Поделиться через


Включение защиты от захвата экрана в Виртуальном рабочем столе Azure

Защита от захвата экрана, наряду с водяными знаками, помогает предотвратить захват конфиденциальных данных на клиентских устройствах с помощью определенных функций операционной системы (ОС) и API. При включении защиты снимка экрана удаленное содержимое автоматически блокируется на снимках экранах и совместном использовании экрана.

Если включена защита от захвата экрана, пользователи не могут предоставлять общий доступ к удаленному окну с помощью локального программного обеспечения для совместной работы, например Microsoft Teams. В Teams локальное приложение Teams или с помощью Teams с оптимизацией мультимедиа не может совместно использовать защищенное содержимое.

Совет

  • Чтобы повысить безопасность конфиденциальной информации, следует также отключить перенаправление буфера обмена, диска и принтера. Отключение перенаправления помогает запретить пользователям копировать содержимое из удаленного сеанса. Сведения о поддерживаемых значениях перенаправления см. в статье Перенаправление устройств.

  • Чтобы запретить другие методы захвата экрана, такие как фото экрана с физической камерой, можно включить подложки, где администраторы могут использовать QR-код для отслеживания сеанса.

Определение конфигурации

Действия по настройке защиты от захвата экрана зависят от того, где вы ее настраиваете, с каких платформ подключаются пользователи и какой сценарий вы хотите реализовать.

  • Устройства с Windows и macOS: вы можете запретить захват экрана, настроив узлы сеансов с помощью политики конфигурации устройств Intune или групповая политика. Windows App или клиент удаленного рабочего стола применяет параметры защиты от захвата экрана с узла сеанса без дополнительной настройки.

    При настройке защиты от захвата экрана на узлах сеансов можно настроить два дополнительных параметра в соответствии с вашими требованиями:

    • Блокировать захват экрана на клиенте: запрещает захват экрана с локального устройства приложений, запущенных в удаленном сеансе.

    • Блокировать захват экрана на клиенте и сервере: запрещает захват экрана с локального устройства приложений, работающих в удаленном сеансе, но также предотвращает захват экрана средствами и службами в узле сеанса.

    В этом сценарии ниже приведен результат подключения с каждого типа платформы:

    Платформа Подключение разрешено Снимок экрана заблокирован
    Windows
    macOS
    iOS/iPadOS Н/Д
    Android Н/Д
    Web Н/Д
  • Устройства iOS/iPadOS и Android: вы можете предотвратить захват экрана, настроив локальные устройства с помощью Microsoft Intune управления мобильными приложениями (MAM). Это не препятствует захвату экрана средствами и службами в узле сеансов. Дополнительные сведения см. в статье Управление параметрами перенаправления локальных устройств с помощью Microsoft Intune.

    В этом сценарии ниже приведен результат подключения с каждого типа платформы:

    Платформа Подключение разрешено Снимок экрана заблокирован
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

Важно!

Необходимо выбрать, какие локальные устройства следует использовать с защитой от захвата экрана, в зависимости от ваших требований. Не существует сценария, в котором можно включить защиту захвата экрана на всех платформах с одного узла сеансов одновременно. Если они настроены, защита от захвата экрана на узлах сеансов имеет приоритет над использованием политики MAM Intune на локальных устройствах.

Рекомендации по использованию платформы для защиты от захвата экрана в macOS

Хотя в Windows полностью поддерживается, существуют известные ограничения для macOS из-за текущей архитектуры безопасности платформы:

  • Совместимость Microsoft Teams. В macOS включение защиты от захвата экрана может помешать совместному использованию экрана в Microsoft Teams, что может привести к тому, что общие окна будут отображаться пустыми или не будут отображаться должным образом. Если требуется совместная работа на основе Teams, на устройстве может потребоваться временно отключить защиту от захвата экрана.

  • Принудительное применение на уровне платформы. Из-за ограничений macOS некоторые собственные приложения могут не полностью соблюдать принудительное применение защиты от захвата экрана. Это ограничение доступных API операционной системы, а не дефект в самой защите от захвата экрана.

Ниже приведены некоторые рекомендации по этим ограничениям.

  • Для рабочих процессов macOS с высокой интенсивностью совместной работы рекомендуется настроить параметры защиты от захвата экрана в зависимости от бизнес-потребности и уровня риска.

  • Для содержимого с высоким уровнем конфиденциальности рекомендуется использовать конечные точки Windows для полного применения функций защиты экрана.

  • Водяные знаки и административные политики можно использовать для дальнейшего противодействия неправильному использованию на платформах с ограниченным применением.

Предварительные условия

Перед настройкой защиты от захвата экрана убедитесь, что выполнены следующие предварительные требования:

  • В сценариях, в которых необходимо настроить узлы сеансов, эти узлы сеансов должны работать под управлением Windows 11 версии 22H2 или более поздней или Windows 10 версии 22H2 или более поздней.

  • Чтобы использовать защиту от захвата экрана, пользователи должны подключаться к Виртуальному рабочему столу Azure с помощью Windows App или приложения удаленного рабочего стола. В следующей таблице показаны поддерживаемые сценарии.

    • Windows App:

      Платформа Минимальная версия Сеанс рабочего стола Сеанс RemoteApp
      Windows App в Windows Любой Да Да. Ос локального устройства должна быть Windows 11 версии 22H2 или более поздней.
      Windows App в macOS Любой Да Да
      Windows App в iOS/iPadOS 11.0.8 Да Да
      Windows App на Android (предварительная версия)¹ 1.0.145 Да Да

      1. Не включает поддержку Chrome OS, так как Intune MAM не поддерживается в Chrome OS.

    • Клиент удаленного рабочего стола:

      Платформа Минимальная версия Сеанс рабочего стола Сеанс RemoteApp
      Windows (классический клиент) 1.2.1672 Да Да. Ос локального устройства должна быть Windows 11 версии 22H2 или более поздней.
      Windows (приложение Магазина виртуальных рабочих столов Azure) Любой Да Да. Ос локального устройства должна быть Windows 11 версии 22H2 или более поздней.
      macOS 10.7.0 или более поздней версии Да Да
  • Чтобы настроить Microsoft Intune, вам потребуется:

    • Microsoft Entra ID учетную запись, которому назначена встроенная роль диспетчера политик и профилей RBAC.

    • Группа, содержащая устройства, которые требуется настроить.

  • Чтобы настроить групповая политика, вам потребуется следующее:

    • Учетная запись домена, которая является членом группы безопасности "Администраторы домена ".

    • Группа безопасности или подразделение, содержащее устройства, которые нужно настроить.

Включение защиты от захвата экрана на узлах сеансов с помощью политики конфигурации устройства Intune или групповая политика

Выберите соответствующую вкладку для своего сценария.

Чтобы настроить защиту снимка экрана на узлах сеансов с помощью Microsoft Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

  3. В окне выбора параметров перейдите к разделу Административные шаблоны>Компоненты WindowsСлужбыудаленных рабочих> столов > Узел >сеансов удаленных рабочих столовAzure Virtual Desktop.

    Снимок экрана: параметры Виртуального рабочего стола Azure на портале Microsoft Intune.

  4. Установите флажок Включить защиту от захвата экрана, а затем закройте средство выбора параметров.

  5. Разверните категорию Административные шаблоны , а затем установите переключатель Включить защиту снимка экрана в положение Включено.

    Снимок экрана: параметры защиты от захвата экрана в Microsoft Intune.

  6. Переключите переключатель параметра Параметры защиты от захвата экрана (устройство) в положение "Отключить " для параметра Блокировать захват экрана на клиенте или в полеБлокировать захват экрана на клиенте и сервере в соответствии с вашими требованиями, а затем нажмите кнопку ОК.

  7. Нажмите кнопку Далее.

  8. Необязательно. На вкладке Теги области выберите тег область, чтобы отфильтровать профиль. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  9. На вкладке Назначения выберите группу, содержащую компьютеры, предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку Далее.

  10. На вкладке Просмотр и создание просмотрите параметры, а затем выберите Создать.

  11. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Включение защиты захвата экрана на локальных устройствах с помощью Intune MAM

Чтобы использовать защиту от захвата экрана на устройствах iOS/iPadOS и Android под управлением Windows App, необходимо настроить политику защиты приложений Intune.

Чтобы настроить политику защиты приложений Intune для включения защиты снимка экрана на устройствах iOS/iPadOS и Android:

  1. Выполните действия, описанные в статье Требование обеспечения безопасности локального клиентского устройства с помощью Microsoft Intune и условного доступа Microsoft Entra. Соответствие требованиям безопасности локального клиентского устройства обеспечивает основу для настройки защиты от захвата экрана на устройствах iOS/iPadOS и Android под управлением Windows App.

  2. При настройке политики защиты приложений на вкладке Защита данных настройте следующий параметр в зависимости от платформы:

    1. Для iOS/iPadOS установите для параметра Отправка данных организации в другие приложения значение Нет.

    2. Для Android установите для параметра Захват экрана и Google Assistant значение Блокировать.

  3. Настройте другие параметры на основе ваших требований и нацелите политику защиты приложений на пользователей и устройства.

Проверка защиты снимка экрана

Чтобы убедиться, что защита от захвата экрана работает, выполните приведенные ниже действия.

  1. Подключитесь к новому удаленному сеансу с помощью поддерживаемого клиента. Не подключайтесь к существующему сеансу. Чтобы изменения вступают в силу, необходимо выйти из существующих сеансов и снова войти в систему.

  2. С локального устройства сделайте снимок экрана или поделитесь своим экраном во время звонка или собрания Teams. Содержимое заблокировано или скрыто.

  3. Если на устройствах Windows и macOS включена блокировка записи экрана на клиенте и сервере на узлах сеансов, попробуйте захватить экран с помощью средства или службы в узле сеансов. Содержимое заблокировано или скрыто.

Если включить защиту снимка экрана на узлах сеансов, необходимо подключиться с поддерживаемого устройства. В противном случае появится сообщение об ошибке, указывающее, что защита от захвата экрана включена. Сообщение об ошибке выглядит примерно так:

  • Веб-обозреватель:

    Снимок экрана: Windows App в веб-браузере с сообщением об ошибке о том, что запись экрана включена и вам нужно подключиться из поддерживаемого клиента.

  • iOS/iPadOS:

    Снимок экрана: Windows App для iOS/iPadOS с сообщением об ошибке о том, что запись экрана включена и необходимо подключиться из поддерживаемого клиента.