Schutz vor Bildschirmaufnahmen in Azure Virtual Desktop

Der Bildschirmaufnahmeschutz trägt zusammen mit Wasserzeichen mithilfe bestimmter Betriebssystemfeatures und APIs dazu bei, zu verhindern, dass vertrauliche Daten auf Clientgeräten erfasst werden. Wenn Sie den Schutz vor Bildschirmaufnahmen aktivieren, werden Remoteinhalte in Screenshots und Bildschirmfreigaben automatisch blockiert.

Wenn der Schutz vor Bildschirmaufnahmen aktiviert ist, können Benutzende das Remotefenster nicht über lokale Zusammenarbeitssoftware wie Microsoft Teams freigeben. Bei Teams können geschützte Inhalte nicht durch die lokale Teams-App oder durch Teams mit Medienoptimierung freigegeben werden.

Tipp

• Zum Erhöhen der Sicherheit Ihrer vertraulichen Informationen sollten Sie auch die Zwischenablagen-, die Laufwerks- und die Druckerumleitung deaktivieren. Durch das Deaktivieren der Umleitung wird verhindert, dass Benutzer erfasste Bildschirminhalte aus der Remotesitzung kopieren. Informationen zu unterstützten Umleitungswerten finden Sie unter Geräteumleitung.

• Um andere Methoden der Bildschirmaufnahme zu verhindern, z. B. das Fotografieren eines Bildschirms mit einer physischen Kamera, können Sie die Wasserzeichenfunktion aktivieren, bei der Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

Bestimmen der Konfiguration

Die Schritte zum Konfigurieren des Bildschirmaufnahmeschutzes hängen davon ab, wo Sie ihn konfigurieren, von welchen Plattformen aus die Benutzer*innen eine Verbindung herstellen und welches Szenario Sie erreichen möchten.

• Windows- und macOS-Geräte: Sie verhindern die Bildschirmaufnahme, indem Sie Sitzungshosts mithilfe einer Intune-Gerätekonfigurationsrichtlinie oder Gruppenrichtlinie konfigurieren. Die Windows App oder der Remotedesktopclient erzwingen Einstellungen zum Bildschirmaufnahmeschutz auf einem Sitzungshost ohne zusätzliche Konfiguration.

  Wenn Sie den Bildschirmaufnahmeschutz auf Sitzungshosts konfigurieren, gibt es zwei weitere Einstellungen, die Sie konfigurieren können, um Ihre Anforderungen zu erfüllen:

  • Blockieren von Bildschirmaufnahmen auf dem Client: verhindert Bildschirmaufnahmen auf einem lokalen Gerät durch Anwendungen, die in der Remotesitzung ausgeführt werden

  • Blockieren von Bildschirmaufnahmen auf Client und Server: verhindert Bildschirmaufnahmen auf einem lokalen Gerät durch Anwendungen, die in der Remotesitzung ausgeführt werden, aber auch durch Tools und Dienste auf dem Sitzungshost, die den Bildschirm erfassen

  Dieses Szenario stellt das Ergebnis einer Verbindung von jedem Plattformtyp dar:

  Plattform	Verbindung zulässig	Bildschirmaufnahme blockiert
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	N/V
  Android	❌	N/V
  Web	❌	N/V

• iOS/iPadOS- und Android-Geräte: Sie verhindern die Bildschirmaufnahme auf lokalen Geräten, indem Sie eine Intune-App-Schutzrichtlinie konfigurieren, die Teil der Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) ist. Es wird nicht verhindert, dass Tools und Dienste innerhalb des Sitzungshosts den Bildschirm aufnehmen.

  Dieses Szenario stellt das Ergebnis einer Verbindung von jedem Plattformtyp dar:

  Plattform	Verbindung zulässig	Bildschirmaufnahme blockiert
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Wichtig

Sie müssen basierend auf Ihren Anforderungen auswählen, welche lokalen Geräte mit Bildschirmaufnahmeschutz verwendet werden sollen. Es gibt kein Szenario, in dem Sie den Bildschirmaufnahmeschutz auf allen Plattformen gleichzeitig von denselben Sitzungshosts aktivieren können. Wenn beide konfiguriert sind, hat der Bildschirmaufnahmeschutz auf Sitzungshosts Vorrang vor der Verwendung einer Intune-MAM-Richtlinie auf lokalen Geräten.

Voraussetzungen

• Für Szenarien, in denen Sie Sitzungshosts konfigurieren müssen, muss auf diesen Sitzungshosts Windows 11, Version 22H2 oder höher oder Windows 10, Version 22H2 oder höher ausgeführt werden.

• Benutzer müssen eine Verbindung mit Azure Virtual Desktop mit Windows App oder der Remotedesktop-App herstellen, um den Bildschirmfotoschutz zu verwenden. In der folgenden Tabelle sind die unterstützten Szenarien aufgeführt:

  • Windows App:

    Plattform	Mindestversion	Desktopsitzung	RemoteApp-Sitzung
    Windows App unter Windows	Any	Ja	Ja. Das Betriebssystem des lokalen Geräts muss Windows 11, Version 22H2 oder höher sein.
    Windows App unter macOS	Any	Ja	Ja
    Windows App unter iOS/iPadOS	11.0.8	Ja	Ja
    Windows App unter Android (Vorschau)¹	1.0.145	Ja	Ja

    ^{1. Enthält keine Unterstützung für Chrome OS, da Intune-MAM unter Chrome OS nicht unterstützt wird.}

  • Remotedesktopclient:

    Plattform	Mindestversion	Desktopsitzung	RemoteApp-Sitzung
    Windows (Desktopclient)	1.2.1672	Ja	Ja. Das Betriebssystem des lokalen Geräts muss Windows 11, Version 22H2 oder höher sein.
    Windows (Azure Virtual Desktop Store-App)	Any	Ja	Ja. Das Betriebssystem des lokalen Geräts muss Windows 11, Version 22H2 oder höher sein.
    macOS	10.7.0 oder höher	Ja	Ja

• Zum Konfigurieren von Microsoft Intune benötigen Sie Folgendes:

  • Ein Microsoft Entra ID-Konto, dem die integrierte RBAC-Rolle Richtlinien- und Profil-Manager*in zugewiesen ist.

  • Eine Gruppe mit den Geräten, die Sie konfigurieren möchten

• Zum Konfigurieren der Gruppenrichtlinie benötigen Sie Folgendes:

  • Ein Domänenkonto, das Mitglied der Sicherheitsgruppe Domain Admins ist.

  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

Aktivieren des Bildschirmaufnahmeschutzes auf Sitzungshosts mithilfe einer Intune-Gerätekonfigurationsrichtlinie oder Gruppenrichtlinie

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So konfigurieren Sie den Bildschirmaufnahmeschutz auf Sitzungshosts mit Microsoft Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Geräte mit Windows 10 und höher mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

4. Aktivieren Sie das Kontrollkästchen für Bildschirmfotoschutz aktivieren, und schließen Sie dann die Einstellungsauswahl.

5. Erweitern Sie die Kategorie Administrative Vorlagen, und legen Sie dann den Schalter für Bildschirmfotoschutz aktivieren auf Aktiviert fest.

   

6. Legen Sie den Schalter für Bildschirmfotoschutz (Gerät) auf Aus fest für Bildschirmfoto auf Clients blockieren, oder auf Ein für Bildschirmfoto auf Clients und Servern blockieren, basierend auf Ihren Anforderungen, und wählen Sie dann OKaus.

7. Wählen Sie Weiter aus.

8. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (RBAC) und Bereichsmarkierungen für verteilte IT.

9. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

10. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Einstellungen, und wählen Sie Erstellen aus.

11. Sobald die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So konfigurieren Sie den Bildschirmaufnahmeschutz auf Sitzungshosts mithilfe von Gruppenrichtlinien in einer Active Directory-Domäne:

1. Folgen Sie den Schritten, um die Administrative Vorlage für Azure Virtual Desktop in der Gruppenrichtlinie verfügbar zu machen.

2. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole auf dem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

3. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer ausgerichtet ist, die eine zu konfigurierende Remotesitzung bereitstellen.

4. Navigieren Sie zu Computerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

5. Doppelklicken Sie die Richtlinieneinstellung Bildschirmfotoschutz aktivieren, um sie zu öffnen, und wählen Sie dann Aktiviert aus.

   

6. Wählen Sie im Dropdownmenü das Schutzszenario für Bildschirmfotos aus, das Sie verwenden möchten, entweder Bildschirmfoto auf Clients blockieren oder Bildschirmfoto auf Clients und Servern blockieren, abhängig von Ihren Anforderungen, und wählen Sie dann OK aus.

7. Vergewissern Sie sich, dass die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen. Starten Sie sie anschließend neu, damit die Einstellungen wirksam werden.

Aktivieren des Bildschirmaufnahmeschutzes auf lokalen Geräten mit Intune-MAM

Um den Bildschirmaufnahmeschutz auf Geräten mit iOS/iPadOS und Android mit der Windows App zu verwenden, müssen Sie eine Intune-App-Schutz-Richtlinie konfigurieren.

So konfigurieren Sie eine Intune-App-Schutz-Richtlinie zum Aktivieren des Bildschirmaufnahmeschutzes auf Geräten mit iOS-/iPadOS und Android

1. Führen Sie die Schritte unter Konfigurieren von Umleitungseinstellungen für Clientgeräte der Windows App und der Remotedesktop-App mit Microsoft Intune aus. Die Konfiguration des Bildschirmaufnahmeschutzes erfolgt in einer Appschutz-Richtlinie.

2. Legen Sie bei der Konfiguration einer Appschutz-Richtlinie auf der Registerkarte Datenschutz je nach Plattform die folgende Einstellung fest:

   1. Legen Sie für iOS/iPadOS die Option Organisationsdaten an andere Apps senden auf Keine fest.

   2. Legen Sie für Android die Option Bildschirmaufnahme und Google Assistant auf Blockieren fest.

3. Konfigurieren Sie die anderen Einstellungen entsprechend Ihren Anforderungen, und wenden Sie die Appschutz-Richtlinie auf Benutzende und Geräte an.

Überprüfen des Bildschirmfotoschutzes

So überprüfen Sie, ob der Bildschirmfotoschutz funktioniert:

1. Stellen Sie eine Verbindung mit einer neuen Remotesitzung mit einem unterstützten Client her. Stellen Sie keine Verbindung mit einer vorhandenen Sitzung wieder her. Sie müssen sich von allen bestehenden Sitzungen abmelden und erneut anmelden, damit die Änderungen wirksam werden.

2. Erstellen Sie auf einem lokalen Gerät einen Screenshot, oder geben Sie Ihren Bildschirm in einem Teams-Anruf oder einer Teams-Besprechung frei. Der Inhalt ist blockiert oder ausgeblendet.

3. Wenn Sie auf Windows-oder macOS-Geräten Bildschirmaufnahme auf Client und Server blockieren auf Ihren Sitzungshosts aktiviert haben, versuchen Sie, mithilfe eines Tools oder Diensts auf dem Sitzungshost einen Screenshot zu erstellen. Der Inhalt ist blockiert oder ausgeblendet.

Wenn Sie den Bildschirmaufnahmeschutz auf Sitzungshosts aktivieren, müssen Sie eine Verbindung von einem unterstützten Gerät herstellen. Andernfalls wird eine Fehlermeldung angezeigt, die angibt, dass der Bildschirmaufnahmeschutz aktiviert ist. Die Fehlermeldung sieht ähnlich wie in den folgenden Screenshots aus:

• Webbrowser:

  

• iOS/iPadOS:

  

Zugehöriger Inhalt

• Aktivieren Sie Wasserzeichen, damit Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

• Informationen zum Absichern Ihrer Azure Virtual Desktop-Bereitstellung finden Sie unter Bewährte Sicherheitsmethoden.