Azure Virtual Desktopではユーザが使用するセッションホストの画面を保護する
2つのセキュリティ対策機能があります。

 

• 画面キャプチャ保護
• 透かし

それぞれ、設定方法と設定した場合の見え方の例をご紹介します。

 

注意事項

利用するためにはクライアントが使用するアプリやOSバージョン等の
前提条件がありますので下記をご参考ください。

 

画面キャプチャ保護の前提条件
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/screen-capture-protection#prerequisites

 

透かしの前提条件
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/watermarking#prerequisites

 

グループポリシーで設定するため、
Azure Virtual Desktopの管理用テンプレート導入が必要となります。
管理用テンプレートの導入方法は下記をご参照ください。
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/administrative-template

 

画面キャプチャ保護

セッションホストの画面を、操作元PCのアプリケーション等から
非表示、またはブロックする機能になります。
例えば、設定が有効なセッションホストの画面を操作元PCでスクリーンキャプチャすると
真っ暗な画像となり、画面情報を非表示にすることが出来ます。

 

設定方法

[コンピュータの構成] > [管理用テンプレート] >
[Windowsコンポーネント] > [リモートデスクトップサービス] >
[リモートデスクトップセッションホスト] > [AzureVirtualDesktop] > [画面キャプチャ保護を有効にする] を有効
※例として「クライアントで画面キャプチャをブロックする」を選択します

セッションホストに繋ぎ、手元の操作元PCでスクリーンショットを行うと
以下のように、セッションホスト画面が黒くなり、画像内の情報は見えなくなります。

 

透かし

セッションホストの画面上に、透かしたQRコードをオーバレイ表示することで
画面キャプチャ保護では保護できない、スマートフォン等による間接的な画面撮影への対策機能になります。
情報流出という観点では、画像内の情報は見えてしまうため「画面キャプチャ保護」よりも
セキュリティレベルは下がると考えられますが
表示されるQRコードは、リモートセッションの接続IDが書かれているため
接続IDから調査することで、リモートセッション時のユーザを特定することが出来ます。

 

設定方法

[コンピュータの構成] > [管理用テンプレート] >
[Windowsコンポーネント] > [リモートデスクトップサービス] >
[リモートデスクトップセッションホスト] > [AzureVirtualDesktop] > [透かしを有効にします] を有効
※例として「QRコードビットマップの不透明度」を変化させます

QRコードビットマップの不透明度：2000(初期値)

QRコードビットマップの不透明度：500

QRコードビットマップの不透明度：3500

画像内の情報は見えますが、透かし表示されているQRコードにより接続IDが分かりますので
状況調査などが行えます。

 

セッションホストへ接続するたびに接続IDは変わりますので、接続IDから詳細情報を確認する場合は
Azure Virtual Desktop InsightsまたはAzure Monitor Log Analyticsにて調査が必要となります。
内容は下記をご参照ください。
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/watermarking#find-session-information