Schermopnamebeveiliging inschakelen in Azure Virtual Desktop

Schermopnamebeveiliging, naast watermerken, helpt voorkomen dat gevoelige gegevens worden vastgelegd op clientapparaten met behulp van specifieke besturingssysteemfuncties en API's. Wanneer u schermopnamebeveiliging inschakelt, wordt externe inhoud automatisch geblokkeerd in schermopnamen en schermdeling.

Wanneer schermopnamebeveiliging is ingeschakeld, kunnen gebruikers hun externe venster niet delen met behulp van lokale samenwerkingssoftware, zoals Microsoft Teams. Met Teams kan de lokale Teams-app of teams met mediaoptimalisatie geen beveiligde inhoud delen.

Tip

• Als u de beveiliging van uw gevoelige informatie wilt verbeteren, moet u ook klembord, station en printeromleiding uitschakelen. Als u omleiding uitschakelt, voorkomt u dat gebruikers inhoud uit de externe sessie kopiëren. Zie Apparaatomleiding voor meer informatie over ondersteunde omleidingswaarden.

• Als u andere methoden voor schermopname wilt ontmoedigen, zoals het maken van een foto van een scherm met een fysieke camera, kunt u watermerken inschakelen, waarbij beheerders een QR-code kunnen gebruiken om de sessie te traceren.

Uw configuratie bepalen

De stappen voor het configureren van schermopnamebeveiliging zijn afhankelijk van waar u deze configureert, van welke platforms uw gebruikers verbinding maken en van welk scenario u wilt bereiken.

• Windows- en macOS-apparaten: u voorkomt schermafbeeldingen door sessiehosts te configureren met behulp van een Intune-apparaatconfiguratiebeleid of groepsbeleid. Windows App of de Extern bureaublad-client dwingt instellingen voor schermopnamebeveiliging af van een sessiehost zonder verdere configuratie.

  Wanneer u schermopnamebeveiliging configureert op sessiehosts, zijn er twee andere instellingen die u kunt configureren om te voldoen aan uw vereisten:

  • Schermafbeelding op client blokkeren: voorkomt schermafbeeldingen van het lokale apparaat van toepassingen die worden uitgevoerd in de externe sessie.

  • Schermopname blokkeren op client en server: voorkomt schermopname van het lokale apparaat van toepassingen die worden uitgevoerd in de externe sessie, maar voorkomt ook hulpprogramma's en services binnen de sessiehost die het scherm vastleggen.

  In dit scenario is dit het resultaat wanneer u verbinding maakt vanaf elk platformtype:

  Platform	Verbinding toegestaan	Schermopname geblokkeerd
  Windows	✅	✅
  MacOS	✅	✅
  iOS/iPadOS	❌	N.v.t.
  Android	❌	N.v.t.
  Web	❌	N.v.t.

• iOS-/iPadOS- en Android-apparaten: u voorkomt schermopname door lokale apparaten te configureren met behulp van een Intune-app-beveiligingsbeleid, onderdeel van Mobile Application Management (MAM). Het voorkomt geen hulpprogramma's en services binnen de sessiehost die het scherm vastlegt.

  In dit scenario is dit het resultaat wanneer u verbinding maakt vanaf elk platformtype:

  Platform	Verbinding toegestaan	Schermopname geblokkeerd
  Windows	✅	❌
  MacOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Belangrijk

U moet kiezen welke lokale apparaten u wilt gebruiken met schermopnamebeveiliging op basis van uw vereisten. Er is geen scenario waarin u schermopnamebeveiliging op alle platforms van dezelfde sessiehosts tegelijk kunt inschakelen. Als beide zijn geconfigureerd, heeft schermopnamebeveiliging op sessiehosts voorrang op het gebruik van intune MAM-beleid op lokale apparaten.

Vereisten

• Voor scenario's waarin u sessiehosts moet configureren, moeten deze sessiehosts een Windows 11, versie 22H2 of hoger of Windows 10 versie 22H2 of hoger uitvoeren.

• Gebruikers moeten verbinding maken met Azure Virtual Desktop met Windows-app of de app Extern bureaublad om schermopnamebeveiliging te kunnen gebruiken. In de volgende tabel ziet u ondersteunde scenario's:

  • Windows-app:

    Platform	Minimumversie	Bureaubladsessie	RemoteApp-sessie
    Windows-app in Windows	Alle	Ja	Ja. Het besturingssysteem van het lokale apparaat moet Windows 11, versie 22H2 of hoger zijn.
    Windows-app in macOS	Alle	Ja	Ja
    Windows-app op iOS/iPadOS	11.0.8	Ja	Ja
    Windows-app op Android (preview)¹	1.0.145	Ja	Ja

    ^{1. Biedt geen ondersteuning voor Chrome OS, omdat Intune MAM niet wordt ondersteund in het Chrome-besturingssysteem.}

  • Extern bureaublad-client:

    Platform	Minimumversie	Bureaubladsessie	RemoteApp-sessie
    Windows (desktopclient)	1.2.1672	Ja	Ja. Het besturingssysteem van het lokale apparaat moet Windows 11, versie 22H2 of hoger zijn.
    Windows (Azure Virtual Desktop Store-app)	Alle	Ja	Ja. Het besturingssysteem van het lokale apparaat moet Windows 11, versie 22H2 of hoger zijn.
    macOS	10.7.0 of hoger	Ja	Ja

• Voor het configureren van Microsoft Intune hebt u het volgende nodig:

  • Microsoft Entra ID-account waaraan de ingebouwde RBAC-rol beleids- en profielbeheerder is toegewezen.

  • Een groep met de apparaten die u wilt configureren.

• Als u Groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount dat lid is van de beveiligingsgroep Domeinadministrators .

  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

Schermopnamebeveiliging op sessiehosts inschakelen met behulp van een Intune-apparaatconfiguratiebeleid of groepsbeleid

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

Schermopnamebeveiliging configureren op sessiehosts met Behulp van Microsoft Intune:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10- en hogerapparaten met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

   

4. Schakel het selectievakje voor schermopnamebeveiliging inschakelen in en sluit vervolgens de instellingenkiezer.

5. Vouw de categorie Beheersjablonen uit en schakel vervolgens de schakeloptie in voor schermopnamebeveiliging inschakelen op Ingeschakeld.

   

6. Zet de schakelaar voor Schermopnamebeveiligingsopties (apparaat)op uitschakelen voor schermafbeeldingen blokkeren op client of aan voor blokkering van schermafbeeldingen op client en server op basis van uw vereisten en selecteer VERVOLGENS OK.

7. Selecteer Volgende.

8. Optioneel: Selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

9. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

10. Controleer op het tabblad Controleren en maken de instellingen en selecteer Vervolgens Maken.

11. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op zodat de instellingen van kracht worden.

Groepsbeleid

Schermopnamebeveiliging configureren op sessiehosts met behulp van Groepsbeleid in een Active Directory-domein:

1. Volg de stappen om de beheersjabloon voor Azure Virtual Desktop beschikbaar te maken in Groepsbeleid.

2. Open de console Groepsbeleidsbeheer op een apparaat dat u gebruikt om het Active Directory-domein te beheren.

3. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

4. Navigeer naar Beheersjablonen voor computerconfiguratiebeleid>>>voor Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

   

5. Dubbelklik op de beleidsinstelling Schermopnamebeveiliging inschakelen om deze te openen en selecteer Vervolgens Ingeschakeld.

   

6. Selecteer in de vervolgkeuzelijst het scenario voor schermopnamebeveiliging dat u wilt gebruiken vanuit Schermopname blokkeren op client of Blokkeer schermopname op client en server op basis van uw vereisten en selecteer VERVOLGENS OK.

7. Zorg ervoor dat het beleid wordt toegepast op de computers die een externe sessie bieden en start deze vervolgens opnieuw op zodat de instellingen van kracht worden.

Schermopnamebeveiliging op lokale apparaten inschakelen met Intune MAM

Als u schermopnamebeveiliging wilt gebruiken op iOS-/iPadOS- en Android-apparaten met Windows App, moet u een Intune-app-beveiligingsbeleid configureren.

Een Intune-app-beveiligingsbeleid configureren om schermopnamebeveiliging in te schakelen op iOS-/iPadOS- en Android-apparaten:

1. Volg de stappen voor het configureren van omleidingsinstellingen voor clientapparaten voor Windows-app en de app Extern bureaublad met behulp van Microsoft Intune. De configuratie van schermopnamebeveiliging maakt deel uit van een app-beveiligingsbeleid.

2. Wanneer u een app-beveiligingsbeleid configureert, configureert u op het tabblad Gegevensbeveiliging de volgende instelling, afhankelijk van het platform:

   1. Voor iOS/iPadOS stelt u organisatiegegevens naar andere apps verzenden in op Geen.

   2. Voor Android stelt u Schermopname en Google Assistent in op Blokkeren.

3. Configureer andere instellingen op basis van uw vereisten en richt het beveiligingsbeleid voor apps op gebruikers en apparaten.

Schermopnamebeveiliging controleren

Controleren of de schermopnamebeveiliging werkt:

1. Maak verbinding met een nieuwe externe sessie met een ondersteunde client. Maak geen verbinding met een bestaande sessie. U moet zich afmelden bij bestaande sessies en u opnieuw aanmelden om de wijziging van kracht te laten worden.

2. Maak vanaf een lokaal apparaat een schermafbeelding of deel uw scherm in een Teams-gesprek of -vergadering. De inhoud wordt geblokkeerd of verborgen.

3. Als u op Windows- en macOS-apparaten Schermafbeelding blokkeren hebt ingeschakeld op client en server op uw sessiehosts, probeert u het scherm vast te leggen met behulp van een hulpprogramma of service binnen de sessiehost. De inhoud wordt geblokkeerd of verborgen.

Als u schermopnamebeveiliging inschakelt op sessiehosts, moet u verbinding maken vanaf een ondersteund apparaat. Als u dat niet doet, ziet u een foutbericht dat aangeeft dat schermopnamebeveiliging is ingeschakeld. Het foutbericht ziet er ongeveer als volgt uit:

• Webbrowser:

  

• iOS/iPadOS:

  

Gerelateerde inhoud

• Schakel watermerken in, waar beheerders een QR-code kunnen gebruiken om de sessie te traceren.

• Meer informatie over het beveiligen van uw Azure Virtual Desktop-implementatie bij aanbevolen procedures voor beveiliging.