Compartilhar via


Marca d'água no Azure Virtual Desktop

A marca d'água, juntamente com a proteção de captura de ecrã, ajuda a impedir que informações confidenciais sejam capturadas nos pontos finais do cliente. Quando ativa a marca d'água, as marcas d'água de código QR são apresentadas como parte de ambientes de trabalho remotos. O código QR contém o ID da Ligação ou o ID do Dispositivo de uma sessão remota que os administradores podem utilizar para rastrear a sessão. A marca d'água é configurada em anfitriões de sessão com Microsoft Intune ou Política de Grupo e imposta por Windows App ou pelo cliente de Ambiente de Trabalho Remoto.

Eis uma captura de ecrã que mostra o aspeto da marca d'água quando está ativada:

Captura de ecrã a mostrar a marca d'água ativada num ambiente de trabalho remoto.

Importante

  • Assim que a marca d'água estiver ativada num anfitrião de sessão, apenas os clientes que suportam a marca d'água podem ligar-se a esse anfitrião de sessão. Se tentar ligar a partir de um cliente não suportado, a ligação falhará e receberá uma mensagem de erro que não é específica.

  • A marca d'água destina-se apenas a ambientes de trabalho remotos. Com o RemoteApp, a marca d'água não é aplicada e a ligação é permitida.

  • Se ligar diretamente a um anfitrião de sessão (não através do Azure Virtual Desktop) através da aplicação Ligação ao Ambiente de Trabalho Remoto (mstsc.exe), a marca d'água não é aplicada e a ligação é permitida.

Pré-requisitos

Irá precisar dos seguintes itens antes de poder utilizar a marca d'água:

  • Um conjunto de anfitriões existente com anfitriões de sessão.

  • Uma conta Microsoft Entra ID atribuída às funções de controlo de acesso baseado em funções (RBAC) incorporadas contribuidor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho no conjunto de anfitriões como mínimo.

  • Um cliente que suporta a marca d'água. Os seguintes clientes suportam a marca d'água:

    • Cliente de Ambiente de Trabalho Remoto para:

    • Windows App para:

      • Windows
      • macOS
      • iOS e iPadOS
      • SO Android/Chrome (pré-visualização)
      • Navegador da Web
  • Informações do Azure Virtual Desktop configuradas para o seu ambiente.

  • Se gerir os anfitriões de sessão com Microsoft Intune, precisa de:

    • Microsoft Entra ID conta à qual é atribuída a função RBAC incorporada gestor de Políticas e Perfis.

    • Um grupo que contém os dispositivos que pretende configurar.

  • Se gerir os anfitriões de sessão com Política de Grupo num domínio do Active Directory, precisa de:

    • Uma conta de domínio que seja membro do grupo de segurança Admins do Domínio .

    • Um grupo de segurança ou unidade organizacional (UO) que contém os anfitriões de sessão que pretende configurar.

Ativar a marca d'água

Selecione o separador relevante para o seu cenário.

Para ativar a marca d'água com Microsoft Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores, com o tipo de perfil de catálogo Definições.

  3. No seletor de definições, navegue para Modelos administrativos Componentes> doWindows Serviços> de Ambiente deTrabalho Remoto Anfitrião>> deSessões de Ambiente de Trabalho Remotodo Azure Virtual Desktop.

    Captura de ecrã do centro de administração do Intune a mostrar as definições do Azure Virtual Desktop.

  4. Selecione a caixa Ativar marca d'água e, em seguida, feche o seletor de definições.

    Importante

    Não selecione [Preterido] Ativar marca d'água , uma vez que esta definição não inclui a opção para especificar o conteúdo incorporado do código QR.

  5. Expanda a categoria Modelos administrativos e, em seguida, alterne o botão para Ativar marca d'água para Ativado.

    Uma captura de ecrã das definições disponíveis para a marca d'água no Intune.

  6. Pode configurar as seguintes opções:

    Opção Valores Descrição
    Fator de dimensionamento do mapa de bits do código QR 1 a 10
    (predefinição = 4)
    O tamanho em píxeis de cada ponto de código QR. Este valor determina o número de quadrados por ponto no código QR.
    Opacidade do mapa de bits do código QR 100 a 9999 (predefinição = 2000) Quão transparente é a marca d'água, em que 100 é totalmente transparente.
    Largura da caixa de grelha em percentagem relevante para a largura do mapa de bits do código QR 100 a 1000
    (predefinição = 320)
    Determina a distância entre os códigos QR em percentagem. Quando combinado com a altura, um valor de 100 faria com que os códigos QR aparecessem lado a lado e preenchesse todo o ecrã.
    Altura da caixa de grelha em percentagem relevante para a largura do mapa de bits do código QR 100 a 1000
    (predefinição = 180)
    Determina a distância entre os códigos QR em percentagem. Quando combinado com a largura, um valor de 100 faria com que os códigos QR aparecessem lado a lado e preenchessem todo o ecrã.
    Conteúdo incorporado do código QR ID da Ligação (predefinição)
    ID do Dispositivo
    Especifique se o ID da Ligação ou o ID do Dispositivo devem ser utilizados no código QR. Selecione apenas ID do Dispositivo com anfitriões de sessão que estejam num conjunto de anfitriões pessoais e associados a Microsoft Entra ID ou Microsoft Entra associados híbridos.

    Dica

    Recomendamos que experimente diferentes valores de opacidade para encontrar um equilíbrio entre a legibilidade da sessão remota e a capacidade de digitalizar o código QR, mas manter os valores predefinidos para os outros parâmetros.

  7. Selecione Avançar.

  8. Opcional: no separador Etiquetas de âmbito , selecione uma etiqueta de âmbito para filtrar o perfil. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

  9. No separador Atribuições , selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

  10. No separador Rever + criar , reveja as definições e, em seguida, selecione Criar.

  11. Sincronize os anfitriões de sessão com Intune para que as definições entrem em vigor.

Localizar informações de sessão

Depois de ativar a marca d'água, pode encontrar as informações de sessão do código QR com o Azure Virtual Desktop Insights ou consultar o Log Analytics do Azure Monitor.

Informações do Azure Virtual Desktop

Para saber as informações de sessão do código QR com o Azure Virtual Desktop Insights:

  1. Abra um browser e aceda a https://aka.ms/avdi para abrir o Azure Virtual Desktop Insights. Inicie sessão com as suas credenciais do Azure quando lhe for pedido.

  2. Selecione a subscrição, o grupo de recursos, o conjunto de anfitriões e o intervalo de tempo relevantes e, em seguida, selecione o separador Diagnóstico de Ligação .

  3. Na secção Taxa de êxito de (re)estabelecer uma ligação (% de ligações), existe uma lista de todas as ligações que mostram a Primeira tentativa, o ID da Ligação, o Utilizador e as Tentativas. Pode procurar o ID de ligação a partir do código QR nesta lista ou exportar para o Excel.

Análise de Log do Azure Monitor

Para saber as informações de sessão do código QR ao consultar o Log Analytics do Azure Monitor:

  1. Faça logon no portal do Azure.

  2. Na barra de pesquisa, escreva áreas de trabalho do Log Analytics e selecione a entrada de serviço correspondente.

  3. Selecione para abrir a área de trabalho do Log Analytics que está ligada ao ambiente do Azure Virtual Desktop.

  4. Em Geral, selecione Registos.

  5. Inicie uma nova consulta e, em seguida, execute a seguinte consulta para obter informações de sessão para um ID de ligação específico (representado como CorrelationId no Log Analytics), substituindo <connection ID> pelo valor completo ou parcial do código QR:

    WVDConnections
    | where CorrelationId contains "<connection ID>"