Schermopnamebeveiliging inschakelen in Azure Virtual Desktop

Bescherming tegen schermopname, naast watermerken, helpt voorkomen dat gevoelige gegevens worden vastgelegd op clientapparaten met behulp van specifieke besturingssysteemfuncties en API's. Wanneer u schermopnamebeveiliging inschakelt, wordt externe inhoud automatisch geblokkeerd in schermopnamen en het delen van het scherm.

Wanneer schermopnamebeveiliging is ingeschakeld, kunnen gebruikers hun externe venster niet delen met behulp van lokale samenwerkingssoftware, zoals Microsoft Teams. Met Teams kan de lokale Teams-app of het gebruik van Teams met mediaoptimalisatie geen beveiligde inhoud delen.

Tip

• Als u de beveiliging van uw gevoelige informatie wilt verbeteren, moet u ook klembord, station en printeromleiding uitschakelen. Als u omleiding uitschakelt, voorkomt u dat gebruikers inhoud van de externe sessie kopiëren. Zie Apparaatomleiding voor meer informatie over ondersteunde omleidingswaarden.

• Als u andere methoden voor schermopname wilt ontmoedigen, zoals het maken van een foto van een scherm met een fysieke camera, kunt u watermerken inschakelen, waarbij beheerders een QR-code kunnen gebruiken om de sessie te traceren.

Uw configuratie bepalen

De stappen voor het configureren van schermopnamebeveiliging zijn afhankelijk van waar u deze configureert, van waaruit uw gebruikers verbinding maken en welk scenario u wilt bereiken.

• Windows- en macOS-apparaten: u voorkomt schermopname door sessiehosts te configureren met behulp van een Intune apparaatconfiguratiebeleid of groepsbeleid. Windows App of de Extern bureaublad-client dwingt instellingen voor schermopnamebeveiliging af van een sessiehost zonder verdere configuratie.

  Wanneer u schermopnamebeveiliging configureert op sessiehosts, zijn er nog twee instellingen die u kunt configureren om aan uw vereisten te voldoen:

  • Schermopname op client blokkeren: hiermee voorkomt u schermopname van het lokale apparaat van toepassingen die in de externe sessie worden uitgevoerd.

  • Schermopname op client en server blokkeren: hiermee voorkomt u schermopname van het lokale apparaat van toepassingen die worden uitgevoerd in de externe sessie, maar ook dat hulpprogramma's en services binnen de sessiehost het scherm vastleggen.

  In dit scenario ziet u het resultaat bij het maken van verbinding vanaf elk platformtype:

  Platform	Verbinding toegestaan	Schermopname geblokkeerd
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	N.v.t.
  Android	❌	N.v.t.
  Web	❌	N.v.t.

• iOS-/iPadOS- en Android-apparaten: u voorkomt schermopname door lokale apparaten te configureren met behulp van Microsoft Intune Mobile Application Management (MAM). Het voorkomt niet dat hulpprogramma's en services binnen de sessiehost het scherm vastleggen. Zie Omleidingsinstellingen voor lokale apparaten beheren met Microsoft Intune voor meer informatie.

  In dit scenario ziet u het resultaat bij het maken van verbinding vanaf elk platformtype:

  Platform	Verbinding toegestaan	Schermopname geblokkeerd
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Belangrijk

U moet kiezen welke lokale apparaten u wilt gebruiken met schermopnamebeveiliging op basis van uw vereisten. Er is geen scenario waarin u schermafbeeldingen kunt inschakelen op alle platforms van dezelfde sessiehosts op hetzelfde moment. Als beide zijn geconfigureerd, heeft schermopnamebeveiliging op sessiehosts voorrang boven het gebruik van een Intune MAM-beleid op lokale apparaten.

Platformoverwegingen voor schermopnamebeveiliging in macOS

Hoewel volledig ondersteund in Windows, zijn er bekende beperkingen voor macOS vanwege de huidige beveiligingsarchitectuur van het platform:

• Microsoft Teams-compatibiliteit: in macOS kan het inschakelen van schermopnamebeveiliging het delen van het scherm in Microsoft Teams verstoren, waardoor gedeelde vensters mogelijk leeg worden weergegeven of niet goed worden weergegeven. Als samenwerking op basis van Teams vereist is, moet beveiliging voor schermopname mogelijk tijdelijk worden uitgeschakeld op het apparaat.

• Afdwingen op platformniveau: vanwege macOS-beperkingen respecteren sommige systeemeigen toepassingen mogelijk niet volledig de afdwinging van schermopnamebeveiliging. Dit is een beperking van de beschikbare API's van het besturingssysteem, geen defect in de beveiliging van schermopnamen zelf.

Hier volgen enkele aanbevelingen voor deze beperkingen:

• Voor macOS-werkstromen met veel samenwerking kunt u de instellingen voor schermopnamebeveiliging configureren op basis van bedrijfsbehoefte en risiconiveau.

• Voor zeer gevoelige inhoud worden Windows-eindpunten aanbevolen voor het volledig afdwingen van functies voor schermbeveiliging.

• Watermerken en beheerbeleid kunnen worden gebruikt om misbruik op platforms met beperkte afdwinging verder te ontmoedigen.

Vereisten

Voordat u schermopnamebeveiliging kunt configureren, moet u voldoen aan de volgende vereisten:

• Voor scenario's waarin u sessiehosts moet configureren, moeten deze sessiehosts een Windows 11, versie 22H2 of hoger of Windows 10 versie 22H2 of hoger uitvoeren.

• Gebruikers moeten verbinding maken met Azure Virtual Desktop met Windows App of de app Extern bureaublad om schermopnamebeveiliging te kunnen gebruiken. In de volgende tabel ziet u ondersteunde scenario's:

  • Windows App:

    Platform	Minimumversie	Bureaubladsessie	RemoteApp-sessie
    Windows App in Windows	Alle	Ja	Ja. Het besturingssysteem van het lokale apparaat moet zijn Windows 11 versie 22H2 of hoger.
    Windows App in macOS	Alle	Ja	Ja
    Windows App op iOS/iPadOS	11.0.8	Ja	Ja
    Windows App op Android (preview)¹	1.0.145	Ja	Ja

    ^{1. Biedt geen ondersteuning voor Chrome OS omdat Intune MAM niet wordt ondersteund in Chrome OS.}

  • Extern bureaublad-client:

    Platform	Minimumversie	Bureaubladsessie	RemoteApp-sessie
    Windows (bureaubladclient)	1.2.1672	Ja	Ja. Het besturingssysteem van het lokale apparaat moet zijn Windows 11 versie 22H2 of hoger.
    Windows (Azure Virtual Desktop Store-app)	Alle	Ja	Ja. Het besturingssysteem van het lokale apparaat moet zijn Windows 11 versie 22H2 of hoger.
    macOS	10.7.0 of hoger	Ja	Ja

• Als u Microsoft Intune wilt configureren, hebt u het volgende nodig:

  • Microsoft Entra ID account waaraan de ingebouwde RBAC-rol beleid en profielbeheerder is toegewezen.

  • Een groep met de apparaten die u wilt configureren.

• Als u groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount dat lid is van de beveiligingsgroep Domeinadministrators .

  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

Schermopnamebeveiliging inschakelen op sessiehosts met behulp van een Intune apparaatconfiguratiebeleid of groepsbeleid

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

Schermopnamebeveiliging configureren op sessiehosts met behulp van Microsoft Intune:

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10 en nieuwere apparaten, met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

   

4. Schakel het selectievakje schermopnamebeveiliging inschakelen in en sluit de instellingenkiezer.

5. Vouw de categorie Beheersjablonen uit en zet de schakelaar voor Beveiliging voor schermopname inschakelen op Ingeschakeld.

   

6. Schakel de schakelaar voor Opties voor schermopnamebeveiliging (apparaat)uit voor Schermopname op client blokkeren of aan voor Schermopname op client en server blokkeren op basis van uw vereisten en selecteer vervolgens OK.

7. Selecteer Volgende.

8. Optioneel: selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde ITvoor meer informatie over bereiktags.

9. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

10. Controleer op het tabblad Controleren en maken de instellingen en selecteer vervolgens Maken.

11. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op om de instellingen van kracht te laten worden.

Groepsbeleid

Schermopnamebeveiliging configureren op sessiehosts met behulp van groepsbeleid in een Active Directory-domein:

1. Volg de stappen om de beheersjabloon voor Azure Virtual Desktop beschikbaar te maken in groepsbeleid.

2. Open de groepsbeleid Beheerconsole op een apparaat dat u gebruikt om het Active Directory-domein te beheren.

3. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

4. Navigeer naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

   

5. Dubbelklik op de beleidsinstelling Schermopnamebeveiliging inschakelen om deze te openen en selecteer vervolgens Ingeschakeld.

   

6. Selecteer in de vervolgkeuzelijst het scenario voor schermopnamebeveiliging dat u wilt gebruiken in Schermopname blokkeren op client of Schermopname op client en server blokkeren op basis van uw vereisten en selecteer vervolgens OK.

7. Zorg ervoor dat het beleid wordt toegepast op de computers die een externe sessie bieden en start ze opnieuw op om de instellingen van kracht te laten worden.

Schermopnamebeveiliging inschakelen op lokale apparaten met behulp van Intune MAM

Als u schermopnamebeveiliging wilt gebruiken op iOS-/iPadOS- en Android-apparaten met Windows App, moet u een Intune-app-beveiligingsbeleid configureren.

Een Intune-app-beveiligingsbeleid configureren om schermopnamebeveiliging in te schakelen op iOS-/iPadOS- en Android-apparaten:

1. Volg de stappen voor Naleving van beveiliging van lokale clientapparaten vereisen met Microsoft Intune en Microsoft Entra voorwaardelijke toegang. Naleving van de beveiliging van lokale clientapparaten biedt de basis voor het configureren van schermopnamebeveiliging op iOS-/iPadOS- en Android-apparaten met Windows App.

2. Wanneer u een app-beveiligingsbeleid configureert, configureert u op het tabblad Gegevensbeveiliging de volgende instelling, afhankelijk van het platform:

   1. Voor iOS/iPadOS stelt u Organisatiegegevens naar andere apps verzenden in op Geen.

   2. Stel voor Android Schermopname en Google-assistent in op Blokkeren.

3. Configureer andere instellingen op basis van uw vereisten en richt het app-beveiligingsbeleid op gebruikers en apparaten.

Beveiliging voor schermopname controleren

Ga als volgt te werk om te controleren of de beveiliging van schermopnamen werkt:

1. Maak verbinding met een nieuwe externe sessie met een ondersteunde client. Maak geen verbinding met een bestaande sessie. U moet zich afmelden bij eventuele bestaande sessies en u opnieuw aanmelden om de wijziging van kracht te laten worden.

2. Maak vanaf een lokaal apparaat een schermopname of deel uw scherm in een Teams-gesprek of -vergadering. De inhoud wordt geblokkeerd of verborgen.

3. Als u op Windows- en macOS-apparaten Schermopname blokkeren op client en server op uw sessiehosts hebt ingeschakeld, probeert u het scherm vast te leggen met behulp van een hulpprogramma of service in de sessiehost. De inhoud wordt geblokkeerd of verborgen.

Als u schermopnamebeveiliging inschakelt op sessiehosts, moet u verbinding maken vanaf een ondersteund apparaat. Als u dat niet doet, ziet u een foutbericht waarin wordt aangegeven dat beveiliging voor schermopnamen is ingeschakeld. Het foutbericht ziet er ongeveer als volgt uit:

• Webbrowser:

  

• iOS/iPadOS:

  

Verwante onderwerpen

• Schakel watermerken in, waarbij beheerders een QR-code kunnen gebruiken om de sessie te traceren.

• Meer informatie over het beveiligen van uw Azure Virtual Desktop-implementatie vindt u in Aanbevolen beveiligingsprocedures.