Hero Banner

Azure Virtual Desktop (AVD)

Reply
AzureAndi
Moderator

Security is king :-) Announcing public preview of Screen Capture Protection in Windows Virtual Desktop

Announcing public preview of Screen Capture Protection in Windows Virtual Desktop - Microsoft Tech Community

We are excited to announce the public preview of Screen Capture Protection in Windows Virtual Desktop. This feature prevents sensitive information from being captured on the client end-points. When enabled, remoted content will be automatically blocked/hidden in screenshots, screen shares and also from malicious software that may be continuously capturing the screen content. 

Find more information Windows Virtual Desktop security best practices - Azure | Microsoft Docs

6 REPLIES 6
JochenBerners
Level 2 Contributor

Hey Andi,

 

das ist schon mal ein cooler Zug! Bin gespannt, was die Kunden dazu sagen (bestimmt nur Gutes 🙂

Zu Security hätte ich da noch ne andere Frage: wenn ein interner User von einem BoyD auf WVD zugreifen darf, wollte ein Kunde dann aber Copy/Paste und z.B. Drive Redirection gesperrt haben (Datenabluss auf private Geräte, da würde auch das hier passen!). Wenn der gleiche User aber von einem Corporate Device auf WVD zugreift, soll alles möglich sein. Normalerweise würde ich über CA gehen...da fällt mir die Konfig aber nicht zu ein (und ob es überhaupt machbar ist 😞 Das zweite was mir eingefallen ist, wären HP mit unterschiedl. Remote-Einstellungen. Aber da wüsste ich nicht den Weg, wie man den Login abhängig machen kann, mir welchem Gerät der User ankommt 😞

Einer eine Idee (so kurz vor Weihnachten)?

Danke und schöne Feiertage

Jochen

Sofiane
Visitor 3

Hi Jochen,

 

wäre es eine Lösung für dich wenn du über zwei Hostpools arbeitest? Bei dem einen Hostpool (A) mit (CA only Hybrid Join Geräten) kannst du alle Einstellungen über die RDP Settings vom Hostpool (A) konfigurieren. Bei dem anderen Hostpool (B) (BYOD) kannst du in den die RDP Settings vom Hostpool (B) konfigurieren. Sobald der USer mit einem Fremdgerät sich anmeldet, kann er eben nur aufgrund der CA Policy nur auf Hostpool (B) zugreifen, wo auch alles eingeschränkt ist. Meldet er sich mit einem Hybrid Join Gerät an, kann er sowohl auf Hostpool A als auch B zugreifen. 

JochenBerners
Level 2 Contributor

Hey sofiane,

 

das wäre auch eine Idee die ich hatte. Leider ist mir bislang keine Möglichkeit bekannt, wie ich anhand der verschiedenen CA Policies die User auf die verschiedenen Hostpools A und B verteilen kann 😞

JanoschUlmer
Microsoft

@JochenBerners : Gibt es auch leider nicht. Leider gibt es tatsächlich erst 15 Votes für so etwas in Uservoice - für so ein valdies Szenario hätte ich jetzt mehr erwartet:

Conditional Access Policy at Pool level – Share ideas for Windows Virtual Desktop (uservoice.com)

Kind regards, Janosch
Receive consultations via Technical Presales and Deployment Services team
JanoschUlmer
Microsoft

Man könnte ggf. auch mal DUO fragen ob die so etwas unterstützen - da die MFA über einen Agent in der VM triggern, könnte das funktionieren:Windows Virtual Desktop – Require MFA – icw Duo Security (azureinfra.com)

Kind regards, Janosch
Receive consultations via Technical Presales and Deployment Services team
JochenBerners
Level 2 Contributor

Hey Janosch,

 

danke erstmal für deine Antworten, hab schon mal eine Stimme abgegeben beim Uservoice 🙂

 

MFA wird gar nicht sooo sehr benötigt. Wichtiger wäre dem Kunden der Schutz der Corporate Data bei ByoD...mir ist da noch in den letzten Tagen WIP eingefallen...aber das wäre auch nur ein "Workaround".

Schöner wäre wirklich, wenn man sagen könnte, kommst du mit nem HybridJoined-Device darfst du C/P und so machen, ansonsten eben nicht 😉

VG

Jochen