Schutz vor Bildschirmaufnahmen in Azure Virtual Desktop

Der Schutz vor Bildschirmaufnahmen trägt zusammen mit Wasserzeichen über einen bestimmten Satz von Betriebssystemfeatures und APIs dazu bei, zu verhindern, dass vertrauliche Informationen auf Clientendpunkten erfasst werden. Wenn Sie den Schutz vor Bildschirmaufnahmen aktivieren, werden Remoteinhalte in Screenshots und Bildschirmfreigaben automatisch blockiert.

Zwei Szenarien werden beim Schutz vor Bildschirmaufnahmen unterstützt:

• Blockieren von Bildschirmaufnahmen auf dem Client: verhindert Bildschirmaufnahmen auf einem lokalen Gerät durch Anwendungen, die in der Remotesitzung ausgeführt werden

• Blockieren von Bildschirmaufnahmen auf Client und Server: verhindert Bildschirmaufnahmen auf einem lokalen Gerät durch Anwendungen, die in der Remotesitzung ausgeführt werden, aber auch durch Tools und Dienste auf dem Sitzungshost, die den Bildschirm erfassen

Wenn der Schutz vor Bildschirmaufnahmen aktiviert ist, können Benutzende das Remotefenster nicht über lokale Zusammenarbeitssoftware wie Microsoft Teams freigeben. Bei Teams können geschützte Inhalte weder durch die lokale Teams-App noch durch Teams mit Medienoptimierung freigegeben werden.

Tipp

• Zum Erhöhen der Sicherheit Ihrer vertraulichen Informationen sollten Sie auch die Zwischenablagen-, die Laufwerks- und die Druckerumleitung deaktivieren. Durch das Deaktivieren der Umleitung wird verhindert, dass Benutzer erfasste Bildschirminhalte aus der Remotesitzung kopieren. Informationen zu unterstützten Umleitungswerten finden Sie unter Geräteumleitung.

• Um andere Methoden der Bildschirmaufnahme zu verhindern, z. B. das Fotografieren eines Bildschirms mit einer physischen Kamera, können Sie die Wasserzeichenfunktion aktivieren, bei der Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

Bestimmen der Konfiguration

Die Schritte zum Konfigurieren des Bildschirmaufnahmeschutzes hängen davon ab, von welchen Plattformen aus die Benutzenden eine Verbindung herstellen:

• Für Windows- und macOS-Geräte mit Windows App oder Remotedesktopclient konfigurieren Sie den Bildschirmaufnahmeschutz auf Sitzungshosts mithilfe von Intune oder Gruppenrichtlinien. Die Windows App und der Remotedesktopclient erzwingen Einstellungen zum Bildschirmaufnahmeschutz auf einem Sitzungshost ohne zusätzliche Konfiguration.

• Bei iOS/iPadOS- und Android-Geräten, auf denen die Windows App ausgeführt wird, blockieren Sie die Bildschirmaufnahme auf dem lokalen Gerät, indem Sie eine Intune-App-Schutz-Richtlinie konfigurieren, die Teil der Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) ist. Wenn Sie Bildschirmaufnahmen auch auf dem Sitzungshost blockieren möchten, müssen Sie darüber hinaus den Bildschirmaufnahmeschutz auf Sitzungshosts mithilfe von Intune oder Gruppenrichtlinien konfigurieren.

Nachfolgend finden Sie eine Zusammenfassung der Konfigurationsschritte auf den einzelnen Plattformen:

Plattform	Blockieren von Bildschirmaufnahmen auf dem Client	Blockieren von Bildschirmaufnahmen auf Client und Server
Windows	Konfigurieren von Sitzungshosts mit Intune oder Gruppenrichtlinien	Konfigurieren von Sitzungshosts mit Intune oder Gruppenrichtlinien
macOS	Konfigurieren von Sitzungshosts mit Intune oder Gruppenrichtlinien	Konfigurieren von Sitzungshosts mit Intune oder Gruppenrichtlinien
iOS/iPadOS	Konfigurieren lokaler Geräte mit Intune MAM	Konfigurieren von lokalen Geräten mit Intune MAM und von Sitzungshosts mit Intune oder Gruppenrichtlinien
Android	Konfigurieren lokaler Geräte mit Intune MAM	Konfigurieren von lokalen Geräten mit Intune MAM und von Sitzungshosts mit Intune oder Gruppenrichtlinien

Voraussetzungen

• Für Szenarien, in denen Sie Sitzungshosts konfigurieren müssen, muss auf diesen Sitzungshosts Windows 11, Version 22H2 oder höher oder Windows 10, Version 22H2 oder höher ausgeführt werden.

• Benutzer müssen eine Verbindung mit Azure Virtual Desktop mit Windows App oder der Remotedesktop-App herstellen, um den Bildschirmfotoschutz zu verwenden. In der folgenden Tabelle sind die unterstützten Szenarien aufgeführt:

  • Windows App:

    Plattform	Mindestversion	Desktopsitzung	RemoteApp-Sitzung
    Windows App unter Windows	Any	Ja	Ja. Das Betriebssystem des lokalen Geräts muss Windows 11, Version 22H2 oder höher sein.
    Windows App unter macOS	Any	Ja	Ja
    Windows App unter iOS/iPadOS	11.0.8	Ja	Ja
    Windows App unter Android (Vorschau)¹	1.0.145	Ja	Ja

    1. Umfasst keine Unterstützung für ChromeOS

  • Remotedesktopclient:

    Plattform	Mindestversion	Desktopsitzung	RemoteApp-Sitzung
    Windows (Desktopclient)	1.2.1672	Ja	Ja. Das Betriebssystem des lokalen Geräts muss Windows 11, Version 22H2 oder höher sein.
    Windows (Azure Virtual Desktop Store-App)	Any	Ja	Ja. Das Betriebssystem des lokalen Geräts muss Windows 11, Version 22H2 oder höher sein.
    macOS	10.7.0 oder höher	Ja	Ja

  Wenn Benutzende versuchen, eine Verbindung mit einer anderen App oder Version herzustellen (z. B. Windows App über einen Webbrowser), wird die Verbindung verweigert und eine Fehlermeldung mit dem Code 0x1151 angezeigt.

• Zum Konfigurieren von Microsoft Intune benötigen Sie Folgendes:

  • Ein Microsoft Entra ID-Konto, dem die integrierte RBAC-Rolle Richtlinien- und Profil-Manager*in zugewiesen ist.

  • Eine Gruppe mit den Geräten, die Sie konfigurieren möchten

• Zum Konfigurieren der Gruppenrichtlinie benötigen Sie Folgendes:

  • Ein Domänenkonto, das Mitglied der Sicherheitsgruppe Domain Admins ist.

  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

Aktivieren des Bildschirmaufnahmeschutzes auf Sitzungshosts

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So konfigurieren Sie den Bildschirmaufnahmeschutz auf Sitzungshosts mit Microsoft Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Geräte mit Windows 10 und höher mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

4. Aktivieren Sie das Kontrollkästchen für Bildschirmfotoschutz aktivieren, und schließen Sie dann die Einstellungsauswahl.

5. Erweitern Sie die Kategorie Administrative Vorlagen, und legen Sie dann den Schalter für Bildschirmfotoschutz aktivieren auf Aktiviert fest.

   

6. Legen Sie den Schalter für Bildschirmfotoschutz (Gerät) auf Aus fest für Bildschirmfoto auf Clients blockieren, oder auf Ein für Bildschirmfoto auf Clients und Servern blockieren, basierend auf Ihren Anforderungen, und wählen Sie dann OKaus.

7. Wählen Sie Weiter aus.

8. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (RBAC) und Bereichsmarkierungen für verteilte IT.

9. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

10. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Einstellungen, und wählen Sie Erstellen aus.

11. Sobald die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So konfigurieren Sie den Bildschirmaufnahmeschutz auf Sitzungshosts mithilfe von Gruppenrichtlinien

1. Folgen Sie den Schritten, um die Administrative Vorlage für Azure Virtual Desktop in der Gruppenrichtlinie verfügbar zu machen.

2. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole auf dem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

3. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer ausgerichtet ist, die eine zu konfigurierende Remotesitzung bereitstellen.

4. Navigieren Sie zu Computerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

5. Doppelklicken Sie die Richtlinieneinstellung Bildschirmfotoschutz aktivieren, um sie zu öffnen, und wählen Sie dann Aktiviert aus.

   

6. Wählen Sie im Dropdownmenü das Schutzszenario für Bildschirmfotos aus, das Sie verwenden möchten, entweder Bildschirmfoto auf Clients blockieren oder Bildschirmfoto auf Clients und Servern blockieren, abhängig von Ihren Anforderungen, und wählen Sie dann OK aus.

7. Vergewissern Sie sich, dass die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen. Starten Sie sie anschließend neu, damit die Einstellungen wirksam werden.

Aktivieren des Bildschirmaufnahmeschutzes auf lokalen Geräten

Um den Bildschirmaufnahmeschutz auf Geräten mit iOS/iPadOS und Android mit der Windows App zu verwenden, müssen Sie eine Intune-App-Schutz-Richtlinie konfigurieren.

Tipp

Unter Windows und macOS erzwingen die Windows App und der Remotedesktopclient die Einstellungen für den Bildschirmaufnahmeschutz auf einem Sitzungshost ohne zusätzliche Konfiguration.

So konfigurieren Sie eine Intune-App-Schutz-Richtlinie zum Aktivieren des Bildschirmaufnahmeschutzes auf Geräten mit iOS-/iPadOS und Android

1. Führen Sie die Schritte unter Konfigurieren von Umleitungseinstellungen für Clientgeräte der Windows App und der Remotedesktop-App mit Microsoft Intune aus. Die Konfiguration des Bildschirmaufnahmeschutzes erfolgt in einer Appschutz-Richtlinie.

2. Legen Sie bei der Konfiguration einer Appschutz-Richtlinie auf der Registerkarte Datenschutz je nach Plattform die folgende Einstellung fest:

   1. Legen Sie für iOS/iPadOS die Option Organisationsdaten an andere Apps senden auf Keine fest.

   2. Legen Sie für Android die Option Bildschirmaufnahme und Google Assistant auf Blockieren fest.

3. Konfigurieren Sie die anderen Einstellungen entsprechend Ihren Anforderungen, und wenden Sie die Appschutz-Richtlinie auf Benutzende und Geräte an.

Überprüfen des Bildschirmfotoschutzes

So überprüfen Sie, ob der Bildschirmfotoschutz funktioniert:

1. Stellen Sie eine Verbindung mit einer neuen Remotesitzung mit einem unterstützten Client her. Stellen Sie keine Verbindung mit einer vorhandenen Sitzung wieder her. Sie müssen sich von allen bestehenden Sitzungen abmelden und erneut anmelden, damit die Änderungen wirksam werden.

2. Erstellen Sie auf einem lokalen Gerät einen Screenshot, oder geben Sie Ihren Bildschirm in einem Teams-Anruf oder einer Teams-Besprechung frei. Die Inhalte sollten blockiert oder ausgeblendet werden.

3. Wenn Sie Bildschirmaufnahme auf Client und Server blockieren auf Ihren Sitzungshosts aktiviert haben, versuchen Sie, mithilfe eines Tools oder Diensts auf dem Sitzungshost einen Screenshot zu erstellen. Die Inhalte sollten blockiert oder ausgeblendet werden.

Zugehöriger Inhalt

• Aktivieren Sie Wasserzeichen, damit Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

• Informationen zum Absichern Ihrer Azure Virtual Desktop-Bereitstellung finden Sie unter Bewährte Sicherheitsmethoden.