你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Azure 虚拟桌面中的屏幕捕获保护

屏幕捕获保护以及水印通过一组特定的操作系统 (OS) 功能和应用程序编程接口 (API) 来帮助防止客户端终结点上的敏感信息被捕获。 启用屏幕捕获保护时，将在屏幕截图和屏幕共享中自动屏蔽远程内容。

屏幕捕获保护有两种受支持的方案，具体取决于所使用的 Windows 版本：

• 在客户端上屏蔽屏幕捕获：会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 这会阻止从远程会话中运行的应用程序客户端捕获屏幕。

• 在客户端和服务器上屏蔽屏幕捕获：会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 这可以防止从远程会话中运行的应用程序客户端捕获屏幕，同时也阻止会话主机中的工具和服务捕获屏幕。

启用屏幕捕获保护后，用户无法使用本地协作软件（如 Microsoft Teams）共享其远程桌面窗口。 在 Teams 中，本地 Teams 应用和媒体优化的 Teams 都无法共享受保护的内容。

提示

• 若要提高敏感信息的安全性，还应禁用剪贴板、驱动器和打印机重定向。 禁用重定向有助于防止用户从远程会话复制内容。 若要了解支持的重定向值，请参阅设备重定向。

• 若要阻止使用其他屏幕捕获方法（例如使用物理相机拍摄屏幕照片），可以启用水印，其中管理员可以使用 QR 码来跟踪会话。

先决条件

• 你的会话主机必须运行以下 Windows 版本之一才能使用屏幕捕获保护：

  • 在客户端上屏蔽屏幕捕获在支持的 Windows 10 或 Windows 11 版本中可用。
  • 在客户端和服务器上屏蔽屏幕捕获在 Windows 11 版本 22H2 及之后的版本中可用。

• 用户必须使用以下某个远程桌面客户端连接到 Azure 虚拟桌面，从而使用屏幕捕获保护。 如果用户尝试使用其他客户端或版本进行连接，则连接将被拒绝，并会显示代码为 0x1151 的错误消息。

  客户端	客户端版本	桌面会话	RemoteApp 会话
  适用于 Windows 的远程桌面客户端	1.2.1672 或更高版本	是	是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。
  Azure 虚拟桌面应用商店应用	任意	是	是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。
  适用于 macOS 的远程桌面客户端	10.7.0 或更高版本	是	是

启用屏幕捕获保护

屏幕捕获保护在会话主机上配置，并由客户端执行。 使用 Intune 或组策略配置设置。

要配置屏幕捕获保护，请执行以下操作：

1. 按照步骤，让 Azure 虚拟桌面的管理模板可供使用。

2. 验证管理模板可用后，打开“启用屏幕捕获保护”策略设置，并将其设置为“启用”。

3. 在下拉菜单中，在“在客户端上屏蔽屏幕捕获”或“在客户端和服务器上屏蔽屏幕捕获”中选择要使用的屏幕捕获保护方案。

4. 通过运行组策略更新或 Intune 设备同步，将策略设置应用于会话主机。

5. 使用受支持的客户端连接到远程会话，通过拍摄屏幕截图或共享屏幕来测试屏幕捕获保护功能。 内容应该会被屏蔽或隐藏。 任何现有会话都需要退出登录再重新登录才能使更改生效。

后续步骤

在安全最佳做法中了解如何保护 Azure 虚拟桌面部署。