Azure Virtual Desktop(以下、AVD)で機密性の高い業務を行う場合、「画面キャプチャ保護」をGPOで有効にすることで、スクリーンショットや画面共有をブロックすることができます。
本記事では、AVDの「画面キャプチャ保護」を有効にする方法をご紹介します。
※AVDを使用できる環境が既にあることが前提です。
GPOによる有効化の手順
1. AVD管理用テンプレートファイルをダウンロードして.cabと.zipを解凍し、解凍後の[AVDGPTemplate]フォルダを開きます。
2. [terminalserver-avd.admx]ファイルをコピーし、AD内の[%windir%\PolicyDefinitions]フォルダに貼り付けます。
3.[AVDGPTemplate]>[en-US]フォルダにある[terminalserver-avd.adml]ファイルをコピーし、AD内の[%windir%\PolicyDefinitions\en-US]フォルダに貼り付けます。
4. グループポリシー管理コンソールを起動し、画面キャプチャ保護用のポリシーを作成してから編集します。
※ GPO名は任意です
5. [コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop]に移動します。
6. [スクリーンキャプチャ保護を有効にする] を開いて、[有効]に設定し、[クライアントとサーバーの画面キャプチャをブロックする]を選択します。
※ それぞれのオプションによる違いは後述します
7. セッションホストのコンピューターオブジェクトがあるOUを対象として、グループポリシーをリンクします。
8. セッションホストのグループポリシーを更新します。もしくは、セッションホストを再起動します。
画面キャプチャ保護動作の種類と動作確認
画面キャプチャ保護オプションは2種類あり、どちらかを選択する必要があります。
- クライアントで画面キャプチャをブロックする
- リモート セッションで実行されているアプリケーションのクライアントからの画面キャプチャが防止されます
- クライアントとサーバーの画面キャプチャをブロックする
- リモート セッションで実行されているアプリケーションのクライアントからの画面キャプチャが防止され、セッション ホスト内のツールとサービスが画面をキャプチャすることもできなくなります
- このオプションはセッションホストOSがWindows 11 22H2 以降で使用できます
文字だけでは分かりづらいので、実機で確認した様子を画像でお見せします。
画面キャプチャ保護なし(設定なし)
クライアントからスクリーンショットを取得することが出来ます。
また、セッションホストからスクリーンショットを取得することも可能です。
クライアントで画面キャプチャをブロックする
クライアントからスクリーンショットを取ることが出来ず、真っ黒な画面になります。
一方、セッションホストからはスクリーンショットが可能です。
クライアントとサーバーで画面キャプチャをブロックする
クライアントからスクリーンショットを取ることが出来ず、真っ黒な画面になります。
また、この設定の場合は、セッションホストからスクリーンショットも出来ず、真っ黒な画面になります。
さいごに
今回は、AVDの「画面キャプチャ保護」をGPOで有効にする方法を、実際の設定後の挙動も含めてご紹介しました。
AVDのスクリーンショットや画面共有をブロックし、セキュリティを高めたい方の参考になれば幸いです。