Marca d'água na Área de Trabalho Virtual do Azure

A marca d'água, juntamente com a proteção de captura de tela, ajuda a evitar que informações confidenciais sejam capturadas nos pontos de extremidade do cliente. Quando você ativa a marca d'água, as marcas d'água do código QR aparecem como parte das áreas de trabalho remotas. O código QR contém o ID de conexão ou ID de dispositivo de uma sessão remota que os administradores podem usar para rastrear a sessão. A marca d'água é configurada em hosts de sessão usando o Microsoft Intune ou a Política de Grupo e imposta pelo Aplicativo do Windows ou pelo cliente de Área de Trabalho Remota.

Aqui está uma captura de tela mostrando a aparência da marca d'água quando ela está ativada:

Uma captura de tela mostrando a marca d'água habilitada em uma área de trabalho remota.

Importante

  • Depois que a marca d'água estiver habilitada em um host de sessão, somente os clientes que oferecem suporte à marca d'água poderão se conectar a esse host de sessão. Se você tentar se conectar a partir de um cliente não suportado, a conexão falhará e você receberá uma mensagem de erro que não é específica.

  • A marca d'água é apenas para áreas de trabalho remotas. Com o RemoteApp, a marca d'água não é aplicada e a conexão é permitida.

  • Se você se conectar a um host de sessão diretamente (não por meio da Área de Trabalho Virtual do Azure) usando o aplicativo Conexão de Área de Trabalho Remota (mstsc.exe), a marca d'água não será aplicada e a conexão será permitida.

Pré-requisitos

Você precisará das seguintes coisas antes de poder usar a marca d'água:

  • Um pool de hosts existente com hosts de sessão.

  • Uma conta de ID do Microsoft Entra à qual é atribuída, no mínimo, as funções RBAC (controle de acesso baseado em função) internas do Colaborador do Pool de Hosts de Virtualização de Área de Trabalho no pool de hosts.

  • Um cliente que suporta marca d'água. Os seguintes clientes suportam a marca d'água:

    • Cliente de Ambiente de Trabalho Remoto para:

    • Aplicação Windows para:

      • Windows
      • macOS
      • iOS e iPadOS
      • Browser
  • Azure Virtual Desktop Insights configurado para o seu ambiente.

  • Se você gerencia seus hosts de sessão com o Microsoft Intune, precisa:

    • Conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.

    • Um grupo que contém os dispositivos que você deseja configurar.

  • Se você gerenciar seus hosts de sessão com a Diretiva de Grupo em um domínio do Ative Directory, precisará:

    • Uma conta de domínio que é membro do grupo de segurança Administradores do Domínio.

    • Um grupo de segurança ou unidade organizacional (UO) que contém os hosts de sessão que você deseja configurar.

Ativar marca d'água

Selecione a guia relevante para o seu cenário.

Para habilitar a marca d'água usando o Microsoft Intune:

  1. Entre no centro de administração do Microsoft Intune.

  2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.

  3. No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Host>da Sessão da Área de Trabalho Remota, Área de Trabalho Virtual do Azure.

    Uma captura de ecrã do centro de administração do Intune a mostrar as definições do Ambiente de Trabalho Virtual do Azure.

  4. Marque a caixa Ativar marca d'água e feche o seletor de configurações.

    Importante

    Não selecione [Preterido] Ativar marca d'água , pois essa configuração não inclui a opção para especificar o conteúdo incorporado do código QR.

  5. Expanda a categoria Modelos administrativos e alterne a opção Habilitar marca d'água para Habilitado.

    Uma captura de ecrã das definições disponíveis para a marca d'água no Intune.

  6. Pode configurar as seguintes opções:

    Opção Valores Description
    Fator de escala de bitmap do código QR 1 a 10
    (padrão = 4)
    O tamanho em pixels de cada ponto de código QR. Este valor determina quantos quadrados por ponto no código QR.
    Opacidade do bitmap do código QR 100 a 9999 (padrão = 2000) Quão transparente é a marca d'água, onde 100 é totalmente transparente.
    Largura da caixa de grade em porcentagem relevante para a largura do bitmap do código QR 100 a 1000
    (padrão = 320)
    Determina a distância entre os códigos QR em percentagem. Quando combinado com a altura, um valor de 100 faria com que os códigos QR aparecessem lado a lado e preenchessem toda a tela.
    Altura da caixa de grade em porcentagem relevante para a largura do bitmap do código QR 100 a 1000
    (padrão = 180)
    Determina a distância entre os códigos QR em percentagem. Quando combinado com a largura, um valor de 100 faria com que os códigos QR aparecessem lado a lado e preenchessem toda a tela.
    Conteúdo incorporado com código QR ID de conexão (padrão)
    ID do Dispositivo
    Especifique se o ID de conexão ou ID do dispositivo deve ser usado no código QR. Selecione Somente ID de dispositivo com hosts de sessão que estão em um pool de hosts pessoais e ingressaram na ID do Microsoft Entra ou no Microsoft Entra híbrido.

    Gorjeta

    Recomendamos experimentar diferentes valores de opacidade para encontrar um equilíbrio entre a legibilidade da sessão remota e ser capaz de digitalizar o código QR, mas mantendo os valores padrão para os outros parâmetros.

  7. Selecione Seguinte.

  8. Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.

  9. No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

  10. No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.

  11. Sincronize seus hosts de sessão com o Intune para que as configurações entrem em vigor.

Encontrar informações da sessão

Depois de habilitar a marca d'água, você pode encontrar as informações da sessão do código QR usando o Azure Virtual Desktop Insights ou consultando o Azure Monitor Log Analytics.

Azure Virtual Desktop Insights

Para descobrir as informações da sessão do código QR usando o Azure Virtual Desktop Insights:

  1. Abra um navegador da Web e vá para https://aka.ms/avdi abrir o Azure Virtual Desktop Insights. Entre usando suas credenciais do Azure quando solicitado.

  2. Selecione a subscrição, o grupo de recursos, o conjunto de anfitriões e o intervalo de tempo relevantes e, em seguida, selecione o separador Diagnóstico da Ligação.

  3. Na seção Taxa de sucesso do (r)estabelecimento de uma conexão (% de conexões), há uma lista de todas as conexões mostrando Primeira tentativa, ID de conexão, Usuário e Tentativas. Pode procurar o ID de ligação a partir do código QR nesta lista ou exportar para o Excel.

Log Analytics do Azure Monitor

Para descobrir as informações da sessão do código QR consultando o Azure Monitor Log Analytics:

  1. Inicie sessão no portal do Azure.

  2. Na barra de pesquisa, digite espaços de trabalho do Log Analytics e selecione a entrada de serviço correspondente.

  3. Selecione esta opção para abrir o espaço de trabalho do Log Analytics conectado ao seu ambiente de Área de Trabalho Virtual do Azure.

  4. Em Geral, selecione Registos.

  5. Inicie uma nova consulta e, em seguida, execute a seguinte consulta para obter informações de sessão para um ID de conexão específico (representado como CorrelationId no Log Analytics), substituindo <connection ID> pelo valor total ou parcial do código QR:

    WVDConnections
    | where CorrelationId contains "<connection ID>"