次の方法で共有

Azure Virtual Desktop の画面キャプチャの保護を有効にする

  • [アーティクル]

スクリーンショットの保護は、透かしと共に、特定のオペレーティング システム (OS) の機能と API を介してクライアント デバイスで機密データがキャプチャされるのを防ぐのに役立ちます。 画面キャプチャ保護を有効にすると、スクリーンショットと画面共有でリモート コンテンツが自動的にブロックまたは非表示にされます。

スクリーンショット保護が有効になっている場合、ユーザーは Microsoft Teams などのローカル コラボレーション ソフトウェアを使ってリモート ウィンドウを共有できません。 Teams では、ローカルの Teams アプリでもメディアの最適化を備えた Teams でも、保護されたコンテンツを共有できません。

ヒント

  • 機密情報のセキュリティを強化するには、クリップボード、ドライブ、プリンターのリダイレクトも無効にする必要があります。 リダイレクトを無効にすると、ユーザーはコンテンツをリモート セッションからコピーできなくなります。 サポートされているリダイレクト値については、「 デバイスのリダイレクト」を参照してください。

  • 物理カメラで画面の写真を撮るなど、他の方法の画面キャプチャを避けるために、管理者が QR コードを使用してセッションをトレースできる 透かしを有効にすることができます。

構成を決定する

スクリーンショット保護を構成する手順は、構成する場所、接続元のユーザーのプラットフォーム、達成したいシナリオによって異なります。

  • Windows デバイスと macOS デバイス: Intune デバイス構成ポリシーまたはグループ ポリシーを使用してセッション ホストを構成することで、スクリーンのキャプチャを防止します。 Windows App やリモート デスクトップ クライアントによってセッション ホストからスクリーンショット保護の設定が適用され、それ以外の構成は必要ありません。

    セッション ホストでスクリーンショット保護を構成する場合は、要件を満たすためにさらに構成できる設定が 2 つあります。

    • クライアントでスクリーンショットをブロックする: リモート セッションで実行されているアプリケーションのスクリーンショットがローカル デバイスで取得されるのを防ぎます。

    • クライアントとサーバーでスクリーンショットをブロックする: リモート セッションで実行されているアプリケーションのスクリーンショットがローカル デバイスで取得されるのを防ぐだけでなく、セッション ホスト内のツールやサービスによって画面がキャプチャされるのも防ぎます。

    このシナリオでは、以下が、各プラットフォーム タイプから接続するときの結果です。

    プラットフォーム 接続が許可されている スクリーンショットがブロックされている
    Windows
    macOS
    iOS/iPadOS 該当なし
    Android 該当なし
    Web 該当なし

  • iOS/iPadOS と Android デバイス: は、モバイル アプリケーション管理 (MAM) の一部である Intune App Protection ポリシーを使用してローカル デバイスを構成することでスクリーンショットをブロックします。 これは、セッション ホスト内のツールやサービスによるスクリーンのキャプチャは防ぎません。

    このシナリオでは、以下が、各プラットフォーム タイプから接続するときの結果です。

    プラットフォーム 接続が許可されている スクリーンショットがブロックされている
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

重要

要件に基づいて、スクリーンショット保護で使用するローカル デバイスを選択する必要があります。 同じセッション ホストからすべてのプラットフォームで同時にスクリーンショット保護を有効にできるシナリオはありません。 両方が構成されている場合、セッション ホストでのスクリーンショット保護が、ローカル デバイスで Intune MAM ポリシーを使用する方法よりも優先されます。

前提条件

  • セッション ホストの構成が必要なシナリオでは、それらのセッション ホストで Windows 11 バージョン 22H2 以降または Windows 10 バージョン 22H2 以降が実行されている必要があります。

  • ユーザーは、画面キャプチャ保護を使用するには、Windows App またはリモート デスクトップ アプリを使用して Azure Virtual Desktop に接続する必要があります。 次の表は、サポートされるシナリオを示したものです。

    • Windows App:

      プラットフォーム 最小バージョン デスクトップ セッション RemoteApp セッション
      Windows 上の Windows App [任意] はい はい。 ローカル デバイスの OS は、Windows 11 バージョン 22H2 以降である必要があります。
      macOS 上の Windows App [任意] はい はい
      iOS/iPadOS 上の Windows App 11.0.8 はい はい
      Android 上の Windows App (プレビュー)¹ 1.0.145 はい はい

      1.Intune MAM は Chrome OS ではサポートされていないため、Chrome OS のサポートは含まれません。

    • リモート デスクトップ クライアント:

      プラットフォーム 最小バージョン デスクトップ セッション RemoteApp セッション
      Windows (デスクトップ クライアント) 1.2.1672 はい はい。 ローカル デバイスの OS は、Windows 11 バージョン 22H2 以降である必要があります。
      Windows (Azure Virtual Desktop ストア アプリ) [任意] はい はい。 ローカル デバイスの OS は、Windows 11 バージョン 22H2 以降である必要があります。
      macOS 10.7.0 以降 はい はい

  • Microsoft Intune を構成するには、以下のものが必要です。

  • グループ ポリシーを構成するには、以下のものが必要です。

    • Domain Admins セキュリティ グループのメンバーであるドメイン アカウント。

    • 構成したいデバイスを含むセキュリティ グループまたは組織単位 (OU)。

Intune デバイス構成ポリシーまたはグループ ポリシーを使用してセッション ホストでスクリーンショット保護を有効にする

お使いのシナリオに関連するタブを選択します。

Microsoft Intune を使用してセッション ホストでスクリーンショット保護を構成するには:

  1. Microsoft Intune 管理センターにサインインします。

  2. 設定カタログ プロファイル型で、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。

  3. ピッカー設定で、[管理テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop] の順に移動します。

    Microsoft Intune ポータル内の Azure Virtual Desktop オプションを示すスクリーンショット。

  4. [画面キャプチャ保護の有効化] のボックスにチェックを入れた後、設定ピッカーを閉じます。

  5. [管理用テンプレート] カテゴリを展開した後、[画面キャプチャ保護の有効化] のスイッチを [有効] に切り替えます。

    Microsoft Intune 内の画面キャプチャ保護設定を示すスクリーンショット。

  6. 要件に基づいて [画面キャプチャ保護オプション (デバイス)] のスイッチを [オフ] (クライアント上の画面キャプチャのブロック)、または [オン] (クライアントとサーバー上での画面キャプチャのブロック) に切り替えた後、[OK] を選択します。

  7. [次へ] を選択します。

  8. 省略可能: [スコープ タグ] タブで、プロファイルをフィルター処理するスコープのタグを選択します。 スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御(RBAC) とスコープのタグの使用に関するページをご覧ください。

  9. [割り当て] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[次へ] を選択します。

  10. [確認 + 作成] タブで設定を確認し、[作成] を選択します。

  11. リモート セッションを提供するコンピューターにポリシーが適用されたら、再起動して設定を有効にします。

Intune MAM を使用してローカル デバイスでスクリーンショット保護を有効にする

Windows App を実行している iOS/iPadOS および Android デバイスでスクリーンショット保護を使うには、Intune アプリ保護ポリシーを構成する必要があります。

iOS/iPadOS と Android デバイスで Intune アプリ保護ポリシーを構成してスクリーンショット保護を有効にするには:

  1. Microsoft Intune を使用して Windows App とリモート デスクトップ アプリのクライアント デバイスのリダイレクト設定を構成する」の手順に従います。 スクリーンショット保護の構成は、アプリ保護ポリシーの一部です。

  2. アプリ保護ポリシーを構成するときは、[データ保護] タブで、プラットフォームに応じて次の設定を構成します。

    1. iOS/iPadOS の場合は、[他のアプリに組織データを送信][なし] に設定します。

    2. Android の場合は、[画面キャプチャと Google アシスタント][ブロック] に設定します。

  3. 要件に基づいて他の設定を構成し、アプリ保護ポリシーの対象をユーザーとデバイスにします。

画面キャプチャ保護を確認する

画面キャプチャ保護が機能していることを確認するには:

  1. サポートされているクライアントを使って新しいリモート セッションに接続します。 既存のセッションに再接続しないでください。 変更を有効にするには、既存のセッションからサインアウトし、もう一度サインインする必要があります。

  2. ローカル デバイスから、スクリーンショットを取得するか、Teams の通話または会議で画面を共有します。 コンテンツはブロックまたは非表示になっています。

  3. Windows デバイスや macOS デバイスのセッション ホストで [クライアントとサーバーでスクリーンショットをブロックする] を有効にした場合は、セッション ホスト内のツールやサービスを使って画面をキャプチャしてみます。 コンテンツはブロックまたは非表示になっています。

セッション ホストでスクリーンショット保護を有効にする場合は、サポートされているデバイスから接続する必要があります。 そうしないと、スクリーンショット保護が有効になっていることを示すエラー メッセージが表示されます。 エラー メッセージは、次のスクリーンショットのようになります。

  • Web ブラウザー:

    スクリーンショットが有効になっており、サポートされているクライアントから接続する必要があることを示すエラー メッセージが表示された、Web ブラウザー上の Windows App のスクリーンショット。

  • iOS/iPadOS:

    スクリーンショットが有効になっており、サポートされているクライアントから接続する必要があることを示すエラー メッセージが表示された、iOS/iPadOS 用 Windows App のスクリーンショット。

関連するコンテンツ