Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure

A proteção de captura de tela, juntamente com a marca d'água, ajuda a impedir que informações confidenciais sejam capturadas em pontos de extremidade do cliente por meio de um conjunto específico de recursos do sistema operacional (SO) e interfaces de programação de aplicativos (APIs). Quando você ativa a proteção de captura de tela, o conteúdo remoto é automaticamente bloqueado em capturas de tela e compartilhamento de tela. Você pode configurar a proteção de captura de tela usando o Microsoft Intune ou a Política de Grupo em seus hosts de sessão.

Há dois cenários suportados para proteção de captura de tela, dependendo da versão do Windows que você está usando:

• Bloquear a captura de tela no cliente: o host da sessão instrui um cliente de Área de Trabalho Remota suportado a habilitar a proteção de captura de tela para uma sessão remota. Esta opção impede a captura de tela do cliente de aplicativos em execução na sessão remota.

• Bloquear a captura de tela no cliente e no servidor: o host da sessão instrui um cliente de Área de Trabalho Remota suportado a habilitar a proteção de captura de tela para uma sessão remota. Essa opção impede a captura de tela do cliente de aplicativos em execução na sessão remota, mas também impede que ferramentas e serviços dentro do host da sessão capturem a tela.

Quando a proteção de captura de tela está ativada, os usuários não podem compartilhar a janela da Área de Trabalho Remota usando software de colaboração local, como o Microsoft Teams. Com o Teams, nem o aplicativo local do Teams nem o uso do Teams com otimização de mídia podem compartilhar conteúdo protegido.

Gorjeta

• Para aumentar a segurança de suas informações confidenciais, você também deve desativar o redirecionamento da área de transferência, da unidade e da impressora. A desativação do redirecionamento ajuda a impedir que os usuários copiem conteúdo da sessão remota. Para saber mais sobre os valores de redirecionamento suportados, consulte Redirecionamento de dispositivo.

• Para desencorajar outros métodos de captura de tela, como tirar uma foto de uma tela com uma câmera física, você pode ativar a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.

Pré-requisitos

• Seus hosts de sessão devem estar executando uma das seguintes versões do Windows para usar a proteção de captura de tela:

  • Bloquear captura de tela no cliente está disponível com uma versão suportada do Windows 10 ou Windows 11.
  • Bloquear captura de tela no cliente e servidor está disponível a partir do Windows 11, versão 22H2.

• Os usuários devem se conectar à Área de Trabalho Virtual do Azure com o Aplicativo do Windows ou o aplicativo Área de Trabalho Remota para usar a proteção de captura de tela. A tabela a seguir mostra os cenários suportados. Se um usuário tentar se conectar com um aplicativo ou versão diferente, a conexão será negada e mostrará uma mensagem de erro com o código 0x1151.

  Aplicação	Versão	Sessão Desktop	Sessão do RemoteApp
  Aplicação Windows no Windows	Qualquer	Sim	Sim. O SO do dispositivo cliente tem de ser Windows 11, versão 22H2 ou posterior.
  Cliente de Área de Trabalho Remota no Windows	1.2.1672 ou posterior	Sim	Sim. O SO do dispositivo cliente tem de ser Windows 11, versão 22H2 ou posterior.
  Aplicativo da Loja de Área de Trabalho Virtual do Azure	Qualquer	Sim	Sim. O SO do dispositivo cliente tem de ser Windows 11, versão 22H2 ou posterior.
  Aplicação Windows no macOS	Qualquer	Sim	Sim
  Cliente de Ambiente de Trabalho Remoto no macOS	10.7.0 ou posterior	Sim	Sim

• Para configurar o Microsoft Intune, você precisa:

  • Conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.

  • Um grupo que contém os dispositivos que você deseja configurar.

• Para configurar a Diretiva de Grupo, você precisa:

  • Uma conta de domínio que é membro do grupo de segurança Administradores do Domínio.

  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que você deseja configurar.

Ativar a proteção de captura de tela

A proteção de captura de tela é configurada em hosts de sessão e imposta pelo cliente. Selecione a guia relevante para o seu cenário.

Microsoft Intune

Para configurar a proteção de captura de tela usando o Microsoft Intune:

1. Entre no centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.

3. No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Host>da Sessão da Área de Trabalho Remota, Área de Trabalho Virtual do Azure.

   

4. Marque a caixa Ativar proteção de captura de tela e feche o seletor de configurações.

5. Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Ativar proteção de captura de tela para Habilitado.

   

6. Alterne o interruptor para Opções de Proteção de Captura de Tela (Dispositivo) para desativado para Bloquear captura de tela no cliente ou para Bloquear captura de tela no cliente e servidor com base em suas necessidades e selecione OK.

7. Selecione Seguinte.

8. Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.

9. No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

10. No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.

11. Quando a diretiva se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Política de Grupo

Para configurar a proteção de captura de tela usando a Diretiva de Grupo:

1. Siga as etapas para disponibilizar o modelo Administrativo para a Área de Trabalho Virtual do Azure na Política de Grupo.

2. Abra o console de Gerenciamento de Diretiva de Grupo no dispositivo que você usa para gerenciar o domínio do Ative Directory.

3. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

4. Navegue até Políticas>de Configuração>do Computador, Modelos Administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Host>da Sessão da Área de Trabalho Remota, Área de Trabalho Virtual do Azure.

   

5. Clique duas vezes na configuração de política Habilitar proteção de captura de tela para abri-la e selecione Habilitado.

   

6. No menu suspenso, selecione o cenário de proteção de captura de tela que deseja usar em Bloquear captura de tela no cliente ou Bloquear captura de tela no cliente e servidor com base em suas necessidades e, em seguida, selecione OK.

7. Verifique se a diretiva está aplicada aos computadores que fornecem uma sessão remota e reinicie-os para que as configurações entrem em vigor.

Verificar a proteção de captura de tela

Para verificar se a proteção de captura de tela está funcionando:

1. Conecte-se a uma sessão remota com um cliente suportado.

2. Faça uma captura de ecrã ou partilhe o seu ecrã numa chamada ou reunião do Teams. O conteúdo deve ser bloqueado ou oculto. Todas as sessões existentes precisam sair e entrar novamente para que a alteração entre em vigor.

Conteúdos relacionados

• Habilite a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.

• Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure em Práticas recomendadas de segurança.