Autoriser la protection contre la capture d’écran dans Azure Virtual Desktop

La protection contre la capture d’écran, parallèlement au filigrane, permet d’empêcher la capture d’informations sensibles sur les points de terminaison clients via un ensemble spécifique de fonctionnalités de système d’exploitation (OS) et d’API. Lorsque vous activez la protection des captures d’écran, le contenu distant est automatiquement bloqué dans les captures d’écran et le partage d’écran.

Il existe deux scénarios pris en charge pour la protection contre la capture d’écran :

• Bloquer la capture d’écran sur le client : empêche la capture d’écran depuis l’appareil local des applications en cours d’exécution dans la session à distance.

• Bloquer la capture d’écran sur le client et le serveur : empêche la capture d’écran depuis l’appareil local des applications en cours d’exécution dans la session à distance, et empêche également les outils et services au sein de l’hôte de session de capturer l’écran.

Lorsque la protection contre la capture d’écran est activée, les utilisateurs ne peuvent pas partager leur fenêtre à distance à l’aide d’un logiciel de collaboration local tel que Microsoft Teams. Avec Teams, ni l’application Teams locale ni Teams avec l’optimisation multimédia ne peuvent partager du contenu protégé.

Conseil

• Pour renforcer la sécurité de vos informations sensibles, vous devez également désactiver le Presse-papiers, le lecteur et la redirection d’imprimante. La désactivation de la redirection empêche les utilisateurs de copier du contenu à partir de la session distante. Pour en savoir plus sur les valeurs de redirection prises en charge, consultez Redirection d’appareil.

• Pour décourager d’autres méthodes de capture d’écran, telles que la prise de photo d’un écran avec un appareil photo physique, vous pouvez activer le filigrane, où les administrateurs peuvent utiliser un code QR pour suivre la session.

Déterminer votre configuration

Les étapes pour configurer la protection contre la capture d’écran dépendent des plateformes à partir desquelles vos utilisateurs se connectent :

• Pour les appareils Windows et macOS exécutant Windows App ou le client Bureau à distance, vous configurez la protection contre la capture d’écran sur les hôtes de session en utilisant Intune ou une stratégie de groupe. Windows App et le client Bureau à distance appliquent les paramètres de protection contre la capture d’écran d’un hôte de session sans configuration supplémentaire.

• Pour les appareils iOS/iPadOS et Android exécutant Windows App, vous bloquez la capture d’écran sur l’appareil local en configurant une stratégie de protection des applications Intune, qui fait partie de la gestion des applications mobiles (GAM). Si vous souhaitez également bloquer la capture d’écran à partir de l’hôte de session, vous devez aussi configurer la protection contre la capture d’écran sur les hôtes de session en utilisant Intune ou une stratégie de groupe.

Voici un résumé des étapes de configuration nécessaires pour chaque plateforme :

Plateforme	Bloquer la capture d’écran sur le client	Bloquer la capture d’écran sur le client et le serveur
Windows	Configurer des hôtes de session avec Intune ou une stratégie de groupe	Configurer des hôtes de session avec Intune ou une stratégie de groupe
macOS	Configurer des hôtes de session avec Intune ou une stratégie de groupe	Configurer des hôtes de session avec Intune ou une stratégie de groupe
iOS/iPadOS	Configurer l’appareil local avec la gestion des applications mobiles Intune	Configurer l’appareil local avec la gestion des applications mobiles Intune et les hôtes de session avec Intune ou une stratégie de groupe
Android	Configurer l’appareil local avec la gestion des applications mobiles Intune	Configurer l’appareil local avec la gestion des applications mobiles Intune et les hôtes de session avec Intune ou une stratégie de groupe

Prérequis

• Pour les scénarios où vous devez configurer des hôtes de session, ces hôtes de session doivent exécuter Windows 11 version 22H2 ou ultérieure, ou Windows 10 version 22H2 ou ultérieure.

• Les utilisateurs doivent se connecter à Azure Virtual Desktop avec Windows App ou l’application Remote Desktop pour utiliser la protection contre les captures d’écran. Le tableau suivant présente les scénarios pris en charge :

  • Windows App :

    Plateforme	Version minimale	Session de bureau	Session RemoteApp
    Windows App sur Windows	Tout	Oui	Oui. Le système d’exploitation de l’appareil local doit être Windows 11 version 22H2 ou ultérieure.
    Windows AppApplication Windows sur macOS	Tout	Oui	Oui
    Windows App sur iOS/iPadOS	11.0.8	Oui	Oui
    Windows App sur Android (préversion)¹	1.0.145	Oui	Oui

    1. N’inclut pas la prise en charge du système d’exploitation Chrome.

  • Client Bureau à distance :

    Plateforme	Version minimale	Session de bureau	Session RemoteApp
    Windows (client Desktop)	1.2.1672	Oui	Oui. Le système d’exploitation de l’appareil local doit être Windows 11 version 22H2 ou ultérieure.
    Windows (application Azure Virtual Desktop du Store)	Tout	Oui	Oui. Le système d’exploitation de l’appareil local doit être Windows 11 version 22H2 ou ultérieure.
    macOS	10.7.0 ou version ultérieure	Oui	Oui

  Si un utilisateur tente de se connecter à une autre application ou version telle que Windows App dans un navigateur web, la connexion est refusée et affiche un message d’erreur avec le code 0x1151.

• Pour configurer Microsoft Intune, vous avez besoin des éléments suivants :

  • Un compte Microsoft Entra ID auquel le rôle RBAC intégré Gestionnaire de stratégies et de profils a été attribué.

  • Un groupe contenant les appareils que vous souhaitez configurer.

• Pour configurer la stratégie de groupe, vous avez besoin des éléments suivants :

  • Un compte de domaine membre du groupe de sécurité Administrateurs du domaine.

  • Un groupe de sécurité ou unité d’organisation contenant les appareils que vous souhaitez configurer.

Activer la protection contre la capture d’écran sur des hôtes de session

Sélectionnez l’onglet approprié pour votre scénario.

Microsoft Intune

Pour configurer la protection contre la capture d’écran sur des hôtes de session en utilisant Microsoft Intune :

1. Connectez-vous au centre d’administration Microsoft Intune.

2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et de version ultérieure, avec le type de profil catalogue Paramètres.

3. Dans le sélecteur de paramètres, accédez àModèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Azure Virtual Desktop.

   

4. Cochez la case Activer la protection contre les captures d’écran, puis fermez le sélecteur de paramètres.

5. Développez la catégorie Modèles d’administration, puis basculez le commutateur Activer la protection contre les captures d’écran sur Activé.

   

6. Activez le commutateur pour options de protection de capture d’écran (appareil) pour désactiver pour bloquer la capture d’écran sur leclient, ou sur pour capture d’écran bloquer sur le client et le serveur en fonction de vos besoins, puis sélectionnez OK.

7. Cliquez sur Suivant.

8. Facultatif : sous l’onglet Étiquettes d’étendue, sélectionnez une étiquette d’étendue pour filtrer le profil. Pour plus d’informations sur les étiquettes d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les étiquettes d’étendue pour l’informatique distribuée.

9. Sous l’onglet Affectations, sélectionnez le groupe contenant les ordinateurs qui fournissent une session à distance et que vous voulez configurer, puis sélectionnez Suivant.

10. Sous l’onglet Vérifier + créer, passez en revue les paramètres, puis sélectionnez Créer.

11. Une fois que la stratégie a été appliquée aux ordinateurs fournissant une session à distance, redémarrez-les pour que les paramètres prennent effet.

Stratégie de groupe

Pour configurer la protection contre la capture d’écran sur des hôtes de session en utilisant une stratégie de groupe :

1. Suivez les étapes pour mettre à disposition le modèle administratif pour Azure Virtual Desktop disponible dans la stratégie de groupe.

2. Ouvrez la console de Gestion des stratégies de groupe sur un appareil qui vous permet de gérer le domaine Active Directory.

3. Créez ou modifiez une stratégie qui cible les ordinateurs fournissant une session à distance que vous souhaitez configurer.

4. Accédez à Configuration de l’ordinateur>Stratégies>Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Azure Virtual Desktop.

   

5. Double-cliquez sur le paramètre de stratégie Activer la protection de capture d’écran pour l’ouvrir, puis sélectionnez Activé.

   

6. Dans le menu déroulant, sélectionnez le scénario de protection de capture d’écran que vous souhaitez utiliser dans Bloquer la capture d’écran sur le client ou Bloquer la capture d’écran sur le client et le serveur en fonction de vos exigences, puis sélectionnez OK.

7. Vérifiez que la stratégie est appliquée aux ordinateurs fournissant une session à distance, puis redémarrez-les pour que les paramètres prennent effet.

Activer la protection contre la capture d’écran sur des appareils locaux

Pour utiliser la protection contre la capture d’écran sur les appareils iOS/iPadOS et Android exécutant Windows App, vous devez configurer une stratégie de protection des applications Intune.

Conseil

Sur Windows et macOS, Windows App et le client Bureau à distance appliquent les paramètres de protection contre la capture d’écran d’un hôte de session sans configuration supplémentaire.

Pour configurer une stratégie de protection des applications Intune visant à activer la protection contre la capture d’écran sur les appareils iOS/iPadOS et Android :

1. Suivez ces étapes pour Configurer les paramètres de redirection des appareils clients pour Windows App et pour l’application Bureau à distance en utilisant Microsoft Intune. La configuration de la protection contre la capture d’écran fait partie d’une stratégie de protection des applications.

2. Lors de la configuration d’une stratégie de protection des applications, sous l’onglet Protection des données, configurez le paramètre suivant, en fonction de la plateforme :

   1. Pour iOS/iPadOS, définissez Envoyer des données d’organisation à d’autres applications sur la valeur Aucune.

   2. Pour Android, définissez Capture d’écran et Assistant Google sur la valeur Bloquer.

3. Configurez les autres paramètres en fonction de vos besoins et ciblez la stratégie de protection des applications sur les utilisateurs et les appareils.

Vérifier la protection contre les captures d’écran

Pour vérifier que la protection contre les captures d’écran fonctionne :

1. Connectez-vous à une nouvelle session à distance avec un client pris en charge. Ne vous reconnectez pas à une session existante. Vous devez vous déconnecter de toutes les sessions existantes et vous reconnecter pour que le changement prenne effet.

2. À partir d’un appareil local, prenez une capture d’écran ou partagez votre écran pendant un appel ou une réunion Teams. Le contenu doit être bloqué ou masqué.

3. Si vous avez activé Bloquer la capture d’écran sur le client et le serveur sur vos hôtes de session, essayez de capturer l’écran à l’aide d’un outil ou d’un service au sein de l’hôte de session. Le contenu doit être bloqué ou masqué.

Contenu connexe

• Activez filigrane, où les administrateurs peuvent utiliser un code QR pour suivre la session.

• Découvrez comment sécuriser votre déploiement Azure Virtual Desktop dans Meilleures pratiques de sécurité.