Поделиться через

Включение защиты захвата экрана в Виртуальном рабочем столе Azure

  • Статья

Защита отслеживания экрана вместе с подложкой помогает предотвратить захват конфиденциальной информации на конечных точках клиента с помощью определенного набора функций операционной системы (ОС) и интерфейсов программирования приложений (API). При включении защиты захвата экрана удаленный контент автоматически блокируется на снимках экранах и совместном использовании экрана. Вы можете настроить защиту захвата экрана с помощью Microsoft Intune или групповой политики на узлах сеансов.

Существует два поддерживаемых сценария защиты захвата экрана в зависимости от используемой версии Windows:

  • Блокировка записи экрана на клиенте: узел сеанса указывает поддерживаемму клиенту удаленного рабочего стола включить защиту захвата экрана для удаленного сеанса. Этот параметр предотвращает захват экрана от клиента приложений, работающих в удаленном сеансе.

  • Блокировка захвата экрана на клиенте и сервере: узел сеанса указывает поддерживаемму клиенту удаленного рабочего стола включить защиту записи экрана для удаленного сеанса. Этот параметр предотвращает захват экрана от клиента приложений, работающих в удаленном сеансе, но также предотвращает захват инструментов и служб в узле сеанса.

Если включена защита захвата экрана, пользователи не могут предоставлять общий доступ к окну удаленного рабочего стола с помощью локального программного обеспечения для совместной работы, например Microsoft Teams. При использовании Teams ни локальное приложение Teams, ни использование Teams с оптимизацией мультимедиа не может совместно использовать защищенное содержимое.

Совет

  • Чтобы повысить безопасность конфиденциальной информации, необходимо также отключить буфер обмена, диск и перенаправление принтера. Отключение перенаправления помогает запретить пользователям копировать содержимое из удаленного сеанса. Сведения о поддерживаемых значениях перенаправления см. в разделе "Перенаправление устройств".

  • Чтобы предотвратить другие методы захвата экрана, например фотографию экрана с физической камерой, можно включить подложку, где администраторы могут использовать QR-код для трассировки сеанса.

Необходимые компоненты

  • Узлы сеансов должны работать в одной из следующих версий Windows, чтобы использовать защиту захвата экрана:

    • Блокировка захвата экрана на клиенте доступна с поддерживаемой версией Windows 10 или Windows 11.
    • Блокировка захвата экрана на клиенте и сервере доступна начиная с Windows 11 версии 22H2.

  • Пользователи должны подключаться к виртуальному рабочему столу Azure с помощью приложения Windows или приложения удаленного рабочего стола, чтобы использовать защиту захвата экрана. В следующей таблице показаны поддерживаемые сценарии. Если пользователь пытается подключиться к другому приложению или версии, подключение отказано и отображает сообщение об ошибке с кодом 0x1151.

    Приложение Версия Сеанс рабочего стола Сеанс RemoteApp
    Приложение Windows в Windows Любое Да Да. ОС клиентского устройства должна быть Windows 11 версии 22H2 или более поздней.
    Клиент удаленного рабочего стола в Windows 1.2.1672 или более поздней версии Да Да. ОС клиентского устройства должна быть Windows 11 версии 22H2 или более поздней.
    Приложение Магазина виртуальных рабочих столов Azure Любое Да Да. ОС клиентского устройства должна быть Windows 11 версии 22H2 или более поздней.
    Приложение Windows в macOS Любое Да Да
    Клиент удаленного рабочего стола в macOS 10.7.0 или более поздней версии Да Да

  • Чтобы настроить Microsoft Intune, вам потребуется:

    • Учетная запись идентификатора Microsoft Entra, назначенная встроенной роли диспетчера политик и профилей RBAC.

    • Группа, содержащая устройства, которые требуется настроить.

  • Чтобы настроить групповую политику, вам потребуется:

    • Учетная запись домена, являющаяся членом группы безопасности администраторов домена.

    • Группа безопасности или подразделение (OU), содержащая устройства, которые требуется настроить.

Включить защиту снимка экрана

Защита захвата экрана настраивается на узлах сеансов и применяется клиентом. Выберите соответствующую вкладку для вашего сценария.

Чтобы настроить защиту захвата экрана с помощью Microsoft Intune, выполните следующее:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

  3. В средстве выбора параметров перейдите к административным шаблонам>компонентов Windows Components>Remote Desktop Services>Remote Desktop Host Virtual Desktop Host>Azure.

    Снимок экрана: параметры виртуального рабочего стола Azure на портале Microsoft Intune.

  4. Установите флажок "Включить защиту захвата экрана", а затем закройте средство выбора параметров.

  5. Разверните категорию административных шаблонов, а затем переключите переключатель для включения защиты захвата экрана в значение "Включено".

    Снимок экрана: параметры защиты захвата экрана в Microsoft Intune.

  6. Переключите переключатель для параметров защиты от захвата экрана (устройство) для блокировки захвата экрана на клиенте или для записи экрана блокировки на клиенте и сервере в зависимости от ваших требований, а затем нажмите кнопку "ОК".

  7. Выберите Далее.

  8. Необязательно. На вкладке тегов области выберите тег области для фильтрации профиля. Дополнительные сведения о тегах области см. в разделе "Использование управления доступом на основе ролей" (RBAC) и тегов областей для распределенной ИТ-службы.

  9. На вкладке "Назначения" выберите группу, содержащую компьютеры , предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку "Далее".

  10. На вкладке "Просмотр и создание " просмотрите параметры, а затем нажмите кнопку "Создать".

  11. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Проверка защиты захвата экрана

Чтобы проверить, работает ли защита захвата экрана:

  1. Подключитесь к удаленному сеансу с поддерживаемым клиентом.

  2. Снимок экрана или общий доступ к экрану в вызове или собрании Teams. Содержимое должно быть заблокировано или скрыто. Все существующие сеансы должны выйти и вернуться снова, чтобы изменения вступают в силу.

Связанный контент