Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure

A proteção contra captura de tela, juntamente com a marca d'água, ajuda a evitar que informações confidenciais sejam capturadas nos terminais do cliente por meio de um conjunto específico de recursos do SO (sistema operacional) e APIs. Ao habilitar a proteção contra captura de tela, o conteúdo remoto será bloqueado ou oculto automaticamente em capturas de tela e em compartilhamentos de tela.

Há dois cenários com suporte para proteção contra captura de tela:

• Bloquear captura de tela no cliente: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota.

• Bloquear captura de tela no cliente e no servidor: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota, mas também impede que ferramentas e serviços no host da sessão capturem a tela.

Quando a proteção de captura de tela está habilitada, os usuários não podem compartilhar a janela remota usando o software de colaboração local, como o Microsoft Teams. Quando eles usam o Microsoft Teams, nem o aplicativo local do Teams nem o Teams com otimização de mídia podem compartilhar conteúdo protegido.

Dica

• Para aumentar a segurança de suas informações confidenciais, você também deve desabilitar o redirecionamento de área de transferência, de pen drive e de impressora. Desabilitar o redirecionamento impede que os usuários copiem qualquer conteúdo de tela capturado da sessão remota. Para saber mais sobre os valores de redirecionamento com suporte, consulte Redirecionamento de dispositivo.

• Para desencorajar outros métodos de captura de tela, como tirar uma foto de uma tela com uma câmera física, você pode habilitar a marca d'água, em que os administradores podem usar um código QR para rastrear a sessão.

Determinar sua configuração

As etapas para configurar a proteção contra captura de tela dependem de quais plataformas seus usuários estão se conectando:

• Para dispositivos Windows e macOS que executam o Windows App ou o cliente da Área de Trabalho Remota, configure a proteção contra captura de tela em hosts de sessão usando o Intune ou a Política de Grupo. O Windows App e o cliente da Área de Trabalho Remota aplicam as configurações de proteção contra captura de tela de um host de sessão sem configuração adicional.

• Para dispositivos iOS/iPadOS e Android que executam o Windows App, bloqueie a captura de tela no dispositivo local configurando uma política de proteção de aplicativos do Intune, parte do MAM (gerenciamento de aplicativo móvel). Se você também quiser bloquear a captura de tela de dentro do host de sessão, também precisará configurar a proteção de captura de tela nos hosts de sessão usando o Intune ou a Política de Grupo.

Aqui está um resumo das etapas de configuração necessárias para cada plataforma:

Plataforma	Bloquear a captura de tela no cliente	Bloquear a captura de tela no cliente e no servidor
Windows	Configurar hosts de sessão com o Intune ou a Política de Grupo	Configurar hosts de sessão com o Intune ou a Política de Grupo
macOS	Configurar hosts de sessão com o Intune ou a Política de Grupo	Configurar hosts de sessão com o Intune ou a Política de Grupo
iOS/iPadOS	Configurar o dispositivo local com o MAM do Intune	Configurar o dispositivo local com o MAM do Intune e hosts de sessão com o Intune ou a Política de Grupo
Android	Configurar o dispositivo local com o MAM do Intune	Configurar o dispositivo local com o MAM do Intune e hosts de sessão com o Intune ou a Política de Grupo

Pré-requisitos

• Nos cenários em que você precisa configurar hosts de sessão, esses hosts de sessão devem estar executando o Windows 11, versão 22H2 ou posterior, ou o Windows 10, versão 22H2 ou posterior.

• Os usuários devem se conectar à Área de Trabalho Virtual do Azure com o Windows App ou o aplicativo de Área de Trabalho Remota para usar a proteção de captura de tela. A tabela a seguir mostra cenários com suporte:

  • Windows App:

    Plataforma	Versão mínima	Sessão da área de trabalho	Sessão do RemoteApp
    Windows App no Windows	Qualquer	Sim	Sim. O sistema operacional do dispositivo local deve ser o Windows 11, versão 22H2 ou posterior.
    Windows App no macOS	Qualquer	Sim	Sim
    Windows App no iOS/iPadOS	11.0.8	Sim	Sim
    Windows App no Android (versão prévia)¹	1.0.145	Sim	Sim

    1. Não inclui suporte para o Chrome OS.

  • Cliente de Área de Trabalho Remota:

    Plataforma	Versão mínima	Sessão da área de trabalho	Sessão do RemoteApp
    Windows (cliente da área de trabalho)	1.2.1672	Sim	Sim. O sistema operacional do dispositivo local deve ser o Windows 11, versão 22H2 ou posterior.
    Windows (aplicativo da Store da Área de Trabalho Virtual do Azure)	Algum	Sim	Sim. O sistema operacional do dispositivo local deve ser o Windows 11, versão 22H2 ou posterior.
    macOS	10.7.0 ou posterior	Sim	Sim

  Se um usuário tentar se conectar com um aplicativo ou versão diferente, como o Windows App em um navegador da Web, a conexão será negada e mostrará uma mensagem de erro com o código 0x1151.

• Para configurar o Microsoft Intune, você precisa do seguinte:

  • Uma conta do Microsoft Entra ID atribuída à função interna RBAC do Gerenciador de Políticas e Perfis.

  • Um grupo que contém os dispositivos que você deseja configurar.

• Para configurar a Política de Grupo, você precisa do seguinte:

  • Uma conta de domínio que seja membro do grupo de segurança de Administradores de Domínio.

  • Um grupo de segurança ou uma UO (unidade organizacional) contendo os dispositivos que você deseja configurar.

Habilitar a proteção contra captura de tela em hosts de sessão

Selecione a guia relevante ao seu cenário.

Microsoft Intune

Para configurar a proteção contra captura de tela em hosts de sessão usando o Microsoft Intune:

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.

3. No seletor de configurações, navegue até Modelos administrativos>Componentes do Windows>Serviços da Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Área de Trabalho Virtual do Azure.

   

4. Marque a caixa para Habilitar proteção de captura de tela e feche o seletor de configurações.

5. Expanda a categoria Modelos administrativos e alterne a opção Habilitar proteção de captura de tela para Habilitada.

   

6. Alterne a opção para Opções (Dispositivo) de Proteção de Captura de Tela para desativar para Bloquear captura de tela no cliente ou ativar para Bloquear captura de tela no cliente e no servidor com base em seus requisitos e, em seguida, selecione OK.

7. Selecione Avançar.

8. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

9. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

10. Na guia Revisar + criar, revise as configurações e selecione Criar.

11. Depois que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Política de Grupo

Para configurar a proteção contra captura de tela em hosts de sessão usando a Política de Grupo:

1. Siga as etapas para disponibilizar o Modelo administrativo para a Área de Trabalho Virtual do Azure na Política de Grupo.

2. Abra o console Gerenciamento de Políticas de Grupo em um dispositivo usado para gerenciar o domínio do Active Directory.

3. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

4. Navegue até Configuração do Computador>Políticas>Modelos Administrativos>Componentes do Windows>Serviços da Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Área de Trabalho Virtual do Azure.

   

5. Clique duas vezes na configuração de política Habilitar proteção de captura de tela para abri-la e selecione Habilitada.

   

6. No menu suspenso, selecione o cenário de proteção de captura de tela que você deseja usar em Bloquear captura de tela no cliente ou Bloquear captura de tela no cliente e no servidor com base em seus requisitos e, em seguida, selecione OK.

7. Verifique se a política foi aplicada aos computadores que fornecem uma sessão remota e reinicie-os para que as configurações entrem em vigor.

Habilitar a proteção contra captura de tela em dispositivos locais

Para usar a proteção contra captura de tela em dispositivos iOS/iPadOS e Android que executam o Windows App, é necessário configurar uma política de proteção de aplicativos do Intune.

Dica

No Windows e no macOS, o Windows App e o cliente da Área de Trabalho Remota aplicam as configurações de proteção contra captura de tela de um host de sessão sem configuração adicional.

Para configurar uma política de proteção de aplicativos do Intune para habilitar a proteção contra captura de tela em dispositivos iOS/iPadOS e Android:

1. Siga as etapas para Configurar as definições de redirecionamento do dispositivo cliente para o Windows App e o aplicativo da Área de Trabalho Remota usando o Microsoft Intune. A configuração da proteção contra captura de tela faz parte de uma política de proteção de aplicativo.

2. Ao configurar uma política de proteção de aplicativos, na guia Proteção de dados, defina a seguinte configuração, dependendo da plataforma:

   1. Para iOS/iPadOS, defina Enviar dados da organização para outros aplicativos como Nenhum.

   2. No Android, defina Captura de tela e Assistente do Google como Bloquear.

3. Defina outras configurações com base em seus requisitos e direcione a política de proteção de aplicativos para usuários e dispositivos.

Verificar a proteção de captura de tela

Para verificar se a proteção de captura de tela está funcionando:

1. Conecte-se a uma nova sessão remota com um cliente com suporte. Não se reconecte a uma sessão existente. É necessário sair de todas as sessões existentes e entrar novamente para que a alteração tenha efeito.

2. De um dispositivo local, faça uma captura de tela ou compartilhe sua tela em uma chamada ou reunião do Teams. O conteúdo deve ser bloqueado ou oculto.

3. Se você habilitou Bloquear a captura de tela no cliente e no servidor em seus hosts de sessão, tente capturar a tela usando uma ferramenta ou serviço dentro do host de sessão. O conteúdo deve ser bloqueado ou oculto.

Conteúdo relacionado

• Habilite marca d'água, em que os administradores podem usar um código QR para rastrear a sessão.

• Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure nas melhores práticas de Segurança.