Schermopnamebeveiliging inschakelen in Azure Virtual Desktop

Schermopnamebeveiliging, naast watermerken, helpt voorkomen dat gevoelige informatie wordt vastgelegd op clienteindpunten via een specifieke set besturingssysteemfuncties en API's. Wanneer u schermopnamebeveiliging inschakelt, wordt externe inhoud automatisch geblokkeerd in schermopnamen en schermdeling.

Er zijn twee ondersteunde scenario's voor schermopnamebeveiliging:

• Schermafbeelding op client blokkeren: voorkomt schermafbeeldingen van het lokale apparaat van toepassingen die worden uitgevoerd in de externe sessie.

• Schermopname blokkeren op client en server: voorkomt schermopname van het lokale apparaat van toepassingen die worden uitgevoerd in de externe sessie, maar voorkomt ook hulpprogramma's en services binnen de sessiehost die het scherm vastleggen.

Wanneer schermopnamebeveiliging is ingeschakeld, kunnen gebruikers hun externe venster niet delen met behulp van lokale samenwerkingssoftware, zoals Microsoft Teams. Met Teams kunnen de lokale Teams-app of het gebruik van Teams met mediaoptimalisatie beveiligde inhoud delen.

Tip

• Als u de beveiliging van uw gevoelige informatie wilt verbeteren, moet u ook klembord, station en printeromleiding uitschakelen. Als u omleiding uitschakelt, voorkomt u dat gebruikers inhoud uit de externe sessie kopiëren. Zie Apparaatomleiding voor meer informatie over ondersteunde omleidingswaarden.

• Als u andere methoden voor schermopname wilt ontmoedigen, zoals het maken van een foto van een scherm met een fysieke camera, kunt u watermerken inschakelen, waarbij beheerders een QR-code kunnen gebruiken om de sessie te traceren.

Uw configuratie bepalen

De stappen voor het configureren van schermopnamebeveiliging zijn afhankelijk van de platforms waarmee uw gebruikers verbinding maken:

• Voor Windows- en macOS-apparaten met windows-app of extern bureaublad-client configureert u schermopnamebeveiliging op sessiehosts met Behulp van Intune of Groepsbeleid. Windows App en de Extern bureaublad-client dwingt instellingen voor schermopnamebeveiliging af van een sessiehost zonder extra configuratie.

• Voor iOS-/iPadOS- en Android-apparaten met Windows App blokkeert u schermopname op het lokale apparaat door een Intune-app-beveiligingsbeleid te configureren, onderdeel van Mobile Application Management (MAM). Als u ook schermafbeeldingen vanuit de sessiehost wilt blokkeren, moet u ook schermopnamebeveiliging configureren op sessiehosts met Behulp van Intune of Groepsbeleid.

Hier volgt een overzicht van de configuratiestappen die nodig zijn voor elk platform:

Platform	Schermopname blokkeren op client	Schermopname blokkeren op client en server
Windows	Sessiehosts configureren met Intune of Groepsbeleid	Sessiehosts configureren met Intune of Groepsbeleid
macOS	Sessiehosts configureren met Intune of Groepsbeleid	Sessiehosts configureren met Intune of Groepsbeleid
iOS/iPadOS	Het lokale apparaat configureren met Intune MAM	Het lokale apparaat configureren met Intune MAM en sessiehosts met Intune of Groepsbeleid
Android	Het lokale apparaat configureren met Intune MAM	Het lokale apparaat configureren met Intune MAM en sessiehosts met Intune of Groepsbeleid

Vereisten

• Voor scenario's waarin u sessiehosts moet configureren, moeten deze sessiehosts een Windows 11, versie 22H2 of hoger of Windows 10 versie 22H2 of hoger uitvoeren.

• Gebruikers moeten verbinding maken met Azure Virtual Desktop met Windows-app of de app Extern bureaublad om schermopnamebeveiliging te kunnen gebruiken. In de volgende tabel ziet u ondersteunde scenario's:

  • Windows-app:

    Platform	Minimumversie	Bureaubladsessie	RemoteApp-sessie
    Windows-app in Windows	Alle	Ja	Ja. Het besturingssysteem van het lokale apparaat moet Windows 11, versie 22H2 of hoger zijn.
    Windows-app in macOS	Alle	Ja	Ja
    Windows-app op iOS/iPadOS	11.0.8	Ja	Ja
    Windows-app op Android (preview)¹	1.0.145	Ja	Ja

    1. Biedt geen ondersteuning voor Chrome OS.

  • Extern bureaublad-client:

    Platform	Minimumversie	Bureaubladsessie	RemoteApp-sessie
    Windows (desktopclient)	1.2.1672	Ja	Ja. Het besturingssysteem van het lokale apparaat moet Windows 11, versie 22H2 of hoger zijn.
    Windows (Azure Virtual Desktop Store-app)	Alle	Ja	Ja. Het besturingssysteem van het lokale apparaat moet Windows 11, versie 22H2 of hoger zijn.
    macOS	10.7.0 of hoger	Ja	Ja

  Als een gebruiker verbinding probeert te maken met een andere app of versie, zoals Windows App in een webbrowser, wordt de verbinding geweigerd en wordt er een foutbericht met de code 0x1151weergegeven.

• Voor het configureren van Microsoft Intune hebt u het volgende nodig:

  • Microsoft Entra ID-account waaraan de ingebouwde RBAC-rol beleids- en profielbeheerder is toegewezen.

  • Een groep met de apparaten die u wilt configureren.

• Als u Groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount dat lid is van de beveiligingsgroep Domeinadministrators .

  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

Schermopnamebeveiliging inschakelen op sessiehosts

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

Schermopnamebeveiliging configureren op sessiehosts met Behulp van Microsoft Intune:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10- en hogerapparaten met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

   

4. Schakel het selectievakje voor schermopnamebeveiliging inschakelen in en sluit vervolgens de instellingenkiezer.

5. Vouw de categorie Beheersjablonen uit en schakel vervolgens de schakeloptie in voor schermopnamebeveiliging inschakelen op Ingeschakeld.

   

6. Zet de schakelaar voor Schermopnamebeveiligingsopties (apparaat)op uitschakelen voor schermafbeeldingen blokkeren op client of aan voor blokkering van schermafbeeldingen op client en server op basis van uw vereisten en selecteer VERVOLGENS OK.

7. Selecteer Volgende.

8. Optioneel: Selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

9. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

10. Controleer op het tabblad Controleren en maken de instellingen en selecteer Vervolgens Maken.

11. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op zodat de instellingen van kracht worden.

Groepsbeleid

Schermopnamebeveiliging configureren op sessiehosts met behulp van Groepsbeleid:

1. Volg de stappen om de beheersjabloon voor Azure Virtual Desktop beschikbaar te maken in Groepsbeleid.

2. Open de console Groepsbeleidsbeheer op een apparaat dat u gebruikt om het Active Directory-domein te beheren.

3. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

4. Navigeer naar Beheersjablonen voor computerconfiguratiebeleid>>>voor Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

   

5. Dubbelklik op de beleidsinstelling Schermopnamebeveiliging inschakelen om deze te openen en selecteer Vervolgens Ingeschakeld.

   

6. Selecteer in de vervolgkeuzelijst het scenario voor schermopnamebeveiliging dat u wilt gebruiken vanuit Schermopname blokkeren op client of Blokkeer schermopname op client en server op basis van uw vereisten en selecteer VERVOLGENS OK.

7. Zorg ervoor dat het beleid wordt toegepast op de computers die een externe sessie bieden en start deze vervolgens opnieuw op zodat de instellingen van kracht worden.

Schermopnamebeveiliging op lokale apparaten inschakelen

Als u schermopnamebeveiliging wilt gebruiken op iOS-/iPadOS- en Android-apparaten met Windows App, moet u een Intune-app-beveiligingsbeleid configureren.

Tip

In Windows en macOS dwingt windows-app en de extern bureaublad-client schermopnamebeveiligingsinstellingen af van een sessiehost zonder extra configuratie.

Een Intune-app-beveiligingsbeleid configureren om schermopnamebeveiliging in te schakelen op iOS-/iPadOS- en Android-apparaten:

1. Volg de stappen voor het configureren van omleidingsinstellingen voor clientapparaten voor Windows-app en de app Extern bureaublad met behulp van Microsoft Intune. De configuratie van schermopnamebeveiliging maakt deel uit van een app-beveiligingsbeleid.

2. Wanneer u een app-beveiligingsbeleid configureert, configureert u op het tabblad Gegevensbeveiliging de volgende instelling, afhankelijk van het platform:

   1. Voor iOS/iPadOS stelt u organisatiegegevens naar andere apps verzenden in op Geen.

   2. Voor Android stelt u Schermopname en Google Assistent in op Blokkeren.

3. Configureer andere instellingen op basis van uw vereisten en richt het beveiligingsbeleid voor apps op gebruikers en apparaten.

Schermopnamebeveiliging controleren

Controleren of de schermopnamebeveiliging werkt:

1. Maak verbinding met een nieuwe externe sessie met een ondersteunde client. Maak geen verbinding met een bestaande sessie. U moet zich afmelden bij bestaande sessies en u opnieuw aanmelden om de wijziging van kracht te laten worden.

2. Maak vanaf een lokaal apparaat een schermafbeelding of deel uw scherm in een Teams-gesprek of -vergadering. De inhoud moet worden geblokkeerd of verborgen.

3. Als u Schermopname blokkeren hebt ingeschakeld op client en server op uw sessiehosts, probeert u het scherm vast te leggen met behulp van een hulpprogramma of service binnen de sessiehost. De inhoud moet worden geblokkeerd of verborgen.

Gerelateerde inhoud

• Schakel watermerken in, waar beheerders een QR-code kunnen gebruiken om de sessie te traceren.

• Meer informatie over het beveiligen van uw Azure Virtual Desktop-implementatie bij aanbevolen procedures voor beveiliging.