Znakowanie wodne w usłudze Azure Virtual Desktop

Znakowanie wodne, obok ochrony przechwytywania ekranu, pomaga zapobiegać przechwytywaniu poufnych informacji w punktach końcowych klienta. Po włączeniu znaku wodnego znaki wodne kodu QR są wyświetlane jako część pulpitów zdalnych. Kod QR zawiera identyfikator Połączenie ion lub identyfikator urządzenia sesji zdalnej, za pomocą którego administratorzy mogą śledzić sesję. Znakowanie wodne jest konfigurowane na hostach sesji przy użyciu usługi Microsoft Intune lub zasad grupy i wymuszane przez aplikację systemu Windows lub klienta pulpitu zdalnego.

Oto zrzut ekranu pokazujący, jak wygląda znak wodny po włączeniu:

Ważne

• Po włączeniu znaku wodnego na hoście sesji tylko klienci, którzy obsługują znak wodny, mogą łączyć się z tym hostem sesji. Jeśli spróbujesz nawiązać połączenie z nieobsługiwanego klienta, połączenie zakończy się niepowodzeniem i zostanie wyświetlony komunikat o błędzie, który nie jest określony.

• Znak wodny dotyczy tylko pulpitów zdalnych. W przypadku usługi RemoteApp znak wodny nie jest stosowany i połączenie jest dozwolone.

• Jeśli łączysz się bezpośrednio z hostem sesji (nie za pośrednictwem usługi Azure Virtual Desktop) przy użyciu aplikacji pulpitu zdalnego Połączenie ion (mstsc.exe), znak wodny nie jest stosowany i połączenie jest dozwolone.

Wymagania wstępne

Przed użyciem znaku wodnego potrzebne będą następujące elementy:

• Istniejąca pula hostów z hostami sesji.

• Konto Microsoft Entra ID, które jest przypisane wbudowane role kontroli dostępu opartej na rolach (RBAC) w puli hostów wirtualizacji pulpitu jako co najmniej.

• Klient obsługujący znak wodny. Następujący klienci obsługują znak wodny:

  • Klient pulpitu zdalnego dla:

    • Windows Desktop, wersja 1.2.3317 lub nowsza, w systemie Windows 10 lub nowszym.
    • Przeglądarka sieci Web.
    • macOS, wersja 10.9.5 lub nowsza.
    • System iOS/iPadOS w wersji 10.5.4 lub nowszej.

  • Aplikacja systemu Windows dla:

    • Windows
    • macOS
    • Przeglądarka sieci Web

• Usługa Azure Virtual Desktop Szczegółowe informacje skonfigurowana dla danego środowiska.

• Jeśli zarządzasz hostami sesji za pomocą usługi Microsoft Intune, potrzebne są następujące elementy:

  • Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilu.

  • Grupa zawierająca urządzenia, które chcesz skonfigurować.

• Jeśli zarządzasz hostami sesji przy użyciu zasad grupy w domenie usługi Active Directory, potrzebne są następujące elementy:

  • Konto domeny, które jest członkiem grupy zabezpieczeń Administracja domeny.

  • Grupa zabezpieczeń lub jednostka organizacyjna zawierająca hosty sesji, które chcesz skonfigurować.

Włącz znak wodny

Wybierz odpowiednią kartę dla danego scenariusza.

Microsoft Intune

Aby włączyć znak wodny przy użyciu usługi Microsoft Intune:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu katalogu Ustawienia.

3. W selektorze ustawień przejdź do szablonów>Administracja istracyjnych Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego Host>pulpitu wirtualnego platformy Azure.

   

4. Zaznacz pole wyboru Włącz znak wodny, a następnie zamknij selektor ustawień.

   Ważne

   Nie wybieraj opcji [Przestarzałe] Włącz znak wodny, ponieważ to ustawienie nie zawiera opcji określania osadzonej zawartości kodu QR.

5. Rozwiń kategorię szablonów Administracja istracyjnych, a następnie przełącz przełącznik Włącz znak wodny na włączone.

   

6. Możesz skonfigurować poniższe opcje:

   Opcja	Wartości	opis
   Współczynnik skalowania mapy bitowej kodu QR	Od 1 do 10 (ustawienie domyślne = 4)	Rozmiar w pikselach każdej kropki kodu QR. Ta wartość określa liczbę kwadratów na kropkę w kodzie QR.
   Nieprzezroczystość mapy bitowej kodu QR	Od 100 do 9999 (wartość domyślna = 2000)	Jak przezroczysty jest znak wodny, gdzie 100 jest w pełni przezroczyste.
   Szerokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (ustawienie domyślne = 320)	Określa odległość między kodami QR w procentach. W połączeniu ze wzrostem wartość 100 spowoduje wyświetlenie kodów QR obok siebie i wypełnienie całego ekranu.
   Wysokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 180)	Określa odległość między kodami QR w procentach. W połączeniu z szerokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełniają cały ekran.
   Zawartość osadzona w kodzie QR	identyfikator Połączenie ion (wartość domyślna) Identyfikator urządzenia	Określ, czy identyfikator Połączenie ion lub identyfikator urządzenia powinny być używane w kodzie QR. Wybierz pozycję Identyfikator urządzenia z hostami sesji, które znajdują się w osobistej puli hostów i dołączone do identyfikatora Entra firmy Microsoft lub przyłączonego hybrydowego microsoft Entra.

   Napiwek

   Zalecamy wypróbowanie różnych wartości nieprzezroczystości, aby znaleźć równowagę między czytelnością sesji zdalnej i możliwość skanowania kodu QR, ale zachowanie wartości domyślnych dla innych parametrów.

7. Wybierz Dalej.

8. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (

9. Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.

10. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

11. Zsynchronizuj hosty sesji z usługą Intune , aby ustawienia zaczęły obowiązywać.

Zasady grupy

Aby włączyć znak wodny przy użyciu zasad grupy:

1. Wykonaj kroki, aby udostępnić szablon Administracja istracyjny dla usługi Azure Virtual Desktop.

2. Otwórz konsolę zarządzania zasadami grupy na urządzeniu używanym do zarządzania domeną usługi Active Directory, a następnie utwórz lub edytuj zasady przeznaczone dla komputerów dostarczających sesję zdalną, którą chcesz skonfigurować.

3. Przejdź do obszaru Zasady> konfiguracji>komputera Administracja istracyjne szablony>Składniki systemu Windows Usług>pulpitu zdalnego Sesja usług pulpitu>zdalnego hostem>usługi Azure Virtual Desktop.

4. Otwórz ustawienie zasad Włącz znak wodny i ustaw je na Włączone.

   

5. Możesz skonfigurować poniższe opcje:

   Opcja	Wartości	opis
   Współczynnik skalowania mapy bitowej kodu QR	Od 1 do 10 (ustawienie domyślne = 4)	Rozmiar w pikselach każdej kropki kodu QR. Ta wartość określa liczbę kwadratów na kropkę w kodzie QR.
   Nieprzezroczystość mapy bitowej kodu QR	Od 100 do 9999 (wartość domyślna = 2000)	Jak przezroczysty jest znak wodny, gdzie 100 jest w pełni przezroczyste i 9999 jest w pełni nieprzezroczyste.
   Szerokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (ustawienie domyślne = 320)	Określa odległość między kodami QR w procentach. W połączeniu ze wzrostem wartość 100 spowoduje wyświetlenie kodów QR obok siebie i wypełnienie całego ekranu.
   Wysokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 180)	Określa odległość między kodami QR w procentach. W połączeniu z szerokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełniają cały ekran.
   Zawartość osadzona w kodzie QR	identyfikator Połączenie ion (wartość domyślna) Identyfikator urządzenia	Określ, czy identyfikator Połączenie ion lub identyfikator urządzenia powinny być używane w kodzie QR. Wybierz pozycję Identyfikator urządzenia z hostami sesji, które znajdują się w osobistej puli hostów i dołączone do identyfikatora Entra firmy Microsoft lub przyłączonego hybrydowego microsoft Entra.

   Napiwek

   Zalecamy wypróbowanie różnych wartości nieprzezroczystości, aby znaleźć równowagę między czytelnością sesji zdalnej i możliwość skanowania kodu QR, ale zachowanie wartości domyślnych dla innych parametrów.

6. Upewnij się, że zasady są stosowane do hostów sesji, a następnie odśwież zasady grupy na hostach sesji lub uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

7. Połączenie do sesji zdalnej z obsługiwanym klientem, gdzie powinny zostać wyświetlone kody QR. Wszystkie istniejące sesje będą musiały się wylogować i ponownie ponownie, aby zmiany zaczęły obowiązywać.

Znajdowanie informacji o sesji

Po włączeniu znaku wodnego możesz znaleźć informacje o sesji z kodu QR przy użyciu usługi Azure Virtual Desktop Szczegółowe informacje lub wykonywania zapytań względem usługi Azure Monitor Log Analytics.

Szczegółowe informacje usługi Azure Virtual Desktop

Aby dowiedzieć się więcej o sesji z kodu QR przy użyciu usługi Azure Virtual Desktop Szczegółowe informacje:

1. Otwórz przeglądarkę internetową i przejdź do witryny , aby https://aka.ms/avdi otworzyć Szczegółowe informacje usługi Azure Virtual Desktop. Po wyświetleniu monitu zaloguj się przy użyciu poświadczeń platformy Azure.

2. Wybierz odpowiednią subskrypcję, grupę zasobów, pulę hostów i zakres czasu, a następnie wybierz kartę Diagnostyka Połączenie ion.

3. W sekcji Wskaźnik powodzenia (ponownego) ustanawiania połączenia (% połączeń) znajduje się lista wszystkich połączeń przedstawiających pierwszą próbę, identyfikator Połączenie ion, użytkownika i próby. Możesz wyszukać identyfikator połączenia z kodu QR na tej liście lub wyeksportować go do programu Excel.

Azure Monitor Log Analytics

Aby dowiedzieć się więcej o sesji z kodu QR, wysyłając zapytanie do usługi Azure Monitor Log Analytics:

1. Zaloguj się w witrynie Azure Portal.

2. Na pasku wyszukiwania wpisz obszary robocze usługi Log Analytics i wybierz pasujący wpis usługi.

3. Wybierz, aby otworzyć obszar roboczy usługi Log Analytics połączony ze środowiskiem usługi Azure Virtual Desktop.

4. W obszarze Ogólne wybierz pozycję Dzienniki.

5. Uruchom nowe zapytanie, a następnie uruchom następujące zapytanie, aby uzyskać informacje o sesji dla określonego identyfikatora połączenia (reprezentowanego jako CorrelationId w usłudze Log Analytics), zastępując element <connection ID> pełną lub częściową wartością z kodu QR:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Powiązana zawartość

• Włącz ochronę przed przechwytywaniem ekranu w usłudze Azure Virtual Desktop.