Vattenstämpling i Azure Virtual Desktop

Vattenstämpling, tillsammans med skydd mot skärmdumpar, hjälper till att förhindra att känslig information samlas in på klientslutpunkter. När du aktiverar vattenstämplar visas QR-kodvattenstämplar som en del av fjärrskrivbord. QR-koden innehåller anslutnings-ID eller enhets-ID för en fjärrsession som administratörer kan använda för att spåra sessionen. Vattenstämpling konfigureras på sessionsvärdar med hjälp av Microsoft Intune eller grupprincip och framtvingas av Windows App eller Fjärrskrivbordsklienten.

Här är en skärmbild som visar hur vattenstämpel ser ut när den är aktiverad:

Viktigt!

• När vattenstämpling har aktiverats på en sessionsvärd kan endast klienter som stöder vattenstämpling ansluta till sessionsvärden. Om du försöker ansluta från en klient som inte stöds misslyckas anslutningen och du får ett felmeddelande som inte är specifikt.

• Vattenstämpel är endast för fjärrskrivbord. Med RemoteApp tillämpas inte vattenstämpling och anslutningen tillåts.

• Om du ansluter till en sessionsvärd direkt (inte via Azure Virtual Desktop) med appen Anslutning till fjärrskrivbord (mstsc.exe), tillämpas inte vattenstämpel och anslutningen tillåts.

Förutsättningar

Du behöver följande innan du kan använda vattenstämpel:

• En befintlig värdpool med sessionsvärdar.

• Ett Microsoft Entra-ID-konto som har tilldelats inbyggda rollbaserade rbac-roller (Rollbaserad åtkomstkontroll) för värdpoolen som ett minimum.

• En klient som stöder vattenstämpling. Följande klienter stöder vattenstämpling:

  • Fjärrskrivbordsklient för:

    • Windows Desktop, version 1.2.3317 eller senare, på Windows 10 och senare.
    • Webbläsare.
    • macOS, version 10.9.5 eller senare.
    • iOS/iPadOS, version 10.5.4 eller senare.

  • Windows App för:

    • Windows
    • macOS
    • iOS och iPadOS
    • Webbläsare

• Azure Virtual Desktop Insights har konfigurerats för din miljö.

• Om du hanterar dina sessionsvärdar med Microsoft Intune behöver du:

  • Microsoft Entra-ID-konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare .

  • En grupp som innehåller de enheter som du vill konfigurera.

• Om du hanterar dina sessionsvärdar med grupprincip i en Active Directory-domän behöver du:

  • Ett domänkonto som är medlem i säkerhetsgruppen Domänadministratörer .

  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de sessionsvärdar som du vill konfigurera.

Aktivera vattenstämpel

Välj relevant flik för ditt scenario.

Microsoft Intune

Så här aktiverar du vattenstämpling med Hjälp av Microsoft Intune:

1. Logga in på administrationscentret för Microsoft Intune.

2. Skapa eller redigera en konfigurationsprofil för Windows 10- och senare enheter med katalogprofiltypen Inställningar.

3. I inställningsväljaren bläddrar du till Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbordssession>Värd för>Azure Virtual Desktop.

   

4. Markera kryssrutan Aktivera vattenstämpel och stäng sedan inställningsväljaren.

   Viktigt!

   Välj inte [Inaktuell] Aktivera vattenstämpling eftersom den här inställningen inte innehåller alternativet att ange det inbäddade QR-kodinnehållet.

5. Expandera kategorin Administrativa mallar och växla sedan växeln för Aktivera vattenstämpel till Aktiverad.

   

6. Du kan konfigurera följande alternativ:

   Alternativ	Värden	beskrivning
   Skalningsfaktor för QR-kodbitmapp	1 till 10 (standard = 4)	Storleken i bildpunkter för varje QR-kodpunkt. Det här värdet avgör hur många rutor per punkt i QR-koden.
   Opacitet för QR-kodbitmapp	100 till 9999 (standard = 2000)	Hur transparent vattenstämpeln är, där 100 är helt transparent.
   Bredd på rutnätsrutan i procent som är relevant för bitmappsbredden för QR-kod	100 till 1000 (standard = 320)	Avgör avståndet mellan QR-koderna i procent. I kombination med höjden skulle värdet 100 få QR-koderna att visas sida vid sida och fylla hela skärmen.
   Rutnätsrutans höjd i procent som är relevant för QR-kodbitmappens bredd	100 till 1000 (standard = 180)	Avgör avståndet mellan QR-koderna i procent. I kombination med bredden skulle ett värde på 100 göra så att QR-koderna visas sida vid sida och fyller hela skärmen.
   Inbäddat QR-kodinnehåll	Anslutnings-ID (standard) Enhets-ID	Ange om anslutnings-ID eller enhets-ID ska användas i QR-koden. Välj endast Enhets-ID med sessionsvärdar som finns i en personlig värdpool och som är anslutna till Microsoft Entra-ID eller Microsoft Entra-hybridanslutning.

   Dricks

   Vi rekommenderar att du testar olika ogenomskinlighetsvärden för att hitta en balans mellan fjärrsessionens läsbarhet och att kunna skanna QR-koden, men behålla standardvärdena för de andra parametrarna.

7. Välj Nästa.

8. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

9. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

10. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

11. Synkronisera sessionsvärdarna med Intune så att inställningarna börjar gälla.

Grupprincip

Så här aktiverar du vattenstämpling med hjälp av grupprincip:

1. Följ stegen för att göra den administrativa mallen för Azure Virtual Desktop tillgänglig i grupprincip.

2. Öppna grupprincip-hanteringskonsolen på en enhet som du använder för att hantera Active Directory-domänen och skapa eller redigera sedan en princip som riktar sig till datorerna som tillhandahåller en fjärrsession som du vill konfigurera.

3. Gå till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>>Fjärrskrivbordssession Värd för>Azure Virtual Desktop.

4. Öppna principinställningen Aktivera vattenstämpel och ställ in den på Aktiverad.

   

5. Du kan konfigurera följande alternativ:

   Alternativ	Värden	beskrivning
   Skalningsfaktor för QR-kodbitmapp	1 till 10 (standard = 4)	Storleken i bildpunkter för varje QR-kodpunkt. Det här värdet avgör hur många rutor per punkt i QR-koden.
   Opacitet för QR-kodbitmapp	100 till 9999 (standard = 2000)	Hur transparent vattenstämpeln är, där 100 är helt transparent och 9999 är helt ogenomskinlig.
   Bredd på rutnätsrutan i procent som är relevant för bitmappsbredden för QR-kod	100 till 1000 (standard = 320)	Avgör avståndet mellan QR-koderna i procent. I kombination med höjden skulle värdet 100 få QR-koderna att visas sida vid sida och fylla hela skärmen.
   Rutnätsrutans höjd i procent som är relevant för QR-kodbitmappens bredd	100 till 1000 (standard = 180)	Avgör avståndet mellan QR-koderna i procent. I kombination med bredden skulle ett värde på 100 göra så att QR-koderna visas sida vid sida och fyller hela skärmen.
   Inbäddat QR-kodinnehåll	Anslutnings-ID (standard) Enhets-ID	Ange om anslutnings-ID eller enhets-ID ska användas i QR-koden. Välj endast Enhets-ID med sessionsvärdar som finns i en personlig värdpool och som är anslutna till Microsoft Entra-ID eller Microsoft Entra-hybridanslutning.

   Dricks

   Vi rekommenderar att du testar olika ogenomskinlighetsvärden för att hitta en balans mellan fjärrsessionens läsbarhet och att kunna skanna QR-koden, men behålla standardvärdena för de andra parametrarna.

6. Kontrollera att principen tillämpas på dina sessionsvärdar och uppdatera sedan grupprincip på sessionsvärdarna eller starta om dem för att inställningarna ska börja gälla.

7. Anslut till en fjärrsession med en klient som stöds, där du bör se QR-koder. Alla befintliga sessioner måste logga ut och in igen för att ändringen ska börja gälla.

Hitta sessionsinformation

När du har aktiverat vattenstämpling kan du hitta sessionsinformationen från QR-koden med hjälp av Azure Virtual Desktop Insights eller köra frågor mot Azure Monitor Log Analytics.

Azure Virtual Desktop Insights

Ta reda på sessionsinformationen från QR-koden med hjälp av Azure Virtual Desktop Insights:

1. Öppna en webbläsare och gå till för att https://aka.ms/avdi öppna Azure Virtual Desktop Insights. Logga in med dina Azure-autentiseringsuppgifter när du uppmanas att göra det.

2. Välj relevant prenumeration, resursgrupp, värdpool och tidsintervall och välj sedan fliken Anslutningsdiagnostik .

3. I avsnittet Lyckades (om)upprätta en anslutning (% av anslutningarna) finns det en lista över alla anslutningar som visar första försöket, anslutnings-ID, användare och försök. Du kan söka efter anslutnings-ID:t från QR-koden i den här listan eller exportera till Excel.

Azure Monitor Log Analytics

Ta reda på sessionsinformationen från QR-koden genom att fråga Azure Monitor Log Analytics:

1. Logga in på Azure-portalen.

2. I sökfältet skriver du Log Analytics-arbetsytor och väljer den matchande tjänstposten.

3. Välj för att öppna Log Analytics-arbetsytan som är ansluten till din Azure Virtual Desktop-miljö.

4. Under Allmäntväljer du Loggar.

5. Starta en ny fråga och kör sedan följande fråga för att hämta sessionsinformation för ett specifikt anslutnings-ID (representerat som CorrelationId i Log Analytics) och ersätt <connection ID> med det fullständiga eller partiella värdet från QR-koden:

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Relaterat innehåll

• Aktivera skärmdumpsskydd i Azure Virtual Desktop.