你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
水印以及 屏幕捕获保护有助于防止在客户端终结点上捕获敏感信息。 启用水印时,QR 代码水印显示为远程桌面的一部分。 QR 码包含远程会话 的连接 ID 或 设备 ID ,管理员可以使用它来跟踪会话。 使用 Microsoft Intune 或 组策略 在会话主机上配置水印,并由 Windows App 或远程桌面客户端强制实施。
下面是显示启用水印时的屏幕截图:
重要
在会话主机上启用水印后,只有支持水印的客户端才能连接到该会话主机。 如果尝试从不受支持的客户端进行连接,连接将失败,并且你会收到一条不具体的错误消息。
水印仅适用于远程桌面。 使用 RemoteApp 时,不会应用水印,并且允许连接。
如果使用远程桌面连接应用 () 直接 (而不是通过 Azure 虚拟桌面)
mstsc.exe
连接到会话主机,则不会应用水印,并且允许连接。
先决条件
在使用水印之前,需要满足以下条件:
具有会话主机的现有主机池。
分配桌面虚拟化主机池参与者内置基于角色的访问控制 (RBAC) 主机池角色的Microsoft Entra ID帐户。
支持水印的客户端。 以下客户端支持水印:
远程桌面客户端用于:
- Windows 桌面版本 1.2.3317 或更高版本,Windows 10 及更高版本。
- Web 浏览器。
- macOS 版本 10.9.5 或更高版本。
- iOS/iPadOS 版本 10.5.4 或更高版本。
Windows App:
- Windows
- macOS
- iOS 和 iPadOS
- Android/Chrome OS (预览版)
- Web 浏览器
为环境配置的 Azure 虚拟桌面见解。
如果使用 Microsoft Intune 管理会话主机,则需要:
Microsoft Entra ID分配有策略和配置文件管理器内置 RBAC 角色的帐户。
包含要配置的设备的组。
如果在 Active Directory 域中使用组策略管理会话主机,则需要:
作为域管理员安全组成员的 域 帐户。
包含要配置的会话主机的安全组或组织单位 (OU) 。
启用水印
选择方案的相关选项卡。
若要使用 Microsoft Intune启用水印,
使用“设置”目录配置文件类型为Windows 10及更高版本的设备创建或编辑配置文件。
在设置选取器中,浏览到 管理模板>Windows 组件>远程桌面服务>远程桌面会话主机>Azure 虚拟桌面。
选中 “启用水印”框,然后关闭设置选取器。
重要
不要选择 [已弃用] 启用水印 ,因为此设置不包括用于指定 QR 码嵌入内容的选项。
展开 “管理模板” 类别,然后将 “启用水印” 开关切换为 “已启用”。
可以配置以下选项:
选项 值 说明 QR 代码位图比例因子 1 到 10
(默认值 = 4)每个 QR 码点的大小(以像素为单位)。 此值确定 QR 码中每个点的平方数。 QR 代码位图不透明度 100 到 9999 (默认值 = 2000) 水印的透明度如何,其中 100 是完全透明的。 网格框的宽度(以与 QR 代码位图宽度相关的百分比) 100 到 1000
(默认值 = 320)确定 QR 码之间的距离(以百分比为单位)。 当与高度结合使用时,值为 100 将使 QR 码并排显示并填满整个屏幕。 网格框的高度(以与 QR 代码位图宽度相关的百分比为单位) 100 到 1000
(默认值 = 180)确定 QR 码之间的距离(以百分比为单位)。 当与宽度结合使用时,值为 100 将使 QR 码并排显示并填满整个屏幕。 QR 代码嵌入内容 默认) (连接 ID
设备 ID指定是否应在 QR 代码中使用 连接ID 或设备 ID 。 仅选择“设备 ID”,其中会话主机位于个人主机池中,并已加入Microsoft Entra ID或Microsoft Entra混合联接。 提示
建议尝试不同的不透明度值,以在远程会话的可读性和能够扫描 QR 码之间找到平衡,但保留其他参数的默认值。
选择 下一步。
可选:在“ 作用域标记 ”选项卡上,选择范围标记以筛选配置文件。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。
在“ 分配 ”选项卡上,选择包含提供要配置的远程会话的计算机的组,然后选择“ 下一步”。
在“ 查看 + 创建 ”选项卡上,查看设置,然后选择“ 创建”。
将会话主机与Intune同步,使设置生效。
查找会话信息
启用水印后,可以使用 Azure 虚拟桌面见解或查询 Azure Monitor Log Analytics,从 QR 码查找会话信息。
Azure 虚拟桌面见解
若要使用 Azure 虚拟桌面见解从 QR 码中查找会话信息,请执行以下作:
打开 Web 浏览器并转到 https://aka.ms/avdi 以打开 Azure 虚拟桌面见解。 出现提示时使用 Azure 凭据登录。
选择相关的订阅、资源组、主机池和时间范围,然后选择“ 连接诊断 ”选项卡。
在 “ (重新) 建立连接的成功率 (%的连接) ”部分中,列出了所有连接,其中显示了 “首次尝试”、“ 连接 ID”、“ 用户”和“ 尝试次数”。 可以从此列表中的 QR 码中查找连接 ID,也可以导出到 Excel。
Azure Monitor 日志分析
若要通过查询 Azure Monitor Log Analytics 从 QR 码中查找会话信息,请执行以下作:
登录到Azure 门户。
在搜索栏中,键入 Log Analytics 工作区 并选择匹配的服务条目。
选择打开连接到 Azure 虚拟桌面环境的 Log Analytics 工作区。
在“ 常规”下,选择“ 日志”。
启动新查询,然后运行以下查询以获取特定连接 ID 的会话信息, (在 Log Analytics) 中表示为 CorrelationId ,并将
<connection ID>
替换为 QR 码中的完整或部分值:WVDConnections | where CorrelationId contains "<connection ID>"