Povolení ochrany zachytávání obrazovky ve službě Azure Virtual Desktop

Ochrana zachytávání obrazovky spolu s vodoznaky pomáhá zabránit zachycení citlivých informací na koncových bodech klienta prostřednictvím konkrétní sady funkcí operačního systému a rozhraní API. Když povolíte ochranu zachytávání obrazovky, vzdálený obsah se automaticky zablokuje na snímcích obrazovky a sdílení obrazovky.

Existují dva podporované scénáře ochrany zachytávání obrazovky:

• Blokovat snímek obrazovky na klientovi: Zabraňuje zachycení obrazovky z místního zařízení aplikací spuštěných ve vzdálené relaci.

• Blokovat snímek obrazovky na klientovi a serveru: zabraňuje zachycení obrazovky z místního zařízení aplikací spuštěných ve vzdálené relaci, ale také brání nástrojům a službám v hostiteli relace zachytávání obrazovky.

Když je povolená ochrana zachytávání obrazovky, nemůžou uživatelé sdílet své vzdálené okno pomocí místního softwaru pro spolupráci, jako je Například Microsoft Teams. V Aplikaci Teams nemůže žádná místní aplikace Teams ani použití aplikace Teams s optimalizací médií sdílet chráněný obsah.

Tip

• Pokud chcete zvýšit zabezpečení citlivých informací, měli byste také zakázat přesměrování schránky, jednotky a tiskárny. Zakázání přesměrování pomáhá uživatelům zkopírovat obsah ze vzdálené relace. Informace o podporovaných hodnotách přesměrování najdete v tématu Přesměrování zařízení.

• Pokud chcete odradit jiné metody zachycení obrazovky, například pořízení fotky obrazovky s fyzickou kamerou, můžete povolit vodoznaky, kde správci můžou ke sledování relace použít kód QR.

Určení konfigurace

Postup konfigurace ochrany zachytávání obrazovky závisí na platformách, ze kterých se uživatelé připojují:

• U zařízení s Windows a macOS, na kterých běží klient aplikace Pro Windows nebo Vzdálená plocha, nakonfigurujete ochranu zachytávání obrazovky na hostitelích relací pomocí Intune nebo zásad skupiny. Aplikace pro Windows a klient Vzdálená plocha vynucují nastavení ochrany zachytávání obrazovky z hostitele relace bez další konfigurace.

• U zařízení s iOS/iPadOS a Androidem s Aplikací pro Windows zablokujete zachytávání obrazovky na místním zařízení konfigurací zásad ochrany aplikací Intune, které jsou součástí správy mobilních aplikací (MAM). Pokud chcete také blokovat snímek obrazovky v rámci hostitele relace, musíte také nakonfigurovat ochranu zachytávání obrazovky u hostitelů relací pomocí Intune nebo zásad skupiny.

Tady je souhrn kroků konfigurace potřebných pro každou platformu:

Platforma	Blokování snímku obrazovky v klientovi	Blokování snímku obrazovky na klientovi a serveru
Windows	Konfigurace hostitelů relací pomocí Intune nebo zásad skupiny	Konfigurace hostitelů relací pomocí Intune nebo zásad skupiny
macOS	Konfigurace hostitelů relací pomocí Intune nebo zásad skupiny	Konfigurace hostitelů relací pomocí Intune nebo zásad skupiny
iOS/iPadOS	Konfigurace místního zařízení pomocí Intune MAM	Konfigurace místního zařízení s Intune MAM a hostiteli relací pomocí Intune nebo zásad skupiny
Android	Konfigurace místního zařízení pomocí Intune MAM	Konfigurace místního zařízení s Intune MAM a hostiteli relací pomocí Intune nebo zásad skupiny

Požadavky

• V situacích, kdy potřebujete konfigurovat hostitele relací, musí tito hostitelé relací používat Windows 11 verze 22H2 nebo novější nebo Windows 10 verze 22H2 nebo novější.

• Uživatelé se musí připojit k Azure Virtual Desktopu pomocí aplikace pro Windows nebo aplikace Vzdálená plocha, aby mohli používat ochranu zachytávání obrazovky. Následující tabulka uvádí podporované scénáře:

  • Aplikace pro Windows:

    Platforma	Minimální verze	Relace plochy	Relace RemoteAppu
    Aplikace pro Windows ve Windows	Všechny	Ano	Ano. Operační systém místního zařízení musí být Windows 11 verze 22H2 nebo novější.
    Aplikace pro Windows v macOS	Všechny	Ano	Yes
    Aplikace pro Windows v iOS/iPadOS	11.0.8	Ano	Yes
    Aplikace pro Windows v Androidu (Preview)¹	1.0.145	Ano	Yes

    1. Nezahrnuje podporu pro Chrome OS.

  • Klient vzdálené plochy:

    Platforma	Minimální verze	Relace plochy	Relace RemoteAppu
    Windows (desktopový klient)	1.2.1672	Ano	Ano. Operační systém místního zařízení musí být Windows 11 verze 22H2 nebo novější.
    Windows (aplikace Azure Virtual Desktop Store)	Všechny	Ano	Ano. Operační systém místního zařízení musí být Windows 11 verze 22H2 nebo novější.
    macOS	10.7.0 nebo novější	Ano	Yes

  Pokud se uživatel pokusí připojit k jiné aplikaci nebo verzi, například aplikaci pro Windows ve webovém prohlížeči, připojení se odmítne a zobrazí chybovou zprávu s kódem 0x1151.

• Ke konfiguraci Microsoft Intune potřebujete:

  • Účet Microsoft Entra ID přiřazený předdefinované roli RBAC správce zásad a profilů.

  • Skupina obsahující zařízení, která chcete nakonfigurovat.

• Ke konfiguraci zásad skupiny potřebujete:

  • Účet domény, který je členem skupiny zabezpečení Domain Admins .

  • Skupina zabezpečení nebo organizační jednotka obsahující zařízení, která chcete konfigurovat.

Povolení ochrany zachytávání obrazovky u hostitelů relací

Vyberte příslušnou kartu pro váš scénář.

Microsoft Intune

Konfigurace ochrany zachytávání obrazovky na hostitelích relací pomocí Microsoft Intune:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.

3. V nástroji pro výběr nastavení přejděte do šablon pro>správu komponent>vzdálené plochy Vzdálená>plocha služby Vzdálená plocha hostitelem služby>Azure Virtual Desktop.

   

4. Zaškrtněte políčko Povolit ochranu zachytávání obrazovky a pak zavřete výběr nastavení.

5. Rozbalte kategorii Šablony pro správu a přepněte přepínač Pro povolení ochrany zachytávání obrazovky na Povoleno.

   

6. Přepínač Možnosti ochrany zachytávání obrazovky (Zařízení) v klientovi přepněte na možnostBlokovat snímek obrazovky nebo v případě blokování zachycení obrazovky na klientovi a serveru podle vašich požadavků a pak vyberte OK.

7. Vyberte Další.

8. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

9. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.

10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

11. Jakmile se zásada vztahuje na počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.

Zásady skupiny

Konfigurace ochrany zachytávání obrazovky na hostitelích relací pomocí zásad skupiny:

1. Podle pokynů v zásadách skupiny zpřístupníte šablonu pro správu pro Azure Virtual Desktop .

2. Otevřete konzolu pro správu zásad skupiny na zařízení, které používáte ke správě domény služby Active Directory.

3. Vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

4. Přejděte do části Zásady>konfigurace>počítače – Šablony pro>správu součástí>vzdálené plochy Vzdálené plochy – Vzdálená plocha>– Hostitel>relace Vzdálené plochy Azure.

   

5. Poklikejte na nastavení zásad Povolit ochranu zachytávání obrazovky, aby se otevřela, a pak vyberte Povoleno.

   

6. V rozevírací nabídce vyberte scénář ochrany zachytávání obrazovky, který chcete použít, z blokování snímku obrazovky na klientovi nebo blokování snímku obrazovky na klientovi a serveru podle vašich požadavků a pak vyberte OK.

7. Ujistěte se, že se zásady použijí na počítače poskytující vzdálenou relaci, a potom je restartujte, aby se nastavení projevilo.

Povolení ochrany zachytávání obrazovky na místních zařízeních

Pokud chcete používat ochranu zachytávání obrazovky na zařízeních s iOS/iPadOS a Androidem s aplikací pro Windows, musíte nakonfigurovat zásady ochrany aplikací Intune.

Tip

Ve Windows a macOS vynucuje aplikace Pro Windows a klienta Vzdálené plochy nastavení ochrany zachytávání obrazovky z hostitele relace bez další konfigurace.

Konfigurace zásad ochrany aplikací Intune pro povolení ochrany zachytávání obrazovky na zařízeních s iOS/iPadOS a Androidem:

1. Postupujte podle pokynů ke konfiguraci nastavení přesměrování klientského zařízení pro aplikaci pro Windows a aplikaci Vzdálená plocha pomocí Microsoft Intune. Konfigurace ochrany zachytávání obrazovky je součástí zásad ochrany aplikací.

2. Při konfiguraci zásad ochrany aplikací na kartě Ochrana dat nakonfigurujte v závislosti na platformě následující nastavení:

   1. V případě iOS/iPadOS nastavte možnost Odeslat data organizace do jiných aplikací na hodnotu Žádné.

   2. V androidu nastavte zachytávání obrazovky a Google Assistant na blokovat.

3. Nakonfigurujte další nastavení na základě vašich požadavků a nastavte zásady ochrany aplikací na uživatele a zařízení.

Ověření ochrany zachytávání obrazovky

Ověření fungování ochrany zachytávání obrazovky:

1. Připojte se k nové vzdálené relaci pomocí podporovaného klienta. Nepřipojujte se znovu k existující relaci. Musíte se odhlásit z existujících relací a znovu se přihlásit, aby se změna projevila.

2. Na místním zařízení posílejte snímek obrazovky nebo sdílejte obrazovku při hovoru nebo schůzce v Teams. Obsah by měl být zablokovaný nebo skrytý.

3. Pokud jste na hostitelích relací povolili blokování snímku obrazovky na klientovi a serveru , zkuste zachytit obrazovku pomocí nástroje nebo služby v rámci hostitele relace. Obsah by měl být zablokovaný nebo skrytý.

Související obsah

• Povolte vodoznaky, kde můžou správci k trasování relace použít kód QR.

• Informace o zabezpečení nasazení služby Azure Virtual Desktop najdete v osvědčených postupech zabezpečení.