Konfigurowanie kierunku transferu schowka i typów danych, które można skopiować w usłudze Azure Virtual Desktop

Przekierowywanie schowka w usłudze Azure Virtual Desktop umożliwia użytkownikom kopiowanie i wklejanie zawartości, takiej jak tekst, obrazy i pliki między urządzeniem użytkownika a sesją zdalną w obu kierunkach. Możesz ograniczyć kierunek schowka dla użytkowników, aby zapobiec eksfiltracji danych lub skopiowaniu złośliwych plików do hosta sesji. Można skonfigurować, czy użytkownicy mogą używać schowka z hosta sesji do klienta, czy klienta do hosta sesji, oraz typów danych, które można skopiować, z następujących opcji:

• Wyłącz transfery schowka z hosta sesji do klienta, klienta na hosta sesji lub oba te elementy.
• Zezwalaj tylko na zwykły tekst.
• Zezwalaj tylko na zwykły tekst i obrazy.
• Zezwalaj tylko na zwykły tekst, obrazy i format tekstu sformatowanego.
• Zezwalaj tylko na zwykły tekst, obrazy, format tekstu sformatowanego i tylko kod HTML.

Ustawienia są stosowane do hostów sesji. Nie zależy od określonego klienta pulpitu zdalnego ani jego wersji. W tym artykule pokazano, jak skonfigurować kierunek schowka i typy danych, które można skopiować przy użyciu usługi Microsoft Intune lub zasad grupy.

Wymagania wstępne

Aby skonfigurować kierunek transferu schowka, potrzebne są następujące elementy:

• Właściwości protokołu RDP puli hostów muszą zezwalać na przekierowywanie schowka. W przeciwnym razie zostanie całkowicie zablokowany.

• Hosty sesji muszą działać w jednym z następujących systemów operacyjnych:

  • System Windows 11 Enterprise lub Enterprise z wieloma sesjami, wersja 22H2 lub 23H2 z aktualizacją zbiorczą 2024-06 (KB5039212) lub nowszą zainstalowaną.
  • System Windows 11 Enterprise lub Enterprise w wersji 21H2 z aktualizacją zbiorczą 2024-06 (KB5039213) lub nowszą zainstalowaną.
  • System Windows Server 2022 z zainstalowaną aktualizacją zbiorczą 2024-07 (KB5040437) lub nowszą.

• W zależności od metody używanej do skonfigurowania kierunku transferu schowka:

  • W przypadku usługi Intune musisz mieć uprawnienia do konfigurowania i stosowania ustawień. Aby uzyskać więcej informacji, zobacz Szablon administracyjny usługi Azure Virtual Desktop.

  • Do skonfigurowania lokalnych zasad grupy lub rejestru hostów sesji potrzebne jest konto, które jest członkiem lokalnej grupy Administratorzy.

Konfigurowanie kierunku transferu schowka

Poniżej przedstawiono sposób konfigurowania kierunku transferu schowka i typów danych, które można skopiować. Wybierz odpowiednią kartę dla danego scenariusza.

Intune

Aby skonfigurować schowek przy użyciu usługi Intune, wykonaj następujące kroki. Ten proces tworzy zasady katalogu ustawień usługi Intune.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.

3. W selektorze ustawień przejdź do szablonów>administracyjnych Składniki>pulpitu zdalnego usług>pulpitu zdalnego hosta urządzenia hosta>i przekierowania zasobów.

   

4. Zaznacz pole wyboru następujących ustawień, upewniając się, że wybrano ustawienia z prawidłowym zakresem wymagań, a następnie zamknij selektor ustawień. Aby określić, który zakres jest poprawny dla danego scenariusza, zobacz Katalog ustawień — zakres urządzenia a ustawienia zakresu użytkownika:

   • Ustawienia zakresu urządzenia:

     • Ograniczanie transferu schowka z serwera do klienta
     • Ograniczanie transferu schowka z klienta na serwer

   • Ustawienia zakresu użytkownika:

     • Ograniczanie transferu schowka z serwera do klienta (użytkownik)
     • Ograniczanie transferu schowka z klienta na serwer (użytkownik)

5. Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik dla każdego ustawienia dodanego do pozycji Włączone.

6. Po włączeniu każdego ustawienia zostanie wyświetlona lista rozwijana, z której można wybrać typy danych, które można skopiować. Wybierz jedną z następujących opcji:

   • Wyłącz transfery schowka z serwera do klienta lub Wyłącz transfery schowka z klienta na serwer
   • Zezwalaj na zwykły tekst
   • Zezwalaj na zwykły tekst i obrazy
   • Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego
   • Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML

7. Wybierz Dalej.

8. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (

9. Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.

10. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

11. Gdy zasady zostaną zastosowane do komputerów dostarczających sesję zdalną, uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

12. Połącz się z sesją zdalną z obsługiwanym klientem i przetestuj skonfigurowane ustawienia schowka, próbując skopiować i wkleić różne typy zawartości.

Zasady grupy

Aby skonfigurować schowek przy użyciu zasad grupy w domenie usługi Active Directory, wykonaj następujące kroki.

Ważne

Te ustawienia zasad są wyświetlane zarówno w konfiguracji komputera, jak i w konfiguracji użytkownika. Jeśli zostaną skonfigurowane oba ustawienia zasad, zostanie użyte ostrzejsze ograniczenie.

1. Ustawienia zasad grupy są dostępne tylko w systemie Windows 11 w wersji 23H2 lub nowszej. Należy skopiować pliki C:\Windows\PolicyDefinitions\terminalserver.admx szablonów administracyjnych i C:\Windows\PolicyDefinitions\en-US\terminalserver.adml z hosta sesji do tej samej lokalizacji na kontrolerach domeny lub magazynie centralnym zasad grupy, w zależności od środowiska. Jeśli używasz innego języka, w ścieżce pliku dla terminalserver.adml polecenia zastąp en-US ciąg odpowiednim kodem języka.

2. Na urządzeniu używanym do zarządzania zasadami grupy otwórz konsolę zarządzania zasadami grupy (GPMC) i utwórz lub edytuj zasady przeznaczone dla hostów sesji.

3. Przejdź do jednej z poniższych sekcji zasad. Użyj sekcji zasad w konfiguracji komputera do hosta sesji docelowej i użyj sekcji zasad w konfiguracji użytkownika dotyczy określonych użytkowników docelowych.

   • Maszyna: Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   • Użytkownik: User Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

   

4. Otwórz jedno z następujących ustawień zasad, w zależności od tego, czy chcesz skonfigurować schowek z hosta sesji (serwera) do klienta, czy klienta do hosta sesji:

   • Aby skonfigurować schowek z hosta sesji do klienta, otwórz ustawienie zasad Ogranicz transfer schowka z serwera do klienta, a następnie wybierz pozycję Włączone. Wybierz jedną z następujących opcji:

     • Wyłącz transfery schowka z serwera do klienta.
     • Zezwalaj na zwykły tekst.
     • Zezwalaj na zwykły tekst i obrazy.
     • Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
     • Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

   • Aby skonfigurować schowek z klienta na hosta sesji, otwórz ustawienie zasad Ogranicz transfer schowka z klienta do serwera, a następnie wybierz pozycję Włączone . Wybierz jedną z następujących opcji:

     • Wyłącz transfery schowka z klienta na serwer.
     • Zezwalaj na zwykły tekst.
     • Zezwalaj na zwykły tekst i obrazy.
     • Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
     • Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

5. Aby zapisać zmiany, wybierz pozycję OK.

6. Po skonfigurowaniu ustawień upewnij się, że zasady są stosowane do hostów sesji, a następnie odśwież zasady grupy na hostach sesji i uruchom je ponownie, aby ustawienia zaczęły obowiązywać

7. Połącz się z sesją zdalną z obsługiwanym klientem i przetestuj skonfigurowane ustawienia schowka, próbując skopiować i wkleić różne typy zawartości.

Rejestr

Aby skonfigurować schowek przy użyciu rejestru na hoście sesji, wykonaj następujące kroki.

1. Otwórz Edytor rejestru z menu Start lub, uruchamiając polecenie regedit.exe.

2. Ustaw jeden z następujących kluczy rejestru i jego wartość, w zależności od tego, czy chcesz skonfigurować schowek z hosta sesji do klienta, czy klienta na hosta sesji.

   • Aby skonfigurować schowek z hosta sesji na klienta, ustaw jeden z następujących kluczy rejestru i jego wartość. Użycie wartości maszyny dotyczy wszystkich użytkowników i użycie wartości dla użytkownika dotyczy tylko bieżącego użytkownika.

     • Klucz:

       • Maszyna: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Użytkowników: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Typ: REG_DWORD

     • Nazwa wartości: SCClipLevel

     • Dane wartości: wprowadź wartość z poniższej tabeli:

       Dane wartości	opis
       0	Wyłącz transfery schowka z hosta sesji do klienta.
       1	Zezwalaj na zwykły tekst.
       2	Zezwalaj na zwykły tekst i obrazy.
       3	Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
       4	Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

   • Aby skonfigurować schowek z klienta na hosta sesji, ustaw jeden z następujących kluczy rejestru i jego wartość. Użycie wartości maszyny dotyczy wszystkich użytkowników i użycie wartości dla użytkownika dotyczy tylko bieżącego użytkownika.

     • Klucz:

       • Maszyna: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Użytkowników: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Typ: REG_DWORD

     • Nazwa wartości: CSClipLevel

     • Dane wartości: wprowadź wartość z poniższej tabeli:

       Dane wartości	opis
       0	Wyłącz transfery schowka z klienta do hosta sesji.
       1	Zezwalaj na zwykły tekst.
       2	Zezwalaj na zwykły tekst i obrazy.
       3	Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
       4	Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

3. Uruchom ponownie hosta sesji.

4. Połącz się z sesją zdalną z obsługiwanym klientem i przetestuj skonfigurowane ustawienia schowka, próbując skopiować i wkleić różne typy zawartości.

Powiązana zawartość

• Skonfiguruj znak wodny.
• Skonfiguruj ochronę przed przechwytywaniem ekranu.
• Dowiedz się, jak zabezpieczyć wdrożenie usługi Azure Virtual Desktop, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń.