Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure

A proteção de captura de tela, juntamente com a marca d'água, ajuda a impedir que informações confidenciais sejam capturadas em pontos de extremidade do cliente por meio de um conjunto específico de recursos e APIs do sistema operacional (SO). Quando você ativa a proteção de captura de tela, o conteúdo remoto é automaticamente bloqueado em capturas de tela e compartilhamento de tela.

Há dois cenários suportados para proteção de captura de tela:

• Bloquear a captura de tela no cliente: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota.

• Bloquear a captura de tela no cliente e no servidor: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota, mas também impede que ferramentas e serviços dentro do host da sessão capturem a tela.

Quando a proteção de captura de tela está ativada, os usuários não podem compartilhar suas janelas remotas usando software de colaboração local, como o Microsoft Teams. Com o Teams, nem o aplicativo local do Teams nem o uso do Teams com otimização de mídia podem compartilhar conteúdo protegido.

Gorjeta

• Para aumentar a segurança de suas informações confidenciais, você também deve desativar o redirecionamento da área de transferência, da unidade e da impressora. A desativação do redirecionamento ajuda a impedir que os usuários copiem conteúdo da sessão remota. Para saber mais sobre os valores de redirecionamento suportados, consulte Redirecionamento de dispositivo.

• Para desencorajar outros métodos de captura de tela, como tirar uma foto de uma tela com uma câmera física, você pode ativar a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.

Determinar sua configuração

As etapas para configurar a proteção de captura de tela dependem de quais plataformas seus usuários estão se conectando:

• Para dispositivos Windows e macOS que executam o aplicativo Windows ou o cliente de Área de Trabalho Remota, você configura a proteção de captura de tela em hosts de sessão usando o Intune ou a Política de Grupo. A Aplicação Windows e o cliente de Ambiente de Trabalho Remoto impõem definições de proteção de captura de ecrã a partir de um anfitrião de sessão sem configuração adicional.

• Para dispositivos iOS/iPadOS e Android que executam o Windows App, bloqueie a captura de tela no dispositivo local configurando uma política de proteção de aplicativos do Intune, parte do gerenciamento de aplicativos móveis (MAM). Se você também quiser bloquear a captura de tela de dentro do host de sessão, também precisará configurar a proteção de captura de tela em hosts de sessão usando o Intune ou a Política de Grupo.

Aqui está um resumo das etapas de configuração necessárias para cada plataforma:

Plataforma	Bloquear captura de tela no cliente	Bloquear a captura de tela no cliente e no servidor
Windows	Configurar anfitriões de sessão com o Intune ou a Política de Grupo	Configurar anfitriões de sessão com o Intune ou a Política de Grupo
macOS	Configurar anfitriões de sessão com o Intune ou a Política de Grupo	Configurar anfitriões de sessão com o Intune ou a Política de Grupo
iOS/iPadOS	Configurar o dispositivo local com o MAM do Intune	Configurar o dispositivo local com o MAM do Intune e os anfitriões de sessão com o Intune ou a Política de Grupo
Android	Configurar o dispositivo local com o MAM do Intune	Configurar o dispositivo local com o MAM do Intune e os anfitriões de sessão com o Intune ou a Política de Grupo

Pré-requisitos

• Para cenários em que você precisa configurar hosts de sessão, esses hosts de sessão devem estar executando um Windows 11, versão 22H2 ou posterior, ou Windows 10, versão 22H2 ou posterior.

• Os usuários devem se conectar à Área de Trabalho Virtual do Azure com o Aplicativo do Windows ou o aplicativo Área de Trabalho Remota para usar a proteção de captura de tela. A tabela a seguir mostra os cenários suportados:

  • Aplicação Windows:

    Plataforma	Versão Mínima	Sessão Desktop	Sessão do RemoteApp
    Aplicação Windows no Windows	Qualquer	Sim	Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior.
    Aplicação Windows no macOS	Qualquer	Sim	Sim
    Aplicação Windows em iOS/iPadOS	11.0.8	Sim	Sim
    Aplicação Windows no Android (pré-visualização)¹	1.0.145	Sim	Sim

    1. Não inclui suporte para o SO Chrome.

  • Cliente de Ambiente de Trabalho Remoto:

    Plataforma	Versão Mínima	Sessão Desktop	Sessão do RemoteApp
    Windows (cliente de desktop)	1.2.1672	Sim	Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior.
    Windows (aplicativo da Loja de Área de Trabalho Virtual do Azure)	Qualquer	Sim	Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior.
    macOS	10.7.0 ou posterior	Sim	Sim

  Se um usuário tentar se conectar a um aplicativo ou versão diferente, como o Aplicativo do Windows em um navegador da Web, a conexão será negada e mostrará uma mensagem de erro com o código 0x1151.

• Para configurar o Microsoft Intune, você precisa:

  • Conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.

  • Um grupo que contém os dispositivos que você deseja configurar.

• Para configurar a Diretiva de Grupo, você precisa:

  • Uma conta de domínio que é membro do grupo de segurança Administradores do Domínio.

  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que você deseja configurar.

Ativar a proteção de captura de tela em hosts de sessão

Selecione a guia relevante para o seu cenário.

Microsoft Intune

Para configurar a proteção de captura de tela em hosts de sessão usando o Microsoft Intune:

1. Entre no centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.

3. No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Host>da Sessão da Área de Trabalho Remota, Área de Trabalho Virtual do Azure.

   

4. Marque a caixa Ativar proteção de captura de tela e feche o seletor de configurações.

5. Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Ativar proteção de captura de tela para Habilitado.

   

6. Alterne o interruptor para Opções de Proteção de Captura de Tela (Dispositivo) para desativado para Bloquear captura de tela no cliente ou paraBloquear captura de tela no cliente e servidor com base em suas necessidades e selecione OK.

7. Selecione Seguinte.

8. Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.

9. No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

10. No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.

11. Quando a diretiva se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Política de Grupo

Para configurar a proteção de captura de tela em hosts de sessão usando a Diretiva de Grupo:

1. Siga as etapas para disponibilizar o modelo Administrativo para a Área de Trabalho Virtual do Azure na Política de Grupo.

2. Abra o console de Gerenciamento de Diretiva de Grupo em um dispositivo que você usa para gerenciar o domínio do Ative Directory.

3. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

4. Navegue até Políticas>de Configuração>do Computador, Modelos Administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Host>da Sessão da Área de Trabalho Remota, Área de Trabalho Virtual do Azure.

   

5. Clique duas vezes na configuração de política Habilitar proteção de captura de tela para abri-la e selecione Habilitado.

   

6. No menu suspenso, selecione o cenário de proteção de captura de tela que deseja usar em Bloquear captura de tela no cliente ou Bloquear captura de tela no cliente e servidor com base em suas necessidades e, em seguida, selecione OK.

7. Verifique se a diretiva está aplicada aos computadores que fornecem uma sessão remota e reinicie-os para que as configurações entrem em vigor.

Ativar a proteção de captura de tela em dispositivos locais

Para usar a proteção de captura de tela em dispositivos iOS/iPadOS e Android que executam o Windows App, você precisa configurar uma política de proteção de aplicativo do Intune.

Gorjeta

No Windows e macOS, a Aplicação Windows e o cliente de Ambiente de Trabalho Remoto impõem definições de proteção de captura de ecrã a partir de um anfitrião de sessão sem configuração adicional.

Para configurar uma política de proteção de aplicativos do Intune para habilitar a proteção de captura de tela em dispositivos iOS/iPadOS e Android:

1. Siga as etapas para Configurar as configurações de redirecionamento de dispositivo cliente para o Aplicativo do Windows e o aplicativo de Área de Trabalho Remota usando o Microsoft Intune. A configuração da proteção de captura de tela faz parte de uma política de proteção de aplicativo.

2. Ao configurar uma política de proteção de aplicativo, na guia Proteção de dados , defina a seguinte configuração, dependendo da plataforma:

   1. Para iOS/iPadOS, defina Enviar dados da organização para outros aplicativos como Nenhum.

   2. Para Android, defina Captura de tela e Google Assistente como Bloquear.

3. Configure outras configurações com base em seus requisitos e direcione a política de proteção do aplicativo para usuários e dispositivos.

Verificar a proteção de captura de tela

Para verificar se a proteção de captura de tela está funcionando:

1. Conecte-se a uma nova sessão remota com um cliente compatível. Não se reconecte a uma sessão existente. Você precisa sair de todas as sessões existentes e entrar novamente para que a alteração entre em vigor.

2. A partir de um dispositivo local, faça uma captura de ecrã ou partilhe o seu ecrã numa chamada ou reunião do Teams. O conteúdo deve ser bloqueado ou oculto.

3. Se você habilitou Bloquear captura de tela no cliente e no servidor em seus hosts de sessão, tente capturar a tela usando uma ferramenta ou serviço dentro do host da sessão. O conteúdo deve ser bloqueado ou oculto.

Conteúdos relacionados

• Habilite a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.

• Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure em Práticas recomendadas de segurança.