你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
屏幕捕获保护以及 水印有助于防止使用特定作系统 (作系统) 功能和 API 在客户端设备上捕获敏感数据。 启用屏幕捕获保护后,远程内容会自动在屏幕截图和屏幕共享中被阻止。
启用屏幕捕获保护后,用户无法使用本地协作软件(如 Microsoft Teams)共享其远程窗口。 使用 Teams 时,本地 Teams 应用或使用 具有媒体优化的 Teams 无法共享受保护的内容。
提示
确定配置
配置屏幕捕获保护的步骤取决于配置屏幕捕获保护的位置、用户从哪些平台进行连接以及要实现的方案。
Windows 和 macOS 设备:通过使用Intune设备配置策略或组策略配置会话主机,可以阻止屏幕捕获。 Windows App或远程桌面客户端从会话主机强制实施屏幕捕获保护设置,而无需进一步配置。
在会话主机上配置屏幕捕获保护时,还可以配置另外两个设置来帮助满足你的要求:
在客户端上阻止屏幕捕获:阻止从远程会话中运行的应用程序的本地设备进行屏幕捕获。
阻止客户端和服务器上的屏幕捕获:阻止从远程会话中运行的应用程序的本地设备的屏幕捕获,但也阻止会话主机中的工具和服务捕获屏幕。
在此方案中,下面是从每个平台类型进行连接时的结果:
平台 允许的连接 屏幕捕获已阻止 Windows ✅ ✅ macOS ✅ ✅ iOS/iPadOS ❌ 不适用 Android ❌ 不适用 Web ❌ 不适用 iOS/iPadOS 和 Android 设备:使用Microsoft Intune移动应用程序管理 (MAM) 来配置本地设备,从而阻止屏幕捕获。 它不会阻止会话主机中的工具和服务捕获屏幕。 有关详细信息,请参阅使用Microsoft Intune管理本地设备重定向设置。
在此方案中,下面是从每个平台类型进行连接时的结果:
平台 允许的连接 屏幕捕获已阻止 Windows ✅ ❌ macOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Web ✅ ❌
重要
需要根据要求选择要用于屏幕捕获保护的本地设备。 没有一种方案可以同时从同一会话主机在所有平台上启用屏幕捕获保护。 如果同时配置了两者,则会话主机上的屏幕捕获保护优先于在本地设备上使用 Intune MAM 策略。
macOS 上屏幕捕获保护的平台注意事项
虽然在 Windows 上完全受支持,但由于平台的当前安全体系结构,macOS 存在已知限制:
Microsoft Teams 兼容性:在 macOS 上,启用屏幕捕获保护可能会干扰Microsoft Teams 中的屏幕共享,可能导致共享窗口显示为空白或无法正确显示。 如果需要基于 Teams 的协作,则可能需要在设备上暂时禁用屏幕捕获保护。
平台级强制实施:由于 macOS 限制,某些本机应用程序可能不完全遵循屏幕捕获保护强制实施。 这是作系统可用 API 的限制,而不是屏幕捕获保护本身的缺陷。
下面是针对这些限制的一些建议:
对于协作密集型 macOS 工作流,请考虑根据业务需求和风险级别配置屏幕捕获保护设置。
对于高度敏感的内容,建议使用 Windows 终结点来全面实施屏幕保护功能。
水印和管理策略可用于进一步阻止在强制受限的平台上滥用。
先决条件
在配置屏幕捕获保护之前,请确保满足以下先决条件:
对于需要配置会话主机的方案,这些会话主机必须运行Windows 11版本 22H2 或更高版本,或者Windows 10版本 22H2 或更高版本。
用户必须使用Windows App或远程桌面应用连接到 Azure 虚拟桌面,才能使用屏幕捕获保护。 下表显示了支持的方案:
Windows App:
平台 最低版本 桌面会话 RemoteApp 会话 Windows 上的Windows App 任何 是 是。 本地设备 OS 必须Windows 11版本 22H2 或更高版本。 macOS 上的Windows App 任何 是 是 iOS/iPadOS 上的Windows App 11.0.8 是 是 Android (预览版) ¹ 上的Windows App 1.0.145 是 是 1. 不包括对 Chrome OS 的支持,因为 Chrome OS 不支持 Intune MAM。
远程桌面客户端:
平台 最低版本 桌面会话 RemoteApp 会话 Windows (桌面客户端) 1.2.1672 是 是。 本地设备 OS 必须Windows 11版本 22H2 或更高版本。 Windows (Azure 虚拟桌面应用商店应用) 任何 是 是。 本地设备 OS 必须Windows 11版本 22H2 或更高版本。 macOS 10.7.0 或更高版本 是 是
若要配置Microsoft Intune,需要:
Microsoft Entra ID分配有策略和配置文件管理器内置 RBAC 角色的帐户。
包含要配置的设备的组。
若要配置组策略,需要:
作为域管理员安全组成员的 域 帐户。
安全组或组织单位 (OU) ,其中包含要配置的设备。
使用Intune设备配置策略或组策略在会话主机上启用屏幕捕获保护
选择方案的相关选项卡。
若要使用 Microsoft Intune 在会话主机上配置屏幕捕获保护:
使用“设置”目录配置文件类型为Windows 10及更高版本的设备创建或编辑配置文件。
在设置选取器中,浏览到 管理模板>Windows 组件>远程桌面服务>远程桌面会话主机>Azure 虚拟桌面。
选中 “启用屏幕捕获保护”框,然后关闭设置选取器。
展开 “管理模板” 类别,然后将 “启用屏幕捕获保护” 开关切换为 “已启用”。
将“屏幕捕获保护选项”开关 (“设备) ”切换为“关闭”以阻止客户端上的屏幕捕获,或者根据你的要求将“阻止客户端和服务器上的屏幕捕获”切换为“关闭”,然后选择“确定”。
选择 下一步。
可选:在“ 作用域标记 ”选项卡上,选择范围标记以筛选配置文件。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。
在“ 分配 ”选项卡上,选择包含提供要配置的远程会话的计算机的组,然后选择“ 下一步”。
在“ 查看 + 创建 ”选项卡上,查看设置,然后选择“ 创建”。
策略应用于提供远程会话的计算机后,重启这些计算机,使设置生效。
使用 Intune MAM 在本地设备上启用屏幕捕获保护
若要在运行Windows App的 iOS/iPadOS 和 Android 设备上使用屏幕捕获保护,需要配置Intune应用保护策略。
配置Intune应用保护策略以在 iOS/iPadOS 和 Android 设备上启用屏幕捕获保护:
按照要求本地客户端设备符合Microsoft Intune和Microsoft Entra条件访问的步骤进行作。 本地客户端设备安全性合规性为在运行 Windows App 的 iOS/iPadOS 和 Android 设备上配置屏幕捕获保护提供了基础。
配置应用保护策略时,在“ 数据保护 ”选项卡上,根据平台配置以下设置:
对于 iOS/iPadOS,请将 “将组织数据发送到其他应用 ”设置为 “无”。
对于 Android,请将 “屏幕捕获和 Google 助手” 设置为 “阻止”。
根据要求配置其他设置,并将应用保护策略面向用户和设备。
验证屏幕捕获保护
若要验证屏幕捕获保护是否正常工作,请执行以下作:
使用受支持的客户端连接到新的远程会话。 不要重新连接到现有会话。 需要注销任何现有会话并重新登录,更改才能生效。
从本地设备获取屏幕截图或在 Teams 通话或会议中共享屏幕。 内容被阻止或隐藏。
在 Windows 和 macOS 设备上,如果在会话主机上 的客户端和服务器上启用了“阻止屏幕捕获 ”,请尝试在会话主机中使用工具或服务捕获屏幕。 内容被阻止或隐藏。
如果在会话主机上启用屏幕捕获保护,则必须从受支持的设备进行连接。 否则,会看到一条错误消息,指示已启用屏幕捕获保护。 错误消息类似于以下屏幕截图:
浏览器:
iOS/iPadOS:
