Включение защиты захвата экрана в Виртуальном рабочем столе Azure

Защита отслеживания экрана, а также подложка, помогает предотвратить захват конфиденциальных данных на клиентских устройствах с использованием определенных функций операционной системы и API. При включении защиты захвата экрана удаленный контент автоматически блокируется на снимках экранах и совместном использовании экрана.

Если включена защита захвата экрана, пользователи не могут предоставлять общий доступ к удаленному окну с помощью локального программного обеспечения для совместной работы, например Microsoft Teams. В Teams локальное приложение Teams или использование Teams с оптимизацией мультимедиа не может совместно использовать защищенное содержимое.

Совет

• Чтобы повысить безопасность конфиденциальной информации, необходимо также отключить буфер обмена, диск и перенаправление принтера. Отключение перенаправления помогает запретить пользователям копировать содержимое из удаленного сеанса. Сведения о поддерживаемых значениях перенаправления см. в разделе "Перенаправление устройств".

• Чтобы предотвратить другие методы захвата экрана, например фотографию экрана с физической камерой, можно включить подложку, где администраторы могут использовать QR-код для трассировки сеанса.

Определение конфигурации

Действия по настройке защиты захвата экрана зависят от того, где она настроена, какие платформы подключаются ваши пользователи и какой сценарий вы хотите достичь.

• Устройства Windows и macOS: запретить захват экрана путем настройки узлов сеансов с помощью политики конфигурации устройств Intune или групповой политики. Приложение Windows или клиент удаленного рабочего стола применяет параметры защиты экрана от узла сеанса без дополнительной настройки.

  При настройке защиты захвата экрана на узлах сеансов можно настроить два дополнительных параметра, которые помогут удовлетворить ваши требования.

  • Блокировка захвата экрана на клиенте: запрещает захват экрана с локального устройства приложений, работающих в удаленном сеансе.

  • Блокировать захват экрана на клиенте и сервере: запрещает запись экрана с локального устройства приложений, работающих в удаленном сеансе, но также запрещает средства и службы в узле сеанса, захватывая экран.

  В этом сценарии ниже приведен результат при подключении из каждого типа платформы:

  Платформа	Разрешено подключение	Блокировка захвата экрана
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	Н/П
  Android	❌	Н/П
  Веб-представление	❌	Н/П

• Устройства iOS/iPadOS и Android: вы предотвращаете захват экрана путем настройки локальных устройств с помощью политики защиты приложений Intune, части управления мобильными приложениями (MAM). Это не предотвращает захват экрана инструментами и службами в узле сеанса.

  В этом сценарии ниже приведен результат при подключении из каждого типа платформы:

  Платформа	Разрешено подключение	Блокировка захвата экрана
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Веб-представление	✅	❌

Внимание

Необходимо выбрать, какие локальные устройства следует использовать с защитой захвата экрана в соответствии с вашими требованиями. Существует не сценарий, в котором можно включить защиту захвата экрана на всех платформах с одного узла сеанса одновременно. Если оба настроены, защита захвата экрана на узлах сеансов имеет приоритет над использованием политики MAM Intune на локальных устройствах.

Необходимые компоненты

• В сценариях, где необходимо настроить узлы сеансов, эти узлы сеансов должны работать под управлением Windows 11, версии 22H2 или более поздней версии или Windows 10 версии 22H2 или более поздней.

• Пользователи должны подключаться к виртуальному рабочему столу Azure с помощью приложения Windows или приложения удаленного рабочего стола, чтобы использовать защиту захвата экрана. В следующей таблице показаны поддерживаемые сценарии:

  • Приложение Для Windows:

    Платформа	Минимальная версия	Сеанс рабочего стола	Сеанс RemoteApp
    Приложение Windows в Windows	Любое	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    Приложение Windows в macOS	Любое	Да	Да
    Приложение Windows в iOS/iPadOS	11.0.8	Да	Да
    Приложение Windows в Android (предварительная версия)¹	1.0.145	Да	Да

    ^{1. Не поддерживает ос Chrome, так как Intune MAM не поддерживается в ос Chrome.}

  • Клиент удаленного рабочего стола:

    Платформа	Минимальная версия	Сеанс рабочего стола	Сеанс RemoteApp
    Windows (классический клиент)	1.2.1672	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    Windows (приложение Магазина виртуальных рабочих столов Azure)	Любое	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    macOS	10.7.0 или более поздней версии	Да	Да

• Чтобы настроить Microsoft Intune, вам потребуется:

  • Учетная запись идентификатора Microsoft Entra, назначенная встроенной роли диспетчера политик и профилей RBAC.

  • Группа, содержащая устройства, которые требуется настроить.

• Чтобы настроить групповую политику, вам потребуется:

  • Учетная запись домена, являющаяся членом группы безопасности администраторов домена.

  • Группа безопасности или подразделение (OU), содержащая устройства, которые требуется настроить.

Включение защиты записи экрана на узлах сеансов с помощью политики конфигурации устройства Intune или групповой политики

Выберите соответствующую вкладку для вашего сценария.

Microsoft Intune

Чтобы настроить защиту захвата экрана на узлах сеансов с помощью Microsoft Intune:

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

3. В средстве выбора параметров перейдите к административным шаблонам>компонентов Windows Components>Remote Desktop Services>Remote Desktop Host Virtual Desktop Host>Azure.

   

4. Установите флажок "Включить защиту захвата экрана", а затем закройте средство выбора параметров.

5. Разверните категорию административных шаблонов, а затем переключите переключатель для включения защиты захвата экрана в значение "Включено".

   

6. Переключите переключатель для параметров защиты от захвата экрана (устройство) для блокировки захвата экрана на клиенте илидля записи экрана блокировки на клиенте и сервере в зависимости от ваших требований, а затем нажмите кнопку "ОК".

7. Выберите Далее.

8. Необязательно. На вкладке тегов области выберите тег области для фильтрации профиля. Дополнительные сведения о тегах области см. в разделе "Использование управления доступом на основе ролей" (RBAC) и тегов областей для распределенной ИТ-службы.

9. На вкладке "Назначения" выберите группу, содержащую компьютеры , предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку "Далее".

10. На вкладке "Просмотр и создание " просмотрите параметры, а затем нажмите кнопку "Создать".

11. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Групповая политика

Чтобы настроить защиту захвата экрана на узлах сеансов с помощью групповой политики в домене Active Directory:

1. Выполните действия, чтобы сделать административный шаблон виртуального рабочего стола Azure доступным в групповой политике.

2. Откройте консоль управления групповыми политиками на устройстве, используемом для управления доменом Active Directory.

3. Создайте или измените политику, предназначенную для компьютеров, предоставляющих удаленный сеанс, который требуется настроить.

4. Перейдите к административным шаблонам политик>конфигурации>компьютеров>Windows Components>Remote Desktop Services>Remote Desktop Session Host>Azure Virtual Desktop Host.

   

5. Дважды щелкните параметр политики Включить защиту с экрана, чтобы открыть ее, а затем нажмите кнопку "Включено".

   

6. В раскрывающемся меню выберите сценарий защиты захвата экрана, который вы хотите использовать в режиме блокировки на клиентском или блокируемом снимке экрана на клиенте и сервере в зависимости от ваших требований, а затем нажмите кнопку "ОК".

7. Убедитесь, что политика применяется к компьютерам, предоставляющим удаленный сеанс, а затем перезапустите их, чтобы параметры вступили в силу.

Включение защиты записи экрана на локальных устройствах с помощью Intune MAM

Чтобы использовать защиту захвата экрана на устройствах iOS/iPadOS и Android под управлением Приложения Windows, необходимо настроить политику защиты приложений Intune.

Чтобы настроить политику защиты приложений Intune для включения защиты с экрана на устройствах iOS/iPadOS и Android:

1. Выполните действия по настройке параметров перенаправления клиентских устройств для приложения Windows и приложения удаленного рабочего стола с помощью Microsoft Intune. Настройка защиты захвата экрана является частью политики защиты приложений.

2. При настройке политики защиты приложений на вкладке "Защита данных" настройте следующий параметр в зависимости от платформы:

   1. Для iOS/iPadOS задайте для других приложенийзначение "Нет".

   2. Для Android задайте для записи экрана и Помощника Google блокировку.

3. Настройте другие параметры на основе ваших требований и нацельте политику защиты приложений пользователям и устройствам.

Проверка защиты захвата экрана

Чтобы проверить, работает ли защита захвата экрана:

1. Подключитесь к новому удаленному сеансу с поддерживаемым клиентом. Не подключайтесь к существующему сеансу. Необходимо выйти из существующих сеансов и снова войти в систему, чтобы изменения вступают в силу.

2. На локальном устройстве сделайте снимок экрана или поделитесь с ним в вызове или собрании Teams. Содержимое заблокировано или скрыто.

3. На устройствах Windows и macOS, если вы включили запись экрана блокировки на клиентах и сервере на узлах сеансов, попробуйте записать экран с помощью средства или службы в узле сеанса. Содержимое заблокировано или скрыто.

Если вы включите защиту захвата экрана на узлах сеансов, необходимо подключиться с поддерживаемого устройства. Если вы этого не сделали, появится сообщение об ошибке, указывающее, что защита с экрана включена. Сообщение об ошибке выглядит примерно так:

• Веб-браузер.

  

• iOS/iPadOS:

  

Связанный контент

• Включите подложку, где администраторы могут использовать QR-код для трассировки сеанса.

• Сведения о том, как защитить развертывание Виртуального рабочего стола Azure, вы найдете в статье Лучшие методики обеспечения безопасности.