你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面中的水印

水印以及 屏幕捕获保护有助于防止在客户端终结点上捕获敏感信息。 启用水印时,QR 代码水印显示为远程桌面的一部分。 QR 码包含远程会话 的连接 ID设备 ID ,管理员可以使用它来跟踪会话。 使用 Microsoft Intune 或 组策略 在会话主机上配置水印,并由 Windows App 或远程桌面客户端强制实施。

下面是显示启用水印时的屏幕截图:

显示远程桌面上已启用水印的屏幕截图。

重要

  • 在会话主机上启用水印后,只有支持水印的客户端才能连接到该会话主机。 如果尝试从不受支持的客户端进行连接,连接将失败,并且你会收到一条不具体的错误消息。

  • 水印仅适用于远程桌面。 使用 RemoteApp 时,不会应用水印,并且允许连接。

  • 如果使用远程桌面连接应用 () 直接 (而不是通过 Azure 虚拟桌面) mstsc.exe 连接到会话主机,则不会应用水印,并且允许连接。

先决条件

在使用水印之前,需要满足以下条件:

  • 具有会话主机的现有主机池。

  • 分配桌面虚拟化主机池参与者内置基于角色的访问控制 (RBAC) 主机池角色的Microsoft Entra ID帐户。

  • 支持水印的客户端。 以下客户端支持水印:

    • 远程桌面客户端用于:

    • Windows App:

      • Windows
      • macOS
      • iOS 和 iPadOS
      • Android/Chrome OS (预览版)
      • Web 浏览器
  • 为环境配置的 Azure 虚拟桌面见解

  • 如果使用 Microsoft Intune 管理会话主机,则需要:

  • 如果在 Active Directory 域中使用组策略管理会话主机,则需要:

    • 作为域管理员安全组成员的 帐户。

    • 包含要配置的会话主机的安全组或组织单位 (OU) 。

启用水印

选择方案的相关选项卡。

若要使用 Microsoft Intune启用水印,

  1. 登录到 Microsoft Intune 管理中心

  2. 使用“设置”目录配置文件类型为Windows 10及更高版本的设备创建或编辑配置文件。

  3. 在设置选取器中,浏览到 管理模板>Windows 组件>远程桌面服务>远程桌面会话主机>Azure 虚拟桌面

    Intune管理中心的屏幕截图,其中显示了 Azure 虚拟桌面设置。

  4. 选中 “启用水印”框,然后关闭设置选取器。

    重要

    不要选择 [已弃用] 启用水印 ,因为此设置不包括用于指定 QR 码嵌入内容的选项。

  5. 展开 “管理模板” 类别,然后将 “启用水印” 开关切换为 “已启用”。

    Intune中可用水印设置的屏幕截图。

  6. 可以配置以下选项:

    选项 说明
    QR 代码位图比例因子 1 到 10
    (默认值 = 4)
    每个 QR 码点的大小(以像素为单位)。 此值确定 QR 码中每个点的平方数。
    QR 代码位图不透明度 100 到 9999 (默认值 = 2000) 水印的透明度如何,其中 100 是完全透明的。
    网格框的宽度(以与 QR 代码位图宽度相关的百分比) 100 到 1000
    (默认值 = 320)
    确定 QR 码之间的距离(以百分比为单位)。 当与高度结合使用时,值为 100 将使 QR 码并排显示并填满整个屏幕。
    网格框的高度(以与 QR 代码位图宽度相关的百分比为单位) 100 到 1000
    (默认值 = 180)
    确定 QR 码之间的距离(以百分比为单位)。 当与宽度结合使用时,值为 100 将使 QR 码并排显示并填满整个屏幕。
    QR 代码嵌入内容 默认) (连接 ID
    设备 ID
    指定是否应在 QR 代码中使用 连接ID 或设备 ID 。 仅选择“设备 ID”,其中会话主机位于个人主机池中,并已加入Microsoft Entra ID或Microsoft Entra混合联接。

    提示

    建议尝试不同的不透明度值,以在远程会话的可读性和能够扫描 QR 码之间找到平衡,但保留其他参数的默认值。

  7. 选择 下一步

  8. 可选:在“ 作用域标记 ”选项卡上,选择范围标记以筛选配置文件。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记

  9. 在“ 分配 ”选项卡上,选择包含提供要配置的远程会话的计算机的组,然后选择“ 下一步”。

  10. 在“ 查看 + 创建 ”选项卡上,查看设置,然后选择“ 创建”。

  11. 将会话主机与Intune同步,使设置生效。

查找会话信息

启用水印后,可以使用 Azure 虚拟桌面见解或查询 Azure Monitor Log Analytics,从 QR 码查找会话信息。

Azure 虚拟桌面见解

若要使用 Azure 虚拟桌面见解从 QR 码中查找会话信息,请执行以下作:

  1. 打开 Web 浏览器并转到 https://aka.ms/avdi 以打开 Azure 虚拟桌面见解。 出现提示时使用 Azure 凭据登录。

  2. 选择相关的订阅、资源组、主机池和时间范围,然后选择“ 连接诊断 ”选项卡。

  3. “ (重新) 建立连接的成功率 (%的连接) ”部分中,列出了所有连接,其中显示了 “首次尝试”、“ 连接 ID”、“ 用户”和“ 尝试次数”。 可以从此列表中的 QR 码中查找连接 ID,也可以导出到 Excel。

Azure Monitor 日志分析

若要通过查询 Azure Monitor Log Analytics 从 QR 码中查找会话信息,请执行以下作:

  1. 登录到Azure 门户

  2. 在搜索栏中,键入 Log Analytics 工作区 并选择匹配的服务条目。

  3. 选择打开连接到 Azure 虚拟桌面环境的 Log Analytics 工作区。

  4. 在“ 常规”下,选择“ 日志”。

  5. 启动新查询,然后运行以下查询以获取特定连接 ID 的会话信息, (在 Log Analytics) 中表示为 CorrelationId ,并将 <connection ID> 替换为 QR 码中的完整或部分值:

    WVDConnections
    | where CorrelationId contains "<connection ID>"