Azure 虚拟桌面中的水印

水印以及 屏幕捕获保护有助于防止在客户端终结点上捕获敏感信息。 启用水印时，QR 代码水印显示为远程桌面的一部分。 QR 码包含远程会话 的连接 ID 或 设备 ID ，管理员可以使用它来跟踪会话。 使用 Microsoft Intune 或 组策略 在会话主机上配置水印，并由 Windows App 或远程桌面客户端强制实施。

下面是显示启用水印时的屏幕截图：

重要

• 在会话主机上启用水印后，只有支持水印的客户端才能连接到该会话主机。 如果尝试从不受支持的客户端进行连接，连接将失败，并且你会收到一条不具体的错误消息。

• 水印仅适用于远程桌面。 使用 RemoteApp 时，不会应用水印，并且允许连接。

• 如果使用远程桌面连接应用 () 直接 (而不是通过 Azure 虚拟桌面) mstsc.exe 连接到会话主机，则不会应用水印，并且允许连接。

先决条件

在使用水印之前，需要满足以下条件：

• 具有会话主机的现有主机池。

• 分配桌面虚拟化主机池参与者内置基于角色的访问控制 (RBAC) 主机池角色的Microsoft Entra ID帐户。

• 支持水印的客户端。 以下客户端支持水印：

  • 远程桌面客户端用于：

    • Windows 桌面版本 1.2.3317 或更高版本，Windows 10 及更高版本。
    • Web 浏览器。
    • macOS 版本 10.9.5 或更高版本。
    • iOS/iPadOS 版本 10.5.4 或更高版本。

  • Windows App：

    • Windows
    • macOS
    • iOS 和 iPadOS
    • Android/Chrome OS (预览版)
    • Web 浏览器

• 为环境配置的 Azure 虚拟桌面见解。

• 如果使用 Microsoft Intune 管理会话主机，则需要：

  • Microsoft Entra ID分配有策略和配置文件管理器内置 RBAC 角色的帐户。

  • 包含要配置的设备的组。

• 如果在 Active Directory 域中使用组策略管理会话主机，则需要：

  • 作为域管理员安全组成员的 域 帐户。

  • 包含要配置的会话主机的安全组或组织单位 (OU) 。

启用水印

选择方案的相关选项卡。

Microsoft Intune

若要使用 Microsoft Intune启用水印，

1. 登录到 Microsoft Intune 管理中心。

2. 使用“设置”目录配置文件类型为Windows 10及更高版本的设备创建或编辑配置文件。

3. 在设置选取器中，浏览到 管理模板>Windows 组件>远程桌面服务>远程桌面会话主机>Azure 虚拟桌面。

   

4. 选中 “启用水印”框，然后关闭设置选取器。

   重要

   不要选择 [已弃用] 启用水印 ，因为此设置不包括用于指定 QR 码嵌入内容的选项。

5. 展开 “管理模板” 类别，然后将 “启用水印” 开关切换为 “已启用”。

   

6. 可以配置以下选项：

   选项	值	说明
   QR 代码位图比例因子	1 到 10 (默认值 = 4)	每个 QR 码点的大小（以像素为单位）。 此值确定 QR 码中每个点的平方数。
   QR 代码位图不透明度	100 到 9999 (默认值 = 2000)	水印的透明度如何，其中 100 是完全透明的。
   网格框的宽度（以与 QR 代码位图宽度相关的百分比）	100 到 1000 (默认值 = 320)	确定 QR 码之间的距离（以百分比为单位）。 当与高度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   网格框的高度（以与 QR 代码位图宽度相关的百分比为单位）	100 到 1000 (默认值 = 180)	确定 QR 码之间的距离（以百分比为单位）。 当与宽度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   QR 代码嵌入内容	默认) (连接 ID 设备 ID	指定是否应在 QR 代码中使用 连接ID 或设备 ID 。 仅选择“设备 ID”，其中会话主机位于个人主机池中，并已加入Microsoft Entra ID或Microsoft Entra混合联接。

   提示

   建议尝试不同的不透明度值，以在远程会话的可读性和能够扫描 QR 码之间找到平衡，但保留其他参数的默认值。

7. 选择 下一步。

8. 可选：在“ 作用域标记 ”选项卡上，选择范围标记以筛选配置文件。 有关范围标记的详细信息，请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。

9. 在“ 分配 ”选项卡上，选择包含提供要配置的远程会话的计算机的组，然后选择“ 下一步”。

10. 在“ 查看 + 创建 ”选项卡上，查看设置，然后选择“ 创建”。

11. 将会话主机与Intune同步，使设置生效。

组策略

使用 组策略 启用水印：

1. 按照步骤使 Azure 虚拟桌面的管理模板在 组策略 中可用。

2. 在用于管理 Active Directory 域的设备上打开组策略管理控制台，然后创建或编辑一个策略，该策略面向提供要配置的远程会话的计算机。

3. 导航到“计算机配置>策略>”“管理模板>”“Windows 组件”“>远程桌面服务>”“远程桌面会话主机>”“Azure 虚拟桌面”。

4. 打开策略设置 “启用水印” 并将其设置为 “已启用”。

   

5. 可以配置以下选项：

   选项	值	说明
   QR 代码位图比例因子	1 到 10 (默认值 = 4)	每个 QR 码点的大小（以像素为单位）。 此值确定 QR 码中每个点的平方数。
   QR 代码位图不透明度	100 到 9999 (默认值 = 2000)	水印的透明度如何，其中 100 完全透明，9999 完全不透明。
   网格框的宽度（以与 QR 代码位图宽度相关的百分比）	100 到 1000 (默认值 = 320)	确定 QR 码之间的距离（以百分比为单位）。 当与高度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   网格框的高度（以与 QR 代码位图宽度相关的百分比为单位）	100 到 1000 (默认值 = 180)	确定 QR 码之间的距离（以百分比为单位）。 当与宽度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   QR 代码嵌入内容	默认) (连接 ID 设备 ID	指定是否应在 QR 代码中使用 连接ID 或设备 ID 。 仅选择“设备 ID”，其中会话主机位于个人主机池中，并已加入Microsoft Entra ID或Microsoft Entra混合联接。

   提示

   建议尝试不同的不透明度值，以在远程会话的可读性和能够扫描 QR 码之间找到平衡，但保留其他参数的默认值。

6. 确保策略已应用于会话主机，然后在会话主机上刷新组策略或重启这些主机，使设置生效。

7. 使用受支持的客户端连接到远程会话，其中应会显示 QR 码。 任何现有会话都需要注销并重新登录才能使更改生效。

查找会话信息

启用水印后，可以使用 Azure 虚拟桌面见解或查询 Azure Monitor Log Analytics，从 QR 码查找会话信息。

Azure 虚拟桌面见解

若要使用 Azure 虚拟桌面见解从 QR 码中查找会话信息，请执行以下作：

1. 打开 Web 浏览器并转到 https://aka.ms/avdi 以打开 Azure 虚拟桌面见解。 出现提示时使用 Azure 凭据登录。

2. 选择相关的订阅、资源组、主机池和时间范围，然后选择“ 连接诊断 ”选项卡。

3. 在 “ (重新) 建立连接的成功率 (%的连接) ”部分中，列出了所有连接，其中显示了 “首次尝试”、“ 连接 ID”、“ 用户”和“ 尝试次数”。 可以从此列表中的 QR 码中查找连接 ID，也可以导出到 Excel。

Azure Monitor 日志分析

若要通过查询 Azure Monitor Log Analytics 从 QR 码中查找会话信息，请执行以下作：

1. 登录到Azure 门户。

2. 在搜索栏中，键入 Log Analytics 工作区 并选择匹配的服务条目。

3. 选择打开连接到 Azure 虚拟桌面环境的 Log Analytics 工作区。

4. 在“ 常规”下，选择“ 日志”。

5. 启动新查询，然后运行以下查询以获取特定连接 ID 的会话信息， (在 Log Analytics) 中表示为 CorrelationId ，并将 <connection ID> 替换为 QR 码中的完整或部分值：

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

相关内容

• 在 Azure 虚拟桌面中启用屏幕捕获保护。