屏幕捕获保护以及 水印有助于防止使用特定操作系统 (OS) 功能和 API 在客户端设备上捕获敏感数据。 启用屏幕捕获保护时,将在屏幕截图和屏幕共享中自动屏蔽远程内容。
启用屏幕捕获保护后,用户无法使用本地协作软件(如Microsoft Teams)共享其远程窗口。 使用 Teams 时,本地 Teams 应用或使用 具有媒体优化的 Teams 无法共享受保护的内容。
提示
确定您的配置
屏幕捕获保护的配置步骤取决于配置它的位置、用户连接的平台以及要实现的方案。
Windows和 macOS 设备:通过使用 Intune 设备配置策略或组策略配置会话主机来阻止屏幕捕获。 Windows App或Remote Desktop客户端无需进一步配置即可从会话主机强制实施屏幕捕获保护设置。
在会话主机上配置屏幕捕获保护时,可以配置两项进一步的设置来帮助满足你的要求:
在客户端上阻止屏幕捕获:阻止从远程会话中运行的应用程序的本地设备进行屏幕捕获。
阻止客户端和服务器上的屏幕捕获:阻止从远程会话中运行的应用程序的本地设备的屏幕捕获,但也阻止会话主机中的工具和服务捕获屏幕。
在此应用场景下,以下是从每个平台类型进行连接时的结果:
| 平台 | 允许的连接 | 已阻止的屏幕截图 |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS/iPadOS | ✅¹ | ✅¹ |
| Android | ❌ | 无 |
| 网络 | ❌ | 无 |
1. 共存(iOS/iPadOS):如果在会话主机上启用了屏幕捕获保护,并且在 iOS/iPadOS 上 Windows 应用受 Intune MAM 应用保护策略保护,该策略会阻止在受管理的设备上进行屏幕捕获(应用版本 11.2.4),则允许 iOS/iPadOS 连接,并且在受管理的设备上屏幕捕获会被阻止。
Android 设备:通过使用Microsoft Intune移动应用程序管理(MAM)配置本地设备来阻止屏幕捕获。 它不会阻止会话主机内的工具和服务捕获屏幕。 有关详细信息,请参阅 使用 Microsoft Intune 管理本地设备重定向设置。
在此应用场景下,以下是从每个平台类型进行连接时的结果:
| 平台 | 允许的连接 | 已阻止的屏幕截图 |
|---|---|---|
| Windows | ✅ | ❌ |
| macOS | ✅ | ❌ |
| iOS/iPadOS | ✅ | ✅ |
| Android | ✅ | ✅ |
| 网络 | ✅ | ❌ |
重要
需要根据要求选择要用于屏幕捕获保护的本地设备。 不可能存在一种能够让你从相同的会话主机上同时在所有平台上启用屏幕捕获保护的应用场景。 如果同时配置了两者,则会话主机上的屏幕捕获保护优先于在本地设备上使用 Intune MAM 策略。
macOS 上屏幕捕获保护的平台注意事项
虽然在Windows上完全受支持,但由于平台当前的安全体系结构,macOS 存在已知限制:
Microsoft Teams兼容性:在 macOS 上,启用屏幕捕获保护可能会干扰Microsoft Teams中的屏幕共享,从而导致共享窗口显示为空白或未正确显示。 如果需要基于 Teams 的协作,则可能需要在设备上暂时禁用屏幕捕获保护。
平台级强制实施:由于 macOS 限制,某些本机应用程序可能不完全遵循屏幕捕获保护强制实施。 这是操作系统可用 API 的限制,而非屏幕捕获保护本身的缺陷。
下面是针对这些限制的一些建议:
对于协作密集型 macOS 工作流,请考虑根据业务需求和风险级别配置屏幕捕获保护设置。
对于高度敏感的内容,建议使用Windows终结点来全面实施屏幕保护功能。
水印和管理策略可用于进一步阻止在强制受限的平台上滥用。
先决条件
在配置屏幕捕获保护之前,请确保满足以下先决条件:
- 如果需要配置会话主机,这些会话主机必须运行Windows 11版本 22H2 或更高版本,或者Windows 10版本 22H2 或更高版本。
重要
在 iOS/iPadOS 上,确保用户运行的是最新的 Windows App 11.2.4。 在某些环境中,用户可能需要手动更新应用才能接收最新修补程序。
用户必须使用Windows App或Remote Desktop应用连接到Azure Virtual Desktop,才能使用屏幕捕获保护。 下表显示了支持的方案:
Windows App:
平台 最低版本 桌面会话 RemoteApp 会话 Windows上的Windows App 任意 是 是。 本地设备 OS 必须Windows 11版本 22H2 或更高版本。 macOS 上的Windows App 任意 是 是 iOS/iPadOS 上的Windows App 11.0.8 是 是 Android 上的 Windows App (预览版)¹ 1.0.145 是 是 1. 不包括对 Chrome OS 的支持,因为 Chrome OS 不支持 Intune MAM。
Remote Desktop客户端:
平台 最低版本 桌面会话 RemoteApp 会话 Windows(桌面客户端) 1.2.1672 是 是。 本地设备 OS 必须Windows 11版本 22H2 或更高版本。 Windows(Azure Virtual Desktop应用商店应用) 任意 是 是。 本地设备 OS 必须Windows 11版本 22H2 或更高版本。 macOS 10.7.0 或更高版本 是 是
若要配置Microsoft Intune,需要:
Microsoft Entra ID帐户分配了 Policy and Profile manager 内置 RBAC 角色。
一个包含要配置的设备的组。
若要配置组策略,需要:
作为域管理员安全组成员的 域 帐户。
一个包含要配置的设备的安全组或组织单位 (OU)。
使用 Intune 设备配置策略或组策略在会话主机上启用屏幕捕获保护
选择与您的情景相关的选项卡。
若要使用Microsoft Intune在会话主机上配置屏幕捕获保护,请执行以下作:
为 Windows 10 及更高版本 的设备使用设置目录 配置文件类型创建或编辑配置文件。 在设置选取器中, 浏览到 Administrative templates>Windows Components>Remote Desktop Services>Remote Desktop 会话主机>Azure Virtual Desktop。
选中 “启用屏幕捕获保护”框,然后关闭设置选取器。
展开 “管理模板” 类别,然后将 “启用屏幕捕获保护” 开关切换为 “已启用”。
此屏幕截图显示了 Microsoft Intune 中的屏幕捕获保护设置。 将“屏幕捕获保护选项(设备)”的开关根据你的需要切换为“关闭”以阻止客户端上的屏幕捕获,或者切换为“打开”以阻止客户端和服务器上的屏幕捕获,然后选择“确定”。
选择“下一步”。
可选:在“范围标记”选项卡上,选择用于筛选配置文件的范围标记。 若要详细了解范围标记,请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT。
在“分配”选项卡上选择一个组(其中包含提供你要配置的远程会话的计算机),然后选择“下一步”。
在“查看 + 创建”选项卡上查看设置,然后选择“创建”。
策略应用于提供远程会话的计算机后,请重启它们,使设置生效。
使用 Intune MAM 在本地设备上启用屏幕捕获保护
若要在运行Windows App的 iOS/iPadOS 和 Android 设备上使用屏幕捕获保护,需要配置 Intune 应用保护策略。
配置Intune应用保护策略以在 iOS/iPadOS 和 Android 设备上启用屏幕捕获保护:
按照步骤要求本地客户端设备的安全符合性满足Microsoft Intune和Microsoft Entra条件访问的要求。 本地客户端设备安全符合性提供了在运行Windows App的 iOS/iPadOS 和 Android 设备上配置屏幕捕获保护的基础。
配置应用保护策略时,在“ 数据保护 ”选项卡上,根据平台配置以下设置:
对于 iOS/iPadOS,请将 “将组织数据发送到其他应用 ”设置为 “无”。
对于 Android,请将 “屏幕捕获和 Google 助手” 设置为 “阻止”。
根据要求配置其他设置,并将应用保护策略定向到用户和设备。
验证屏幕截图保护
若要验证屏幕截图保护是否有效,请采取以下操作:
使用支持的客户端连接到新的远程会话。 不要重新连接现有会话。 需要注销任何现有会话并重新登录,才能使更改生效。
在本地设备上,截取屏幕截图或在 Teams 通话或会议中共享你的屏幕。 内容被屏蔽或隐藏。
在 Windows 和 macOS 设备上,如果启用了 阻止客户端和服务器上的屏幕捕获,请尝试在会话主机中使用工具或服务捕获屏幕。 内容被屏蔽或隐藏。
如果在会话主机上启用屏幕捕获保护,则必须从受支持的设备进行连接。 如果未启用,则会看到一条错误消息,指示已启用屏幕捕获保护。 错误消息类似于以下屏幕截图:
Web 浏览器:
iOS/iPadOS:
