Azure Virtual Desktop の画面キャプチャの保護を有効にする

スクリーン キャプチャ保護は、 透かしと共に、特定のオペレーティング システム (OS) 機能とアプリケーション プログラミング インターフェイス (API) のセットを介してクライアント エンドポイントで機密情報がキャプチャされるのを防ぐのに役立ちます。 画面キャプチャ保護を有効にすると、スクリーンショットと画面共有でリモート コンテンツが自動的にブロックまたは非表示にされます。

画面キャプチャ保護には、使用している Windows のバージョンに応じて、次の 2 つのシナリオがサポートされています:

• クライアントでの画面キャプチャをブロックする: セッション ホストは、リモート セッションの画面キャプチャ保護を有効にするように、サポートされているリモート デスクトップ クライアントに指示します。 これにより、リモート セッションで実行されているアプリケーションのクライアントからの画面キャプチャが防止されます。

• クライアントとサーバーで画面キャプチャをブロックする: セッション ホストは、リモート セッションの画面キャプチャ保護を有効にするように、サポートされているリモート デスクトップ クライアントに指示します。 これにより、リモート セッションで実行されているアプリケーションのクライアントからの画面キャプチャが防止されますが、セッション ホスト内のツールとサービスが画面をキャプチャすることもできなくなります。

画面キャプチャ保護が有効になっている場合、ユーザーは Microsoft Teams などのローカル コラボレーション ソフトウェアを使用してリモート デスクトップ ウィンドウを共有できません。 Teams では、ローカルの Teams アプリでもメディアの最適化を備えた Teams でも、保護されたコンテンツを共有できません。

ヒント

• 機密情報のセキュリティを強化するには、クリップボード、ドライブ、プリンターのリダイレクトも無効にする必要があります。 リダイレクトを無効にすると、ユーザーはコンテンツをリモート セッションからコピーできなくなります。 サポートされているリダイレクト値については、「 デバイスのリダイレクト」を参照してください。

• 物理カメラで画面の写真を撮るなど、他の方法の画面キャプチャを避けるために、管理者が QR コードを使用してセッションをトレースできる 透かしを有効にすることができます。

前提条件

• 画面キャプチャ保護を使用するには、セッション ホストで次のいずれかのバージョンの Windows が実行されている必要があります:

  • クライアントでのブロック画面キャプチャは、サポートされているバージョンのWindows 10またはWindows 11で使用できます。
  • クライアントとサーバーのブロック画面キャプチャは、Windows 11 バージョン 22H2 以降で使用できます。

• 画面キャプチャ保護のサポートを使用するには、次のいずれかのクライアントを使用して Azure Virtual Desktop に接続する必要があります。 ユーザーが別のクライアントまたはバージョンで接続しようとすると、接続は拒否され、コード 0x1151を含むエラー メッセージが表示されます。

  Client	クライアントのバージョン	デスクトップ セッション	RemoteApp セッション
  Windows 用のリモート デスクトップ クライアント	1.2.1672 以降	はい	はい。 クライアント デバイス OS は、Windows 11バージョン 22H2 以降である必要があります。
  Azure Virtual Desktop Store アプリ	Any	はい	はい。 クライアント デバイス OS は、Windows 11バージョン 22H2 以降である必要があります。
  macOS 10 用のリモート デスクトップ クライアント	10.7.0 以降	はい	はい

画面キャプチャ保護を有効にする

画面キャプチャ保護は、セッション ホスト レベルで構成され、クライアントに適用されます。 設定は、Intune または グループ ポリシー を使用して構成します。

画面キャプチャの保護を構成するには、以下の手順を実行します。

1. Azure Virtual Desktop 向け管理テンプレートを、手順に従って使用できるようにします。

2. 管理テンプレートを利用できることを確認したら、ポリシー設定の [スクリーンキャプチャ保護を有効にする] を開いて [有効] に設定します。

3. ドロップダウン メニューから、[クライアントでの画面キャプチャのブロック] または [クライアントとサーバー での画面キャプチャのブロック] から、使用する 画面キャプチャ保護シナリオを選択します。

4. グループ ポリシーの更新か Intune デバイス同期を実行して、ポリシー設定をセッション ホストに適用します。

5. サポートされているクライアントを使用してリモート セッションに接続し、スクリーン キャプチャ保護をテストするには、スクリーンショットを撮るか、画面を共有します。 コンテンツはブロックまたは非表示にする必要があります。 変更を有効にするには、既存のセッションがサインアウトしてから再度サインインする必要があります。

次の手順

セキュリティのベスト プラクティスで Azure Virtual Desktop デプロイをセキュリティで保護する方法について説明します。