Aktivera skydd mot skärmdumpar i Azure Virtual Desktop

Skärmavbildningsskydd, tillsammans med vattenstämpling, hjälper till att förhindra att känslig information samlas in på klientslutpunkter via en specifik uppsättning operativsystemfunktioner och API:er. När du aktiverar skärmdumpsskydd blockeras fjärrinnehåll automatiskt i skärmbilder och skärmdelning.

Det finns två scenarier som stöds för skydd mot skärmdumpar:

• Blockera skärmdump på klienten: förhindrar skärmdump från den lokala enheten för program som körs i fjärrsessionen.

• Blockera skärmdump på klient och server: förhindrar skärmdump från den lokala enheten av program som körs i fjärrsessionen, men förhindrar också verktyg och tjänster i sessionsvärden som fångar skärmen.

När skydd mot skärmdump är aktiverat kan användarna inte dela sina fjärrfönster med hjälp av programvara för lokalt samarbete, till exempel Microsoft Teams. Med Teams kan varken den lokala Teams-appen eller teams med medieoptimering dela skyddat innehåll.

Dricks

• Om du vill öka säkerheten för känslig information bör du även inaktivera Omdirigering av Urklipp, enhet och skrivare. Om du inaktiverar omdirigering kan användarna inte kopiera innehåll från fjärrsessionen. Mer information om omdirigeringsvärden som stöds finns i Omdirigering av enheter.

• Om du vill förhindra andra metoder för skärmdump, till exempel att ta ett foto av en skärm med en fysisk kamera, kan du aktivera vattenstämpling, där administratörer kan använda en QR-kod för att spåra sessionen.

Fastställ konfigurationen

Stegen för att konfigurera skydd mot skärmdumpar beror på vilka plattformar användarna ansluter från:

• För Windows- och macOS-enheter som kör Windows App- eller Fjärrskrivbordsklient konfigurerar du skärmdumpsskydd på sessionsvärdar med hjälp av Intune eller grupprincip. Windows-appen och fjärrskrivbordsklienten tillämpar inställningar för skärmdumpsskydd från en sessionsvärd utan ytterligare konfiguration.

• För iOS/iPadOS- och Android-enheter som kör Windows App blockerar du skärmdump på den lokala enheten genom att konfigurera en Intune-appskyddsprincip, en del av hantering av mobilprogram (MAM). Om du också vill blockera skärmdumpar inifrån sessionsvärden måste du också konfigurera skärmdumpsskydd på sessionsvärdar med hjälp av Intune eller grupprincip.

Här är en sammanfattning av de konfigurationssteg som krävs för varje plattform:

Plattform	Blockera skärmdump på klienten	Blockera skärmdump på klient och server
Windows	Konfigurera sessionsvärdar med Intune eller grupprincip	Konfigurera sessionsvärdar med Intune eller grupprincip
macOS	Konfigurera sessionsvärdar med Intune eller grupprincip	Konfigurera sessionsvärdar med Intune eller grupprincip
iOS/iPadOS	Konfigurera den lokala enheten med Intune MAM	Konfigurera den lokala enheten med Intune MAM och sessionsvärdar med Intune eller grupprincip
Android	Konfigurera den lokala enheten med Intune MAM	Konfigurera den lokala enheten med Intune MAM och sessionsvärdar med Intune eller grupprincip

Förutsättningar

• För scenarier där du behöver konfigurera sessionsvärdar måste sessionsvärdarna köra en Windows 11, version 22H2 eller senare, eller Windows 10, version 22H2 eller senare.

• Användare måste ansluta till Azure Virtual Desktop med Windows-appen eller fjärrskrivbordsappen för att kunna använda skärmdumpsskydd. Följande tabell visar scenarier som stöds:

  • Windows-app:

    Plattform	Minimiversion	Skrivbordssession	RemoteApp-session
    Windows-app i Windows	Alla	Ja	Ja. Det lokala enhetsoperativsystemet måste vara Windows 11, version 22H2 eller senare.
    Windows App på macOS	Alla	Ja	Ja
    Windows App på iOS/iPadOS	11.0.8	Ja	Ja
    Windows App på Android (förhandsversion)¹	1.0.145	Ja	Ja

    1. Innehåller inte stöd för Chrome OS.

  • Fjärrskrivbordsklient:

    Plattform	Minimiversion	Skrivbordssession	RemoteApp-session
    Windows (skrivbordsklient)	1.2.1672	Ja	Ja. Det lokala enhetsoperativsystemet måste vara Windows 11, version 22H2 eller senare.
    Windows (Azure Virtual Desktop Store-app)	Alla	Ja	Ja. Det lokala enhetsoperativsystemet måste vara Windows 11, version 22H2 eller senare.
    macOS	10.7.0 eller senare	Ja	Ja

  Om en användare försöker ansluta med en annan app eller version, till exempel Windows App i en webbläsare, nekas anslutningen och ett felmeddelande visas med koden 0x1151.

• För att konfigurera Microsoft Intune behöver du:

  • Microsoft Entra-ID-konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare .

  • En grupp som innehåller de enheter som du vill konfigurera.

• För att konfigurera grupprincip behöver du:

  • Ett domänkonto som är medlem i säkerhetsgruppen Domänadministratörer .

  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.

Aktivera skydd mot skärmdumpar på sessionsvärdar

Välj relevant flik för ditt scenario.

Microsoft Intune

Så här konfigurerar du skydd mot skärmdumpar på sessionsvärdar med hjälp av Microsoft Intune:

1. Logga in på administrationscentret för Microsoft Intune.

2. Skapa eller redigera en konfigurationsprofil för Windows 10- och senare enheter med katalogprofiltypen Inställningar.

3. I inställningsväljaren bläddrar du till Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbordssession>Värd för>Azure Virtual Desktop.

   

4. Markera kryssrutan Aktivera skydd mot skärmdump och stäng sedan inställningsväljaren.

5. Expandera kategorin Administrativa mallar och växla sedan växeln för Aktivera skärmdumpsskydd till Aktiverad.

   

6. Växla växeln för Skärmfångstskyddsalternativ (enhet) till av för Blockera skärmdump på klienten eller på för Blockera skärmdump på klient och server baserat på dina krav och välj sedan OK.

7. Välj Nästa.

8. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

9. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

10. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

11. När principen gäller för datorerna som tillhandahåller en fjärrsession startar du om dem så att inställningarna börjar gälla.

Grupprincip

Så här konfigurerar du skydd mot skärmdumpar på sessionsvärdar med hjälp av grupprincip:

1. Följ stegen för att göra den administrativa mallen för Azure Virtual Desktop tillgänglig i grupprincip.

2. Öppna grupprincip-hanteringskonsolen på en enhet som du använder för att hantera Active Directory-domänen.

3. Skapa eller redigera en princip som riktar sig till de datorer som tillhandahåller en fjärrsession som du vill konfigurera.

4. Gå till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>>Fjärrskrivbordssession Värd för>Azure Virtual Desktop.

   

5. Dubbelklicka på principinställningen Aktivera skärmdumpsskydd för att öppna det och välj sedan Aktiverad.

   

6. I den nedrullningsbara menyn väljer du det scenario för skärmdumpsskydd som du vill använda från Blockera skärmdump på klienten eller Blockera skärmdump på klient och server baserat på dina krav och välj sedan OK.

7. Se till att principen tillämpas på datorerna som tillhandahåller en fjärrsession och starta sedan om dem så att inställningarna börjar gälla.

Aktivera skärmdumpsskydd på lokala enheter

Om du vill använda skärmdumpsskydd på iOS/iPadOS- och Android-enheter som kör Windows App måste du konfigurera en Intune-appskyddsprincip.

Dricks

I Windows och macOS tillämpar Windows-appen och fjärrskrivbordsklienten inställningar för skärmdumpsskydd från en sessionsvärd utan ytterligare konfiguration.

Så här konfigurerar du en Intune-appskyddsprincip för att aktivera skärmdumpsskydd på iOS/iPadOS- och Android-enheter:

1. Följ stegen för att konfigurera inställningar för omdirigering av klientenheter för Windows-appen och fjärrskrivbordsappen med Microsoft Intune. Konfiguration av skärmdumpsskydd är en del av en appskyddsprincip.

2. När du konfigurerar en appskyddsprincip konfigurerar du följande inställning på fliken Dataskydd , beroende på plattform:

   1. För iOS/iPadOS anger du Skicka organisationsdata till andra appar till Ingen.

   2. För Android anger du Skärmdump och Google Assistant till Blockera.

3. Konfigurera andra inställningar baserat på dina krav och rikta appskyddsprincipen till användare och enheter.

Verifiera skydd mot skärmdump

Så här kontrollerar du att skärmdumpsskyddet fungerar:

1. Anslut till en ny fjärrsession med en klient som stöds. Återanslut inte till en befintlig session. Du måste logga ut från befintliga sessioner och logga in igen för att ändringen ska börja gälla.

2. Ta en skärmbild eller dela skärmen i ett Teams-samtal eller möte från en lokal enhet. Innehållet ska blockeras eller döljas.

3. Om du har aktiverat Blockera skärmdump på klient och server på sessionsvärdarna kan du försöka fånga skärmen med hjälp av ett verktyg eller en tjänst i sessionsvärden. Innehållet ska blockeras eller döljas.

Relaterat innehåll

• Aktivera vattenstämpel, där administratörer kan använda en QR-kod för att spåra sessionen.

• Lär dig hur du skyddar din Azure Virtual Desktop-distribution enligt bästa praxis för säkerhet.