Ativar a proteção de captura de ecrã no Azure Virtual Desktop

A proteção de captura de ecrã, juntamente com a marca d'água, ajuda a impedir que os dados confidenciais sejam capturados em dispositivos cliente através de apIs e funcionalidades específicas do sistema operativo (SO). Quando ativa a proteção de captura de ecrã, o conteúdo remoto é automaticamente bloqueado em capturas de ecrã e partilha de ecrã.

Quando a proteção de captura de ecrã está ativada, os utilizadores não podem partilhar a janela remota utilizando software de colaboração local, como o Microsoft Teams. Com o Teams, a aplicação Teams local ou a utilização do Teams com otimização de multimédia não podem partilhar conteúdos protegidos.

Dica

• Para aumentar a segurança das suas informações confidenciais, também deve desativar o redirecionamento da área de transferência, da unidade e da impressora. Desativar o redirecionamento ajuda a impedir que os utilizadores copiem conteúdos da sessão remota. Para saber mais sobre os valores de redirecionamento suportados, veja Redirecionamento de dispositivos.

• Para desencorajar outros métodos de captura de ecrã, como tirar uma fotografia de um ecrã com uma câmara física, pode ativar a marca d'água, onde os administradores podem utilizar um código QR para rastrear a sessão.

Determinar a configuração

Os passos para configurar a proteção de captura de ecrã dependem do local onde a configura, das plataformas a partir das quais os seus utilizadores se estão a ligar e do cenário que pretende alcançar.

• Dispositivos Windows e macOS: impede a captura de ecrã ao configurar anfitriões de sessão com uma política de configuração de dispositivos Intune ou Política de Grupo. Windows App ou o cliente de Ambiente de Trabalho Remoto impõe definições de proteção de captura de ecrã de um anfitrião de sessão sem configuração adicional.

  Ao configurar a proteção de captura de ecrã em anfitriões de sessão, existem mais duas definições que pode configurar para ajudar a cumprir os seus requisitos:

  • Bloquear captura de ecrã no cliente: impede a captura de ecrã do dispositivo local de aplicações em execução na sessão remota.

  • Bloquear captura de ecrã no cliente e no servidor: impede a captura de ecrã do dispositivo local de aplicações em execução na sessão remota, mas também impede que as ferramentas e os serviços no anfitrião da sessão capturem o ecrã.

  Neste cenário, eis o resultado ao ligar a partir de cada tipo de plataforma:

  Plataforma	Ligação permitida	Captura de ecrã bloqueada
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	N/D
  Android	❌	N/D
  Web	❌	N/D

• Dispositivos iOS/iPadOS e Android: impede a captura de ecrã ao configurar dispositivos locais com Microsoft Intune gestão de aplicações móveis (MAM). Não impede que as ferramentas e os serviços no anfitrião da sessão capturem o ecrã. Para obter mais informações, veja Gerir definições de redirecionamento de dispositivos locais com Microsoft Intune.

  Neste cenário, eis o resultado ao ligar a partir de cada tipo de plataforma:

  Plataforma	Ligação permitida	Captura de ecrã bloqueada
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Importante

Tem de escolher os dispositivos locais a utilizar com a proteção de captura de ecrã com base nos seus requisitos. Não existe um cenário em que possa ativar a proteção de captura de ecrã em todas as plataformas a partir dos mesmos anfitriões de sessão ao mesmo tempo. Se ambos estiverem configurados, a proteção de captura de ecrã nos anfitriões de sessão tem precedência sobre a utilização de uma política de MAM Intune em dispositivos locais.

Considerações de plataforma para proteção de captura de ecrã no macOS

Embora totalmente suportado no Windows, existem limitações conhecidas no macOS devido à arquitetura de segurança atual da plataforma:

• Compatibilidade com o Microsoft Teams: no macOS, ativar a proteção de captura de ecrã pode interferir com a partilha de ecrã no Microsoft Teams, fazendo com que as janelas partilhadas apareçam em branco ou não sejam apresentadas corretamente. Se for necessária colaboração baseada no Teams, a proteção de captura de ecrã poderá ter de ser temporariamente desativada no dispositivo.

• Imposição ao nível da plataforma: devido a restrições do macOS, algumas aplicações nativas podem não respeitar totalmente a aplicação da proteção de captura de ecrã. Esta é uma limitação das APIs disponíveis do sistema operativo, não um defeito na própria proteção de captura de ecrã.

Seguem-se algumas recomendações para estas limitações:

• Para fluxos de trabalho macOS pesados de colaboração, considere configurar as definições de proteção de captura de ecrã com base nas necessidades empresariais e no nível de risco.

• Para conteúdos altamente confidenciais, são recomendados pontos finais do Windows para a imposição total das funcionalidades de proteção de ecrã.

• As políticas administrativas e de marca d'água podem ser utilizadas para desencorajar ainda mais a utilização indevida em plataformas com imposição limitada.

Pré-requisitos

Antes de poder configurar a proteção de captura de ecrã, certifique-se de que cumpre os seguintes pré-requisitos:

• Para cenários em que precisa de configurar anfitriões de sessão, esses anfitriões de sessão têm de estar a executar uma Windows 11, versão 22H2 ou posterior ou Windows 10, versão 22H2 ou posterior.

• Os utilizadores têm de se ligar ao Azure Virtual Desktop com Windows App ou a aplicação Ambiente de Trabalho Remoto para utilizar a proteção de captura de ecrã. A tabela seguinte mostra os cenários suportados:

  • Windows App:

    Plataforma	Versão mínima	Sessão de ambiente de trabalho	Sessão remoteApp
    Windows App no Windows	Qualquer	Sim	Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior.
    Windows App no macOS	Qualquer	Sim	Sim
    Windows App no iOS/iPadOS	11.0.8	Sim	Sim
    Windows App no Android (pré-visualização)¹	1.0.145	Sim	Sim

    ^{1. Não inclui suporte para o SO Chrome porque Intune MAM não é suportado no SO Chrome.}

  • Cliente de Ambiente de Trabalho Remoto:

    Plataforma	Versão mínima	Sessão de ambiente de trabalho	Sessão remoteApp
    Windows (cliente de ambiente de trabalho)	1.2.1672	Sim	Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior.
    Windows (aplicação Azure Virtual Desktop Store)	Qualquer	Sim	Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior.
    macOS	10.7.0 ou posterior	Sim	Sim

• Para configurar Microsoft Intune, precisa de:

  • Microsoft Entra ID conta à qual é atribuída a função RBAC incorporada gestor de Políticas e Perfis.

  • Um grupo que contém os dispositivos que pretende configurar.

• Para configurar Política de Grupo, precisa de:

  • Uma conta de domínio que seja membro do grupo de segurança Admins do Domínio .

  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que pretende configurar.

Ativar a proteção de captura de ecrã em anfitriões de sessão com uma política de configuração de dispositivos Intune ou Política de Grupo

Selecione o separador relevante para o seu cenário.

Microsoft Intune

Para configurar a proteção de captura de ecrã em anfitriões de sessão com Microsoft Intune:

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores, com o tipo de perfil de catálogo Definições.

3. No seletor de definições, navegue para Modelos administrativos Componentes> doWindows Serviços> de Ambiente deTrabalho Remoto Anfitrião>> deSessões de Ambiente de Trabalho Remotodo Azure Virtual Desktop.

   

4. Selecione a caixa Ativar proteção de captura de ecrã e, em seguida, feche o seletor de definições.

5. Expanda a categoria Modelos administrativos e, em seguida, ative a opção Ativar proteção de captura de ecrã para Ativado.

   

6. Alterne o botão para Opções de Proteção de Captura de Ecrã (Dispositivo) para desativado para Bloquear captura de ecrã no cliente ou ativado para Bloquear captura de ecrã no cliente e no servidor com base nos seus requisitos e, em seguida, selecione OK.

7. Selecione Avançar.

8. Opcional: no separador Etiquetas de âmbito , selecione uma etiqueta de âmbito para filtrar o perfil. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

9. No separador Atribuições , selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

10. No separador Rever + criar , reveja as definições e, em seguida, selecione Criar.

11. Assim que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as definições entrem em vigor.

Política de grupo

Para configurar a proteção de captura de ecrã em anfitriões de sessão com Política de Grupo num domínio do Active Directory:

1. Siga os passos para disponibilizar o modelo Administrativo do Azure Virtual Desktop no Política de Grupo.

2. Abra a consola de Gestão de Política de Grupo num dispositivo que utiliza para gerir o domínio do Active Directory.

3. Crie ou edite uma política destinada aos computadores que fornecem uma sessão remota que pretende configurar.

4. Navegue para Políticas de Configuração> do ComputadorModelos>Administrativos Componentes> doWindows Serviços>> deAmbiente de Trabalho Remoto Anfitrião> de Sessão de Ambiente de Trabalho Remotodo Azure Virtual Desktop.

   

5. Faça duplo clique na definição de política Ativar proteção de captura de ecrã para abri-la e, em seguida, selecione Ativado.

   

6. No menu pendente, selecione o cenário de proteção de captura de ecrã que pretende utilizar a partir de Bloquear captura de ecrã no cliente ou Bloquear captura de ecrã no cliente e no servidor com base nos seus requisitos e, em seguida, selecione OK.

7. Certifique-se de que a política é aplicada aos computadores que fornecem uma sessão remota e, em seguida, reinicie-as para que as definições entrem em vigor.

Ativar a proteção de captura de ecrã em dispositivos locais com Intune MAM

Para utilizar a proteção de captura de ecrã em dispositivos iOS/iPadOS e Android com Windows App, tem de configurar uma política de proteção de aplicações Intune.

Para configurar uma política de proteção de aplicações Intune para ativar a proteção de captura de ecrã em dispositivos iOS/iPadOS e Android:

1. Siga os passos para Exigir a conformidade de segurança do dispositivo cliente local com Microsoft Intune e Microsoft Entra Acesso Condicional. A conformidade de segurança do dispositivo cliente local fornece a base para configurar a proteção de captura de ecrã em dispositivos iOS/iPadOS e Android com Windows App.

2. Ao configurar uma política de proteção de aplicações, no separador Proteção de dados , configure a seguinte definição, consoante a plataforma:

   1. Para iOS/iPadOS, defina Enviar dados da organização para outras aplicações como Nenhuma.

   2. Para Android, defina Captura de ecrã e Google Assistant como Bloquear.

3. Configure outras definições com base nos seus requisitos e direcione a política de proteção de aplicações para utilizadores e dispositivos.

Verificar a proteção de captura de ecrã

Para verificar se a proteção de captura de ecrã está a funcionar:

1. Ligue-se a uma nova sessão remota com um cliente suportado. Não volte a ligar a uma sessão existente. Tem de terminar sessão em todas as sessões existentes e voltar a iniciar sessão para que a alteração entre em vigor.

2. A partir de um dispositivo local, faça uma captura de ecrã ou partilhe o seu ecrã numa chamada ou reunião do Teams. O conteúdo está bloqueado ou oculto.

3. Em dispositivos Windows e macOS, se tiver ativado a captura de ecrã Bloquear no cliente e no servidor nos anfitriões de sessão, tente capturar o ecrã com uma ferramenta ou serviço no anfitrião da sessão. O conteúdo está bloqueado ou oculto.

Se ativar a proteção de captura de ecrã em anfitriões de sessão, tem de se ligar a partir de um dispositivo suportado. Se não o fizer, verá uma mensagem de erro a indicar que a proteção de captura de ecrã está ativada. A mensagem de erro tem um aspeto semelhante a estas capturas de ecrã:

• Browser:

  

• iOS/iPadOS:

  

Conteúdo relacionado

• Ative a marca d'água, onde os administradores podem utilizar um código QR para rastrear a sessão.

• Saiba como proteger a implementação do Azure Virtual Desktop em Melhores práticas de segurança.