Azure Virtual Desktop에서 화면 캡처 보호 사용

워터마킹과 함께 화면 캡처 보호는 특정 OS(운영 체제) 기능 및 API를 사용하여 클라이언트 디바이스에서 중요한 데이터가 캡처되는 것을 방지하는 데 도움이 됩니다. 화면 캡처 보호를 사용하도록 설정하면 스크린샷 및 화면 공유에서 원격 콘텐츠가 자동으로 차단됩니다.

화면 캡처 보호를 사용하도록 설정하면 사용자는 Microsoft Teams와 같은 로컬 공동 작업 소프트웨어를 사용하여 원격 창을 공유할 수 없습니다. Teams를 사용하면 로컬 Teams 앱 또는 미디어 최적화를 통해 Teams 를 사용하여 보호된 콘텐츠를 공유할 수 없습니다.

팁

• 중요한 정보의 보안을 강화하려면 클립보드, 드라이브 및 프린터 리디렉션도 사용하지 않도록 설정해야 합니다. 리디렉션을 사용하지 않도록 설정하면 사용자가 원격 세션에서 콘텐츠를 복사하지 못하도록 방지할 수 있습니다. 지원되는 리디렉션 값에 대한 자세한 내용은 디바이스 리디렉션을 참조하세요.

• 물리적 카메라로 화면 사진을 찍는 것과 같은 다른 화면 캡처 방법을 사용하지 않도록 하려면 관리자가 QR 코드를 사용하여 세션을 추적할 수 있는 워터마킹을 사용하도록 설정할 수 있습니다.

구성 확인

화면 캡처 보호를 구성하는 단계는 구성하는 위치, 사용자가 연결하는 플랫폼 및 달성하려는 시나리오에 따라 달라집니다.

• Windows 및 macOS 디바이스: Intune 디바이스 구성 정책 또는 그룹 정책 사용하여 세션 호스트를 구성하여 화면 캡처를 방지합니다. Windows App 또는 원격 데스크톱 클라이언트는 추가 구성 없이 세션 호스트에서 화면 캡처 보호 설정을 적용합니다.

  세션 호스트에서 화면 캡처 보호를 구성할 때 요구 사항을 충족하도록 구성할 수 있는 두 가지 추가 설정이 있습니다.

  • 클라이언트에서 화면 캡처 차단: 원격 세션에서 실행되는 애플리케이션의 로컬 디바이스에서 화면 캡처를 방지합니다.

  • 클라이언트 및 서버에서 화면 캡처 차단: 원격 세션에서 실행되는 애플리케이션의 로컬 디바이스에서 화면 캡처를 방지하지만 세션 호스트 내의 도구 및 서비스가 화면을 캡처하는 것을 방지합니다.

  이 시나리오에서는 각 플랫폼 유형에서 연결할 때의 결과는 다음과 같습니다.

  플랫폼	연결 허용됨	화면 캡처가 차단됨
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	해당 없음
  Android	❌	해당 없음
  Web	❌	해당 없음

• iOS/iPadOS 및 Android 디바이스: Microsoft Intune MAM(모바일 애플리케이션 관리)을 사용하여 로컬 디바이스를 구성하여 화면 캡처를 방지합니다. 세션 호스트 내의 도구와 서비스가 화면을 캡처하는 것을 방지하지는 않습니다. 자세한 내용은 Microsoft Intune 사용하여 로컬 디바이스 리디렉션 설정 관리를 참조하세요.

  이 시나리오에서는 각 플랫폼 유형에서 연결할 때의 결과는 다음과 같습니다.

  플랫폼	연결 허용됨	화면 캡처가 차단됨
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

중요

요구 사항에 따라 화면 캡처 보호에 사용할 로컬 디바이스를 선택해야 합니다. 동일한 세션 호스트의 모든 플랫폼에서 동시에 화면 캡처 보호를 사용하도록 설정할 수 있는 시나리오는 없습니다. 둘 다 구성된 경우 세션 호스트의 화면 캡처 보호가 로컬 디바이스에서 Intune MAM 정책을 사용하는 것보다 우선합니다.

macOS에서 화면 캡처 보호를 위한 플랫폼 고려 사항

Windows에서 완전히 지원되지만 플랫폼의 현재 보안 아키텍처로 인해 macOS에는 알려진 제한 사항이 있습니다.

• Microsoft Teams 호환성: macOS에서 화면 캡처 보호를 사용하도록 설정하면 Microsoft Teams의 화면 공유를 방해하여 공유 창이 비어 있거나 제대로 표시되지 않을 수 있습니다. Teams 기반 공동 작업이 필요한 경우 디바이스에서 화면 캡처 보호를 일시적으로 사용하지 않도록 설정해야 할 수 있습니다.

• 플랫폼 수준 적용: macOS 제한으로 인해 일부 네이티브 애플리케이션은 화면 캡처 보호 적용을 완전히 준수하지 않을 수 있습니다. 이는 화면 캡처 보호 자체의 결함이 아니라 운영 체제에서 사용할 수 있는 API의 제한 사항입니다.

다음은 이러한 제한 사항에 대한 몇 가지 권장 사항입니다.

• 협업이 많은 macOS 워크플로의 경우 비즈니스 요구 사항 및 위험 수준에 따라 화면 캡처 보호 설정을 구성하는 것이 좋습니다.

• 매우 중요한 콘텐츠의 경우 화면 보호 기능을 완전히 적용하려면 Windows 엔드포인트를 사용하는 것이 좋습니다.

• 워터마크 및 관리 정책을 사용하여 제한된 적용이 있는 플랫폼에서의 오용을 더욱 억제할 수 있습니다.

필수 구성 요소

화면 캡처 보호를 구성하려면 다음 필수 구성 요소를 충족해야 합니다.

• 세션 호스트를 구성해야 하는 시나리오의 경우 해당 세션 호스트는 Windows 11 버전 22H2 이상 또는 Windows 10 버전 22H2 이상을 실행해야 합니다.

• 사용자는 화면 캡처 보호를 사용하려면 Windows App 또는 원격 데스크톱 앱을 사용하여 Azure Virtual Desktop에 연결해야 합니다. 다음 표에서는 지원되는 시나리오를 보여 줍니다.

  • Windows App:

    플랫폼	최소 버전	데스크톱 세션	RemoteApp 세션
    Windows의 Windows App	모두	예	예. 로컬 디바이스 OS는 Windows 11 버전 22H2 이상이어야 합니다.
    macOS에서 Windows App	모두	예	예
    iOS/iPadOS의 Windows App	11.0.8	예	예
    Android에서 Windows App(미리 보기)1	1.0.145	예	예

    ^{1. Intune MAM은 Chrome OS에서 지원되지 않으므로 Chrome OS에 대한 지원을 포함하지 않습니다.}

  • 원격 데스크톱 클라이언트:

    플랫폼	최소 버전	데스크톱 세션	RemoteApp 세션
    Windows(데스크톱 클라이언트)	1.2.1672	예	예. 로컬 디바이스 OS는 Windows 11 버전 22H2 이상이어야 합니다.
    Windows(Azure Virtual Desktop 스토어 앱)	모두	예	예. 로컬 디바이스 OS는 Windows 11 버전 22H2 이상이어야 합니다.
    macOS	10.7.0 이상	예	예

• Microsoft Intune 구성하려면 다음이 필요합니다.

  • 정책 및 프로필 관리자 기본 제공 RBAC 역할이 할당된 Microsoft Entra ID 계정입니다.

  • 구성하려는 디바이스가 포함된 그룹입니다.

• 그룹 정책 구성하려면 다음이 필요합니다.

  • 도메인 관리자 보안 그룹의 구성원인 도메인 계정입니다.

  • 구성하려는 디바이스를 포함하는 보안 그룹 또는 OU(조직 구성 단위)입니다.

Intune 디바이스 구성 정책 또는 그룹 정책 사용하여 세션 호스트에서 화면 캡처 보호 사용

시나리오에 대한 관련 탭을 선택합니다.

Microsoft Intune

Microsoft Intune 사용하여 세션 호스트에서 화면 캡처 보호를 구성하려면 다음을 수행합니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 설정 카탈로그 프로필 유형을 사용하여 Windows 10 이상 디바이스에 대한 구성 프로필을 만들거나 편집합니다.

3. 설정 선택기에서 관리 템플릿>Windows 구성 요소>원격 데스크톱 서비스>원격 데스크톱 세션 호스트>Azure Virtual Desktop으로 이동합니다.

   

4. 화면 캡처 보호 사용 확인란을 선택한 다음 설정 선택기를 닫습니다.

5. 관리 템플릿 범주를 확장한 다음 화면 캡처 보호 사용 스위치를 사용으로 전환합니다.

   

6. 클라이언트에서 화면 캡처 차단을 위해 화면 캡처 보호 옵션(디바이스)의 스위치를 해제하거나 요구 사항에 따라 클라이언트 및 서버에서 화면 캡처 차단을 켜기로 전환한 다음 확인을 선택합니다.

7. 다음을 선택합니다.

8. 선택 사항: 범위 태그 탭에서 scope 태그를 선택하여 프로필을 필터링합니다. 범위 태그에 대한 자세한 내용은 역할 기반 액세스 컨트롤(RBAC) 및 배포된 IT의 범위 태그 사용을 참조하세요.

9. 할당 탭에서 구성하려는 원격 세션을 제공하는 컴퓨터가 포함된 그룹을 선택한 다음, 다음을 선택합니다.

10. 검토 + 만들기 탭에서 설정을 검토한 다음 만들기를 선택합니다.

11. 정책이 원격 세션을 제공하는 컴퓨터에 적용되면 설정이 적용되도록 다시 시작합니다.

그룹 정책

Active Directory 도메인에서 그룹 정책 사용하여 세션 호스트에서 화면 캡처 보호를 구성하려면 다음을 수행합니다.

1. 단계에 따라 Azure Virtual Desktop에 대한 관리 템플릿을 그룹 정책 사용할 수 있도록 합니다.

2. Active Directory 도메인을 관리하는 데 사용하는 디바이스에서 그룹 정책 관리 콘솔을 엽니다.

3. 구성하려는 원격 세션을 제공하는 컴퓨터를 대상으로 하는 정책을 만들거나 편집합니다.

4. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>원격 데스크톱 서비스>원격 데스크톱 세션 호스트>Azure Virtual Desktop으로 이동합니다.

   

5. 화면 캡처 보호 사용 정책 설정을 두 번 클릭하여 연 다음 사용을 선택합니다.

   

6. 드롭다운 메뉴에서 클라이언트의 화면 캡처 차단 또는 요구 사항에 따라 클라이언트 및 서버에서 화면 캡처 차단에서 사용할 화면 캡처 보호 시나리오를 선택한 다음 확인을 선택합니다.

7. 원격 세션을 제공하는 컴퓨터에 정책이 적용되었는지 확인하고 설정이 적용되도록 다시 시작합니다.

Intune MAM을 사용하여 로컬 디바이스에서 화면 캡처 보호 사용

Windows App 실행하는 iOS/iPadOS 및 Android 디바이스에서 화면 캡처 보호를 사용하려면 Intune 앱 보호 정책을 구성해야 합니다.

iOS/iPadOS 및 Android 디바이스에서 화면 캡처 보호를 사용하도록 Intune 앱 보호 정책을 구성하려면 다음을 수행합니다.

1. Microsoft Intune 및 Microsoft Entra 조건부 액세스를 사용하여 로컬 클라이언트 디바이스 보안 준수 요구 단계를 수행합니다. 로컬 클라이언트 디바이스 보안 준수는 Windows App 실행하는 iOS/iPadOS 및 Android 디바이스에서 화면 캡처 보호를 구성하는 기반을 제공합니다.

2. 앱 보호 정책을 구성할 때 데이터 보호 탭에서 플랫폼에 따라 다음 설정을 구성합니다.

   1. iOS/iPadOS의 경우 조직 데이터를 다른 앱으로 보내기를없음으로 설정합니다.

   2. Android의 경우 화면 캡처 및 Google 길잡이 를 차단으로 설정합니다.

3. 요구 사항에 따라 다른 설정을 구성하고 앱 보호 정책을 사용자 및 디바이스로 대상으로 지정합니다.

화면 캡처 보호 확인

화면 캡처 보호가 작동하는지 확인하려면 다음을 수행합니다.

1. 지원되는 클라이언트를 사용하여 새 원격 세션에 연결합니다. 기존 세션에 다시 연결하지 마세요. 변경 내용을 적용하려면 기존 세션에서 로그아웃하고 다시 로그인해야 합니다.

2. 로컬 디바이스에서 스크린샷을 찍거나 Teams 통화 또는 모임에서 화면을 공유합니다. 콘텐츠가 차단되거나 숨겨집니다.

3. Windows 및 macOS 디바이스에서 세션 호스트 의 클라이언트 및 서버에서 화면 캡처 차단 을 사용하도록 설정한 경우 세션 호스트 내의 도구 또는 서비스를 사용하여 화면을 캡처해 보세요. 콘텐츠가 차단되거나 숨겨집니다.

세션 호스트에서 화면 캡처 보호를 사용하도록 설정하는 경우 지원되는 디바이스에서 연결해야 합니다. 그렇지 않으면 화면 캡처 보호가 사용하도록 설정되어 있음을 나타내는 오류 메시지가 표시됩니다. 오류 메시지는 다음 스크린샷과 유사합니다.

• 웹 브라우저:

  

• iOS/iPadOS:

  

관련 콘텐츠

• 관리자가 QR 코드를 사용하여 세션을 추적할 수 있는 워터마킹을 사용하도록 설정합니다.

• 보안 모범 사례에서 Azure Virtual Desktop 배포를 보호하는 방법에 대해 알아봅니다.