Marcas de agua en Azure Virtual Desktop

La marca de agua, junto con la protección de captura de pantalla, ayuda a evitar que se capture información confidencial en los puntos de conexión de cliente. Al habilitar la marca de agua, las marcas de agua del código QR aparecen como parte de los escritorios remotos. El código QR contiene el id. de conexión o id. de dispositivo de una sesión remota que los administradores pueden usar para realizar el seguimiento de la sesión. La marca de agua se configura en hosts de sesión mediante Microsoft Intune o directiva de grupo, y se aplica mediante la aplicación de Windows o el cliente de Escritorio remoto.

Esta es una captura de pantalla que muestra el aspecto de la marca de agua cuando está habilitada:

Importante

• Una vez activada la marca de agua en un host de sesión, solo los clientes que admitan la marca de agua podrán conectarse a ese host de sesión. Si intenta conectarse desde un cliente no compatible, se producirá un error en la conexión y recibirá un mensaje de error que no es específico.

• La marca de agua es solo para escritorios remotos. Con RemoteApp, no se aplica la marca de agua y se permite la conexión.

• Si se conecta a un host de sesión directamente (no a través de Azure Virtual Desktop) usando la aplicación Conexión a Escritorio remoto (mstsc.exe), no se aplica la marca de agua y se permite la conexión.

Prerrequisitos

Necesitará lo siguiente para poder usar marcas de agua:

• Un grupo de hosts existente con hosts de sesión.

• Una cuenta de Id. de Microsoft Entra asignada a los roles integrados de control de acceso basado en rol (RBAC) del grupo de hosts de Desktop Virtualization en el grupo de hosts como mínimo.

• Cliente que admite marcas de agua. Los siguientes clientes admiten marcas de agua:

  • Cliente de Escritorio remoto para:

    • Windows Desktop, versión 1.2.3317 o posterior, en Windows 10 y versiones posteriores.
    • explorador web.
    • macOS, versión 10.9.5 o posterior.
    • iOS/iPadOS, versión 10.5.4 o posterior.

  • Aplicación de Windows para:

    • Windows
    • macOS
    • Explorador web

• Azure Virtual Desktop Insights configurado para su entorno.

• Si administra los hosts de sesión con Microsoft Intune, necesita lo siguiente:

  • Cuenta de Microsoft Entra ID a la que se asigna la función RBAC integrada de administrador de directivas y perfiles.

  • Un grupo que contiene los dispositivos que quiere configurar.

• Si administra los hosts de sesión con la directiva de grupo en un dominio de Active Directory, necesita:

  • Una cuenta de dominio que es miembro del grupo de seguridad Administradores de dominio.

  • Grupo de seguridad o unidad organizativa (OU) que contiene los hosts de sesión que desea configurar.

Habilitación de marcas de agua

Seleccione la pestaña correspondiente a su escenario.

Microsoft Intune

Para habilitar la marca de agua mediante Microsoft Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil Catálogo de configuración.

3. En el selector de configuración, vaya a Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop.

   

4. Active la casilla Habilitar marca de agua y, a continuación, cierre el selector de configuración.

   Importante

   No seleccione [En desuso] Habilitar marca de agua, ya que esta configuración no incluye la opción para especificar el contenido insertado de código QR.

5. Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador para habilitar la marca de agua a Habilitado.

   

6. Puede configurar las siguientes opciones:

   Opción	Valores	Descripción
   Factor de escala del mapa de bits del código QR	1 a 10 (valor predeterminado = 4)	Tamaño en píxeles de cada punto de código QR. Este valor determina el número de cuadrados por punto en el código QR.
   Opacidad del mapa de bits del código QR	De 100 a 9999 (valor predeterminado = 2000)	La transparencia de la marca de agua, donde 100 es totalmente transparente.
   Ancho del cuadro de cuadrícula en porcentaje relevante para el ancho del mapa de bits del código QR	100 a 1 000 (valor predeterminado = 320)	Determina la distancia entre los códigos QR en porcentaje. Cuando se combina con el alto, un valor de 100 haría que los códigos QR aparezcan en paralelo y rellenen toda la pantalla.
   Alto del cuadro de cuadrícula en porcentaje relevante para el ancho del mapa de bits del código QR	100 a 1 000 (valor predeterminado = 180)	Determina la distancia entre los códigos QR en porcentaje. Cuando se combina con el ancho, un valor de 100 haría que los códigos QR aparezcan en paralelo y rellenen toda la pantalla.
   Contenido insertado de código QR	Identificador de conexión (valor predeterminado) Id. de dispositivo	Especifique si se debe usar el identificador de conexión oel identificador de dispositivo en el código QR. Solo seleccione Id. de dispositivo con hosts de sesión que se encuentren en un grupo de hosts personal y se unan al identificador de Microsoft Entra o unidos a Microsoft Entra híbrido.

   Sugerencia

   Se recomienda probar diferentes valores de opacidad para encontrar un equilibrio entre la legibilidad de la sesión remota y poder escanear el código QR, pero mantener los valores predeterminados para los demás parámetros.

7. Seleccione Siguiente.

8. Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para obtener más información sobre las etiquetas de ámbito, consulte Utilizar el control de acceso basado en funciones (RBAC) y las etiquetas de alcance para la TI distribuida.

9. En la pestaña Asignaciones, seleccione el grupo que contiene los ordenadores que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.

10. En la pestaña Revisar y crear, examine la configuración y seleccione Crear.

11. Sincronice los hosts de sesión con Intune para que la configuración surta efecto.

Directiva de grupo

Para habilitar la marca de agua mediante la directiva de grupo:

1. Siga los pasos para hacer que la Plantilla administrativa para Azure Virtual Desktop esté disponible.

2. Abra la consola deAdministración de directivas de grupo en el dispositivo que utiliza para administrar el dominio de Active Directory y, a continuación, cree o edite una directiva dirigida a los equipos que proporcionan una sesión remota que desea configurar.

3. Vaya a Configuración del equipo>Directivas>Plantillas administrativas>componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop.

4. Abra la configuración de directiva Habilitar marca de agua y establézcala en Habilitado.

   

5. Puede configurar las siguientes opciones:

   Opción	Valores	Descripción
   Factor de escala del mapa de bits del código QR	1 a 10 (valor predeterminado = 4)	Tamaño en píxeles de cada punto de código QR. Este valor determina el número de cuadrados por punto en el código QR.
   Opacidad del mapa de bits del código QR	De 100 a 9999 (valor predeterminado = 2000)	La transparencia de la marca de agua es, donde 100 es totalmente transparente y 9999 es totalmente opaco.
   Ancho del cuadro de cuadrícula en porcentaje relevante para el ancho del mapa de bits del código QR	100 a 1 000 (valor predeterminado = 320)	Determina la distancia entre los códigos QR en porcentaje. Cuando se combina con el alto, un valor de 100 haría que los códigos QR aparezcan en paralelo y rellenen toda la pantalla.
   Alto del cuadro de cuadrícula en porcentaje relevante para el ancho del mapa de bits del código QR	100 a 1 000 (valor predeterminado = 180)	Determina la distancia entre los códigos QR en porcentaje. Cuando se combina con el ancho, un valor de 100 haría que los códigos QR aparezcan en paralelo y rellenen toda la pantalla.
   Contenido insertado de código QR	Identificador de conexión (valor predeterminado) Id. de dispositivo	Especifique si se debe usar el identificador de conexión oel identificador de dispositivo en el código QR. Solo seleccione Id. de dispositivo con hosts de sesión que se encuentren en un grupo de hosts personal y se unan al identificador de Microsoft Entra o unidos a Microsoft Entra híbrido.

   Sugerencia

   Se recomienda probar diferentes valores de opacidad para encontrar un equilibrio entre la legibilidad de la sesión remota y poder escanear el código QR, pero mantener los valores predeterminados para los demás parámetros.

6. Asegúrese de que la directiva se aplica a los hosts de sesión y, a continuación, actualice la directiva de grupo en los hosts de sesión o reiníciela para que la configuración surta efecto.

7. Conéctese a una sesión remota con un cliente compatible, donde deberían aparecer los códigos QR. Las sesiones existentes tendrán que cerrar sesión y volver a iniciarla para que el cambio surta efecto.

Búsqueda de información de sesión

Una vez que haya habilitado la marca de agua, puede encontrar la información de sesión del código QR mediante Azure Virtual Desktop Insights o consultar Log Analytics de Azure Monitor.

Azure Virtual Desktop Insights

Para averiguar la información de sesión del código QR mediante Azure Virtual Desktop Insights:

1. Abra un explorador web y vaya a https://aka.ms/avdi para abrir Azure Virtual Desktop Insights. Inicie sesión con las credenciales de Azure cuando se le solicite.

2. Seleccione la suscripción pertinente, el grupo de recursos, el grupo de hosts y el intervalo de tiempo y, a continuación, seleccione la pestaña Diagnósticos de conexión.

3. En la sección Tasa de éxito de (re)establecer una conexión (% de conexiones), hay una lista de todas las conexiones que muestran el Primer intento, el Identificador de conexión, el Usuario y los Intentos. Puede buscar el identificador de conexión desde el código QR de esta lista o exportar a Excel.

Azure Monitor Log Analytics

Para averiguar la información de sesión del código QR consultando Log Analytics de Azure Monitor:

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba áreas de trabajo de Log Analytics y seleccione la entrada del servicio coincidente.

3. Seleccione esta opción para abrir el área de trabajo de Log Analytics conectada al entorno de Azure Virtual Desktop.

4. En General, seleccione Registros.

5. Inicie una nueva consulta y, a continuación, ejecute la siguiente consulta para obtener información de sesión para un identificador de conexión específico (representado como CorrelationId en Log Analytics), reemplazando <connection ID> por el valor completo o parcial del código QR:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Contenido relacionado

• Habilitar la protección de captura de pantalla en Azure Virtual Desktop.