今回は WVD の新機能である Screen Capture Protection 機能を試します。執筆段階でプレビュー版なので仕様が変わる可能性はご了承ください。
Screen Capture Protection とは
Screen Capture Protection 機能は WVD クライアントデバイス上でのセンシティブ情報のキャプチャを防止するための機能です。この機能を有効化していると、スクリーンショットや画面共有時に自動的にリモートデスクトップのウィンドウが映るのをブロックします。クリップボードやストレージデバイス、プリンターなどのリダイレクト無効化と合わせて情報の保護に有効な機能です。
プレビュー段階での制限
- [検証環境] を有効化したホストプールであること
- Windows Desktop クライアントのバージョンが 1.2.1526.0 以降であること
(現状は Windows 10 クライアントでのみ動作します)
Screen Capture Protection を構成してみる
ホストプールで検証環境の有効化
Azure ポータルにて、ホストプールを選択して [プロパティ] をクリックし、[検証環境] を [はい] にします。
セッションホストで Screen Capture Protection の有効化
セッションホストで次のレジストリキーを追加し、再起動します。
| パス | 名前 | 型 | 値 |
| HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services | fEnableScreenCaptureProtection | DWORD | 1 |
コマンドで実行する場合は次の通り実行します。
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fEnableScreenCaptureProtection /t REG_DWORD /d 1クライアントの準備
対応バージョン(1.2.1526.0)は執筆時点で Insider 版なので、次のリンク先からダウンロードしてインストールします。
What’s new in the Windows Desktop client
構成の確認
Windows 10 クライアントから設定したホストプールに接続します。
通常(Screen Capture Protection 無効)の場合
スクリーンショットを撮ると当然リモートデスクトップの画面が見えてしまいます。
Screen Capture Protection 有効の場合
リモートデスクトップのウィンドウが自動で黒塗りされた状態となります。
Screen Capture Protection の有効性
仮想デスクトップ基盤 (VDI) 環境を導入する場合、セキュリティを高めたいケースが多いと思います。本機能を有効化する他、各デバイス機能のリダイレクト制御に加え、接続元を制限することも重要になります。
Intune などの MDM 製品でのクライアントデバイス管理、Azure AD 条件付きアクセスでの接続元ネットワークやユーザーごとのアクセス制御と合わせることが重要です。また、利用元の環境にデジタルカメラやスマートフォンなどの電子機器を持ち込ませないといったセキュリティポリシーも整備しなければ真の効果を果たせません。
正式リリース版でどのライセンスに機能が付与されるのか未定ですが、従来 3rd Party ソリューションでも上位ライセンスや単体で数千円に位置付けられる機能が実装されるのは非常に楽しみです。
コメント