Включение защиты захвата экрана в Виртуальном рабочем столе Azure

Защита от снятия снимков экрана, а также водяной знак, помогает предотвратить захват конфиденциальных данных на клиентских устройствах с помощью определённых функций операционной системы и API. При включении защиты от захвата экрана удаленный контент автоматически блокируется на снимках экрана и при совместном использовании экрана.

Если включена защита захвата экрана, пользователи не могут предоставлять общий доступ к удаленному окну с помощью локального программного обеспечения для совместной работы, например Microsoft Teams. В Teams невозможно делиться защищенным контентом с использованием локального приложения Teams или Teams с оптимизацией мультимедиа.

Совет

• Чтобы повысить безопасность конфиденциальной информации, необходимо также отключить буфер обмена, диск и перенаправление принтера. Отключение перенаправления помогает запретить пользователям копировать содержимое из удаленного сеанса. Сведения о поддерживаемых значениях перенаправления см. в разделе "Перенаправление устройств".

• Чтобы предотвратить другие методы захвата экрана, например фотографирование экрана с помощью физической камеры, можно включить водяной знак, где администраторы могут использовать QR-код для отслеживания сеанса.

Определение конфигурации

Действия по настройке защиты захвата экрана зависят от того, где вы её настраиваете, с каких платформ подключаются ваши пользователи и какую цель вы хотите достичь.

• Устройства Windows и macOS: можно запретить захват экрана путем настройки узлов сеансов, используя политику конфигурации устройств Intune или групповую политику. Приложение Windows или клиент удаленного рабочего стола применяет параметры защиты экрана от узла сеанса без дополнительной настройки.

  При настройке защиты захвата экрана на узлах сеансов можно настроить два дополнительных параметра, которые помогут удовлетворить ваши требования.

  • Блокировка захвата экрана на клиенте: запрещает захват экрана с локального устройства приложений, работающих в удаленном сеансе.

  • Блокировать захват экрана на клиенте и сервере: предотвращает захват экрана с локального устройства приложений, работающих в удаленном сеансе, а также предотвращает захват экрана средствами и службами в хосте сеанса.

  В этом сценарии ниже приведен результат при подключении из каждого типа платформы:

  Платформа	Разрешено подключение	Блокировка захвата экрана
  Windows	✅	✅
  macOS	✅	✅
  iOS/iPadOS	❌	Н/П
  Android	❌	Н/П
  Веб	❌	Н/П

• Устройства iOS/iPadOS и Android: запретить захват экрана путем настройки локальных устройств с помощью управления мобильными приложениями Microsoft Intune (MAM). Это не предотвращает захват экрана инструментами и службами внутри узла сеанса. Дополнительные сведения см. в разделе "Управление параметрами перенаправления локальных устройств" с помощью Microsoft Intune.

  В этом сценарии ниже приведен результат при подключении из каждого типа платформы:

  Платформа	Разрешено подключение	Блокировка захвата экрана
  Windows	✅	❌
  macOS	✅	❌
  iOS/iPadOS	✅	✅
  Android	✅	✅
  Веб	✅	❌

Внимание

Необходимо выбрать, какие локальные устройства следует использовать с защитой захвата экрана в соответствии с вашими требованиями. Нет сценария, в котором можно включить защиту захвата экрана на всех платформах с одних и тех же узлов сеанса одновременно. Если оба настроены, защита захвата экрана на узлах сеансов имеет приоритет над использованием политики MAM Intune на локальных устройствах.

Предварительные условия

• В сценариях, где необходимо настроить узлы сеансов, эти узлы сеансов должны работать под управлением Windows 11, версии 22H2 или более поздней версии или Windows 10 версии 22H2 или более поздней.

• Пользователи должны подключаться к виртуальному рабочему столу Azure с помощью приложения Windows или приложения удаленного рабочего стола, чтобы использовать защиту захвата экрана. В следующей таблице показаны поддерживаемые сценарии:

  • Приложение Для Windows:

    Платформа	Минимальная версия	Сеанс рабочего стола	Сеанс удалённого приложения (RemoteApp)
    Приложение Windows в Windows	Любое	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    Приложение Windows в macOS	Любое	Да	Да
    Приложение Windows в iOS/iPadOS	11.0.8	Да	Да
    Приложение Windows в Android (предварительная версия)¹	1.0.145	Да	Да

    ^{1. Поддержка Chrome OS не осуществляется, так как Intune MAM не поддерживается на этой платформе.}

  • Клиент удаленного рабочего стола:

    Платформа	Минимальная версия	Сеанс рабочего стола	Сеанс RemoteApp
    Windows (настольный клиент)	1.2.1672	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    Windows (приложение Магазина виртуальных рабочих столов Azure)	Любое	Да	Да. Локальная ОС устройства должна быть Windows 11 версии 22H2 или более поздней.
    macOS	10.7.0 или более поздней версии	Да	Да

• Чтобы настроить Microsoft Intune, вам потребуется:

  • Учетная запись Microsoft Entra ID с назначенной встроенной ролью менеджер политик и профилей RBAC.

  • Группа, содержащая устройства, которые требуется настроить.

• Чтобы настроить групповую политику, вам потребуется:

  • Учетная запись домена, являющаяся членом группы безопасности администраторов домена.

  • Группа безопасности или подразделение (OU), содержащая устройства, которые требуется настроить.

Включение защиты записи экрана на узлах сеансов с помощью политики конфигурации устройства Intune или групповой политики

Выберите соответствующую вкладку для вашего сценария.

Microsoft Intune

Чтобы настроить защиту захвата экрана на узлах сеансов с помощью Microsoft Intune:

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

3. В средстве выбора параметров перейдите к административным шаблонам>компоненты Windows>Службы удалённых рабочих столов>Узел сеансов удалённого рабочего стола>Виртуальный рабочий стол Azure.

   

4. Установите флажок "Включить защиту захвата экрана", а затем закройте средство выбора параметров.

5. Разверните категорию административных шаблонов, а затем переключите переключатель для включения защиты захвата экрана в значение "Включено".

   

6. Переключите переключатель для Параметров защиты захвата экрана (устройство) на выключено, чтобы блокировать захват экрана на клиенте, или на включено, чтобы блокировать захват экрана на клиенте и сервере в зависимости от ваших требований, а затем выберите ОК.

7. Выберите Далее.

8. Необязательно: На вкладке Теги области выберите тег области для фильтрации профиля. Дополнительные сведения о тегах области см. в разделе "Использование управления доступом на основе ролей" (RBAC) и тегов областей для распределенной ИТ-службы.

9. На вкладке "Назначения" выберите группу, содержащую компьютеры , предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку "Далее".

10. На вкладке "Просмотр и создание " просмотрите параметры, а затем нажмите кнопку "Создать".

11. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Групповая политика

Чтобы настроить защиту захвата экрана на узлах сеансов с помощью групповой политики в домене Active Directory:

1. Выполните действия, чтобы сделать административный шаблон виртуального рабочего стола Azure доступным в групповой политике.

2. Откройте консоль управления групповыми политиками на устройстве, используемом для управления доменом Active Directory.

3. Создайте или измените политику, предназначенную для компьютеров, предоставляющих удаленный сеанс, который требуется настроить.

4. Перейдите к Конфигурации компьютера>Политики>Административные шаблоны>Компоненты Windows>Службы удаленных рабочих столов>Узел сеансов удаленных рабочих столов>Виртуальный рабочий стол Azure.

   

5. Дважды щелкните параметр политики Включить защиту экрана, чтобы открыть его, затем выберите Включено.

   

6. В раскрывающемся меню выберите сценарий защиты экрана — блокировать захват экрана на клиенте или блокировать захват экрана на клиенте и сервере — в зависимости от ваших требований, а затем выберите ОК.

7. Убедитесь, что политика применяется к компьютерам, предоставляющим удаленный сеанс, а затем перезапустите их, чтобы параметры вступили в силу.

Включение защиты записи экрана на локальных устройствах с помощью Intune MAM

Чтобы использовать защиту захвата экрана на устройствах iOS/iPadOS и Android под управлением Приложения Windows, необходимо настроить политику защиты приложений Intune.

Чтобы настроить политику защиты приложений Intune для включения защиты от захвата экрана на устройствах iOS/iPadOS и Android:

1. Выполните действия, чтобы требовать соответствия безопасности локального клиентского устройства требованиям Microsoft Intune и Microsoft Entra для условного доступа. Это обеспечивает основу для настройки защиты захвата экрана на устройствах iOS/iPadOS и Android под управлением Приложения Windows.

2. При настройке политики защиты приложений на вкладке "Защита данных" настройте следующий параметр в зависимости от платформы:

   1. Для iOS/iPadOS установите Отправка данных организации в другие приложения в значение Нет.

   2. Для Android установите захват экрана и Google Ассистент на Блокировать.

3. Настройте другие параметры на основе ваших требований и нацельте политику защиты приложений пользователям и устройствам.

Проверка защиты захвата экрана

Чтобы проверить, работает ли защита захвата экрана:

1. Подключитесь к новому удаленному сеансу с поддерживаемым клиентом. Не подключайтесь к существующему сеансу. Необходимо выйти из всех существующих сеансов и снова войти в систему, чтобы изменения вступили в силу.

2. С локального устройства сделайте снимок экрана или демонстрируйте свой экран в видеозвонке или собрании Teams. Содержимое заблокировано или скрыто.

3. На устройствах Windows и macOS, если вы включили блокировку захвата экрана на клиенте и сервере на узлах сеансов, попробуйте захватить экран с помощью инструмента или службы, находясь на узле сеанса. Содержимое заблокировано или скрыто.

Если вы включите защиту захвата экрана на узлах сеансов, необходимо подключиться с поддерживаемого устройства. Если вы этого не сделали, появится сообщение об ошибке, указывающее, что защита с экрана включена. Сообщение об ошибке выглядит примерно так:

• Веб-браузер.

  

• iOS/iPadOS:

  

Связанный контент

• Включите водяной знак, чтобы администраторы могли использовать QR-код для трассировки сеанса.

• Сведения о том, как защитить развертывание Виртуального рабочего стола Azure, вы найдете в статье Лучшие методики обеспечения безопасности.