Abilitare la protezione dell'acquisizione dello schermo in Desktop virtuale Azure

La protezione dell'acquisizione dello schermo, insieme alla filigrana, consente di impedire l'acquisizione di dati sensibili nei dispositivi client usando funzionalità e API specifiche del sistema operativo. Quando si abilita la protezione dell'acquisizione dello schermo, il contenuto remoto viene bloccato automaticamente in screenshot e condivisione dello schermo.

Quando la protezione dell'acquisizione dello schermo è abilitata, gli utenti non possono condividere la finestra remota usando il software di collaborazione locale, ad esempio Microsoft Teams. Con Teams, l'app Teams locale o l'uso di Teams con ottimizzazione multimediale non può condividere contenuto protetto.

Suggerimento

• Per aumentare la sicurezza delle informazioni riservate, è necessario disabilitare anche gli Appunti, l'unità e il reindirizzamento della stampante. La disabilitazione del reindirizzamento consente di impedire agli utenti di copiare contenuto dalla sessione remota. Per informazioni sui valori di reindirizzamento supportati, vedere Reindirizzamento del dispositivo.

• Per scoraggiare altri metodi di acquisizione dello schermo, ad esempio scattare una foto di uno schermo con una fotocamera fisica, è possibile abilitare la filigrana, dove gli amministratori possono usare un codice a matrice per tracciare la sessione.

Determinare la configurazione

La procedura per configurare la protezione dell'acquisizione dello schermo dipende dalla posizione in cui viene configurata, dalle piattaforme da cui si connettono gli utenti e da quale scenario si vuole ottenere.

• Dispositivi Windows e macOS: si impedisce l'acquisizione dello schermo configurando gli host sessione usando criteri di configurazione dei dispositivi di Intune o Criteri di gruppo. L'app Windows o il client Desktop remoto applica le impostazioni di protezione dell'acquisizione dello schermo da un host di sessione senza ulteriori configurazioni.

  Quando si configura la protezione dell'acquisizione dello schermo sugli host sessione, è possibile configurare altre due impostazioni per soddisfare i requisiti:

  • Blocca acquisizione schermata nel client: impedisce l'acquisizione dello schermo dal dispositivo locale delle applicazioni in esecuzione nella sessione remota.

  • Blocca l'acquisizione di schermate nel client e nel server: impedisce l'acquisizione dello schermo dal dispositivo locale delle applicazioni in esecuzione nella sessione remota, ma impedisce anche strumenti e servizi all'interno dell'host di sessione che acquisisce la schermata.

  In questo scenario, ecco il risultato della connessione da ogni tipo di piattaforma:

  Piattaforma	Connessione consentita	Acquisizione schermo bloccata
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	N/D
  Android	❌	N/D
  Web	❌	N/D

• Dispositivi iOS/iPadOS e Android: si impedisce l'acquisizione dello schermo configurando i dispositivi locali usando criteri di protezione delle app di Intune, parte della gestione delle applicazioni mobili (MAM). Non impedisce strumenti e servizi all'interno dell'host di sessione che acquisisce la schermata.

  In questo scenario, ecco il risultato della connessione da ogni tipo di piattaforma:

  Piattaforma	Connessione consentita	Acquisizione schermo bloccata
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Importante

È necessario scegliere quali dispositivi locali usare con la protezione dell'acquisizione dello schermo in base alle esigenze. Non esiste uno scenario in cui è possibile abilitare la protezione dall'acquisizione dello schermo in tutte le piattaforme dello stesso host di sessione contemporaneamente. Se entrambi sono configurati, la protezione dell'acquisizione dello schermo negli host sessione ha la precedenza sull'uso di un criterio MAM di Intune nei dispositivi locali.

Prerequisiti

• Per gli scenari in cui è necessario configurare gli host sessione, questi host di sessione devono eseguire Windows 11, versione 22H2 o successiva o Windows 10, versione 22H2 o successiva.

• Gli utenti devono connettersi a Desktop virtuale Azure con l'app Windows o l'app Desktop remoto per usare la protezione dell'acquisizione dello schermo. La tabella seguente illustra gli scenari supportati:

  • App di Windows:

    Piattaforma	Versione minima	Sessione desktop	Sessione di RemoteApp
    App di Windows in Windows	Any	Sì	Sì. Il sistema operativo del dispositivo locale deve essere Windows 11, versione 22H2 o successiva.
    App di Windows in macOS	Any	Sì	Sì
    App Windows in iOS/iPadOS	11.0.8	Sì	Sì
    App di Windows in Android (anteprima)¹	1.0.145	Sì	Sì

    ^{1. Non include il supporto per Chrome OS perché Intune MAM non è supportato in Chrome OS.}

  • Client Desktop remoto:

    Piattaforma	Versione minima	Sessione desktop	Sessione di RemoteApp
    Windows (client desktop)	1.2.1672	Sì	Sì. Il sistema operativo del dispositivo locale deve essere Windows 11, versione 22H2 o successiva.
    Windows (app Desktop virtuale Azure Store)	Any	Sì	Sì. Il sistema operativo del dispositivo locale deve essere Windows 11, versione 22H2 o successiva.
    macOS	10.7.0 o versione successiva	Sì	Sì

• Per configurare Microsoft Intune, si necessita di:

  • Un account Microsoft Entra ID a cui è assegnato il ruolo predefinito di Gestore di criteri e profili di controllo degli accessi in base al ruolo.

  • Gruppo contenente i dispositivi da configurare.

• Per configurare Criteri di gruppo, è necessario quanto segue:

  • Un account di dominio membro del gruppo di sicurezza Amministratori di dominio.

  • Un gruppo di sicurezza o un'unità organizzativa contenente i dispositivi da configurare.

Abilitare la protezione dell'acquisizione dello schermo sugli host di sessione usando criteri di configurazione del dispositivo o Criteri di gruppo di Intune

Selezionare la scheda pertinente per lo scenario.

Microsoft Intune

Per configurare la protezione dell'acquisizione dello schermo sugli host sessione tramite Microsoft Intune:

1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

2. Creare o modificare un profilo di configurazione per dispositivi Windows 10 e versioni successive, con il tipo di profilo Catalogo impostazioni.

3. Nella selezione delle impostazioni andare a Modelli amministrativi>Componenti di Windows>Servizi Desktop remoto>Host Sessione Desktop remoto>Desktop virtuale Azure.

   

4. Selezionare la casella per Abilita protezione acquisizione schermo, quindi chiudere la selezione impostazioni.

5. Espandere la categoria Modelli amministrativi, quindi impostare l'opzione Abilita protezione ritaglio di schermata su Abilitata.

   

6. Impostare l'opzione per Opzioni di protezione ritaglio di schermata (dispositivo) su Off per Blocca ritaglio di schermata nel client o On per Blocca ritaglio di schermata nel client e nel server in base alle esigenze. Selezionare quindi OK.

7. Selezionare Avanti.

8. Facoltativo: nella scheda Tag di ambito selezionare un tag di ambito per filtrare il profilo. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'IT distribuito.

9. Nella scheda Assegnazioni selezionare il gruppo contenente i computer che forniscono una sessione remota da configurare, quindi selezionare Avanti.

10. Nella scheda Rivedi + crea rivedere le impostazioni e selezionare Crea.

11. Una volta applicati i criteri ai computer che forniscono una sessione remota, riavviarli per rendere effettive le impostazioni.

Criteri di gruppo

Per configurare la protezione dell'acquisizione dello schermo negli host sessione usando Criteri di gruppo in un dominio di Active Directory:

1. Seguire la procedura per rendere disponibile il modello amministrativo per Desktop virtuale Azure in Criteri di gruppo.

2. Aprire la console Gestione Criteri di gruppo in un dispositivo usato per gestire il dominio di Active Directory.

3. Creare o modificare un criterio destinato ai computer che forniscono una sessione remota da configurare.

4. Andare a Configurazione computer>Criteri>Modelli amministrativi> Componenti di Windows>Servizi Desktop remoto>Host sessione Desktop remoto>Desktop virtuale Azure.

   

5. Fare doppio clic sull'impostazione dei criteri Abilita la protezione dall'acquisizione dello schermo per aprirla, quindi selezionare Abilitata.

   

6. Dal menu a discesa selezionare lo scenario di protezione dell'acquisizione dello schermo da usare tra Blocca ritaglio di schermata nel client o Blocca ritaglio di schermata nel client e nel server in base ai requisiti, quindi selezionare OK.

7. Assicurarsi che i criteri vengano applicati ai computer che forniscono una sessione remota, quindi riavviarli per rendere effettive le impostazioni.

Abilitare la protezione dell'acquisizione dello schermo nei dispositivi locali usando Intune MAM

Per usare la protezione dell'acquisizione dello schermo nei dispositivi iOS/iPadOS e Android che eseguono App Windows, è necessario configurare un criterio di protezione delle app di Intune.

Per configurare i criteri di protezione delle app di Intune per abilitare la protezione dall'acquisizione dello schermo nei dispositivi iOS/iPadOS e Android:

1. Seguire la procedura per configurare le impostazioni di reindirizzamento dei dispositivi client per l'app Di Windows e l'app Desktop remoto con Microsoft Intune. La configurazione della protezione dall'acquisizione dello schermo fa parte di un criterio di protezione delle app.

2. Quando si configura un criterio di protezione delle app, nella scheda Protezione dati configurare l'impostazione seguente, a seconda della piattaforma:

   1. Per iOS/iPadOS impostare Invia dati dell'organizzazione su altre app su Nessuno.

   2. Per Android, impostare Acquisizione schermo e Assistente Google su Blocca.

3. Configurare altre impostazioni in base ai requisiti e assegnare i criteri di protezione delle app a utenti e dispositivi.

Verificare la protezione dell'acquisizione dello schermo

Per verificare che la protezione dell'acquisizione dello schermo funzioni:

1. Connettersi a una nuova sessione remota con un client supportato. Non riconnettersi a una sessione esistente. È necessario disconnettersi da qualsiasi sessione esistente e accedere di nuovo per rendere effettiva la modifica.

2. Da un dispositivo locale, acquisire uno screenshot o condividere lo schermo in una chiamata o una riunione di Teams. Il contenuto è bloccato o nascosto.

3. Nei dispositivi Windows e macOS, se è stata abilitata l'acquisizione di schermate di blocco su client e server negli host di sessione, provare a acquisire lo schermo usando uno strumento o un servizio all'interno dell'host sessione. Il contenuto è bloccato o nascosto.

Se si abilita la protezione dell'acquisizione dello schermo sugli host sessione, è necessario connettersi da un dispositivo supportato. In caso contrario, viene visualizzato un messaggio di errore che indica che la protezione dall'acquisizione dello schermo è abilitata. Il messaggio di errore è simile a questi screenshot:

• Web browser:

  

• iOS/iPadOS:

  

Contenuto correlato

• Abilitare la filigrana, dove gli amministratori possono usare un codice a matrice per tracciare la sessione.

• Informazioni su come proteggere la distribuzione di Desktop virtuale Azure in Procedure consigliate per la sicurezza.