你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用 Azure 虚拟桌面中的屏幕捕获保护
屏幕捕获保护以及水印通过一组特定的操作系统 (OS) 功能和应用程序编程接口 (API) 来帮助防止客户端终结点上的敏感信息被捕获。 启用屏幕捕获保护时,将在屏幕截图和屏幕共享中自动屏蔽远程内容。 可以在会话主机上使用 Microsoft Intune 或组策略配置屏幕截图保护。
屏幕捕获保护有两种受支持的方案,具体取决于所使用的 Windows 版本:
在客户端上屏蔽屏幕捕获:会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 此选项可防止在远程会话中运行的应用程序的客户端进行屏幕截图。
在客户端和服务器上屏蔽屏幕捕获:会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 此选项可防止在远程会话中运行的应用程序的客户端进行屏幕截图,但也阻止会话主机内的工具和服务捕获屏幕。
启用屏幕捕获保护后,用户无法使用本地协作软件(如 Microsoft Teams)共享其远程桌面窗口。 在 Teams 中,本地 Teams 应用和媒体优化的 Teams 都无法共享受保护的内容。
提示
先决条件
你的会话主机必须运行以下 Windows 版本之一才能使用屏幕捕获保护:
- 在客户端上屏蔽屏幕捕获在支持的 Windows 10 或 Windows 11 版本中可用。
- 在客户端和服务器上屏蔽屏幕捕获在 Windows 11 版本 22H2 及之后的版本中可用。
用户必须使用 Windows 应用或远程桌面应用连接到 Azure 虚拟桌面才能使用屏幕截图保护。 下表显示了支持的方案。 如果用户尝试使用不同的应用程序或版本进行连接,则系统会拒绝连接并显示包含代码
0x1151的错误消息。应用 版本 桌面会话 RemoteApp 会话 Windows 上的 Windows 应用 任意 是 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。 Windows 上的远程桌面客户端 1.2.1672 或更高版本 是 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。 Azure 虚拟桌面应用商店应用 任意 是 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。 macOS 上的 Windows 应用 任意 是 是 macOS 上的远程桌面客户端 10.7.0 或更高版本 是 是 要配置 Microsoft Intune,需要具有以下项:
分配有策略和配置文件管理员这一内置 RBAC 角色的 Microsoft Entra ID 帐户。
一个包含要配置的设备的组。
要配置组策略,需要:
属于“域管理员”安全组成员的域帐户。
一个包含要配置的设备的安全组或组织单位 (OU)。
启用屏幕捕获保护
屏幕捕获保护在会话主机上配置,并由客户端执行。 选择方案的相关选项卡。
使用 Microsoft Intune 配置屏幕截图保护:
使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件。
在设置选取器中,浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。
选中“启用屏幕截图保护”框,然后关闭设置选取器。
展开“管理模板”类别,然后将“启用屏幕截图保护”开关切换到“启用”。
根据需求,将“屏幕截图保护选项(设备)”的开关切换为“关闭”(对应于“阻止在客户端进行屏幕截图”),或将其切换为“打开”(对应于“阻止在客户端和服务器上进行屏幕截图”),然后选择“确定”。
选择下一步。
可选:在“范围标记”选项卡上,选择用于筛选配置文件的范围标记。 若要详细了解范围标记,请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT。
在“分配”选项卡上选择一个组(其中包含提供你要配置的远程会话的计算机),然后选择“下一步”。
在“查看 + 创建”选项卡上查看设置,然后选择“创建”。
策略应用于提供远程会话的计算机后,请重启它们,使设置生效。
验证屏幕截图保护
若要验证屏幕截图保护是否有效,请采取以下操作:
使用支持的客户端连接到远程会话。
在 Teams 通话或会议中截取屏幕截图或共享你的屏幕。 内容应该会被屏蔽或隐藏。 若要使更改生效,任何现有会话都需要注销并重新登录。