Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La protezione dell'acquisizione dello schermo, insieme alla filigrana, consente di impedire l'acquisizione di dati sensibili nei dispositivi client usando funzionalità e API del sistema operativo specifiche. Quando si abilita la protezione dell'acquisizione dello schermo, il contenuto remoto viene bloccato automaticamente nelle schermate e nella condivisione dello schermo.
Quando la protezione dell'acquisizione dello schermo è abilitata, gli utenti non possono condividere la finestra remota usando il software di collaborazione locale, ad esempio Microsoft Teams. Con Teams, l'app Teams locale o l'uso di Teams con ottimizzazione multimediale non può condividere contenuto protetto.
Consiglio
Per aumentare la sicurezza delle informazioni sensibili, è anche consigliabile disabilitare appunti, unità e reindirizzamento della stampante. La disabilitazione del reindirizzamento consente di impedire agli utenti di copiare contenuto dalla sessione remota. Per informazioni sui valori di reindirizzamento supportati, vedere Reindirizzamento del dispositivo.
Per scoraggiare altri metodi di acquisizione dello schermo, ad esempio scattare una foto di uno schermo con una fotocamera fisica, è possibile abilitare la filigrana, in cui gli amministratori possono usare un codice a matrice per tracciare la sessione.
Determinare la configurazione
I passaggi per configurare la protezione dell'acquisizione dello schermo dipendono dalla posizione in cui viene configurata, dalle piattaforme da cui gli utenti si connettono e dallo scenario che si vuole ottenere.
Dispositivi Windows e macOS: è possibile impedire l'acquisizione dello schermo configurando gli host di sessione usando un criterio di configurazione del dispositivo Intune o Criteri di gruppo. Windows App o il client Desktop remoto applica le impostazioni di protezione dell'acquisizione dello schermo da un host di sessione senza ulteriori configurazioni.
Quando si configura la protezione dell'acquisizione dello schermo negli host di sessione, sono disponibili altre due impostazioni che è possibile configurare per soddisfare i requisiti:
Blocca l'acquisizione dello schermo nel client: impedisce l'acquisizione dello schermo dal dispositivo locale delle applicazioni in esecuzione nella sessione remota.
Blocca acquisizione dello schermo nel client e nel server: impedisce l'acquisizione dello schermo dal dispositivo locale delle applicazioni in esecuzione nella sessione remota, ma impedisce anche agli strumenti e ai servizi all'interno dell'host di sessione di acquisire lo schermo.
In questo scenario, ecco il risultato della connessione da ogni tipo di piattaforma:
Piattaforma Connessione consentita Acquisizione dello schermo bloccata Windows ✅ ✅ macOS ✅ ✅ iOS/iPadOS ❌ N/D Android ❌ N/D Web ❌ N/D Dispositivi iOS/iPadOS e Android: è possibile impedire l'acquisizione dello schermo configurando i dispositivi locali usando Microsoft Intune gestione delle applicazioni mobili (MAM). Non impedisce agli strumenti e ai servizi all'interno dell'host di sessione di acquisire lo schermo. Per altre informazioni, vedere Gestire le impostazioni di reindirizzamento dei dispositivi locali con Microsoft Intune.
In questo scenario, ecco il risultato della connessione da ogni tipo di piattaforma:
Piattaforma Connessione consentita Acquisizione dello schermo bloccata Windows ✅ ❌ macOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Web ✅ ❌
Importante
È necessario scegliere i dispositivi locali da usare con la protezione dell'acquisizione dello schermo in base alle proprie esigenze. Non esiste uno scenario in cui è possibile abilitare la protezione dell'acquisizione dello schermo in tutte le piattaforme dagli stessi host di sessione contemporaneamente. Se sono configurati entrambi, la protezione dell'acquisizione dello schermo negli host di sessione ha la precedenza sull'uso di un criterio MAM Intune nei dispositivi locali.
Considerazioni sulla piattaforma per la protezione dell'acquisizione dello schermo in macOS
Sebbene sia completamente supportato in Windows, esistono limitazioni note in macOS a causa dell'architettura di sicurezza corrente della piattaforma:
Compatibilità di Microsoft Teams: in macOS l'abilitazione della protezione dell'acquisizione dello schermo potrebbe interferire con la condivisione dello schermo in Microsoft Teams, causando potenzialmente la visualizzazione di finestre condivise vuote o non visualizzate correttamente. Se è necessaria la collaborazione basata su Teams, potrebbe essere necessario disabilitare temporaneamente la protezione dell'acquisizione dello schermo nel dispositivo.
Imposizione a livello di piattaforma: a causa di restrizioni macOS, alcune applicazioni native potrebbero non rispettare completamente l'imposizione della protezione dell'acquisizione dello schermo. Si tratta di una limitazione delle API disponibili del sistema operativo, non di un difetto nella protezione dell'acquisizione dello schermo stessa.
Ecco alcuni consigli per queste limitazioni:
Per i flussi di lavoro macOS con elevato utilizzo di collaborazione, è consigliabile configurare le impostazioni di protezione dell'acquisizione dello schermo in base alle esigenze aziendali e al livello di rischio.
Per il contenuto altamente sensibile, gli endpoint di Windows sono consigliati per l'applicazione completa delle funzionalità di protezione dello schermo.
I criteri amministrativi e di filigrana possono essere usati per scoraggiare ulteriormente l'uso improprio su piattaforme con imposizione limitata.
Prerequisiti
Prima di configurare la protezione dell'acquisizione dello schermo, assicurarsi di soddisfare i prerequisiti seguenti:
Per gli scenari in cui è necessario configurare gli host sessione, gli host di sessione devono eseguire un Windows 11, versione 22H2 o successiva o Windows 10 versione 22H2 o successiva.
Gli utenti devono connettersi a Desktop virtuale Azure con Windows App o l'app Desktop remoto per usare la protezione dell'acquisizione dello schermo. La tabella seguente illustra gli scenari supportati:
Windows App:
Piattaforma Versione minima Sessione desktop Sessione RemoteApp Windows App in Windows Qualsiasi Sì Sì. Il sistema operativo del dispositivo locale deve essere Windows 11 versione 22H2 o successiva. Windows App in macOS Qualsiasi Sì Sì Windows App in iOS/iPadOS 11.0.8 Sì Sì Windows App in Android (anteprima)¹ 1.0.145 Sì Sì 1. Non include il supporto per il sistema operativo Chrome perché Intune MAM non è supportato nel sistema operativo Chrome.
Client Desktop remoto:
Piattaforma Versione minima Sessione desktop Sessione RemoteApp Windows (client desktop) 1.2.1672 Sì Sì. Il sistema operativo del dispositivo locale deve essere Windows 11 versione 22H2 o successiva. Windows (app di Azure Virtual Desktop Store) Qualsiasi Sì Sì. Il sistema operativo del dispositivo locale deve essere Windows 11 versione 22H2 o successiva. macOS 10.7.0 o versione successiva Sì Sì
Per configurare Microsoft Intune, è necessario:
Microsoft Entra ID account a cui è assegnato il ruolo predefinito Controllo degli accessi in base al ruolo predefinito di Gestione criteri e profili.
Gruppo contenente i dispositivi da configurare.
Per configurare Criteri di gruppo, è necessario:
Account di dominio membro del gruppo di sicurezza Domain Admins .
Un gruppo di sicurezza o un'unità organizzativa contenente i dispositivi da configurare.
Abilitare la protezione dell'acquisizione dello schermo negli host di sessione usando criteri di configurazione del dispositivo Intune o Criteri di gruppo
Selezionare la scheda pertinente per lo scenario.
Per configurare la protezione dell'acquisizione dello schermo negli host di sessione usando Microsoft Intune:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Creare o modificare un profilo di configurazione per i dispositivi Windows 10 e versioni successive, con il tipo di profilo del catalogo Impostazioni.
Nella selezione impostazioni passare a Modelli> amministrativiComponenti> di WindowsServizi>Desktop remoto Host> sessione Desktop remotoDesktop remoto Desktop virtuale Azure.
Selezionare la casella Abilita protezione acquisizione schermo, quindi chiudere il selettore impostazioni.
Espandere la categoria Modelli amministrativi , quindi impostare l'opzione Abilita protezione acquisizione schermata su Abilitato.
Attivare o disattivare l'opzione Per le opzioni di protezione dell'acquisizione dello schermo (dispositivo)perBlocca acquisizione schermata nel cliento perBlocca acquisizione schermata nel client e nel server in base ai requisiti, quindi selezionare OK.
Seleziona Avanti.
Facoltativo: nella scheda Tag ambito selezionare un tag di ambito per filtrare il profilo. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
Nella scheda Assegnazioni selezionare il gruppo contenente i computer che forniscono una sessione remota da configurare, quindi selezionare Avanti.
Nella scheda Rivedi e crea esaminare le impostazioni e quindi selezionare Crea.
Dopo aver applicato i criteri ai computer che forniscono una sessione remota, riavviarli per rendere effettive le impostazioni.
Abilitare la protezione dell'acquisizione dello schermo nei dispositivi locali usando Intune MAM
Per usare la protezione dell'acquisizione dello schermo nei dispositivi iOS/iPadOS e Android che eseguono Windows App, è necessario configurare un criterio di protezione delle app Intune.
Per configurare un criterio di protezione delle app Intune per abilitare la protezione dell'acquisizione dello schermo nei dispositivi iOS/iPadOS e Android:
Seguire la procedura per Richiedere la conformità alla sicurezza del dispositivo client locale con Microsoft Intune e Microsoft Entra l'accesso condizionale. La conformità alla sicurezza dei dispositivi client locali fornisce le basi per configurare la protezione dell'acquisizione dello schermo nei dispositivi iOS/iPadOS e Android che eseguono Windows App.
Quando si configurano criteri di protezione delle app, nella scheda Protezione dati configurare l'impostazione seguente, a seconda della piattaforma:
Per iOS/iPadOS, impostare Invia dati dell'organizzazione ad altre app su Nessuno.
Per Android, impostare Acquisizione schermata e Google Assistant su Blocca.
Configurare altre impostazioni in base ai requisiti e assegnare i criteri di protezione delle app a utenti e dispositivi.
Verificare la protezione dell'acquisizione dello schermo
Per verificare che la protezione dell'acquisizione dello schermo funzioni:
Connettersi a una nuova sessione remota con un client supportato. Non riconnettersi a una sessione esistente. Per rendere effettiva la modifica, è necessario disconnettersi da tutte le sessioni esistenti ed eseguire di nuovo l'accesso.
Da un dispositivo locale, acquisire uno screenshot o condividere lo schermo in una chiamata o una riunione di Teams. Il contenuto è bloccato o nascosto.
Nei dispositivi Windows e macOS, se è stata abilitata l'opzione Blocca acquisizione schermata nel client e nel server negli host sessione, provare a acquisire lo schermo usando uno strumento o un servizio all'interno dell'host sessione. Il contenuto è bloccato o nascosto.
Se si abilita la protezione dell'acquisizione dello schermo negli host di sessione, è necessario connettersi da un dispositivo supportato. In caso contrario, viene visualizzato un messaggio di errore che indica che la protezione dell'acquisizione dello schermo è abilitata. Il messaggio di errore è simile a quanto riportato di seguito:
Browser:
iOS/iPadOS:
Contenuto correlato
Abilitare la filigrana, in cui gli amministratori possono usare un codice a matrice per tracciare la sessione.
Per informazioni su come proteggere la distribuzione di Desktop virtuale Azure, vedere Procedure consigliate per la sicurezza.