Azure Virtual Desktop(AVD)コラム 第1回
画面キャプチャ保護(Screen Capture Protection)機能

はじめまして。株式会社シーエーシー WVD担当の岩崎です。

2021年3月、当社はマイクロソフト社「Advanced Specialization」の「Windows Virtual Desktop」分野(※)に関する認定を取得しました。
これを機にWindows Virtual Desktop(以下 WVD)の導入を検討されている皆様に役立てていただけるよう、本コラムを開始しましたので、よろしくお願いいたします。

記念すべき第1回は、お客様とWVDの話をした際に必ずと言って良いほどご質問いただくWVDのセキュリティ機能の中から、2020年12月にパブリックプレビューとして公開された「画面キャプチャ保護(Screen Capture Protection)機能」の検証内容についてお話しします。
【追記】
画面キャプチャ保護(Screen Capture Protection)機能は、2021年8月に一般提供が開始されました。
2021年6月にWindows Virtual Desktop(WVD)サービスの名前は、Azure Virtual Desktop(AVD)に変更されました。

画面キャプチャ保護(Screen Capture Protection)機能とは

セキュリティの観点から、一般的にリモートデスクトップアプリを使用する際にUSBデバイスやクリップボードの利用などを制限することがあります。AVD(旧WVD)においてもこの設定は可能ですが、これまではクライアントPC側で画面キャプチャが行えてしまうという課題がありました。

しかし、この機能を有効化することにより、クライアントPCでの画面キャプチャや画面共有時に自動的にリモートデスクトップのウィンドウが映るのをブロックすることができる様になりました。

前提事項

  • ホストプールのプロパティ画面にて[検証環境]設定が有効化されていること
    【追記】
    一般提供にともないこちらの設定対応は不要となります。
  • Windows デスクトップ クライアントは 1.2.1526 以降のバージョンをダウンロードしてインストールしていること
  • (プレビュー期間中は、Windows10クライアントからのリモートデスクトップ接続のみサポート)

Windows デスクトップ クライアントをインストールする場合はこちらから
※プレビュー版のため設定手順および動作内容について変更となる場合があります。

ホストプールのプロパティ画面にて[検証環境]設定

画面キャプチャ保護(Screen Capture Protection)機能の有効化

本機能を有効化するには、セッションホスト(WVDサービスを提供する仮想マシン)上で、以下のレジストリーキーを追加します。
【追記】
公式ドキュメントでは、GPO設定(ポリシーテンプレートをダウンロードして実施)が正式な手順となっています。

詳細については、以下をご参照ください。

画面キャプチャ保護:
https://docs.microsoft.com/ja-jp/azure/virtual-desktop/screen-capture-protection

参考までに、以前のレジストリ設定情報は残しておきます。

レジストリ変更情報

場所 キーの名前 キーのタイプ キーの値
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services fEnableScreenCaptureProtection DWORD 1

コマンドプロンプト実行コマンド

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fEnableScreenCaptureProtection /t REG_DWORD /d 1

画面キャプチャ保護(Screen Capture Protection)機能の有効化確認

有効化前の画面キャプチャ

画面キャプチャ取得時にリモートデスクトップの画面もキャプチャされてしまいます。

有効化前の画面キャプチャ

有効化後の画面キャプチャ

画面キャプチャ取得時にリモートデスクトップの画面は黒塗りされた状態になります。

有効化後の画面キャプチャ

このように、簡単な設定変更でセキュリティレベルの向上が図れますので、セキュリティ要件等でこうしたニーズがあった際は、是非お試しください。

その他設定情報

本機能の使用中は、クライアントにリモートコンテンツがコピーされることを防ぐためにクリップボードのリダイレクトについても合わせて無効化にすることが推奨されています。その設定方法について記載します。

クリップボードのリダイレクト設定については、ホストプールのRDPプロパティ画面より実施します。

[クリップボードのリダイレクト] - [ローカルコンピューターのクリップボードをリモートセッションで使用可能にしない]

RDPプロパティ画面

RDPのプロパティでは、クリップボードの他にプリンタやUSBデバイス、カメラ、マイクなどを制御することが可能です。

次回は、監視ツールとして利用されているAzure MonitorのWVD版「Azure Monitor for Windows Virtual Desktop(パブリックプレビュー)」についてお話しします。
【追記】
Azure Monitor for Azure Virtual Desktop として、こちらも一般提供開始済みとなります。

※ Microsoft Windows Virtual Desktop Advanced Specialization

Microsoft Azure 上での Windows Virtual Desktop (WVD) による仮想デスクトップ インフラストラクチャのデプロイ、最適化、保護に関する深い知識、豊富な経験、成功実績を備えるパートナー企業であることを第三者機関の審査により得られる企業向けの認定資格。
https://docs.microsoft.com/ja-jp/partner-center/advanced-specializations

■著者プロフィール

株式会社シーエーシー
アドバンストテクノロジー本部 クラウドテクノロジー部
岩崎 伸由

長年にわたりITインフラ(メインフレーム、Windows Server~クラウド)の構築・運用案件に参画。
現在は、Azure Virtual Desktop(AVD)の構築サービスの提案や構築・検証サポートを担当している。

AVDコラム一覧へ

このサービスのお問い合わせ

まずはお気軽にご相談ください。

関連コンテンツ