Aktivera skydd mot skärmdumpar i Azure Virtual Desktop
Skärmavbildningsskydd, tillsammans med vattenstämpling, hjälper till att förhindra att känsliga data samlas in på klientenheter med hjälp av specifika operativsystemfunktioner och API:er. När du aktiverar skärmdumpsskydd blockeras fjärrinnehåll automatiskt i skärmbilder och skärmdelning.
När skydd mot skärmdump är aktiverat kan användarna inte dela sina fjärrfönster med hjälp av programvara för lokalt samarbete, till exempel Microsoft Teams. Med Teams kan den lokala Teams-appen eller användningen av Teams med medieoptimering inte dela skyddat innehåll.
Dricks
Om du vill öka säkerheten för känslig information bör du även inaktivera Omdirigering av Urklipp, enhet och skrivare. Om du inaktiverar omdirigering kan användarna inte kopiera innehåll från fjärrsessionen. Mer information om omdirigeringsvärden som stöds finns i Omdirigering av enheter.
Om du vill förhindra andra metoder för skärmdump, till exempel att ta ett foto av en skärm med en fysisk kamera, kan du aktivera vattenstämpling, där administratörer kan använda en QR-kod för att spåra sessionen.
Fastställ konfigurationen
Stegen för att konfigurera skydd för skärmdumpar beror på var du konfigurerar det, vilka plattformar användarna ansluter från och vilket scenario du vill uppnå.
Windows- och macOS-enheter: du förhindrar skärmdump genom att konfigurera sessionsvärdar med hjälp av en konfigurationsprincip för Intune-enheter eller grupprincip. Windows-appen eller fjärrskrivbordsklienten tillämpar inställningar för skärmdumpsskydd från en sessionsvärd utan ytterligare konfiguration.
När du konfigurerar skärmdumpsskydd på sessionsvärdar finns det ytterligare två inställningar som du kan konfigurera för att uppfylla dina krav:
Blockera skärmdump på klienten: förhindrar skärmdump från den lokala enheten för program som körs i fjärrsessionen.
Blockera skärmdump på klient och server: förhindrar skärmdump från den lokala enheten av program som körs i fjärrsessionen, men förhindrar också verktyg och tjänster i sessionsvärden som fångar skärmen.
I det här scenariot är det här resultatet när du ansluter från varje plattformstyp:
Plattform Anslutning tillåts Skärmdump blockerad Windows ✅ ✅ macOS ✅ ✅ iOS/iPadOS ❌ Ej tillämpligt Android ❌ Ej tillämpligt Webb ❌ Ej tillämpligt iOS/iPadOS- och Android-enheter: du förhindrar skärmdump genom att konfigurera lokala enheter med hjälp av en Intune-appskyddsprincip, en del av hantering av mobilprogram (MAM). Det förhindrar inte att verktyg och tjänster i sessionsvärden fångar upp skärmen.
I det här scenariot är det här resultatet när du ansluter från varje plattformstyp:
Plattform Anslutning tillåts Skärmdump blockerad Windows ✅ ❌ macOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Webb ✅ ❌
Viktigt!
Du måste välja vilka lokala enheter som ska användas med skärmdumpsskydd baserat på dina krav. Det finns inget scenario där du kan aktivera skydd mot skärmdumpar på alla plattformar från samma sessionsvärdar samtidigt. Om båda är konfigurerade har skärmdumpsskydd på sessionsvärdar företräde framför att använda en Intune MAM-princip på lokala enheter.
Förutsättningar
För scenarier där du behöver konfigurera sessionsvärdar måste sessionsvärdarna köra en Windows 11, version 22H2 eller senare, eller Windows 10, version 22H2 eller senare.
Användare måste ansluta till Azure Virtual Desktop med Windows-appen eller fjärrskrivbordsappen för att kunna använda skärmdumpsskydd. Följande tabell visar scenarier som stöds:
Windows-app:
Plattform Minimiversion Skrivbordssession RemoteApp-session Windows-app i Windows Alla Ja Ja. Det lokala enhetsoperativsystemet måste vara Windows 11, version 22H2 eller senare. Windows App på macOS Alla Ja Ja Windows App på iOS/iPadOS 11.0.8 Ja Ja Windows App på Android (förhandsversion)¹ 1.0.145 Ja Ja 1. Inkluderar inte stöd för Chrome OS eftersom Intune MAM inte stöds i Chrome OS.
Fjärrskrivbordsklient:
Plattform Minimiversion Skrivbordssession RemoteApp-session Windows (skrivbordsklient) 1.2.1672 Ja Ja. Det lokala enhetsoperativsystemet måste vara Windows 11, version 22H2 eller senare. Windows (Azure Virtual Desktop Store-app) Alla Ja Ja. Det lokala enhetsoperativsystemet måste vara Windows 11, version 22H2 eller senare. macOS 10.7.0 eller senare Ja Ja
För att konfigurera Microsoft Intune behöver du:
Microsoft Entra-ID-konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare .
En grupp som innehåller de enheter som du vill konfigurera.
För att konfigurera grupprincip behöver du:
Ett domänkonto som är medlem i säkerhetsgruppen Domänadministratörer .
En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.
Aktivera skydd mot skärmdumpar på sessionsvärdar med hjälp av en konfigurationsprincip för Intune-enheter eller grupprincip
Välj relevant flik för ditt scenario.
Så här konfigurerar du skydd mot skärmdumpar på sessionsvärdar med hjälp av Microsoft Intune:
Logga in på administrationscentret för Microsoft Intune.
Skapa eller redigera en konfigurationsprofil för Windows 10- och senare enheter med katalogprofiltypen Inställningar.
I inställningsväljaren bläddrar du till Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbordssession>Värd för>Azure Virtual Desktop.
Markera kryssrutan Aktivera skydd mot skärmdump och stäng sedan inställningsväljaren.
Expandera kategorin Administrativa mallar och växla sedan växeln för Aktivera skärmdumpsskydd till Aktiverad.
Växla växeln för Skärmfångstskyddsalternativ (enhet) till av för Blockera skärmdump på klienten eller på för Blockera skärmdump på klient och server baserat på dina krav och välj sedan OK.
Välj Nästa.
Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.
På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.
På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.
När principen gäller för datorerna som tillhandahåller en fjärrsession startar du om dem så att inställningarna börjar gälla.
Aktivera skydd mot skärmdumpar på lokala enheter med Intune MAM
Om du vill använda skärmdumpsskydd på iOS/iPadOS- och Android-enheter som kör Windows App måste du konfigurera en Intune-appskyddsprincip.
Så här konfigurerar du en Intune-appskyddsprincip för att aktivera skärmdumpsskydd på iOS/iPadOS- och Android-enheter:
Följ stegen för att konfigurera inställningar för omdirigering av klientenheter för Windows-appen och fjärrskrivbordsappen med Microsoft Intune. Konfiguration av skärmdumpsskydd är en del av en appskyddsprincip.
När du konfigurerar en appskyddsprincip konfigurerar du följande inställning på fliken Dataskydd , beroende på plattform:
För iOS/iPadOS anger du Skicka organisationsdata till andra appar till Ingen.
För Android anger du Skärmdump och Google Assistant till Blockera.
Konfigurera andra inställningar baserat på dina krav och rikta appskyddsprincipen till användare och enheter.
Verifiera skydd mot skärmdump
Så här kontrollerar du att skärmdumpsskyddet fungerar:
Anslut till en ny fjärrsession med en klient som stöds. Återanslut inte till en befintlig session. Du måste logga ut från befintliga sessioner och logga in igen för att ändringen ska börja gälla.
Ta en skärmbild eller dela skärmen i ett Teams-samtal eller möte från en lokal enhet. Innehållet är blockerat eller dolt.
Om du har aktiverat Blockera skärmdump på klient och server på sessionsvärdarna på Windows- och macOS-enheter kan du försöka fånga skärmen med hjälp av ett verktyg eller en tjänst i sessionsvärden. Innehållet är blockerat eller dolt.
Om du aktiverar skydd mot skärmdumpar på sessionsvärdar måste du ansluta från en enhet som stöds. Om du inte gör det visas ett felmeddelande som anger att skärmdumpsskydd är aktiverat. Felmeddelandet ser ut ungefär så här:
Webbläsare:
iOS/iPadOS:
Relaterat innehåll
Aktivera vattenstämpel, där administratörer kan använda en QR-kod för att spåra sessionen.
Lär dig hur du skyddar din Azure Virtual Desktop-distribution enligt bästa praxis för säkerhet.