Azure 虛擬桌面中的浮浮水印

浮浮水印與螢幕擷取保護並存，有助於防止在用戶端端點上擷取敏感性資訊。 當您啟用浮水印時，QR 代碼浮浮水印會顯示為遠端桌面的一部分。 QR 代碼包含遠端會話的 連線標識碼或裝置標識碼，系統管理員可用來追蹤會話。 浮浮浮水印是在會話主機上使用 Microsoft Intune 或組策略進行設定，並由 Windows 應用程式或遠端桌面用戶端強制執行。

以下螢幕快照顯示啟用浮水印時的外觀：

重要

• 在會話主機上啟用浮浮水印後，只有支援浮浮水印的用戶端可以連線到該會話主機。 如果您嘗試從不支援的用戶端連線，連線將會失敗，而且您會收到非特定的錯誤訊息。

• 浮浮水印僅適用於遠端桌面。 使用 RemoteApp 時，不會套用水印，而且允許連線。

• 如果您使用遠端桌面 連線 ion 應用程式直接mstsc.exe連線到會話主機（而非透過 Azure 虛擬桌面），則不會套用水印，而且允許連線。

必要條件

您需要下列專案，才能使用浮浮水印：

• 具有會話主機的現有主機集區。

• Microsoft Entra ID 帳戶，至少在主機集區上指派 桌面虛擬化主機集區參與者 內建角色型角色型訪問控制 （RBAC） 角色。

• 支援浮水印的用戶端。 下列用戶端支援浮浮水印：

  • 遠端桌面用戶端：

    • Windows Desktop 版本 1.2.3317 或更新版本，在 Windows 10 和更新版本上。
    • 網頁瀏覽器。
    • macOS 10.9.5 版或更新版本。
    • iOS/iPadOS 10.5.4 版或更新版本。

  • Windows App for：

    • Windows
    • macOS
    • Web 瀏覽器

• 針對您的環境設定的 Azure 虛擬桌面深入解析 。

• 如果您使用 Microsoft Intune 管理工作階段主機，您需要：

  • 指派原則和配置檔管理員內建 RBAC 角色的 Microsoft Entra ID 帳戶。

  • 包含您要設定之裝置的群組。

• 如果您在 Active Directory 網域中使用組策略管理工作階段主機，您需要：

  • 網域帳戶，屬於網域 管理員 安全組的成員。

  • 安全組或組織單位（OU）包含您想要設定的會話主機。

啟用浮浮水印

選取案例相關的索引標籤。

Microsoft Intune

若要使用 Microsoft Intune 啟用浮水印：

1. 登入 Microsoft Intune 系統管理中心。

2. 使用 設定 目錄配置檔類型，建立或編輯 Windows 10 和更新版本的裝置組態設定檔。

3. 在設定選擇器中，流覽至 管理員 範本>Windows 元件>遠端桌面服務>遠端桌面會話主機>Azure 虛擬桌面。

   

4. 核取 [ 啟用浮浮水印] 的方塊，然後關閉設定選擇器。

   重要

   請勿選取 [已淘汰] 啟用浮水印， 因為此設定不包含指定 QR 代碼內嵌內容的選項。

5. 展開 [管理員 範本] 類別，然後將 [啟用浮水印] 切換為 [已啟用]。

   

6. 您可以設定下列選項：

   選項	值	描述
   QR 代碼點陣圖縮放比例	1 到 10 （預設值 = 4）	每個 QR 代碼點的圖元大小。 這個值會決定 QR 代碼中每個點的平方數目。
   QR 代碼位圖不透明度	100 到 9999 （預設值 = 2000）	浮浮浮水印有多透明，其中100是完全透明的。
   網格線方塊的寬度，以與 QR 代碼點陣圖寬度相關的百分比	100 到 1000 （預設值 = 320）	會以百分比決定 QR 代碼之間的距離。 結合高度時，值為 100 會讓 QR 代碼並排顯示並排填滿整個畫面。
   網格線方塊的高度，以與 QR 代碼點陣圖寬度相關的百分比	100 到 1000 （預設值 = 180）	會以百分比決定 QR 代碼之間的距離。 結合寬度時，值為100會讓QR代碼並排顯示並排填滿整個畫面。
   QR 代碼內嵌內容	連線 ion ID （預設值） 裝置識別碼	指定是否應該在 QR 代碼中使用 連線 識別碼或裝置識別碼。 僅選取具有個人主機集區中且已加入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的會話主機的裝置識別碼。

   提示

   建議您嘗試不同的不透明度值，以找出遠端會話的可讀性與能夠掃描 QR 代碼之間的平衡，但保留其他參數的預設值。

7. 選取 [下一步]。

8. 選擇性：在 [ 範圍卷標 ] 索引標籤上，選取範圍標籤以篩選配置檔。 如需範圍標籤的詳細資訊，請參閱 使用分散式IT的角色型訪問控制 （RBAC） 和範圍標籤。

9. 在 [ 指派] 索引 標籤上，選取包含要設定遠程會話之計算機的群組，然後選取 [ 下一步]。

10. 在 [ 檢閱 + 建立] 索引標籤上，檢閱設定，然後選取 [ 建立]。

11. 同步您的會話主機與 Intune ，讓設定生效。

群組原則

若要使用群組策略啟用浮浮水印：

1. 請遵循步驟，為 Azure 虛擬桌面提供 管理員 範本。

2. 在 用來管理 Active Directory 網域的裝置上開啟組策略管理控制台 ，然後建立或編輯原則，以提供您想要設定之遠端會話的電腦為目標。

3. 流覽至 [計算機設定>原則> 管理員 範本>Windows 元件>遠端桌面服務>遠端桌面會話主機>Azure 虛擬桌面。

4. 開啟 [啟用浮浮水印] 原則設定，並將其設定為 [已啟用]。

   

5. 您可以設定下列選項：

   選項	值	描述
   QR 代碼點陣圖縮放比例	1 到 10 （預設值 = 4）	每個 QR 代碼點的圖元大小。 這個值會決定 QR 代碼中每個點的平方數目。
   QR 代碼位圖不透明度	100 到 9999 （預設值 = 2000）	浮浮浮浮水印有多透明，其中 100 完全透明，9999 完全不透明。
   網格線方塊的寬度，以與 QR 代碼點陣圖寬度相關的百分比	100 到 1000 （預設值 = 320）	會以百分比決定 QR 代碼之間的距離。 結合高度時，值為 100 會讓 QR 代碼並排顯示並排填滿整個畫面。
   網格線方塊的高度，以與 QR 代碼點陣圖寬度相關的百分比	100 到 1000 （預設值 = 180）	會以百分比決定 QR 代碼之間的距離。 結合寬度時，值為100會讓QR代碼並排顯示並排填滿整個畫面。
   QR 代碼內嵌內容	連線 ion ID （預設值） 裝置識別碼	指定是否應該在 QR 代碼中使用 連線 識別碼或裝置識別碼。 僅選取具有個人主機集區中且已加入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的會話主機的裝置識別碼。

   提示

   建議您嘗試不同的不透明度值，以找出遠端會話的可讀性與能夠掃描 QR 代碼之間的平衡，但保留其他參數的預設值。

6. 請確定原則已套用至您的會話主機，然後在會話主機上重新整理組策略，或重新啟動它們，讓設定生效。

7. 連線 支援用戶端的遠端會話，您應該會看到 QR 代碼出現。 任何現有的會話都必須註銷並重新登入，變更才會生效。

尋找工作階段資訊

啟用浮浮浮水印後，您可以使用 Azure 虛擬桌面深入解析或查詢 Azure 監視器 Log Analytics，從 QR 代碼找到會話資訊。

Azure 虛擬桌面深入解析

若要使用 Azure 虛擬桌面深入解析，從 QR 代碼中找出工作階段資訊：

1. 開啟網頁瀏覽器並移至以 https://aka.ms/avdi 開啟 Azure 虛擬桌面深入解析。 出現提示時，使用您的 Azure 認證登入。

2. 選取相關的訂用帳戶、資源群組、主機集區和時間範圍，然後選取 [連線 ion 診斷] 索引標籤。

3. 在建立連線的 [成功率] 區段中，會顯示 [第一次嘗試]、[連線 標識符]、[使用者] 和 [嘗試] 的所有連線清單。 您可以從此清單中的 QR 代碼尋找連線標識碼，或匯出至 Excel。

Azure 監視器 Log Analytics

若要透過查詢 Azure 監視器 Log Analytics，從 QR 代碼找出工作階段資訊：

1. 登入 Azure 入口網站。

2. 在搜尋列中，輸入 Log Analytics工作區 ，然後選取相符的服務專案。

3. 選取以開啟連線至 Azure 虛擬桌面環境的 Log Analytics 工作區。

4. 在 [一般] 底下，選取 [記錄檔]。

5. 啟動新的查詢，然後執行下列查詢以取得特定連線標識碼的工作階段資訊（以 Log Analytics 中的 CorrelationId 表示），以 QR 代碼的完整或部分值取代 <connection ID> ：

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

相關內容

• 在 Azure 虛擬桌面中啟用螢幕擷取保護。