshosts mit Gruppenrichtlinien in einer Active Directory-Domäne verwalten, benötigen Sie Folgendes:

  • Ein Domänenkonto, das Mitglied der Sicherheitsgruppe Domain Admins ist.

  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Sitzungshosts enthält, die Sie konfigurieren möchten.

Aktivieren der Wasserzeichenerstellung

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So aktivieren Sie das Wasserzeichen mit Microsoft Intune:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Geräte mit Windows 10 und höher mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

4. Aktivieren Sie das Kontrollkästchen Wasserzeichen aktivieren, und schließen Sie dann die Einstellungsauswahl.

   Wichtig

   Wählen Sie nicht [Veraltet] Wasserzeichen aktivieren, da diese Einstellung nicht die Option zum Angeben des eingebetteten QR-Codes enthält.

5. Erweitern Sie die Kategorie Administrative Vorlagen, und schalten Sie dann den Schalter für Wasserzeichen aktivieren auf Aktiviert um.

   

6. Sie können die folgenden Optionen konfigurieren:

   Option	Werte	Beschreibung
   Bitmapskalierungsfaktor für QR-Codes	1 bis 10 (Standardwert = 4)	Die Größe jedes Punkts im QR-Code in Pixel. Dieser Wert legt die Anzahl der Quadrate pro Punkt im QR-Code fest.
   Bitmapdurchlässigkeit im QR-Code	100 bis 9999 (Standard: 2000)	Transparenz des Wasserzeichens, wobei 100 vollständig transparent ist.
   Breite des Rasterfelds als Prozentsatz der Breite des QR-Codes	100 bis 1.000 (Standardwert = 320)	Legt den Abstand zwischen den QR-Codes in Prozent fest. In Kombination mit der Höhe bedeutet ein Wert von 100, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Höhe des Rasterfelds als Prozentsatz der Breite des QR-Codes	100 bis 1.000 (Standardwert = 180)	Legt den Abstand zwischen den QR-Codes in Prozent fest. In Kombination mit der Breite bedeutet ein Wert von 100, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Eingebetteter QR-Code-Inhalt	Verbindungs-ID (Standard) Geräte-ID	Geben Sie an, ob die Verbindungs-ID oder die Geräte-ID im QR-Code verwendet werden soll. Wählen Sie nur Geräte-ID mit Sitzungshosts aus, die sich in einem persönlichen Hostpool befinden und in Microsoft Entra ID oder hybrid in Microsoft Entra eingebunden sind.

   Tipp

   Es wird empfohlen, verschiedene Durchlässigkeitswerte auszuprobieren, um ein Gleichgewicht zwischen der Lesbarkeit der Remotesitzung und der Möglichkeit zum Scannen des QR-Codes zu finden, aber für die anderen Parameter die Standardwerte beizubehalten.

7. Wählen Sie Weiter aus.

8. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (RBAC) und Bereichsmarkierungen für verteilte IT.

9. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

10. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Einstellungen, und wählen Sie Erstellen aus.

11. Synchronisieren Sie Ihre Sitzungshosts mit Intune, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So aktivieren Sie das Wasserzeichen mithilfe von Gruppenrichtlinien:

1. Führen Sie die Schritte zum Verfügbarmachen der administrativen Vorlage für Azure Virtual Desktop aus.

2. Öffnen Sie die Konsole für die Verwaltung von Gruppenrichtlinien auf dem Gerät, mit dem Sie die Active Directory-Domäne verwalten, und erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer abzielt, die eine zu konfigurierende Remotesitzung bereitstellen.

3. Navigieren Sie zu Computerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

4. Öffnen Sie die Richtlinieneinstellung Wasserzeichen aktivieren, und legen Sie sie auf Aktiviert fest.

   

5. Sie können die folgenden Optionen konfigurieren:

   Option	Werte	Beschreibung
   Bitmapskalierungsfaktor für QR-Codes	1 bis 10 (Standardwert = 4)	Die Größe jedes Punkts im QR-Code in Pixel. Dieser Wert legt die Anzahl der Quadrate pro Punkt im QR-Code fest.
   Bitmapdurchlässigkeit im QR-Code	100 bis 9999 (Standard: 2000)	Wie transparent das Wasserzeichen ist, wobei 100 für völlig transparent und 9999 für völlig undurchsichtig steht.
   Breite des Rasterfelds als Prozentsatz der Breite des QR-Codes	100 bis 1.000 (Standardwert = 320)	Legt den Abstand zwischen den QR-Codes in Prozent fest. In Kombination mit der Höhe bedeutet ein Wert von 100, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Höhe des Rasterfelds als Prozentsatz der Breite des QR-Codes	100 bis 1.000 (Standardwert = 180)	Legt den Abstand zwischen den QR-Codes in Prozent fest. In Kombination mit der Breite bedeutet ein Wert von 100, dass die QR-Codes nebeneinander angezeigt werden und den gesamten Bildschirm ausfüllen.
   Eingebetteter QR-Code-Inhalt	Verbindungs-ID (Standard) Geräte-ID	Geben Sie an, ob die Verbindungs-ID oder die Geräte-ID im QR-Code verwendet werden soll. Wählen Sie nur Geräte-ID mit Sitzungshosts aus, die sich in einem persönlichen Hostpool befinden und in Microsoft Entra ID oder hybrid in Microsoft Entra eingebunden sind.

   Tipp

   Es wird empfohlen, verschiedene Durchlässigkeitswerte auszuprobieren, um ein Gleichgewicht zwischen der Lesbarkeit der Remotesitzung und der Möglichkeit zum Scannen des QR-Codes zu finden, aber für die anderen Parameter die Standardwerte beizubehalten.

6. Stellen Sie sicher, dass die Richtlinie auf Ihre Sitzungshosts angewendet wird. Aktualisieren Sie dann die Gruppenrichtlinie auf den Sitzungshosts oder starten Sie sie neu, damit die Einstellungen wirksam werden.

7. Stellen Sie eine Verbindung zu einer Remote-Sitzung mit einem unterstützten Client her, in der Sie QR-Codes sehen sollten. Alle bestehenden Sitzungen müssen sich ab- und wieder anmelden, damit die Änderung wirksam wird.

Ermitteln von Sitzungsinformationen

Nachdem Sie die Wasserzeichenerstellung aktiviert haben, können Sie die Sitzungsinformationen im QR-Code mithilfe von Azure Virtual Desktop Insights oder durch Abfragen von Azure Monitor Log Analytics ermitteln.

Azure Virtual Desktop Insights

So ermitteln Sie die Sitzungsinformationen aus dem QR-Code mithilfe von Azure Virtual Desktop Insights

1. Öffnen Sie einen Webbrowser, und navigieren Sie zu https://aka.ms/avdi, um Azure Virtual Desktop Insights zu öffnen. Melden Sie sich nach Aufforderung mit Ihren Azure-Anmeldeinformationen an.

2. Wählen Sie das entsprechende Abonnement, die Ressourcengruppe, den Hostpool und den Zeitraum aus, und wählen Sie dann die Registerkarte Verbindungsdiagnose aus.

3. Im Abschnitt Erfolgsrate der (erneuten) Verbindungsherstellung (Prozent der Verbindungen) finden Sie eine Liste aller Verbindungen mit den Angaben Erster Versuch, Verbindungs-ID, Benutzer und Versuche. Sie können in dieser Liste nach der Verbindungs-ID im QR-Code suchen oder sie nach Excel exportieren.

Azure Monitor Log Analytics

So ermitteln Sie die Sitzungsinformationen aus dem QR-Code durch Abfragen von Azure Monitor Log Analytics

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie auf der Suchleiste Log Analytics-Arbeitsbereiche ein, und wählen Sie den entsprechenden Diensteintrag aus.

3. Wählen Sie aus, den Log Analytics-Arbeitsbereich zu öffnen, der mit Ihrer Azure Virtual Desktop-Umgebung verbunden ist.

4. Wählen Sie unter Allgemein die Option Protokolle aus.

5. Starten Sie eine neue Abfrage, und führen Sie dann die folgende Abfrage aus, um die Sitzungsinformationen für eine bestimmte Verbindungs-ID abzurufen (in Log Analytics als CorrelationId angegeben), und ersetzen Sie dabei <connection ID> durch den gesamten Wert aus dem QR-Code oder einen Teil davon:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Zugehöriger Inhalt

• Schutz vor Bildschirmaufnahmen in Azure Virtual Desktop.