Подложка в Виртуальном рабочем столе Azure

Подложка, наряду с защитой от захвата экрана, помогает предотвратить захват конфиденциальной информации в конечных точках клиента. При включении водяных знаков в составе удаленных рабочих столов отображаются водяные знаки QR-кода. QR-код содержит идентификатор подключения или идентификатор устройства удаленного сеанса, который администраторы могут использовать для трассировки сеанса. Подложка настраивается на узлах сеансов с помощью Microsoft Intune или групповая политика и применяется Windows App или клиентом удаленного рабочего стола.

Ниже приведен снимок экрана, показывающий, как выглядит подложка, если она включена:

Важно!

• После включения подложки на узле сеанса к узлу сеанса могут подключаться только клиенты, поддерживающие водяные знаки. Если вы попытаетесь подключиться из неподдерживаемого клиента, подключение завершится ошибкой, и вы получите сообщение об ошибке, которое не является конкретным.

• Подложка применяется только для удаленных рабочих столов. В RemoteApp подложка не применяется, и подключение разрешено.

• Если вы подключаетесь к узлу сеансов напрямую (не через Виртуальный рабочий стол Azure) с помощью приложения подключения к удаленному рабочему столу (mstsc.exe), подложка не применяется и подключение разрешено.

Предварительные условия

Прежде чем использовать подложки, вам потребуется следующее:

• Существующий пул узлов с узлами сеансов.

• Учетная запись Microsoft Entra ID, которая как минимум назначается встроенным ролям управления доступом на основе ролей (RBAC) в пуле узлов.

• Клиент, поддерживающий водяные знаки. Подложку поддерживают следующие клиенты:

  • Клиент удаленного рабочего стола для:

    • Windows Desktop версии 1.2.3317 или более поздней версии Windows 10 и более поздних версий.
    • Веб-браузер.
    • macOS версии 10.9.5 или более поздней.
    • iOS/iPadOS версии 10.5.4 или более поздней.

  • Windows App для:

    • Windows
    • macOS
    • iOS и iPadOS
    • Android/Chrome OS (предварительная версия)
    • Веб-браузер

• Аналитика виртуальных рабочих столов Azure , настроенная для вашей среды.

• Если вы управляете узлами сеансов с помощью Microsoft Intune, вам потребуется:

  • Microsoft Entra ID учетную запись, которому назначена встроенная роль диспетчера политик и профилей RBAC.

  • Группа, содержащая устройства, которые требуется настроить.

• Если вы управляете узлами сеансов с помощью групповая политика в домене Active Directory, вам потребуется:

  • Учетная запись домена, которая является членом группы безопасности "Администраторы домена ".

  • Группа безопасности или подразделение, содержащее узлы сеансов, которые необходимо настроить.

Включение подложки

Выберите соответствующую вкладку для своего сценария.

Microsoft Intune

Чтобы включить подложку с помощью Microsoft Intune:

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

3. В окне выбора параметров перейдите к разделу Административные шаблоны>Компоненты WindowsСлужбыудаленных рабочих> столов > Узел >сеансов удаленных рабочих столовAzure Virtual Desktop.

   

4. Установите флажок Включить подложку, а затем закройте средство выбора параметров.

   Важно!

   Не выбирайте [Не рекомендуется] Включить водяные знаки , так как этот параметр не включает параметр для указания внедренного содержимого QR-кода.

5. Разверните категорию Административные шаблоны , а затем переключите параметр Включить подложку в положение Включено.

   

6. Можно настроить следующие параметры:

   Вариант	Значения	Описание
   Коэффициент масштабирования растрового изображения QR-кода	от 1 до 10 (по умолчанию = 4)	Размер каждой точки QR-кода в пикселях. Это значение определяет, сколько квадратов на точку в QR-коде.
   Прозрачность растрового изображения QR-кода	От 100 до 9999 (по умолчанию — 2000)	Насколько прозрачна подложка, где 100 полностью прозрачна.
   Ширина сетки в процентах, соответствующая ширине растрового изображения QR-кода	от 100 до 1000 (по умолчанию = 320)	Определяет расстояние между QR-кодами в процентах. В сочетании с высотой значение 100 приведет к тому, что QR-коды отображаются рядом и заполняют весь экран.
   Высота сетки в процентах, соответствующая ширине растрового изображения QR-кода	от 100 до 1000 (по умолчанию = 180)	Определяет расстояние между QR-кодами в процентах. В сочетании с шириной значение 100 приведет к тому, что QR-коды отображаются рядом и заполняют весь экран.
   Внедренное содержимое QR-кода	Идентификатор подключения (по умолчанию) Код устройства	Укажите, следует ли использовать идентификатор подключения или идентификатор устройства в QR-коде. Выберите только идентификатор устройства с узлами сеансов, которые находятся в личном пуле узлов и присоединены к Microsoft Entra ID или Microsoft Entra гибридного присоединения.

   Совет

   Мы рекомендуем попробовать различные значения непрозрачности, чтобы найти баланс между удобочитаемостью удаленного сеанса и возможностью сканирования QR-кода, но при этом сохранить значения по умолчанию для других параметров.

7. Нажмите кнопку Далее.

8. Необязательно. На вкладке Теги области выберите тег область, чтобы отфильтровать профиль. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

9. На вкладке Назначения выберите группу, содержащую компьютеры, предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку Далее.

10. На вкладке Просмотр и создание просмотрите параметры, а затем выберите Создать.

11. Синхронизируйте узлы сеансов с Intune, чтобы параметры вступают в силу.

Групповая политика

Чтобы включить подложку с помощью групповая политика:

1. Выполните действия, чтобы сделать шаблон "Административный" для Виртуального рабочего стола Azure доступным в групповая политика.

2. Откройте консоль управления групповая политика на устройстве, используемом для управления доменом Active Directory, а затем создайте или измените политику, предназначенную для компьютеров, предоставляющих удаленный сеанс, который требуется настроить.

3. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsСлужбы удаленных рабочих>столов Узел> сеансов удаленных рабочих столовAzure.

4. Откройте параметр политики Включить подложку и установите для него значение Включено.

   

5. Можно настроить следующие параметры:

   Вариант	Значения	Описание
   Коэффициент масштабирования растрового изображения QR-кода	от 1 до 10 (по умолчанию = 4)	Размер каждой точки QR-кода в пикселях. Это значение определяет, сколько квадратов на точку в QR-коде.
   Прозрачность растрового изображения QR-кода	От 100 до 9999 (по умолчанию — 2000)	Насколько прозрачным является водяной знак, где 100 полностью прозрачный, а 9999 — полностью непрозрачный.
   Ширина сетки в процентах, соответствующая ширине растрового изображения QR-кода	от 100 до 1000 (по умолчанию = 320)	Определяет расстояние между QR-кодами в процентах. В сочетании с высотой значение 100 приведет к тому, что QR-коды отображаются рядом и заполняют весь экран.
   Высота сетки в процентах, соответствующая ширине растрового изображения QR-кода	от 100 до 1000 (по умолчанию = 180)	Определяет расстояние между QR-кодами в процентах. В сочетании с шириной значение 100 приведет к тому, что QR-коды отображаются рядом и заполняют весь экран.
   Внедренное содержимое QR-кода	Идентификатор подключения (по умолчанию) Код устройства	Укажите, следует ли использовать идентификатор подключения или идентификатор устройства в QR-коде. Выберите только идентификатор устройства с узлами сеансов, которые находятся в личном пуле узлов и присоединены к Microsoft Entra ID или Microsoft Entra гибридного присоединения.

   Совет

   Мы рекомендуем попробовать различные значения непрозрачности, чтобы найти баланс между удобочитаемостью удаленного сеанса и возможностью сканирования QR-кода, но при этом сохранить значения по умолчанию для других параметров.

6. Убедитесь, что политика применяется к узлам сеансов, а затем обновите групповая политика на узлах сеансов или перезапустите их, чтобы параметры вступили в силу.

7. Подключитесь к удаленному сеансу с помощью поддерживаемого клиента, где должны отображаться QR-коды. Чтобы изменения вступают в силу, все существующие сеансы должны выйти из нее и снова войти.

Поиск сведений о сеансе

После включения подложки сведения о сеансе можно найти из QR-кода с помощью Аналитики виртуальных рабочих столов Azure или запроса Azure Monitor Log Analytics.

Аналитика виртуальных рабочих столов Azure

Чтобы узнать сведения о сеансе из QR-кода с помощью Аналитики виртуальных рабочих столов Azure, выполните следующие действия:

1. Откройте веб-браузер и перейдите по адресу https://aka.ms/avdi , чтобы открыть Аналитику виртуальных рабочих столов Azure. Войдите с помощью учетных данных Azure при появлении запроса.

2. Выберите соответствующую подписку, группу ресурсов, пул узлов и диапазон времени, а затем перейдите на вкладку Диагностика подключения .

3. В разделе Коэффициент успешного выполнения (повторно)установления подключения (% подключений) приведен список всех подключений, показывающих первую попытку, идентификатор подключения, пользователя и попытки. Вы можете найти идентификатор подключения из QR-кода в этом списке или экспортировать в Excel.

Azure Monitor Log Analytics

Чтобы узнать сведения о сеансе из QR-кода, запросив Azure Monitor Log Analytics, выполните следующие действия:

1. Войдите в портал Azure.

2. В строке поиска введите Log Analytics workspaces и выберите соответствующую запись службы.

3. Выберите , чтобы открыть рабочую область Log Analytics, подключенную к среде Виртуального рабочего стола Azure.

4. В разделе Общие выберите Журналы.

5. Запустите новый запрос, а затем выполните следующий запрос, чтобы получить сведения о сеансе для определенного идентификатора подключения (представленного как CorrelationId в Log Analytics), заменив <connection ID> полным или частичным значением из QR-кода:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Связанные материалы

• Включите защиту снимка экрана в Виртуальном рабочем столе Azure.