将 远程帮助 与 Microsoft Intune 配合使用
注意
此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能。
远程帮助是一种基于云的解决方案,用于通过基于角色的访问控制进行安全技术支持连接。 通过连接,支持人员可以远程连接到用户的设备。
在本文中,提供帮助的用户称为 帮助者,接收帮助的用户在与帮助者共享会话时称为 共享 者。 帮助者和共享者都登录到你的组织以使用该应用。 通过Microsoft Entra ID,为远程帮助会话建立了适当的信任。
远程帮助使用Intune基于角色的访问控制 (RBAC) 来设置允许帮助者访问的级别。 通过 RBAC,可以确定哪些用户可以提供帮助以及他们可以提供的帮助级别。
重要
本文介绍一般适用于跨受支持平台远程帮助的功能和配置任务。 有关基于所使用的平台的特定功能、先决条件和其他详细信息,请转到:
远程帮助功能和要求
远程帮助应用通常支持跨受支持平台的以下功能。
注意
若要详细了解基于所使用的平台的特定功能和要求,请转到:
为租户启用远程帮助:默认情况下,Intune租户未启用远程帮助。 如果选择打开远程帮助,则会在租户范围内启用其使用。 在使用 远程帮助 时,必须先启用远程帮助,然后才能通过租户对用户进行身份验证。
将远程帮助用于未注册的设备:远程帮助在注册的设备上受支持,这些设备也需要是 Entra 注册的设备。 默认情况下,禁用此设置。 若要允许在未在 Intune 中注册的设备上远程帮助,必须启用此设置。
需要组织登录名:若要使用 远程帮助,帮助者和共享者都必须使用组织的 Microsoft Entra 帐户登录。 不能使用远程帮助为非组织成员的用户提供帮助。
符合性警告:在帮助程序连接到用户设备之前,如果设备不符合其分配的策略,则帮助程序将看到有关该设备的不合规警告。
基于角色的访问控制:管理员可以设置确定帮助者访问权限范围的 RBAC 规则,例如:
- 可以帮助他人的用户,以及他们在提供帮助时可以执行的操作范围。 例如,谁可以在提供帮助时运行提升的权限。
- 只能查看设备的用户,以及可在协助他人时请求完全控制会话的用户。
监视活动远程帮助会话,并查看有关过去会话的详细信息:在 Microsoft Intune 管理中心,可以查看报告,其中包括有关谁帮助谁、在什么设备上帮助以及帮助时间长等详细信息。 还可以找到有关活动会话的详细信息。 管理员还可以引用为租户管理>审核日志下的Intune远程帮助创建的审核日志会话。
对于未注册的设备,审核远程帮助会话是有限的。
先决条件
适用于远程帮助的一般先决条件:
- Intune 订阅
- 远程帮助为所有 IT 支持人员 (帮助) 和用户添加许可证或Intune套件许可证, (共享者) 旨在使用远程帮助并从服务中受益。
- 支持的平台和设备
有关基于所使用的平台的特定先决条件,请转到:
- 使用 Microsoft Intune 的 Windows 上的远程帮助
- 在 Android 上使用Microsoft Intune远程帮助
- 使用 Microsoft Intune 的 macOS 上的远程帮助
限制:
以下平台上的政府社区云 (GCC) 环境中支持远程帮助:
Windows 10/11
ARM64 设备上的 Windows 10/11
Windows 365
注册为 Android Enterprise 专用设备的 Samsung 和 Zebra 设备
macOS 12、13、14 和 15
GCC High 或 DoD (美国国防部) 租户不支持远程帮助。 有关详细信息,请转到美国政府 GCC High 和 DoD 服务说明Microsoft Intune。
无法建立从一个租户到另一租户的远程帮助会话。
远程帮助可能并非在所有市场或本地化中都可用。
支持的平台和设备
此功能适用于:
- Windows 10/11
- ARM64 设备上的Windows 11
- ARM64 设备上的Windows 10
- Windows 365
- Android Enterprise 专用 (Samsung 和 Zebra 设备)
- macOS 12、13、14 和 15
数据和隐私
Microsoft记录少量会话数据来监视远程帮助系统的运行状况。 此数据包括以下信息:
- 会话的开始时间和结束时间。 此信息在 Microsoft 服务器上存储 30 天。
- 谁在哪些设备上帮助了谁。 此信息在 Microsoft 服务器上存储 30 天。
- 远程帮助本身引起的错误,例如意外断开连接。 此信息存储在事件查看器中的共享者设备上。
- 应用中使用的功能,例如仅查看和提升。 此信息在 Microsoft 服务器上存储 30 天。
远程帮助会话详细信息记录到帮助者和共享者的设备上的 Windows 事件日志。 Microsoft 无法访问会话或查看会话中发生的任何操作或键击。
帮助者和共享者都可以看到有关其他个人的以下信息,这些信息取自他们的组织个人资料:
- 他们的组织个人资料图片(如果存在)
- 公司名称
- 已验证域
- 名字和姓氏
- 职务
Microsoft不会存储任何有关共享者或帮助者的数据超过 30 天。
为租户配置远程帮助
若要将租户配置为支持远程帮助,请查看并完成以下任务。 为支持的所有远程帮助平台配置这些任务非常重要。
任务 1:启用远程帮助
登录到Microsoft Intune管理中心,然后转到租户管理>远程帮助。
在“设置”选项卡上:
- 将“启用远程帮助”设置为“已启用”以允许使用远程帮助。 默认情况下已禁用此设置。
- 如果要允许此选项,请将“允许远程帮助”设置为“未注册的设备”设置为“启用”。 默认情况下已禁用此设置。
- 将“禁用聊天”设置为“是”以删除远程帮助应用中的聊天功能。 默认情况下,聊天处于启用状态,此设置设置为 “否”。
选择“保存”。
注意
购买许可证或开始试用时,可能需要一段时间才能激活(介于 30 分钟到 8 小时之间)。 尝试创建远程帮助会话时,可能会继续看到指示未为租户启用远程帮助的消息,即使激活后在租户中启用了远程帮助也是如此。
任务 2:配置远程帮助的权限
远程帮助使用Intune基于角色的访问控制 (RBAC) 来设置允许帮助者访问的级别。 通过 RBAC,可以确定哪些用户可以提供帮助以及他们可以提供的帮助级别。
为了保护可能正在使用共享器设备的用户的隐私,帮助者应使用远程协助设备所需的最低特权级别。 仅当你知道共享器设备上没有用户接受远程帮助会话时,才请求无人参与会话。
以下Intune RBAC 权限管理远程帮助应用的使用。 将每个设置设为“是”以授予权限:
- 类别:远程帮助应用
- 权限:
- 提升 :是/否
- 视图屏幕 :是/否
- 完全控制 :是/否
- 无人参与的控件 :是/否
注意
如果“完全控制”权限设置为“是”,则默认情况下,即使用户的“查看屏幕”权限设置为“否”,用户也将拥有对“查看屏幕”的其他权限。如果“提升权限”设置为“是”,则默认情况下,即使用户的“查看”屏幕和“完全控制”权限设置为“否”,用户也将拥有对“查看”屏幕和“完全控制”的其他权限。如果“无人参与的控件”权限设置为“是”,则默认情况下,用户将拥有对“查看屏幕”、“完全控制”和“提升”的其他权限,即使用户的“视图”屏幕、“完全控制”和“提升权限”设置为“否”。
- 类别: 远程任务
- 权限:
- 提供远程协助 :是/否
默认情况下,内置技术支持接线员角色将所有这些权限设置为“是”。 可以使用内置角色或创建自定义角色来仅授予远程任务,并远程帮助希望不同用户组具有的应用权限。 有关使用 Intune RBAC 的信息,请参阅基于角色的访问控制。
任务 3:将用户分配到角色
创建可用于为不同用户提供远程帮助权限的自定义角色后,继续将用户分配到这些角色。
Microsoft Intune管理中心登录,转到“租户管理>角色”>,然后选择授予远程帮助应用权限的角色。
选择“分配”>“分配”以打开“添加角色分配”。
在“基本信息”页上,输入“分配名称”和可选“分配说明”,然后选择“下一步”。
在“管理组”页面上,选择包含要向其授予权限的用户的组。 选择“下一步”。
在“作用域 (组) ”页上,选择包含允许成员管理的用户/设备的组。 还可以选择所有用户或所有设备。 选择“下一步”以继续。
重要
如果共享者或共享者的设备不在帮助者范围内,该帮助者无法提供帮助。
完成后,在“查看 + 创建”页上,选择“创建”。 新分配将显示在分配列表中。
监视和报告
可以从Microsoft Intune管理中心内监视远程帮助的使用。 对于未注册的设备,远程帮助会话的报告受到限制。
登录到Microsoft Intune管理中心,然后转到租户管理员>远程帮助。
在“监视”选项卡上,可以看到有关过去会话的活动会话计数和历史数据。
在“远程帮助会话”选项卡上,可以看到过去会话的记录,包括:
- 每个会话的帮助者(提供者 ID)和共享者(接收方 ID)。
- 获得协助的设备。
- 远程协助会话的开始时间和结束时间。
- 控制会话的类型。
注意
Android Enterprise 专用设备的“收件人 ID”和“收件人名称”显示“--”,因为这些设备没有用户相关性。
尝试交互式演示
远程帮助交互式演示通过交互式批注和导航控件逐步引导你完成方案。