Watermerken in Azure Virtual Desktop

Watermerken, naast schermopnamebeveiliging, helpen voorkomen dat gevoelige informatie wordt vastgelegd op clienteindpunten. Wanneer u watermerken inschakelt, worden watermerken met QR-code weergegeven als onderdeel van externe bureaubladen. De QR-code bevat de verbindings-id of apparaat-id van een externe sessie die beheerders kunnen gebruiken om de sessie te traceren. Watermerken worden geconfigureerd op sessiehosts met Behulp van Microsoft Intune of Groepsbeleid, en afgedwongen door windows-app of de Extern bureaublad-client.

Hier volgt een schermopname van hoe watermerken eruit zien wanneer deze is ingeschakeld:

Belangrijk

• Zodra watermerken zijn ingeschakeld op een sessiehost, kunnen alleen clients die watermerken ondersteunen verbinding maken met die sessiehost. Als u verbinding probeert te maken vanaf een niet-ondersteunde client, mislukt de verbinding en krijgt u een foutbericht dat niet specifiek is.

• Watermerken zijn alleen bedoeld voor externe bureaubladen. Met RemoteApp wordt watermerking niet toegepast en is de verbinding toegestaan.

• Als u rechtstreeks verbinding maakt met een sessiehost (niet via Azure Virtual Desktop) met behulp van de app Verbinding met extern bureaublad (mstsc.exe), wordt watermerking niet toegepast en is de verbinding toegestaan.

Vereisten

U hebt het volgende nodig voordat u watermerken kunt gebruiken:

• Een bestaande hostgroep met sessiehosts.

• Een Microsoft Entra ID-account waaraan de ingebouwde RBAC-rollen (Op rollen gebaseerd toegangsbeheer) voor de hostgroep zijn toegewezen voor inzender voor desktopvirtualisatiehosts.

• Een client die watermerken ondersteunt. De volgende clients ondersteunen watermerken:

  • Extern bureaublad-client voor:

    • Windows Desktop, versie 1.2.3317 of hoger, in Windows 10 en hoger.
    • Webbrowser.
    • macOS, versie 10.9.5 of hoger.
    • iOS/iPadOS, versie 10.5.4 of hoger.

  • Windows-app voor:

    • Windows
    • macOS
    • iOS en iPadOS
    • Webbrowser

• Azure Virtual Desktop Insights geconfigureerd voor uw omgeving.

• Als u uw sessiehosts beheert met Microsoft Intune, hebt u het volgende nodig:

  • Microsoft Entra ID-account waaraan de ingebouwde RBAC-rol beleids- en profielbeheerder is toegewezen.

  • Een groep met de apparaten die u wilt configureren.

• Als u uw sessiehosts beheert met Groepsbeleid in een Active Directory-domein, hebt u het volgende nodig:

  • Een domeinaccount dat lid is van de beveiligingsgroep Domeinadministrators .

  • Een beveiligingsgroep of organisatie-eenheid (OE) met de sessiehosts die u wilt configureren.

Watermerken inschakelen

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

Watermerken inschakelen met Microsoft Intune:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10- en hogerapparaten met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

   

4. Schakel het selectievakje in voor Watermerken inschakelen en sluit vervolgens de instellingenkiezer.

   Belangrijk

   Selecteer [Afgeschaft] Watermerking inschakelen niet omdat deze instelling niet de optie bevat om de ingesloten inhoud van de QR-code op te geven.

5. Vouw de categorie Beheersjablonen uit en schakel vervolgens de schakeloptie in voor Watermerken inschakelen op Ingeschakeld.

   

6. U kunt de volgende opties configureren:

   Optie	Waarden	Beschrijving
   Schaalfactor voor QR-code bitmap	1 tot 10 (standaard = 4)	De grootte in pixels van elke QR-codepunt. Deze waarde bepaalt hoeveel kwadraten per punt in de QR-code.
   Qr-code bitmapdoorzichtigheid	100 tot 9999 (standaard = 2000)	Hoe transparant het watermerk is, waarbij 100 volledig transparant is.
   Breedte van rastervak in procent dat relevant is voor de bitmapbreedte van QR-code	100 tot 1000 (standaard = 320)	Bepaalt de afstand tussen de QR-codes in procent. In combinatie met de hoogte zou een waarde van 100 ervoor zorgen dat de QR-codes naast elkaar worden weergegeven en het hele scherm vullen.
   Hoogte van rastervak in procenten die relevant zijn voor de breedte van de QR-code bitmap	100 tot 1000 (standaard = 180)	Bepaalt de afstand tussen de QR-codes in procent. In combinatie met de breedte zou een waarde van 100 ervoor zorgen dat de QR-codes naast elkaar worden weergegeven en het hele scherm vullen.
   Ingesloten inhoud van QR-code	Verbindings-id (standaard) Apparaat-ID	Geef op of de verbindings-id of apparaat-id moet worden gebruikt in de QR-code. Selecteer alleen apparaat-id met sessiehosts die zich in een persoonlijke hostgroep bevinden en lid zijn van Microsoft Entra-id of hybride Microsoft Entra-gekoppeld.

   Tip

   We raden u aan om verschillende ondoorzichtigheidswaarden uit te proberen om een evenwicht te vinden tussen de leesbaarheid van de externe sessie en om de QR-code te scannen, maar de standaardwaarden voor de andere parameters te behouden.

7. Selecteer Volgende.

8. Optioneel: Selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

9. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

10. Controleer op het tabblad Controleren en maken de instellingen en selecteer Vervolgens Maken.

11. Synchroniseer uw sessiehosts met Intune om de instellingen van kracht te laten worden.

Groepsbeleid

Watermerken inschakelen met groepsbeleid:

1. Volg de stappen om de beheersjabloon voor Azure Virtual Desktop beschikbaar te maken in Groepsbeleid.

2. Open de console Groepsbeleidsbeheer op het apparaat dat u gebruikt om het Active Directory-domein te beheren en maak of bewerk vervolgens een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

3. Navigeer naar Beheersjablonen voor computerconfiguratiebeleid>>>voor Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

4. Open de beleidsinstelling Watermerk inschakelen en stel deze in op Ingeschakeld.

   

5. U kunt de volgende opties configureren:

   Optie	Waarden	Beschrijving
   Schaalfactor voor QR-code bitmap	1 tot 10 (standaard = 4)	De grootte in pixels van elke QR-codepunt. Deze waarde bepaalt hoeveel kwadraten per punt in de QR-code.
   Qr-code bitmapdoorzichtigheid	100 tot 9999 (standaard = 2000)	Hoe transparant het watermerk is, waarbij 100 volledig transparant is en 9999 volledig ondoorzichtig is.
   Breedte van rastervak in procent dat relevant is voor de bitmapbreedte van QR-code	100 tot 1000 (standaard = 320)	Bepaalt de afstand tussen de QR-codes in procent. In combinatie met de hoogte zou een waarde van 100 ervoor zorgen dat de QR-codes naast elkaar worden weergegeven en het hele scherm vullen.
   Hoogte van rastervak in procenten die relevant zijn voor de breedte van de QR-code bitmap	100 tot 1000 (standaard = 180)	Bepaalt de afstand tussen de QR-codes in procent. In combinatie met de breedte zou een waarde van 100 ervoor zorgen dat de QR-codes naast elkaar worden weergegeven en het hele scherm vullen.
   Ingesloten inhoud van QR-code	Verbindings-id (standaard) Apparaat-ID	Geef op of de verbindings-id of apparaat-id moet worden gebruikt in de QR-code. Selecteer alleen apparaat-id met sessiehosts die zich in een persoonlijke hostgroep bevinden en lid zijn van Microsoft Entra-id of hybride Microsoft Entra-gekoppeld.

   Tip

   We raden u aan om verschillende ondoorzichtigheidswaarden uit te proberen om een evenwicht te vinden tussen de leesbaarheid van de externe sessie en om de QR-code te scannen, maar de standaardwaarden voor de andere parameters te behouden.

6. Zorg ervoor dat het beleid wordt toegepast op uw sessiehosts en vernieuw vervolgens Groepsbeleid op de sessiehosts of start het opnieuw op om de instellingen van kracht te laten worden.

7. Maak verbinding met een externe sessie met een ondersteunde client, waar qr-codes moeten worden weergegeven. Bestaande sessies moeten zich afmelden en opnieuw aanmelden om de wijziging van kracht te laten worden.

Sessiegegevens zoeken

Zodra u watermerken hebt ingeschakeld, kunt u de sessiegegevens uit de QR-code vinden met behulp van Azure Virtual Desktop Insights of een query uitvoeren op Azure Monitor Log Analytics.

Azure Virtual Desktop Insights

Om de sessiegegevens uit de QR-code te achterhalen met behulp van Azure Virtual Desktop Insights:

1. Open een webbrowser en ga naar https://aka.ms/avdi Azure Virtual Desktop Insights te openen. Meld u aan met uw Azure-referenties wanneer u hierom wordt gevraagd.

2. Selecteer het relevante abonnement, de resourcegroep, de hostgroep en het tijdsbereik en selecteer vervolgens het tabblad Diagnostische gegevens over verbindingen.

3. In de sectie Slagingspercentage (opnieuw) tot stand brengen van een verbinding (% van verbindingen), is er een lijst met alle verbindingen met de eerste poging, verbindings-id, gebruiker en pogingen. U kunt de verbindings-id zoeken vanuit de QR-code in deze lijst of exporteren naar Excel.

Azure Monitor-logboekanalyse

Als u de sessiegegevens uit de QR-code wilt achterhalen door een query uit te voeren op Azure Monitor Log Analytics:

1. Meld u aan bij het Azure-portaal.

2. Typ Log Analytics-werkruimten in de zoekbalk en selecteer de overeenkomende servicevermelding.

3. Selecteer deze optie om de Log Analytics-werkruimte te openen die is verbonden met uw Azure Virtual Desktop-omgeving.

4. Selecteer Logboekenonder Algemeen.

5. Start een nieuwe query en voer vervolgens de volgende query uit om sessiegegevens op te halen voor een specifieke verbindings-id (weergegeven als CorrelationId in Log Analytics), waarbij u de volledige of gedeeltelijke waarde uit de QR-code vervangt <connection ID> :

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

Gerelateerde inhoud

• Schermopnamebeveiliging inschakelen in Azure Virtual Desktop.