Azure Virtual Desktop の画面キャプチャの保護を有効にする

スクリーンショットの保護は、透かしと共に、特定のオペレーティング システム (OS) の機能と API のセットを介してクライアント エンドポイントで機密情報がキャプチャされるのを防ぐのに役立ちます。 画面キャプチャ保護を有効にすると、スクリーンショットと画面共有でリモート コンテンツが自動的にブロックまたは非表示にされます。

スクリーンショット保護では、次の 2 つのシナリオがサポートされています。

• クライアントでスクリーンショットをブロックする: リモート セッションで実行されているアプリケーションのスクリーンショットがローカル デバイスで取得されるのを防ぎます。

• クライアントとサーバーでスクリーンショットをブロックする: リモート セッションで実行されているアプリケーションのスクリーンショットがローカル デバイスで取得されるのを防ぐだけでなく、セッション ホスト内のツールやサービスによって画面がキャプチャされるのも防ぎます。

スクリーンショット保護が有効になっている場合、ユーザーは Microsoft Teams などのローカル コラボレーション ソフトウェアを使ってリモート ウィンドウを共有できません。 Teams では、ローカルの Teams アプリでもメディアの最適化を備えた Teams でも、保護されたコンテンツを共有できません。

ヒント

• 機密情報のセキュリティを強化するには、クリップボード、ドライブ、プリンターのリダイレクトも無効にする必要があります。 リダイレクトを無効にすると、ユーザーはコンテンツをリモート セッションからコピーできなくなります。 サポートされているリダイレクト値については、「 デバイスのリダイレクト」を参照してください。

• 物理カメラで画面の写真を撮るなど、他の方法の画面キャプチャを避けるために、管理者が QR コードを使用してセッションをトレースできる 透かしを有効にすることができます。

構成を決定する

スクリーンショット保護の構成手順は、ユーザーの接続元のプラットフォームによって異なります。

• Windows App またはリモート デスクトップ クライアントを実行している Windows と macOS デバイスの場合は、Intune またはグループ ポリシーを使ってセッション ホストでスクリーンショット保護を構成します。 Windows App とリモート デスクトップ クライアントによってセッション ホストからスクリーンショット保護の設定が適用され、追加の構成はありません。

• Windows App を実行している iOS/iPadOS と Android デバイスの場合は、モバイル アプリケーション管理 (MAM) の一部である Intune アプリ保護ポリシーを構成して、ローカル デバイスでスクリーンショットをブロックします。 セッション ホスト内からのスクリーンショットもブロックしたい場合は、Intune またはグループ ポリシーを使ってセッション ホストでスクリーンショット保護を構成する必要もあります。

各プラットフォームで必要な構成手順の概要を次に示します。

プラットフォーム	クライアントでスクリーンショットをブロックする	クライアントとサーバーでスクリーンショットをブロックする
Windows	Intune またはグループ ポリシーを使用してセッション ホストを構成する	Intune またはグループ ポリシーを使用してセッション ホストを構成する
macOS	Intune またはグループ ポリシーを使用してセッション ホストを構成する	Intune またはグループ ポリシーを使用してセッション ホストを構成する
iOS/iPadOS	Intune MAM を使用してローカル デバイスを構成する	Intune MAM を使用してローカル デバイスを構成し、Intune またはグループ ポリシーを使用してセッション ホストを構成する
Android	Intune MAM を使用してローカル デバイスを構成する	Intune MAM を使用してローカル デバイスを構成し、Intune またはグループ ポリシーを使用してセッション ホストを構成する

前提条件

• セッション ホストの構成が必要なシナリオでは、それらのセッション ホストで Windows 11 バージョン 22H2 以降または Windows 10 バージョン 22H2 以降が実行されている必要があります。

• ユーザーは、画面キャプチャ保護を使用するには、Windows App またはリモート デスクトップ アプリを使用して Azure Virtual Desktop に接続する必要があります。 次の表は、サポートされるシナリオを示したものです。

  • Windows App:

    プラットフォーム	最小バージョン	デスクトップ セッション	RemoteApp セッション
    Windows 上の Windows App	[任意]	はい	はい。 ローカル デバイスの OS は、Windows 11 バージョン 22H2 以降である必要があります。
    macOS 上の Windows App	[任意]	はい	はい
    iOS/iPadOS 上の Windows App	11.0.8	はい	はい
    Android 上の Windows App (プレビュー)¹	1.0.145	はい	はい

    1. Chrome OS のサポートは含まれません。

  • リモート デスクトップ クライアント:

    プラットフォーム	最小バージョン	デスクトップ セッション	RemoteApp セッション
    Windows (デスクトップ クライアント)	1.2.1672	はい	はい。 ローカル デバイスの OS は、Windows 11 バージョン 22H2 以降である必要があります。
    Windows (Azure Virtual Desktop ストア アプリ)	[任意]	はい	はい。 ローカル デバイスの OS は、Windows 11 バージョン 22H2 以降である必要があります。
    macOS	10.7.0 以降	はい	はい

  ユーザーが異なるアプリまたはバージョン (Web ブラウザーの Windows App など) を使って接続しようとすると、接続は拒否され、コード 0x1151 を含むエラー メッセージが表示されます。

• Microsoft Intune を構成するには、以下のものが必要です。

  • ポリシーとプロファイル マネージャーの組み込み RBAC の役割が割り当てられた Microsoft Entra ID アカウント。

  • 構成するデバイスを含むグループ。

• グループ ポリシーを構成するには、以下のものが必要です。

  • Domain Admins セキュリティ グループのメンバーであるドメイン アカウント。

  • 構成したいデバイスを含むセキュリティ グループまたは組織単位 (OU)。

セッション ホストでスクリーンショット保護を有効にする

お使いのシナリオに関連するタブを選択します。

Microsoft Intune

Microsoft Intune を使用してセッション ホストでスクリーンショット保護を構成するには:

1. Microsoft Intune 管理センターにサインインします。

2. 設定カタログ プロファイル型で、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。

3. ピッカー設定で、[管理テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop] の順に移動します。

   

4. [画面キャプチャ保護の有効化] のボックスにチェックを入れた後、設定ピッカーを閉じます。

5. [管理用テンプレート] カテゴリを展開した後、[画面キャプチャ保護の有効化] のスイッチを [有効] に切り替えます。

   

6. 要件に基づいて [画面キャプチャ保護オプション (デバイス)] のスイッチを [オフ] (クライアント上の画面キャプチャのブロック)、または [オン] (クライアントとサーバー上での画面キャプチャのブロック) に切り替えた後、[OK] を選択します。

7. [次へ] を選択します。

8. 省略可能: [スコープ タグ] タブで、プロファイルをフィルター処理するスコープのタグを選択します。 スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御(RBAC) とスコープのタグの使用に関するページをご覧ください。

9. [割り当て] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[次へ] を選択します。

10. [確認 + 作成] タブで設定を確認し、[作成] を選択します。

11. リモート セッションを提供するコンピューターにポリシーが適用されたら、再起動して設定を有効にします。

グループ ポリシー

グループ ポリシーを使用してセッション ホストでスクリーンショット保護を構成するには:

1. Azure Virtual Desktop 向けの管理用テンプレートをグループ ポリシー内で利用できるようにするための手順に従います。

2. Active Directory ドメインの管理に使うデバイスで、[グループ ポリシーの管理] コンソールを開きます。

3. 構成するリモート セッションを提供するコンピューターを対象とするポリシーを作成または編集します。

4. [コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop] の順に移動します。

   

5. ポリシー設定 [画面キャプチャ保護の有効化] をダブルクリックして開いた後、[有効] を選択します。

   

6. ドロップダウン メニューから、要件に基づいて [クライアント上の画面キャプチャのブロック] または [クライアントとサーバー上での画面キャプチャのブロック] の内、使用したい画面キャプチャ保護シナリオを選択した後、[OK] を選択します。

7. ポリシーがリモート セッションを提供するコンピューターに適用されていることを確認した後、設定を有効にするためにコンピューターを再起動します。

ローカル デバイスでスクリーンショット保護を有効にする

Windows App を実行している iOS/iPadOS および Android デバイスでスクリーンショット保護を使うには、Intune アプリ保護ポリシーを構成する必要があります。

ヒント

Windows と macOS では、Windows App とリモート デスクトップ クライアントによってセッション ホストからスクリーンショット保護の設定が適用され、追加の構成はありません。

iOS/iPadOS と Android デバイスで Intune アプリ保護ポリシーを構成してスクリーンショット保護を有効にするには:

1. 「Microsoft Intune を使用して Windows App とリモート デスクトップ アプリのクライアント デバイスのリダイレクト設定を構成する」の手順に従います。 スクリーンショット保護の構成は、アプリ保護ポリシーの一部です。

2. アプリ保護ポリシーを構成するときは、[データ保護] タブで、プラットフォームに応じて次の設定を構成します。

   1. iOS/iPadOS の場合は、[他のアプリに組織データを送信] を [なし] に設定します。

   2. Android の場合は、[画面キャプチャと Google アシスタント] を [ブロック] に設定します。

3. 要件に基づいて他の設定を構成し、アプリ保護ポリシーの対象をユーザーとデバイスにします。

画面キャプチャ保護を確認する

画面キャプチャ保護が機能していることを確認するには:

1. サポートされているクライアントを使って新しいリモート セッションに接続します。 既存のセッションに再接続しないでください。 変更を有効にするには、既存のセッションからサインアウトし、もう一度サインインする必要があります。

2. ローカル デバイスから、スクリーンショットを取得するか、Teams の通話または会議で画面を共有します。 コンテンツはブロックまたは非表示にする必要があります。

3. セッション ホストで [クライアントとサーバーで画面キャプチャをブロックする] を有効にした場合は、セッション ホスト内のツールまたはサービスを使って画面をキャプチャしてみます。 コンテンツはブロックまたは非表示にする必要があります。

関連するコンテンツ

• 管理者が QR コードを使用してセッションをトレースできる [ウォーターマーク] を有効にします。

• セキュリティのベスト プラクティスで Azure Virtual Desktop デプロイをセキュリティで保護する方法について説明します。