Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита от захвата экрана, наряду с водяными знаками, помогает предотвратить захват конфиденциальных данных на клиентских устройствах с помощью определенных функций операционной системы (ОС) и API. При включении защиты снимка экрана удаленное содержимое автоматически блокируется на снимках экранах и совместном использовании экрана. Эту функцию можно применять к виртуальным машинам Azure виртуальных рабочих столов и Windows 365 облачных пк.
Если включена защита от захвата экрана (SCP) для блокировки захвата экрана на клиенте, пользователи могут продолжать делиться своим удаленным рабочим столом или отдельными приложениями, используя поддерживаемые возможности совместной работы, такие как Microsoft Teams. Совместимость между SCP и общим доступом к экранам Teams зависит от использования поддерживаемых конфигураций клиентов. Если используются неподдерживаемые конфигурации, защищенное содержимое может отображаться в виде черного экрана во время общего доступа. Текущие требования к совместимости и рекомендации по настройке с Teams см. здесь.
Важно!
Защита от захвата экрана не обеспечивает защиту на уровне управления цифровыми правами (DRM). Он предотвращает захват экрана с помощью стандартных функций ОС и API и не заменяет решения DRM. Для комплексной защиты данных используйте защиту от захвата экрана в рамках более широкой стратегии глубокой защиты, которая включает в себя другие элементы управления, такие как политики условного доступа, защита от потери данных и управление конечными точками.
Совет
Чтобы повысить безопасность конфиденциальной информации, следует также отключить перенаправление буфера обмена, диска и принтера. Отключение перенаправления помогает запретить пользователям копировать содержимое из удаленного сеанса. Сведения о поддерживаемых значениях перенаправления см. в статье Перенаправление устройств.
Чтобы запретить другие методы захвата экрана, такие как фото экрана с физической камерой, можно включить подложки, где администраторы могут использовать QR-код для отслеживания сеанса.
Определение конфигурации
Действия по настройке защиты от захвата экрана зависят от того, где вы ее настраиваете, с каких платформ подключаются пользователи и какой сценарий вы хотите реализовать.
Устройства Windows и macOS: вы можете запретить захват экрана, настроив виртуальные машины (Azure Виртуальный рабочий стол) или облачные компьютеры (Windows 365) с помощью политики конфигурации Intune устройств или групповая политика. приложение для Windows или клиент удаленного рабочего стола применяет параметры защиты захвата экрана без дополнительной настройки.
При настройке защиты от захвата экрана на виртуальных машинах или облачных компьютерах можно настроить два дополнительных параметра, которые помогут вам в соответствии с вашими требованиями:
Блокировать захват экрана на клиенте: запрещает захват экрана с локального устройства приложений, запущенных в удаленном сеансе.
Блокировать захват экрана на клиенте и сервере: запрещает захват экрана с локального устройства приложений, работающих в удаленном сеансе, но также предотвращает захват экрана средствами и службами в виртуальной машине или облачном компьютере.
В этом сценарии ниже приведен результат подключения с каждого типа платформы:
| Платформа | Подключение разрешено | Снимок экрана заблокирован |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS/iPadOS | ✅¹ | ✅¹ |
| Android | ✅ 1 | ✅ 1 |
| Web | ❌ | Н/Д |
1. Гибридное применение (iOS,iPadOS/Android): если на виртуальной машине или облачном компьютере включена защита от захвата экрана, подключения с управляемых устройств iOS/iPadOS и Android разрешены при защите с помощью политики защиты приложений MAM Intune, которая блокирует захват экрана. Гибридное применение не применяется на платформах, которые не поддерживают Intune MAM.
Примечание.
Для гибридного применения требуются следующие минимальные версии приложений:
- iOS/iPadOS: приложение для Windows версии 11.2.4
- Android: приложение для Windows версии 11.0.0.94 (или более поздней с поддержкой гибридного применения)
Android & устройствах iOS. Снимки экрана предотвращаются путем настройки локальных устройств с помощью Microsoft Intune управления мобильными приложениями (MAM). Это не препятствует захвату экрана средствами и службами в виртуальной машине или облачном компьютере. Дополнительные сведения см. в статье Управление параметрами перенаправления локальных устройств с помощью Microsoft Intune.
В этом сценарии ниже приведен результат подключения с каждого типа платформы:
| Платформа | Подключение разрешено | Снимок экрана заблокирован |
|---|---|---|
| Windows | ✅ | ❌ |
| macOS | ✅ | ❌ |
| iOS/iPadOS | ✅ | ✅ |
| Android | ✅ | ✅ |
| Web | ✅ | ❌ |
Важно!
Для устройств Android и iOS/iPadOS в Intune поддерживается гибридное принудительное применение (конфигурация MAM).
Рекомендации по использованию платформы для защиты от захвата экрана в macOS
Хотя в Windows полностью поддерживается, существуют известные ограничения для macOS из-за текущей архитектуры безопасности платформы:
Совместимость Microsoft Teams. В macOS включение защиты от захвата экрана может помешать совместному использованию экрана в Microsoft Teams, что может привести к тому, что общие окна будут отображаться пустыми или не будут отображаться должным образом. Если требуется совместная работа на основе Teams, на устройстве может потребоваться временно отключить защиту от захвата экрана.
Принудительное применение на уровне платформы. Из-за ограничений macOS некоторые собственные приложения могут не полностью соблюдать принудительное применение защиты от захвата экрана. Это ограничение доступных API операционной системы, а не дефект в самой защите от захвата экрана.
Ниже приведены некоторые рекомендации по этим ограничениям.
Для рабочих процессов macOS с высокой интенсивностью совместной работы рекомендуется настроить параметры защиты от захвата экрана в зависимости от бизнес-потребности и уровня риска.
Для содержимого с высоким уровнем конфиденциальности рекомендуется использовать конечные точки Windows для полного применения функций защиты экрана.
Водяные знаки и административные политики можно использовать для дальнейшего противодействия неправильному использованию на платформах с ограниченным применением.
Шаблоны развертывания Администратор
В следующих шаблонах описаны распространенные сценарии развертывания для защиты от захвата экрана.
Шаблон 1. Конечные точки рабочего стола (Windows и macOS)
Если пользователи подключаются только с устройств Windows или macOS, настройте защиту захвата экрана на виртуальных машинах (Azure Виртуальный рабочий стол) или облачных компьютерах (Windows 365) с помощью политики конфигурации Intune устройств или групповая политика. Настройка MAM не требуется.
- Настройте виртуальные машины (Azure Виртуальный рабочий стол) или облачные компьютеры (Windows 365) с включенной защитой захвата экрана.
- приложение для Windows и клиент удаленного рабочего стола автоматически обеспечивают защиту.
Шаблон 2. Смешанные конечные точки (Windows/macOS и Android/iOS)
Если пользователи подключаются как с настольных, так и с мобильных устройств, используйте гибридное принудительное применение. Настройте защиту захвата экрана как на виртуальной машине, так и на облачном компьютере, а также в политике защиты приложений MAM Intune.
- Настройте виртуальные машины (Azure Виртуальный рабочий стол) или облачные компьютеры (Windows 365) с включенной защитой захвата экрана (Intune или групповая политика).
- Настройте политику защиты приложений Intune MAM, чтобы заблокировать захват экрана на устройствах Android и iOS/iPadOS.
- В Android и iOS/iPadOS приложение для Windows поддерживает гибридное применение: если настроенная администратором SCP и блокировка экрана с блоком политики MAM, подключение разрешено, а запись экрана заблокирована. Если политика MAM не блокирует захват экрана, подключение Android и iOS/iPadOS блокируется.
Предварительные условия
Перед настройкой защиты от захвата экрана убедитесь, что выполнены следующие предварительные требования:
В сценариях, в которых необходимо настроить виртуальные машины или облачные компьютеры, эти виртуальные машины или облачные компьютеры должны работать под управлением Windows 11 версии 22H2 или более поздней или Windows 10 версии 22H2 или более поздней.
Чтобы использовать защиту от захвата экрана, пользователи должны подключиться к виртуальному рабочему столу Azure с помощью приложение для Windows или приложения удаленного рабочего стола. В следующей таблице показаны поддерживаемые сценарии.
приложение для Windows:
Платформа Минимальная версия Сеанс рабочего стола Сеанс RemoteApp приложение для Windows в Windows Любой Да Да. Ос локального устройства должна быть Windows 11 версии 22H2 или более поздней. приложение для Windows в macOS Любой Да Да приложение для Windows в iOS/iPadOS 11.2.4 Да Да приложение для Windows на Android¹ 11.0.0.94 Да Да 1. Не включает поддержку Chrome OS, так как Intune MAM не поддерживается в Chrome OS.
Клиент удаленного рабочего стола:
Платформа Минимальная версия Сеанс рабочего стола Сеанс RemoteApp Windows (классический клиент) 1.2.1672 Да Да. Ос локального устройства должна быть Windows 11 версии 22H2 или более поздней. macOS 10.7.0 или более поздней версии Да Да
Чтобы настроить Microsoft Intune, вам потребуется:
Microsoft Entra ID учетную запись, которому назначена встроенная роль диспетчера политик и профилей RBAC.
Группа, содержащая устройства, которые требуется настроить.
Чтобы настроить групповая политика, вам потребуется следующее:
Учетная запись домена, которая является членом группы безопасности "Администраторы домена ".
Группа безопасности или подразделение, содержащее устройства, которые нужно настроить.
Включение защиты от захвата экрана на виртуальных машинах и облачных компьютерах с помощью политики конфигурации устройства Intune или групповая политика
Выберите соответствующую вкладку для своего сценария.
Чтобы настроить защиту снимка экрана на виртуальных машинах (Azure Виртуальный рабочий стол) или облачных компьютерах (Windows 365) с помощью Microsoft Intune:
Войдите в Центр администрирования Microsoft Intune.
Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.
В окне выбора параметров перейдите к разделу Административные шаблоны>Компоненты Windows Службыудаленных рабочих столов> Узел > сеансов >удаленных рабочих столовAzure Виртуальный рабочий стол.
Установите флажок Включить защиту от захвата экрана, а затем закройте средство выбора параметров.
Разверните категорию Административные шаблоны , а затем установите переключатель Включить защиту снимка экрана в положение Включено.
Переключите переключатель параметра Параметры защиты от захвата экрана (устройство) в положение "Отключить " для параметра Блокировать захват экрана на клиенте или в полеБлокировать захват экрана на клиенте и сервере в соответствии с вашими требованиями, а затем нажмите кнопку ОК.
Нажмите кнопку Далее.
Необязательно. На вкладке Теги области выберите тег область, чтобы отфильтровать профиль. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.
На вкладке Назначения выберите группу, содержащую компьютеры, предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку Далее.
На вкладке Просмотр и создание просмотрите параметры, а затем выберите Создать.
После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.
Включение защиты захвата экрана на локальных устройствах с помощью Intune MAM
Чтобы использовать защиту от захвата экрана на устройствах iOS/iPadOS и Android под управлением приложение для Windows, необходимо настроить политику защиты приложений Intune.
Чтобы настроить политику защиты приложений Intune для включения защиты снимка экрана на устройствах iOS/iPadOS и Android:
Выполните действия, описанные в статье Требование обеспечения безопасности локального клиентского устройства с помощью Microsoft Intune и условного доступа Microsoft Entra. Соответствие требованиям безопасности локального клиентского устройства обеспечивает основу для настройки защиты от захвата экрана на устройствах iOS/iPadOS и Android под управлением приложение для Windows.
При настройке политики защиты приложений на вкладке Защита данных настройте следующий параметр в зависимости от платформы:
Для iOS/iPadOS установите для параметра Захват экрана значение Блокировать.
Для Android установите для параметра Захват экрана значение Блокировать.
Настройте другие параметры на основе ваших требований и нацелите политику защиты приложений на пользователей и устройства.
Проверка защиты снимка экрана
Чтобы убедиться, что защита от захвата экрана работает, выполните приведенные ниже действия.
Подключитесь к новому удаленному сеансу с помощью поддерживаемого клиента. Не подключайтесь к существующему сеансу. Чтобы изменения вступают в силу, необходимо выйти из существующих сеансов и снова войти в систему.
С локального устройства сделайте снимок экрана или поделитесь своим экраном во время звонка или собрания Teams. Содержимое заблокировано или скрыто.
Если на устройствах Windows и macOS включена блокировка захвата экрана на клиенте и сервере на виртуальных машинах или облачных компьютерах, попробуйте записать экран с помощью средства или службы в виртуальной машине или облачном компьютере. Содержимое заблокировано или скрыто.
Если вы включили защиту снимка экрана на виртуальных машинах или облачных компьютерах, необходимо подключиться с поддерживаемого устройства. В противном случае появится сообщение об ошибке, указывающее, что защита от захвата экрана включена. Сообщение об ошибке выглядит примерно так:
Веб-браузер:
iOS/iPadOS:
Проверка и устранение неполадок гибридного применения Android или iOS/iPadOS
При включении SCP, настроенного администратором, подключения Android или iOS/iPadOS разрешены только в том случае, если политика защиты приложений MAM также блокирует захват экрана (гибридное применение).
Чтобы убедиться, что гибридное применение Android или iOS/iPadOS работает, выполните приведенные далее действия.
Убедитесь, что политика защиты приложений MAM Intune применяется к пользователю и устройству. В Центре администрирования Microsoft Intune проверка состояние политики защиты приложений для пользователя в разделеМонитор>приложений>защита приложений состояние.
На устройстве Android или iOS/iPadOS выйдите из приложение для Windows и войдите в систему, чтобы получить последние параметры политики.
Подключитесь к удаленному сеансу. Если настроенная администратором SCP и блок политики MAM снимка экрана, подключение будет выполнено успешно, а запись экрана блокируется.
Если подключения Android или iOS/iPadOS неожиданно заблокированы, проверка следующее:
- Убедитесь, что политика защиты приложений MAM назначена пользователю, а для захвата экрана задано значение Блокировать.
- Перезапустите приложение для Windows на устройстве Android, iOS/iPadOS или выйдите из системы и снова войдите в систему.
- Убедитесь, что установленная версия приложение для Windows для Android или iOS/iPadOS поддерживает гибридное применение.
- Убедитесь, что устройство Android не работает под управлением ChromeOS или Meta Quest, которые не поддерживают Intune MAM.
Совет
Если пользователь заблокирован из-за того, что политика MAM не применяется или не блокирует захват экрана, порекомендуйте следующее сообщение, чтобы помочь ему разобраться в проблеме:
"Для подключения к этому удаленному сеансу ваша организация требует, чтобы на вашем устройстве была применена защита от захвата экрана. Убедитесь, что вы используете приложение для Windows с управляемого устройства с политикой защиты приложений, которая блокирует захват экрана. Обратитесь за помощью к ИТ-администратору".
Связанные материалы
Включите подложку, где администраторы могут использовать QR-код для трассировки сеанса.
Сведения о том, как защитить развертывание виртуального рабочего стола Azure, см. в статье Рекомендации по обеспечению безопасности.