你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

启用 Azure 虚拟桌面中的屏幕捕获保护

屏幕捕获保护与水印相结合,通过一组特定的操作系统 (OS) 功能和 API 来帮助防止客户端终结点上的敏感信息被捕获。 启用屏幕捕获保护时,将在屏幕截图和屏幕共享中自动屏蔽远程内容。

屏幕捕获保护支持下面两种方案:

  • 阻止客户端上的屏幕捕获:防止在远程会话中运行的应用程序的本地设备上进行屏幕捕获。

  • 阻止客户端和服务器上的屏幕捕获:防止在远程会话中运行的应用程序的本地设备上进行屏幕截图,但也阻止会话主机内的工具和服务捕获屏幕。

启用屏幕捕获保护后,用户无法使用本地协作软件(例如 Microsoft Teams)共享其远程窗口。 在 Teams 中,本地 Teams 应用和媒体优化的 Teams 都无法共享受保护的内容。

提示

  • 若要提高敏感信息的安全性,还应禁用剪贴板、驱动器和打印机重定向。 禁用重定向有助于防止用户从远程会话复制内容。 若要了解支持的重定向值,请参阅设备重定向

  • 若要阻止使用其他屏幕捕获方法(例如使用物理相机拍摄屏幕照片),可以启用水印,其中管理员可以使用 QR 码来跟踪会话。

确定配置

屏幕捕获保护的配置步骤取决于用户从中连接的平台:

  • 对于运行 Windows App 或远程桌面客户端的 Windows 和 macOS 设备,可以使用 Intune 或组策略在会话主机上配置屏幕捕获保护。 Windows App 和远程桌面客户端从会话主机强制实施屏幕捕获保护设置,无需进行其他配置。

  • 对于运行 Windows App 的 iOS/iPadOS 和 Android 设备,可以通过配置 Intune 应用保护策略移动应用程序管理 [MAM] 的一部分)来阻止本地设备上的屏幕捕获。 如果还需要阻止会话主机内的屏幕捕获,则还需要使用 Intune 或组策略在会话主机上配置屏幕捕获保护。

下面是每个平台所需的配置步骤的摘要:

平台 阻止客户端上的屏幕捕获 阻止客户端和服务器上的屏幕捕获
Windows 使用 Intune 或组策略配置会话主机 使用 Intune 或组策略配置会话主机
macOS 使用 Intune 或组策略配置会话主机 使用 Intune 或组策略配置会话主机
iOS/iPadOS 使用 Intune MAM 配置本地设备 使用 Intune MAM 配置本地设备,使用 Intune 或组策略配置会话主机
Android 使用 Intune MAM 配置本地设备 使用 Intune MAM 配置本地设备,使用 Intune 或组策略配置会话主机

先决条件

  • 如果需要配置会话主机,这些会话主机必须运行 Windows 11 版本 22H2 或更高版本,或者运行 Windows 10 版本 22H2 或更高版本。

  • 用户必须使用 Windows App 或远程桌面应用连接到 Azure 虚拟桌面才能使用屏幕截图保护。 下表显示了支持的方案:

    • Windows App:

      平台 最低版本 桌面会话 RemoteApp 会话
      Windows 上的 Windows App 任意 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
      macOS 上的 Windows App 任意
      iOS/iPadOS 上的 Windows App 11.0.8
      Android 上的 Windows App(预览版)¹ 1.0.145
      1. 不包含对 Chrome OS 的支持。
    • 远程桌面客户端:

      平台 最低版本 桌面会话 RemoteApp 会话
      Windows(桌面客户端) 1.2.1672 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
      Windows(Azure 虚拟桌面应用商店应用) 任意 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。
      macOS 10.7.0 或更高版本

    如果用户尝试使用不同的应用或版本(例如 Web 浏览器中的 Windows App)进行连接,系统会拒绝连接并显示包含代码 0x1151 的错误消息。

  • 要配置 Microsoft Intune,需要具有以下项:

  • 要配置组策略,需要:

    • 属于“域管理员”安全组成员的域帐户。

    • 一个包含要配置的设备的安全组或组织单位 (OU)。

在会话主机上启用屏幕捕获保护

选择方案的相关选项卡。

若要使用 Microsoft Intune 在会话主机上配置屏幕捕获保护,请执行以下操作:

  1. 登录 Microsoft Intune 管理中心

  2. 使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件

  3. 在设置选取器中,浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。

    屏幕截图显示 Microsoft Intune 门户中的 Azure 虚拟桌面选项。

  4. 选中“启用屏幕截图保护”框,然后关闭设置选取器。

  5. 展开“管理模板”类别,然后将“启用屏幕截图保护”开关切换到“启用”。

    屏幕截图显示 Microsoft Intune 中的屏幕截图保护设置。

  6. 根据需求,将“屏幕截图保护选项(设备)”的开关切换为“关闭”(对应于“阻止在客户端进行屏幕截图”),或将其切换为“打开”(对应于“阻止在客户端和服务器上进行屏幕截图”),然后选择“确定”

  7. 选择下一步

  8. 可选:在“范围标记”选项卡上,选择用于筛选配置文件的范围标记。 若要详细了解范围标记,请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT

  9. 在“分配”选项卡上选择一个组(其中包含提供你要配置的远程会话的计算机),然后选择“下一步”。

  10. 在“查看 + 创建”选项卡上查看设置,然后选择“创建”。

  11. 策略应用于提供远程会话的计算机后,请重启它们,使设置生效。

在本地设备上启用屏幕捕获保护

若要在运行 Windows App 的 iOS/iPadOS 和 Android 设备上使用屏幕捕获保护,需要配置 Intune 应用保护策略。

提示

在 Windows 和 macOS 上,Windows App 和远程桌面客户端从会话主机强制实施屏幕捕获保护设置,无需进行其他配置。

若要配置 Intune 应用保护策略,以便在 iOS/iPadOS 和 Android 设备上启用屏幕捕获保护,请执行以下操作:

  1. 按照步骤使用 Microsoft Intune 为 Windows App 和远程桌面应用配置客户端设备重定向设置。 屏幕捕获保护的配置是应用保护策略的一部分。

  2. 配置应用保护策略时,请在“数据保护”选项卡上,根据平台配置以下设置:

    1. 对于 iOS/iPadOS,请将“将组织数据发送到其他应用”设置为“无”。

    2. 对于 Android,请将“屏幕捕获和 Google 助手”设置为“阻止”。

  3. 根据要求配置其他设置,并将应用保护策略定向到用户和设备。

验证屏幕截图保护

若要验证屏幕截图保护是否有效,请采取以下操作:

  1. 使用支持的客户端连接到远程会话。 不重新连接到现有会话。 需要注销任何现有会话并重新登录,才能使更改生效。

  2. 对于本地设备,在 Teams 通话或会议中创建屏幕截图或共享你的屏幕。 内容应该会被屏蔽或隐藏。

  3. 如果已在会话主机上启用“阻止客户端和服务器上的屏幕捕获”,请尝试在会话主机中使用工具或服务捕获屏幕。 内容应该会被屏蔽或隐藏。

  • 启用水印,管理员可以使用 QR 码来追踪会话。

  • 安全最佳做法中了解如何保护 Azure 虚拟桌面部署。