Azure 虛擬桌面中的浮浮水印

浮浮水印連同 螢幕擷取保護，有助於防止在用戶端端點上擷取敏感性資訊。 當您啟用浮水印時，QR 代碼浮浮水印會顯示為遠端桌面的一部分。 QR 代碼包含遠端會話的 連線標識 碼或 裝置標識 碼，系統管理員可用來追蹤會話。 浮水印是使用 Microsoft Intune 或 群組原則 在工作階段主機上設定，並由 Windows App 或遠端桌面客戶端強制執行。

以下螢幕快照顯示啟用浮浮水印時，浮水印的外觀：

重要事項

• 在會話主機上啟用浮浮水印後，只有支援浮浮水印的用戶端可以連線到該會話主機。 如果您嘗試從不支援的用戶端連線，連線將會失敗，而且您會收到非特定的錯誤訊息。

• 浮浮水印僅適用於遠端桌面。 使用 RemoteApp 時，不會套用水印，而且允許連線。

• 如果您直接連線到會話主機， (不是透過 Azure 虛擬桌面) 使用遠端桌面連線應用程式 () mstsc.exe ，則不會套用水印並允許連線。

必要條件

您需要下列專案，才能使用浮浮水印：

• 具有會話主機的現有主機集區。

• 指派桌面虛擬主機集區參與者內建角色型訪問控制的 Microsoft Entra ID 帳戶， (主機集區上的 RBAC) 角色。

• 支援浮水印的用戶端。 下列用戶端支援浮浮水印：

  • 遠端桌面用戶端：：

    • Windows Desktop 版本 1.2.3317 或更新版本，Windows 10 及更新版本。
    • 網頁瀏覽器。
    • macOS 10.9.5 版或更新版本。
    • iOS/iPadOS 10.5.4 版或更新版本。

  • Windows App：

    • Windows
    • macOS
    • iOS 和 iPadOS
    • Android/Chrome OS (預覽)
    • 網頁瀏覽器

• 為您的環境設定的 Azure 虛擬桌面深入解析。

• 如果您使用 Microsoft Intune 來管理工作階段主機，您需要：

  • Microsoft Entra ID 指派原則和配置檔管理員內建 RBAC 角色的帳戶。

  • 包含您要設定之裝置的群組。

• 如果您使用 Active Directory 網域中的 群組原則 來管理工作階段主機，您需要：

  • 屬於 Domain Admins 安全組成員的網域帳戶。

  • 包含您要設定之會話主機的安全組或組織單位 (OU) 。

啟用浮浮水印

選取您案例的相關索引標籤。

Microsoft Intune

若要使用下列項目啟用浮浮浮水印 Microsoft Intune：

1. 登入 Microsoft Intune 系統管理中心。

2. 使用 [設定] 目錄配置檔類型，建立或編輯Windows 10 和更新版本裝置的組態配置檔。

3. 在設定選擇器中，流覽至 [系統管理] 範>本Windows 元件>遠端桌面服務>遠端桌面會話主機>Azure 虛擬桌面。

   

4. 核取 [ 啟用浮浮水印] 方塊，然後關閉設定選擇器。

   重要事項

   請勿選取 [已淘汰] [啟用浮水印 ]，因為此設定不包含指定 QR 程式代碼內嵌內容的選項。

5. 展開 [ 系統管理範本] 類別，然後將 [ 啟用浮水印 ] 的切換開關切換為 [已啟用]。

   

6. 您可以設定下列選項：

   選項	值	描述
   QR 代碼點陣圖縮放比例	1 到 10 (預設值 = 4)	每個 QR 代碼點以像素為單位的大小。 此值會決定 QR 代碼中每個點的平方數目。
   QR 代碼位圖不透明度	100 到 9999 (預設值 = 2000)	浮浮浮水印的透明程度，其中100是完全透明的。
   與 QR 代碼位圖寬度相關百分比的網格線方塊寬度	100 到 1000 (預設值 = 320)	以百分比決定 QR 代碼之間的距離。 與高度結合時，值為100會讓QR代碼並排顯示，並填滿整個畫面。
   與 QR 代碼位圖寬度相關的網格線方塊高度百分比	100 到 1000 (預設值 = 180)	以百分比決定 QR 代碼之間的距離。 與寬度結合時，值為100會讓QR代碼並排顯示，並填滿整個畫面。
   QR 程式代碼內嵌內容	線上識別碼 (預設) 裝置標識碼	指定 QR 代碼中是否應該使用 連線標識 碼或 裝置識別 碼。 僅選取 [裝置標識符]，其中包含位於個人主機集區且已加入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的會話主機。

   提示

   建議您嘗試不同的不透明度值，以在遠端會話的可讀性與能夠掃描 QR 代碼之間取得平衡，但保留其他參數的預設值。

7. 選取 [下一步]。

8. 選用：在 [ 範圍卷標] 索引標籤 上，選取範圍標籤以篩選配置檔。 如需範圍標籤的詳細資訊，請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。

9. 在 [ 指派] 索引標籤 上，選取包含提供您要設定之遠端會話之計算機的群組，然後選取 [ 下一步]。

10. 在 [ 檢閱 + 建立] 索引標籤上檢閱設定，然後選取 [ 建立]。

11. 將會話主機與 Intune 同步，讓設定生效。

群組原則

若要使用 群組原則 啟用浮浮水印：

1. 請遵循步驟，在 群組原則 中提供 Azure 虛擬桌面的系統管理範本。

2. 在您用來管理 Active Directory 網域的裝置上開啟 群組原則 管理主控台，然後建立或編輯以提供您想要設定之遠端會話之電腦為目標的原則。

3. 流覽至電腦設定>原則>系統管理範>本Windows 元件>遠端桌面服務>遠端桌面會話主機>Azure 虛擬桌面。

4. 開啟 [ 啟用浮浮水印 ] 原則設定，並將它設定為 [已啟用]。

   

5. 您可以設定下列選項：

   選項	值	描述
   QR 代碼點陣圖縮放比例	1 到 10 (預設值 = 4)	每個 QR 代碼點以像素為單位的大小。 此值會決定 QR 代碼中每個點的平方數目。
   QR 代碼位圖不透明度	100 到 9999 (預設值 = 2000)	浮浮浮水印的透明程度，其中 100 是完全透明的，而 9999 完全不透明。
   與 QR 代碼位圖寬度相關百分比的網格線方塊寬度	100 到 1000 (預設值 = 320)	以百分比決定 QR 代碼之間的距離。 與高度結合時，值為100會讓QR代碼並排顯示，並填滿整個畫面。
   與 QR 代碼位圖寬度相關的網格線方塊高度百分比	100 到 1000 (預設值 = 180)	以百分比決定 QR 代碼之間的距離。 與寬度結合時，值為100會讓QR代碼並排顯示，並填滿整個畫面。
   QR 程式代碼內嵌內容	線上識別碼 (預設) 裝置標識碼	指定 QR 代碼中是否應該使用 連線標識 碼或 裝置識別 碼。 僅選取 [裝置標識符]，其中包含位於個人主機集區且已加入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的會話主機。

   提示

   建議您嘗試不同的不透明度值，以在遠端會話的可讀性與能夠掃描 QR 代碼之間取得平衡，但保留其他參數的預設值。

6. 請確定原則已套用至您的會話主機，然後重新整理會話主機上的 群組原則，或重新啟動它們，讓設定生效。

7. 使用支援的用戶端連線到遠端會話，您應該會在其中看到 QR 代碼出現。 任何現有的會話都必須註銷再重新登入，變更才會生效。

尋找工作階段資訊

啟用浮浮浮水印後，您可以使用 Azure 虛擬桌面深入解析或查詢 Azure 監視器 Log Analytics，從 QR 程式代碼找到會話資訊。

Azure 虛擬桌面深入解析

若要使用 Azure 虛擬桌面深入解析從 QR 程式代碼找出工作階段資訊：

1. 開啟網頁瀏覽器並移至 https://aka.ms/avdi 以開啟 Azure 虛擬桌面深入解析。 出現提示時，請使用您的 Azure 認證登入。

2. 選取相關的訂用帳戶、資源群組、主機集區和時間範圍，然後選取 [ 聯機診斷] 索引標籤 。

3. 在 (成功率一節中 ，重新) 建立連線 (% 的連線) ，其中列出所有連線的清單，其中顯示 [第一次嘗試]、[ 聯機標識符]、[ 使用者] 和 [ 嘗試]。 您可以從此清單中的 QR 代碼尋找連線標識碼，或匯出至 Excel。

Azure 監視器 Log Analytics

查詢 Azure 監視器 Log Analytics 以從 QR 程式代碼找出會話資訊：

1. 登入 Azure 入口網站。

2. 在搜尋列中，輸入 Log Analytics工作區 ，然後選取相符的服務專案。

3. 選取即可開啟連線到 Azure 虛擬桌面環境的 Log Analytics 工作區。

4. 在 [ 一般] 底下，選取 [記錄]。

5. 啟動新的查詢，然後執行下列查詢以取得特定連線標識碼的會話資訊， (在 Log Analytics) 中以 CorrelationId 表示，並以 QR 代碼中的完整或部分值取代 <connection ID> ：

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

相關內容

• 在 Azure 虛擬桌面中啟用螢幕擷取保護。