透かしは、 スクリーン キャプチャ保護と共に、クライアント エンドポイントで機密情報がキャプチャされるのを防ぐのに役立ちます。 透かしを有効にすると、QR コードの透かしがリモート デスクトップの一部として表示されます。 QR コードには、管理者がセッションのトレースに使用できるリモート セッションの 接続 ID または デバイス ID が含まれています。 透かしは、Microsoft Intuneまたはグループ ポリシーを使用してセッション ホストで構成され、Windows Appまたはリモート デスクトップ クライアントによって適用されます。
有効になっている場合の透かしの外観を示すスクリーンショットを次に示します。
重要
セッション ホストで透かしが有効になると、透かしをサポートするクライアントのみがそのセッション ホストに接続できます。 サポートされていないクライアントから接続しようとすると、接続が失敗し、特定ではないエラー メッセージが表示されます。
透かしはリモート デスクトップ専用です。 RemoteApp では、透かしは適用されず、接続が許可されます。
リモート デスクトップ接続アプリ (
mstsc.exe) を使用して (Azure Virtual Desktop 経由ではなく) セッション ホストに直接接続する場合、透かしは適用されず、接続は許可されます。
前提条件
透かしを使用する前に、次のものが必要です。
セッション ホストを含む既存のホスト プール。
デスクトップ仮想化ホスト プール共同作成者組み込みのロールベースのアクセス制御 (RBAC) ロールがホスト プールに最低限割り当てられているMicrosoft Entra ID アカウント。
透かしをサポートするクライアント。 次のクライアントは透かしをサポートしています。
リモート デスクトップ クライアント:
- Windows 10 以降の Windows Desktop バージョン 1.2.3317 以降。
- Web ブラウザー。
- macOS バージョン 10.9.5 以降。
- iOS/iPadOS バージョン 10.5.4 以降。
Windows App:
- Windows
- macOS
- iOS と iPadOS
- Android/Chrome OS (プレビュー)
- Web ブラウザー
環境用に構成された Azure Virtual Desktop Insights。
Microsoft Intuneを使用してセッション ホストを管理する場合は、次のものが必要です。
Microsoft Entra IDポリシーとプロファイル マネージャーの組み込み RBAC ロールが割り当てられているアカウント。
構成するデバイスを含むグループ。
Active Directory ドメインでグループ ポリシーを使用してセッション ホストを管理する場合は、次のものが必要です。
Domain Admins セキュリティ グループのメンバーであるドメイン アカウント。
構成するセッション ホストを含むセキュリティ グループまたは組織単位 (OU)。
透かしを有効にする
シナリオに関連するタブを選択します。
Microsoft Intuneを使用して透かしを有効にするには:
Microsoft Intune 管理センターにサインインします。
[設定] カタログ プロファイルの種類を使用して、Windows 10以降のデバイスの構成プロファイルを作成または編集します。
設定ピッカーで、 管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop を参照します。
[ 透かしを有効にする] チェック ボックスをオンにし、設定ピッカーを閉じます。
重要
この設定には QR コードの埋め込みコンテンツを指定するオプションが含まれていないので、[ 非推奨] 透かしを有効に しないでください。
[管理用テンプレート] カテゴリを展開し、[透かしを有効にする] のスイッチを [有効] に切り替えます。
次のオプションを構成できます。
オプション 値 説明 QR コードビットマップスケールファクター 1 から 10
(既定値 = 4)各 QR コード ドットのサイズ (ピクセル単位)。 この値は、QR コード内のドットあたりの正方形の数を決定します。 QR コードビットマップ不透明度 100 から 9999 (既定値 = 2000) 透かしの透明度。100 は完全に透明です。 QR コードのビットマップ幅に関連するグリッド ボックスの幅 (パーセント) 100 から 1000
(既定値 = 320)QR コード間の距離をパーセントで指定します。 高さと組み合わせると、値が 100 の場合、QR コードが並んで表示され、画面全体が塗りつぶされます。 QR コードのビットマップ幅に関連するグリッド ボックスの高さ (パーセント) 100 から 1000
(既定値 = 180)QR コード間の距離をパーセントで指定します。 幅と組み合わせると、100 の値を指定すると、QR コードが並んで表示され、画面全体が塗りつぶされます。 QR コード埋め込みコンテンツ 接続 ID (既定値)
デバイス IDQR コードで 接続 ID と デバイス ID のどちらを使用するかを指定します。 [デバイス ID] を選択するのは、個人用ホスト プールに存在し、Microsoft Entra IDまたはハイブリッドに参加しているセッション ホストMicrosoft Entraのみです。 ヒント
さまざまな不透明度の値を試して、リモート セッションの読みやすさと QR コードをスキャンできるバランスを見つけるのに、他のパラメーターの既定値を保持することをお勧めします。
[次へ] を選択します。
省略可能: [ スコープ タグ ] タブで、スコープ タグを選択してプロファイルをフィルター処理します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。
[ 割り当て ] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[ 次へ] を選択します。
[ 確認と作成 ] タブで、設定を確認し、[ 作成] を選択します。
セッション情報を検索する
透かしを有効にしたら、Azure Virtual Desktop Insights を使用するか、Azure Monitor Log Analytics にクエリを実行することで、QR コードからセッション情報を見つけることができます。
Azure Virtual Desktop Insights
Azure Virtual Desktop Insights を使用して QR コードからセッション情報を確認するには、
Web ブラウザーを開き、[ https://aka.ms/avdi ] に移動して Azure Virtual Desktop Insights を開きます。 プロンプトが表示されたら、Azure 資格情報を使用してサインインします。
関連するサブスクリプション、リソース グループ、ホスト プール、時間範囲を選択し、[ 接続の診断 ] タブを選択します。
[ 接続の確立 (再) の成功率 (接続の割合)] セクションには、 最初の試行、 接続 ID、 ユーザー、試行を示すすべての接続の一覧 があります。 この一覧の QR コードから接続 ID を検索するか、Excel にエクスポートできます。
Azure Monitor ログ分析
Azure Monitor Log Analytics にクエリを実行して、QR コードからセッション情報を確認するには、次の手順を実行します。
Azure ポータルにサインインします。
検索バーに 「Log Analytics ワークスペース」 と入力し、一致するサービス エントリを選択します。
を選択して、Azure Virtual Desktop 環境に接続されている Log Analytics ワークスペースを開きます。
[ 全般] で、[ログ] を選択 します。
新しいクエリを開始し、次のクエリを実行して、特定の接続 ID (Log Analytics では CorrelationId として表されます) のセッション情報を取得し、
<connection ID>を QR コードの完全または部分的な値に置き換えます。WVDConnections | where CorrelationId contains "<connection ID>"