Azure 虛擬桌面中的浮浮水印
浮浮水印與螢幕擷取保護並存,有助於防止在用戶端端點上擷取敏感性資訊。 當您啟用浮水印時,QR 代碼浮浮水印會顯示為遠端桌面的一部分。 QR 代碼包含遠端會話的 連線標識碼或裝置標識碼,系統管理員可用來追蹤會話。 浮浮浮水印是在會話主機上使用 Microsoft Intune 或組策略進行設定,並由 Windows 應用程式或遠端桌面用戶端強制執行。
以下螢幕快照顯示啟用浮水印時的外觀:
重要
在會話主機上啟用浮浮水印後,只有支援浮浮水印的用戶端可以連線到該會話主機。 如果您嘗試從不支援的用戶端連線,連線將會失敗,而且您會收到非特定的錯誤訊息。
浮浮水印僅適用於遠端桌面。 使用 RemoteApp 時,不會套用水印,而且允許連線。
如果您使用遠端桌面 連線 ion 應用程式直接
mstsc.exe
連線到會話主機(而非透過 Azure 虛擬桌面),則不會套用水印,而且允許連線。
必要條件
您需要下列專案,才能使用浮浮水印:
具有會話主機的現有主機集區。
Microsoft Entra ID 帳戶,至少在主機集區上指派 桌面虛擬化主機集區參與者 內建角色型角色型訪問控制 (RBAC) 角色。
支援浮水印的用戶端。 下列用戶端支援浮浮水印:
遠端桌面用戶端:
- Windows Desktop 版本 1.2.3317 或更新版本,在 Windows 10 和更新版本上。
- 網頁瀏覽器。
- macOS 10.9.5 版或更新版本。
- iOS/iPadOS 10.5.4 版或更新版本。
Windows App for:
- Windows
- macOS
- Web 瀏覽器
如果您使用 Microsoft Intune 管理工作階段主機,您需要:
指派原則和配置檔管理員內建 RBAC 角色的 Microsoft Entra ID 帳戶。
包含您要設定之裝置的群組。
如果您在 Active Directory 網域中使用組策略管理工作階段主機,您需要:
網域帳戶,屬於網域 管理員 安全組的成員。
安全組或組織單位(OU)包含您想要設定的會話主機。
啟用浮浮水印
選取案例相關的索引標籤。
若要使用 Microsoft Intune 啟用浮水印:
使用 設定 目錄配置檔類型,建立或編輯 Windows 10 和更新版本的裝置組態設定檔。
在設定選擇器中,流覽至 管理員 範本>Windows 元件>遠端桌面服務>遠端桌面會話主機>Azure 虛擬桌面。
核取 [ 啟用浮浮水印] 的方塊,然後關閉設定選擇器。
重要
請勿選取 [已淘汰] 啟用浮水印, 因為此設定不包含指定 QR 代碼內嵌內容的選項。
展開 [管理員 範本] 類別,然後將 [啟用浮水印] 切換為 [已啟用]。
您可以設定下列選項:
選項 值 描述 QR 代碼點陣圖縮放比例 1 到 10
(預設值 = 4)每個 QR 代碼點的圖元大小。 這個值會決定 QR 代碼中每個點的平方數目。 QR 代碼位圖不透明度 100 到 9999 (預設值 = 2000) 浮浮浮水印有多透明,其中100是完全透明的。 網格線方塊的寬度,以與 QR 代碼點陣圖寬度相關的百分比 100 到 1000
(預設值 = 320)會以百分比決定 QR 代碼之間的距離。 結合高度時,值為 100 會讓 QR 代碼並排顯示並排填滿整個畫面。 網格線方塊的高度,以與 QR 代碼點陣圖寬度相關的百分比 100 到 1000
(預設值 = 180)會以百分比決定 QR 代碼之間的距離。 結合寬度時,值為100會讓QR代碼並排顯示並排填滿整個畫面。 QR 代碼內嵌內容 連線 ion ID (預設值)
裝置識別碼指定是否應該在 QR 代碼中使用 連線 識別碼或裝置識別碼。 僅選取具有個人主機集區中且已加入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的會話主機的裝置識別碼。 提示
建議您嘗試不同的不透明度值,以找出遠端會話的可讀性與能夠掃描 QR 代碼之間的平衡,但保留其他參數的預設值。
選取 [下一步]。
選擇性:在 [ 範圍卷標 ] 索引標籤上,選取範圍標籤以篩選配置檔。 如需範圍標籤的詳細資訊,請參閱 使用分散式IT的角色型訪問控制 (RBAC) 和範圍標籤。
在 [ 指派] 索引 標籤上,選取包含要設定遠程會話之計算機的群組,然後選取 [ 下一步]。
在 [ 檢閱 + 建立] 索引標籤上,檢閱設定,然後選取 [ 建立]。
同步您的會話主機與 Intune ,讓設定生效。
尋找工作階段資訊
啟用浮浮浮水印後,您可以使用 Azure 虛擬桌面深入解析或查詢 Azure 監視器 Log Analytics,從 QR 代碼找到會話資訊。
Azure 虛擬桌面深入解析
若要使用 Azure 虛擬桌面深入解析,從 QR 代碼中找出工作階段資訊:
開啟網頁瀏覽器並移至以 https://aka.ms/avdi 開啟 Azure 虛擬桌面深入解析。 出現提示時,使用您的 Azure 認證登入。
選取相關的訂用帳戶、資源群組、主機集區和時間範圍,然後選取 [連線 ion 診斷] 索引標籤。
在建立連線的 [成功率] 區段中,會顯示 [第一次嘗試]、[連線 標識符]、[使用者] 和 [嘗試] 的所有連線清單。 您可以從此清單中的 QR 代碼尋找連線標識碼,或匯出至 Excel。
Azure 監視器 Log Analytics
若要透過查詢 Azure 監視器 Log Analytics,從 QR 代碼找出工作階段資訊:
登入 Azure 入口網站。
在搜尋列中,輸入 Log Analytics工作區 ,然後選取相符的服務專案。
選取以開啟連線至 Azure 虛擬桌面環境的 Log Analytics 工作區。
在 [一般] 底下,選取 [記錄檔]。
啟動新的查詢,然後執行下列查詢以取得特定連線標識碼的工作階段資訊(以 Log Analytics 中的 CorrelationId 表示),以 QR 代碼的完整或部分值取代
<connection ID>
:WVDConnections | where CorrelationId contains "<connection ID>"
相關內容
- 在 Azure 虛擬桌面中啟用螢幕擷取保護。