你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用 Azure 虚拟桌面中的屏幕捕获保护
屏幕捕获保护与水印相结合,通过一组特定的操作系统 (OS) 功能和 API 来帮助防止客户端终结点上的敏感信息被捕获。 启用屏幕捕获保护时,将在屏幕截图和屏幕共享中自动屏蔽远程内容。
屏幕捕获保护支持下面两种方案:
阻止客户端上的屏幕捕获:防止在远程会话中运行的应用程序的本地设备上进行屏幕捕获。
阻止客户端和服务器上的屏幕捕获:防止在远程会话中运行的应用程序的本地设备上进行屏幕截图,但也阻止会话主机内的工具和服务捕获屏幕。
启用屏幕捕获保护后,用户无法使用本地协作软件(例如 Microsoft Teams)共享其远程窗口。 在 Teams 中,本地 Teams 应用和媒体优化的 Teams 都无法共享受保护的内容。
提示
确定配置
屏幕捕获保护的配置步骤取决于用户从中连接的平台:
对于运行 Windows App 或远程桌面客户端的 Windows 和 macOS 设备,可以使用 Intune 或组策略在会话主机上配置屏幕捕获保护。 Windows App 和远程桌面客户端从会话主机强制实施屏幕捕获保护设置,无需进行其他配置。
对于运行 Windows App 的 iOS/iPadOS 和 Android 设备,可以通过配置 Intune 应用保护策略(移动应用程序管理 [MAM] 的一部分)来阻止本地设备上的屏幕捕获。 如果还需要阻止会话主机内的屏幕捕获,则还需要使用 Intune 或组策略在会话主机上配置屏幕捕获保护。
下面是每个平台所需的配置步骤的摘要:
平台 | 阻止客户端上的屏幕捕获 | 阻止客户端和服务器上的屏幕捕获 |
---|---|---|
Windows | 使用 Intune 或组策略配置会话主机 | 使用 Intune 或组策略配置会话主机 |
macOS | 使用 Intune 或组策略配置会话主机 | 使用 Intune 或组策略配置会话主机 |
iOS/iPadOS | 使用 Intune MAM 配置本地设备 | 使用 Intune MAM 配置本地设备,使用 Intune 或组策略配置会话主机 |
Android | 使用 Intune MAM 配置本地设备 | 使用 Intune MAM 配置本地设备,使用 Intune 或组策略配置会话主机 |
先决条件
如果需要配置会话主机,这些会话主机必须运行 Windows 11 版本 22H2 或更高版本,或者运行 Windows 10 版本 22H2 或更高版本。
用户必须使用 Windows App 或远程桌面应用连接到 Azure 虚拟桌面才能使用屏幕截图保护。 下表显示了支持的方案:
Windows App:
平台 最低版本 桌面会话 RemoteApp 会话 Windows 上的 Windows App 任意 是 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。 macOS 上的 Windows App 任意 是 是 iOS/iPadOS 上的 Windows App 11.0.8 是 是 Android 上的 Windows App(预览版)¹ 1.0.145 是 是 - 不包含对 Chrome OS 的支持。
远程桌面客户端:
平台 最低版本 桌面会话 RemoteApp 会话 Windows(桌面客户端) 1.2.1672 是 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。 Windows(Azure 虚拟桌面应用商店应用) 任意 是 是的。 本地设备 OS 必须为 Windows 11 版本 22H2 或更高版本。 macOS 10.7.0 或更高版本 是 是
如果用户尝试使用不同的应用或版本(例如 Web 浏览器中的 Windows App)进行连接,系统会拒绝连接并显示包含代码
0x1151
的错误消息。要配置 Microsoft Intune,需要具有以下项:
分配有策略和配置文件管理员这一内置 RBAC 角色的 Microsoft Entra ID 帐户。
一个包含要配置的设备的组。
要配置组策略,需要:
属于“域管理员”安全组成员的域帐户。
一个包含要配置的设备的安全组或组织单位 (OU)。
在会话主机上启用屏幕捕获保护
选择方案的相关选项卡。
若要使用 Microsoft Intune 在会话主机上配置屏幕捕获保护,请执行以下操作:
使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件。
在设置选取器中,浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。
选中“启用屏幕截图保护”框,然后关闭设置选取器。
展开“管理模板”类别,然后将“启用屏幕截图保护”开关切换到“启用”。
根据需求,将“屏幕截图保护选项(设备)”的开关切换为“关闭”(对应于“阻止在客户端进行屏幕截图”),或将其切换为“打开”(对应于“阻止在客户端和服务器上进行屏幕截图”),然后选择“确定”。
选择下一步。
可选:在“范围标记”选项卡上,选择用于筛选配置文件的范围标记。 若要详细了解范围标记,请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT。
在“分配”选项卡上选择一个组(其中包含提供你要配置的远程会话的计算机),然后选择“下一步”。
在“查看 + 创建”选项卡上查看设置,然后选择“创建”。
策略应用于提供远程会话的计算机后,请重启它们,使设置生效。
在本地设备上启用屏幕捕获保护
若要在运行 Windows App 的 iOS/iPadOS 和 Android 设备上使用屏幕捕获保护,需要配置 Intune 应用保护策略。
提示
在 Windows 和 macOS 上,Windows App 和远程桌面客户端从会话主机强制实施屏幕捕获保护设置,无需进行其他配置。
若要配置 Intune 应用保护策略,以便在 iOS/iPadOS 和 Android 设备上启用屏幕捕获保护,请执行以下操作:
按照步骤使用 Microsoft Intune 为 Windows App 和远程桌面应用配置客户端设备重定向设置。 屏幕捕获保护的配置是应用保护策略的一部分。
配置应用保护策略时,请在“数据保护”选项卡上,根据平台配置以下设置:
对于 iOS/iPadOS,请将“将组织数据发送到其他应用”设置为“无”。
对于 Android,请将“屏幕捕获和 Google 助手”设置为“阻止”。
根据要求配置其他设置,并将应用保护策略定向到用户和设备。
验证屏幕截图保护
若要验证屏幕截图保护是否有效,请采取以下操作:
使用支持的客户端连接到远程会话。 不重新连接到现有会话。 需要注销任何现有会话并重新登录,才能使更改生效。
对于本地设备,在 Teams 通话或会议中创建屏幕截图或共享你的屏幕。 内容应该会被屏蔽或隐藏。
如果已在会话主机上启用“阻止客户端和服务器上的屏幕捕获”,请尝试在会话主机中使用工具或服务捕获屏幕。 内容应该会被屏蔽或隐藏。