Schutz vor Bildschirmaufnahmen in Azure Virtual Desktop

  • Artikel

Der Schutz vor Bildschirmaufnahmen trägt zusammen mit Wasserzeichen über einen bestimmten Satz von Betriebssystemfeatures und Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) dazu bei, zu verhindern, dass vertrauliche Informationen auf Clientendpunkten erfasst werden. Wenn Sie den Schutz vor Bildschirmaufnahmen aktivieren, werden Remoteinhalte in Screenshots und Bildschirmfreigaben automatisch blockiert. Sie können den Bildschirmfotoschutz mithilfe von Microsoft Intune oder der Gruppenrichtlinie auf Ihren Sitzungshosts konfigurieren.

Es gibt zwei unterstützte Szenarien für den Schutz vor Bildschirmaufnahmen, abhängig von der verwendeten Windows-Version:

  • Bildschirmaufnahme auf dem Client blockieren: Der Sitzungshost weist einen unterstützten Remotedesktopclient an, den Schutz vor Bildschirmaufnahmen für eine Remotesitzung zu aktivieren. Diese Option verhindert Bildschirmfotos von Clients von Anwendungen, die in der Remotesitzung ausgeführt werden.

  • Bildschirmaufnahme auf Client und Server blockieren: Der Sitzungshost weist einen unterstützten Remotedesktopclient an, den Schutz vor Bildschirmaufnahmen für eine Remotesitzung zu aktivieren. Dies Option verhindert Bildschirmfotos von Clients von Anwendungen, die in der Remotesitzung ausgeführt werden, verhindert aber auch, dass Tools und Dienste auf dem Sitzungshost den Bildschirm erfassen können.

Wenn der Schutz vor Bildschirmaufnahmen aktiviert ist, können Benutzer das Remotedesktop-Fenster nicht über lokale Zusammenarbeitssoftware wie Microsoft Teams freigeben. Bei Teams können geschützte Inhalte weder durch die lokale Teams-App noch durch Teams mit Medienoptimierung freigegeben werden.

Tipp

  • Zum Erhöhen der Sicherheit Ihrer vertraulichen Informationen sollten Sie auch die Zwischenablagen-, die Laufwerks- und die Druckerumleitung deaktivieren. Durch das Deaktivieren der Umleitung wird verhindert, dass Benutzer erfasste Bildschirminhalte aus der Remotesitzung kopieren. Informationen zu unterstützten Umleitungswerten finden Sie unter Geräteumleitung.

  • Um andere Methoden der Bildschirmaufnahme zu verhindern, z. B. das Fotografieren eines Bildschirms mit einer physischen Kamera, können Sie die Wasserzeichenfunktion aktivieren, bei der Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

Voraussetzungen

  • Ihre Sitzungshosts müssen eine der folgenden Versionen von Windows ausführen, um den Schutz vor Bildschirmaufnahmen verwenden zu können:

  • Benutzer müssen eine Verbindung mit Azure Virtual Desktop mit Windows-App oder der Remotedesktop-App herstellen, um den Bildschirmfotoschutz zu verwenden. Die folgende Tabelle zeigt unterstützte Szenarien. Wenn ein Benutzer versucht, eine Verbindung mit einer anderen App oder einer anderen Version herzustellen, wird die Verbindung verweigert und eine Fehlermeldung mit dem Code 0x1151 angezeigt.

    App Version Desktopsitzung RemoteApp-Sitzung
    Windows-App unter Windows Any Ja Ja. Das Betriebssystem des Clientgeräts muss Windows 11, Version 22H2 oder höher, sein.
    Remotedesktopclient unter Windows 1.2.1672 oder später Ja Ja. Das Betriebssystem des Clientgeräts muss Windows 11, Version 22H2 oder höher, sein.
    Azure Virtual Desktop Store-App Any Ja Ja. Das Betriebssystem des Clientgeräts muss Windows 11, Version 22H2 oder höher, sein.
    Windows-App unter macOS Any Ja Ja
    Remotedesktopclient unter macOS 10.7.0 oder höher Ja Ja

  • Zum Konfigurieren von Microsoft Intune benötigen Sie Folgendes:

    • Ein Microsoft Entra ID-Konto, dem die integrierte RBAC-Rolle Richtlinien- und Profil-Manager*in zugewiesen ist.

    • Eine Gruppe mit den Geräten, die Sie konfigurieren möchten

  • Zum Konfigurieren der Gruppenrichtlinie benötigen Sie Folgendes:

    • Ein Domänenkonto, das Mitglied der Sicherheitsgruppe Domain Admins ist.

    • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

Aktivieren des Schutzes vor Bildschirmaufnahmen

Der Schutz vor Bildschirmaufnahmen wird auf Sitzungshosts konfiguriert und vom Client erzwungen. Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

So konfigurieren Sie den Bildschirmfotoschutz mit Microsoft Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Geräte mit Windows 10 und höher mit dem Profiltyp Einstellungskatalog.

  3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

    Ein Bildschirmfoto zeigt die Azure Virtual Desktop-Optionen im Microsoft Intune-Portal.

  4. Aktivieren Sie das Kontrollkästchen für Bildschirmfotoschutz aktivieren, und schließen Sie dann die Einstellungsauswahl.

  5. Erweitern Sie die Kategorie Administrative Vorlagen, und legen Sie dann den Schalter für Bildschirmfotoschutz aktivieren auf Aktiviert fest.

    Ein Bildschirmfoto zeigt die Schutzeinstellungen für Bildschirmfotos in Microsoft Intune.

  6. Legen Sie den Schalter für Bildschirmfotoschutz (Gerät) auf Aus fest für Bildschirmfoto auf Clients blockieren, oder auf Ein für Bildschirmfoto auf Clients und Servern blockieren, basierend auf Ihren Anforderungen, und wählen Sie dann OKaus.

  7. Wählen Sie Weiter aus.

  8. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (RBAC) und Bereichsmarkierungen für verteilte IT.

  9. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

  10. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Einstellungen, und wählen Sie Erstellen aus.

  11. Sobald die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Überprüfen des Bildschirmfotoschutzes

So überprüfen Sie, ob der Bildschirmfotoschutz funktioniert:

  1. Stellen Sie eine Verbindung mit einer Remotesitzung mit einem unterstützten Client her.

  2. Erstellen Sie ein Bildschirmfoto, oder geben Sie Ihren Bildschirm in einem Teams-Anruf oder einer Teams-Besprechung frei. Die Inhalte sollten blockiert oder ausgeblendet werden. Alle bestehenden Sitzungen müssen sich abmelden und wieder anmelden, damit die Änderung wirksam wird.

Zugehöriger Inhalt

  • Aktivieren Sie Wasserzeichen, damit Administratoren einen QR-Code verwenden können, um die Sitzung nachzuverfolgen.

  • Informationen zum Absichern Ihrer Azure Virtual Desktop-Bereitstellung finden Sie unter Bewährte Sicherheitsmethoden.