Habilitar protección contra capturas de pantalla en Azure Virtual Desktop

La protección contra capturas de pantalla, junto con la marca de agua, ayuda a evitar que se capture información confidencial en puntos de conexión del cliente a través de un conjunto específico de características del sistema operativo (SO) e interfaces de programación de aplicaciones (API). Cuando activa la protección contra capturas de pantalla, el contenido remoto se bloquea automáticamente en las capturas de pantalla y las pantallas compartidas. Puede configurar la protección de captura de pantalla mediante Microsoft Intune o la directiva de grupo en los hosts de sesión.

Hay dos escenarios admitidos para la protección contra capturas de pantalla, en función de la versión de Windows que use:

• Bloquear captura de pantalla en el cliente: el host de sesión indica a un cliente de Escritorio remoto compatible que habilite la protección contra capturas de pantalla para una sesión remota. Esta opción impide la captura de pantalla desde el cliente de las aplicaciones que se ejecutan en la sesión remota.

• Bloquear captura de pantalla en el cliente y servidor: el host de sesión indica a un cliente de Escritorio remoto compatible que habilite la protección contra capturas de pantalla para una sesión remota. Esta opción impide la captura de pantalla desde el cliente de las aplicaciones que se ejecutan en la sesión remota, pero también impide que las herramientas y servicios del host de la sesión capturen la pantalla.

Cuando la protección contra capturas de pantalla está habilitada, los usuarios no pueden compartir la ventana de Escritorio remoto mediante software de colaboración local, como Microsoft Teams. Con Teams, ni la aplicación local de Teams ni el uso de Teams con optimización multimedia pueden compartir contenido protegido.

Sugerencia

• Para aumentar la seguridad de la información confidencial, también debe deshabilitar el portapapeles, la unidad y el redireccionamiento de impresora. Deshabilitar el redireccionamiento ayuda a impedir que los usuarios copien contenido desde la sesión remota. Para obtener información sobre los valores de redirección admitidos, consulte Redirección de dispositivos.

• Para evitar otros métodos de captura de pantalla, como tomar una foto de una pantalla con una cámara física, puede habilitar la marca de agua, donde los administradores pueden usar un código QR para realizar un seguimiento de la sesión.

Requisitos previos

• Los hosts de sesión deben ejecutar una de las siguientes versiones de Windows para usar la protección contra capturas de pantalla:

  • Bloquear captura de pantalla en el cliente está disponible con una versión compatible de Windows 10 o Windows 11.
  • La captura de pantalla de bloqueo en el cliente y el servidor está disponible a partir de Windows 11, versión 22H2.

• Los usuarios deben conectarse a Azure Virtual Desktop con la aplicación de Windows o la aplicación de Escritorio remoto para usar la protección de captura de pantalla. En la tabla siguiente se muestran los escenarios admitidos. Si un usuario intenta conectarse con un cliente o versión diferente, la conexión se deniega y muestra un mensaje de error con el código 0x1151.

  Aplicación	Versión	Sesión de escritorio	Sesión de RemoteApp
  Aplicación de Windows en Windows	Any	Sí	Sí. El sistema operativo del dispositivo cliente debe ser Windows 11, versión 22H2 o posterior.
  Cliente de Escritorio remoto en Windows	1.2.1672 o posterior	Sí	Sí. El sistema operativo del dispositivo cliente debe ser Windows 11, versión 22H2 o posterior.
  Aplicación Azure Virtual Desktop Store	Any	Sí	Sí. El sistema operativo del dispositivo cliente debe ser Windows 11, versión 22H2 o posterior.
  Aplicación de Windows en macOS	Any	Sí	Sí
  Cliente de Escritorio remoto en macOS	10.7.0 o posterior	Sí	Sí

• Para configurar Microsoft Intune, se necesita:

  • Cuenta de Microsoft Entra ID a la que se asigna la función RBAC integrada de administrador de directivas y perfiles.

  • Un grupo que contiene los dispositivos que quiere configurar.

• Para configurar la directiva de grupo, se necesita:

  • Una cuenta de dominio que es miembro del grupo de seguridad Administradores de dominio.

  • Un grupo de seguridad o una unidad organizativa (UO) que contenga los dispositivos que quiera configurar.

Habilitar la protección contra capturas de pantalla

La protección contra capturas de pantalla se configura en los hosts de sesión y se aplica mediante el cliente. Seleccione la pestaña correspondiente a su escenario.

Microsoft Intune

Para configurar la protección de captura de pantalla mediante Microsoft Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil Catálogo de configuración.

3. En el selector de configuración, vaya a Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop.

   

4. Active la casilla Habilitar la protección de captura de pantalla y cierre el selector de configuración.

5. Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador habilitar la protección de captura de pantalla a Habilitado.

   

6. Cambie el modificador de Opciones de protección de captura de pantalla (dispositivo) de desactivado para Bloquear captura de pantalla en el cliente o activado para Bloquear captura de pantalla en el cliente y el servidor según sus requisitos y, a continuación, seleccione Aceptar.

7. Seleccione Siguiente.

8. Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para obtener más información sobre las etiquetas de ámbito, consulte Utilizar el control de acceso basado en funciones (RBAC) y las etiquetas de alcance para la TI distribuida.

9. En la pestaña Asignaciones, seleccione el grupo que contiene los ordenadores que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.

10. En la pestaña Revisar y crear, examine la configuración y seleccione Crear.

11. Una vez que la directiva se aplica a los ordenadores que proporcionan una sesión remota, reiníciela para que la configuración surta efecto.

Directiva de grupo

Para configurar la protección de captura de pantalla mediante la directiva de grupo:

1. Siga los pasos para hacer que la Plantilla administrativa para Azure Virtual Desktop esté disponible en la directiva de grupo.

2. Abra la consola de Administración de directivas de grupo en el dispositivo que use para administrar el dominio de Active Directory.

3. Cree o edite una directiva destinada a los ordenadores que proporcionan una sesión remota que desea configurar.

4. Vaya a Configuración del equipo>Directivas>Plantillas administrativas>componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop.

   

5. Haga doble clic en la configuración de directiva Habilitar la protección de captura de pantalla para abrirla y, a continuación, seleccione Habilitado.

   

6. En el menú desplegable, seleccione el escenario de protección contra capturas de pantalla que desea usar en Bloquear captura de pantalla en el cliente o Bloquear captura de pantalla en el cliente y el servidor basado en sus requisitos, luego seleccione Aceptar.

7. Asegúrese de que la directiva se aplique a los equipos que proporcionen una sesión remota y, después, reinícielos para que la configuración surta efecto.

Verificar la protección de las capturas de pantalla

Para comprobar que la protección de captura de pantalla funciona:

1. Conéctese a una sesión remota con un cliente compatible.

2. Tome una captura de pantalla o comparta la pantalla en una llamada o reunión de Teams. El contenido debe bloquearse u ocultarse. Las sesiones existentes tendrán que cerrar sesión y volver a iniciarla para que el cambio surta efecto.

Contenido relacionado

• Habilite la marca de agua, donde los administradores pueden usar un código QR para realizar un seguimiento de la sesión.

• Obtenga información sobre cómo proteger la implementación de Azure Virtual Desktop en Procedimientos recomendados de seguridad.