Configurar a direção de transferência da área de transferência e os tipos de dados que podem ser copiados na Área de Trabalho Virtual do Azure

O redirecionamento da área de transferência na Área de Trabalho Virtual do Azure permite que os usuários copiem e colem conteúdo, como texto, imagens e arquivos, entre o dispositivo do usuário e a sessão remota, em qualquer direção. Talvez você queira limitar a direção da área de transferência para os usuários, para ajudar a impedir que a exfiltração de dados ou arquivos mal-intencionados sejam copiados para um host da sessão. Você pode configurar se os usuários podem usar a área de transferência do host da sessão para o cliente ou cliente para o host da sessão, bem como os tipos de dados que podem ser copiados, por meio das seguintes opções:

• Desabilitar as transferências da área de transferência do host da sessão para o cliente, do cliente para o host da sessão ou ambos.
• Permitir apenas texto sem formatação.
• Permitir somente texto sem formatação e imagens.
• Permitir somente texto sem formatação, imagens e formato rich text.
• Permitir somente texto sem formatação, imagens, formato rich text e HTML.

Você aplica configurações aos hosts da sessão. Ele não depende de um cliente específico da Área de Trabalho Remota ou da versão dele. Este artigo mostra como configurar a direção da área de transferência e os tipos de dados que podem ser copiados usando o Microsoft Intune ou Política de Grupo.

Pré-requisitos

Configurar a direção de transferência da área de transferência, você precisa de:

• As propriedades do RDP do pool de hosts devem permitir o redirecionamento da área de transferência, caso contrário, ele será completamente bloqueado.

• Os hosts de sessão devem estar funcionando em um dos seguintes sistemas operacionais:

  • Windows 11 Enterprise ou Enterprise para multissessão, versão 22H2 ou 23H2, com a atualização cumulativa de 2024-06 (KB5039212) ou mais recente instalada.
  • Windows 11 Enterprise ou Enterprise para multissessão, versão 21H2, com a atualização cumulativa de 2024-06 (KB5039213) ou mais recente instalada.
  • Windows Server 2022 com a atualização cumulativa 2024-07 (KB5040437) ou mais recente instalada.

• Dependendo do método usado para configurar a direção de transferência da área de transferência:

  • Para o Intune, você precisa de permissão para definir e aplicar configurações. Para obter mais informações, consulte Modelo administrativo para Área de Trabalho Virtual do Azure.

  • Para configurar a Política de Grupo local ou o registro de hosts de sessão, você precisa de uma conta que seja membro do grupo de Administradores local.

Configurar a direção de transferência da área de transferência

Veja aqui como configurar a direção de transferência da área de transferência e os tipos de dados que podem ser copiados. Selecione a guia relevante ao seu cenário.

Intune

Para configurar a área de transferência usando o Intune, siga estas etapas. Esse processo cria uma política do catálogo de configurações do Intune.

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.

3. No seletor de configurações, navegue até Modelos Administrativos>Componentes do Windows>Serviços de Área de Trabalho Remota>Host de Sessão de Área de Trabalho Remota>Redirecionamento de Dispositivos e Recursos.

   

4. Marque a caixa para as configurações a seguir e lembre-se de selecionar as opções com o escopo adequado para suas necessidades. Em seguida, feche o seletor de configurações. Para determinar qual escopo está correto para seu cenário, confira o Catálogo de configurações: escopo do dispositivo versus configurações de escopo do usuário:

   • Configurações de escopo do dispositivo:

     • Restringir a transferência da área de transferência do servidor para o cliente
     • Restringir a transferência da área de transferência do cliente para o servidor

   • Configurações de escopo do usuário:

     • Restringir a transferência da área de transferência do servidor para o cliente (Usuário)
     • Restringir a transferência da área de transferência do cliente para o servidor (Usuário)

5. Expanda a categoria Modelos administrativos e mude a opção de cada configuração para Habilitado.

6. Depois de habilitar as configurações, uma lista de seleção será exibida para que você selecione os tipos de dados que podem ser copiados. Escolha entre as seguintes opções:

   • Desabilitar transferências da área de transferência do servidor para o cliente ou Desabilitar transferências da área de transferência do cliente para o servidor
   • Permitir texto sem formatação
   • Permitir texto sem formatação e imagens
   • Permitir texto sem formatação, imagens e Formato Rich Text
   • Permitir texto sem formatação, imagens, Formato Rich Text e HTML

7. Selecione Avançar.

8. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

9. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

10. Na guia Revisar + criar, revise as configurações e selecione Criar.

11. Depois que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

12. Conecte-se a uma sessão remota com um cliente compatível e teste se as configurações da área de transferência estão funcionando corretamente, tentando copiar e colar diferentes tipos de conteúdo.

Política de Grupo

Para configurar a área de transferência usando a Política de Grupo no Domínio do Active Directory, siga essas etapas.

Importante

Essas configurações de política aparecem na Configuração do Computador e na Configuração do Usuário. Se ambas as configurações de política estiverem configuradas, a restrição mais rigorosa será usada.

1. As configurações de Política de Grupo só estão disponíveis no Windows 11, versão 23H2 e posterior. Você precisará copiar os arquivos de modelo administrativo C:\Windows\PolicyDefinitions\terminalserver.admx e C:\Windows\PolicyDefinitions\en-US\terminalserver.adml de um host de sessão para o mesmo local em seus controladores de domínio ou no Armazenamento Central da Política de Grupo, dependendo do seu ambiente. No caminho do arquivo para terminalserver.adml, substitua en-US pela linguagem de programação apropriada se estiver usando uma linguagem diferente.

2. Em um dispositivo que você usa para gerenciar a Política de Grupo, abra o Console de Gerenciamento de Política de Grupo (GPMC) e crie ou edite uma política direcionada aos hosts de sessão.

3. Navegue até uma das seções de política a seguir. Use a seção de política em Configuração do Computador para o host da sessão de destino e use a seção de política em Configuração do Usuário que se aplica a usuários específicos de destino.

   • Computador: Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   • Usuário: User Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   

4. Abra uma das seguintes configurações de política, dependendo se você deseja definir a área de transferência do host de sessão (servidor) para o cliente ou do cliente para o host da sessão:

   • Para configurar a área de transferência de host da sessão para o cliente, abra a configuração de política Restringir a transferência da área de transferência do servidor para o cliente e selecione Habilitado. Escolha entre as seguintes opções:

     • Desabilitar as transferências da área de transferência do servidor para o cliente.
     • Permitir texto sem formatação.
     • Permitir texto sem formatação e imagens.
     • Permitir texto sem formatação, imagens e formato rich text.
     • Permitir texto sem formatação, imagens, formato rich text e HTML.

   • Para configurar a área de transferência de cliente para o host da sessão, abra a configuração de política Restringir a transferência da área de transferência do cliente para o servidor e selecione Habilitado. Escolha entre as seguintes opções:

     • Desabilitar as transferências da área de transferência do cliente para o servidor.
     • Permitir texto sem formatação.
     • Permitir texto sem formatação e imagens.
     • Permitir texto sem formatação, imagens e formato rich text.
     • Permitir texto sem formatação, imagens, formato rich text e HTML.

5. Selecione OK para salvar suas alterações.

6. Depois de definir as configurações, verifique se a política é aplicada aos hosts de sessão e atualize a Política de Grupo nos hosts de sessão e reinicie-os para que as configurações entrem em vigor

7. Conecte-se a uma sessão remota com um cliente compatível e teste se as configurações da área de transferência estão funcionando corretamente, tentando copiar e colar diferentes tipos de conteúdo.

Registro

Para configurar a área de transferência usando o registro em um host de sessão, siga estas etapas.

1. Abra o Editor do Registro no menu Iniciar ou executando regedit.exe.

2. Defina uma das chaves do Registro a seguir e o respectivo valor, dependendo se você deseja definir a área de transferência do host de sessão para o cliente ou do cliente para o host da sessão.

   • Para configurar a área de transferência de host da sessão para o cliente, defina uma das seguintes chaves do Registro e o respectivo valor. O uso do valor do computador aplica-se a todos os usuários, enquanto o uso do valor para o usuário aplica-se somente ao usuário atual.

     • Chave:

       • Computador: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Usuários: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Tipo: REG_DWORD

     • Nome do valor: SCClipLevel

     • Dados do valor: insira um valor da seguinte tabela:

       Dados do valor	Descrição
       0	Desabilitar as transferências da área de transferência do host da sessão para o cliente.
       1	Permitir texto sem formatação.
       2	Permitir texto sem formatação e imagens.
       3	Permitir texto sem formatação, imagens e formato rich text.
       4	Permitir texto sem formatação, imagens, formato rich text e HTML.

   • Para configurar a área de transferência do cliente para o host da sessão, defina uma das seguintes chaves do Registro e o respectivo valor. O uso do valor do computador aplica-se a todos os usuários, enquanto o uso do valor para o usuário aplica-se somente ao usuário atual.

     • Chave:

       • Computador: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Usuários: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Tipo: REG_DWORD

     • Nome do valor: CSClipLevel

     • Dados do valor: insira um valor da seguinte tabela:

       Dados do valor	Descrição
       0	Desabilitar as transferências da área de transferência do cliente para o host da sessão.
       1	Permitir texto sem formatação.
       2	Permitir texto sem formatação e imagens.
       3	Permitir texto sem formatação, imagens e formato rich text.
       4	Permitir texto sem formatação, imagens, formato rich text e HTML.

3. Reinicie a VM do host de sessão.

4. Conecte-se a uma sessão remota com um cliente compatível e teste se as configurações da área de transferência estão funcionando corretamente, tentando copiar e colar diferentes tipos de conteúdo.

Conteúdo relacionado

• Configurar a criação de marcas d'água.
• Configurar a proteção de captura de tela.
• Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure nas melhores práticas de Segurança.