Compartir a través de


Habilitar protección contra capturas de pantalla en Azure Virtual Desktop

La protección de captura de pantalla, junto con la marca de agua, ayuda a evitar que se capturen datos confidenciales en dispositivos cliente mediante características específicas del sistema operativo (SO) y las API. Cuando activa la protección contra capturas de pantalla, el contenido remoto se bloquea automáticamente en las capturas de pantalla y las pantallas compartidas.

Cuando la protección contra recortes de pantalla está habilitada, los usuarios no pueden compartir la ventana remota mediante software de colaboración local, como Microsoft Teams. Con Teams, ni la aplicación local de Teams ni el uso de Teams con optimización multimedia pueden compartir contenido protegido.

Sugerencia

  • Para aumentar la seguridad de la información confidencial, también debe deshabilitar el portapapeles, la unidad y el redireccionamiento de impresora. Deshabilitar el redireccionamiento ayuda a impedir que los usuarios copien contenido desde la sesión remota. Para obtener información sobre los valores de redirección admitidos, consulte Redirección de dispositivos.

  • Para evitar otros métodos de captura de pantalla, como tomar una foto de una pantalla con una cámara física, puede habilitar la marca de agua, donde los administradores pueden usar un código QR para realizar un seguimiento de la sesión.

Determinación de la configuración

Los pasos para configurar la protección de captura de pantalla dependen de dónde la configure, las plataformas desde las que se conectan los usuarios y qué escenario desea lograr.

  • Dispositivos Windows y macOS: impide la captura de pantalla mediante la configuración de hosts de sesión mediante una directiva de configuración de dispositivos de Intune o una Directiva de grupo. La Windows App y el cliente de Escritorio remoto aplican la configuración de protección de captura de pantalla desde un host de sesión sin configuración adicional.

    Al configurar la protección de captura de pantalla en hosts de sesión, hay dos opciones adicionales que puede configurar para ayudar a cumplir sus requisitos:

    • Bloquear recorte de pantalla en el cliente: impide el recorte de pantalla del dispositivo local de las aplicaciones que se ejecutan en la sesión remota.

    • Bloquear recorte de pantalla en el cliente y el servidor: impide el recorte de pantalla del dispositivo local de las aplicaciones que se ejecutan en la sesión remota, pero también impide que las herramientas y los servicios del host de sesión capturen la pantalla.

    En este escenario, este es el resultado al conectarse desde cada tipo de plataforma:

    Plataforma Conexión permitida Captura de pantalla bloqueada
    Windows
    macOS
    iOS/iPadOS N/D
    Android N/D
    Web N/D
  • Dispositivos iOS/iPadOS y Android: impide la captura de pantalla mediante la configuración de dispositivos locales mediante una directiva de protección de aplicaciones de Intune, parte de la administración de aplicaciones móviles (MAM). No impide que las herramientas y los servicios dentro del host de sesión capturen la pantalla.

    En este escenario, este es el resultado al conectarse desde cada tipo de plataforma:

    Plataforma Conexión permitida Captura de pantalla bloqueada
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

Importante

Debe elegir qué dispositivos locales usar con la protección de captura de pantalla en función de sus requisitos. No hay un escenario en el que puede habilitar la protección de captura de pantalla en todas las plataformas de los mismos hosts de sesión al mismo tiempo. Si ambos están configurados, la protección de captura de pantalla en los hosts de sesión tiene prioridad sobre el uso de una directiva MAM de Intune en dispositivos locales.

Requisitos previos

  • En escenarios en los que necesite configurar hosts de sesión, esos hosts deben ejecutar Windows 11, versión 22H2 o posterior, o Windows 10, versión 22H2 o posterior.

  • Los usuarios deben conectarse a Azure Virtual Desktop con la Windows App o la aplicación de Escritorio remoto para usar la protección de captura de pantalla. En la tabla siguiente se muestran los escenarios admitidos:

    • Windows App:

      Plataforma Versión mínima Sesión de escritorio Sesión de RemoteApp
      Windows App en Windows Any Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior.
      Windows App en macOS Any
      Windows App en iOS/iPadOS 11.0.8
      Windows App en Android (versión preliminar)¹ 1.0.145

      1. No incluye compatibilidad con el sistema operativo Chrome porque MAM de Intune no es compatible con el sistema operativo Chrome.

    • Cliente de Escritorio remoto:

      Plataforma Versión mínima Sesión de escritorio Sesión de RemoteApp
      Windows (cliente de escritorio) 1.2.1672 Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior.
      Windows (aplicación de la Tienda de Azure Virtual Desktop) Any Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior.
      macOS 10.7.0 o posterior
  • Para configurar Microsoft Intune, se necesita:

  • Para configurar la directiva de grupo, se necesita:

    • Una cuenta de dominio que es miembro del grupo de seguridad Administradores de dominio.

    • Un grupo de seguridad o una unidad organizativa (UO) que contenga los dispositivos que quiera configurar.

Habilitación de la protección de captura de pantalla en hosts de sesión mediante una directiva de configuración de dispositivos de Intune o una Directiva de grupo

Seleccione la pestaña correspondiente a su escenario.

Para configurar la protección de recorte de pantalla mediante Microsoft Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil Catálogo de configuración.

  3. En el selector de configuración, vaya a Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop.

    Captura de pantalla que muestra las opciones de Azure Virtual Desktop en el portal de Microsoft Intune.

  4. Active la casilla Habilitar la protección de captura de pantalla y cierre el selector de configuración.

  5. Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador habilitar la protección de captura de pantalla a Habilitado.

    Captura de pantalla que muestra la configuración de protección de captura de pantalla en Microsoft Intune.

  6. Cambie el modificador de Opciones de protección de captura de pantalla (dispositivo) de desactivado para Bloquear captura de pantalla en el cliente o activado para Bloquear captura de pantalla en el cliente y el servidor según sus requisitos y, a continuación, seleccione Aceptar.

  7. Seleccione Siguiente.

  8. Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para obtener más información sobre las etiquetas de ámbito, consulte Utilizar el control de acceso basado en funciones (RBAC) y las etiquetas de alcance para la TI distribuida.

  9. En la pestaña Asignaciones, seleccione el grupo que contiene los ordenadores que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.

  10. En la pestaña Revisar y crear, examine la configuración y seleccione Crear.

  11. Una vez que la directiva se aplica a los ordenadores que proporcionan una sesión remota, reiníciela para que la configuración surta efecto.

Habilitación de la protección de captura de pantalla en dispositivos locales mediante MAM de Intune

Para usar la protección de recorte de pantalla en dispositivos iOS/iPadOS y Android que ejecutan la Windows App, debe configurar una directiva de protección de aplicaciones de Intune.

Si quiere configurar una directiva de protección de aplicaciones de Intune para habilitar la protección de recorte de pantalla en dispositivos iOS/iPadOS y Android, haga lo siguiente:

  1. Siga los pasos para Definir la configuración de redirección de dispositivos cliente para la Windows App y la aplicación de Escritorio remoto mediante Microsoft Intune. La configuración de la protección de recorte de pantalla forma parte de una directiva de protección de aplicaciones .

  2. Al configurar una directiva de protección de aplicaciones, en la pestaña Protección de datos, defina la configuración siguiente, en función de la plataforma:

    1. Para iOS/iPadOS, establezca Send org data to other apps (Enviar datos de la organización a otras aplicaciones) en Ninguno.

    2. Para Android, establezca Captura de pantalla y Asistente de Google en Block (Bloquear).

  3. Configure otras opciones en función de sus requisitos y dirija la directiva de protección de aplicaciones a usuarios y dispositivos.

Verificar la protección de las capturas de pantalla

Para comprobar que la protección de captura de pantalla funciona:

  1. Conéctese a una sesión remota con un cliente compatible. No vuelva a conectarse a una sesión existente. Debe cerrar sesión en las sesiones existentes e iniciar sesión de nuevo para que el cambio entre en vigor.

  2. Desde un dispositivo local, haga un recorte de pantalla o comparta la pantalla en una llamada o reunión de Teams. El contenido está bloqueado u oculto.

  3. Si en dispositivos Windows y macOS ha habilitado Bloquear captura de pantalla en el cliente y el servidor, en los hosts de sesión, intente capturar la pantalla mediante una herramienta o servicio dentro del host de sesión. El contenido está bloqueado u oculto.

Si habilita la protección de captura de pantalla en hosts de sesión, debe conectarse desde un dispositivo compatible. Si no lo hace, verá un mensaje de error que indica que la protección de captura de pantalla está habilitada. El mensaje de error es similar a estas capturas de pantalla:

  • Explorador web:

    Captura de pantalla de Windows App en un explorador web que muestra un mensaje de error que indica que la captura de pantalla está habilitada y debe conectarse desde un cliente compatible.

  • iOS/iPadOS:

    Captura de pantalla de Windows App para iOS/iPadOS que muestra un mensaje de error que indica que la captura de pantalla está habilitada y debe conectarse desde un cliente compatible.