Włączanie ochrony przechwytywania ekranu w usłudze Azure Virtual Desktop

Ochrona przed przechwytywaniem ekranu, wraz z znakami wodnymi, pomaga zapobiegać przechwytywaniu poufnych informacji w punktach końcowych klienta za pośrednictwem określonego zestawu funkcji i interfejsów API systemu operacyjnego. Po włączeniu ochrony przed przechwytywaniem ekranu zawartość zdalna jest automatycznie blokowana na zrzutach ekranu i udostępnianiu ekranu.

Istnieją dwa obsługiwane scenariusze ochrony przed przechwytywaniem ekranu:

• Blokuj przechwytywanie ekranu na kliencie: uniemożliwia przechwytywanie ekranu z urządzenia lokalnego aplikacji uruchomionych w sesji zdalnej.

• Blokuj przechwytywanie ekranu na kliencie i serwerze: uniemożliwia przechwytywanie ekranu z urządzenia lokalnego aplikacji uruchomionych w sesji zdalnej, ale także zapobiega narzędziom i usługom w ramach hosta sesji przechwytywania ekranu.

Po włączeniu ochrony przed przechwytywaniem ekranu użytkownicy nie mogą udostępniać swojego okna zdalnego przy użyciu lokalnego oprogramowania do współpracy, takiego jak Microsoft Teams. W usłudze Teams ani lokalna aplikacja Teams ani usługa Teams z optymalizacją multimediów nie może udostępniać chronionej zawartości.

Napiwek

• Aby zwiększyć bezpieczeństwo poufnych informacji, należy również wyłączyć schowek, dysk i przekierowanie drukarki. Wyłączenie przekierowania pomaga uniemożliwić użytkownikom kopiowanie zawartości z sesji zdalnej. Aby dowiedzieć się więcej o obsługiwanych wartościach przekierowania, zobacz Przekierowywanie urządzenia.

• Aby zniechęcić do innych metod przechwytywania ekranu, takich jak robienie zdjęcia ekranu z aparatem fizycznym, można włączyć znak wodny, gdzie administratorzy mogą używać kodu QR do śledzenia sesji.

Określanie konfiguracji

Kroki konfigurowania ochrony przechwytywania ekranu zależą od platform, z których korzystają użytkownicy:

• W przypadku urządzeń z systemem Windows i macOS z aplikacją systemu Windows lub klientem pulpitu zdalnego należy skonfigurować ochronę przechwytywania ekranu na hostach sesji przy użyciu usługi Intune lub zasad grupy. Aplikacja systemu Windows i klient pulpitu zdalnego wymusza ustawienia ochrony przechwytywania ekranu z hosta sesji bez dodatkowej konfiguracji.

• W przypadku urządzeń z systemem iOS/iPadOS i Android z aplikacją systemu Windows blokowanie przechwytywania ekranu na urządzeniu lokalnym przez skonfigurowanie zasad ochrony aplikacji usługi Intune, część zarządzania aplikacjami mobilnymi (MAM). Jeśli chcesz również zablokować przechwytywanie ekranu z poziomu hosta sesji, należy również skonfigurować ochronę przechwytywania ekranu na hostach sesji przy użyciu usługi Intune lub zasad grupy.

Poniżej przedstawiono podsumowanie kroków konfiguracji wymaganych dla każdej platformy:

Platforma	Blokuj przechwytywanie ekranu na kliencie	Blokuj przechwytywanie ekranu na kliencie i serwerze
Windows	Konfigurowanie hostów sesji przy użyciu usługi Intune lub zasad grupy	Konfigurowanie hostów sesji przy użyciu usługi Intune lub zasad grupy
macOS	Konfigurowanie hostów sesji przy użyciu usługi Intune lub zasad grupy	Konfigurowanie hostów sesji przy użyciu usługi Intune lub zasad grupy
iOS/iPadOS	Konfigurowanie urządzenia lokalnego przy użyciu funkcji MAM usługi Intune	Konfigurowanie urządzenia lokalnego przy użyciu funkcji MAM usługi Intune i hostów sesji przy użyciu usługi Intune lub zasad grupy
Android	Konfigurowanie urządzenia lokalnego przy użyciu funkcji MAM usługi Intune	Konfigurowanie urządzenia lokalnego przy użyciu funkcji MAM usługi Intune i hostów sesji przy użyciu usługi Intune lub zasad grupy

Wymagania wstępne

• W przypadku scenariuszy, w których należy skonfigurować hosty sesji, te hosty sesji muszą mieć system Windows 11 w wersji 22H2 lub nowszej lub Windows 10 w wersji 22H2 lub nowszej.

• Użytkownicy muszą łączyć się z usługą Azure Virtual Desktop przy użyciu aplikacji systemu Windows lub aplikacji pulpitu zdalnego w celu korzystania z ochrony przechwytywania ekranu. W poniższej tabeli przedstawiono obsługiwane scenariusze:

  • Aplikacja systemu Windows:

    Platforma	Minimalna wersja	Sesja klasyczna	Sesja usługi RemoteApp
    Aplikacja systemu Windows w systemie Windows	Dowolne	Tak	Tak. System operacyjny urządzenia lokalnego musi mieć system Windows 11 w wersji 22H2 lub nowszej.
    Aplikacja systemu Windows w systemie macOS	Dowolne	Tak	Tak
    Aplikacja systemu Windows w systemie iOS/iPadOS	11.0.8	Tak	Tak
    Aplikacja systemu Windows w systemie Android (wersja zapoznawcza)¹	1.0.145	Tak	Tak

    1. Nie obejmuje obsługi systemu operacyjnego Chrome.

  • Klient pulpitu zdalnego:

    Platforma	Minimalna wersja	Sesja klasyczna	Sesja usługi RemoteApp
    Windows (klient klasyczny)	1.2.1672	Tak	Tak. System operacyjny urządzenia lokalnego musi mieć system Windows 11 w wersji 22H2 lub nowszej.
    Windows (aplikacja azure Virtual Desktop Store)	Dowolne	Tak	Tak. System operacyjny urządzenia lokalnego musi mieć system Windows 11 w wersji 22H2 lub nowszej.
    macOS	10.7.0 lub nowsza	Tak	Tak

  Jeśli użytkownik próbuje nawiązać połączenie z inną aplikacją lub wersją, taką jak Aplikacja systemu Windows w przeglądarce internetowej, połączenie zostanie odrzucone i zostanie wyświetlony komunikat o błędzie z kodem 0x1151.

• Do skonfigurowania usługi Microsoft Intune potrzebne są następujące elementy:

  • Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilu.

  • Grupa zawierająca urządzenia, które chcesz skonfigurować.

• Aby skonfigurować zasady grupy, potrzebne są następujące elementy:

  • Konto domeny, które jest członkiem grupy zabezpieczeń Administratorzy domeny.

  • Grupa zabezpieczeń lub jednostka organizacyjna zawierająca urządzenia, które chcesz skonfigurować.

Włączanie ochrony przechwytywania ekranu na hostach sesji

Wybierz odpowiednią kartę dla danego scenariusza.

Microsoft Intune

Aby skonfigurować ochronę przechwytywania ekranu na hostach sesji przy użyciu usługi Microsoft Intune:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.

3. W selektorze ustawień przejdź do pozycji Szablony>administracyjne Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego Host>usługi Azure Virtual Desktop.

   

4. Zaznacz pole wyboru Włącz ochronę przechwytywania ekranu, a następnie zamknij selektor ustawień.

5. Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik włącz ochronę przed przechwytywaniem ekranu na wartość Włączone.

   

6. Przełącz przełącznik opcji ochrony przechwytywania ekranu (urządzenie) na wyłączony dla opcji Blokuj przechwytywanie ekranu na kliencie lub w obszarze Blokuj przechwytywanie ekranu na kliencie i serwerze zgodnie z wymaganiami, a następnie wybierz przycisk OK.

7. Wybierz Dalej.

8. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (

9. Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.

10. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

11. Gdy zasady zostaną zastosowane do komputerów dostarczających sesję zdalną, uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

Zasady grupy

Aby skonfigurować ochronę przechwytywania ekranu na hostach sesji przy użyciu zasad grupy:

1. Wykonaj kroki, aby udostępnić szablon administracyjny usługi Azure Virtual Desktop w zasadach grupy.

2. Otwórz konsolę zarządzania zasadami grupy na urządzeniu używanym do zarządzania domeną usługi Active Directory.

3. Utwórz lub edytuj zasady przeznaczone dla komputerów dostarczających sesję zdalną, którą chcesz skonfigurować.

4. Przejdź do obszaru Zasady>konfiguracji>komputera Szablony>administracyjne Składniki>usług pulpitu zdalnego usług>pulpitu zdalnego hosta>usługi Azure Virtual Desktop.

   

5. Kliknij dwukrotnie ustawienie zasad Włącz ochronę przechwytywania ekranu, aby go otworzyć, a następnie wybierz pozycję Włączone.

   

6. Z menu rozwijanego wybierz scenariusz ochrony przechwytywania ekranu, którego chcesz użyć z blokuj przechwytywanie ekranu na kliencie lub Blokuj przechwytywanie ekranu na kliencie i serwerze zgodnie z wymaganiami, a następnie wybierz przycisk OK.

7. Upewnij się, że zasady są stosowane do komputerów dostarczających sesję zdalną, a następnie uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

Włączanie ochrony przechwytywania ekranu na urządzeniach lokalnych

Aby użyć ochrony przechwytywania ekranu na urządzeniach z systemami iOS/iPadOS i Android z aplikacją systemu Windows, należy skonfigurować zasady ochrony aplikacji usługi Intune.

Napiwek

W systemach Windows i macOS aplikacja systemu Windows i klient pulpitu zdalnego wymusza ustawienia ochrony przechwytywania ekranu z hosta sesji bez dodatkowej konfiguracji.

Aby skonfigurować zasady ochrony aplikacji usługi Intune w celu włączenia ochrony przechwytywania ekranu na urządzeniach z systemami iOS/iPadOS i Android:

1. Postępuj zgodnie z instrukcjami, aby skonfigurować ustawienia przekierowywania urządzeń klienckich dla aplikacji systemu Windows i aplikacji pulpitu zdalnego przy użyciu usługi Microsoft Intune. Konfiguracja ochrony przed przechwytywaniem ekranu jest częścią zasad ochrony aplikacji.

2. Podczas konfigurowania zasad ochrony aplikacji na karcie Ochrona danych skonfiguruj następujące ustawienie w zależności od platformy:

   1. W przypadku systemu iOS/iPadOS ustaw opcję Wyślij dane organizacji do innych aplikacji na Wartość Brak.

   2. W przypadku systemu Android ustaw opcję Przechwytywanie ekranu i Asystent Google na wartość Blokuj.

3. Skonfiguruj inne ustawienia na podstawie wymagań i określ zasady ochrony aplikacji dla użytkowników i urządzeń.

Weryfikowanie ochrony przed przechwytywaniem ekranu

Aby sprawdzić, czy ochrona przed przechwytywaniem ekranu działa:

1. Połącz się z nową sesją zdalną z obsługiwanym klientem. Nie należy ponownie łączyć się z istniejącą sesją. Musisz wylogować się z istniejących sesji i zalogować się ponownie, aby zmiana weszła w życie.

2. Na urządzeniu lokalnym wykonaj zrzut ekranu lub udostępnij ekran w rozmowie lub spotkaniu usługi Teams. Zawartość powinna być zablokowana lub ukryta.

3. Jeśli włączono funkcję Blokuj przechwytywanie ekranu na klientach i serwerze na hostach sesji, spróbuj przechwycić ekran przy użyciu narzędzia lub usługi na hoście sesji. Zawartość powinna być zablokowana lub ukryta.

Powiązana zawartość

• Włącz znak wodny, gdzie administratorzy mogą używać kodu QR do śledzenia sesji.

• Dowiedz się, jak zabezpieczyć wdrożenie usługi Azure Virtual Desktop, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń.