启用 Azure 虚拟桌面中的屏幕捕获保护
屏幕捕获保护以及水印通过一组特定的操作系统 (OS) 功能和应用程序编程接口 (API) 来帮助防止客户端终结点上的敏感信息被捕获。 启用屏幕捕获保护时,将在屏幕截图和屏幕共享中自动屏蔽远程内容。 可以使用会话主机上的组策略配置屏幕截图保护。
屏幕捕获保护有两种受支持的方案,具体取决于所使用的 Windows 版本:
在客户端上屏蔽屏幕捕获:会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 此选项可防止在远程会话中运行的应用程序的客户端进行屏幕截图。
在客户端和服务器上屏蔽屏幕捕获:会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 此选项可防止在远程会话中运行的应用程序的客户端进行屏幕截图,但也阻止会话主机内的工具和服务捕获屏幕。
启用屏幕捕获保护后,用户无法使用本地协作软件(如 Microsoft Teams)共享其远程桌面窗口。 在 Teams 中,本地 Teams 应用和媒体优化的 Teams 都无法共享受保护的内容。
提示
先决条件
你的会话主机必须运行以下 Windows 版本之一才能使用屏幕捕获保护:
- 在客户端上屏蔽屏幕捕获在支持的 Windows 10 或 Windows 11 版本中可用。
- 在客户端和服务器上屏蔽屏幕捕获在 Windows 11 版本 22H2 及之后的版本中可用。
用户必须使用 Windows 应用或远程桌面应用连接到 Azure 虚拟桌面才能使用屏幕截图保护。 下表显示了支持的方案。 如果用户尝试使用不同的应用程序或版本进行连接,则系统会拒绝连接并显示包含代码
0x1151
的错误消息。应用 版本 桌面会话 RemoteApp 会话 Windows 上的 Windows 应用 任意 是 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。 Windows 上的远程桌面客户端 1.2.1672 或更高版本 是 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。 Azure 虚拟桌面应用商店应用 任意 是 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。
若要配置组策略,需要:
属于“域管理员”安全组成员的域帐户。
一个包含要配置的设备的安全组或组织单位 (OU)。
启用屏幕捕获保护
屏幕捕获保护在会话主机上配置,并由客户端执行。 使用组策略配置设置。
若要使用组策略配置屏幕截图保护,请执行以下操作:
按照步骤操作,使 Azure 虚拟桌面的管理模板可以在组策略中使用。
在你用于管理 Active Directory 域的设备上打开“组策略管理”控制台。
创建或编辑面向提供你要配置的远程会话的计算机的策略。
导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。
双击策略设置“启用屏幕剪辑保护”将其打开,然后选择“启用”。
从下拉菜单中,根据需求从“阻止在客户端进行屏幕截图”或“阻止在客户端和服务器上进行屏幕截图”中选择要使用的屏幕截图保护方案,然后选择“确定”。
确保将策略应用于提供远程会话的计算机,然后重启这些计算机,使设置生效。
验证屏幕截图保护
若要验证屏幕截图保护是否有效,请采取以下操作:
使用支持的客户端连接到远程会话。
在 Teams 通话或会议中截取屏幕截图或共享你的屏幕。 内容应该会被屏蔽或隐藏。 若要使更改生效,任何现有会话都需要注销并重新登录。