Aktivera skydd mot skärmdumpar i Azure Virtual Desktop

Skärmavbildningsskydd, tillsammans med vattenstämpling, hjälper till att förhindra att känslig information samlas in på klientslutpunkter via en specifik uppsättning operativsystemfunktioner (OS) och API:er (Application Programming Interfaces). När du aktiverar skärmdumpsskydd blockeras fjärrinnehåll automatiskt i skärmbilder och skärmdelning. Du kan konfigurera skärmdumpsskydd med hjälp av Microsoft Intune eller grupprincip på sessionsvärdarna.

Det finns två scenarier som stöds för skärmdumpsskydd, beroende på vilken version av Windows du använder:

• Blockera skärmdump på klienten: sessionsvärden instruerar en fjärrskrivbordsklient som stöds att aktivera skärmdumpsskydd för en fjärrsession. Det här alternativet förhindrar skärmdump från klienten för program som körs i fjärrsessionen.

• Blockera skärmdump på klient och server: Sessionsvärden instruerar en fjärrskrivbordsklient som stöds att aktivera skärmdumpsskydd för en fjärrsession. Det här alternativet förhindrar skärmdump från klienten för program som körs i fjärrsessionen, men förhindrar också att verktyg och tjänster i sessionsvärden fångar upp skärmen.

När skärmdumpsskydd är aktiverat kan användarna inte dela sitt fjärrskrivbordsfönster med hjälp av programvara för lokalt samarbete, till exempel Microsoft Teams. Med Teams kan varken den lokala Teams-appen eller teams med medieoptimering dela skyddat innehåll.

Dricks

• Om du vill öka säkerheten för känslig information bör du även inaktivera Omdirigering av Urklipp, enhet och skrivare. Om du inaktiverar omdirigering kan användarna inte kopiera innehåll från fjärrsessionen. Mer information om omdirigeringsvärden som stöds finns i Omdirigering av enheter.

• Om du vill förhindra andra metoder för skärmdump, till exempel att ta ett foto av en skärm med en fysisk kamera, kan du aktivera vattenstämpling, där administratörer kan använda en QR-kod för att spåra sessionen.

Förutsättningar

• Sessionsvärdarna måste köra någon av följande versioner av Windows för att använda skärmdumpsskydd:

  • Blockera skärmdump på klienten är tillgängligt med en version av Windows 10 eller Windows 11 som stöds.
  • Blockera skärmdump på klient och server är tillgängligt från och med Windows 11 version 22H2.

• Användare måste ansluta till Azure Virtual Desktop med Windows-appen eller fjärrskrivbordsappen för att kunna använda skärmdumpsskydd. I följande tabell visas scenarier som stöds. Om en användare försöker ansluta med en annan app eller version nekas anslutningen och ett felmeddelande visas med koden 0x1151.

  App	Version	Skrivbordssession	RemoteApp-session
  Windows-app i Windows	Alla	Ja	Ja. Klientenhetens operativsystem måste vara Windows 11, version 22H2 eller senare.
  Fjärrskrivbordsklient i Windows	1.2.1672 eller senare	Ja	Ja. Klientenhetens operativsystem måste vara Windows 11, version 22H2 eller senare.
  Azure Virtual Desktop Store-app	Alla	Ja	Ja. Klientenhetens operativsystem måste vara Windows 11, version 22H2 eller senare.
  Windows App på macOS	Alla	Ja	Ja
  Fjärrskrivbordsklient på macOS	10.7.0 eller senare	Ja	Ja

• För att konfigurera Microsoft Intune behöver du:

  • Microsoft Entra-ID-konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare .

  • En grupp som innehåller de enheter som du vill konfigurera.

• För att konfigurera grupprincip behöver du:

  • Ett domänkonto som är medlem i säkerhetsgruppen Domänadministratörer .

  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.

Aktivera skydd mot skärmdump

Skärmdumpsskydd konfigureras på sessionsvärdar och framtvingas av klienten. Välj relevant flik för ditt scenario.

Microsoft Intune

Så här konfigurerar du skydd mot skärmdumpar med Hjälp av Microsoft Intune:

1. Logga in på administrationscentret för Microsoft Intune.

2. Skapa eller redigera en konfigurationsprofil för Windows 10- och senare enheter med katalogprofiltypen Inställningar.

3. I inställningsväljaren bläddrar du till Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbordssession>Värd för>Azure Virtual Desktop.

   

4. Markera kryssrutan Aktivera skydd mot skärmdump och stäng sedan inställningsväljaren.

5. Expandera kategorin Administrativa mallar och växla sedan växeln för Aktivera skärmdumpsskydd till Aktiverad.

   

6. Växla växeln för Skärmfångstskyddsalternativ (enhet) till av för Blockera skärmdump på klienten eller på för Blockera skärmdump på klient och server baserat på dina krav och välj sedan OK.

7. Välj Nästa.

8. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

9. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

10. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

11. När principen gäller för datorerna som tillhandahåller en fjärrsession startar du om dem så att inställningarna börjar gälla.

Grupprincip

Så här konfigurerar du skärmdumpsskydd med hjälp av grupprincip:

1. Följ stegen för att göra den administrativa mallen för Azure Virtual Desktop tillgänglig i grupprincip.

2. Öppna grupprincip-hanteringskonsolen på en enhet som du använder för att hantera Active Directory-domänen.

3. Skapa eller redigera en princip som riktar sig till de datorer som tillhandahåller en fjärrsession som du vill konfigurera.

4. Gå till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>>Fjärrskrivbordssession Värd för>Azure Virtual Desktop.

   

5. Dubbelklicka på principinställningen Aktivera skärmdumpsskydd för att öppna det och välj sedan Aktiverad.

   

6. I den nedrullningsbara menyn väljer du det scenario för skärmdumpsskydd som du vill använda från Blockera skärmdump på klienten eller Blockera skärmdump på klient och server baserat på dina krav och välj sedan OK.

7. Se till att principen tillämpas på datorerna som tillhandahåller en fjärrsession och starta sedan om dem så att inställningarna börjar gälla.

Verifiera skydd mot skärmdump

Så här kontrollerar du att skärmdumpsskyddet fungerar:

1. Anslut till en fjärrsession med en klient som stöds.

2. Ta en skärmbild eller dela skärmen i ett Teams-samtal eller möte. Innehållet ska blockeras eller döljas. Alla befintliga sessioner måste logga ut och komma in igen för att ändringen ska börja gälla.

Relaterat innehåll

• Aktivera vattenstämpel, där administratörer kan använda en QR-kod för att spåra sessionen.

• Lär dig hur du skyddar din Azure Virtual Desktop-distribution enligt bästa praxis för säkerhet.