共用方式為

在 Azure 虛擬桌面中啟用螢幕擷取保護

  • 發行項

螢幕擷取保護以及 浮水印,有助於防止使用特定作系統 (OS) 功能和 API 在用戶端裝置上擷取敏感數據。 當您啟用螢幕擷取保護時,螢幕擷取畫面和螢幕畫面分享會自動封鎖遠端內容。

啟用螢幕擷取保護時,用戶無法使用本機共同作業軟體共用其遠端視窗,例如Microsoft Teams。 使用 Teams 時,本機 Teams 應用程式或使用 具有媒體優化的 Teams 無法共享受保護的內容。

提示

  • 若要提高敏感性資訊的安全性,您也應該停用剪貼簿、磁碟機和印表機重新導向。 停用重新導向可協助防止使用者從遠端工作階段中複製內容。 若要了解支援的重新導向值,請參閱裝置重新導向

  • 若要勸阻其他螢幕擷取方法,例如使用實體相機拍攝螢幕相片,您可以啟用浮水印,讓系統管理員可以使用 QR 代碼來追蹤工作階段。

判斷您的組態

設定螢幕擷取保護的步驟取決於您設定它的位置、使用者所連線的平臺,以及您想要達成的案例。

  • Windows 和 macOS 裝置:您可以使用 Intune 裝置設定原則或組策略來設定會話主機,以防止螢幕擷取。 Windows 應用程式或遠端桌面用戶端會強制執行工作階段主機的螢幕擷取保護設定,而不需進一步設定。

    當您在工作階段主機上設定螢幕擷取保護時,您可以設定兩個進一步的設定來協助符合您的需求:

    • 封鎖用戶端上的螢幕擷取:防止從遠端會話中執行之應用程式的本機裝置進行螢幕擷取。

    • 封鎖用戶端和伺服器上的螢幕擷取:防止從遠端會話中執行之應用程式的本機裝置進行螢幕擷取,但也防止會話主機內的工具和服務擷取畫面。

    在此案例中,以下是從每個平臺類型連線時的結果:

    平台 允許連線 已封鎖螢幕擷取
    Windows
    macOS
    iOS/iPadOS N/A
    Android N/A
    Web N/A

  • iOS/iPadOS 和 Android 裝置:您可以使用 Intune 應用程式保護原則來設定本機裝置,這是行動應用程式管理(MAM)的一部分,以防止螢幕擷取。 它不會防止會話主機內擷取畫面的工具和服務。

    在此案例中,以下是從每個平臺類型連線時的結果:

    平台 允許連線 已封鎖螢幕擷取
    Windows
    macOS
    iOS/iPadOS
    Android
    Web

重要

您必須根據需求,選擇要搭配螢幕擷取保護使用的本機裝置。 您無法同時在相同會話主機的所有平台上啟用螢幕擷取保護。 如果兩者都已設定,會話主機上的螢幕擷取保護優先於在本機裝置上使用 Intune MAM 原則。

必要條件

  • 針對需要設定會話主機的案例,這些會話主機必須執行 Windows 11 版本 22H2 或更新版本,或 Windows 10 版本 22H2 或更新版本。

  • 使用者必須使用 Windows 應用程式或遠端桌面應用程式連線到 Azure 虛擬桌面,才能使用螢幕擷取保護。 下表顯示支援的案例:

    • Windows 應用程式:

      平台 最低版本 桌面工作階段 RemoteApp 工作階段
      Windows 上的 Windows 應用程式 任意 Yes 是。 本機裝置 OS 必須是 Windows 11 版本 22H2 或更新版本。
      macOS 上的 Windows 應用程式 任意 Yes Yes
      iOS/iPadOS 上的 Windows 應用程式 11.0.8 Yes Yes
      Android 上的 Windows 應用程式 (預覽)1 1.0.145 Yes Yes

      1.不包含 Chrome OS 的支持,因為 Chrome OS 不支援 Intune MAM。

    • 遠端桌面用戶端:

      平台 最低版本 桌面工作階段 RemoteApp 工作階段
      Windows (桌面用戶端) 1.2.1672 Yes 是。 本機裝置 OS 必須是 Windows 11 版本 22H2 或更新版本。
      Windows (Azure 虛擬桌面市集應用程式) 任意 Yes 是。 本機裝置 OS 必須是 Windows 11 版本 22H2 或更新版本。
      macOS 10.7.0 或更新版本 Yes Yes

  • 若要設定 Microsoft Intune,您需要:

  • 若要設定群組原則,您需要:

    • 網域帳戶,屬於網域管理員安全性群組的成員。

    • 包含您想要設定之裝置的安全群組或組織單位 (OU)。

使用 Intune 裝置設定原則或組策略在會話主機上啟用螢幕擷取保護

選取案例相關的索引標籤。

若要使用 Microsoft Intune 在會話主機上設定螢幕擷取保護:

  1. 登入 Microsoft Intune 系統管理中心

  2. 使用 [設定目錄] 設定檔類型,為 Windows 10 和更新版本的裝置建立或編輯組態設定檔。

  3. 在設定選擇器中,瀏覽至 [系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[Azure 虛擬桌面]

    螢幕擷取畫面顯示 Microsoft Intune 入口網站中的 [Azure 虛擬桌面] 選項。

  4. 選取 [啟用螢幕擷取保護] 方塊,然後關閉設定選擇器。

  5. 展開 [系統管理範本] 類別,然後將 [啟用螢幕擷取保護] 切換為 [已啟用]

    顯示 Microsoft Intune 螢幕擷取保護設定的螢幕擷取畫面。

  6. 切換 [螢幕擷取保護選項 (裝置)] 的開關,以根據您的需求針對 [封鎖用戶端上的螢幕擷取] 切換為 [關閉],或針對 [封鎖用戶端和伺服器上的螢幕擷取] 切換為 [開啟],然後選取 [確定]

  7. 選取 [下一步]。

  8. 選用:在 [範圍標籤] 索引標籤上,選取範圍標籤以篩選設定檔。 如需範圍標籤的詳細資訊,請參閱將角色型存取控制 (RBAC) 和範圍標籤用於分散式 IT

  9. 在 [指派] 索引標籤上,確認哪些電腦提供您要設定的遠程工作階段並選取其所屬的群組,然後選取 [下一步]

  10. 在 [檢閱 + 建立] 索引標籤上檢閱設定,然後選取 [建立]

  11. 在原則套用至提供遠端工作階段的電腦後,請將電腦重新啟動,使設定生效。

使用 Intune MAM 在本機裝置上啟用螢幕擷取保護

若要在執行 Windows 應用程式的 iOS/iPadOS 和 Android 裝置上使用螢幕擷取保護,您必須設定 Intune 應用程式保護原則。

若要設定 Intune 應用程式保護原則,以在 iOS/iPadOS 和 Android 裝置上啟用螢幕擷取保護:

  1. 請遵循使用 Microsoft Intune 設定 Windows 應用程式和遠端桌面應用程式的用戶端裝置重新導向設定的步驟。 螢幕擷取保護的設定是應用程式保護原則的一部分。

  2. 設定應用程式保護原則時,請在 [資料保護] 索引標籤上,根據平台設定下列設定:

    1. 針對 iOS/iPadOS,將 [將組織數據傳送至其他應用程式] 設定[無]。

    2. 針對 Android,將 [螢幕擷取] 和 [Google Assistant] 設定為 [封鎖]。

  3. 根據您的需求設定其他設定,並將應用程式保護原則的目標設定為用戶和裝置。

確認螢幕擷取保護

若要確認螢幕擷取保護是否正常運作:

  1. 使用支援的用戶端連線到新的遠端會話。 請勿重新連線到現有的工作階段。 您必須註銷任何現有的會話,然後重新登入,變更才會生效。

  2. 從本機裝置,擷取螢幕快照,或在Teams通話或會議中共用您的畫面。 內容遭到封鎖或隱藏。

  3. 在 Windows 和 macOS 裝置上,如果您在會話主機上的用戶端和伺服器上啟用 [封鎖螢幕擷取],請嘗試使用會話主機內的工具或服務來擷取畫面。 內容遭到封鎖或隱藏。

如果您在會話主機上啟用螢幕擷取保護,則必須從支援的裝置連線。 如果沒有,您會看到錯誤訊息,指出已啟用螢幕擷取保護。 錯誤訊息看起來類似下列螢幕快照:

  • 瀏覽器:

    網頁瀏覽器中 Windows 應用程式的螢幕快照,其中顯示螢幕擷取已啟用的錯誤訊息,而且您需要從支援的用戶端連線。

  • iOS/iPadOS:

    Windows App for iOS/iPadOS 的螢幕快照,其中顯示螢幕擷取已啟用的錯誤訊息,而且您需要從支援的用戶端連線。

相關內容

  • 啟用浮水印,其中系統管理員可以使用 QR 代碼來追蹤工作階段。

  • 安全性最佳做法中了解如何保護 Azure 虛擬桌面部署。