Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure

A proteção contra captura de tela, juntamente com a marca d'água, ajuda a impedir que dados confidenciais sejam capturados em dispositivos cliente usando recursos e APIs específicos do sistema operacional (SO). Ao habilitar a proteção contra captura de tela, o conteúdo remoto será bloqueado ou oculto automaticamente em capturas de tela e em compartilhamentos de tela.

Quando a proteção de captura de tela está habilitada, os usuários não podem compartilhar a janela remota usando o software de colaboração local, como o Microsoft Teams. Com o Teams, o aplicativo Teams local ou o uso do Teams com otimização de mídia não é possível compartilhar conteúdo protegido.

Dica

• Para aumentar a segurança de suas informações confidenciais, você também deve desabilitar o redirecionamento de área de transferência, de pen drive e de impressora. Desabilitar o redirecionamento impede que os usuários copiem qualquer conteúdo de tela capturado da sessão remota. Para saber mais sobre os valores de redirecionamento com suporte, consulte Redirecionamento de dispositivo.

• Para desencorajar outros métodos de captura de tela, como tirar uma foto de uma tela com uma câmera física, você pode habilitar a marca d'água, em que os administradores podem usar um código QR para rastrear a sessão.

Determinar sua configuração

As etapas para configurar a proteção contra captura de tela dependem de onde você a configura, de quais plataformas seus usuários estão se conectando e de qual cenário você deseja alcançar.

• Dispositivos Windows e macOS: você impede a captura de tela configurando hosts de sessão usando uma política de configuração de dispositivos do Intune ou Política de Grupo. O Windows App ou o Cliente da Área de Trabalho Remota impõe as configurações de proteção contra captura de tela de um host de sessão sem configuração adicional.

  Ao configurar a proteção contra captura de tela em hosts de sessão, há duas outras configurações que você pode configurar para ajudar a atender aos seus requisitos:

  • Bloquear captura de tela no cliente: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota.

  • Bloquear captura de tela no cliente e no servidor: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota, mas também impede que ferramentas e serviços no host da sessão capturem a tela.

  Nesse cenário, veja o resultado ao se conectar de cada tipo de plataforma:

  Plataforma	Conexão permitida	Captura de tela bloqueada
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	N/A
  Android	❌	N/A
  Web	❌	N/A

• Dispositivos iOS/iPadOS e Android: você impede a captura de tela configurando dispositivos locais usando uma política de proteção de aplicativos do Intune, parte do gerenciamento de aplicativos móveis (MAM). Não impede que ferramentas e serviços dentro do host da sessão capturem a tela.

  Nesse cenário, veja o resultado ao se conectar de cada tipo de plataforma:

  Plataforma	Conexão permitida	Captura de tela bloqueada
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Web	✅	❌

Importante

Você precisa escolher quais dispositivos locais usar com a proteção contra captura de tela com base nos seus requisitos. Não há um cenário em que você possa habilitar a proteção contra captura de tela em todas as plataformas a partir dos mesmos hosts de sessão ao mesmo tempo. Se ambos estiverem configurados, a proteção contra captura de tela em hosts de sessão terá precedência sobre o uso de uma política MAM do Intune em dispositivos locais.

Pré-requisitos

• Nos cenários em que você precisa configurar hosts de sessão, esses hosts de sessão devem estar executando o Windows 11, versão 22H2 ou posterior, ou o Windows 10, versão 22H2 ou posterior.

• Os usuários devem se conectar à Área de Trabalho Virtual do Azure com o Windows App ou o aplicativo de Área de Trabalho Remota para usar a proteção de captura de tela. A tabela a seguir mostra cenários com suporte:

  • Windows App:

    Plataforma	Versão mínima	Sessão da área de trabalho	Sessão do RemoteApp
    Windows App no Windows	Qualquer	Sim	Sim. O sistema operacional do dispositivo local deve ser o Windows 11, versão 22H2 ou posterior.
    Windows App no macOS	Qualquer	Sim	Sim
    Windows App no iOS/iPadOS	11.0.8	Sim	Sim
    Windows App no Android (versão prévia)¹	1.0.145	Sim	Sim

    ^{1. Não inclui suporte para Chrome OS porque o MAM do Intune não tem suporte no Chrome OS.}

  • Cliente de Área de Trabalho Remota:

    Plataforma	Versão mínima	Sessão da área de trabalho	Sessão do RemoteApp
    Windows (cliente da área de trabalho)	1.2.1672	Sim	Sim. O sistema operacional do dispositivo local deve ser o Windows 11, versão 22H2 ou posterior.
    Windows (aplicativo da Store da Área de Trabalho Virtual do Azure)	Algum	Sim	Sim. O sistema operacional do dispositivo local deve ser o Windows 11, versão 22H2 ou posterior.
    macOS	10.7.0 ou posterior	Sim	Sim

• Para configurar o Microsoft Intune, você precisa do seguinte:

  • Uma conta do Microsoft Entra ID atribuída à função interna RBAC do Gerenciador de Políticas e Perfis.

  • Um grupo que contém os dispositivos que você deseja configurar.

• Para configurar a Política de Grupo, você precisa do seguinte:

  • Uma conta de domínio que seja membro do grupo de segurança de Administradores de Domínio.

  • Um grupo de segurança ou uma UO (unidade organizacional) contendo os dispositivos que você deseja configurar.

Habilitar proteção contra captura de tela em hosts de sessão usando uma política de configuração de dispositivos do Intune ou Política de Grupo

Selecione a guia relevante ao seu cenário.

Microsoft Intune

Para configurar a proteção contra captura de tela em hosts de sessão usando o Microsoft Intune:

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.

3. No seletor de configurações, navegue até Modelos administrativos>Componentes do Windows>Serviços da Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Área de Trabalho Virtual do Azure.

   

4. Marque a caixa para Habilitar proteção de captura de tela e feche o seletor de configurações.

5. Expanda a categoria Modelos administrativos e alterne a opção Habilitar proteção de captura de tela para Habilitada.

   

6. Alterne a opção para Opções (Dispositivo) de Proteção de Captura de Tela para desativar para Bloquear captura de tela no cliente ou ativar para Bloquear captura de tela no cliente e no servidor com base em seus requisitos e, em seguida, selecione OK.

7. Selecione Avançar.

8. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

9. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

10. Na guia Revisar + criar, revise as configurações e selecione Criar.

11. Depois que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Política de Grupo

Para configurar a proteção contra captura de tela em hosts de sessão usando a Política de Grupo em um domínio do Active Directory:

1. Siga as etapas para disponibilizar o Modelo administrativo para a Área de Trabalho Virtual do Azure na Política de Grupo.

2. Abra o console Gerenciamento de Políticas de Grupo em um dispositivo usado para gerenciar o domínio do Active Directory.

3. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

4. Navegue até Configuração do Computador>Políticas>Modelos Administrativos>Componentes do Windows>Serviços da Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Área de Trabalho Virtual do Azure.

   

5. Clique duas vezes na configuração de política Habilitar proteção de captura de tela para abri-la e selecione Habilitada.

   

6. No menu suspenso, selecione o cenário de proteção de captura de tela que você deseja usar em Bloquear captura de tela no cliente ou Bloquear captura de tela no cliente e no servidor com base em seus requisitos e, em seguida, selecione OK.

7. Verifique se a política foi aplicada aos computadores que fornecem uma sessão remota e reinicie-os para que as configurações entrem em vigor.

Habilitar a proteção contra captura de tela em dispositivos locais usando o MAM do Intune

Para usar a proteção contra captura de tela em dispositivos iOS/iPadOS e Android que executam o Windows App, é necessário configurar uma política de proteção de aplicativos do Intune.

Para configurar uma política de proteção de aplicativos do Intune para habilitar a proteção contra captura de tela em dispositivos iOS/iPadOS e Android:

1. Siga as etapas para Configurar as definições de redirecionamento do dispositivo cliente para o Windows App e o aplicativo da Área de Trabalho Remota usando o Microsoft Intune. A configuração da proteção contra captura de tela faz parte de uma política de proteção de aplicativo.

2. Ao configurar uma política de proteção de aplicativos, na guia Proteção de dados, defina a seguinte configuração, dependendo da plataforma:

   1. Para iOS/iPadOS, defina Enviar dados da organização para outros aplicativos como Nenhum.

   2. No Android, defina Captura de tela e Assistente do Google como Bloquear.

3. Defina outras configurações com base em seus requisitos e direcione a política de proteção de aplicativos para usuários e dispositivos.

Verificar a proteção de captura de tela

Para verificar se a proteção de captura de tela está funcionando:

1. Conecte-se a uma nova sessão remota com um cliente com suporte. Não se reconecte a uma sessão existente. É necessário sair de todas as sessões existentes e entrar novamente para que a alteração tenha efeito.

2. De um dispositivo local, faça uma captura de tela ou compartilhe sua tela em uma chamada ou reunião do Teams. O conteúdo está bloqueado ou oculto.

3. Em dispositivos Windows e macOS, se você habilitou Bloquear captura de tela no cliente e no servidor em seus hosts de sessão, tente capturar a tela usando uma ferramenta ou serviço dentro do host da sessão. O conteúdo está bloqueado ou oculto.

Se você habilitar a proteção contra captura de tela em hosts de sessão, deverá se conectar a partir de um dispositivo com suporte. Caso contrário, você verá uma mensagem de erro informando que a proteção contra captura de tela está habilitada. A mensagem de erro é semelhante a estas capturas de tela:

• Navegador da Web:

  

• iOS/iPadOS:

  

Conteúdo relacionado

• Habilite marca d'água, em que os administradores podem usar um código QR para rastrear a sessão.

• Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure nas melhores práticas de Segurança.