Bagikan melalui

Mengaktifkan perlindungan tangkapan layar di Azure Virtual Desktop

  • Artikel

Perlindungan tangkapan layar, bersama watermarking, membantu mencegah data sensitif ditangkap pada perangkat klien menggunakan fitur sistem operasi (OS) dan API tertentu. Saat Anda mengaktifkan perlindungan tangkapan layar, konten jarak jauh secara otomatis diblokir dalam cuplikan layar dan berbagi layar.

Saat perlindungan tangkapan layar diaktifkan, pengguna tidak dapat berbagi jendela jarak jauh mereka menggunakan perangkat lunak kolaborasi lokal, seperti Microsoft Teams. Dengan Teams, aplikasi Teams lokal atau menggunakan Teams dengan pengoptimalan media tidak dapat berbagi konten yang dilindungi.

Tip

  • Untuk meningkatkan keamanan informasi sensitif, Anda juga harus menonaktifkan pengalihan clipboard, drive, dan printer. Menonaktifkan pengalihan membantu mencegah pengguna menyalin konten dari sesi jarak jauh. Untuk mempelajari tentang nilai pengalihan yang didukung, lihat Pengalihan perangkat.

  • Untuk mencegah metode tangkapan layar lainnya, seperti mengambil foto layar dengan kamera fisik, Anda dapat mengaktifkan watermarking, di mana admin dapat menggunakan kode QR untuk melacak sesi.

Menentukan konfigurasi Anda

Langkah-langkah untuk mengonfigurasi perlindungan tangkapan layar bergantung pada tempat Anda mengonfigurasinya, platform mana yang disambungkan pengguna Anda dan skenario apa yang ingin Anda capai.

  • Perangkat Windows dan macOS: Anda mencegah tangkapan layar dengan mengonfigurasi host sesi menggunakan kebijakan konfigurasi perangkat Intune atau Kebijakan Grup. Aplikasi Windows atau klien Desktop Jauh memberlakukan pengaturan perlindungan tangkapan layar dari host sesi tanpa konfigurasi lebih lanjut.

    Saat Anda mengonfigurasi perlindungan tangkapan layar pada host sesi, ada dua pengaturan lebih lanjut yang dapat Anda konfigurasi untuk membantu memenuhi kebutuhan Anda:

    • Blokir tangkapan layar pada klien: mencegah tangkapan layar dari perangkat lokal aplikasi yang berjalan di sesi jarak jauh.

    • Blokir tangkapan layar pada klien dan server: mencegah tangkapan layar dari perangkat lokal aplikasi yang berjalan di sesi jarak jauh, tetapi juga mencegah alat dan layanan dalam host sesi menangkap layar.

    Dalam skenario ini, berikut adalah hasilnya saat menyambungkan dari setiap jenis platform:

    Platform Koneksi diperbolehkan Tangkapan layar diblokir
    Windows
    macOS
    iOS/iPadOS T/A
    Android T/A
    Web T/A

  • Perangkat iOS/iPadOS dan Android: Anda mencegah tangkapan layar dengan mengonfigurasi perangkat lokal menggunakan kebijakan perlindungan aplikasi Intune, bagian dari manajemen aplikasi seluler (MAM). Ini tidak mencegah alat dan layanan dalam host sesi menangkap layar.

    Dalam skenario ini, berikut adalah hasilnya saat menyambungkan dari setiap jenis platform:

    Platform Koneksi diperbolehkan Tangkapan layar diblokir
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

Penting

Anda perlu memilih perangkat lokal mana yang akan digunakan dengan perlindungan tangkapan layar berdasarkan kebutuhan Anda. Tidak ada skenario di mana Anda dapat mengaktifkan perlindungan tangkapan layar pada semua platform dari host sesi yang sama secara bersamaan. Jika keduanya dikonfigurasi, perlindungan tangkapan layar pada host sesi lebih diutamakan daripada menggunakan kebijakan MAM Intune pada perangkat lokal.

Prasyarat

  • Untuk skenario di mana Anda perlu mengonfigurasi host sesi, host sesi tersebut harus menjalankan Windows 11, versi 22H2 atau yang lebih baru, atau Windows 10, versi 22H2 atau yang lebih baru.

  • Pengguna harus tersambung ke Azure Virtual Desktop dengan Aplikasi Windows atau aplikasi Desktop Jauh untuk menggunakan perlindungan tangkapan layar. Tabel berikut ini memperlihatkan skenario yang didukung:

    • Aplikasi Windows:

      Platform Versi minimum Sesi desktop Sesi RemoteApp
      Aplikasi Windows di Windows Mana pun Ya Ya. OS perangkat lokal harus Windows 11, versi 22H2 atau yang lebih baru.
      Aplikasi Windows di macOS Mana pun Ya Ya
      Aplikasi Windows di iOS/iPadOS 11.0.8 Ya Ya
      Aplikasi Windows di Android (pratinjau)¹ 1.0.145 Ya Ya

      1. Tidak menyertakan dukungan untuk Chrome OS karena Intune MAM tidak didukung di Chrome OS.

    • Klien Desktop Jauh:

      Platform Versi minimum Sesi desktop Sesi RemoteApp
      Windows (klien desktop) 1.2.1672 Ya Ya. OS perangkat lokal harus Windows 11, versi 22H2 atau yang lebih baru.
      Windows (aplikasi Azure Virtual Desktop Store) Mana pun Ya Ya. OS perangkat lokal harus Windows 11, versi 22H2 atau yang lebih baru.
      macOS 10.7.0 atau yang lebih baru Ya Ya

  • Untuk mengonfigurasi Microsoft Intune, Anda memerlukan:

    • Akun ID Microsoft Entra yang diberi peran RBAC bawaan Manajer Kebijakan dan Profil.

    • Grup yang berisi perangkat yang ingin Anda konfigurasi.

  • Untuk mengonfigurasi Kebijakan Grup, Anda memerlukan:

    • Akun domain yang merupakan anggota grup keamanan Admin Domain.

    • Grup keamanan atau unit organisasi (OU) yang berisi perangkat yang ingin Anda konfigurasi.

Mengaktifkan perlindungan tangkapan layar pada host sesi menggunakan kebijakan konfigurasi perangkat Intune atau Kebijakan Grup

Pilih tab yang relevan untuk skenario Anda.

Untuk mengonfigurasi perlindungan tangkapan layar pada host sesi menggunakan Microsoft Intune:

  1. Masuk ke pusat admin Microsoft Intune.

  2. Buat atau edit profil konfigurasi untuk perangkat Windows 10 dan yang lebih baru , dengan jenis profil katalog Pengaturan.

  3. Di pemilih pengaturan, telusuri templat >Administratif Windows Komponen>Desktop Jarak Jauh Layanan>Desktop Jarak Jauh Host>Azure Virtual Desktop.

    Cuplikan layar memperlihatkan opsi Azure Virtual Desktop di portal Microsoft Intune.

  4. Centang kotak untuk Aktifkan perlindungan tangkapan layar, lalu tutup pemilih pengaturan.

  5. Perluas kategori Templat administratif, lalu alihkan tombol untuk Aktifkan perlindungan tangkapan layar ke Diaktifkan.

    Cuplikan layar memperlihatkan pengaturan perlindungan tangkapan layar di Microsoft Intune.

  6. Alihkan tombol untuk Opsi Perlindungan Tangkapan Layar (Perangkat) ke nonaktif untuk Blokir tangkapan layar pada klien, atau aktif untuk Blokir tangkapan layar pada klien dan server berdasarkan kebutuhan Anda, lalu pilih OK.

  7. Pilih Selanjutnya.

  8. Opsional: Pada tab Tag cakupan, pilih tag cakupan untuk memfilter profil. Untuk informasi selengkapnya tentang tag cakupan, lihat Menggunakan kontrol akses berbasis peran (RBAC) dan tag cakupan untuk TI terdistribusi.

  9. Pada tab Penugasan , pilih grup yang berisi komputer yang menyediakan sesi jarak jauh yang ingin Anda konfigurasikan, lalu pilih Berikutnya.

  10. Pada tab Tinjau + buat , tinjau pengaturan, lalu pilih Buat.

  11. Setelah kebijakan berlaku untuk komputer yang menyediakan sesi jarak jauh, mulai ulang agar pengaturan diterapkan.

Mengaktifkan perlindungan tangkapan layar pada perangkat lokal menggunakan Intune MAM

Untuk menggunakan perlindungan tangkapan layar pada perangkat iOS/iPadOS dan Android yang menjalankan Aplikasi Windows, Anda perlu mengonfigurasi kebijakan perlindungan aplikasi Intune.

Untuk mengonfigurasi kebijakan perlindungan aplikasi Intune untuk mengaktifkan perlindungan tangkapan layar pada perangkat iOS/iPadOS dan Android:

  1. Ikuti langkah-langkah untuk Mengonfigurasi pengaturan pengalihan perangkat klien untuk Aplikasi Windows dan aplikasi Desktop Jauh menggunakan Microsoft Intune. Konfigurasi perlindungan tangkapan layar adalah bagian dari kebijakan perlindungan aplikasi.

  2. Saat mengonfigurasi kebijakan perlindungan aplikasi, pada tab Perlindungan data, konfigurasikan pengaturan berikut, tergantung pada platform:

    1. Untuk iOS/iPadOS, atur Kirim data organisasi ke app lain ke Tidak Ada.

    2. Untuk Android, atur Tangkapan layar dan Asisten Google ke Blokir.

  3. Konfigurasikan pengaturan lain berdasarkan kebutuhan Anda dan targetkan kebijakan perlindungan aplikasi kepada pengguna dan perangkat.

Memverifikasi perlindungan tangkapan layar

Untuk memverifikasi perlindungan tangkapan layar berfungsi:

  1. Sambungkan ke sesi jarak jauh baru dengan klien yang didukung. Jangan sambungkan kembali ke sesi yang ada. Anda perlu keluar dari sesi yang ada dan masuk kembali agar perubahan diterapkan.

  2. Dari perangkat lokal, ambil cuplikan layar atau bagikan layar Anda dalam panggilan atau rapat Teams. Isi diblokir atau disembunyikan.

  3. Di perangkat Windows dan macOS, jika Anda mengaktifkan Tangkapan layar Blokir pada klien dan server di host sesi Anda, coba ambil layar menggunakan alat atau layanan dalam host sesi. Isi diblokir atau disembunyikan.

Jika Anda mengaktifkan perlindungan tangkapan layar pada host sesi, Anda harus terhubung dari perangkat yang didukung. Jika tidak, Anda akan melihat pesan kesalahan yang menunjukkan bahwa perlindungan tangkapan layar diaktifkan. Pesan kesalahan terlihat mirip dengan cuplikan layar ini:

  • Penjelajah web:

    Cuplikan layar dari Aplikasi Windows di browser web yang menunjukkan pesan kesalahan bahwa tangkapan layar diaktifkan dan Anda perlu menyambungkan dari klien yang didukung.

  • iOS/iPadOS:

    Cuplikan layar dari Aplikasi Windows untuk iOS/iPadOS memperlihatkan pesan kesalahan bahwa tangkapan layar diaktifkan dan Anda perlu terhubung dari klien yang didukung.

Konten terkait