Udostępnij za pośrednictwem

Włączanie ochrony przechwytywania ekranu w usłudze Azure Virtual Desktop

  • Artykuł

Ochrona przechwytywania ekranu, obok znaku wodnego, pomaga zapobiegać przechwytywaniu poufnych informacji w punktach końcowych klienta za pośrednictwem określonego zestawu funkcji systemu operacyjnego i interfejsów programowania aplikacji (API). Po włączeniu ochrony przed przechwytywaniem ekranu zawartość zdalna jest automatycznie blokowana na zrzutach ekranu i udostępnianiu ekranu.

Istnieją dwa obsługiwane scenariusze ochrony przechwytywania ekranu, w zależności od używanej wersji systemu Windows:

  • Blokuj przechwytywanie ekranu na kliencie: host sesji instruuje obsługiwanego klienta pulpitu zdalnego, aby włączyć ochronę przechwytywania ekranu dla sesji zdalnej. Zapobiega to przechwytywaniu ekranu od klienta aplikacji uruchomionych w sesji zdalnej.

  • Blokuj przechwytywanie ekranu na kliencie i serwerze: host sesji instruuje obsługiwanego klienta pulpitu zdalnego, aby włączyć ochronę przechwytywania ekranu dla sesji zdalnej. Zapobiega to przechwytywaniu ekranu od klienta aplikacji uruchomionych w sesji zdalnej, ale także uniemożliwia przechwytywanie ekranu narzędzi i usług w ramach hosta sesji.

Po włączeniu ochrony przed przechwytywaniem ekranu użytkownicy nie mogą udostępniać okna pulpitu zdalnego przy użyciu lokalnego oprogramowania do współpracy, takiego jak Microsoft Teams. W usłudze Teams ani lokalna aplikacja Teams ani usługa Teams z optymalizacją multimediów nie może udostępniać chronionej zawartości.

Napiwek

  • Aby zwiększyć bezpieczeństwo poufnych informacji, należy również wyłączyć schowek, dysk i przekierowanie drukarki. Wyłączenie przekierowania pomaga uniemożliwić użytkownikom kopiowanie zawartości z sesji zdalnej. Aby dowiedzieć się więcej o obsługiwanych wartościach przekierowania, zobacz Przekierowywanie urządzenia.

  • Aby zniechęcić do innych metod przechwytywania ekranu, takich jak robienie zdjęcia ekranu z aparatem fizycznym, można włączyć znak wodny, gdzie administratorzy mogą używać kodu QR do śledzenia sesji.

Wymagania wstępne

  • Hosty sesji muszą mieć uruchomioną jedną z następujących wersji systemu Windows w celu korzystania z ochrony przed przechwytywaniem ekranu:

    • Blokuj przechwytywanie ekranu na kliencie jest dostępne w obsługiwanej wersji systemu Windows 10 lub Windows 11.
    • Blokuj przechwytywanie ekranu na kliencie i serwerze jest dostępne od systemu Windows 11 w wersji 22H2.

  • Użytkownicy muszą łączyć się z usługą Azure Virtual Desktop przy użyciu jednego z następujących klientów pulpitu zdalnego, aby korzystać z ochrony przechwytywania ekranu. Jeśli użytkownik spróbuje nawiązać połączenie z innym klientem lub inną wersją, połączenie zostanie odrzucone i zostanie wyświetlony komunikat o błędzie z kodem 0x1151.

    Klient Wersja klienta Sesja klasyczna Sesja usługi RemoteApp
    Klient pulpitu zdalnego dla systemu Windows 1.2.1672 lub nowsza Tak Tak. System operacyjny urządzenia klienckiego musi być systemem Windows 11 w wersji 22H2 lub nowszej.
    Aplikacja ze sklepu Azure Virtual Desktop Store Dowolne Tak Tak. System operacyjny urządzenia klienckiego musi być systemem Windows 11 w wersji 22H2 lub nowszej.
    Klient pulpitu zdalnego dla systemu macOS 10.7.0 lub nowsza Tak Tak

Włączanie ochrony przed przechwytywaniem ekranu

Ochrona przechwytywania ekranu jest konfigurowana na hostach sesji i wymuszana przez klienta. Ustawienia można skonfigurować przy użyciu usługi Intune lub zasad grupy.

Aby skonfigurować ochronę przed przechwytywaniem ekranu:

  1. Wykonaj kroki, aby udostępnić szablon Administracja istracyjny dla usługi Azure Virtual Desktop.

  2. Po sprawdzeniu, czy szablon administracyjny jest dostępny, otwórz ustawienie zasad Włącz ochronę przechwytywania ekranu i ustaw go na Wartość Włączone.

  3. Z menu rozwijanego wybierz scenariusz ochrony przechwytywania ekranu, którego chcesz użyć z blokuj przechwytywanie ekranu na kliencie lub blokuj przechwytywanie ekranu na kliencie i serwerze.

  4. Zastosuj ustawienia zasad do hostów sesji, uruchamiając aktualizację zasad grupy lub synchronizację urządzeń usługi Intune.

  5. Połączenie do sesji zdalnej z obsługiwanym klientem i ochroną przechwytywania ekranu testowego działa, wykonując zrzut ekranu lub udostępniając ekran. Zawartość powinna być zablokowana lub ukryta. Wszystkie istniejące sesje będą musiały się wylogować i ponownie ponownie, aby zmiany zaczęły obowiązywać.

Następne kroki

Dowiedz się, jak zabezpieczyć wdrożenie usługi Azure Virtual Desktop, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń.