こんにちは。ヘルプデスクの織田です。
今回は、2021年11月にパブリックプレビューとしてリリースされた Intune のリモートヘルプ機能をご紹介いたします。
ヘルプデスク担当者やシステム管理者は、利用者の画面を共有して、問い合わせをサポートするシチュエーションがあるかと思います。これまで Intune 登録デバイスのリモート支援は、有償のサードパーティ製ツールである Team Viewer と連携する必要がありました。
新たにリリースされたリモートヘルプ機能は、Team Viewer を利用せずにリモート支援を実現する新たな機能となります。
デバイスに Intune で制御できる Remote help アプリをインストールすることで、リモート接続を使ったユーザー支援を実現します。
尚、セッション中にデバイスのディスプレイを表示でき、デバイスおよびユーザーによって許可されている場合は、接続先のデバイスでの操作を制御することができます。
<前提条件>
リモートヘルプ機能利用にあたっての前提条件は、以下の通りです。
<ネットワーク要件>
ポート 443 (https) 経由で通信し、リモート デスクトップ プロトコル (RDP) を使用して [https://remoteassistance.support.services.microsoft.com] のリモート アシスタンス サービスに接続します。 トラフィックは TLS 1.2 で暗号化されます。
※ その他のネットワーク要件は、下記の参考サイトを確認してください。
【参考:組織によって認証されたユーザーをリモートで支援します】
リモートヘルプ機能は、テナントごとに有効化する必要があり、既定では有効化されていないため、有効化作業を実施します。
<手順>
1. Microsoft Endpoint Manager 管理センターに管理者アカウントでサインインします。
2. [テナント管理] - [コネクタとトークン] を開きます。
3. [リモートヘルプ (プレビュー)] - [設定] - [リモートヘルプを有効にする] を [有効] に変更し、[保存] をクリックします。
以上で、有効化が完了です。
「Microsoft 365 導入・運用支援サービス」はこちら次に、リモートヘルプのアクセス制御を設定します。
機能を有効化しただけで、リモートヘルプが利用できるわけではなく、リモート接続を行うユーザーに対して、アクセス権限を付与する必要があります。
アクセス権限の付与には、Intune のロール機能を活用します。
既定のロールである、[Help Desk Operator] の割当を行うか、カスタムロールを作成し、割当を行うかのいずれかの方法となります。
カスタムロールを作成する場合、以下のリモートヘルプ関連の制御を設定することができます。
左右にスクロールしてご覧ください。
| 設定項目 | 設定値 | 動作 |
|---|---|---|
| View screen (画面表示) |
はい/いいえ | [はい]に設定することで、リモート接続先の画面を共有することができます。 |
| Take full control (フルコントロール) |
はい/いいえ | [はい]に設定することで、接続先の画面操作が行えます。 |
| Elevation (昇格) |
はい/いいえ | [はい]に設定することで、ユーザーアカウント制御の権限の昇格時に資格情報を入力できます。 |
※ 組み込みのロール [Help Desk Operator] では、これらの権限が既定でオンに構成されております。
接続先の画面操作を確認するだけであれば、[View screen:はい] のみ権限を設定し、接続先でアプリケーションの導入をする場合は、[Take full control:はい] および [Elevation:はい] に構成する等の構成が考えられます。
では、カスタムロールを構成していきましょう。
※ 今回は、[Take full control:はい] および [Elevation:はい] の構成で設定します。
<手順>
1. Microsoft Endpoint Manager 管理センターの [テナント管理] - [ロール] を開きます。
2. [すべてのロール] より、[+作成] をクリックします。
3. [名前] および [説明] を任意の名称に設定し、[次へ] をクリックします。
4. [Remote help app] タブを展開し、必要な権限を設定し、[次へ] をクリックします。
※ 今回は、[Take full control : はい]、[Elevation : はい] で設定しました。
5. スコープタグは、要件がない限り、何も設定せずに、 [次へ] をクリックします。
6. 設定に誤りがないことを確認し、[作成] をクリックします。
7. 作成したカスタムロールをクリックします。
8. 割り当てタブの [+割り当て] をクリックします。
9. 割り当て内容がわかるように [名前] と [説明] を設定し、[次へ] をクリックします。
10. 管理者グループの項目では、リモート接続を行うグループを設定し、[次へ] をクリックします。
11. スコープグループの項目では、リモート接続ができる範囲を設定し、[次へ] をクリックします。
※ 今回は、すべての Intune 登録デバイスを対象にしたいため、[すべてのデバイス] を対象にしております。
12. スコープタグの項目では、今回は特に設定せずに、そのまま、[次へ] をクリックします。
13. 設定内容に間違いがないことを確認し、[作成] をクリックします。
14. これで、ロールベースのアクセス権限の設定が完了です。最後の準備として、Intune を利用した Remote help アプリの配信を行っていきたいと思います。
「Microsoft 365 導入・運用支援サービス」はこちらリモートヘルプ機能を利用するには、リモートする側およびリモートされる側の両方に、Remote help アプリがインストールされている必要があります。
そこで、今回は、Intune のアプリ配信機能で、Remote help アプリを展開する方法をご紹介いたします。
<事前準備手順>
インストーラーを以下のサイトよりダウンロードします。
https://aka.ms/downloadRemotehelp
詳細は割愛しますが、ダウンロード後、以下のチュートリアルに沿って、Win 32アプリ用コンテンツに変換します。
https://docs.microsoft.com/ja-jp/mem/intune/apps/apps-win32-prepare
それでは、Win 32 アプリの配信設定を行っていきます。
<手順>
1. Microsoft Endpoint Manager 管理センターの [アプリ] - [Windows ] を開きます。
2. [+追加] をクリックします。
3. アプリの種類は、[Windows アプリ (Win32) ] を選び、[選択] をクリックします。
4. 事前に用意していた .intunewin ファイルを選択し、発行元等の必要事項を設定し、[次へ] をクリックします。
5. マイクロソフト社の公開情報に沿って、コマンドラインを設定し、[次へ]をクリックします
※ 残りの設定は、既定値のままで設定します。
6. 必要条件の設定は、任意で設定を行い、[次へ] をクリックします。
7. マイクロソフト社の公開情報に沿って、検出規則を設定し、[次へ] をクリックします。
8. 依存関係の設定では、特に設定をせずに、[次へ] をクリックします。
9. 置き換えの設定では、特に設定をせずに、[次へ] をクリックします。
10. 割り当ての設定では、必須の割り当てとして、リモートヘルプ機能利用対象デバイスが含まれるグループを設定し、[次へ] をクリックします。
11. 設定内容を確認し、[作成] をクリックします。
以上で、配信設定は、完了となります。
配信対象デバイスを確認したところ、Remote help アプリがインストールされました!
これで、事前準備完了です。
次は、リモートヘルプ機能の動作を確認していきたいと思います。
リモートヘルプ機能を利用して、リモート支援をした際の動作を確認していきたいと思います。今回は、 A というユーザーが、支援が必要な B というユーザーのデバイスにリモート接続をする想定でテストを実施しました。
<リモートヘルプ機能の動作確認>
それぞれの端末で、Remote help アプリを起動し、サインインします。
リモート接続を行う A さん側でセキュリティコード発行を行います。
B さんは、A さんから伝えられたセキュリティコードを入力し、[送信] を選択します。
そうすると、A さん側に制御要求がきます。
今回は、B さんの端末を操作したいため、 [完全に制御する] をクリックします。
B さんが [許可] をクリックすると、リモート接続完了です。
A さんは、B さんのデバイスの操作が可能となり、権限昇格を利用し、管理者権限の PowerShell を起動することもできました。
尚、リモート接続の利用ログは、Microsoft Endpoint Manager 管理センターより、確認することできます。
確認項目:[テナント管理] - [コネクタとトークン] - [リモートヘルプ (プレビュー) ]
今回は、新たにプレビューリリースされたリモートヘルプ機能をご紹介いたしましたが、いかがでしたでしょうか。Microsoft 社は、本機能が GA (一般公開) された場合、通常の Intune ライセンスオプションに追加料金を払うことで、本機能に利用できるようになると公表しております。
ただし、現時点では、ライセンス費用がどうなるか等の具体的な発表はされておりません。そのため、プレビューリリースのタイミングで、組織にとって有益な機能であるかの評価を進めておき、ライセンスも含めた具体的な情報がリリースされたタイミングで導入可否を判断するのが望ましいかもしれません。
以上、ご拝読ありがとうございました。
関連ページ |
