Поделиться через

Подложка в Виртуальном рабочем столе Azure

  • Статья

Подложка, наряду с защитой захвата экрана, помогает предотвратить захват конфиденциальной информации на конечных точках клиента. При включении водяного знака подложки QR-кода отображаются как часть удаленных рабочих столов. QR-код содержит идентификатор подключения или идентификатор устройства удаленного сеанса, который администраторы могут использовать для трассировки сеанса. Подложка настраивается на узлах сеансов с помощью Microsoft Intune или групповой политики и применяется приложением Windows или клиентом удаленного рабочего стола.

Ниже приведен снимок экрана, на котором показано, как выглядит подложка, когда она включена:

Снимок экрана: подложка включена на удаленном рабочем столе.

Внимание

  • После включения водяного знака на узле сеанса только клиенты, поддерживающие подложку, могут подключаться к узлу сеанса. Если вы пытаетесь подключиться из неподдерживаемого клиента, подключение завершится ошибкой, и вы получите сообщение об ошибке, которое не является конкретным.

  • Водяной знак предназначен только для удаленных рабочих столов. При использовании RemoteApp водяной знак не применяется, и подключение разрешено.

  • Если вы подключаетесь к узлу сеанса напрямую (не через виртуальный рабочий стол Azure) с помощью приложения подключения к удаленному рабочему столу (mstsc.exe), водяной знак не применяется и подключение разрешено.

Необходимые компоненты

Прежде чем использовать подложку, вам потребуется следующее:

  • Существующий пул узлов с узлами сеансов.

  • Учетная запись идентификатора Microsoft Entra, назначенная ролью участника пула узлов виртуализации рабочих столов, встроенного в пул узлов на основе ролей (RBAC) в пуле узлов как минимум.

  • Клиент, поддерживающий подложку. Следующие клиенты поддерживают подложку:

    • Клиент удаленного рабочего стола для:

    • Приложение Windows для:

      • Windows
      • macOS
      • iOS и iPadOS
      • Веб-браузер

  • Аналитика виртуальных рабочих столов Azure, настроенная для вашей среды.

  • Если вы управляете узлами сеансов с помощью Microsoft Intune, вам потребуется:

    • Учетная запись идентификатора Microsoft Entra, назначенная встроенной роли диспетчера политик и профилей RBAC.

    • Группа, содержащая устройства, которые требуется настроить.

  • Если вы управляете узлами сеансов с помощью групповой политики в домене Active Directory, вам потребуется:

    • Учетная запись домена, являющаяся членом группы безопасности администраторов домена.

    • Группа безопасности или подразделение (OU), содержащая узлы сеансов, которые требуется настроить.

Включение водяного знака

Выберите соответствующую вкладку для вашего сценария.

Чтобы включить подложку с помощью Microsoft Intune, выполните следующее:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

  3. В средстве выбора параметров перейдите к административным шаблонам>компонентов Windows Components>Remote Desktop Services>Remote Desktop Host Virtual Desktop Host>Azure.

    Снимок экрана: Центр администрирования Intune с параметрами виртуального рабочего стола Azure.

  4. Установите флажок " Включить водяной знак", а затем закройте средство выбора параметров.

    Внимание

    Не выбирайте [Не рекомендуется] Включите подложку , так как этот параметр не включает параметр для указания внедренного СОДЕРЖИМОго QR-кода.

  5. Разверните категорию административных шаблонов, а затем переключите переключатель для включения водяного знака в значение "Включено".

    Снимок экрана: доступные параметры для подложки в Intune.

  6. Можно настроить следующие параметры:

    Вариант Значения Description
    Коэффициент масштабирования растрового изображения QR-кода От 1 до 10
    (по умолчанию = 4)    		 Размер в пикселях каждой точки QR-кода. Это значение определяет, сколько квадратов на точку в QR-коде.
    Непрозрачность растрового изображения QR-кода От 100 до 9999 (по умолчанию = 2000) Насколько прозрачным является водяной знак, где 100 полностью прозрачны.
    Ширина поля сетки в процентах, относящихся к ширине растрового изображения QR-кода От 100 до 1000
    (по умолчанию = 320)    		 Определяет расстояние между QR-кодами в процентах. При сочетании с высотой значение 100 сделает QR-коды появляется параллельно и заполняет весь экран.
    Высота поля сетки в процентах, относящихся к ширине растрового изображения QR-кода От 100 до 1000
    (по умолчанию = 180)    		 Определяет расстояние между QR-кодами в процентах. В сочетании с шириной значение 100 будет делать QR-коды отображаются параллельно и заполняют весь экран.
    Внедренное содержимое QR-кода Идентификатор подключения (по умолчанию)
    Идентификатор устройства    		 Укажите, следует ли использовать идентификатор подключения или идентификатор устройства в QR-коде. Выберите идентификатор устройства только с узлами сеансов, которые находятся в личном пуле узлов и присоединены к идентификатору Microsoft Entra или гибридному присоединению к Microsoft Entra.

    Совет

    Мы рекомендуем попробовать использовать разные значения непрозрачности, чтобы найти баланс между удобочитаемостью удаленного сеанса и возможностью сканирования QR-кода, но сохранение значений по умолчанию для других параметров.

  7. Выберите Далее.

  8. Необязательно. На вкладке тегов области выберите тег области для фильтрации профиля. Дополнительные сведения о тегах области см. в разделе "Использование управления доступом на основе ролей" (RBAC) и тегов областей для распределенной ИТ-службы.

  9. На вкладке "Назначения" выберите группу, содержащую компьютеры , предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку "Далее".

  10. На вкладке "Просмотр и создание " просмотрите параметры, а затем нажмите кнопку "Создать".

  11. Синхронизируйте узлы сеансов с Intune , чтобы параметры вступают в силу.

Поиск сведений о сеансе

После включения водяного знака можно найти сведения о сеансе из QR-кода с помощью Службы "Аналитика виртуальных рабочих столов Azure" или запроса Azure Monitor Log Analytics.

Аналитика Виртуального рабочего стола Azure

Чтобы узнать сведения о сеансе из QR-кода с помощью Azure Virtual Desktop Insights:

  1. Откройте веб-браузер и перейдите к https://aka.ms/avdi открытию Аналитики виртуальных рабочих столов Azure. При появлении запроса войдите с помощью учетных данных Azure.

  2. Выберите соответствующую подписку, группу ресурсов, пул узлов и диапазон времени, а затем перейдите на вкладку "Диагностика подключений".

  3. В разделе "Частота успешного выполнения ( повторно)установка подключения (% подключений)" содержится список всех подключений, показывающих первую попытку, идентификатор подключения, пользователя и попытки. Идентификатор подключения можно найти из QR-кода в этом списке или экспортировать в Excel.

Log Analytics в Azure Monitor

Чтобы узнать сведения о сеансе из QR-кода, запросив Azure Monitor Log Analytics:

  1. Войдите на портал Azure.

  2. В строке поиска введите рабочие области Log Analytics и выберите соответствующую запись службы.

  3. Выберите, чтобы открыть рабочую область Log Analytics, подключенную к среде виртуального рабочего стола Azure.

  4. В разделе Общие щелкните Журналы.

  5. Запустите новый запрос, а затем выполните следующий запрос, чтобы получить сведения о сеансе для определенного идентификатора подключения (представленного как CorrelationId в Log Analytics), заменив <connection ID> полное или частичное значение из QR-кода:

    WVDConnections
| where CorrelationId contains "<connection ID>"

Связанный контент