Включение защиты захвата экрана в Виртуальном рабочем столе Azure

Защита отслеживания экрана вместе с подложкой помогает предотвратить захват конфиденциальной информации на конечных точках клиента с помощью определенного набора функций и API операционной системы. При включении защиты захвата экрана удаленный контент автоматически блокируется на снимках экранах и совместном использовании экрана.

Существует два поддерживаемых сценария защиты захвата экрана:

• Блокировка захвата экрана на клиенте: запрещает захват экрана с локального устройства приложений, работающих в удаленном сеансе.

• Блокировать захват экрана на клиенте и сервере: запрещает запись экрана с локального устройства приложений, работающих в удаленном сеансе, но также запрещает средства и службы в узле сеанса, захватывая экран.

Если включена защита захвата экрана, пользователи не могут предоставлять общий доступ к удаленному окну с помощью локального программного обеспечения для совместной работы, например Microsoft Teams. При использовании Teams ни локальное приложение Teams, ни использование Teams с оптимизацией мультимедиа не может совместно использовать защищенное содержимое.

Совет

• Чтобы повысить безопасность конфиденциальной информации, необходимо также отключить буфер обмена, диск и перенаправление принтера. Отключение перенаправления помогает запретить пользователям копировать содержимое из удаленного сеанса. Сведения о поддерживаемых значениях перенаправления см. в разделе "Перенаправление устройств".

• Чтобы предотвратить другие методы захвата экрана, например фотографию экрана с физической камерой, можно включить подложку, где администраторы могут использовать QR-код для трассировки сеанса.

Определение конфигурации

Действия по настройке защиты захвата экрана зависят от того, какие платформы подключаются ваши пользователи:

• Для устройств Windows и macOS под управлением клиента приложения Windows или удаленного рабочего стола вы настраиваете защиту захвата экрана на узлах сеансов с помощью Intune или групповой политики. Приложение Windows и клиент удаленного рабочего стола применяют параметры защиты экрана от узла сеанса без дополнительной настройки.

• Для устройств iOS/iPadOS и Android под управлением приложения Windows вы блокируете запись экрана на локальном устройстве, настроив политику защиты приложений Intune, часть управления мобильными приложениями (MAM). Если вы также хотите заблокировать запись экрана в узле сеанса, необходимо также настроить защиту захвата экрана на узлах сеансов с помощью Intune или групповой политики.

Ниже приведена сводка действий по настройке, необходимых для каждой платформы:

Платформа	Блокировка захвата экрана на клиенте	Блокировка захвата экрана на клиенте и сервере
Windows	Настройка узлов сеансов с помощью Intune или групповой политики	Настройка узлов сеансов с помощью Intune или групповой политики
macOS	Настройка узлов сеансов с помощью Intune или групповой политики	Настройка узлов сеансов с помощью Intune или групповой политики
iOS/iPadOS	Настройка локального устройства с помощью Intune MAM	Настройка локального устройства с помощью Intune MAM и узлов сеансов с помощью Intune или групповой политики
Android	Настройка локального устройства с помощью Intune MAM	Настройка локального устройства с помощью Intune MAM и узлов сеансов с помощью Intune или групповой политики

Необходимые компоненты

• В сценариях, где необходимо настроить узлы сеансов, эти узлы сеансов должны работать под управлением Windows 11, версии 22H2 или более поздней версии или Windows 10 версии 22H2 или более поздней.

• Пользователи должны подключаться к виртуальному рабочему столу Azure с помощью приложения Windows или приложения удаленного рабочего стола, чтобы использовать защиту захвата экрана. В следующей таблице показаны поддерживаемые сценарии:

  • Приложение Для Windows:

    Платформа	Минимальная версия	Сеанс рабочего стола	Сеанс RemoteApp
    Приложение Windows в Windows	Любое	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    Приложение Windows в macOS	Любое	Да	Да
    Приложение Windows в iOS/iPadOS	11.0.8	Да	Да
    Приложение Windows в Android (предварительная версия)¹	1.0.145	Да	Да

    1. Не включает поддержку Chrome OS.

  • Клиент удаленного рабочего стола:

    Платформа	Минимальная версия	Сеанс рабочего стола	Сеанс RemoteApp
    Windows (классический клиент)	1.2.1672	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    Windows (приложение Магазина виртуальных рабочих столов Azure)	Любое	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    macOS	10.7.0 или более поздней версии	Да	Да

  Если пользователь пытается подключиться к другому приложению или версии, например Приложению Windows в веб-браузере, подключение отказано и отображает сообщение об ошибке с кодом 0x1151.

• Чтобы настроить Microsoft Intune, вам потребуется:

  • Учетная запись идентификатора Microsoft Entra, назначенная встроенной роли диспетчера политик и профилей RBAC.

  • Группа, содержащая устройства, которые требуется настроить.

• Чтобы настроить групповую политику, вам потребуется:

  • Учетная запись домена, являющаяся членом группы безопасности администраторов домена.

  • Группа безопасности или подразделение (OU), содержащая устройства, которые требуется настроить.

Включение защиты записи экрана на узлах сеансов

Выберите соответствующую вкладку для вашего сценария.

Microsoft Intune

Чтобы настроить защиту захвата экрана на узлах сеансов с помощью Microsoft Intune:

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

3. В средстве выбора параметров перейдите к административным шаблонам>компонентов Windows Components>Remote Desktop Services>Remote Desktop Host Virtual Desktop Host>Azure.

   

4. Установите флажок "Включить защиту захвата экрана", а затем закройте средство выбора параметров.

5. Разверните категорию административных шаблонов, а затем переключите переключатель для включения защиты захвата экрана в значение "Включено".

   

6. Переключите переключатель для параметров защиты от захвата экрана (устройство) для блокировки захвата экрана на клиенте илидля записи экрана блокировки на клиенте и сервере в зависимости от ваших требований, а затем нажмите кнопку "ОК".

7. Выберите Далее.

8. Необязательно. На вкладке тегов области выберите тег области для фильтрации профиля. Дополнительные сведения о тегах области см. в разделе "Использование управления доступом на основе ролей" (RBAC) и тегов областей для распределенной ИТ-службы.

9. На вкладке "Назначения" выберите группу, содержащую компьютеры , предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку "Далее".

10. На вкладке "Просмотр и создание " просмотрите параметры, а затем нажмите кнопку "Создать".

11. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Групповая политика

Чтобы настроить защиту захвата экрана на узлах сеансов с помощью групповой политики:

1. Выполните действия, чтобы сделать административный шаблон виртуального рабочего стола Azure доступным в групповой политике.

2. Откройте консоль управления групповыми политиками на устройстве, используемом для управления доменом Active Directory.

3. Создайте или измените политику, предназначенную для компьютеров, предоставляющих удаленный сеанс, который требуется настроить.

4. Перейдите к административным шаблонам политик>конфигурации>компьютеров>Windows Components>Remote Desktop Services>Remote Desktop Session Host>Azure Virtual Desktop Host.

   

5. Дважды щелкните параметр политики Включить защиту с экрана, чтобы открыть ее, а затем нажмите кнопку "Включено".

   

6. В раскрывающемся меню выберите сценарий защиты захвата экрана, который вы хотите использовать в режиме блокировки на клиентском или блокируемом снимке экрана на клиенте и сервере в зависимости от ваших требований, а затем нажмите кнопку "ОК".

7. Убедитесь, что политика применяется к компьютерам, предоставляющим удаленный сеанс, а затем перезапустите их, чтобы параметры вступили в силу.

Включение защиты захвата экрана на локальных устройствах

Чтобы использовать защиту захвата экрана на устройствах iOS/iPadOS и Android под управлением Приложения Windows, необходимо настроить политику защиты приложений Intune.

Совет

В Windows и macOS приложение Windows и клиент удаленного рабочего стола применяют параметры защиты экрана от узла сеанса без дополнительной настройки.

Чтобы настроить политику защиты приложений Intune для включения защиты с экрана на устройствах iOS/iPadOS и Android:

1. Выполните действия по настройке параметров перенаправления клиентских устройств для приложения Windows и приложения удаленного рабочего стола с помощью Microsoft Intune. Настройка защиты захвата экрана является частью политики защиты приложений.

2. При настройке политики защиты приложений на вкладке "Защита данных" настройте следующий параметр в зависимости от платформы:

   1. Для iOS/iPadOS задайте для других приложенийзначение "Нет".

   2. Для Android задайте для записи экрана и Помощника Google блокировку.

3. Настройте другие параметры на основе ваших требований и нацельте политику защиты приложений пользователям и устройствам.

Проверка защиты захвата экрана

Чтобы проверить, работает ли защита захвата экрана:

1. Подключитесь к новому удаленному сеансу с поддерживаемым клиентом. Не подключайтесь к существующему сеансу. Необходимо выйти из существующих сеансов и снова войти в систему, чтобы изменения вступают в силу.

2. На локальном устройстве сделайте снимок экрана или поделитесь с ним в вызове или собрании Teams. Содержимое должно быть заблокировано или скрыто.

3. Если вы включили запись экрана блокировки на клиентах и серверах на узлах сеансов, попробуйте записать экран с помощью средства или службы в узле сеанса. Содержимое должно быть заблокировано или скрыто.

Связанный контент

• Включите подложку, где администраторы могут использовать QR-код для трассировки сеанса.

• Сведения о том, как защитить развертывание Виртуального рабочего стола Azure, вы найдете в статье Лучшие методики обеспечения безопасности.