螢幕擷取保護以及 浮水印,可協助防止使用特定作系統 (OS) 功能和 API 在用戶端裝置上擷取敏感數據。 當您啟用螢幕擷取保護時,螢幕快照和螢幕共用中會自動封鎖遠端內容。
啟用螢幕擷取保護時,用戶無法使用本機共同作業軟體共用其遠端視窗,例如Microsoft Teams。 使用 Teams 時,本機 Teams 應用程式或使用 具有媒體優化的 Teams 無法共享受保護的內容。
提示
判斷您的設定
設定螢幕擷取保護的步驟取決於您設定它的位置、使用者從哪些平台連線,以及您想要達到的案例。
Windows 和 macOS 裝置:您可以使用 Intune 裝置設定原則或 群組原則 來設定會話主機,以防止螢幕擷取。 Windows App 或遠端桌面用戶端會強制執行會話主機的螢幕擷取保護設定,而不需要進一步設定。
當您在工作階段主機上設定螢幕擷取保護時,您可以設定兩個進一步的設定來協助符合您的需求:
用戶端上的封鎖螢幕擷取:防止從遠端會話中執行之應用程式的本機裝置擷取螢幕。
用戶端和伺服器上的封鎖螢幕擷取:防止從遠端會話中執行之應用程式的本機裝置擷取螢幕,但也會防止會話主機內的工具和服務擷取畫面。
在此案例中,以下是從每個平臺類型連線時的結果:
平台 允許連線 已封鎖螢幕擷取 Windows ✅ ✅ macOS ✅ ✅ iOS/iPadOS ❌ 不適用 Android ❌ 不適用 Web ❌ 不適用 iOS/iPadOS 和 Android 裝置:您可以使用 Microsoft Intune 行動應用程式管理 (MAM) 來設定本機裝置,以防止螢幕擷取。 它不會防止會話主機內的工具和服務擷取畫面。 如需詳細資訊,請參閱使用 Microsoft Intune 管理本機裝置重新導向設定。
在此案例中,以下是從每個平臺類型連線時的結果:
平台 允許連線 已封鎖螢幕擷取 Windows ✅ ❌ macOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Web ✅ ❌
重要事項
您必須根據您的需求,選擇要搭配螢幕擷取保護使用的本機裝置。 您無法同時在相同會話主機上的所有平台上啟用螢幕擷取保護。 如果兩者都已設定,會話主機上的螢幕擷取保護優先於在本機裝置上使用 Intune MAM 原則。
macOS 上螢幕擷取保護的平台考慮
雖然 Windows 完全支援,但是由於平臺目前的安全性架構,macOS 上有已知的限制:
Microsoft Teams 相容性:在 macOS 上,啟用螢幕擷取保護可能會干擾Microsoft Teams 中的螢幕共用,可能導致共用窗口顯示空白或顯示不正確。 如果需要以 Teams 為基礎的共同作業,則可能需要暫時停用裝置上的螢幕擷取保護。
平臺層級強制執行:由於 macOS 限制,某些原生應用程式可能無法完全遵守螢幕擷取保護強制執行。 這是作系統可用 API 的限制,而不是螢幕擷取保護本身的瑕疵。
以下是這些限制的一些建議:
針對大量共同作業的 macOS 工作流程,請考慮根據商務需求和風險層級來設定螢幕擷取保護設定。
針對高敏感性內容,建議使用 Windows 端點來完整強制執行螢幕保護功能。
浮浮水印和系統管理原則可用來進一步防止在強制執行有限的平台上誤用。
必要條件
設定螢幕擷取保護之前,請確定您符合下列必要條件:
在您需要設定會話主機的案例中,這些會話主機必須執行 Windows 11 版本 22H2 或更新版本,或 Windows 10 版本 22H2 或更新版本。
用戶必須使用 Windows App 或遠端桌面應用程式連線到 Azure 虛擬桌面,才能使用螢幕擷取保護。 下表顯示支援的案例:
Windows App:
平台 最低版本 桌面會話 RemoteApp 會話 Windows 上的 Windows App 任何 是 是。 本機裝置 OS 必須 Windows 11 版本 22H2 或更新版本。 macOS 上的 Windows App 任何 是 是 iOS/iPadOS 上的 Windows App 11.0.8 是 是 在 Android (預覽) ¹ 上 Windows App 1.0.145 是 是 1.不包含 Chrome OS 的支持,因為 Chrome OS 不支援 Intune MAM。
遠端桌面用戶端:
平台 最低版本 桌面會話 RemoteApp 會話 Windows (桌面用戶端) 1.2.1672 是 是。 本機裝置 OS 必須 Windows 11 版本 22H2 或更新版本。 Windows (Azure 虛擬桌面市集應用程式) 任何 是 是。 本機裝置 OS 必須 Windows 11 版本 22H2 或更新版本。 macOS 10.7.0 或更新版本 是 是
若要設定 Microsoft Intune,您需要:
Microsoft Entra ID 指派原則和配置檔管理員內建 RBAC 角色的帳戶。
包含您要設定之裝置的群組。
若要設定 群組原則,您需要:
屬於 Domain Admins 安全組成員的網域帳戶。
包含您要設定之裝置的安全組或組織單位 (OU) 。
使用 Intune 裝置設定原則或 群組原則,在會話主機上啟用螢幕擷取保護
選取您案例的相關索引標籤。
若要使用下列專案,在會話主機上設定螢幕擷取保護 Microsoft Intune:
使用 [設定] 目錄配置檔類型,建立或編輯 Windows 10 和更新版本裝置的組態配置檔。
在設定選擇器中,流覽至 [系統管理] 範>本Windows 元件>遠端桌面服務>遠端桌面會話主機>Azure 虛擬桌面。
核取 [ 啟用螢幕擷取保護] 方塊,然後關閉設定選擇器。
展開 [ 系統管理範本] 類別,然後將 [ 啟用螢幕擷取保護 ] 的切換開關切換為 [已啟用]。
將 [螢幕擷取保護選項] 的切換開關 ([裝置) ] 切換為 [在用戶端上封鎖螢幕擷取],或根據您的需求在用戶端和伺服器上針對 [封鎖螢幕擷取] 切換為 [關閉],然後選取 [確定]。
選取 [下一步]。
選用:在 [ 範圍卷標] 索引標籤 上,選取範圍標籤以篩選配置檔。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。
在 [ 指派] 索引標籤 上,選取包含提供您要設定之遠端會話之計算機的群組,然後選取 [ 下一步]。
在 [ 檢閱 + 建立] 索引標籤上檢閱設定,然後選取 [ 建立]。
一旦原則套用至提供遠端會話的計算機,請重新啟動它們,讓設定生效。
使用 #DA52907FBA18C4B7593575DB650413131 MAM 在本機裝置上啟用螢幕擷取保護
若要在執行 Windows App 的 iOS/iPadOS 和 Android 裝置上使用螢幕擷取保護,您需要設定 Intune 應用程式保護原則。
若要設定 Intune 應用程式保護原則,以在 iOS/iPadOS 和 Android 裝置上啟用螢幕擷取保護:
請遵循要求本機用戶端裝置安全性符合 Microsoft Intune 和 Microsoft Entra 條件式存取的步驟。 本機用戶端裝置安全性合規性提供基礎,可在執行 Windows App 的 iOS/iPadOS 和 Android 裝置上設定螢幕擷取保護。
設定應用程式保護原則時,請在 [ 資料保護 ] 索引標籤上,根據平台設定下列設定:
針對 iOS/iPadOS,將 [將 組織數據傳送至其他應用程式 ] 設定為 [ 無]。
針對 Android,將 [螢幕擷取] 和 [Google Assistant ] 設定為 [封鎖]。
根據您的需求設定其他設定,並將應用程式保護原則的目標設為用戶和裝置。
驗證螢幕擷取保護
若要確認螢幕擷取保護是否正常運作:
使用支援的用戶端連線到新的遠端會話。 請勿重新連線到現有的工作階段。 您必須註銷任何現有的會話,然後重新登入,變更才會生效。
從本機裝置,在Teams通話或會議中擷取螢幕快照或共用您的畫面。 內容會遭到封鎖或隱藏。
在 Windows 和 macOS 裝置上,如果您在會話主機上 的用戶端和伺服器上啟用封鎖畫面 擷取,請嘗試使用會話主機內的工具或服務來擷取畫面。 內容會遭到封鎖或隱藏。
如果您在會話主機上啟用螢幕擷取保護,則必須從支援的裝置連線。 如果沒有,您會看到錯誤訊息,指出已啟用螢幕擷取保護。 錯誤訊息看起來類似下列螢幕快照:
瀏覽器:
iOS/iPadOS:
