通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

启用 Azure 虚拟桌面中的屏幕捕获保护

  • 项目

屏幕捕获保护与水印相结合,使用特定的操作系统 (OS) 功能和 API 来帮助防止客户端设备上的敏感数据被捕获。 启用屏幕捕获保护时,将在屏幕截图和屏幕共享中自动屏蔽远程内容。

启用屏幕捕获保护后,用户无法使用本地协作软件(例如 Microsoft Teams)共享其远程窗口。 在 Teams 中,本地 Teams 应用或媒体优化的 Teams 无法共享受保护的内容。

提示

  • 若要提高敏感信息的安全性,还应禁用剪贴板、驱动器和打印机重定向。 禁用重定向有助于防止用户从远程会话复制内容。 若要了解支持的重定向值,请参阅设备重定向

  • 若要阻止使用其他屏幕捕获方法(例如使用物理相机拍摄屏幕照片),可以启用水印,其中管理员可以使用 QR 码来跟踪会话。

确定配置

屏幕捕获保护的配置步骤取决于配置它的位置、用户连接的平台以及要实现的方案。

  • Windows 和 macOS 设备:通过使用 Intune 设备配置策略或组策略配置会话主机来阻止屏幕捕获。 Windows App 或远程桌面客户端从会话主机强制实施屏幕捕获保护设置,无需进一步的配置。

    在会话主机上配置屏幕捕获保护时,可以配置两项进一步的设置来帮助满足你的要求:

    • 阻止客户端上的屏幕捕获:防止在远程会话中运行的应用程序的本地设备上进行屏幕捕获。

    • 阻止客户端和服务器上的屏幕捕获:防止在远程会话中运行的应用程序的本地设备上进行屏幕截图,但也阻止会话主机内的工具和服务捕获屏幕。

    在此方案中,下面是从每个平台类型连接时的结果:

    平台 允许连接 阻止屏幕捕获
    Windows
    macOS
    iOS/iPadOS 空值
    Android 空值
    Web 空值

  • iOS/iPadOS 和 Android 设备:通过使用作为移动应用程序管理 (MAM) 一部分的 Intune 应用保护策略配置本地设备来阻止屏幕捕获。 它不会阻止会话主机内的工具和服务捕获屏幕。

    在此方案中,下面是从每个平台类型连接时的结果:

    平台 允许连接 阻止屏幕捕获
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

重要

需要根据要求选择要用于屏幕捕获保护的本地设备。 不可能存在一种能够让你从相同的会话主机上同时在所有平台上启用屏幕捕获保护的应用场景。 如果同时配置了两者,则会话主机上的屏幕捕获保护优先于在本地设备上使用 Intune MAM 策略。

先决条件

  • 如果需要配置会话主机,这些会话主机必须运行 Windows 11 版本 22H2 或更高版本,或者运行 Windows 10 版本 22H2 或更高版本。

  • 用户必须使用 Windows App 或远程桌面应用连接到 Azure 虚拟桌面才能使用屏幕截图保护。 下表显示了支持的方案:

    • Windows App:

      平台 最低版本 桌面会话 RemoteApp 会话
      Windows 上的 Windows App 任意 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
      macOS 上的 Windows App 任意
      iOS/iPadOS 上的 Windows App 11.0.8
      Android 上的 Windows App(预览版)¹ 1.0.145

      1.不含对 Chrome OS 的支持,因为 Chrome OS 不支持 Intune MAM。

    • 远程桌面客户端:

      平台 最低版本 桌面会话 RemoteApp 会话
      Windows(桌面客户端) 1.2.1672 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
      Windows(Azure 虚拟桌面应用商店应用) 任意 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
      macOS 10.7.0 或更高版本

  • 要配置 Microsoft Intune,需要具有以下项:

  • 要配置组策略,需要:

    • 属于“域管理员”安全组成员的域帐户。

    • 一个包含要配置的设备的安全组或组织单位 (OU)。

使用 Intune 设备配置策略或组策略在会话主机上启用屏幕捕获保护

选择方案的相关选项卡。

若要使用 Microsoft Intune 在会话主机上配置屏幕捕获保护,请执行以下操作:

  1. 登录 Microsoft Intune 管理中心

  2. 使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件

  3. 在设置选取器中,浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。

    屏幕截图显示 Microsoft Intune 门户中的 Azure 虚拟桌面选项。

  4. 选中“启用屏幕截图保护”框,然后关闭设置选取器。

  5. 展开“管理模板”类别,然后将“启用屏幕截图保护”开关切换到“启用”。

    屏幕截图显示 Microsoft Intune 中的屏幕截图保护设置。

  6. 根据需求,将“屏幕截图保护选项(设备)”的开关切换为“关闭”(对应于“阻止在客户端进行屏幕截图”),或将其切换为“打开”(对应于“阻止在客户端和服务器上进行屏幕截图”),然后选择“确定”

  7. 选择下一步

  8. 可选:在“范围标记”选项卡上,选择用于筛选配置文件的范围标记。 若要详细了解范围标记,请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT

  9. 在“分配”选项卡上选择一个组(其中包含提供你要配置的远程会话的计算机),然后选择“下一步”。

  10. 在“查看 + 创建”选项卡上查看设置,然后选择“创建”。

  11. 策略应用于提供远程会话的计算机后,请重启它们,使设置生效。

使用 Intune MAM 在本地设备上启用屏幕捕获保护

若要在运行 Windows App 的 iOS/iPadOS 和 Android 设备上使用屏幕捕获保护,需要配置 Intune 应用保护策略。

若要配置 Intune 应用保护策略,以便在 iOS/iPadOS 和 Android 设备上启用屏幕捕获保护,请执行以下操作:

  1. 按照步骤使用 Microsoft Intune 为 Windows App 和远程桌面应用配置客户端设备重定向设置。 屏幕捕获保护的配置是应用保护策略的一部分。

  2. 配置应用保护策略时,请在“数据保护”选项卡上,根据平台配置以下设置:

    1. 对于 iOS/iPadOS,请将“将组织数据发送到其他应用”设置为“无”。

    2. 对于 Android,请将“屏幕捕获和 Google 助手”设置为“阻止”。

  3. 根据要求配置其他设置,并将应用保护策略定向到用户和设备。

验证屏幕截图保护

若要验证屏幕截图保护是否有效,请采取以下操作:

  1. 使用支持的客户端连接到远程会话。 不重新连接到现有会话。 需要注销任何现有会话并重新登录,才能使更改生效。

  2. 对于本地设备,在 Teams 通话或会议中创建屏幕截图或共享你的屏幕。 内容被屏蔽或隐藏。

  3. 在 Windows 和 macOS 设备上,如果已在会话主机上启用“阻止客户端和服务器上的屏幕捕获”,请尝试在会话主机中使用工具或服务捕获屏幕。 内容被屏蔽或隐藏。

如果在会话主机上启用屏幕捕获保护,则必须从受支持的设备进行连接。 如果未启用,则会看到一条错误消息,指示已启用屏幕捕获保护。 错误消息类似于以下屏幕截图:

  • Web 浏览器:

    Web 浏览器中 Windows App 的屏幕截图,其中显示了一条错误消息,显示屏幕截图已启用,需要从受支持的客户端进行连接。

  • iOS/iPadOS:

    iOS/iPadOS 版 Windows App 的屏幕截图,其中显示了一条错误消息,显示屏幕截图已启用,需要从受支持的客户端进行连接。

相关内容

  • 启用水印,管理员可以使用 QR 码来追踪会话。

  • 安全最佳做法中了解如何保护 Azure 虚拟桌面部署。