在 Azure 虛擬桌面中啟用螢幕擷取保護

螢幕擷取保護以及浮水印，有助於防止敏感性資訊在用戶端端點上透過一組特定作業系統 (OS) 功能和應用程式開發介面 (API) 遭到擷取。當您啟用螢幕擷取保護時，螢幕擷取畫面和螢幕畫面分享會自動封鎖遠端內容。您可以在工作階段主機上使用 Microsoft Intune 或群組原則來設定螢幕擷取保護。

螢幕擷取保護有兩個支援的案例，取決於您使用的 Windows 版本：

封鎖用戶端上的螢幕擷取：工作階段主機會指示支援的遠端桌面用戶端啟用遠端工作階段的螢幕擷取保護。此選項可防止從遠端工作階段中執行之應用程式的用戶端進行螢幕擷取。
封鎖用戶端和伺服器上的螢幕擷取：工作階段主機會指示支援的遠端桌面用戶端啟用遠端工作階段的螢幕擷取保護。此選項可防止從遠端工作階段中執行之應用程式的用戶端進行螢幕擷取，也可防止工作階段主機內的工具和服務擷取螢幕。

啟用螢幕擷取保護時，使用者無法使用本機共同作業軟體 (例如 Microsoft Teams) 共用其遠端桌面視窗。使用 Teams 時，本機 Teams 應用程式或使用媒體最佳化的 Teams 都無法共用受保護的內容。

提示

若要提高敏感性資訊的安全性，您也應該停用剪貼簿、磁碟機和印表機重新導向。停用重新導向可協助防止使用者從遠端工作階段中複製內容。若要了解支援的重新導向值，請參閱裝置重新導向。
若要勸阻其他螢幕擷取方法，例如使用實體相機拍攝螢幕相片，您可以啟用浮水印，讓系統管理員可以使用 QR 代碼來追蹤工作階段。

必要條件

您的工作階段主機必須執行下列其中一個 Windows 版本，才能使用螢幕擷取保護：
- 封鎖用戶端上的螢幕擷取可與 Windows 10 或 Windows 11 的支援版本搭配使用。
- 封鎖用戶端和伺服器上的螢幕擷取從 Windows 11 版本 22H2 開始可供使用。

使用者必須使用 Windows 應用程式或遠端桌面應用程式連線到 Azure 虛擬桌面，才能使用螢幕擷取保護。下表顯示支援的案例。如果使用者嘗試使用不同的應用程式或版本進行連線，連線會遭到拒絕並顯示錯誤訊息，具有代碼 0x1151。

App	版本	桌面工作階段	RemoteApp 工作階段
Windows 上的 Windows 應用程式	任意	Yes	是。用戶端裝置 OS 必須是 Windows 11 版本 22H2 或更新版本。
Windows 上的遠端桌面用戶端	1.2.1672 或更新版本	Yes	是。用戶端裝置 OS 必須是 Windows 11 版本 22H2 或更新版本。
Azure 虛擬桌面市集應用程式	任意	Yes	是。用戶端裝置 OS 必須是 Windows 11 版本 22H2 或更新版本。
macOS 上的 Windows 應用程式	任意	Yes	Yes
macOS 上的遠端桌面用戶端	10.7.0 或更新版本	Yes	Yes

若要設定 Microsoft Intune，您需要：
- 已獲指派原則和設定檔管理員內建 RBAC 角色的 Microsoft Entra ID 帳戶。
- 包含您要設定之裝置的群組。
若要設定群組原則，您需要：
- 網域帳戶，屬於網域管理員安全性群組的成員。
- 包含您想要設定之裝置的安全群組或組織單位 (OU)。

螢幕擷取保護是在工作階段主機上設定，並由用戶端強制執行。選取案例相關的索引標籤。

若要使用 Microsoft Intune 設定螢幕擷取保護：

登入 Microsoft Intune 系統管理中心。
使用 [設定目錄] 設定檔類型，為 Windows 10 和更新版本的裝置建立或編輯組態設定檔。
在設定選擇器中，瀏覽至 [系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[Azure 虛擬桌面]。
選取 [啟用螢幕擷取保護] 方塊，然後關閉設定選擇器。
展開 [系統管理範本] 類別，然後將 [啟用螢幕擷取保護] 切換為 [已啟用]。
切換 [螢幕擷取保護選項 (裝置)] 的開關，以根據您的需求針對 [封鎖用戶端上的螢幕擷取] 切換為 [關閉]，或針對 [封鎖用戶端和伺服器上的螢幕擷取] 切換為 [開啟]，然後選取 [確定]。
選取 [下一步]。
選用：在 [範圍標籤] 索引標籤上，選取範圍標籤以篩選設定檔。如需範圍標籤的詳細資訊，請參閱將角色型存取控制 (RBAC) 和範圍標籤用於分散式 IT。
在 [指派] 索引標籤上，確認哪些電腦提供您要設定的遠程工作階段並選取其所屬的群組，然後選取 [下一步]。
在 [檢閱 + 建立] 索引標籤上檢閱設定，然後選取 [建立]。
在原則套用至提供遠端工作階段的電腦後，請將電腦重新啟動，使設定生效。