Marca-d'água na Área de Trabalho Virtual do Azure

A marca-d’água, junto com a proteção de captura de tela, impede a captura de informações confidenciais nos pontos de extremidade de clientes. Quando você ativa a marca-d’água, as marcas-d’água de código QR aparecem como parte de áreas de trabalho remotas. O código QR contém a ID de Conexão ou a ID do Dispositivo de uma sessão remota que os administradores podem usar para rastrear a sessão. A marca d'água é configurada nos hosts da sessão usando o Microsoft Intune ou a Política de Grupo e imposta pelo Aplicativo do Windows ou pelo cliente da Área de Trabalho Remota.

Veja uma captura de tela que mostra como fica a marca-d’água quando ela está habilitada:

Uma captura de tela que mostra a marca-d’água habilitada em uma área de trabalho remota.

Importante

  • Depois que ela é habilitada em um host de sessão, somente clientes com suporte a essa marca-d’água podem se conectar a esse host da sessão. Se você tentar se conectar de um cliente incompatível, a conexão falhará e você verá uma mensagem de erro não específica.

  • A marca-d’água é apenas para áreas de trabalho remotas. Com aplicativos remotos, a marca-d’água não é aplicada e a conexão é permitida.

  • Se você se conectar a um host de sessão diretamente (não por meio da Área de Trabalho Virtual do Azure) usando o aplicativo Conexão da Área de Trabalho Remota (mstsc.exe), a marca-d’água não será aplicada e a conexão será permitida.

Pré-requisitos

Você precisará do seguinte antes de poder usar a marca-d’água:

  • Um pool de hosts existente com os hosts da sessão.

  • Uma conta do Microsoft Entra ID que recebe as funções internas RBAC (controle de acesso baseado em função) do Colaborador do Pool de Hosts de Virtualização da Área de Trabalho no pool de hosts, no mínimo.

  • Um cliente compatível com a marca d'água. Os seguintes clientes são compatíveis com a marca d'água:

    • Cliente da Área de Trabalho Remota para:

    • Aplicativo do Windows para:

      • Windows
      • macOS
      • iOS e iPadOS
      • Navegador da Web
  • Insights da Área de Trabalho Virtual do Azure configurados para seu ambiente.

  • Se gerenciar os hosts da sessão com o Microsoft Intune, você precisará do seguinte:

    • Uma conta do Microsoft Entra ID atribuída à função interna RBAC do Gerenciador de Políticas e Perfis.

    • Um grupo que contém os dispositivos que você deseja configurar.

  • Se gerenciar os hosts da sessão com a Política de Grupo em um domínio do Active Directory, você precisará do seguinte:

    • Uma conta de domínio que seja membro do grupo de segurança de Administradores de Domínio.

    • Um grupo de segurança ou uma UO (unidade organizacional) que contém os hosts da sessão que você deseja configurar.

Habilitar marca-d’água

Selecione a guia relevante ao seu cenário.

Para habilitar a marca d'água usando o Microsoft Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.

  3. No seletor de configurações, navegue até Modelos administrativos>Componentes do Windows>Serviços da Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Área de Trabalho Virtual do Azure.

    Uma captura de tela do centro de administração do Intune mostrando as configurações da Área de Trabalho Virtual do Azure.

  4. Marque a caixa Habilitar marca d'água e feche o seletor de configurações.

    Importante

    Não selecione [Preterido] Habilitar marca d'água, pois essa configuração não inclui a opção de especificar o conteúdo inserido do código QR.

  5. Expanda a categoria Modelos administrativos e alterne a opção Habilitar marca d'água para Habilitado.

    Uma captura de tela das configurações disponíveis para marca d'água no Intune.

  6. Você pode configurar as seguintes opções:

    Opção Valores Descrição
    Fator de escala de bitmap de código QR 1 a 10
    (padrão = 4)
    O tamanho em pixels de cada ponto do código QR. Esse valor determina o número de quadrados por ponto no código QR.
    Opacidade de bitmap do código QR 100 a 9999 (padrão = 2000) O grau de transparência do código QR, em que 100 é totalmente transparente.
    Largura da caixa de grade em porcentagem relativa à largura do bitmap do código QR 100 a 1000
    (padrão = 320)
    Determina a distância entre os códigos QR em porcentagem. Quando combinado com a altura, um valor de 100 deve fazer os códigos QR aparecerem lado a lado e preencherem toda a tela.
    Altura da caixa de grade em porcentagem relativa à largura do bitmap do código QR 100 a 1000
    (padrão = 180)
    Determina a distância entre os códigos QR em porcentagem. Quando combinado com a largura, um valor de 100 deve fazer os códigos QR aparecerem lado a lado e preencherem toda a tela.
    Conteúdo inserido do código QR ID da Conexão (padrão)
    ID do dispositivo
    Especifique se a ID da Conexão ou a ID do Dispositivo deve ser usada no código QR. Selecione apenas a ID do Dispositivo com os hosts da sessão que estão em um pool de host pessoal e ingressado no Microsoft Entra ID ou ingressado no Microsoft Entra híbrido.

    Dica

    Recomendamos experimentar vários valores de opacidade para encontrar um equilíbrio entre a legibilidade da sessão remota e a possibilidade de ler o código QR, mas mantendo os valores padrão para os demais parâmetros.

  7. Selecione Avançar.

  8. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  9. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

  10. Na guia Revisar + criar, revise as configurações e selecione Criar.

  11. Sincronize os hosts da sessão com o Intune para que as configurações entrem em vigor.

Encontrar informações da sessão

Depois de habilitar a marca-d’água, você poderá encontrar as informações da sessão do código QR usando os Insights da Área de Trabalho Virtual do Azure ou consultando o Log Analytics do Azure Monitor.

Insights da Área de Trabalho Virtual do Azure

Para encontrar as informações de sessão do código QR usando os Insights da Área de Trabalho Virtual do Azure:

  1. Abra um navegador da Web e vá para https://aka.ms/avdi a fim de abrir os Insights da Área de Trabalho Virtual do Azure. Entre usando suas credenciais do Azure quando solicitadas.

  2. Selecione a assinatura, o grupo de recursos, o pool de host e o intervalo de tempo pertinentes e selecione a guia Diagnóstico de Conexão.

  3. Na sessão Taxa de sucesso de (re)estabelecer uma conexão (% de conexões), existe uma lista de todas as conexões mostrando Primeira tentativa, ID de Conexão, Usuário e Tentativas. Você pode procurar a ID de conexão do código QR nessa lista ou exportá-la para o Excel.

Log Analytics do Azure Monitor

Para encontrar as informações de sessão do código QR consultando o Log Analytics do Azure Monitor:

  1. Entre no Portal do Azure.

  2. Na barra de pesquisa, digite Workspaces do Log Analytics e selecione a entrada de serviço correspondente.

  3. Selecione para abrir o workspace do Log Analytics que está conectado ao seu ambiente da Área de Trabalho Virtual do Azure.

  4. Em Geral, selecione Logs.

  5. Inicie uma nova consulta e execute a seguinte consulta para obter informações de sessão de um ID de conexão específico (representado como CorrelationId no Log Analytics), substituindo <connection ID> pelo valor total ou parcial do código QR:

    WVDConnections
    | where CorrelationId contains "<connection ID>"