Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La protección de captura de pantalla, junto con la marca de agua, ayuda a evitar que se capturen datos confidenciales en dispositivos cliente mediante características y API específicas del sistema operativo (SO). Al habilitar la protección de captura de pantalla, el contenido remoto se bloquea automáticamente en las capturas de pantalla y el uso compartido de pantalla.
Cuando se habilita la protección de captura de pantalla, los usuarios no pueden compartir su ventana remota mediante el software de colaboración local, como Microsoft Teams. Con Teams, la aplicación local de Teams o el uso de Teams con optimización multimedia no pueden compartir contenido protegido.
Sugerencia
Para aumentar la seguridad de la información confidencial, también debe deshabilitar el portapapeles, la unidad y el redireccionamiento de la impresora. Deshabilitar el redireccionamiento ayuda a evitar que los usuarios copien contenido de la sesión remota. Para obtener información sobre los valores de redireccionamiento admitidos, consulte Redirección de dispositivos.
Para desalentar otros métodos de captura de pantalla, como tomar una foto de una pantalla con una cámara física, puede habilitar la marca de agua, donde los administradores pueden usar un código QR para rastrear la sesión.
Determinación de la configuración
Los pasos para configurar la protección de captura de pantalla dependen de dónde la configure, de las plataformas desde las que se conecten los usuarios y del escenario desde el que desea lograr.
Dispositivos Windows y macOS: se impide la captura de pantalla mediante la configuración de hosts de sesión mediante una directiva de configuración de dispositivos Intune o directiva de grupo. Windows App o el cliente de Escritorio remoto aplica la configuración de protección de captura de pantalla de un host de sesión sin más configuración.
Al configurar la protección de captura de pantalla en los hosts de sesión, hay dos opciones adicionales que puede configurar para ayudar a cumplir los requisitos:
Bloquear captura de pantalla en el cliente: impide la captura de pantalla desde el dispositivo local de las aplicaciones que se ejecutan en la sesión remota.
Bloquear captura de pantalla en el cliente y el servidor: impide la captura de pantalla desde el dispositivo local de las aplicaciones que se ejecutan en la sesión remota, pero también impide que las herramientas y los servicios del host de sesión capturen la pantalla.
En este escenario, este es el resultado al conectarse desde cada tipo de plataforma:
Plataforma Conexión permitida Captura de pantalla bloqueada Windows ✅ ✅ macOS ✅ ✅ iOS/iPadOS ❌ N/D Android ❌ N/D Web ❌ N/D Dispositivos iOS/iPadOS y Android: evita la captura de pantalla mediante la configuración de dispositivos locales mediante Microsoft Intune administración de aplicaciones móviles (MAM). No impide que las herramientas y los servicios del host de sesión capturen la pantalla. Para obtener más información, consulte Administración de la configuración de redireccionamiento de dispositivos locales con Microsoft Intune.
En este escenario, este es el resultado al conectarse desde cada tipo de plataforma:
Plataforma Conexión permitida Captura de pantalla bloqueada Windows ✅ ❌ macOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Web ✅ ❌
Importante
Debe elegir qué dispositivos locales usar con la protección de captura de pantalla en función de sus requisitos. No hay ningún escenario en el que pueda habilitar la protección de captura de pantalla en todas las plataformas desde los mismos hosts de sesión al mismo tiempo. Si ambos están configurados, la protección de captura de pantalla en los hosts de sesión tiene prioridad sobre el uso de una directiva Intune MAM en dispositivos locales.
Consideraciones de la plataforma para la protección de captura de pantalla en macOS
Aunque es totalmente compatible con Windows, existen limitaciones conocidas en macOS debido a la arquitectura de seguridad actual de la plataforma:
Compatibilidad de Microsoft Teams: en macOS, habilitar la protección de captura de pantalla podría interferir con el uso compartido de pantalla en Microsoft Teams, lo que podría provocar que las ventanas compartidas aparezcan en blanco o no se muestren correctamente. Si se requiere la colaboración basada en Teams, es posible que sea necesario deshabilitar temporalmente la protección de captura de pantalla en el dispositivo.
Cumplimiento de nivel de plataforma: debido a las restricciones de macOS, es posible que algunas aplicaciones nativas no respeten totalmente la aplicación de la protección de captura de pantalla. Esta es una limitación de las API disponibles del sistema operativo, no un defecto en la propia protección de captura de pantalla.
Estas son algunas recomendaciones para estas limitaciones:
En el caso de los flujos de trabajo de macOS intensivos en colaboración, considere la posibilidad de configurar las opciones de protección de captura de pantalla en función de las necesidades empresariales y el nivel de riesgo.
Para el contenido altamente confidencial, se recomiendan los puntos de conexión de Windows para el cumplimiento completo de las características de protección de pantalla.
Las directivas administrativas y de marca de agua se pueden usar para desalentar aún más el uso indebido en plataformas con un cumplimiento limitado.
Requisitos previos
Antes de configurar la protección de captura de pantalla, asegúrese de cumplir los siguientes requisitos previos:
En escenarios en los que necesite configurar hosts de sesión, esos hosts de sesión deben ejecutar una Windows 11, versión 22H2 o posterior, o Windows 10, versión 22H2 o posterior.
Los usuarios deben conectarse a Azure Virtual Desktop con Windows App o la aplicación de Escritorio remoto para usar la protección de captura de pantalla. En la tabla siguiente se muestran los escenarios admitidos:
Windows App:
Plataforma Versión mínima Sesión de escritorio Sesión de RemoteApp Windows App en Windows Cualquiera Sí Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior. Windows App en macOS Cualquiera Sí Sí Windows App en iOS/iPadOS 11.0.8 Sí Sí Windows App en Android (versión preliminar)¹ 1.0.145 Sí Sí 1. No incluye compatibilidad con Chrome OS porque Intune MAM no es compatible con Chrome OS.
Cliente de Escritorio remoto:
Plataforma Versión mínima Sesión de escritorio Sesión de RemoteApp Windows (cliente de escritorio) 1.2.1672 Sí Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior. Windows (aplicación de la Tienda Azure Virtual Desktop) Cualquiera Sí Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior. macOS 10.7.0 o posterior Sí Sí
Para configurar Microsoft Intune, necesita:
Microsoft Entra ID cuenta a la que se asigna el rol RBAC integrado administrador de directivas y perfiles.
Un grupo que contiene los dispositivos que desea configurar.
Para configurar directiva de grupo, necesita:
Una cuenta de dominio que es miembro del grupo de seguridad Administradores de dominio .
Grupo de seguridad o unidad organizativa (OU) que contiene los dispositivos que desea configurar.
Habilitación de la protección de captura de pantalla en hosts de sesión mediante una directiva de configuración de dispositivo de Intune o directiva de grupo
Seleccione la pestaña correspondiente para el escenario.
Para configurar la protección de captura de pantalla en hosts de sesión mediante Microsoft Intune:
Inicie sesión en el Centro de administración de Microsoft Intune.
Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil de catálogo Configuración.
En el selector de configuración, vaya a Plantillas> administrativasComponentes de Windows Servicios>> deEscritorio remoto Host de sesión de Escritorio remoto de>Azure Virtual Desktop.
Active la casilla Habilitar protección de captura de pantalla y cierre el selector de configuración.
Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador Habilitar protección de captura de pantalla a Habilitado.
Cambie el modificador de Opciones de protección de captura de pantalla (dispositivo) a desactivado para Bloquear captura de pantalla en el cliente o activado para Bloquear captura de pantalla en el cliente y servidor según sus requisitos y, a continuación, seleccione Aceptar.
Seleccione Siguiente.
Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para más información sobre las etiquetas de ámbito, consulte Usar control de acceso basado en roles (RBAC) y etiquetas de ámbito para TI distribuida.
En la pestaña Asignaciones , seleccione el grupo que contiene los equipos que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.
En la pestaña Revisar y crear , revise la configuración y seleccione Crear.
Una vez que la directiva se aplica a los equipos que proporcionan una sesión remota, reinícielos para que la configuración surta efecto.
Habilitación de la protección de captura de pantalla en dispositivos locales mediante Intune MAM
Para usar la protección de captura de pantalla en dispositivos iOS/iPadOS y Android que ejecutan Windows App, debe configurar una directiva de protección de aplicaciones Intune.
Para configurar una directiva de protección de aplicaciones de Intune para habilitar la protección de captura de pantalla en dispositivos iOS/iPadOS y Android:
Siga los pasos necesarios para requerir el cumplimiento de la seguridad del dispositivo cliente local con Microsoft Intune y Microsoft Entra acceso condicional. El cumplimiento de seguridad de dispositivos cliente local proporciona la base para configurar la protección de captura de pantalla en dispositivos iOS/iPadOS y Android que ejecutan Windows App.
Al configurar una directiva de protección de aplicaciones, en la pestaña Protección de datos , configure la siguiente configuración, en función de la plataforma:
Para iOS/iPadOS, establezca Enviar datos de la organización a otras aplicaciones en Ninguno.
Para Android, establezca Captura de pantalla y Google Assistant en Bloquear.
Configure otras opciones según sus requisitos y dirija la directiva de protección de aplicaciones a los usuarios y dispositivos.
Comprobación de la protección de captura de pantalla
Para comprobar que la protección de captura de pantalla funciona:
Conéctese a una nueva sesión remota con un cliente compatible. No vuelva a conectarse a una sesión existente. Debe cerrar la sesión de las sesiones existentes e iniciar sesión de nuevo para que el cambio surta efecto.
Desde un dispositivo local, realice una captura de pantalla o comparta la pantalla en una llamada o reunión de Teams. El contenido está bloqueado u oculto.
En dispositivos Windows y macOS, si ha habilitado Bloquear captura de pantalla en el cliente y el servidor en los hosts de sesión, intente capturar la pantalla mediante una herramienta o servicio dentro del host de sesión. El contenido está bloqueado u oculto.
Si habilita la protección de captura de pantalla en los hosts de sesión, debe conectarse desde un dispositivo compatible. Si no lo hace, verá un mensaje de error que indica que la protección de captura de pantalla está habilitada. El mensaje de error es similar a estas capturas de pantalla:
Navegador:
iOS/iPadOS:
Contenido relacionado
Habilite la marca de agua, donde los administradores pueden usar un código QR para realizar un seguimiento de la sesión.
Obtenga información sobre cómo proteger la implementación de Azure Virtual Desktop en Procedimientos recomendados de seguridad.