Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure

A proteção de captura de tela, juntamente com a marca d'água, ajuda a impedir que informações confidenciais sejam capturadas em pontos de extremidade do cliente por meio de um conjunto específico de recursos do sistema operacional (SO) e interfaces de programação de aplicativos (APIs). Quando você ativa a proteção de captura de tela, o conteúdo remoto é automaticamente bloqueado em capturas de tela e compartilhamento de tela. Você pode configurar a proteção de captura de tela usando o Microsoft Intune ou a Política de Grupo em seus hosts de sessão.

Há dois cenários suportados para proteção de captura de tela, dependendo da versão do Windows que você está usando:

  • Bloquear a captura de tela no cliente: o host da sessão instrui um cliente de Área de Trabalho Remota suportado a habilitar a proteção de captura de tela para uma sessão remota. Esta opção impede a captura de tela do cliente de aplicativos em execução na sessão remota.

  • Bloquear a captura de tela no cliente e no servidor: o host da sessão instrui um cliente de Área de Trabalho Remota suportado a habilitar a proteção de captura de tela para uma sessão remota. Essa opção impede a captura de tela do cliente de aplicativos em execução na sessão remota, mas também impede que ferramentas e serviços dentro do host da sessão capturem a tela.

Quando a proteção de captura de tela está ativada, os usuários não podem compartilhar a janela da Área de Trabalho Remota usando software de colaboração local, como o Microsoft Teams. Com o Teams, nem o aplicativo local do Teams nem o uso do Teams com otimização de mídia podem compartilhar conteúdo protegido.

Gorjeta

  • Para aumentar a segurança de suas informações confidenciais, você também deve desativar o redirecionamento da área de transferência, da unidade e da impressora. A desativação do redirecionamento ajuda a impedir que os usuários copiem conteúdo da sessão remota. Para saber mais sobre os valores de redirecionamento suportados, consulte Redirecionamento de dispositivo.

  • Para desencorajar outros métodos de captura de tela, como tirar uma foto de uma tela com uma câmera física, você pode ativar a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.

Pré-requisitos

  • Seus hosts de sessão devem estar executando uma das seguintes versões do Windows para usar a proteção de captura de tela:

  • Os usuários devem se conectar à Área de Trabalho Virtual do Azure com o Aplicativo do Windows ou o aplicativo Área de Trabalho Remota para usar a proteção de captura de tela. A tabela a seguir mostra os cenários suportados. Se um usuário tentar se conectar com um aplicativo ou versão diferente, a conexão será negada e mostrará uma mensagem de erro com o código 0x1151.

    Aplicação Versão Sessão Desktop Sessão do RemoteApp
    Aplicação Windows no Windows Qualquer Sim Sim. O SO do dispositivo cliente tem de ser Windows 11, versão 22H2 ou posterior.
    Cliente de Área de Trabalho Remota no Windows 1.2.1672 ou posterior Sim Sim. O SO do dispositivo cliente tem de ser Windows 11, versão 22H2 ou posterior.
    Aplicativo da Loja de Área de Trabalho Virtual do Azure Qualquer Sim Sim. O SO do dispositivo cliente tem de ser Windows 11, versão 22H2 ou posterior.
    Aplicação Windows no macOS Qualquer Sim Sim
    Cliente de Ambiente de Trabalho Remoto no macOS 10.7.0 ou posterior Sim Sim
  • Para configurar o Microsoft Intune, você precisa:

    • Conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.

    • Um grupo que contém os dispositivos que você deseja configurar.

  • Para configurar a Diretiva de Grupo, você precisa:

    • Uma conta de domínio que é membro do grupo de segurança Administradores do Domínio.

    • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que você deseja configurar.

Ativar a proteção de captura de tela

A proteção de captura de tela é configurada em hosts de sessão e imposta pelo cliente. Selecione a guia relevante para o seu cenário.

Para configurar a proteção de captura de tela usando o Microsoft Intune:

  1. Entre no centro de administração do Microsoft Intune.

  2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.

  3. No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Host>da Sessão da Área de Trabalho Remota, Área de Trabalho Virtual do Azure.

    Uma captura de ecrã a mostrar as opções do Ambiente de Trabalho Virtual do Azure no portal do Microsoft Intune.

  4. Marque a caixa Ativar proteção de captura de tela e feche o seletor de configurações.

  5. Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Ativar proteção de captura de tela para Habilitado.

    Uma captura de ecrã a mostrar as definições de proteção de captura de ecrã no Microsoft Intune.

  6. Alterne o interruptor para Opções de Proteção de Captura de Tela (Dispositivo) para desativado para Bloquear captura de tela no cliente ou para Bloquear captura de tela no cliente e servidor com base em suas necessidades e selecione OK.

  7. Selecione Seguinte.

  8. Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.

  9. No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

  10. No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.

  11. Quando a diretiva se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Verificar a proteção de captura de tela

Para verificar se a proteção de captura de tela está funcionando:

  1. Conecte-se a uma sessão remota com um cliente suportado.

  2. Faça uma captura de ecrã ou partilhe o seu ecrã numa chamada ou reunião do Teams. O conteúdo deve ser bloqueado ou oculto. Todas as sessões existentes precisam sair e entrar novamente para que a alteração entre em vigor.

  • Habilite a marca d'água, onde os administradores podem usar um código QR para rastrear a sessão.

  • Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure em Práticas recomendadas de segurança.