Autoriser la protection contre la capture d’écran dans Azure Virtual Desktop

La protection de capture d’écran, parallèlement au filigrane, permet d’empêcher la capture de données sensibles sur les appareils clients à l’aide de fonctionnalités et d’API spécifiques du système d’exploitation. Lorsque vous activez la protection des captures d’écran, le contenu distant est automatiquement bloqué dans les captures d’écran et le partage d’écran.

Lorsque la protection contre la capture d’écran est activée, les utilisateurs ne peuvent pas partager leur fenêtre à distance à l’aide d’un logiciel de collaboration local tel que Microsoft Teams. Avec Teams, l’application Teams locale ou l’utilisation de Teams avec l’optimisation des médias ne peut pas partager de contenu protégé.

Conseil

• Pour renforcer la sécurité de vos informations sensibles, vous devez également désactiver le Presse-papiers, le lecteur et la redirection d’imprimante. La désactivation de la redirection empêche les utilisateurs de copier du contenu à partir de la session distante. Pour en savoir plus sur les valeurs de redirection prises en charge, consultez Redirection d’appareil.

• Pour décourager d’autres méthodes de capture d’écran, telles que la prise de photo d’un écran avec un appareil photo physique, vous pouvez activer le filigrane, où les administrateurs peuvent utiliser un code QR pour suivre la session.

Déterminer votre configuration

Les étapes de configuration de la protection de capture d’écran dépendent de l’endroit où vous le configurez, des plateformes à partir desquelles vos utilisateurs se connectent et du scénario à réaliser.

• Appareils Windows et macOS : vous empêchez la capture d’écran en configurant des hôtes de session à l’aide d’une stratégie de configuration d’appareil Intune ou d’une stratégie de groupe. Windows App ou le client Bureau à distance appliquent les paramètres de protection contre la capture d’écran d’un hôte de session sans autre configuration.

  Lorsque vous configurez la protection de capture d’écran sur les hôtes de session, vous pouvez configurer deux autres paramètres pour répondre à vos besoins :

  • Bloquer la capture d’écran sur le client : empêche la capture d’écran depuis l’appareil local des applications en cours d’exécution dans la session à distance.

  • Bloquer la capture d’écran sur le client et le serveur : empêche la capture d’écran depuis l’appareil local des applications en cours d’exécution dans la session à distance, et empêche également les outils et services au sein de l’hôte de session de capturer l’écran.

  Dans ce scénario, voici le résultat lors de la connexion à partir de chaque type de plateforme :

  Plateforme	Connexion autorisée	Capture d’écran bloquée
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	N/A
  Android	❌	N/A
  Web	❌	N/A

• Appareils iOS/iPadOS et Android : vous empêchez la capture d’écran en configurant des appareils locaux à l’aide d’une stratégie de protection des applications Intune, qui relève de la gestion des applications mobiles (GAM). Elle n’empêche pas les outils et les services de l’hôte de la session de capturer l’écran.

  Dans ce scénario, voici le résultat lors de la connexion à partir de chaque type de plateforme :

  Plateforme	Connexion autorisée	Capture d’écran bloquée
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Important

Vous devez choisir les appareils locaux à utiliser pour la protection de capture d’écran en fonction de vos besoins. Il n’existe pas de scénario dans lequel vous pouvez activer la protection de capture d’écran sur toutes les plateformes des mêmes hôtes de session en même temps. Si les deux sont configurés, la protection de capture d’écran sur les hôtes de session est prioritaire sur l’utilisation d’une stratégie GAM Intune sur les appareils locaux.

Prérequis

• Pour les scénarios où vous devez configurer des hôtes de session, ces hôtes de session doivent exécuter Windows 11 version 22H2 ou ultérieure, ou Windows 10 version 22H2 ou ultérieure.

• Les utilisateurs doivent se connecter à Azure Virtual Desktop avec Windows App ou l’application Remote Desktop pour utiliser la protection contre les captures d’écran. Le tableau suivant présente les scénarios pris en charge :

  • Windows App :

    Plateforme	Version minimale	Session de bureau	Session RemoteApp
    Windows App sur Windows	Tout	Oui	Oui. Le système d’exploitation de l’appareil local doit être Windows 11 version 22H2 ou ultérieure.
    Windows AppApplication Windows sur macOS	Tout	Oui	Oui
    Windows App sur iOS/iPadOS	11.0.8	Oui	Oui
    Windows App sur Android (préversion)¹	1.0.145	Oui	Oui

    ^{1. N’inclut pas la prise en charge du système d’exploitation Chrome, car la gestion des applications mobiles Intune n’est pas pris en charge sur Chrome OS.}

  • Client Bureau à distance :

    Plateforme	Version minimale	Session de bureau	Session RemoteApp
    Windows (client Desktop)	1.2.1672	Oui	Oui. Le système d’exploitation de l’appareil local doit être Windows 11 version 22H2 ou ultérieure.
    Windows (application Azure Virtual Desktop du Store)	Tout	Oui	Oui. Le système d’exploitation de l’appareil local doit être Windows 11 version 22H2 ou ultérieure.
    macOS	10.7.0 ou version ultérieure	Oui	Oui

• Pour configurer Microsoft Intune, vous avez besoin des éléments suivants :

  • Un compte Microsoft Entra ID auquel le rôle RBAC intégré Gestionnaire de stratégies et de profils a été attribué.

  • Un groupe contenant les appareils que vous souhaitez configurer.

• Pour configurer la stratégie de groupe, vous avez besoin des éléments suivants :

  • Un compte de domaine membre du groupe de sécurité Administrateurs du domaine.

  • Un groupe de sécurité ou unité d’organisation contenant les appareils que vous souhaitez configurer.

Activez la protection de capture d’écran sur les hôtes de session à l’aide d’une stratégie de configuration d’appareil Intune ou d’une stratégie de groupe

Sélectionnez l’onglet approprié pour votre scénario.

Microsoft Intune

Pour configurer la protection contre la capture d’écran sur des hôtes de session en utilisant Microsoft Intune :

1. Connectez-vous au centre d’administration Microsoft Intune.

2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et de version ultérieure, avec le type de profil catalogue Paramètres.

3. Dans le sélecteur de paramètres, accédez àModèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Azure Virtual Desktop.

   

4. Cochez la case Activer la protection contre les captures d’écran, puis fermez le sélecteur de paramètres.

5. Développez la catégorie Modèles d’administration, puis basculez le commutateur Activer la protection contre les captures d’écran sur Activé.

   

6. Activez le commutateur pour options de protection de capture d’écran (appareil) pour désactiver pour bloquer la capture d’écran sur leclient, ou sur pour capture d’écran bloquer sur le client et le serveur en fonction de vos besoins, puis sélectionnez OK.

7. Cliquez sur Suivant.

8. Facultatif : sous l’onglet Étiquettes d’étendue, sélectionnez une étiquette d’étendue pour filtrer le profil. Pour plus d’informations sur les étiquettes d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les étiquettes d’étendue pour l’informatique distribuée.

9. Sous l’onglet Affectations, sélectionnez le groupe contenant les ordinateurs qui fournissent une session à distance et que vous voulez configurer, puis sélectionnez Suivant.

10. Sous l’onglet Vérifier + créer, passez en revue les paramètres, puis sélectionnez Créer.

11. Une fois que la stratégie a été appliquée aux ordinateurs fournissant une session à distance, redémarrez-les pour que les paramètres prennent effet.

Stratégie de groupe

Pour configurer la protection de capture d’écran sur les hôtes de session à l’aide d’une stratégie de groupe dans un domaine Active Directory :

1. Suivez les étapes pour mettre à disposition le modèle administratif pour Azure Virtual Desktop disponible dans la stratégie de groupe.

2. Ouvrez la console de Gestion des stratégies de groupe sur un appareil qui vous permet de gérer le domaine Active Directory.

3. Créez ou modifiez une stratégie qui cible les ordinateurs fournissant une session à distance que vous souhaitez configurer.

4. Accédez à Configuration de l’ordinateur>Stratégies>Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Azure Virtual Desktop.

   

5. Double-cliquez sur le paramètre de stratégie Activer la protection de capture d’écran pour l’ouvrir, puis sélectionnez Activé.

   

6. Dans le menu déroulant, sélectionnez le scénario de protection de capture d’écran que vous souhaitez utiliser dans Bloquer la capture d’écran sur le client ou Bloquer la capture d’écran sur le client et le serveur en fonction de vos exigences, puis sélectionnez OK.

7. Vérifiez que la stratégie est appliquée aux ordinateurs fournissant une session à distance, puis redémarrez-les pour que les paramètres prennent effet.

Activez la protection de capture d’écran sur les appareils locaux à l’aide de la gestion des applications mobiles Intune

Pour utiliser la protection contre la capture d’écran sur les appareils iOS/iPadOS et Android exécutant Windows App, vous devez configurer une stratégie de protection des applications Intune.

Pour configurer une stratégie de protection des applications Intune visant à activer la protection contre la capture d’écran sur les appareils iOS/iPadOS et Android :

1. Suivez ces étapes pour Configurer les paramètres de redirection des appareils clients pour Windows App et pour l’application Bureau à distance en utilisant Microsoft Intune. La configuration de la protection contre la capture d’écran fait partie d’une stratégie de protection des applications.

2. Lors de la configuration d’une stratégie de protection des applications, sous l’onglet Protection des données, configurez le paramètre suivant, en fonction de la plateforme :

   1. Pour iOS/iPadOS, définissez Envoyer des données d’organisation à d’autres applications sur la valeur Aucune.

   2. Pour Android, définissez Capture d’écran et Assistant Google sur la valeur Bloquer.

3. Configurez les autres paramètres en fonction de vos besoins et ciblez la stratégie de protection des applications sur les utilisateurs et les appareils.

Vérifier la protection contre les captures d’écran

Pour vérifier que la protection contre les captures d’écran fonctionne :

1. Connectez-vous à une nouvelle session à distance avec un client pris en charge. Ne vous reconnectez pas à une session existante. Vous devez vous déconnecter de toutes les sessions existantes et vous reconnecter pour que le changement prenne effet.

2. À partir d’un appareil local, prenez une capture d’écran ou partagez votre écran pendant un appel ou une réunion Teams. Le contenu est bloqué ou masqué.

3. Sur les appareils Windows et macOS, si vous avez activé Bloquer la capture d’écran sur le client et le serveur sur vos hôtes de session, essayez de capturer l’écran à l’aide d’un outil ou d’un service au sein de l’hôte de session. Le contenu est bloqué ou masqué.

Si vous activez la protection de capture d’écran sur les hôtes de session, vous devez vous connecter à partir d’un appareil pris en charge. Si ce n’est pas le cas, un message d’erreur s’affiche, indiquant que la protection de capture d’écran est activée. Le message d’erreur ressemble à ces captures d’écran :

• Navigateur Web :

  

• iOS/iPadOS :

  

Contenu connexe

• Activez filigrane, où les administrateurs peuvent utiliser un code QR pour suivre la session.

• Découvrez comment sécuriser votre déploiement Azure Virtual Desktop dans Meilleures pratiques de sécurité.