Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La protection de capture d’écran, associée au filigrane, permet d’empêcher la capture de données sensibles sur les appareils clients à l’aide de fonctionnalités et d’API de système d’exploitation spécifiques. Lorsque vous activez la protection de capture d’écran, le contenu distant est automatiquement bloqué dans les captures d’écran et le partage d’écran.
Lorsque la protection de capture d’écran est activée, les utilisateurs ne peuvent pas partager leur fenêtre distante à l’aide d’un logiciel de collaboration local, tel que Microsoft Teams. Avec Teams, l’application Teams locale ou l’utilisation de Teams avec l’optimisation multimédia ne peut pas partager du contenu protégé.
Conseil
Pour renforcer la sécurité de vos informations sensibles, vous devez également désactiver la redirection du Presse-papiers, du lecteur et de l’imprimante. La désactivation de la redirection permet d’empêcher les utilisateurs de copier du contenu à partir de la session à distance. Pour en savoir plus sur les valeurs de redirection prises en charge, consultez Redirection d’appareils.
Pour décourager d’autres méthodes de capture d’écran, comme prendre une photo d’un écran avec une caméra physique, vous pouvez activer le filigrane, où les administrateurs peuvent utiliser un code QR pour suivre la session.
Déterminer votre configuration
Les étapes de configuration de la protection de capture d’écran dépendent de l’emplacement où vous la configurez, des plateformes à partir de laquelle vos utilisateurs se connectent et du scénario que vous souhaitez atteindre.
Appareils Windows et macOS : vous empêchez la capture d’écran en configurant des hôtes de session à l’aide d’une stratégie de configuration d’appareil Intune ou d’une stratégie de groupe. Windows App ou le client Bureau à distance applique les paramètres de protection de capture d’écran à partir d’un hôte de session sans autre configuration.
Lorsque vous configurez la protection de capture d’écran sur les hôtes de session, vous pouvez configurer deux autres paramètres pour répondre à vos besoins :
Bloquer la capture d’écran sur le client : empêche la capture d’écran à partir de l’appareil local des applications s’exécutant dans la session à distance.
Bloquer la capture d’écran sur le client et le serveur : empêche la capture d’écran à partir de l’appareil local des applications s’exécutant dans la session à distance, mais empêche également les outils et services au sein de l’hôte de session de capturer l’écran.
Dans ce scénario, voici le résultat de la connexion à partir de chaque type de plateforme :
Plateforme Connexion autorisée Capture d’écran bloquée Windows ✅ ✅ MacOS ✅ ✅ iOS/iPadOS ❌ S/O Android ❌ S/O Web ❌ S/O Appareils iOS/iPadOS et Android : vous empêchez la capture d’écran en configurant des appareils locaux à l’aide de Microsoft Intune gestion des applications mobiles (GAM). Cela n’empêche pas les outils et services de l’hôte de session de capturer l’écran. Pour plus d’informations, consultez Gérer les paramètres de redirection d’appareils locaux avec Microsoft Intune.
Dans ce scénario, voici le résultat de la connexion à partir de chaque type de plateforme :
Plateforme Connexion autorisée Capture d’écran bloquée Windows ✅ ❌ MacOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Web ✅ ❌
Importante
Vous devez choisir les appareils locaux à utiliser avec la protection de capture d’écran en fonction de vos besoins. Il n’existe pas de scénario où vous pouvez activer la protection de capture d’écran sur toutes les plateformes à partir des mêmes hôtes de session en même temps. Si les deux sont configurés, la protection contre la capture d’écran sur les hôtes de session est prioritaire sur l’utilisation d’une stratégie gam Intune sur les appareils locaux.
Considérations relatives à la plateforme pour la protection de capture d’écran sur macOS
Bien que entièrement pris en charge sur Windows, il existe des limitations connues sur macOS en raison de l’architecture de sécurité actuelle de la plateforme :
Compatibilité de Microsoft Teams : sur macOS, l’activation de la protection de capture d’écran peut interférer avec le partage d’écran dans Microsoft Teams, ce qui peut faire apparaître les fenêtres partagées vides ou ne pas s’afficher correctement. Si la collaboration basée sur Teams est requise, la protection de capture d’écran doit peut-être être temporairement désactivée sur l’appareil.
Application au niveau de la plateforme : en raison des restrictions macOS, certaines applications natives peuvent ne pas respecter entièrement l’application de la protection contre la capture d’écran. Il s’agit d’une limitation des API disponibles du système d’exploitation, et non d’un défaut dans la protection de capture d’écran elle-même.
Voici quelques recommandations pour ces limitations :
Pour les workflows macOS à forte collaboration, envisagez de configurer les paramètres de protection de capture d’écran en fonction des besoins de l’entreprise et du niveau de risque.
Pour le contenu hautement sensible, les points de terminaison Windows sont recommandés pour l’application complète des fonctionnalités de protection de l’écran.
Les stratégies de filigrane et d’administration peuvent être utilisées pour décourager davantage l’utilisation abusive sur les plateformes dont l’application est limitée.
Configuration requise
Avant de pouvoir configurer la protection de capture d’écran, vérifiez que vous remplissez les conditions préalables suivantes :
Pour les scénarios où vous devez configurer des hôtes de session, ces hôtes de session doivent exécuter un Windows 11, version 22H2 ou ultérieure, ou Windows 10, version 22H2 ou ultérieure.
Les utilisateurs doivent se connecter à Azure Virtual Desktop avec Windows App ou l’application Bureau à distance pour utiliser la protection de capture d’écran. Le tableau suivant présente les scénarios pris en charge :
Windows App :
Plateforme Version minimale Session de bureau Session RemoteApp Windows App sur Windows N’importe lequel Oui Oui. Le système d’exploitation de l’appareil local doit être Windows 11, version 22H2 ou ultérieure. Windows App sur macOS N’importe lequel Oui Oui Windows App sur iOS/iPadOS 11.0.8 Oui Oui Windows App sur Android (préversion)¹ 1.0.145 Oui Oui 1. N’inclut pas la prise en charge de Chrome OS, car Intune GAM n’est pas pris en charge sur Chrome OS.
Client Bureau à distance :
Plateforme Version minimale Session de bureau Session RemoteApp Windows (client de bureau) 1.2.1672 Oui Oui. Le système d’exploitation de l’appareil local doit être Windows 11, version 22H2 ou ultérieure. Windows (application du Store Azure Virtual Desktop) N’importe lequel Oui Oui. Le système d’exploitation de l’appareil local doit être Windows 11, version 22H2 ou ultérieure. macOS 10.7.0 ou version ultérieure Oui Oui
Pour configurer Microsoft Intune, vous avez besoin des éléments suivants :
Microsoft Entra ID compte auquel le rôle RBAC intégré Gestionnaire de stratégies et de profils est attribué.
Groupe contenant les appareils que vous souhaitez configurer.
Pour configurer stratégie de groupe, vous avez besoin des éléments suivants :
Un compte de domaine membre du groupe de sécurité Administrateurs du domaine .
Un groupe de sécurité ou une unité d’organisation (UO) contenant les appareils que vous souhaitez configurer.
Activer la protection de capture d’écran sur les hôtes de session à l’aide d’une stratégie de configuration d’appareil Intune ou d’une stratégie de groupe
Sélectionnez l’onglet approprié pour votre scénario.
Pour configurer la protection de capture d’écran sur les hôtes de session à l’aide de Microsoft Intune :
Connectez-vous au Centre d’administration Microsoft Intune.
Créez ou modifiez un profil de configuration pour les appareils Windows 10 et versions ultérieures, avec le type de profil catalogue Paramètres.
Dans le sélecteur de paramètres, accédez à Modèles >d’administrationComposants> WindowsServices> Bureau àdistance Hôte> de session Bureau à distanceAzure Virtual Desktop.
Cochez la case Activer la protection de capture d’écran, puis fermez le sélecteur de paramètres.
Développez la catégorie Modèles d’administration , puis basculez le commutateur Activer la protection de capture d’écran sur Activé.
Basculez le commutateur Options de protection de capture d’écran (Appareil) sur désactivé pour Bloquer la capture d’écran sur le client, ou activé pour Bloquer la capture d’écran sur le client et le serveur en fonction de vos besoins, puis sélectionnez OK.
Sélectionnez Suivant.
Facultatif : sous l’onglet Balises d’étendue , sélectionnez une balise d’étendue pour filtrer le profil. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
Sous l’onglet Affectations , sélectionnez le groupe contenant les ordinateurs fournissant une session à distance que vous souhaitez configurer, puis sélectionnez Suivant.
Sous l’onglet Vérifier + créer , passez en revue les paramètres, puis sélectionnez Créer.
Une fois que la stratégie s’applique aux ordinateurs qui fournissent une session à distance, redémarrez-les pour que les paramètres prennent effet.
Activer la protection de capture d’écran sur les appareils locaux à l’aide de Intune mam
Pour utiliser la protection de capture d’écran sur les appareils iOS/iPadOS et Android exécutant Windows App, vous devez configurer une stratégie de protection des applications Intune.
Pour configurer une stratégie de protection des applications Intune afin d’activer la protection de capture d’écran sur les appareils iOS/iPadOS et Android :
Suivez les étapes pour Exiger la conformité de la sécurité des appareils clients locaux avec Microsoft Intune et Microsoft Entra accès conditionnel. La conformité de la sécurité des appareils clients locaux constitue la base de la configuration de la protection de capture d’écran sur les appareils iOS/iPadOS et Android exécutant Windows App.
Lors de la configuration d’une stratégie de protection des applications, sous l’onglet Protection des données , configurez le paramètre suivant, en fonction de la plateforme :
Pour iOS/iPadOS, définissez Envoyer des données d’organisation à d’autres applications sur Aucune.
Pour Android, définissez Capture d’écran et Assistant Google sur Bloquer.
Configurez d’autres paramètres en fonction de vos besoins et ciblez la stratégie de protection des applications sur les utilisateurs et les appareils.
Vérifier la protection de capture d’écran
Pour vérifier que la protection de capture d’écran fonctionne :
Connectez-vous à une nouvelle session à distance avec un client pris en charge. Ne vous reconnectez pas à une session existante. Vous devez vous déconnecter des sessions existantes et vous reconnecter pour que la modification prenne effet.
À partir d’un appareil local, prenez une capture d’écran ou partagez votre écran dans un appel ou une réunion Teams. Le contenu est bloqué ou masqué.
Sur les appareils Windows et macOS, si vous avez activé Bloquer la capture d’écran sur le client et le serveur sur vos hôtes de session, essayez de capturer l’écran à l’aide d’un outil ou d’un service au sein de l’hôte de session. Le contenu est bloqué ou masqué.
Si vous activez la protection de capture d’écran sur les hôtes de session, vous devez vous connecter à partir d’un appareil pris en charge. Si ce n’est pas le cas, vous voyez un message d’erreur indiquant que la protection de capture d’écran est activée. Le message d’erreur ressemble à ces captures d’écran :
Navigateur Web:
iOS/iPadOS
Contenu connexe
Activez le filigrane, où les administrateurs peuvent utiliser un code QR pour suivre la session.
Découvrez comment sécuriser votre déploiement Azure Virtual Desktop dans Bonnes pratiques de sécurité.