Włączanie ochrony przechwytywania ekranu w usłudze Azure Virtual Desktop

Ochrona przed przechwytywaniem ekranu, wraz z znakami wodnymi, pomaga zapobiegać przechwytywaniu poufnych danych na urządzeniach klienckich przy użyciu określonych funkcji i interfejsów API systemu operacyjnego. Po włączeniu ochrony przed przechwytywaniem ekranu zawartość zdalna jest automatycznie blokowana na zrzutach ekranu i udostępnianiu ekranu.

Po włączeniu ochrony przed przechwytywaniem ekranu użytkownicy nie mogą udostępniać swojego okna zdalnego przy użyciu lokalnego oprogramowania do współpracy, takiego jak Microsoft Teams. W przypadku aplikacji Teams lokalna aplikacja Teams lub korzystanie z usługi Teams z optymalizacją multimediów nie może udostępniać chronionej zawartości.

Napiwek

• Aby zwiększyć bezpieczeństwo poufnych informacji, należy również wyłączyć schowek, dysk i przekierowanie drukarki. Wyłączenie przekierowania pomaga uniemożliwić użytkownikom kopiowanie zawartości z sesji zdalnej. Aby dowiedzieć się więcej o obsługiwanych wartościach przekierowania, zobacz Przekierowywanie urządzenia.

• Aby zniechęcić do innych metod przechwytywania ekranu, takich jak robienie zdjęcia ekranu z aparatem fizycznym, można włączyć znak wodny, gdzie administratorzy mogą używać kodu QR do śledzenia sesji.

Określanie konfiguracji

Kroki konfigurowania ochrony przechwytywania ekranu zależą od tego, gdzie ją skonfigurować, od platform, z których korzystają użytkownicy, oraz od scenariusza, który chcesz osiągnąć.

• Urządzenia z systemem Windows i macOS: zapobiegasz przechwytywaniu ekranu, konfigurując hosty sesji przy użyciu zasad konfiguracji urządzenia usługi Intune lub zasad grupy. Aplikacja systemu Windows lub klient pulpitu zdalnego wymusza ustawienia ochrony przechwytywania ekranu z hosta sesji bez dalszej konfiguracji.

  Podczas konfigurowania ochrony przechwytywania ekranu na hostach sesji istnieją dwa dodatkowe ustawienia, które można skonfigurować, aby spełnić wymagania:

  • Blokuj przechwytywanie ekranu na kliencie: uniemożliwia przechwytywanie ekranu z urządzenia lokalnego aplikacji uruchomionych w sesji zdalnej.

  • Blokuj przechwytywanie ekranu na kliencie i serwerze: uniemożliwia przechwytywanie ekranu z urządzenia lokalnego aplikacji uruchomionych w sesji zdalnej, ale także zapobiega narzędziom i usługom w ramach hosta sesji przechwytywania ekranu.

  W tym scenariuszu jest to wynik podczas nawiązywania połączenia z każdego typu platformy:

  Platforma	Dozwolone połączenie	Przechwytywanie ekranu zablokowane
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	Nie dotyczy
  Android	❌	Nie dotyczy
  Sieć Web	❌	Nie dotyczy

• Urządzenia z systemami iOS/iPadOS i Android: zapobiegasz przechwytywaniu ekranu, konfigurując urządzenia lokalne przy użyciu zasad ochrony aplikacji usługi Intune, części zarządzania aplikacjami mobilnymi (MAM). Nie zapobiega to narzędziom i usługom w ramach hosta sesji przechwytywania ekranu.

  W tym scenariuszu jest to wynik podczas nawiązywania połączenia z każdego typu platformy:

  Platforma	Dozwolone połączenie	Przechwytywanie ekranu zablokowane
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Sieć Web	✅	❌

Ważne

Musisz wybrać urządzenia lokalne do użycia z ochroną przechwytywania ekranu w zależności od wymagań. Nie ma scenariusza, w którym można włączyć ochronę przechwytywania ekranu na wszystkich platformach z tych samych hostów sesji w tym samym czasie. Jeśli obie są skonfigurowane, ochrona przechwytywania ekranu na hostach sesji ma pierwszeństwo przed użyciem zasad zarządzania aplikacjami mobilnymi usługi Intune na urządzeniach lokalnych.

Wymagania wstępne

• W przypadku scenariuszy, w których należy skonfigurować hosty sesji, te hosty sesji muszą mieć system Windows 11 w wersji 22H2 lub nowszej lub Windows 10 w wersji 22H2 lub nowszej.

• Użytkownicy muszą łączyć się z usługą Azure Virtual Desktop przy użyciu aplikacji systemu Windows lub aplikacji pulpitu zdalnego w celu korzystania z ochrony przechwytywania ekranu. W poniższej tabeli przedstawiono obsługiwane scenariusze:

  • Aplikacja systemu Windows:

    Platforma	Minimalna wersja	Sesja klasyczna	Sesja usługi RemoteApp
    Aplikacja systemu Windows w systemie Windows	Dowolne	Tak	Tak. System operacyjny urządzenia lokalnego musi mieć system Windows 11 w wersji 22H2 lub nowszej.
    Aplikacja systemu Windows w systemie macOS	Dowolne	Tak	Tak
    Aplikacja systemu Windows w systemie iOS/iPadOS	11.0.8	Tak	Tak
    Aplikacja systemu Windows w systemie Android (wersja zapoznawcza)¹	1.0.145	Tak	Tak

    ^{1. Nie obejmuje obsługi systemu operacyjnego Chrome, ponieważ zarządzanie aplikacjami mobilnymi w usłudze Intune nie jest obsługiwane w systemie operacyjnym Chrome.}

  • Klient pulpitu zdalnego:

    Platforma	Minimalna wersja	Sesja klasyczna	Sesja usługi RemoteApp
    Windows (klient klasyczny)	1.2.1672	Tak	Tak. System operacyjny urządzenia lokalnego musi mieć system Windows 11 w wersji 22H2 lub nowszej.
    Windows (aplikacja azure Virtual Desktop Store)	Dowolne	Tak	Tak. System operacyjny urządzenia lokalnego musi mieć system Windows 11 w wersji 22H2 lub nowszej.
    macOS	10.7.0 lub nowsza	Tak	Tak

• Do skonfigurowania usługi Microsoft Intune potrzebne są następujące elementy:

  • Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilu.

  • Grupa zawierająca urządzenia, które chcesz skonfigurować.

• Aby skonfigurować zasady grupy, potrzebne są następujące elementy:

  • Konto domeny, które jest członkiem grupy zabezpieczeń Administratorzy domeny.

  • Grupa zabezpieczeń lub jednostka organizacyjna zawierająca urządzenia, które chcesz skonfigurować.

Włączanie ochrony przechwytywania ekranu na hostach sesji przy użyciu zasad konfiguracji urządzenia usługi Intune lub zasad grupy

Wybierz odpowiednią kartę dla danego scenariusza.

Microsoft Intune

Aby skonfigurować ochronę przechwytywania ekranu na hostach sesji przy użyciu usługi Microsoft Intune:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.

3. W selektorze ustawień przejdź do pozycji Szablony>administracyjne Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego Host>usługi Azure Virtual Desktop.

   

4. Zaznacz pole wyboru Włącz ochronę przechwytywania ekranu, a następnie zamknij selektor ustawień.

5. Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik włącz ochronę przed przechwytywaniem ekranu na wartość Włączone.

   

6. Przełącz przełącznik opcji ochrony przechwytywania ekranu (urządzenie) na wyłączony dla opcji Blokuj przechwytywanie ekranu na kliencie lub w obszarze Blokuj przechwytywanie ekranu na kliencie i serwerze zgodnie z wymaganiami, a następnie wybierz przycisk OK.

7. Wybierz Dalej.

8. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (

9. Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.

10. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

11. Gdy zasady zostaną zastosowane do komputerów dostarczających sesję zdalną, uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

Zasady grupy

Aby skonfigurować ochronę przechwytywania ekranu na hostach sesji przy użyciu zasad grupy w domenie usługi Active Directory:

1. Wykonaj kroki, aby udostępnić szablon administracyjny usługi Azure Virtual Desktop w zasadach grupy.

2. Otwórz konsolę zarządzania zasadami grupy na urządzeniu używanym do zarządzania domeną usługi Active Directory.

3. Utwórz lub edytuj zasady przeznaczone dla komputerów dostarczających sesję zdalną, którą chcesz skonfigurować.

4. Przejdź do obszaru Zasady>konfiguracji>komputera Szablony>administracyjne Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego hosta>usługi Azure Virtual Desktop.

   

5. Kliknij dwukrotnie ustawienie zasad Włącz ochronę przechwytywania ekranu, aby go otworzyć, a następnie wybierz pozycję Włączone.

   

6. Z menu rozwijanego wybierz scenariusz ochrony przechwytywania ekranu, którego chcesz użyć z blokuj przechwytywanie ekranu na kliencie lub Blokuj przechwytywanie ekranu na kliencie i serwerze zgodnie z wymaganiami, a następnie wybierz przycisk OK.

7. Upewnij się, że zasady są stosowane do komputerów dostarczających sesję zdalną, a następnie uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

Włączanie ochrony przechwytywania ekranu na urządzeniach lokalnych przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi w usłudze Intune

Aby użyć ochrony przechwytywania ekranu na urządzeniach z systemami iOS/iPadOS i Android z aplikacją systemu Windows, należy skonfigurować zasady ochrony aplikacji usługi Intune.

Aby skonfigurować zasady ochrony aplikacji usługi Intune w celu włączenia ochrony przechwytywania ekranu na urządzeniach z systemami iOS/iPadOS i Android:

1. Postępuj zgodnie z instrukcjami, aby skonfigurować ustawienia przekierowywania urządzeń klienckich dla aplikacji systemu Windows i aplikacji pulpitu zdalnego przy użyciu usługi Microsoft Intune. Konfiguracja ochrony przed przechwytywaniem ekranu jest częścią zasad ochrony aplikacji.

2. Podczas konfigurowania zasad ochrony aplikacji na karcie Ochrona danych skonfiguruj następujące ustawienie w zależności od platformy:

   1. W przypadku systemu iOS/iPadOS ustaw opcję Wyślij dane organizacji do innych aplikacji na Wartość Brak.

   2. W przypadku systemu Android ustaw opcję Przechwytywanie ekranu i Asystent Google na wartość Blokuj.

3. Skonfiguruj inne ustawienia na podstawie wymagań i określ zasady ochrony aplikacji dla użytkowników i urządzeń.

Weryfikowanie ochrony przed przechwytywaniem ekranu

Aby sprawdzić, czy ochrona przed przechwytywaniem ekranu działa:

1. Połącz się z nową sesją zdalną z obsługiwanym klientem. Nie należy ponownie łączyć się z istniejącą sesją. Musisz wylogować się z istniejących sesji i zalogować się ponownie, aby zmiana weszła w życie.

2. Na urządzeniu lokalnym wykonaj zrzut ekranu lub udostępnij ekran w rozmowie lub spotkaniu usługi Teams. Zawartość jest zablokowana lub ukryta.

3. Jeśli na urządzeniach z systemem Windows i macOS włączono funkcję Przechwytywanie ekranu blokuj na klientach i serwerze na hostach sesji, spróbuj przechwycić ekran przy użyciu narzędzia lub usługi na hoście sesji. Zawartość jest zablokowana lub ukryta.

Jeśli włączysz ochronę przechwytywania ekranu na hostach sesji, musisz nawiązać połączenie z obsługiwanego urządzenia. Jeśli tego nie zrobisz, zostanie wyświetlony komunikat o błędzie wskazujący, że ochrona przed przechwytywaniem ekranu jest włączona. Komunikat o błędzie wygląda podobnie do poniższych zrzutów ekranu:

• Przeglądarka internetowa:

  

• iOS/iPadOS:

  

Powiązana zawartość

• Włącz znak wodny, gdzie administratorzy mogą używać kodu QR do śledzenia sesji.

• Dowiedz się, jak zabezpieczyć wdrożenie usługi Azure Virtual Desktop, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń.