你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Azure 虚拟桌面中的屏幕捕获保护

屏幕捕获保护与水印相结合，通过一组特定的操作系统 (OS) 功能和 API 来帮助防止客户端终结点上的敏感信息被捕获。 启用屏幕捕获保护时，将在屏幕截图和屏幕共享中自动屏蔽远程内容。

屏幕捕获保护支持下面两种方案：

• 阻止客户端上的屏幕捕获：防止在远程会话中运行的应用程序的本地设备上进行屏幕捕获。

• 阻止客户端和服务器上的屏幕捕获：防止在远程会话中运行的应用程序的本地设备上进行屏幕截图，但也阻止会话主机内的工具和服务捕获屏幕。

启用屏幕捕获保护后，用户无法使用本地协作软件（例如 Microsoft Teams）共享其远程窗口。 在 Teams 中，本地 Teams 应用和媒体优化的 Teams 都无法共享受保护的内容。

提示

• 若要提高敏感信息的安全性，还应禁用剪贴板、驱动器和打印机重定向。 禁用重定向有助于防止用户从远程会话复制内容。 若要了解支持的重定向值，请参阅设备重定向。

• 若要阻止使用其他屏幕捕获方法（例如使用物理相机拍摄屏幕照片），可以启用水印，其中管理员可以使用 QR 码来跟踪会话。

确定配置

屏幕捕获保护的配置步骤取决于用户从中连接的平台：

• 对于运行 Windows App 或远程桌面客户端的 Windows 和 macOS 设备，可以使用 Intune 或组策略在会话主机上配置屏幕捕获保护。 Windows App 和远程桌面客户端从会话主机强制实施屏幕捕获保护设置，无需进行其他配置。

• 对于运行 Windows App 的 iOS/iPadOS 和 Android 设备，可以通过配置 Intune 应用保护策略（移动应用程序管理 [MAM] 的一部分）来阻止本地设备上的屏幕捕获。 如果还需要阻止会话主机内的屏幕捕获，则还需要使用 Intune 或组策略在会话主机上配置屏幕捕获保护。

下面是每个平台所需的配置步骤的摘要：

平台	阻止客户端上的屏幕捕获	阻止客户端和服务器上的屏幕捕获
Windows	使用 Intune 或组策略配置会话主机	使用 Intune 或组策略配置会话主机
macOS	使用 Intune 或组策略配置会话主机	使用 Intune 或组策略配置会话主机
iOS/iPadOS	使用 Intune MAM 配置本地设备	使用 Intune MAM 配置本地设备，使用 Intune 或组策略配置会话主机
Android	使用 Intune MAM 配置本地设备	使用 Intune MAM 配置本地设备，使用 Intune 或组策略配置会话主机

先决条件

• 如果需要配置会话主机，这些会话主机必须运行 Windows 11 版本 22H2 或更高版本，或者运行 Windows 10 版本 22H2 或更高版本。

• 用户必须使用 Windows App 或远程桌面应用连接到 Azure 虚拟桌面才能使用屏幕截图保护。 下表显示了支持的方案：

  • Windows App：

    平台	最低版本	桌面会话	RemoteApp 会话
    Windows 上的 Windows App	任意	是	是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
    macOS 上的 Windows App	任意	是	是
    iOS/iPadOS 上的 Windows App	11.0.8	是	是
    Android 上的 Windows App（预览版）¹	1.0.145	是	是

    1. 不包含对 Chrome OS 的支持。

  • 远程桌面客户端：

    平台	最低版本	桌面会话	RemoteApp 会话
    Windows（桌面客户端）	1.2.1672	是	是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
    Windows（Azure 虚拟桌面应用商店应用）	任意	是	是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
    macOS	10.7.0 或更高版本	是	是

  如果用户尝试使用不同的应用或版本（例如 Web 浏览器中的 Windows App）进行连接，系统会拒绝连接并显示包含代码 0x1151 的错误消息。

• 要配置 Microsoft Intune，需要具有以下项：

  • 分配有策略和配置文件管理员这一内置 RBAC 角色的 Microsoft Entra ID 帐户。

  • 一个包含要配置的设备的组。

• 要配置组策略，需要：

  • 属于“域管理员”安全组成员的域帐户。

  • 一个包含要配置的设备的安全组或组织单位 (OU)。

在会话主机上启用屏幕捕获保护

选择方案的相关选项卡。

Microsoft Intune

若要使用 Microsoft Intune 在会话主机上配置屏幕捕获保护，请执行以下操作：

1. 登录 Microsoft Intune 管理中心。

2. 使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件。

3. 在设置选取器中，浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。

   

4. 选中“启用屏幕截图保护”框，然后关闭设置选取器。

5. 展开“管理模板”类别，然后将“启用屏幕截图保护”开关切换到“启用”。

   

6. 根据需求，将“屏幕截图保护选项(设备)”的开关切换为“关闭”（对应于“阻止在客户端进行屏幕截图”），或将其切换为“打开”（对应于“阻止在客户端和服务器上进行屏幕截图”），然后选择“确定”。

7. 选择下一步。

8. 可选：在“范围标记”选项卡上，选择用于筛选配置文件的范围标记。 若要详细了解范围标记，请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT。

9. 在“分配”选项卡上选择一个组（其中包含提供你要配置的远程会话的计算机），然后选择“下一步”。

10. 在“查看 + 创建”选项卡上查看设置，然后选择“创建”。

11. 策略应用于提供远程会话的计算机后，请重启它们，使设置生效。

组策略

若要使用组策略在会话主机上配置屏幕捕获保护，请执行以下操作：

1. 按照步骤操作，使 Azure 虚拟桌面的管理模板可以在组策略中使用。

2. 在你用于管理 Active Directory 域的设备上打开“组策略管理”控制台。

3. 创建或编辑面向提供你要配置的远程会话的计算机的策略。

4. 导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。

   

5. 双击策略设置“启用屏幕剪辑保护”将其打开，然后选择“启用”。

   

6. 从下拉菜单中，根据需求从“阻止在客户端进行屏幕截图”或“阻止在客户端和服务器上进行屏幕截图”中选择要使用的屏幕截图保护方案，然后选择“确定”。

7. 确保将策略应用于提供远程会话的计算机，然后重启这些计算机，使设置生效。

在本地设备上启用屏幕捕获保护

若要在运行 Windows App 的 iOS/iPadOS 和 Android 设备上使用屏幕捕获保护，需要配置 Intune 应用保护策略。

提示

在 Windows 和 macOS 上，Windows App 和远程桌面客户端从会话主机强制实施屏幕捕获保护设置，无需进行其他配置。

若要配置 Intune 应用保护策略，以便在 iOS/iPadOS 和 Android 设备上启用屏幕捕获保护，请执行以下操作：

1. 按照步骤使用 Microsoft Intune 为 Windows App 和远程桌面应用配置客户端设备重定向设置。 屏幕捕获保护的配置是应用保护策略的一部分。

2. 配置应用保护策略时，请在“数据保护”选项卡上，根据平台配置以下设置：

   1. 对于 iOS/iPadOS，请将“将组织数据发送到其他应用”设置为“无”。

   2. 对于 Android，请将“屏幕捕获和 Google 助手”设置为“阻止”。

3. 根据要求配置其他设置，并将应用保护策略定向到用户和设备。

验证屏幕截图保护

若要验证屏幕截图保护是否有效，请采取以下操作：

1. 使用支持的客户端连接到远程会话。 不重新连接到现有会话。 需要注销任何现有会话并重新登录，才能使更改生效。

2. 对于本地设备，在 Teams 通话或会议中创建屏幕截图或共享你的屏幕。 内容应该会被屏蔽或隐藏。

3. 如果已在会话主机上启用“阻止客户端和服务器上的屏幕捕获”，请尝试在会话主机中使用工具或服务捕获屏幕。 内容应该会被屏蔽或隐藏。

相关内容

• 启用水印，管理员可以使用 QR 码来追踪会话。

• 在安全最佳做法中了解如何保护 Azure 虚拟桌面部署。