Włączanie ochrony przechwytywania ekranu w usłudze Azure Virtual Desktop
Ochrona przechwytywania ekranu, obok znaku wodnego, pomaga zapobiegać przechwytywaniu poufnych informacji w punktach końcowych klienta za pośrednictwem określonego zestawu funkcji systemu operacyjnego i interfejsów programowania aplikacji (API). Po włączeniu ochrony przed przechwytywaniem ekranu zawartość zdalna jest automatycznie blokowana na zrzutach ekranu i udostępnianiu ekranu. Ochronę przechwytywania ekranu można skonfigurować przy użyciu usługi Microsoft Intune lub zasad grupy na hostach sesji.
Istnieją dwa obsługiwane scenariusze ochrony przechwytywania ekranu, w zależności od używanej wersji systemu Windows:
Blokuj przechwytywanie ekranu na kliencie: host sesji instruuje obsługiwanego klienta pulpitu zdalnego, aby włączyć ochronę przechwytywania ekranu dla sesji zdalnej. Ta opcja uniemożliwia przechwytywanie ekranu od klienta aplikacji uruchomionych w sesji zdalnej.
Blokuj przechwytywanie ekranu na kliencie i serwerze: host sesji instruuje obsługiwanego klienta pulpitu zdalnego, aby włączyć ochronę przechwytywania ekranu dla sesji zdalnej. Ta opcja uniemożliwia przechwytywanie ekranu od klienta aplikacji uruchomionych w sesji zdalnej, ale także uniemożliwia przechwytywanie ekranu narzędzi i usług w ramach hosta sesji.
Po włączeniu ochrony przed przechwytywaniem ekranu użytkownicy nie mogą udostępniać okna pulpitu zdalnego przy użyciu lokalnego oprogramowania do współpracy, takiego jak Microsoft Teams. W usłudze Teams ani lokalna aplikacja Teams ani usługa Teams z optymalizacją multimediów nie może udostępniać chronionej zawartości.
Napiwek
Aby zwiększyć bezpieczeństwo poufnych informacji, należy również wyłączyć schowek, dysk i przekierowanie drukarki. Wyłączenie przekierowania pomaga uniemożliwić użytkownikom kopiowanie zawartości z sesji zdalnej. Aby dowiedzieć się więcej o obsługiwanych wartościach przekierowania, zobacz Przekierowywanie urządzenia.
Aby zniechęcić do innych metod przechwytywania ekranu, takich jak robienie zdjęcia ekranu z aparatem fizycznym, można włączyć znak wodny, gdzie administratorzy mogą używać kodu QR do śledzenia sesji.
Wymagania wstępne
Hosty sesji muszą mieć uruchomioną jedną z następujących wersji systemu Windows w celu korzystania z ochrony przed przechwytywaniem ekranu:
- Blokuj przechwytywanie ekranu na kliencie jest dostępne w obsługiwanej wersji systemu Windows 10 lub Windows 11.
- Blokuj przechwytywanie ekranu na kliencie i serwerze jest dostępne od systemu Windows 11 w wersji 22H2.
Użytkownicy muszą łączyć się z usługą Azure Virtual Desktop przy użyciu aplikacji systemu Windows lub aplikacji pulpitu zdalnego w celu korzystania z ochrony przechwytywania ekranu. W poniższej tabeli przedstawiono obsługiwane scenariusze. Jeśli użytkownik spróbuje nawiązać połączenie z inną aplikacją lub wersją, połączenie zostanie odrzucone i zostanie wyświetlony komunikat o błędzie z kodem
0x1151
.Aplikacja Wersja Sesja klasyczna Sesja usługi RemoteApp Aplikacja systemu Windows w systemie Windows Dowolne Tak Tak. System operacyjny urządzenia klienckiego musi być systemem Windows 11 w wersji 22H2 lub nowszej. Klient pulpitu zdalnego w systemie Windows 1.2.1672 lub nowsza Tak Tak. System operacyjny urządzenia klienckiego musi być systemem Windows 11 w wersji 22H2 lub nowszej. Aplikacja ze sklepu Azure Virtual Desktop Store Dowolne Tak Tak. System operacyjny urządzenia klienckiego musi być systemem Windows 11 w wersji 22H2 lub nowszej. Aplikacja systemu Windows w systemie macOS Dowolne Tak Tak Klient pulpitu zdalnego w systemie macOS 10.7.0 lub nowsza Tak Tak Do skonfigurowania usługi Microsoft Intune potrzebne są następujące elementy:
Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilu.
Grupa zawierająca urządzenia, które chcesz skonfigurować.
Aby skonfigurować zasady grupy, potrzebne są następujące elementy:
Konto domeny, które jest członkiem grupy zabezpieczeń Administratorzy domeny.
Grupa zabezpieczeń lub jednostka organizacyjna zawierająca urządzenia, które chcesz skonfigurować.
Włączanie ochrony przed przechwytywaniem ekranu
Ochrona przechwytywania ekranu jest konfigurowana na hostach sesji i wymuszana przez klienta. Wybierz odpowiednią kartę dla danego scenariusza.
Aby skonfigurować ochronę przed przechwytywaniem ekranu przy użyciu usługi Microsoft Intune:
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.
W selektorze ustawień przejdź do pozycji Szablony>administracyjne Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego Host>usługi Azure Virtual Desktop.
Zaznacz pole wyboru Włącz ochronę przechwytywania ekranu, a następnie zamknij selektor ustawień.
Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik włącz ochronę przed przechwytywaniem ekranu na wartość Włączone.
Przełącz przełącznik opcji ochrony przechwytywania ekranu (urządzenie) na wyłączony dla opcji Blokuj przechwytywanie ekranu na kliencie lub w obszarze Blokuj przechwytywanie ekranu na kliencie i serwerze zgodnie z wymaganiami, a następnie wybierz przycisk OK.
Wybierz Dalej.
Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (
Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.
Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.
Gdy zasady zostaną zastosowane do komputerów dostarczających sesję zdalną, uruchom je ponownie, aby ustawienia zaczęły obowiązywać.
Weryfikowanie ochrony przed przechwytywaniem ekranu
Aby sprawdzić, czy ochrona przed przechwytywaniem ekranu działa:
Nawiąż połączenie z sesją zdalną z obsługiwanym klientem.
Wykonaj zrzut ekranu lub udostępnij swój ekran w rozmowie lub spotkaniu usługi Teams. Zawartość powinna być zablokowana lub ukryta. Wszystkie istniejące sesje muszą się wylogować i ponownie ponownie, aby zmiany zaczęły obowiązywać.
Powiązana zawartość
Włącz znak wodny, gdzie administratorzy mogą używać kodu QR do śledzenia sesji.
Dowiedz się, jak zabezpieczyć wdrożenie usługi Azure Virtual Desktop, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń.