Azure 虛擬桌面中的浮水印
浮水印以及螢幕擷取保護,有助於防止在用戶端端點上擷取敏感性資訊。 當您啟用浮水印時,QR 代碼浮水印會顯示為遠端桌面的一部分。 QR 代碼包含遠端工作階段的 [連線識別碼] 或 [裝置識別碼],管理員可使用識別碼來追蹤工作階段。 浮水印是在工作階段主機上使用 Microsoft Intune 或群組原則進行設定,並由 Windows 應用程式或遠端桌面用戶端強制執行。
下方螢幕擷取畫面顯示了啟用浮水印後的外觀:
重要
在工作階段主機上啟用浮水印後,只有支援浮水印的用戶端可以連線到該工作階段主機。 如果您嘗試從不支援浮水印的用戶端連線,連線將會失敗,且您會收到非特定的錯誤訊息。
浮水印僅適用於遠端桌面。 使用 RemoteApp 時,浮水印不會被套用,且允許連線。
如果您使用遠端桌面連線應用程式 (
mstsc.exe
) 直接連線到工作階段主機 (而非透過 Azure 虛擬桌面),浮水印則不會被套用,且允許連線。
必要條件
如需使用浮水印,必須滿足以下條件:
具有工作階段主機的現有主機集區。
至少在主機集區上指派了桌面虛擬化主機集區參與者內建角色型存取控制 (RBAC) 角色的 Microsoft Entra ID 帳戶。
支援浮水印的用戶端。 下列用戶端支援浮水印:
遠端桌面用戶端:
- Windows 10 及更新版本上的 Windows 桌面 1.2.3317 版或以上版本。
- Web 瀏覽器。
- macOS 10.9.5 版或更新版本。
- iOS/iPadOS 10.5.4 版或更新版本。
Windows 應用程式:
- Windows
- macOS
- iOS 和 iPadOS
- 網頁瀏覽器
為您的環境設定的 Azure 虛擬桌面深入解析。
如果您使用 Microsoft Intune 管理工作階段主機,您需要:
已獲指派原則和設定檔管理員內建 RBAC 角色的 Microsoft Entra ID 帳戶。
包含您要設定之裝置的群組。
如果您在 Active Directory 網域中使用群組原則管理工作階段主機,您需要:
網域帳戶,屬於網域管理員安全性群組的成員。
包含您想要設定之工作階段主機的安全群組或組織單位 (OU)。
啟用浮水印
選取案例相關的索引標籤。
若要使用 Microsoft Intune 啟用浮水印:
在設定選擇器中,瀏覽至 [系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[Azure 虛擬桌面]。
核取 [啟用浮水印] 的方塊,然後關閉設定選擇器。
重要
請勿選取 [已淘汰] 啟用浮水印,因為此設定不包含用以指定 QR 代碼內嵌內容的選項。
展開 [系統管理範本] 類別,然後將 [啟用浮水印] 切換為 [已啟用]。
您可以設定下列選項:
選項 值 描述 QR 代碼點陣圖比例因素 1 到 10
(預設 = 4)每個 QR 代碼點的像素大小。 這個值會決定 QR 代碼中每個點的平方數量。 QR 代碼點陣圖不透明度 100 到 9999 (預設值 = 2000) 浮水印的透明程度中,100 為完全透明的。 格線方塊寬度的百分比相對於 QR 代碼點陣圖寬度 100 到 1000
(預設 = 320)會以百分比決定 QR 代碼之間的距離。 結合高度時,值調整為 100 會讓 QR 代碼並排顯示,並且填滿整個畫面。 格線方塊高度的百分比相對於 QR 代碼點陣圖高度 100 到 1000
(預設 = 180)會以百分比決定 QR 代碼之間的距離。 結合寬度時,值調整為 100 會讓 QR 代碼並排顯示,並且填滿整個畫面。 QR 代碼內嵌內容 連線識別碼 (預設值)
裝置識別碼指定是否應該在 QR 代碼中使用 [連線識別碼] 或 [裝置識別碼]。 只選取個人主機集區中有工作階段主機並加入 Microsoft Entra ID 或 Microsoft Entra 混合式聯結的 [裝置識別碼]。 提示
建議您嘗試不同的不透明度值,以找出遠端工作階段的可讀性與能夠掃描 QR 代碼之間的平衡,但同時也保留其他參數的預設值。
選取 [下一步]。
選用:在 [範圍標籤] 索引標籤上,選取範圍標籤以篩選設定檔。 如需範圍標籤的詳細資訊,請參閱將角色型存取控制 (RBAC) 和範圍標籤用於分散式 IT。
在 [指派] 索引標籤上,確認哪些電腦提供您要設定的遠程工作階段並選取其所屬的群組,然後選取 [下一步]。
在 [檢閱 + 建立] 索引標籤上檢閱設定,然後選取 [建立]。
同步您的工作階段主機與 Intune,設定才會生效。
尋找工作階段資訊
啟用浮水印後,您可以使用 Azure 虛擬桌面深入解析或查詢 Azure 監視器的 Log Analytics,以從 QR 代碼中找到工作階段資訊。
Azure 虛擬桌面深入解析
若要使用 Azure 虛擬桌面深入解析,從 QR 代碼中找出工作階段資訊:
開啟網頁瀏覽器並前往 https://aka.ms/avdi 以開啟 Azure 虛擬桌面深入解析。 出現提示時,請輸入您的 Azure 認證。
選取相關訂閱、資源群組、主機集區和時間範圍,然後選取 [連線診斷] 索引標籤。
在(重新) 建立連線成功率區段中 (連線的百分比),會有顯示第一次嘗試、連線識別碼、使用者,以及嘗試的所有連線清單。 您可以從此清單中的 QR 代碼中尋找連線識別碼,或匯出至 Excel。
Azure 監視器 Log Analytics
若要透過查詢 Azure 監視器 Log Analytics,以從 QR 代碼中找出工作階段資訊:
登入 Azure 入口網站。
在搜尋列中,輸入 Log Analytics 工作區,然後選取相符的服務項目。
選取以開啟連線至 Azure 虛擬桌面環境的 Log Analytics 工作區。
在 [一般] 底下,選取 [記錄檔]。
啟動新的查詢,然後執行下列查詢以取得特定連線識別碼的工作階段資訊 (以 Log Analytics 中的 CorrelationId 表示),以 QR 代碼的完整或部分值取代
<connection ID>
:WVDConnections | where CorrelationId contains "<connection ID>"