Znakowanie wodne w usłudze Azure Virtual Desktop

Znakowanie wodne, obok ochrony przechwytywania ekranu, pomaga zapobiegać przechwytywaniu poufnych informacji w punktach końcowych klienta. Po włączeniu znaku wodnego znaki wodne kodu QR są wyświetlane jako część pulpitów zdalnych. Kod QR zawiera identyfikator połączenia lub identyfikator urządzenia sesji zdalnej, za pomocą którego administratorzy mogą śledzić sesję. Znakowanie wodne jest konfigurowane na hostach sesji przy użyciu usługi Microsoft Intune lub zasad grupy i wymuszane przez aplikację systemu Windows lub klienta pulpitu zdalnego.

Oto zrzut ekranu pokazujący, jak wygląda znak wodny po włączeniu:

Ważne

• Po włączeniu znaku wodnego na hoście sesji tylko klienci, którzy obsługują znak wodny, mogą łączyć się z tym hostem sesji. Jeśli spróbujesz nawiązać połączenie z nieobsługiwanego klienta, połączenie zakończy się niepowodzeniem i zostanie wyświetlony komunikat o błędzie, który nie jest określony.

• Znak wodny dotyczy tylko pulpitów zdalnych. W przypadku usługi RemoteApp znak wodny nie jest stosowany i połączenie jest dozwolone.

• Jeśli łączysz się bezpośrednio z hostem sesji (nie za pośrednictwem usługi Azure Virtual Desktop) przy użyciu aplikacji Podłączanie pulpitu zdalnego (mstsc.exe), znak wodny nie jest stosowany i połączenie jest dozwolone.

Wymagania wstępne

Przed użyciem znaku wodnego potrzebne będą następujące elementy:

• Istniejąca pula hostów z hostami sesji.

• Konto Microsoft Entra ID, które jest przypisane wbudowane role kontroli dostępu opartej na rolach (RBAC) w puli hostów wirtualizacji pulpitu jako co najmniej.

• Klient obsługujący znak wodny. Następujący klienci obsługują znak wodny:

  • Klient pulpitu zdalnego dla:

    • Windows Desktop, wersja 1.2.3317 lub nowsza, w systemie Windows 10 lub nowszym.
    • Przeglądarka sieci Web.
    • macOS, wersja 10.9.5 lub nowsza.
    • System iOS/iPadOS w wersji 10.5.4 lub nowszej.

  • Aplikacja systemu Windows dla:

    • Windows
    • macOS
    • iOS i iPadOS
    • Przeglądarka sieci Web

• Usługa Azure Virtual Desktop Insights skonfigurowana dla danego środowiska.

• Jeśli zarządzasz hostami sesji za pomocą usługi Microsoft Intune, potrzebne są następujące elementy:

  • Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilu.

  • Grupa zawierająca urządzenia, które chcesz skonfigurować.

• Jeśli zarządzasz hostami sesji przy użyciu zasad grupy w domenie usługi Active Directory, potrzebne są następujące elementy:

  • Konto domeny, które jest członkiem grupy zabezpieczeń Administratorzy domeny.

  • Grupa zabezpieczeń lub jednostka organizacyjna zawierająca hosty sesji, które chcesz skonfigurować.

Włącz znak wodny

Wybierz odpowiednią kartę dla danego scenariusza.

Microsoft Intune

Aby włączyć znak wodny przy użyciu usługi Microsoft Intune:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.

3. W selektorze ustawień przejdź do pozycji Szablony>administracyjne Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego Host>usługi Azure Virtual Desktop.

   

4. Zaznacz pole wyboru Włącz znak wodny, a następnie zamknij selektor ustawień.

   Ważne

   Nie wybieraj opcji [Przestarzałe] Włącz znak wodny, ponieważ to ustawienie nie zawiera opcji określania osadzonej zawartości kodu QR.

5. Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik Włącz znak wodny na Włączone.

   

6. Możesz skonfigurować poniższe opcje:

   Opcja	Wartości	opis
   Współczynnik skalowania mapy bitowej kodu QR	Od 1 do 10 (ustawienie domyślne = 4)	Rozmiar w pikselach każdej kropki kodu QR. Ta wartość określa liczbę kwadratów na kropkę w kodzie QR.
   Nieprzezroczystość mapy bitowej kodu QR	Od 100 do 9999 (wartość domyślna = 2000)	Jak przezroczysty jest znak wodny, gdzie 100 jest w pełni przezroczyste.
   Szerokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (ustawienie domyślne = 320)	Określa odległość między kodami QR w procentach. W połączeniu ze wzrostem wartość 100 spowoduje wyświetlenie kodów QR obok siebie i wypełnienie całego ekranu.
   Wysokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 180)	Określa odległość między kodami QR w procentach. W połączeniu z szerokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełniają cały ekran.
   Zawartość osadzona w kodzie QR	Identyfikator połączenia (wartość domyślna) Identyfikator urządzenia	Określ, czy identyfikator połączenia lub identyfikator urządzenia powinny być używane w kodzie QR. Wybierz pozycję Identyfikator urządzenia z hostami sesji, które znajdują się w osobistej puli hostów i dołączone do identyfikatora Entra firmy Microsoft lub przyłączonego hybrydowego microsoft Entra.

   Napiwek

   Zalecamy wypróbowanie różnych wartości nieprzezroczystości, aby znaleźć równowagę między czytelnością sesji zdalnej i możliwość skanowania kodu QR, ale zachowanie wartości domyślnych dla innych parametrów.

7. Wybierz Dalej.

8. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (

9. Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.

10. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

11. Zsynchronizuj hosty sesji z usługą Intune , aby ustawienia zaczęły obowiązywać.

Zasady grupy

Aby włączyć znak wodny przy użyciu zasad grupy:

1. Wykonaj kroki, aby udostępnić szablon administracyjny usługi Azure Virtual Desktop w zasadach grupy.

2. Otwórz konsolę zarządzania zasadami grupy na urządzeniu używanym do zarządzania domeną usługi Active Directory, a następnie utwórz lub edytuj zasady przeznaczone dla komputerów dostarczających sesję zdalną, którą chcesz skonfigurować.

3. Przejdź do obszaru Zasady>konfiguracji>komputera Szablony>administracyjne Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego hosta>usługi Azure Virtual Desktop.

4. Otwórz ustawienie zasad Włącz znak wodny i ustaw je na Włączone.

   

5. Możesz skonfigurować poniższe opcje:

   Opcja	Wartości	opis
   Współczynnik skalowania mapy bitowej kodu QR	Od 1 do 10 (ustawienie domyślne = 4)	Rozmiar w pikselach każdej kropki kodu QR. Ta wartość określa liczbę kwadratów na kropkę w kodzie QR.
   Nieprzezroczystość mapy bitowej kodu QR	Od 100 do 9999 (wartość domyślna = 2000)	Jak przezroczysty jest znak wodny, gdzie 100 jest w pełni przezroczyste i 9999 jest w pełni nieprzezroczyste.
   Szerokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (ustawienie domyślne = 320)	Określa odległość między kodami QR w procentach. W połączeniu ze wzrostem wartość 100 spowoduje wyświetlenie kodów QR obok siebie i wypełnienie całego ekranu.
   Wysokość pola siatki w procentach istotna dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 180)	Określa odległość między kodami QR w procentach. W połączeniu z szerokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełniają cały ekran.
   Zawartość osadzona w kodzie QR	Identyfikator połączenia (wartość domyślna) Identyfikator urządzenia	Określ, czy identyfikator połączenia lub identyfikator urządzenia powinny być używane w kodzie QR. Wybierz pozycję Identyfikator urządzenia z hostami sesji, które znajdują się w osobistej puli hostów i dołączone do identyfikatora Entra firmy Microsoft lub przyłączonego hybrydowego microsoft Entra.

   Napiwek

   Zalecamy wypróbowanie różnych wartości nieprzezroczystości, aby znaleźć równowagę między czytelnością sesji zdalnej i możliwość skanowania kodu QR, ale zachowanie wartości domyślnych dla innych parametrów.

6. Upewnij się, że zasady są stosowane do hostów sesji, a następnie odśwież zasady grupy na hostach sesji lub uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

7. Nawiąż połączenie z sesją zdalną z obsługiwanym klientem, gdzie powinny zostać wyświetlone kody QR. Wszystkie istniejące sesje będą musiały się wylogować i ponownie ponownie, aby zmiany zaczęły obowiązywać.

Znajdowanie informacji o sesji

Po włączeniu znaku wodnego możesz znaleźć informacje o sesji z kodu QR przy użyciu usługi Azure Virtual Desktop Insights lub wykonywania zapytań względem usługi Azure Monitor Log Analytics.

Azure Virtual Desktop Insights

Aby dowiedzieć się więcej o sesji z kodu QR przy użyciu usługi Azure Virtual Desktop Insights:

1. Otwórz przeglądarkę internetową i przejdź do https://aka.ms/avdi witryny , aby otworzyć usługę Azure Virtual Desktop Insights. Po wyświetleniu monitu zaloguj się przy użyciu poświadczeń platformy Azure.

2. Wybierz odpowiednią subskrypcję, grupę zasobów, pulę hostów i zakres czasu, a następnie wybierz kartę Diagnostyka połączenia.

3. W sekcji Wskaźnik powodzenia (re)ustanawiania połączenia (% połączeń) znajduje się lista wszystkich połączeń z wyświetloną pierwszą próbą, identyfikatorem połączenia, użytkownikiem i próbami. Możesz wyszukać identyfikator połączenia z kodu QR na tej liście lub wyeksportować go do programu Excel.

Azure Monitor Log Analytics

Aby dowiedzieć się więcej o sesji z kodu QR, wysyłając zapytanie do usługi Azure Monitor Log Analytics:

1. Zaloguj się w witrynie Azure Portal.

2. Na pasku wyszukiwania wpisz obszary robocze usługi Log Analytics i wybierz pasujący wpis usługi.

3. Wybierz, aby otworzyć obszar roboczy usługi Log Analytics połączony ze środowiskiem usługi Azure Virtual Desktop.

4. W obszarze Ogólne wybierz pozycję Dzienniki.

5. Uruchom nowe zapytanie, a następnie uruchom następujące zapytanie, aby uzyskać informacje o sesji dla określonego identyfikatora połączenia (reprezentowanego jako CorrelationId w usłudze Log Analytics), zastępując element <connection ID> pełną lub częściową wartością z kodu QR:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Powiązana zawartość

• Włącz ochronę przed przechwytywaniem ekranu w usłudze Azure Virtual Desktop.