使用 Microsoft Intune 的 Windows 上的远程帮助
注意
此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能。
远程帮助是一种基于云的解决方案,用于通过基于角色的访问控制进行安全技术支持连接。 通过连接,支持人员可以远程连接到用户的设备。 在会话期间,支持人员可以查看设备的显示,如果设备用户允许,则完全控制设备。 完全控制使帮助者能够直接在设备上进行配置或执行操作。
在本文中,提供帮助的用户称为 帮助者,接收帮助的用户在与帮助者共享会话时称为 共享 者。 帮助者和共享者都登录到你的组织以使用该应用。 通过Microsoft Entra ID,为远程帮助会话建立了适当的信任。
远程帮助使用Intune基于角色的访问控制 (RBAC) 来设置允许帮助者访问的级别。 通过 RBAC,可以确定哪些用户可以提供帮助以及他们可以提供的帮助级别。
Microsoft提供远程帮助应用,可在注册Intune的设备和未注册Intune的设备上安装。 该应用还可通过 Intune 部署到托管设备。
远程帮助 Windows 上的功能和要求
远程帮助应用支持 Windows 上的以下功能:
条件访问:管理员现在可以在为远程帮助设置策略和条件时利用条件访问功能。 例如,多重身份验证、安装安全更新,以及锁定对特定区域或 IP 地址远程帮助的访问。 有关设置条件访问的详细信息,请转到为远程帮助设置条件访问
合规性警告:在帮助程序连接到用户设备之前,如果帮助程序不符合其分配的策略,则会看到有关该设备的不合规警告。 此警告不会阻止访问,但提供有关在会话期间使用敏感数据(如管理凭据)的风险的透明度。
有权访问 Intune 中的设备视图的帮助者将在Microsoft Intune管理中心的设备属性页的警告中看到链接。 通过此链接,帮助者可以详细了解设备不合规的原因。
如果用户的设备未注册,帮助程序会看到一条提示,提示用户的设备已取消注册。
特权提升 - 如果需要,具有正确 RBAC 权限的帮助程序可以与共享者计算机上的 UAC 提示进行交互以输入凭据。 例如,技术支持员工可能会输入其管理凭据,以完成共享者设备上需要管理权限的操作。
增强聊天 - 远程帮助包括增强聊天,可维护所有消息的连续线程。 此聊天支持特殊字符和其他语言,包括中文和阿拉伯语。 有关支持的语言的详细信息,请参阅 支持的语言。
远程启动会话 - 帮助程序能够通过向用户的设备发送通知,从Intune在帮助者和用户的设备上无缝启动远程帮助。 此通知允许支持人员和共享者快速连接到会话,而无需交换会话代码。
Windows 上远程帮助的先决条件
此处列出了远程帮助的一般先决条件。
在 Windows 上远程帮助的先决条件是:
- 设置适用于 Windows 的 远程帮助 应用。 请参阅安装和更新远程帮助
- 帮助者和共享者可以位于已注册或未注册的设备上。
若要远程启动会话,请:
帮助程序可以位于已注册或未注册的设备上。
共享者的设备需要使用Intune管理扩展注册设备。
- 远程启动功能需要Intune管理扩展,Windows 10 和 11 上支持该扩展。 具体而言,对于Windows 10操作系统内部版本必须大于或等于版本 19042,并安装KB5018410修补程序。 OS 版本应大于或等于 10.0.19042.2075 或 10.0.19043.2075 或 10.0.19044.2075。 有关Intune管理扩展的详细信息,请参阅 Intune 管理扩展
用于提高通知可靠性的可选 Windows 更新:
网络注意事项
远程帮助通过端口 443 (https) 进行通信,并使用远程桌面协议 (RDP) 连接到远程协助服务https://remotehelp.microsoft.com
。 流量使用 TLS 1.2 进行加密。
帮助者和共享者都必须能够通过端口 443 访问这些终结点。 转到远程帮助的网络终结点,获取远程帮助所需的终结点列表。
适用于 Windows 的远程帮助模式
远程帮助为 Windows 提供三种不同的会话模式:
请求屏幕共享:远程屏幕的请求视图。 为了尽量减少对最终用户隐私的影响,除非需要完全控制,否则建议使用此选项。
请求完全控制:请求远程设备的完全控制。
提升:允许帮助者在共享者的设备上出现提示时输入 UAC 凭据。 启用提升还允许帮助者在共享者授予帮助者访问权限时查看和控制共享者的设备。
安装和更新远程帮助
远程帮助可从 Microsoft 下载,并且必须先安装在每台设备上,然后该设备才能用于参与远程帮助会话。 默认情况下,远程帮助用户选择自动更新,并在更新可用时更新自身。
某些用户可能会选择退出自动更新。 但是,当需要新版本的 远程帮助 时,应用会在打开时提示用户安装该版本。 可以使用相同的过程下载并安装远程帮助以安装更新的版本。 在安装更新的版本之前,无需卸载以前的版本。
- Intune 管理员可以下载应用,并将其部署到已注册的设备。 有关应用部署的详细信息,请参阅在 Windows 设备上安装应用。
- 有权在其设备上安装应用的单个用户也可以下载并安装远程帮助。
注意
- 2022 年 5 月,远程帮助 的现有用户在打开 远程帮助 应用时将看到建议的升级屏幕。 用户无需升级即可继续使用 远程帮助。
- 2022 年 5 月 23 日,远程帮助的现有用户在打开远程帮助应用时将看到强制升级屏幕。 在升级到最新版本的 远程帮助 之前,他们将无法继续。
- 远程帮助现在需要 Microsoft Edge WebView2 运行时。 在远程帮助安装过程中,如果设备上未安装 Microsoft Edge WebView2 运行时,远程帮助安装将安装它。 卸载远程帮助时,不会卸载Microsoft Edge WebView2 运行时。
下载远程帮助
在 aka.ms/downloadremotehelp 直接从 Microsoft 下载最新版本的 远程帮助。
远程帮助的最新版本是 5.1.1419.0
将远程帮助部署为 Win32 应用
若要使用 Intune 部署远程帮助,可以将应用添加为 Windows Win32 应用,并定义检测规则来标识未安装最新版本远程帮助的设备。 在将远程帮助添加为 Win32 应用之前,必须将 remotehelpinstaller.exe 重新打包为 .intunewin 文件,该文件是可以使用 Intune 部署的 Win32 应用文件。 有关如何将文件重新打包为 Win32 应用的信息,请参阅 准备 Win32 应用内容以供上传。
将远程帮助重新打包为 .intunewin 文件后,请使用添加 Win32 应用中的过程以及以下详细信息来上传和部署远程帮助。 在以下内容中,重新打包的 remotehelpinstaller.exe 文件将被命名为 remotehelp.intunewin。
重要
确保已将你加载的文件重命名为 remotehelpinstaller.exe。
在“应用信息”页上,选择“ 选择应用包文件”,找到以前准备的 remotehelp.intunewin 文件,然后选择“ 确定”。
添加 发布服务器,然后选择 下一步。 “应用信息”页面上的其他详细信息为可选信息。
在“程序”页面上,配置以下选项:
- 对于 安装命令行,请指定 remotehelpinstaller.exe /quiet acceptTerms=1
- 对于 卸载命令行,请指定 remotehelpinstaller.exe /uninstall /quiet acceptTerms=1
要选择退出自动更新,请将 enableAutoUpdates=0 指定为安装命令 remotehelpinstaller.exe /quiet acceptTerms=1 enableAutoUpdates=0 的一部分
重要
命令行选项 acceptTerms 和 enableAutoUpdates 始终区分大小写。
可以将其余选项保留为默认值,并选择 下一步 以继续。
在“要求”页面上,配置以下选项以满足环境要求,然后选择 下一步:
- 操作系统体系结构
- 最低操作系统
在“检测规则”页面上,对于 规则格式,请选择 手动配置检测规则,然后选择 添加 以打开检测规则 窗格。 配置以下选项:
- 对于 规则类型,请选择 文件
- 对于 路径,请指定 C:\Program Files\Remote Help
- 对于 文件或文件夹,请指定 RemoteHelp.exe
- 对于 检测方法,请选择 字符串(版本)
- 对于 运算符,请选择 大于或等于
- 对于“值”,请指定要部署的远程帮助版本。 例如 ,10.0.22467.1000。 有关如何获取远程帮助版本的详细信息,请参阅以下说明。
- 将 关联于 64 位客户端上的 32 位应用 设置保留为 否
注意
若要获取 RemoteHelp.exe的版本,请手动将 RemoteHelp 安装到计算机,并运行以下 Powershell 命令 (Get-Item“$env:ProgramFiles\Remote Help\RemoteHelp.exe”) 。VersionInfo。 在输出中记下 FileVersion,并使用它在检测规则中指定 值 。
转到“分配”页,然后选择应安装远程帮助应用的适用设备组或设备组。 远程帮助适用于面向设备的组 () ,而不适用于用户组。
完成 Windows 应用的创建,让Intune在适用的设备上部署和安装远程帮助。
如何使用远程帮助
远程帮助的使用取决于是请求帮助还是提供帮助。 在本部分中,将介绍这两种方案。
请求帮助
若要请求帮助,必须联系支持人员以请求协助。 可以通过通话、聊天、电子邮件等进行联系,并且你将在会话期间成为共享者。
作为共享者,当你请求帮助并且你和帮助者都准备好开始时:
帮助程序在Microsoft Intune管理中心找到设备,并选择“新建远程协助会话”。 通知将发送到共享者的设备。
共享者必须选择“启动远程帮助”才能加入会话。 共享者可能需要登录才能进行身份验证。 作为替代方法,帮助者和共享者都可以手动启动应用并交换会话代码。
打开远程帮助应用后,共享者必须等待帮助程序设置会话。 帮助程序可查看有关共享者的信息,包括全名、职务、公司、个人资料图片和已验证的域。 作为共享者,你的应用将显示有关帮助者的类似信息。
此时,帮助者可能会请求完全控制你的设备的会话,或选择仅共享屏幕。 如果帮助者请求完全控制,你可以选择“允许完全控制”选项,也可以选择“拒绝请求”。
在帮助程序 (完全控制或屏幕共享) 建立会话类型后,将建立会话,然后帮助程序可以帮助解决设备上的任何问题。
在协助期间,具有“提升”权限的帮助者可以在你的共享设备上输入本地管理员权限。 “提升”允许帮助者在你缺乏足够权限时运行可执行程序或执行类似操作。
在解决问题后,或在会话期间的任何时间,共享者和帮助者都可以结束会话。 若要结束会话,请在远程帮助应用右上角选择“离开”。
在未注册的设备上请求帮助
如果管理员允许你在未注册的设备上获取帮助,则设备可能不需要注册到 Intune。 如果你的设备未注册,并且你正在尝试接收帮助,请准备好输入一个安全代码,你将从正在为你提供帮助的人员那里获取。 你将在 远程帮助 实例中输入代码,以建立与远程帮助帮助程序实例的连接。
作为共享者,当你请求帮助并且你和帮助者都准备好开始时:
在设备上启动远程帮助应用,然后登录以向组织进行身份验证。
登录到应用后,从协助人员那里获取安全代码并输入代码。 然后选择“ 提交”。
从帮助程序提交安全代码后,帮助程序会看到有关你的信息,包括你的全名、职务、公司、个人资料图片和已验证的域。 作为共享者,你的应用将显示有关帮助者的类似信息。
此时,帮助者可能会请求完全控制你的设备的会话,或选择仅共享屏幕。 如果帮助者请求完全控制,你可以选择“允许完全控制”选项,也可以选择“拒绝请求”。 必须在帮助会话启动之前建立完全控制。
在建立 (完全控制或屏幕共享) 的会话类型后,将建立会话,并且帮助程序现在可以帮助解决设备上的任何问题。
提供帮助
作为帮助者,在使用 远程帮助 应用收到需要帮助的用户的请求后:
从 Microsoft Intune 管理中心内在远程设备上启动会话:
Microsoft Intune管理中心登录,转到“设备>”“所有设备”,然后选择需要帮助的设备。
在设备视图顶部的远程操作栏中,选择“新建远程协助会话”,然后选择“远程帮助”,然后选择“继续”。
注意
如果要从Intune启动会话,请使用与 远程帮助 应用相同的凭据登录以成功连接。
通知将发送到共享者的设备,你将看到通知已成功发送的更新。 选择“启动远程帮助加入会话。
a. 如果通知已发送但用户未收到,则可以通过选择“ 重试”来重新发送通知。
b. 如果共享者的设备未联机或未连接到 Internet,则会显示错误消息。
c. 如果尝试连接到的设备不符合要求,则会显示警告横幅。
打开远程帮助时,必须登录才能向组织进行身份验证。
共享者通过通知打开远程帮助应用后,你将看到有关共享者的信息,包括其全名、职务、公司、个人资料图片和已验证的域。 共享者会看到有关你的类似信息。
此时,你可以请求完全控制共享者设备的会话,或选择仅共享屏幕。 如果请求完全控制,则共享者可以选择“允许完全控制”或“拒绝请求”。
在确定会话使用共享显示或完全控制后,如果共享者的设备不符合其分配的合规性策略的条件,远程帮助将显示“合规性警告”。
在协助期间,具有“提升”权限的帮助者可以在你的共享设备上输入本地管理员权限。 “提升”允许帮助者在你缺乏足够权限时运行可执行程序或执行类似操作。
在解决问题后,或在会话期间的任何时间,共享者和帮助者都可以结束会话。 若要结束会话,请在远程帮助应用右上角选择“离开”。 如果帮助程序在用户的设备上执行提升的操作,而共享者结束会话,则共享者在会话结束时会自动注销。
在未注册的设备上提供帮助
如果尝试帮助的设备未在 Intune 中注册,则必须按照本节中所述的过程提供帮助:
在设备上找到远程帮助应用并手动启动它。 远程帮助应用打开后,需要登录才能对组织进行身份验证。
登录应用后,在“提供帮助”下,选择“获取安全码”。 远程帮助会生成一个安全代码,你将与请求帮助的人员共享该代码。 共享者在其远程帮助应用的实例中输入代码,以建立与远程帮助实例的连接。
在共享者输入安全码后,作为帮助者,你将看到有关共享者的信息,包括其全名、职务、公司、个人资料图片和已验证的域。 共享者会看到有关你的类似信息。 此时,你可以请求完全控制共享者设备的会话,或选择仅共享屏幕。 如果请求完全控制,则共享者可以选择“允许完全控制”或“拒绝请求”。
现在,你将与用户进行会话,其体验和过程与 “提供帮助”部分中概述的相同。
重要
在远程帮助会话期间,当帮助者具有提升权限时,帮助者将无法自动查看共享者的 UAC 提示。 相反,对于非管理员共享者,帮助者的远程帮助工具栏上会显示一个按钮,允许其请求访问共享者设备上的 UAC 提示符。 提出请求并获得接受后,帮助程序将能够在共享者的设备上执行提升的操作。 当共享者结束远程帮助会话时,将显示一个对话框,警告他们,如果他们继续,它们将被注销。 如果帮助程序结束会话,则不会注销共享者。
日志文件
远程帮助在安装和远程帮助会话期间记录数据,在调查应用问题时可以使用这些数据。
安装远程帮助 - 远程帮助安装或卸载时,会在设备用户的 Temp 文件夹中创建以下两个日志,C:\Users\<username>\AppData\Local\Temp
例如 。 日志文件名称中的 * 表示创建日志时的日期和时间戳。
- Remote_help_*_QuickAssist_Win10_x64.msi.log
- Remote_help_*.log
操作日志 - 在使用远程帮助期间,操作详细信息将记录在 Windows 事件查看器中:
- >事件查看器应用程序和服务>Microsoft > Windows > RemoteHelp
安装详细信息
已删除远程帮助安装程序中的自动防火墙规则创建。 但是,如果需要,系统管理员可以创建防火墙规则。
根据使用远程帮助的环境,可能需要创建防火墙规则以允许远程帮助通过 Windows 防火墙。 在某些情况下,必要时应允许以下远程帮助可执行文件通过防火墙:
- C:\Program Files\Remote help\RemoteHelp.exe
- C:\Program Files\Remote help\RHService.exe
- C:\Program Files\Remote help\RemoteHelpRDP.exe
为远程帮助设置条件访问
本部分概述了在租户上预配 远程帮助 服务以用于条件访问的步骤。
- 在管理员模式下打开 PowerShell。
- 可能需要安装 Microsoft Graph PowerShell
- 在 PowerShell 中输入以下命令:
安装
Install-Module Microsoft.Graph -Scope CurrentUser
登录
Connect-MgGraph
使用 命令使用所需的范围登录。 你需要使用管理员帐户登录才能同意所需的范围。
Connect-MgGraph -Scopes "Application.ReadWrite.All"
创建服务主体
使用 Remote Assistance Service
AppId“1dee7b72-b80d-4e56-933d-8b6b04f9a3e2”创建服务主体。
New-MgServicePrincipal -AppId "1dee7b72-b80d-4e56-933d-8b6b04f9a3e2"
DisplayName Id AppId ServicePrincipalType
---- ------- ----------- ---------------
RemoteAssistanceService 3d5ff82b-a5f2-483a-xxxx-9514ed66f7c5 1dee7b72-b80d-4e56-933d-8b6b04f9a3e2
为了提高可读性,此输出已缩短。
该 ID 对应于远程协助服务的应用 ID。
显示名称为远程协助服务,这是远程帮助的后端服务。
登出
Disconnect-MgGraph
使用 命令注销。
Disconnect-MgGraph
支持的语言
以下语言支持远程帮助:
- 阿拉伯语
- 保加利亚语
- 中文(简体)
- 中文(繁体)
- 克罗地亚语
- 捷克语
- 丹麦语
- 荷兰语
- 英语
- 爱沙尼亚语
- 芬兰语
- 法语
- 德语
- 希腊语
- 希伯来语
- 匈牙利语
- 意大利语
- 日语
- 朝鲜语
- 拉脱维亚语
- 立陶宛语
- 挪威语
- 波兰语
- 葡萄牙语
- 罗马尼亚语
- 俄语
- 塞尔维亚语
- 斯洛伐克语
- 斯洛文尼亚语
- 西班牙语
- 瑞典语
- 泰语
- 土耳其语
- 乌克兰语
Windows for Edge WebView2 上的远程帮助故障排除
如果在安装和运行远程帮助时遇到问题,可能会在对话框中看到错误代码。 此错误可能与 Microsoft Edge WebView 2 相关,后者需要使用 远程帮助。 下面是你可能会看到的一些错误代码,以及问题的简短说明。
错误代码 | 常规问题 |
---|---|
1001 | 远程帮助无法初始化其内部组件之一。 |
1002 | 远程帮助无法加载 WebView2。 |
1003 | 远程帮助无法安装 WebView2。 |
解决方案
- 确保正确安装了 Microsoft Edge 并处于最新状态。
远程帮助使用 Microsoft Edge 浏览器控件。 如果设备已安装 Microsoft Edge,则远程帮助可能会正常运行。 如果遇到问题,此处的常见故障排除提示可能有助于远程帮助工作。 详细了解有关安装和更新 Microsoft Edge 的故障排除提示。安装或更新 Microsoft Edge 后,请尝试再次打开远程帮助。 如果远程帮助未运行或收到错误消息,指出未安装 Microsoft Edge WebView2,请转到下一步。
- 安装 Microsoft Edge WebView 2
需要Microsoft Edge WebView2 才能使用远程帮助。 如果在尝试打开远程帮助时收到一条错误消息,指出未安装 WebView2,请从 Microsoft 网站下载并安装 Microsoft Edge WebView2。 下载 WebView2 后,再次尝试打开远程帮助。
注意
如果设备正在运行Windows 11或已Microsoft Edge,则应已安装 WebView2。
已知问题
对于在用户设备上远程启动会话,当帮助程序启动远程帮助会话时,如果Microsoft Intune管理服务未运行,则发送到共享者设备的通知会失败。 重启用户设备后,服务会延迟启动。 可以在重启) 30-60 秒后手动等待服务启动 (,也可以通过 services.msc 手动启动服务。 对于新注册的设备,在帮助程序启动会话时,用户设备开始接收通知之前会延迟 1 小时。
远程帮助的新增功能
远程帮助汇报定期发布。 更新远程帮助时,可以在此处阅读有关更改的信息。
2024 年 6 月 25 日
版本 5.1.1419.0
- 解决首次启动时屏幕可能为空的问题。
2024 年 3 月 13 日
版本:5.1.1214.0
- 将 远程帮助 的主终结点从 https://remoteassistance.support.services.microsoft.com 更改为 https://remotehelp.microsoft.com。
注意
这可能会导致某些组织在 2024 年 5 月 30 日之后不允许 remotehelp.microsoft.com 防火墙发生中断性变更。
- 解决了各种 bug,包括条件访问问题。 如果租户为Office 365启用了使用条款策略,远程帮助将不知道如何响应,而是向用户显示身份验证错误消息。
- 启用了使用键盘快捷方式“Alt + 空格”打开上下文菜单的快捷方式
2023 年 10 月 25 日
版本:5.0.1311.0
- 禁用了将系统音频从 Sharer 设备中继到帮助程序设备,这在两个用户使用另一个应用来通信 ((例如 Teams) )时导致回声。
- 添加了具有提升权限的帮助程序的功能,以便还可以在共享者是管理员的设备上提升应用。
2023 年 9 月 7 日
版本:5.0.1045.0
借助远程启动,帮助程序可以通过向共享者的设备发送通知,从Intune在帮助者和共享者的设备上无缝启动远程帮助。
2023 年 7 月 13 日
版本:5.0.1045.0 此版本的 远程帮助 支持 ARM64 设备,包括 macOS 上的 Microsoft Surface Pro X 和 Parallels Desktop。
2023 年 6 月 20 日
版本:4.2.1424.0 远程帮助 4.2.1424.0,新的会话中连接模式功能为用户提供了在远程协助会话期间在完全控制模式和仅查看模式之间无缝切换的方法。
2023 年 5 月 1 日
版本:4.2.1270.0
此版本包括启用未来功能的次要更新。
- 添加了对远程帮助 URI (中的斜杠的支持,以启用将来的功能)
2023 年 3 月 27 日
版本:4.2.1167.0 - 此版本中的更改:
此版本解决了 Laser Pointer 中的 bug,并包含一些更新,以便为将来的版本做好准备。
- 已从远程帮助更新产品名称以远程帮助
- 更新了应用程序说明,以便针对非美国区域设置更好地本地化它
- 解决了应用在深色模式下启动时会闪烁白屏的 bug
- 修复了激光笔颜色更改的 bug
2023 年 2 月 6 日
版本:4.1.1.0 - 此版本中的更改:
添加了新的激光笔功能,以更好地帮助帮助者在会话期间引导共享者。 帮助程序可以在“完全控制”和“仅查看”会话中使用激光笔。 其他更新包括本地化改进和错误处理。
此版本中包含的各种 bug 修复:
修复了在某些情况下帮助程序无法与提升的应用程序交互的问题
解决了帮助程序无法使用某些键盘导航热键的辅助功能问题
WebView2 集成的可靠性修复和改进的日志记录
2022 年 9 月 6 日
版本:4.0.1.13 - 此版本中的更改:
引入了修补程序来解决阻止用户同时打开多个会话的问题。 修复还解决了应用在没有焦点的情况下启动的问题,并阻止键盘导航和屏幕阅读器在启动时工作。
有关详细信息,请转到将远程帮助与Intune配合使用。
2022 年 7 月 26 日
版本: 4.0.1.12 - 此版本中的更改:
引入了各种修补程序来解决未经过身份验证时出现的“稍后重试”消息。 修补程序还包括改进的自动更新功能。
2022 年 5 月 11 日
版本 4.0.1.7 - Webview 2 版本
2022 年 4 月 5 日
版本 4.0.0.0 - GA 版本