Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure

  • Artigo

A proteção contra captura de tela, juntamente com a marca d'água, ajuda a impedir que informações confidenciais sejam capturadas em pontos de extremidade do cliente por meio de um conjunto específico de recursos do sistema operacional (SO) e APIs (Interfaces de Programação de Aplicativo). Ao habilitar a proteção contra captura de tela, o conteúdo remoto será bloqueado ou oculto automaticamente em capturas de tela e em compartilhamentos de tela. Você pode configurar a proteção de captura de tela usando o Microsoft Intune ou a Política de Grupo em seus hosts de sessão.

Há dois cenários com suporte para proteção de captura de tela, dependendo da versão do Windows que você está usando:

  • Bloquear captura de tela no cliente: o host da sessão instrui um cliente de Área de Trabalho Remota com suporte a habilitar a proteção de captura de tela para uma sessão remota. Essa opção impede a captura de tela do cliente de aplicativos em execução na sessão remota.

  • Bloquear captura de tela no cliente e no servidor: o host da sessão instrui um cliente de Área de Trabalho Remota com suporte a habilitar a proteção de captura de tela para uma sessão remota. Essa opção impede a captura de tela do cliente de aplicativos em execução na sessão remota, mas também impede que ferramentas e serviços do host da sessão capturem a tela.

Quando a proteção contra captura de tela está habilitada, os usuários não podem compartilhar sua janela de Área de Trabalho Remota usando software de colaboração local, como o Microsoft Teams. Quando eles usam o Microsoft Teams, nem o aplicativo local do Teams nem o Teams com otimização de mídia podem compartilhar conteúdo protegido.

Dica

  • Para aumentar a segurança de suas informações confidenciais, você também deve desabilitar o redirecionamento de área de transferência, de pen drive e de impressora. Desabilitar o redirecionamento impede que os usuários copiem qualquer conteúdo de tela capturado da sessão remota. Para saber mais sobre os valores de redirecionamento com suporte, consulte Redirecionamento de dispositivo.

  • Para desencorajar outros métodos de captura de tela, como tirar uma foto de uma tela com uma câmera física, você pode habilitar a marca d'água, em que os administradores podem usar um código QR para rastrear a sessão.

Pré-requisitos

  • Os hosts de sessão devem estar executando uma das seguintes versões do Windows para usar a proteção de captura de tela:

  • Os usuários devem se conectar à Área de Trabalho Virtual do Azure com o Aplicativo Windows ou o aplicativo de Área de Trabalho Remota para usar a proteção de captura de tela. A tabela a seguir mostra cenários com suporte. Se um usuário tentar se conectar com um aplicativo ou versão diferente, a conexão será negada e mostrará uma mensagem de erro com o código 0x1151.

    Aplicativo Versão Sessão da área de trabalho Sessão do RemoteApp
    Aplicativo do Windows no Windows Qualquer Sim Sim. O sistema operacional do dispositivo cliente deve ser Windows 11, versão 22H2 ou posterior.
    Cliente de Área de Trabalho Remota no Windows 1.2.1672 ou posterior Sim Sim. O sistema operacional do dispositivo cliente deve ser Windows 11, versão 22H2 ou posterior.
    Aplicativo de Área de Trabalho Virtual do Azure Qualquer Sim Sim. O sistema operacional do dispositivo cliente deve ser Windows 11, versão 22H2 ou posterior.
    Aplicativo do Windows no macOS Qualquer Sim Sim
    Cliente de Área de Trabalho Remota no macOS 10.7.0 ou posterior Sim Sim

  • Para configurar o Microsoft Intune, você precisa do seguinte:

    • Uma conta do Microsoft Entra ID atribuída à função interna RBAC do Gerenciador de Políticas e Perfis.

    • Um grupo que contém os dispositivos que você deseja configurar.

  • Para configurar a Política de Grupo, você precisa do seguinte:

    • Uma conta de domínio que seja membro do grupo de segurança de Administradores de Domínio.

    • Um grupo de segurança ou uma UO (unidade organizacional) contendo os dispositivos que você deseja configurar.

Habilitar a proteção contra captura de tela

A proteção contra captura de tela é configurada no nível do host da sessão e imposta pelo cliente. Selecione a guia relevante ao seu cenário.

Para configurar a proteção de captura de tela usando o Microsoft Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.

  3. No seletor de configurações, navegue até Modelos administrativos>Componentes do Windows>Serviços da Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Área de Trabalho Virtual do Azure.

    Uma captura de tela mostrando as opções da Área de Trabalho Virtual do Azure no portal do Microsoft Intune.

  4. Marque a caixa para Habilitar proteção de captura de tela e feche o seletor de configurações.

  5. Expanda a categoria Modelos administrativos e alterne a opção Habilitar proteção de captura de tela para Habilitada.

    Uma captura de tela mostrando as configurações de proteção de captura de tela no Microsoft Intune.

  6. Alterne a opção para Opções (Dispositivo) de Proteção de Captura de Tela para desativar para Bloquear captura de tela no cliente ou ativar para Bloquear captura de tela no cliente e no servidor com base em seus requisitos e, em seguida, selecione OK.

  7. Selecione Avançar.

  8. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  9. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

  10. Na guia Revisar + criar, revise as configurações e selecione Criar.

  11. Depois que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Verificar a proteção de captura de tela

Para verificar se a proteção de captura de tela está funcionando:

  1. Conecte-se a uma sessão remota com um cliente com suporte.

  2. Faça uma captura de tela ou compartilhe sua tela em uma chamada ou reunião do Teams. O conteúdo deve ser bloqueado ou oculto. Todas as sessões existentes precisam sair do serviço e voltar novamente para que a alteração entre em vigor.

Conteúdo relacionado

  • Habilite marca d'água, em que os administradores podem usar um código QR para rastrear a sessão.

  • Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure nas melhores práticas de Segurança.