Konfigurace směru přenosu schránky a datových typů, které je možné zkopírovat ve službě Azure Virtual Desktop

Přesměrování schránky ve službě Azure Virtual Desktop umožňuje uživatelům kopírovat a vkládat obsah, jako je text, obrázky a soubory mezi zařízením uživatele a vzdálenou relací v obou směrech. Možná budete chtít omezit směr schránky pro uživatele, aby se zabránilo exfiltraci dat nebo škodlivých souborů zkopírovaných do hostitele relace. Můžete nakonfigurovat, jestli uživatelé můžou používat schránku z hostitele relace na klienta, nebo klienta na hostitele relace a typy dat, která se dají zkopírovat, z následujících možností:

• Zakažte přenosy ze schránky z hostitele relace na klienta, klienta na hostitele relace nebo obojí.
• Povolit pouze prostý text.
• Povolit pouze prostý text a obrázky
• Povolit pouze prostý text, obrázky a formát RTF.
• Povolit pouze prostý text, obrázky, formát RTF a HTML.

Nastavení použijete u hostitelů relací. Nezávisí na konkrétním klientovi vzdálené plochy ani na jeho verzi. V tomto článku se dozvíte, jak nakonfigurovat směr schránky a typy dat, které je možné zkopírovat pomocí Microsoft Intune nebo zásad skupiny.

Požadavky

Ke konfiguraci směru přenosu schránky potřebujete:

• Vlastnosti protokolu RDP fondu hostitelů musí umožňovat přesměrování schránky, jinak bude zcela blokované.

• Hostitelé relací musí používat jeden z následujících operačních systémů:

  • Windows 11 Enterprise nebo Enterprise s více relacemi verze 22H2 nebo 23H2 s nainstalovanou kumulativní aktualizací 2024-06 (KB5039212) nebo novější.
  • Windows 11 Enterprise nebo Enterprise s více relacemi verze 21H2 s nainstalovanou kumulativní aktualizací 2024-06 (KB5039213) nebo novější.
  • Windows Server 2022 s nainstalovanou kumulativní aktualizací 2024-07 (KB5040437) nebo novější.

• V závislosti na metodě, kterou používáte ke konfiguraci směru přenosu schránky:

  • Pro Intune potřebujete oprávnění ke konfiguraci a použití nastavení. Další informace najdete v tématu Šablona pro správu pro Azure Virtual Desktop.

  • Ke konfiguraci místních zásad skupiny nebo registru hostitelů relací potřebujete účet, který je členem místní skupiny Administrators.

Konfigurace směru přenosu schránky

Tady je postup konfigurace směru přenosu schránky a typů dat, která je možné zkopírovat. Vyberte příslušnou kartu pro váš scénář.

Intune

Pokud chcete schránku nakonfigurovat pomocí Intune, postupujte takto. Tento proces vytvoří zásadu katalogu nastavení Intune.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.

3. V nástroji pro výběr nastavení přejděte do šablon pro>správu součásti>vzdálené plochy Vzdálená>plocha Služby vzdálené plochy zařízení hostitele relace>a přesměrování prostředků.

   

4. Zaškrtněte políčko pro následující nastavení a ujistěte se, že jste pro své požadavky vybrali nastavení se správným oborem a pak zavřete výběr nastavení. Pokud chcete zjistit, který obor je pro váš scénář správný, přečtěte si téma Katalog nastavení – Obor zařízení a nastavení oboru uživatele:

   • Nastavení oboru zařízení:

     • Omezení přenosu ze schránky ze serveru do klienta
     • Omezení přenosu ze schránky z klienta na server

   • Nastavení oboru uživatele:

     • Omezení přenosu ze schránky ze serveru na klienta (uživatel)
     • Omezení přenosu ze schránky z klienta na server (uživatel)

5. Rozbalte kategorii Šablony pro správu a přepněte přepínač pro každé nastavení, které jste přidali do pole Povoleno.

6. Jakmile je každé nastavení povolené, zobrazí se rozevírací seznam, ze kterého můžete vybrat typy dat, které se dají zkopírovat. Vybírejte z následujících možností:

   • Zakázání přenosů ze schránky ze serveru do klienta nebo zakázání přenosů ze schránky z klienta na server
   • Povolit prostý text
   • Povolit prostý text a obrázky
   • Povolit prostý text, obrázky a formát RTF
   • Povolit prostý text, obrázky, formát RTF a HTML

7. Vyberte Další.

8. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

9. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.

10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

11. Jakmile se zásada vztahuje na počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.

12. Připojte se ke vzdálené relaci s podporovaným klientem a otestujte nastavení schránky, která jste nakonfigurovali, tím, že se pokusíte zkopírovat a vložit různé typy obsahu.

Zásady skupiny

Chcete-li nakonfigurovat schránku pomocí zásad skupiny v doméně služby Active Directory, postupujte takto.

Důležité

Tato nastavení zásad se zobrazí v konfiguraci počítače i v konfiguraci uživatele. Pokud jsou nakonfigurovaná obě nastavení zásad, použije se přísnější omezení.

1. Nastavení zásad skupiny jsou dostupná jenom ve Windows 11 verze 23H2 a novějších verzích. V závislosti na vašem prostředí musíte zkopírovat soubory C:\Windows\PolicyDefinitions\terminalserver.admx šablon pro správu a C:\Windows\PolicyDefinitions\en-US\terminalserver.adml z hostitele relace do stejného umístění na řadičích domény nebo centrálním úložišti zásad skupiny. V cestě k souboru pro terminalserver.adml nahrazení en-US odpovídajícím kódem jazyka, pokud používáte jiný jazyk.

2. Na zařízení, které používáte ke správě zásad skupiny, otevřete konzolu pro správu zásad skupiny (GPMC) a vytvořte nebo upravte zásady, které cílí na hostitele relací.

3. Přejděte do některé z následujících částí zásad. Oddíl zásady v části Konfigurace počítače použijte k cílovému hostiteli relace a použijte oddíl zásad v konfiguraci uživatele pro konkrétní uživatele, na které cílíte.

   • Stroj: Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   • Uživatel: User Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   

4. Otevřete jedno z následujících nastavení zásad v závislosti na tom, jestli chcete nakonfigurovat schránku z hostitele relace (serveru) na klienta, nebo klienta na hostitele relace:

   • Pokud chcete nakonfigurovat schránku z hostitele relace na klienta, otevřete nastavení zásad Omezit přenos schránky ze serveru do klienta a pak vyberte Povoleno. Vybírejte z následujících možností:

     • Zakažte přenosy ze schránky ze serveru do klienta.
     • Povolit prostý text
     • Povolit prostý text a obrázky
     • Povolit prostý text, obrázky a formát RTF.
     • Povolit prostý text, obrázky, formát RTF a HTML.

   • Chcete-li nakonfigurovat schránku z klienta na hostitele relace, otevřete nastavení zásad Omezit přenos schránky z klienta na server a pak vyberte Povoleno . Vybírejte z následujících možností:

     • Zakažte přenosy ze schránky z klienta na server.
     • Povolit prostý text
     • Povolit prostý text a obrázky
     • Povolit prostý text, obrázky a formát RTF.
     • Povolit prostý text, obrázky, formát RTF a HTML.

5. Kliknutím na TLAČÍTKO OK uložte provedené změny.

6. Jakmile nakonfigurujete nastavení, ujistěte se, že se zásady použijí u hostitelů relací, aktualizujte zásady skupiny na hostitelích relací a restartujte je, aby se nastavení projevilo.

7. Připojte se ke vzdálené relaci s podporovaným klientem a otestujte nastavení schránky, která jste nakonfigurovali, tím, že se pokusíte zkopírovat a vložit různé typy obsahu.

Registr

Chcete-li nakonfigurovat schránku pomocí registru na hostiteli relace, postupujte takto.

1. Otevřete Editor registru z nabídka Start nebo spuštěním regedit.exepříkazu .

2. Nastavte jeden z následujících klíčů registru a jeho hodnotu v závislosti na tom, jestli chcete nakonfigurovat schránku z hostitele relace na klienta nebo klienta na hostitele relace.

   • Pokud chcete nakonfigurovat schránku z hostitele relace na klienta, nastavte jeden z následujících klíčů registru a jeho hodnotu. Použití hodnoty počítače platí pro všechny uživatele a použití hodnoty pro uživatele platí jenom pro aktuálního uživatele.

     • Klíč:

       • Stroj: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Uživatelé: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Typ: REG_DWORD

     • Název hodnoty: SCClipLevel

     • Data hodnoty: Zadejte hodnotu z následující tabulky:

       Údaj hodnoty	Popis
       0	Zakažte přenosy ze schránky z hostitele relace do klienta.
       1	Povolit prostý text
       2	Povolit prostý text a obrázky
       3	Povolit prostý text, obrázky a formát RTF.
       4	Povolit prostý text, obrázky, formát RTF a HTML.

   • Pokud chcete nakonfigurovat schránku z klienta na hostitele relace, nastavte jeden z následujících klíčů registru a jeho hodnotu. Použití hodnoty počítače platí pro všechny uživatele a použití hodnoty pro uživatele platí jenom pro aktuálního uživatele.

     • Klíč:

       • Stroj: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Uživatelé: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Typ: REG_DWORD

     • Název hodnoty: CSClipLevel

     • Data hodnoty: Zadejte hodnotu z následující tabulky:

       Údaj hodnoty	Popis
       0	Zakažte přenosy ze schránky z klienta na hostitele relace.
       1	Povolit prostý text
       2	Povolit prostý text a obrázky
       3	Povolit prostý text, obrázky a formát RTF.
       4	Povolit prostý text, obrázky, formát RTF a HTML.

3. Restartujte hostitele relace.

4. Připojte se ke vzdálené relaci s podporovaným klientem a otestujte nastavení schránky, která jste nakonfigurovali, tím, že se pokusíte zkopírovat a vložit různé typy obsahu.

Související obsah

• Nakonfigurujte vodoznaky.
• Nakonfigurujte ochranu zachytávání obrazovky.
• Informace o zabezpečení nasazení služby Azure Virtual Desktop najdete v osvědčených postupech zabezpečení.