Konfigurowanie kierunku transferu schowka i typów danych, które można skopiować w usłudze Azure Virtual Desktop

Ważne

Konfigurowanie kierunku transferu schowka w usłudze Azure Virtual Desktop jest obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Przekierowywanie schowka w usłudze Azure Virtual Desktop umożliwia użytkownikom kopiowanie i wklejanie zawartości, takiej jak tekst, obrazy i pliki między urządzeniem użytkownika a sesją zdalną w obu kierunkach. Możesz ograniczyć kierunek schowka dla użytkowników, aby zapobiec eksfiltracji danych lub skopiowaniu złośliwych plików do hosta sesji. Można skonfigurować, czy użytkownicy mogą używać schowka z hosta sesji do klienta, czy klienta do hosta sesji, oraz typów danych, które można skopiować, z następujących opcji:

• Wyłącz transfery schowka z hosta sesji do klienta, klienta na hosta sesji lub oba te elementy.
• Zezwalaj tylko na zwykły tekst.
• Zezwalaj tylko na zwykły tekst i obrazy.
• Zezwalaj tylko na zwykły tekst, obrazy i format tekstu sformatowanego.
• Zezwalaj tylko na zwykły tekst, obrazy, format tekstu sformatowanego i tylko kod HTML.

Ustawienia są stosowane do hostów sesji. Nie zależy od określonego klienta pulpitu zdalnego ani jego wersji. W tym artykule pokazano, jak skonfigurować kierunek schowka i typy danych, które można skopiować przy użyciu usługi Microsoft Intune, lub skonfigurować lokalne zasady grupy lub rejestr hostów sesji.

Wymagania wstępne

Aby skonfigurować kierunek transferu schowka, potrzebne są następujące elementy:

• Hosty sesji z systemem Windows 11 Insider Preview Build 25898 lub najnowszą wersją kompilacji niejawnych testerów systemu Windows (Dev Channel). Aby aktywować kompilację Dev Channel Preview, musisz dołączyć do niejawnego programu testów systemu Windows.

• Właściwości protokołu RDP puli hostów muszą zezwalać na przekierowywanie schowka. W przeciwnym razie zostanie całkowicie zablokowany.

• W zależności od metody używanej do skonfigurowania kierunku transferu schowka:

  • W przypadku usługi Intune musisz mieć uprawnienia do konfigurowania i stosowania ustawień. Aby uzyskać więcej informacji, zobacz Administracja istrative template for Azure Virtual Desktop (Szablon Administracja istrative dla usługi Azure Virtual Desktop).

  • Do skonfigurowania lokalnych zasad grupy lub rejestru hostów sesji potrzebne jest konto, które jest członkiem lokalnej grupy Administracja istratorów.

Konfigurowanie kierunku transferu schowka

Poniżej przedstawiono sposób konfigurowania kierunku transferu schowka i typów danych, które można skopiować. Wybierz odpowiednią kartę dla danego scenariusza.

Intune

Aby skonfigurować schowek przy użyciu usługi Intune, wykonaj następujące kroki. Ten proces wdraża identyfikator OMA-URI w celu kierowania dostawcy usług kryptograficznych.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Utwórz profil z ustawieniami niestandardowymi dla urządzeń z systemem Windows 10 lub nowszym z typem profilu Szablony i nazwą szablonu profilu niestandardowego.

3. Na karcie Podstawowe wprowadź nazwę i opcjonalny opis profilu, a następnie wybierz przycisk Dalej.

4. Na karcie Ustawienia konfiguracji wybierz pozycję Dodaj, aby wyświetlić okienko Dodawanie wiersza.

5. W okienku Dodawanie wiersza wprowadź jeden z następujących zestawów ustawień, w zależności od tego, czy chcesz skonfigurować schowek z hosta sesji do klienta, czy klienta do hosta sesji.

   • Aby skonfigurować schowek z hosta sesji do klienta:

     • Nazwa: (przykład) Host sesji na klienta

     • Opis: Opcjonalnie

     • OMA-URI: ./Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection

     • Typ danych: String

     • Wartość: Wprowadź wartość z poniższej tabeli:

       Wartość	Opis
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="0"/>]]>	Wyłącz transfery schowka z hosta sesji do klienta.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="1"/>]]>	Zezwalaj na zwykły tekst.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="2"/>]]>	Zezwalaj na zwykły tekst i obrazy.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="3"/>]]>	Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="4"/>]]>	Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

   • Aby skonfigurować schowek z klienta na hosta sesji:

     • Nazwa: (przykład) Klient do hosta sesji

     • Opis: Opcjonalnie

     • OMA-URI: ./Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection

     • Typ danych: String

     • Wartość: Wprowadź wartość z poniższej tabeli:

       Wartość	Opis
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="0"/>]]>	Wyłącz transfery schowka z hosta sesji do klienta.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="1"/>]]>	Zezwalaj na zwykły tekst.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="2"/>]]>	Zezwalaj na zwykły tekst i obrazy.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="3"/>]]>	Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="4"/>]]>	Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

6. Wybierz pozycję Zapisz , aby dodać wiersz. Powtórz dwa poprzednie kroki, aby skonfigurować schowek w innym kierunku, jeśli to konieczne, a następnie po skonfigurowaniu żądanych ustawień wybierz przycisk Dalej.

7. Na karcie Przypisania wybierz użytkowników, urządzenia lub grupy, aby otrzymać profil, a następnie wybierz pozycję Dalej. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

8. Na karcie Reguły stosowania wybierz pozycję Dalej.

9. Na karcie Przeglądanie i tworzenie przejrzyj informacje o konfiguracji, a następnie wybierz pozycję Utwórz.

10. Po utworzeniu konfiguracji zasad zsynchronizuj ponownie hosty sesji i uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

11. Połączenie do sesji zdalnej z obsługiwanym klientem i przetestować skonfigurowane ustawienia schowka, próbując skopiować i wkleić zawartość.

Zasady grupy

Aby skonfigurować schowek przy użyciu zasad grupy, wykonaj następujące kroki.

Ważne

Te ustawienia zasad są wyświetlane zarówno w konfiguracji komputera, jak i w konfiguracji użytkownika. Jeśli zostaną skonfigurowane oba ustawienia zasad, zostanie użyte ostrzejsze ograniczenie.

1. Otwórz Edytor lokalnych zasad grupy z menu Start lub, uruchamiając polecenie gpedit.msc.

2. Przejdź do jednej z poniższych sekcji zasad. Użyj sekcji zasad w konfiguracji komputera do hosta sesji docelowej i użyj sekcji zasad w konfiguracji użytkownika dotyczy określonych użytkowników docelowych.

   • Maszyny: Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection
   • Użytkownik: User Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

3. Otwórz jedno z następujących ustawień zasad, w zależności od tego, czy chcesz skonfigurować schowek z hosta sesji (serwera) do klienta, czy klienta do hosta sesji:

   • Aby skonfigurować schowek z hosta sesji do klienta, otwórz ustawienie zasad Ogranicz transfer schowka z serwera do klienta, a następnie wybierz pozycję Włączone. Wybierz jedną z następujących opcji:

     • Wyłącz transfery schowka z serwera do klienta.
     • Zezwalaj na zwykły tekst.
     • Zezwalaj na zwykły tekst i obrazy.
     • Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
     • Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

   • Aby skonfigurować schowek z klienta na hosta sesji, otwórz ustawienie zasad Ogranicz transfer schowka z klienta do serwera, a następnie wybierz pozycję Włączone . Wybierz jedną z następujących opcji:

     • Wyłącz transfery schowka z klienta na serwer.
     • Zezwalaj na zwykły tekst.
     • Zezwalaj na zwykły tekst i obrazy.
     • Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
     • Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

4. Aby zapisać zmiany, wybierz pozycję OK.

5. Po skonfigurowaniu ustawień uruchom ponownie hosty sesji, aby ustawienia zaczęły obowiązywać.

6. Połączenie do sesji zdalnej z obsługiwanym klientem i przetestować skonfigurowane ustawienia schowka, próbując skopiować i wkleić zawartość.

Napiwek

W wersji zapoznawczej można również centralnie skonfigurować zasady grupy w domenie usługi Active Directory, kopiując terminalserver.admx pliki szablonów i terminalserver.adml administracyjnych z hosta sesji do centralnego magazynu zasad grupy w środowisku testowym.

Rejestr

Aby skonfigurować schowek przy użyciu rejestru na hoście sesji, wykonaj następujące kroki.

1. Otwórz Edytor rejestru z menu Start lub, uruchamiając polecenie regedit.exe.

2. Ustaw jeden z następujących kluczy rejestru i jego wartość, w zależności od tego, czy chcesz skonfigurować schowek z hosta sesji do klienta, czy klienta na hosta sesji.

   • Aby skonfigurować schowek z hosta sesji na klienta, ustaw jeden z następujących kluczy rejestru i jego wartość. Użycie wartości maszyny dotyczy wszystkich użytkowników i użycie wartości dla użytkownika dotyczy tylko bieżącego użytkownika.

     • Klucz:

       • Maszyny: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Użytkowników: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Typ: REG_DWORD

     • Nazwa wartości: SCClipLevel

     • Dane wartości: wprowadź wartość z poniższej tabeli:

       Dane wartości	opis
       0	Wyłącz transfery schowka z hosta sesji do klienta.
       1	Zezwalaj na zwykły tekst.
       2	Zezwalaj na zwykły tekst i obrazy.
       3	Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
       4	Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

   • Aby skonfigurować schowek z klienta na hosta sesji, ustaw jeden z następujących kluczy rejestru i jego wartość. Użycie wartości maszyny dotyczy wszystkich użytkowników i użycie wartości dla użytkownika dotyczy tylko bieżącego użytkownika.

     • Klucz:

       • Maszyny: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Użytkowników: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Typ: REG_DWORD

     • Nazwa wartości: CSClipLevel

     • Dane wartości: wprowadź wartość z poniższej tabeli:

       Dane wartości	opis
       0	Wyłącz transfery schowka z klienta do hosta sesji.
       1	Zezwalaj na zwykły tekst.
       2	Zezwalaj na zwykły tekst i obrazy.
       3	Zezwalaj na zwykły tekst, obrazy i format tekstu sformatowanego.
       4	Zezwalaj na zwykły tekst, obrazy, format tekstu sformatowanego i kod HTML.

3. Uruchom ponownie hosta sesji.

4. Połączenie do sesji zdalnej z obsługiwanym klientem i przetestować skonfigurowane ustawienia schowka, próbując skopiować i wkleić zawartość.

Powiązana zawartość

• Skonfiguruj znak wodny.
• Skonfiguruj ochronę przed przechwytywaniem ekranu.
• Dowiedz się, jak zabezpieczyć wdrożenie usługi Azure Virtual Desktop, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń.