Azure 虚拟桌面中的水印
水印以及屏幕捕获保护有助于防止在客户端终结点上捕获敏感信息。 启用水印后,QR 码水印会显示为远程桌面的一部分。 QR 码包含远程会话的连接 ID 或设备 ID,管理员可以使用它来跟踪会话。 使用组策略的会话主机上会配置水印是,并由 Windows 应用或远程桌面客户端强制实施。
下面的屏幕截图显示了启用水印后的外观:
重要
在会话主机上启用水印后,只有支持水印的客户端才能连接到该会话主机。 如果尝试从不受支持的客户端进行连接,则连接将失败,并且你会收到一条不明确的错误消息。
水印仅适用于远程桌面。 如果使用 RemoteApp,则不会应用水印,并且允许连接。
如果使用远程桌面连接应用 (
mstsc.exe
) 直接连接到会话主机(不通过 Azure 虚拟桌面),则不会应用水印,允许连接。
先决条件
在使用水印之前,需要具备以下条件:
具有会话主机的主机池。
一个 Microsoft Entra ID 帐户,至少分配有主机池上内置的桌面虚拟化主机池参与者这一基于角色的访问控制 (RBAC) 角色。
支持水印的客户端。 以下客户端支持水印:
远程桌面客户端用于:
- Windows 10 及更高版本上的 Windows 桌面版本 1.2.3317 或更高版本。
- iOS/iPadOS 版本 10.5.4 或更高版本。
Windows 应用用于:
- Windows
为你的环境配置的 Azure 虚拟桌面见解。
如果在 Active Directory 域中使用组策略管理会话主机,则需要:
属于“域管理员”安全组成员的域帐户。
包含要配置的会话主机的安全组或组织单位 (OU)。
启用水印
若要使用组策略启用水印,请执行以下操作:
按照步骤,让 Azure 虚拟桌面的管理模板可供使用。
在用于管理 Active Directory 域的设备上打开“组策略管理”控制台,然后创建或编辑面向提供要配置的远程会话的计算机的策略。
导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。
打开名为“启用水印”的策略设置并将其设置为“已启用”。
您可以配置下列选项:
选项 值 说明 QR 码位图比例因子 1 到 10
(默认值 = 4)每个 QR 码点的尺寸(以像素为单位)。 该值决定 QR 码中每个点的方块数。 QR 码位图不透明度 100 到 9999(默认值 = 2000) 水印的透明程度,其中 100 表示完全透明,9999 表示完全不透明。 与 QR 码位图宽度相关的网格框宽度百分比 100 到 1000
(默认值 = 320)决定 QR 码之间的距离(以百分比为单位)。 当与高度结合使用时,值为 100 将使 QR 码并排显示并填满整个屏幕。 与 QR 码位图宽度相关的网格框高度百分比 100 到 1000
(默认值 = 180)决定 QR 码之间的距离(以百分比为单位)。 当与宽度结合使用时,值为 100 将使 QR 码并排显示并填满整个屏幕。 QR 码嵌入内容 连接 ID(默认值)
设备 ID指定应在 QR 码中使用连接 ID 还是设备 ID。 仅选择具有属于个人主机池并已联接到 Microsoft Entra ID 或已建立 Microsoft Entra 混合联接的会话主机的设备 ID。 提示
建议尝试不同的不透明度值,以便在远程会话可读性和扫描 QR 码的能力之间找到平衡,但保留其他参数的默认值。
请确保将策略应用于会话主机,然后刷新会话主机上的组策略或重启它们,使设置生效。
使用受支持的客户端连接到远程会话,其中应会显示 QR 码。 任何现有会话都需要注销再重新登录才能使更改生效。
查找会话信息
启用水印后,可以通过使用 Azure 虚拟桌面见解或查询 Azure Monitor Log Analytics,从 QR 码查找会话信息。
Azure Virtual Desktop Insights
使用 Azure 虚拟桌面见解从 QR 码中查找会话信息:
打开 Web 浏览器并转到此链接以打开 Azure 虚拟桌面见解。 在系统提示时使用 Azure 凭据登录。
选择相关的订阅、资源组、主机池和时间范围,然后选择“连接诊断”选项卡。
在“(重新)建立连接的成功率(连接的百分比)”部分中,有一个所有连接的列表,其中显示了“首次尝试”、“连接 ID”、“用户”和“尝试次数”。 可以从此列表中的 QR 码查找连接 ID,也可以导出到 Excel。
Azure Monitor Log Analytics
通过查询 Azure Monitor Log Analytics 从 QR 码中找出会话信息:
登录 Azure 门户。
在搜索栏中,键入 Log Analytics 工作区并选择匹配的服务条目。
选择并打开连接到 Azure 虚拟桌面环境的 Log Analytics 工作区。
在“常规”下,选择“日志”。
启动新查询,然后运行以下查询获取特定连接 ID(在 Log Analytics 中表示为 CorrelationId)的会话信息,将
<connection ID>
替换为 QR 码中的完整或部分值:WVDConnections | where CorrelationId contains "<connection ID>"