Habilitar protección contra capturas de pantalla en Azure Virtual Desktop

La protección de captura de pantalla, junto con la marca de agua, ayuda a evitar que se capturen datos confidenciales en dispositivos cliente mediante características específicas del sistema operativo (SO) y las API. Cuando activa la protección contra capturas de pantalla, el contenido remoto se bloquea automáticamente en las capturas de pantalla y las pantallas compartidas.

Cuando la protección contra recortes de pantalla está habilitada, los usuarios no pueden compartir la ventana remota mediante software de colaboración local, como Microsoft Teams. Con Teams, ni la aplicación local de Teams ni el uso de Teams con optimización multimedia pueden compartir contenido protegido.

Sugerencia

• Para aumentar la seguridad de la información confidencial, también debe deshabilitar el portapapeles, la unidad y el redireccionamiento de impresora. Deshabilitar el redireccionamiento ayuda a impedir que los usuarios copien contenido desde la sesión remota. Para obtener información sobre los valores de redirección admitidos, consulte Redirección de dispositivos.

• Para evitar otros métodos de captura de pantalla, como tomar una foto de una pantalla con una cámara física, puede habilitar la marca de agua, donde los administradores pueden usar un código QR para realizar un seguimiento de la sesión.

Determinación de la configuración

Los pasos para configurar la protección de captura de pantalla dependen de dónde la configure, las plataformas desde las que se conectan los usuarios y qué escenario desea lograr.

• Dispositivos Windows y macOS: impide la captura de pantalla mediante la configuración de hosts de sesión mediante una directiva de configuración de dispositivos de Intune o una Directiva de grupo. La Windows App y el cliente de Escritorio remoto aplican la configuración de protección de captura de pantalla desde un host de sesión sin configuración adicional.

  Al configurar la protección de captura de pantalla en hosts de sesión, hay dos opciones adicionales que puede configurar para ayudar a cumplir sus requisitos:

  • Bloquear recorte de pantalla en el cliente: impide el recorte de pantalla del dispositivo local de las aplicaciones que se ejecutan en la sesión remota.

  • Bloquear recorte de pantalla en el cliente y el servidor: impide el recorte de pantalla del dispositivo local de las aplicaciones que se ejecutan en la sesión remota, pero también impide que las herramientas y los servicios del host de sesión capturen la pantalla.

  En este escenario, este es el resultado al conectarse desde cada tipo de plataforma:

  Plataforma	Conexión permitida	Captura de pantalla bloqueada
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	N/D
  Android	❌	N/D
  Web	❌	N/D

• Dispositivos iOS/iPadOS y Android: impide la captura de pantalla mediante la configuración de dispositivos locales mediante una directiva de protección de aplicaciones de Intune, parte de la administración de aplicaciones móviles (MAM). No impide que las herramientas y los servicios dentro del host de sesión capturen la pantalla.

  En este escenario, este es el resultado al conectarse desde cada tipo de plataforma:

  Plataforma	Conexión permitida	Captura de pantalla bloqueada
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Importante

Debe elegir qué dispositivos locales usar con la protección de captura de pantalla en función de sus requisitos. No hay un escenario en el que puede habilitar la protección de captura de pantalla en todas las plataformas de los mismos hosts de sesión al mismo tiempo. Si ambos están configurados, la protección de captura de pantalla en los hosts de sesión tiene prioridad sobre el uso de una directiva MAM de Intune en dispositivos locales.

Requisitos previos

• En escenarios en los que necesite configurar hosts de sesión, esos hosts deben ejecutar Windows 11, versión 22H2 o posterior, o Windows 10, versión 22H2 o posterior.

• Los usuarios deben conectarse a Azure Virtual Desktop con la Windows App o la aplicación de Escritorio remoto para usar la protección de captura de pantalla. En la tabla siguiente se muestran los escenarios admitidos:

  • Windows App:

    Plataforma	Versión mínima	Sesión de escritorio	Sesión de RemoteApp
    Windows App en Windows	Any	Sí	Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior.
    Windows App en macOS	Any	Sí	Sí
    Windows App en iOS/iPadOS	11.0.8	Sí	Sí
    Windows App en Android (versión preliminar)¹	1.0.145	Sí	Sí

    ^{1. No incluye compatibilidad con el sistema operativo Chrome porque MAM de Intune no es compatible con el sistema operativo Chrome.}

  • Cliente de Escritorio remoto:

    Plataforma	Versión mínima	Sesión de escritorio	Sesión de RemoteApp
    Windows (cliente de escritorio)	1.2.1672	Sí	Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior.
    Windows (aplicación de la Tienda de Azure Virtual Desktop)	Any	Sí	Sí. El sistema operativo del dispositivo local debe ser Windows 11, versión 22H2 o posterior.
    macOS	10.7.0 o posterior	Sí	Sí

• Para configurar Microsoft Intune, se necesita:

  • Cuenta de Microsoft Entra ID a la que se asigna la función RBAC integrada de administrador de directivas y perfiles.

  • Un grupo que contiene los dispositivos que quiere configurar.

• Para configurar la directiva de grupo, se necesita:

  • Una cuenta de dominio que es miembro del grupo de seguridad Administradores de dominio.

  • Un grupo de seguridad o una unidad organizativa (UO) que contenga los dispositivos que quiera configurar.

Habilitación de la protección de captura de pantalla en hosts de sesión mediante una directiva de configuración de dispositivos de Intune o una Directiva de grupo

Seleccione la pestaña correspondiente a su escenario.

Microsoft Intune

Para configurar la protección de recorte de pantalla mediante Microsoft Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil Catálogo de configuración.

3. En el selector de configuración, vaya a Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop.

   

4. Active la casilla Habilitar la protección de captura de pantalla y cierre el selector de configuración.

5. Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador habilitar la protección de captura de pantalla a Habilitado.

   

6. Cambie el modificador de Opciones de protección de captura de pantalla (dispositivo) de desactivado para Bloquear captura de pantalla en el cliente o activado para Bloquear captura de pantalla en el cliente y el servidor según sus requisitos y, a continuación, seleccione Aceptar.

7. Seleccione Siguiente.

8. Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para obtener más información sobre las etiquetas de ámbito, consulte Utilizar el control de acceso basado en funciones (RBAC) y las etiquetas de alcance para la TI distribuida.

9. En la pestaña Asignaciones, seleccione el grupo que contiene los ordenadores que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.

10. En la pestaña Revisar y crear, examine la configuración y seleccione Crear.

11. Una vez que la directiva se aplica a los ordenadores que proporcionan una sesión remota, reiníciela para que la configuración surta efecto.

Directiva de grupo

Para configurar la protección de captura de pantalla en hosts de sesión mediante la Directiva de grupo en un Dominio de Active Directory:

1. Siga los pasos para hacer que la Plantilla administrativa para Azure Virtual Desktop esté disponible en la directiva de grupo.

2. Abra la consola Administración de directiva de grupo en un dispositivo que use para administrar el dominio de Active Directory.

3. Cree o edite una directiva destinada a los ordenadores que proporcionan una sesión remota que desea configurar.

4. Vaya a Configuración del equipo>Directivas>Plantillas administrativas>componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop.

   

5. Haga doble clic en la configuración de directiva Habilitar la protección de captura de pantalla para abrirla y, a continuación, seleccione Habilitado.

   

6. En el menú desplegable, seleccione el escenario de protección contra capturas de pantalla que desea usar en Bloquear captura de pantalla en el cliente o Bloquear captura de pantalla en el cliente y el servidor basado en sus requisitos, luego seleccione Aceptar.

7. Asegúrese de que la directiva se aplique a los equipos que proporcionen una sesión remota y, después, reinícielos para que la configuración surta efecto.

Habilitación de la protección de captura de pantalla en dispositivos locales mediante MAM de Intune

Para usar la protección de recorte de pantalla en dispositivos iOS/iPadOS y Android que ejecutan la Windows App, debe configurar una directiva de protección de aplicaciones de Intune.

Si quiere configurar una directiva de protección de aplicaciones de Intune para habilitar la protección de recorte de pantalla en dispositivos iOS/iPadOS y Android, haga lo siguiente:

1. Siga los pasos para Definir la configuración de redirección de dispositivos cliente para la Windows App y la aplicación de Escritorio remoto mediante Microsoft Intune. La configuración de la protección de recorte de pantalla forma parte de una directiva de protección de aplicaciones .

2. Al configurar una directiva de protección de aplicaciones, en la pestaña Protección de datos, defina la configuración siguiente, en función de la plataforma:

   1. Para iOS/iPadOS, establezca Send org data to other apps (Enviar datos de la organización a otras aplicaciones) en Ninguno.

   2. Para Android, establezca Captura de pantalla y Asistente de Google en Block (Bloquear).

3. Configure otras opciones en función de sus requisitos y dirija la directiva de protección de aplicaciones a usuarios y dispositivos.

Verificar la protección de las capturas de pantalla

Para comprobar que la protección de captura de pantalla funciona:

1. Conéctese a una sesión remota con un cliente compatible. No vuelva a conectarse a una sesión existente. Debe cerrar sesión en las sesiones existentes e iniciar sesión de nuevo para que el cambio entre en vigor.

2. Desde un dispositivo local, haga un recorte de pantalla o comparta la pantalla en una llamada o reunión de Teams. El contenido está bloqueado u oculto.

3. Si en dispositivos Windows y macOS ha habilitado Bloquear captura de pantalla en el cliente y el servidor, en los hosts de sesión, intente capturar la pantalla mediante una herramienta o servicio dentro del host de sesión. El contenido está bloqueado u oculto.

Si habilita la protección de captura de pantalla en hosts de sesión, debe conectarse desde un dispositivo compatible. Si no lo hace, verá un mensaje de error que indica que la protección de captura de pantalla está habilitada. El mensaje de error es similar a estas capturas de pantalla:

• Explorador web:

  

• iOS/iPadOS:

  

Contenido relacionado

• Habilite la marca de agua, donde los administradores pueden usar un código QR para realizar un seguimiento de la sesión.

• Obtenga información sobre cómo proteger la implementación de Azure Virtual Desktop en Procedimientos recomendados de seguridad.