スクリーン キャプチャ保護は、 透かしと共に、特定のオペレーティング システム (OS) 機能と API を使用して機密データがクライアント デバイスでキャプチャされるのを防ぐのに役立ちます。 スクリーン キャプチャ保護を有効にすると、スクリーンショットと画面共有でリモート コンテンツが自動的にブロックされます。
スクリーン キャプチャ保護が有効になっている場合、ユーザーは、Microsoft Teamsなどのローカル コラボレーション ソフトウェアを使用してリモート ウィンドウを共有できません。 Teams では、ローカルの Teams アプリまたは メディアの最適化で Teams を 使用して、保護されたコンテンツを共有することはできません。
ヒント
構成を決定する
画面キャプチャ保護を構成する手順は、構成する場所、ユーザーが接続しているプラットフォーム、および達成するシナリオによって異なります。
Windows デバイスと macOS デバイス: Intune デバイス構成ポリシーまたはグループ ポリシーを使用してセッション ホストを構成することで、画面キャプチャを防止できます。 Windows Appまたはリモート デスクトップ クライアントは、セッション ホストから画面キャプチャ保護設定を適用します。さらに構成を行う必要はありません。
セッション ホストで画面キャプチャ保護を構成する場合、要件を満たすために構成できる設定は 2 つあります。
[クライアントでの画面キャプチャをブロックする]: リモート セッションで実行されているアプリケーションのローカル デバイスからの画面キャプチャを防止します。
クライアントとサーバーでの画面キャプチャをブロックする: リモート セッションで実行されているアプリケーションのローカル デバイスからの画面キャプチャを防止しますが、セッション ホスト内のツールやサービスが画面をキャプチャすることもできなくなります。
このシナリオでは、各プラットフォームの種類から接続するときの結果を次に示します。
プラットフォーム 接続が許可されている スクリーン キャプチャがブロックされました Windows ✅ ✅ macOS ✅ ✅ iOS/iPadOS ❌ 該当なし Android ❌ 該当なし Web ❌ 該当なし iOS/iPadOS および Android デバイス: モバイル アプリケーション管理 (MAM) を使用してローカル デバイスMicrosoft Intune構成することで、画面キャプチャを防ぎます。 セッション ホスト内のツールやサービスが画面をキャプチャするのを防ぐわけではありません。 詳細については、「Microsoft Intuneを使用してローカル デバイス リダイレクト設定を管理する」を参照してください。
このシナリオでは、各プラットフォームの種類から接続するときの結果を次に示します。
プラットフォーム 接続が許可されている スクリーン キャプチャがブロックされました Windows ✅ ❌ macOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Web ✅ ❌
重要
要件に基づいて、画面キャプチャ保護で使用するローカル デバイスを選択する必要があります。 同じセッション ホストのすべてのプラットフォームで同時に画面キャプチャ保護を有効にできるシナリオはありません。 両方が構成されている場合、セッション ホストでのスクリーン キャプチャ保護は、ローカル デバイスでIntune MAM ポリシーを使用するよりも優先されます。
macOS での画面キャプチャ保護に関するプラットフォームに関する考慮事項
Windows では完全にサポートされていますが、プラットフォームの現在のセキュリティ アーキテクチャにより、macOS には既知の制限事項があります。
Microsoft Teams互換性: macOS では、画面キャプチャ保護を有効にすると、Microsoft Teamsでの画面共有が妨げられ、共有ウィンドウが空白または正しく表示されない可能性があります。 Teams ベースのコラボレーションが必要な場合は、デバイスでスクリーン キャプチャ保護を一時的に無効にする必要がある場合があります。
プラットフォーム レベルの適用: macOS の制限により、一部のネイティブ アプリケーションで画面キャプチャ保護の適用が完全に尊重されない場合があります。 これは、オペレーティング システムの使用可能な API の制限であり、画面キャプチャ保護自体の欠陥ではありません。
これらの制限事項に関する推奨事項を次に示します。
コラボレーションが多い macOS ワークフローの場合は、ビジネス ニーズとリスク レベルに基づいて画面キャプチャ保護設定を構成することを検討してください。
機密性の高いコンテンツの場合は、画面保護機能を完全に適用するために Windows エンドポイントをお勧めします。
透かしと管理ポリシーを使用して、制限付きの適用があるプラットフォームでの誤用をさらに防ぐことができます。
前提条件
画面キャプチャ保護を構成する前に、次の前提条件を満たしていることを確認してください。
セッション ホストを構成する必要があるシナリオの場合、これらのセッション ホストは、バージョン 22H2 以降のWindows 11、バージョン 22H2 以降、またはバージョン 22H2 以降Windows 10を実行している必要があります。
ユーザーは、画面キャプチャ保護を使用するには、Windows Appまたはリモート デスクトップ アプリを使用して Azure Virtual Desktop に接続する必要があります。 次の表は、サポートされているシナリオを示しています。
Windows App:
プラットフォーム 最小バージョン デスクトップ セッション RemoteApp セッション Windows でのWindows App 任意 はい はい。 ローカル デバイス OS は、バージョン 22H2 以降Windows 11する必要があります。 macOS でのWindows App 任意 はい はい iOS/iPadOS でのWindows App 11.0.8 はい はい Android でのWindows App (プレビュー)¹ 1.0.145 はい はい 1. Chrome OS ではIntune MAM がサポートされていないため、Chrome OS のサポートは含まれません。
リモート デスクトップ クライアント:
プラットフォーム 最小バージョン デスクトップ セッション RemoteApp セッション Windows (デスクトップ クライアント) 1.2.1672 はい はい。 ローカル デバイス OS は、バージョン 22H2 以降Windows 11する必要があります。 Windows (Azure Virtual Desktop Store アプリ) 任意 はい はい。 ローカル デバイス OS は、バージョン 22H2 以降Windows 11する必要があります。 macOS 10.7.0 以降 はい はい
Microsoft Intuneを構成するには、次のものが必要です。
Microsoft Entra IDポリシーとプロファイル マネージャーの組み込み RBAC ロールが割り当てられているアカウント。
構成するデバイスを含むグループ。
グループ ポリシーを構成するには、次のものが必要です。
Domain Admins セキュリティ グループのメンバーであるドメイン アカウント。
構成するデバイスを含むセキュリティ グループまたは組織単位 (OU)。
Intune デバイス構成ポリシーまたはグループ ポリシーを使用してセッション ホストで画面キャプチャ保護を有効にする
シナリオに関連するタブを選択します。
Microsoft Intuneを使用してセッション ホストで画面キャプチャ保護を構成するには:
Microsoft Intune 管理センターにサインインします。
[設定] カタログ プロファイルの種類を使用して、Windows 10以降のデバイスの構成プロファイルを作成または編集します。
設定ピッカーで、 管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop を参照します。
[ スクリーン キャプチャ保護を有効にする] チェック ボックスをオンにし、設定ピッカーを閉じます。
[ 管理用テンプレート ] カテゴリを展開し、[ スクリーン キャプチャ保護を有効にする] のスイッチを [有効] に切り替えます。
[スクリーン キャプチャ保護オプション (デバイス)] のスイッチを [クライアントでの画面キャプチャのブロック] でオフに切り替え、[要件に基づいてクライアントとサーバーで画面キャプチャをブロックする] でオンに切り替えて、[OK] を選択します。
[次へ] を選択します。
省略可能: [ スコープ タグ ] タブで、スコープ タグを選択してプロファイルをフィルター処理します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。
[ 割り当て ] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[ 次へ] を選択します。
[ 確認と作成 ] タブで、設定を確認し、[ 作成] を選択します。
リモート セッションを提供するコンピューターにポリシーが適用されたら、設定を有効にするために再起動します。
Intune MAM を使用してローカル デバイスで画面キャプチャ保護を有効にする
Windows Appを実行している iOS/iPadOS および Android デバイスで画面キャプチャ保護を使用するには、Intuneアプリ保護ポリシーを構成する必要があります。
iOS/iPadOS および Android デバイスで画面キャプチャ保護を有効にするようにIntuneアプリ保護ポリシーを構成するには:
「Microsoft IntuneとMicrosoft Entra条件付きアクセスに対するローカル クライアント デバイスのセキュリティ コンプライアンスを要求する」の手順に従います。 ローカル クライアント デバイスのセキュリティ コンプライアンスは、Windows Appを実行している iOS/iPadOS および Android デバイスで画面キャプチャ保護を構成するための基盤を提供します。
アプリ保護ポリシーを構成する場合、[ データ保護 ] タブで、プラットフォームに応じて次の設定を構成します。
iOS/iPadOS の場合は、[ 他のアプリに組織データを送信する] を[なし] に設定します。
Android の場合は、[ スクリーン キャプチャ] と [Google アシスタント] を [ブロック] に設定します。
要件に基づいて他の設定を構成し、アプリ保護ポリシーをユーザーとデバイスにターゲットにします。
画面キャプチャの保護を確認する
画面キャプチャ保護が機能していることを確認するには:
サポートされているクライアントを使用して新しいリモート セッションに接続します。 既存のセッションに再接続しないでください。 変更を有効にするには、既存のセッションからサインアウトし、もう一度サインインする必要があります。
ローカル デバイスから、Teams 通話または会議でスクリーンショットを撮るか、画面を共有します。 コンテンツがブロックまたは非表示になっています。
Windows および macOS デバイスで、[ セッション ホスト上のクライアントとサーバーで画面キャプチャをブロック する] を有効にした場合は、セッション ホスト内のツールまたはサービスを使用して画面をキャプチャしてみてください。 コンテンツがブロックまたは非表示になっています。
セッション ホストで画面キャプチャ保護を有効にする場合は、サポートされているデバイスから接続する必要があります。 そうしないと、画面キャプチャ保護が有効になっていることを示すエラー メッセージが表示されます。 エラー メッセージは、次のスクリーンショットのようになります。
ブラウザ:
iOS/iPadOS:
関連コンテンツ
管理者が QR コードを使用してセッションをトレースできる 透かしを有効にします。
Azure Virtual Desktop デプロイをセキュリティで保護する方法については、「 セキュリティのベスト プラクティス」を参照してください。