Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure
A proteção de captura de tela, juntamente com a marca d'água, ajuda a impedir que dados confidenciais sejam capturados em dispositivos cliente usando recursos e APIs específicos do sistema operacional (SO). Quando você ativa a proteção de captura de tela, o conteúdo remoto é automaticamente bloqueado em capturas de tela e compartilhamento de tela.
Quando a proteção de captura de tela está ativada, os usuários não podem compartilhar suas janelas remotas usando software de colaboração local, como o Microsoft Teams. Com o Teams, o aplicativo local do Teams ou usando o Teams com otimização de mídia não pode compartilhar conteúdo protegido.
Gorjeta
Para aumentar a segurança de suas informações confidenciais, você também deve desativar o redirecionamento da área de transferência, da unidade e da impressora. A desativação do redirecionamento ajuda a impedir que os usuários copiem conteúdo da sessão remota. Para saber mais sobre os valores de redirecionamento suportados, consulte Redirecionamento de dispositivo.
Para desencorajar outros métodos de captura de tela, como tirar uma foto de uma tela com uma câmera física, você pode ativar a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.
Determinar sua configuração
As etapas para configurar a proteção de captura de tela dependem de onde você a configura, de quais plataformas seus usuários estão se conectando e qual cenário você deseja alcançar.
Dispositivos Windows e macOS: você impede a captura de tela configurando hosts de sessão usando uma política de configuração de dispositivo do Intune ou uma Política de Grupo. A Aplicação Windows ou o cliente de Ambiente de Trabalho Remoto impõe definições de proteção de captura de ecrã a partir de um anfitrião de sessão sem configuração adicional.
Quando você configura a proteção de captura de tela em hosts de sessão, há duas outras configurações que você pode configurar para ajudar a atender às suas necessidades:
Bloquear a captura de tela no cliente: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota.
Bloquear a captura de tela no cliente e no servidor: impede a captura de tela do dispositivo local de aplicativos em execução na sessão remota, mas também impede que ferramentas e serviços dentro do host da sessão capturem a tela.
Nesse cenário, aqui está o resultado ao se conectar de cada tipo de plataforma:
Plataforma Ligação permitida Captura de tela bloqueada Windows ✅ ✅ macOS ✅ ✅ iOS/iPadOS ❌ N/A Android ❌ N/A Web ❌ N/A Dispositivos iOS/iPadOS e Android: você impede a captura de tela configurando dispositivos locais usando uma política de proteção de aplicativos do Intune, parte do gerenciamento de aplicativos móveis (MAM). Isso não impede que ferramentas e serviços dentro do host da sessão capturem a tela.
Nesse cenário, aqui está o resultado ao se conectar de cada tipo de plataforma:
Plataforma Ligação permitida Captura de tela bloqueada Windows ✅ ❌ macOS ✅ ❌ iOS/iPadOS ✅ ✅ Android ✅ ✅ Web ✅ ❌
Importante
Você precisa escolher quais dispositivos locais usar com a proteção de captura de tela com base em suas necessidades. Não há um cenário em que você possa habilitar a proteção de captura de tela em todas as plataformas dos mesmos hosts de sessão ao mesmo tempo. Se ambos estiverem configurados, a proteção de captura de tela em hosts de sessão terá precedência sobre o uso de uma política de MAM do Intune em dispositivos locais.
Pré-requisitos
Para cenários em que você precisa configurar hosts de sessão, esses hosts de sessão devem estar executando um Windows 11, versão 22H2 ou posterior, ou Windows 10, versão 22H2 ou posterior.
Os usuários devem se conectar à Área de Trabalho Virtual do Azure com o Aplicativo do Windows ou o aplicativo Área de Trabalho Remota para usar a proteção de captura de tela. A tabela a seguir mostra os cenários suportados:
Aplicação Windows:
Plataforma Versão Mínima Sessão Desktop Sessão do RemoteApp Aplicação Windows no Windows Qualquer Sim Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior. Aplicação Windows no macOS Qualquer Sim Sim Aplicação Windows em iOS/iPadOS 11.0.8 Sim Sim Aplicação Windows no Android (pré-visualização)¹ 1.0.145 Sim Sim 1. Não inclui suporte para o SO Chrome porque o MAM do Intune não é suportado no SO Chrome.
Cliente de Ambiente de Trabalho Remoto:
Plataforma Versão Mínima Sessão Desktop Sessão do RemoteApp Windows (cliente de desktop) 1.2.1672 Sim Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior. Windows (aplicativo da Loja de Área de Trabalho Virtual do Azure) Qualquer Sim Sim. O SO do dispositivo local tem de ser Windows 11, versão 22H2 ou posterior. macOS 10.7.0 ou posterior Sim Sim
Para configurar o Microsoft Intune, você precisa:
Conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.
Um grupo que contém os dispositivos que você deseja configurar.
Para configurar a Diretiva de Grupo, você precisa:
Uma conta de domínio que é membro do grupo de segurança Administradores do Domínio.
Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que você deseja configurar.
Habilitar a proteção de captura de tela em hosts de sessão usando uma política de configuração de dispositivo do Intune ou uma Política de Grupo
Selecione a guia relevante para o seu cenário.
Para configurar a proteção de captura de tela em hosts de sessão usando o Microsoft Intune:
Entre no centro de administração do Microsoft Intune.
Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.
No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Host>da Sessão da Área de Trabalho Remota, Área de Trabalho Virtual do Azure.
Marque a caixa Ativar proteção de captura de tela e feche o seletor de configurações.
Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Ativar proteção de captura de tela para Habilitado.
Alterne o interruptor para Opções de Proteção de Captura de Tela (Dispositivo) para desativado para Bloquear captura de tela no cliente ou paraBloquear captura de tela no cliente e servidor com base em suas necessidades e selecione OK.
Selecione Seguinte.
Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.
No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.
No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.
Quando a diretiva se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.
Habilitar a proteção de captura de tela em dispositivos locais usando o MAM do Intune
Para usar a proteção de captura de tela em dispositivos iOS/iPadOS e Android que executam o Windows App, você precisa configurar uma política de proteção de aplicativo do Intune.
Para configurar uma política de proteção de aplicativos do Intune para habilitar a proteção de captura de tela em dispositivos iOS/iPadOS e Android:
Siga as etapas para Configurar as configurações de redirecionamento de dispositivo cliente para o Aplicativo do Windows e o aplicativo de Área de Trabalho Remota usando o Microsoft Intune. A configuração da proteção de captura de tela faz parte de uma política de proteção de aplicativo.
Ao configurar uma política de proteção de aplicativo, na guia Proteção de dados , defina a seguinte configuração, dependendo da plataforma:
Para iOS/iPadOS, defina Enviar dados da organização para outros aplicativos como Nenhum.
Para Android, defina Captura de tela e Google Assistente como Bloquear.
Configure outras configurações com base em seus requisitos e direcione a política de proteção do aplicativo para usuários e dispositivos.
Verificar a proteção de captura de tela
Para verificar se a proteção de captura de tela está funcionando:
Conecte-se a uma nova sessão remota com um cliente compatível. Não se reconecte a uma sessão existente. Você precisa sair de todas as sessões existentes e entrar novamente para que a alteração entre em vigor.
A partir de um dispositivo local, faça uma captura de ecrã ou partilhe o seu ecrã numa chamada ou reunião do Teams. O conteúdo está bloqueado ou oculto.
Em dispositivos Windows e macOS, se você ativou a opção Bloquear captura de tela no cliente e no servidor em seus hosts de sessão, tente capturar a tela usando uma ferramenta ou serviço dentro do host da sessão. O conteúdo está bloqueado ou oculto.
Se você habilitar a proteção de captura de tela em hosts de sessão, deverá se conectar a partir de um dispositivo compatível. Se não o fizer, verá uma mensagem de erro a indicar que a proteção de captura de ecrã está ativada. A mensagem de erro é semelhante a estas capturas de tela:
Navegador da Web:
iOS/iPadOS:
Conteúdos relacionados
Habilite a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.
Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure em Práticas recomendadas de segurança.