Znak wodny w usłudze Azure Virtual Desktop

Znak wodny, obok ochrony przed przechwytywaniem ekranu, pomaga zapobiegać przechwytywaniu poufnych informacji w punktach końcowych klienta. Po włączeniu znakowania wodnego znaki wodne kodu QR są wyświetlane jako część pulpitów zdalnych. Kod QR zawiera identyfikator połączenia lub identyfikator urządzenia sesji zdalnej, których administratorzy mogą użyć do śledzenia sesji. Znak wodny jest konfigurowany na hostach sesji przy użyciu Microsoft Intune lub zasady grupy i wymuszany przez Windows App lub klienta pulpitu zdalnego.

Oto zrzut ekranu pokazujący, jak wygląda znak wodny po włączeniu:

Ważna

Po włączeniu znakowania wodnego na hoście sesji tylko klienci obsługujący znak wodny mogą łączyć się z tym hostem sesji. Jeśli spróbujesz nawiązać połączenie z nieobsługiwanego klienta, połączenie zakończy się niepowodzeniem i zostanie wyświetlony komunikat o błędzie, który nie jest określony.
Znak wodny jest przeznaczony tylko dla pulpitów zdalnych. W przypadku usługi RemoteApp znak wodny nie jest stosowany i połączenie jest dozwolone.
Jeśli nawiążesz połączenie z hostem sesji bezpośrednio (nie za pośrednictwem usługi Azure Virtual Desktop) przy użyciu aplikacji Podłączanie pulpitu zdalnego (mstsc.exe), znak wodny nie zostanie zastosowany i połączenie będzie dozwolone.

Wymagania wstępne

Przed użyciem znaku wodnego potrzebne będą następujące elementy:

Istniejąca pula hostów z hostami sesji.
Konto Tożsamość Microsoft Entra, do których przypisano wbudowane role kontroli dostępu opartej na rolach (RBAC) w puli hostów programu Desktop Virtualization Host Pool Contributor.
Klient obsługujący znak wodny. Następujący klienci obsługują znak wodny:
- Klient pulpitu zdalnego dla:
  - Windows Desktop w wersji 1.2.3317 lub nowszej, w Windows 10 i nowszych wersjach.
  - Przeglądarka internetowa.
  - macOS, wersja 10.9.5 lub nowsza.
  - iOS/iPadOS, wersja 10.5.4 lub nowsza.
- Windows App dla:
  - System Windows
  - macOS
  - iOS i iPadOS
  - System operacyjny Android/Chrome (wersja zapoznawcza)
  - Przeglądarka internetowa
Usługa Azure Virtual Desktop Insights skonfigurowana dla twojego środowiska.
Jeśli zarządzasz hostami sesji przy użyciu Microsoft Intune, musisz:
- Tożsamość Microsoft Entra konto, do których przypisano wbudowaną rolę RBAC menedżera zasad i profilu.
- Grupa zawierająca urządzenia, które chcesz skonfigurować.
Jeśli zarządzasz hostami sesji przy użyciu zasady grupy w domenie usługi Active Directory, musisz:
- Konto domeny, które jest członkiem grupy zabezpieczeń Administratorzy domeny .
- Grupa zabezpieczeń lub jednostka organizacyjna (OU) zawierająca hosty sesji, które chcesz skonfigurować.

Włączanie znakowania wodnego

Wybierz odpowiednią kartę dla danego scenariusza.

Microsoft Intune
Zasady grupy

Aby włączyć znak wodny przy użyciu Microsoft Intune:

Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Utwórz lub edytuj profil konfiguracji dla urządzeń Windows 10 i nowszych przy użyciu typu profilu wykazu ustawień.
W selektorze ustawień przejdź do pozycji Szablony> administracyjneSkładniki> systemu WindowsUsługi> pulpituzdalnego Host> sesji pulpitu zdalnegoAzure Virtual Desktop.
Zaznacz pole wyboru Włącz znak wodny, a następnie zamknij selektor ustawień.

Ważna

Nie wybieraj opcji [Przestarzałe] Włącz znak wodny , ponieważ to ustawienie nie zawiera opcji określania osadzonej zawartości kodu QR.
Rozwiń kategorię Szablony administracyjne , a następnie przełącz przełącznik Włącz znak wodny na wartość Włączone.

Możesz skonfigurować następujące opcje:

Opcja	Wartości	Opis
Współczynnik skalowania mapy bitowej kodu QR	Od 1 do 10 (wartość domyślna = 4)	Rozmiar w pikselach każdej kropki kodu QR. Ta wartość określa liczbę kwadratów na kropkę w kodzie QR.
Nieprzezroczystość mapy bitowej kodu QR	Od 100 do 9999 (wartość domyślna = 2000)	Jak przezroczysty jest znak wodny, gdzie 100 jest w pełni przezroczyste.
Szerokość pola siatki w procentach odpowiednich dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 320)	Określa odległość między kodami QR w procentach. W połączeniu z wysokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełnią cały ekran.
Wysokość pola siatki w procentach odpowiednich dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 180)	Określa odległość między kodami QR w procentach. W połączeniu z szerokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełnią cały ekran.
Zawartość osadzona kodu QR	Identyfikator połączenia (domyślny) Identyfikator urządzenia	Określ, czy w kodzie QR powinien być używany identyfikator połączenia lub identyfikator urządzenia . Wybierz tylko pozycję Identyfikator urządzenia z hostami sesji, które znajdują się w osobistej puli hostów i są przyłączone do Tożsamość Microsoft Entra lub Microsoft Entra przyłączonych hybrydowo.

Porada

Zalecamy wypróbowanie różnych wartości nieprzezroczystości w celu znalezienia równowagi między czytelnością sesji zdalnej a możliwością skanowania kodu QR, ale zachowanie wartości domyślnych dla innych parametrów.

Wybierz pozycję Dalej.
Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz artykuł Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.
Na karcie Przypisania wybierz grupę zawierającą komputery dostarczające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz pozycję Dalej.
Na karcie Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.
Zsynchronizuj hosty sesji z Intune, aby ustawienia zostały zastosowane.

Aby włączyć znak wodny przy użyciu zasady grupy:

Wykonaj kroki, aby udostępnić szablon administracyjny dla usługi Azure Virtual Desktop w zasady grupy.
Otwórz konsolę zarządzania zasady grupy na urządzeniu używanym do zarządzania domeną usługi Active Directory, a następnie utwórz lub edytuj zasady przeznaczone dla komputerów udostępniających sesję zdalną, którą chcesz skonfigurować.
Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsUsługi>pulpitu zdalnego Host sesji> pulpitu zdalnegoAzure Virtual Desktop.
Otwórz ustawienie zasad Włącz znak wodny i ustaw je na wartość Włączone.

Możesz skonfigurować następujące opcje:

Opcja	Wartości	Opis
Współczynnik skalowania mapy bitowej kodu QR	Od 1 do 10 (wartość domyślna = 4)	Rozmiar w pikselach każdej kropki kodu QR. Ta wartość określa liczbę kwadratów na kropkę w kodzie QR.
Nieprzezroczystość mapy bitowej kodu QR	Od 100 do 9999 (wartość domyślna = 2000)	Jak przezroczysty jest znak wodny, gdzie 100 jest w pełni przezroczyste, a 9999 jest w pełni nieprzezroczyste.
Szerokość pola siatki w procentach odpowiednich dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 320)	Określa odległość między kodami QR w procentach. W połączeniu z wysokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełnią cały ekran.
Wysokość pola siatki w procentach odpowiednich dla szerokości mapy bitowej kodu QR	Od 100 do 1000 (wartość domyślna = 180)	Określa odległość między kodami QR w procentach. W połączeniu z szerokością wartość 100 spowoduje, że kody QR będą wyświetlane obok siebie i wypełnią cały ekran.
Zawartość osadzona kodu QR	Identyfikator połączenia (domyślny) Identyfikator urządzenia	Określ, czy w kodzie QR powinien być używany identyfikator połączenia lub identyfikator urządzenia . Wybierz tylko pozycję Identyfikator urządzenia z hostami sesji, które znajdują się w osobistej puli hostów i są przyłączone do Tożsamość Microsoft Entra lub Microsoft Entra przyłączonych hybrydowo.

Porada

Upewnij się, że zasady są stosowane do hostów sesji, a następnie odśwież zasady grupy na hostach sesji lub uruchom je ponownie, aby ustawienia zostały zastosowane.
Połącz się z sesją zdalną z obsługiwanym klientem, gdzie powinny pojawić się kody QR. Wszystkie istniejące sesje będą musiały wylogować się i ponownie włączyć, aby zmiana weszła w życie.

Znajdowanie informacji o sesji

Po włączeniu znakowania wodnego możesz znaleźć informacje o sesji z kodu QR przy użyciu usługi Azure Virtual Desktop Insights lub wykonując zapytania dotyczące usługi Azure Monitor Log Analytics.

Azure Virtual Desktop Insights

Aby uzyskać informacje o sesji z kodu QR przy użyciu usługi Azure Virtual Desktop Insights:

Otwórz przeglądarkę internetową i przejdź do strony, aby https://aka.ms/avdi otworzyć usługę Azure Virtual Desktop Insights. Zaloguj się przy użyciu poświadczeń platformy Azure po wyświetleniu monitu.
Wybierz odpowiednią subskrypcję, grupę zasobów, pulę hostów i zakres czasu, a następnie wybierz kartę Diagnostyka połączeń .
W sekcji Wskaźnik powodzenia (re)nawiązywania połączenia (% połączeń) zawiera listę wszystkich połączeń z wyświetloną pierwszą próbą, identyfikatorem połączenia, użytkownikiem i próbami. Możesz wyszukać identyfikator połączenia z kodu QR na tej liście lub wyeksportować go do programu Excel.

Azure Monitor Log Analytics

Aby uzyskać informacje o sesji z kodu QR, wykonaj zapytanie dotyczące usługi Azure Monitor Log Analytics:

Zaloguj się do Azure Portal.
Na pasku wyszukiwania wpisz obszary robocze usługi Log Analytics i wybierz pasujący wpis usługi.
Wybierz, aby otworzyć obszar roboczy usługi Log Analytics połączony ze środowiskiem usługi Azure Virtual Desktop.
W obszarze Ogólne wybierz pozycję Dzienniki.
Uruchom nowe zapytanie, a następnie uruchom następujące zapytanie, aby uzyskać informacje o sesji dla określonego identyfikatora połączenia (reprezentowanego jako CorrelationId w usłudze Log Analytics), zastępując <connection ID> wartość pełną lub częściową z kodu QR:
```
WVDConnections
| where CorrelationId contains "<connection ID>"
```

Włączanie ochrony przed przechwytywaniem ekranu w usłudze Azure Virtual Desktop.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-06-20