Abilitare la protezione dell'acquisizione dello schermo in Desktop virtuale Azure

La protezione dell'acquisizione dello schermo, insieme alla filigrana, consente di impedire l'acquisizione di informazioni riservate sugli endpoint client tramite un set specifico di funzionalità del sistema operativo e API (Application Programming Interface). Quando si abilita la protezione dell'acquisizione dello schermo, il contenuto remoto viene bloccato automaticamente in screenshot e condivisione dello schermo. È possibile configurare la protezione dall'acquisizione dello schermo usando Microsoft Intune o Criteri di gruppo sugli host di sessione.

Esistono due scenari supportati per la protezione dall'acquisizione dello schermo, a seconda della versione di Windows in uso:

• Blocca ritaglio di schermata nel client: l'host sessione indica a un client Desktop remoto supportato di abilitare la protezione dell'acquisizione dello schermo per una sessione remota. Questa opzione impedisce l'acquisizione dello schermo dal client delle applicazioni in esecuzione nella sessione remota.

• Blocca ritaglio di schermata nel client e nel server: l'host sessione indica a un client Desktop remoto supportato di abilitare la protezione dell'acquisizione dello schermo per una sessione remota. Questa opzione impedisce l'acquisizione dello schermo dal client delle applicazioni in esecuzione nella sessione remota, ma impedisce anche agli strumenti e ai servizi all'interno dell'host sessione di acquisire la schermata.

Quando la protezione dell'acquisizione dello schermo è abilitata, gli utenti non possono condividere la finestra desktop remoto usando il software di collaborazione locale, ad esempio Microsoft Teams. Con Teams, né l'app Teams locale né Teams con l'ottimizzazione dei supporti possono condividere contenuto protetto.

Suggerimento

• Per aumentare la sicurezza delle informazioni riservate, è necessario disabilitare anche gli Appunti, l'unità e il reindirizzamento della stampante. La disabilitazione del reindirizzamento consente di impedire agli utenti di copiare contenuto dalla sessione remota. Per informazioni sui valori di reindirizzamento supportati, vedere Reindirizzamento del dispositivo.

• Per scoraggiare altri metodi di acquisizione dello schermo, ad esempio scattare una foto di uno schermo con una fotocamera fisica, è possibile abilitare la filigrana, dove gli amministratori possono usare un codice a matrice per tracciare la sessione.

Prerequisiti

• Gli host di sessione devono eseguire una delle versioni seguenti di Windows per usare la protezione dell'acquisizione dello schermo:

  • L'opzione Blocca ritaglio di schermata in client è disponibile con una versione supportata di Windows 10 o Windows 11.
  • L'opzione Blocca ritaglio di schermata in client e server è disponibile a partire da Windows 11 versione 22H2.

• Gli utenti devono connettersi a Desktop virtuale Azure con l'app Windows o l'app Desktop remoto per usare la protezione dell'acquisizione dello schermo. La tabella seguente illustra gli scenari supportati. Se un utente tenta di connettersi con un'app o una versione diversa, la connessione viene negata e viene visualizzato un messaggio di errore con il codice 0x1151.

  App	Versione	Sessione desktop	Sessione di RemoteApp
  App di Windows in Windows	Any	Sì	Sì. Il sistema operativo del dispositivo client deve essere Windows 11, versione 22H2 o successiva.
  Client Desktop remoto in Windows	1.2.1672 o versione successiva	Sì	Sì. Il sistema operativo del dispositivo client deve essere Windows 11, versione 22H2 o successiva.
  App dello store Desktop virtuale Azure	Any	Sì	Sì. Il sistema operativo del dispositivo client deve essere Windows 11, versione 22H2 o successiva.
  App di Windows in macOS	Any	Sì	Sì
  Client Desktop remoto in macOS	10.7.0 o versione successiva	Sì	Sì

• Per configurare Microsoft Intune, si necessita di:

  • Un account Microsoft Entra ID a cui è assegnato il ruolo predefinito di Gestore di criteri e profili di controllo degli accessi in base al ruolo.

  • Gruppo contenente i dispositivi da configurare.

• Per configurare Criteri di gruppo, è necessario quanto segue:

  • Un account di dominio membro del gruppo di sicurezza Amministratori di dominio.

  • Un gruppo di sicurezza o un'unità organizzativa contenente i dispositivi da configurare.

Abilitare la protezione dall'acquisizione dello schermo

La protezione dall'acquisizione dello schermo viene configurata negli host di sessione e applicata dal client. Selezionare la scheda pertinente per lo scenario.

Microsoft Intune

Per configurare la protezione dall'acquisizione dello schermo con Microsoft Intune:

1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

2. Creare o modificare un profilo di configurazione per dispositivi Windows 10 e versioni successive, con il tipo di profilo Catalogo impostazioni.

3. Nella selezione delle impostazioni andare a Modelli amministrativi>Componenti di Windows>Servizi Desktop remoto>Host Sessione Desktop remoto>Desktop virtuale Azure.

   

4. Selezionare la casella per Abilita protezione acquisizione schermo, quindi chiudere la selezione impostazioni.

5. Espandere la categoria Modelli amministrativi, quindi impostare l'opzione Abilita protezione ritaglio di schermata su Abilitata.

   

6. Impostare l'opzione per Opzioni di protezione ritaglio di schermata (dispositivo) su Off per Blocca ritaglio di schermata nel client o On per Blocca ritaglio di schermata nel client e nel server in base alle esigenze. Selezionare quindi OK.

7. Selezionare Avanti.

8. Facoltativo: nella scheda Tag di ambito selezionare un tag di ambito per filtrare il profilo. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'IT distribuito.

9. Nella scheda Assegnazioni selezionare il gruppo contenente i computer che forniscono una sessione remota da configurare, quindi selezionare Avanti.

10. Nella scheda Rivedi + crea rivedere le impostazioni e selezionare Crea.

11. Una volta applicati i criteri ai computer che forniscono una sessione remota, riavviarli per rendere effettive le impostazioni.

Criteri di gruppo

Per configurare la protezione dall'acquisizione dello schermo tramite Criteri di gruppo:

1. Seguire la procedura per rendere disponibile il modello amministrativo per Desktop virtuale Azure in Criteri di gruppo.

2. Aprire la console Gestione Criteri di gruppo nel dispositivo usato per gestire il dominio di Active Directory.

3. Creare o modificare un criterio destinato ai computer che forniscono una sessione remota da configurare.

4. Andare a Configurazione computer>Criteri>Modelli amministrativi> Componenti di Windows>Servizi Desktop remoto>Host sessione Desktop remoto>Desktop virtuale Azure.

   

5. Fare doppio clic sull'impostazione dei criteri Abilita la protezione dall'acquisizione dello schermo per aprirla, quindi selezionare Abilitata.

   

6. Dal menu a discesa selezionare lo scenario di protezione dell'acquisizione dello schermo da usare tra Blocca ritaglio di schermata nel client o Blocca ritaglio di schermata nel client e nel server in base ai requisiti, quindi selezionare OK.

7. Assicurarsi che i criteri vengano applicati ai computer che forniscono una sessione remota, quindi riavviarli per rendere effettive le impostazioni.

Verificare la protezione dell'acquisizione dello schermo

Per verificare che la protezione dell'acquisizione dello schermo funzioni:

1. Connettersi a una sessione remota con un client supportato.

2. Acquisire uno screenshot o condividere la schermata in una chiamata o una riunione di Teams. Il contenuto deve essere bloccato o nascosto. Tutte le sessioni esistenti devono disconnettersi e rientrare nuovamente per rendere effettiva la modifica.

Contenuto correlato

• Abilitare la filigrana, dove gli amministratori possono usare un codice a matrice per tracciare la sessione.

• Informazioni su come proteggere la distribuzione di Desktop virtuale Azure in Procedure consigliate per la sicurezza.