Azure 虚拟桌面中的水印

水印以及屏幕捕获保护有助于防止在客户端终结点上捕获敏感信息。 启用水印后，QR 码水印会显示为远程桌面的一部分。 QR 码包含远程会话的连接 ID 或设备 ID，管理员可以使用它来跟踪会话。 水印是在使用 Microsoft Intune 或组策略的会话主机上配置的，并由 Windows 应用或远程桌面客户端强制执行。

下面的屏幕截图显示了启用水印后的外观：

重要

• 在会话主机上启用水印后，只有支持水印的客户端才能连接到该会话主机。 如果尝试从不受支持的客户端进行连接，则连接将失败，并且你会收到一条不明确的错误消息。

• 水印仅适用于远程桌面。 如果使用 RemoteApp，则不会应用水印，并且允许连接。

• 如果使用远程桌面连接应用 (mstsc.exe) 直接连接到会话主机（不通过 Azure 虚拟桌面），则不会应用水印，允许连接。

先决条件

在使用水印之前，需要具备以下条件：

• 具有会话主机的主机池。

• 一个 Microsoft Entra ID 帐户，至少分配有主机池上内置的桌面虚拟化主机池参与者这一基于角色的访问控制 (RBAC) 角色。

• 支持水印的客户端。 以下客户端支持水印：

  • 远程桌面客户端用于：

    • Windows 10 及更高版本上的 Windows 桌面版本 1.2.3317 或更高版本。
    • Web 浏览器。
    • macOS 版本 10.9.5 或更高版本。
    • iOS/iPadOS 版本 10.5.4 或更高版本。

  • Windows 应用用于：

    • Windows
    • macOS
    • iOS 和 iPadOS
    • Web 浏览器

• 为你的环境配置的 Azure 虚拟桌面见解。

• 如果使用 Microsoft Intune 管理会话主机，你需要：

  • 分配有策略和配置文件管理员这一内置 RBAC 角色的 Microsoft Entra ID 帐户。

  • 一个包含要配置的设备的组。

• 如果在 Active Directory 域中使用组策略管理会话主机，则需要：

  • 属于“域管理员”安全组成员的域帐户。

  • 包含要配置的会话主机的安全组或组织单位 (OU)。

启用水印

选择方案的相关选项卡。

Microsoft Intune

若要使用 Microsoft Intune 启用水印，请执行以下操作：

1. 登录 Microsoft Intune 管理中心。

2. 使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件。

3. 在设置选取器中，浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。

   

4. 选中“启用水印”框，然后关闭设置选取器。

   重要

   不要选择“[已弃用] 启用水印”，因为此设置不包括指定 QR 码嵌入内容的选项。

5. 展开“管理模板”类别，然后将“启用水印”开关切换到“已启用”。

   

6. 您可以配置下列选项：

   选项	值	说明
   QR 码位图比例因子	1 到 10 （默认值 = 4）	每个 QR 码点的尺寸（以像素为单位）。 该值决定 QR 码中每个点的方块数。
   QR 码位图不透明度	100 到 9999（默认值 = 2000）	水印的透明程度，其中 100 为完全透明。
   与 QR 码位图宽度相关的网格框宽度百分比	100 到 1000 （默认值 = 320）	决定 QR 码之间的距离（以百分比为单位）。 当与高度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   与 QR 码位图宽度相关的网格框高度百分比	100 到 1000 （默认值 = 180）	决定 QR 码之间的距离（以百分比为单位）。 当与宽度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   QR 码嵌入内容	连接 ID（默认值） 设备 ID	指定应在 QR 码中使用连接 ID 还是设备 ID。 仅选择具有属于个人主机池并已联接到 Microsoft Entra ID 或已建立 Microsoft Entra 混合联接的会话主机的设备 ID。

   提示

   建议尝试不同的不透明度值，以便在远程会话可读性和扫描 QR 码的能力之间找到平衡，但保留其他参数的默认值。

7. 选择下一步。

8. 可选：在“范围标记”选项卡上，选择用于筛选配置文件的范围标记。 若要详细了解范围标记，请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT。

9. 在“分配”选项卡上选择一个组（其中包含提供你要配置的远程会话的计算机），然后选择“下一步”。

10. 在“查看 + 创建”选项卡上查看设置，然后选择“创建”。

11. 与 Intune 同步会话主机，使设置生效。

组策略

若要使用组策略启用水印，请执行以下操作：

1. 按照步骤操作，使 Azure 虚拟桌面的管理模板可以在组策略中使用。

2. 在用于管理 Active Directory 域的设备上打开“组策略管理”控制台，然后创建或编辑面向提供要配置的远程会话的计算机的策略。

3. 导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。

4. 打开名为“启用水印”的策略设置并将其设置为“已启用”。

   

5. 您可以配置下列选项：

   选项	值	说明
   QR 码位图比例因子	1 到 10 （默认值 = 4）	每个 QR 码点的尺寸（以像素为单位）。 该值决定 QR 码中每个点的方块数。
   QR 码位图不透明度	100 到 9999（默认值 = 2000）	水印的透明程度，其中 100 表示完全透明，9999 表示完全不透明。
   与 QR 码位图宽度相关的网格框宽度百分比	100 到 1000 （默认值 = 320）	决定 QR 码之间的距离（以百分比为单位）。 当与高度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   与 QR 码位图宽度相关的网格框高度百分比	100 到 1000 （默认值 = 180）	决定 QR 码之间的距离（以百分比为单位）。 当与宽度结合使用时，值为 100 将使 QR 码并排显示并填满整个屏幕。
   QR 码嵌入内容	连接 ID（默认值） 设备 ID	指定应在 QR 码中使用连接 ID 还是设备 ID。 仅选择具有属于个人主机池并已联接到 Microsoft Entra ID 或已建立 Microsoft Entra 混合联接的会话主机的设备 ID。

   提示

   建议尝试不同的不透明度值，以便在远程会话可读性和扫描 QR 码的能力之间找到平衡，但保留其他参数的默认值。

6. 请确保将策略应用于会话主机，然后刷新会话主机上的组策略或重启它们，使设置生效。

7. 使用受支持的客户端连接到远程会话，其中应会显示 QR 码。 任何现有会话都需要注销再重新登录才能使更改生效。

查找会话信息

启用水印后，可以通过使用 Azure 虚拟桌面见解或查询 Azure Monitor Log Analytics，从 QR 码查找会话信息。

Azure Virtual Desktop Insights

使用 Azure 虚拟桌面见解从 QR 码中查找会话信息：

1. 打开 Web 浏览器并转到 https://aka.ms/avdi 打开 Azure 虚拟桌面见解。 在系统提示时使用 Azure 凭据登录。

2. 选择相关的订阅、资源组、主机池和时间范围，然后选择“连接诊断”选项卡。

3. 在“(重新)建立连接的成功率(连接的百分比)”部分中，有一个所有连接的列表，其中显示了“首次尝试”、“连接 ID”、“用户”和“尝试次数”。 可以从此列表中的 QR 码查找连接 ID，也可以导出到 Excel。

Azure Monitor Log Analytics

通过查询 Azure Monitor Log Analytics 从 QR 码中找出会话信息：

1. 登录 Azure 门户。

2. 在搜索栏中，键入 Log Analytics 工作区并选择匹配的服务条目。

3. 选择并打开连接到 Azure 虚拟桌面环境的 Log Analytics 工作区。

4. 在“常规”下，选择“日志”。

5. 启动新查询，然后运行以下查询获取特定连接 ID（在 Log Analytics 中表示为 CorrelationId）的会话信息，将 <connection ID> 替换为 QR 码中的完整或部分值：

   WVDConnections
   | where CorrelationId contains "<connection ID>"
   

相关内容

• 启用 Azure 虚拟桌面中的屏幕捕获保护。