Udostępnij przez

Włączanie ochrony przed przechwytywaniem ekranu w usłudze Azure Virtual Desktop

Ochrona przed przechwytywaniem ekranu obok znakowania wodnego pomaga zapobiegać przechwytywaniu poufnych danych na urządzeniach klienckich przy użyciu określonych funkcji systemu operacyjnego i interfejsów API. Po włączeniu ochrony przed przechwytywaniem ekranu zawartość zdalna jest automatycznie blokowana na zrzutach ekranu i udostępnianiu ekranu.

Po włączeniu ochrony przed przechwytywaniem ekranu użytkownicy nie mogą udostępniać zdalnego okna przy użyciu lokalnego oprogramowania do współpracy, takiego jak Microsoft Teams. W usłudze Teams lokalna aplikacja Teams lub usługa Teams z optymalizacją multimediów nie może udostępniać chronionej zawartości.

Porada

  • Aby zwiększyć bezpieczeństwo informacji poufnych, należy również wyłączyć przekierowywanie schowka, dysku i drukarki. Wyłączenie przekierowania pomaga uniemożliwić użytkownikom kopiowanie zawartości z sesji zdalnej. Aby dowiedzieć się więcej o obsługiwanych wartościach przekierowania, zobacz Przekierowywanie urządzenia.

  • Aby zniechęcić do innych metod przechwytywania ekranu, takich jak robienie zdjęcia ekranu za pomocą aparatu fizycznego, można włączyć znak wodny, w którym administratorzy mogą używać kodu QR do śledzenia sesji.

Określanie konfiguracji

Kroki konfigurowania ochrony przed przechwytywaniem ekranu zależą od tego, gdzie ją skonfigurować, z jakich platform użytkownicy nawiązują połączenie i jaki scenariusz chcesz osiągnąć.

  • Urządzenia z systemem Windows i macOS: uniemożliwia się przechwytywanie ekranu przez skonfigurowanie hostów sesji przy użyciu zasad konfiguracji urządzenia Intune lub zasady grupy. Windows App lub klient pulpitu zdalnego wymusza ustawienia ochrony przechwytywania ekranu z hosta sesji bez dalszej konfiguracji.

    Podczas konfigurowania ochrony przed przechwytywaniem ekranu na hostach sesji można skonfigurować dwa kolejne ustawienia, aby ułatwić spełnienie wymagań:

    • Blokuj przechwytywanie ekranu na kliencie: uniemożliwia przechwytywanie ekranu z lokalnego urządzenia aplikacji uruchomionych w sesji zdalnej.

    • Blokuj przechwytywanie ekranu na kliencie i serwerze: uniemożliwia przechwytywanie ekranu z lokalnego urządzenia aplikacji uruchomionych w sesji zdalnej, ale także uniemożliwia przechwytywanie ekranu przez narzędzia i usługi na hoście sesji.

    W tym scenariuszu poniżej przedstawiono wynik podczas nawiązywania połączenia z każdego typu platformy:

    Platforma Dozwolone połączenie Zablokowane przechwytywanie ekranu
    Windows
    macOS
    iOS/iPadOS Nie dotyczy
    Android Nie dotyczy
    Web Nie dotyczy

  • Urządzenia z systemami iOS/iPadOS i Android: uniemożliwia się przechwytywanie ekranu przez skonfigurowanie urządzeń lokalnych przy użyciu Microsoft Intune zarządzania aplikacjami mobilnymi (MAM). Nie uniemożliwia to przechwytywania ekranu przez narzędzia i usługi w ramach hosta sesji. Aby uzyskać więcej informacji, zobacz Manage local device redirection settings with Microsoft Intune (Zarządzanie ustawieniami przekierowania urządzeń lokalnych za pomocą Microsoft Intune).

    W tym scenariuszu poniżej przedstawiono wynik podczas nawiązywania połączenia z każdego typu platformy:

    Platforma Dozwolone połączenie Zablokowane przechwytywanie ekranu
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

Ważna

Należy wybrać urządzenia lokalne do użycia z ochroną przed przechwytywaniem ekranu na podstawie wymagań. Nie ma scenariusza, w którym można włączyć ochronę przechwytywania ekranu na wszystkich platformach z tych samych hostów sesji w tym samym czasie. Jeśli oba są skonfigurowane, ochrona przed przechwytywaniem ekranu na hostach sesji ma pierwszeństwo przed użyciem zasad zarządzania aplikacjami mobilnymi Intune na urządzeniach lokalnych.

Zagadnienia dotyczące platformy dotyczące ochrony przed przechwytywaniem ekranu w systemie macOS

Chociaż system Windows jest w pełni obsługiwany, istnieją znane ograniczenia dotyczące systemu macOS ze względu na bieżącą architekturę zabezpieczeń platformy:

  • Zgodność z usługą Microsoft Teams: włączenie ochrony przed przechwytywaniem ekranu w systemie macOS może zakłócać udostępnianie ekranu w usłudze Microsoft Teams, co może spowodować, że udostępnione okna będą wyświetlane jako puste lub nieprawidłowe. Jeśli wymagana jest współpraca oparta na usłudze Teams, ochrona przed przechwytywaniem ekranu może wymagać tymczasowego wyłączenia na urządzeniu.

  • Wymuszanie na poziomie platformy: ze względu na ograniczenia systemu macOS niektóre aplikacje natywne mogą nie w pełni przestrzegać wymuszania ochrony przed przechwytywaniem ekranu. Jest to ograniczenie dostępnych interfejsów API systemu operacyjnego, a nie wadą samej ochrony przed przechwytywaniem ekranu.

Poniżej przedstawiono kilka zaleceń dotyczących tych ograniczeń:

  • W przypadku przepływów pracy systemu macOS wymagających współpracy rozważ skonfigurowanie ustawień ochrony przechwytywania ekranu na podstawie potrzeb biznesowych i poziomu ryzyka.

  • W przypadku wysoce wrażliwej zawartości punkty końcowe systemu Windows są zalecane do pełnego wymuszania funkcji ochrony ekranu.

  • Zasady dotyczące znaków wodnych i administracyjnych mogą być używane do dalszego zniechęcania do niewłaściwego użycia na platformach z ograniczonym wymuszaniem.

Wymagania wstępne

Przed skonfigurowaniem ochrony przed przechwytywaniem ekranu upewnij się, że spełniasz następujące wymagania wstępne:

  • W przypadku scenariuszy, w których należy skonfigurować hosty sesji, na tych hostach sesji musi działać Windows 11, wersja 22H2 lub nowsza lub Windows 10, wersja 22H2 lub nowsza.

  • Użytkownicy muszą nawiązać połączenie z usługą Azure Virtual Desktop przy użyciu Windows App lub aplikacji pulpitu zdalnego, aby korzystać z ochrony przed przechwytywaniem ekranu. W poniższej tabeli przedstawiono obsługiwane scenariusze:

    • Windows App:

      Platforma Minimalna wersja Sesja pulpitu Sesja usługi RemoteApp
      Windows App w systemie Windows Dowolna Tak Tak. System operacyjny urządzenia lokalnego musi być Windows 11 w wersji 22H2 lub nowszej.
      Windows App w systemie macOS Dowolna Tak Tak
      Windows App w systemie iOS/iPadOS 11.0.8 Tak Tak
      Windows App w systemie Android (wersja zapoznawcza)¹ 1.0.145 Tak Tak

      1. Nie obejmuje obsługi systemu operacyjnego Chrome, ponieważ Intune MAM nie jest obsługiwana w systemie operacyjnym Chrome.

    • Klient pulpitu zdalnego:

      Platforma Minimalna wersja Sesja pulpitu Sesja usługi RemoteApp
      Windows (klient klasyczny) 1.2.1672 Tak Tak. System operacyjny urządzenia lokalnego musi być Windows 11 w wersji 22H2 lub nowszej.
      Windows (aplikacja Azure Virtual Desktop Store) Dowolna Tak Tak. System operacyjny urządzenia lokalnego musi być Windows 11 w wersji 22H2 lub nowszej.
      macOS 10.7.0 lub nowszy Tak Tak

  • Aby skonfigurować Microsoft Intune, potrzebne są następujące elementy:

    • Tożsamość Microsoft Entra konto, do których przypisano wbudowaną rolę RBAC menedżera zasad i profilu.

    • Grupa zawierająca urządzenia, które chcesz skonfigurować.

  • Aby skonfigurować zasady grupy, potrzebne są następujące elementy:

    • Konto domeny, które jest członkiem grupy zabezpieczeń Administratorzy domeny .

    • Grupa zabezpieczeń lub jednostka organizacyjna (OU) zawierająca urządzenia, które chcesz skonfigurować.

Włączanie ochrony przed przechwytywaniem ekranu na hostach sesji przy użyciu zasad konfiguracji urządzenia Intune lub zasady grupy

Wybierz odpowiednią kartę dla danego scenariusza.

Aby skonfigurować ochronę przechwytywania ekranu na hostach sesji przy użyciu Microsoft Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Utwórz lub edytuj profil konfiguracji dla urządzeń Windows 10 i nowszych przy użyciu typu profilu wykazu ustawień.

  3. W selektorze ustawień przejdź do pozycji Szablony> administracyjneSkładniki> systemu WindowsUsługi> pulpituzdalnego Host> sesji pulpitu zdalnegoAzure Virtual Desktop.

    Zrzut ekranu przedstawiający opcje usługi Azure Virtual Desktop w portalu Microsoft Intune.

  4. Zaznacz pole wyboru Włącz ochronę przechwytywania ekranu, a następnie zamknij selektor ustawień.

  5. Rozwiń kategorię Szablony administracyjne , a następnie przełącz przełącznik Włącz ochronę przechwytywania ekranu na wartość Włączone.

    Zrzut ekranu przedstawiający ustawienia ochrony przechwytywania ekranu w Microsoft Intune.

  6. Przełącz przełącznik opcji ochrony przed przechwytywaniem ekranu (Urządzenie) na wyłączony dla opcji Blokuj przechwytywanie ekranu na kliencie lub w obszarze Blokuj przechwytywanie ekranu na kliencie i serwerze zgodnie z wymaganiami, a następnie wybierz przycisk OK.

  7. Wybierz pozycję Dalej.

  8. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz artykuł Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.

  9. Na karcie Przypisania wybierz grupę zawierającą komputery dostarczające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz pozycję Dalej.

  10. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

  11. Gdy zasady będą stosowane do komputerów udostępniających sesję zdalną, uruchom je ponownie, aby ustawienia zostały zastosowane.

Włączanie ochrony przed przechwytywaniem ekranu na urządzeniach lokalnych przy użyciu Intune MAM

Aby korzystać z ochrony przed przechwytywaniem ekranu na urządzeniach z systemami iOS/iPadOS i Android z systemem Windows App, należy skonfigurować zasady ochrony aplikacji Intune.

Aby skonfigurować zasady ochrony aplikacji Intune w celu włączenia ochrony przed przechwytywaniem ekranu na urządzeniach z systemami iOS/iPadOS i Android:

  1. Wykonaj kroki opisane w temacie Wymagaj zgodności zabezpieczeń lokalnych urządzeń klienckich z Microsoft Intune i Microsoft Entra dostępu warunkowego. Zgodność zabezpieczeń urządzeń klienta lokalnego zapewnia podstawę do konfigurowania ochrony przed przechwytywaniem ekranu na urządzeniach z systemami iOS/iPadOS i Android z systemem Windows App.

  2. Podczas konfigurowania zasad ochrony aplikacji na karcie Ochrona danych skonfiguruj następujące ustawienie w zależności od platformy:

    1. W przypadku systemu iOS/iPadOS ustaw opcję Wyślij dane organizacji do innych aplikacji na wartość Brak.

    2. W przypadku systemu Android ustaw pozycję Przechwytywanie ekranu i Asystent Google na Wartość Blokuj.

  3. Skonfiguruj inne ustawienia na podstawie wymagań i ustaw zasady ochrony aplikacji na użytkowników i urządzenia.

Weryfikowanie ochrony przed przechwytywaniem ekranu

Aby sprawdzić, czy ochrona przed przechwytywaniem ekranu działa:

  1. Połącz się z nową sesją zdalną przy użyciu obsługiwanego klienta. Nie łącz się ponownie z istniejącą sesją. Musisz wylogować się z istniejących sesji i zalogować się ponownie, aby zmiana weszła w życie.

  2. Na urządzeniu lokalnym wykonaj zrzut ekranu lub udostępnij ekran podczas rozmowy lub spotkania w usłudze Teams. Zawartość jest zablokowana lub ukryta.

  3. Jeśli na urządzeniach z systemem Windows i macOS włączono funkcję Blokuj przechwytywanie ekranu na komputerze klienckim i serwerze na hostach sesji, spróbuj przechwycić ekran przy użyciu narzędzia lub usługi na hoście sesji. Zawartość jest zablokowana lub ukryta.

Jeśli włączysz ochronę przechwytywania ekranu na hostach sesji, musisz nawiązać połączenie z obsługiwanego urządzenia. Jeśli tego nie zrobisz, zostanie wyświetlony komunikat o błędzie wskazujący, że ochrona przed przechwytywaniem ekranu jest włączona. Komunikat o błędzie wygląda podobnie do następujących zrzutów ekranu:

  • Przeglądarka internetowa:

    Zrzut ekranu z Windows App w przeglądarce internetowej z komunikatem o błędzie, że przechwytywanie ekranu jest włączone i musisz nawiązać połączenie z obsługiwanym klientem.

  • iOS/iPadOS:

    Zrzut ekranu z Windows App dla systemu iOS/iPadOS z komunikatem o błędzie, że przechwytywanie ekranu jest włączone i musisz nawiązać połączenie z obsługiwanym klientem.

Zawartość pokrewna

  • Last updated on