如何配置 Intune 远程帮助：分步指南 ?

本文是启用和配置 Intune 远程帮助的分步指南。远程帮助是一款与 Intune 配合使用的付费附加组件，可让您的信息和一线工作人员在需要时通过远程连接获得帮助。

启动远程帮助连接后，您的支持人员可以远程连接到用户的设备。在会话期间，他们可以查看设备的显示屏，并且如果设备用户允许，则可以完全控制。完全控制使帮助者能够直接在设备上进行配置或执行操作。

远程帮助是一款与 Microsoft Intune 配合使用的高级附加应用程序。您可以从 Microsoft 365 管理中心购买远程帮助许可证。当 Microsoft 在 Intune 中引入远程帮助解决方案时，它是一个预览功能，在 Intune 门户中带有“预览”标签。好消息是，远程帮助功能现已在 Intune 中全面可用。

Intune 中的远程帮助是什么？

据 Microsoft 介绍，远程帮助是一款高级附加组件，可与 Intune 配合使用，使您的一线工作人员能够在需要时通过远程连接获得帮助。您的支持人员可以使用 Intune 远程帮助应用远程连接到用户的设备。连接成功后，将在连接的设备之间建立安全会话。

通过 Azure Active Directory (Azure AD) 为远程帮助会话建立适当的信任。在远程帮助会话期间，IT 人员可以查看设备的显示，还可以完全控制（如果设备用户允许）。您的支持人员可以查看显示屏并提出更改建议，也可以完全控制以直接在设备上进行配置或执行操作。

远程帮助使用 Intune 基于角色的访问控制 (RBAC) 来设置允许帮助者的访问级别。通过 RBAC，您可以确定哪些用户可以提供帮助以及他们可以提供的帮助级别。

Microsoft 提供远程帮助应用，可安装在注册了 Intune 的设备和未注册的设备上。该应用程序还可以通过 Intune 部署到您的托管设备。

Intune 远程帮助与 Intune 中的 TeamViewer

过去，微软宣布 TeamViewer 作为 Intune 中的远程协助解决方案。通过 TeamViewer 服务，Intune 托管的 PC 用户可以远程连接到其 IT 管理员以获取帮助。当您尝试 Intune 中的远程帮助功能时，您肯定会更喜欢它而不是 Team Viewer 解决方案。

就定价而言，TeamViewer 解决方案的成本略低于远程帮助解决方案。这两种解决方案都很可靠，并且在为设备提供远程协助时提供了良好的体验。

远程帮助：助手与共享者

为了使它更容易，类似于 Microsoft 的做法，让我们在了解 Intune 中新的远程帮助功能时使用这两个术语。

• 帮助者：帮助者是 IT 支持人员（也称为支持人员）。帮助者负责为远程用户提供支持。
• 共享者：需要 IT 帮助并愿意通过远程帮助应用与帮助者共享会话的远程用户。

在 Intune 中使用远程帮助的先决条件

要使用 Intune Remote 帮助解决方案，需要满足以下先决条件：

• Intune 订阅：远程帮助解决方案与 Intune 集成，因此需要有效的 Intune 订阅。
• Intune 远程帮助许可证：适用于所有 IT 支持人员（帮助者）和用户的远程帮助附加许可证。您必须将远程帮助许可证分配给支持人员和用户。
• 支持 Windows 10/11 设备：仅支持 Windows 10 和 Windows 11 设备提供远程帮助。
• 远程帮助应用程序：远程帮助应用程序可从 Microsoft 下载，并且必须先安装在每台设备上，然后才能使用该设备参与远程帮助会话。
• 使用远程帮助的权限：这将在“为远程帮助解决方案配置 RBAC 权限”主题下讨论。

远程帮助应用功能

Intune 远程帮助应用提供以下功能：

• 对未注册的设备使用远程帮助：您可以选择允许向未注册 Intune 的设备提供帮助。默认情况下，此设置处于禁用状态，可以从远程帮助设置中打开。
• 需要组织登录：要使用 Intune 远程帮助，帮助者和共享者都必须使用组织中的 Azure Active Directory (Azure AD) 帐户登录。您无法使用远程帮助来帮助不是您组织成员的用户。
• 合规警告：在通过远程帮助连接到用户的设备之前，如果该设备不符合指定的策略，帮助者将看到有关该设备的不合规警告。此警告不会阻止访问，而是提供有关在会话期间使用管理凭据等敏感数据的风险的透明度。

• 基于角色的访问控制：Intune 管理员可以设置 RBAC 规则来确定帮助者的访问范围，例如：

  • 可以帮助他人的用户以及他们在提供帮助时可以执行的操作范围，例如谁可以在提供帮助时运行提升的权限。
• 只能查看设备的用户，并且可以在协助其他人的同时请求完全控制会话。

使用远程帮助解决方案的优点

1. 与 Intune（端点管理器）集成：远程帮助已集成到 Microsoft Intune 中，适用于云和共同管理的端点，从而简化了采用和管理。
2. Intune 远程帮助应用：您可以在使用此功能之前使用 Intune 部署远程帮助应用。
3. 支持多个设备：Intune 远程帮助解决方案支持注册和非托管设备、Windows 365 Cloud PC 和 Azure 虚拟桌面。
4. RBAC 权限：基于权限的控制，范围涵盖 IT 帮助台角色、部门和地理位置
5. 与 Azure Active Directory 集成：Azure Active Directory (AAD) 集成可根据用户的企业身份实现用户信任。
6. 设备合规性检查：在保护连接之前进行设备合规性检查可以降低风险，并创造主动实时修复漏洞的机会，从而减轻员工的负担。

Intune 中远程帮助的限制

Intune 中的远程帮助解决方案具有以下限制：

1. GCC、GCC High 或 DoD 租户不支持远程帮助。
2. 您无法建立从一个租户到另一租户的远程帮助会话。 Intune 远程帮助仅适用于属于同一租户的设备。
3. Intune 远程帮助解决方案可能不适用于所有市场或本地化版本。

Intune 远程帮助的防火墙要求

下表列出了 Intune 远程帮助应用正常运行所需的所有防火墙规范。

描述

用于远程帮助应用程序的主要端点

远程帮助使用的 Skype 框架所需

远程帮助使用的 Skype 框架所需

远程帮助使用的 Skype 框架所需

登录应用程序 (AAD) 所需的。可能无法在所有市场或所有本地化版本中提供预览版。

用于远程帮助中的聊天服务

用于应用程序内的辅助功能

用于远程帮助的 API 访问

用于诊断数据

远程帮助中的聊天服务所需

注意：远程帮助通过端口 443 (HTTPS) 进行通信，并使用 Remote 连接到位于 https://remoteassistance.support.services.microsoft.com 的远程协助服务桌面协议 (RDP)。流量使用 TLS 1.2 加密。

Intune 远程帮助成本和定价详细信息

Microsoft 远程帮助插件的价格为每位用户每月 3.50 美元。高级附加组件的许可证可以从 Microsoft 365 管理中心、Microsoft 批量许可服务中心 (VLSC) 或 Microsoft 合作伙伴/经销商处购买。

Microsoft 允许免费试用远程帮助，并为您提供 90 天的免费使用高级附加功能的期限。每个租户最多可以有 250 个用户进行试用。试用期结束后，有 30 天的宽限期。试用期结束后，您必须购买远程帮助附加组件的许可证。

为您的 Intune 租户启用远程帮助

启用远程帮助允许注册设备上的用户通过远程帮助应用程序获得帮助。为 Intune 租户启用远程帮助的步骤如下：

• 登录 Microsoft Intune 管理中心。
• 转到租户管理 > 连接器和令牌 > 远程帮助。
• 在设置选项卡上：将启用远程帮助设置为启用以打开 Intune 远程帮助。
• 选择保存以应用设置。

还有另一个选项称为“允许对未注册的设备提供远程帮助”。启用此选项允许用户在未注册 Intune 的设备上接收帮助。我们将在本文的后面部分讨论这个选项。

配置 Intune 远程帮助 RBAC 权限

为了能够使用远程帮助解决方案，您需要被分配适当的权限。您可以使用内置角色或创建自定义 RBAC Intune 角色，以仅授予您希望不同用户组拥有的远程任务和远程帮助应用权限。

以下 Intune RBAC 权限管理远程帮助应用的使用：

1. 完全控制 - 是或否。这是远程帮助用户可以拥有的最高级别的权限。完全控制使助手能够直接在设备上进行配置或执行操作。
2. 海拔 - 是或否。允许帮助者与最终用户设备上的 UAC 提示进行交互。
3. 查看屏幕 - 是或否。具有查看屏幕权限的远程帮助应用用户只能查看屏幕。

在 Intune 中创建自定义 RBAC 远程帮助角色

如果您想创建自定义角色以仅向用户或组授予远程任务和远程帮助应用程序权限，以下是我的建议。您可以为远程帮助应用程序创建 3 个角色并分配相应的权限。

1. 远程帮助 - 完全控制
2. 远程帮助 - 海拔
3. 远程帮助 - 查看屏幕

如果您仍在测试远程帮助功能，则可以使用 Intune 中内置的“帮助台操作员”角色。服务台操作员角色将所有这些权限设置为是。

从下面的屏幕截图中，您可以看到帮助台操作员角色拥有所有权限 - 海拔、查看屏幕和完全控制。

在 Intune 中为远程帮助创建自定义角色

您可以通过以下步骤为远程帮助用户创建自定义 Intune 角色：

• 登录 Microsoft Endpoint Manager 管理中心。
• 转到租户管理 > 角色。
• 要创建新的自定义角色，请选择创建。

例如，我将创建一个新的自定义角色，允许用户在使用远程帮助应用程序时拥有完全控制权。在添加自定义角色 > 基本选项卡上，将角色名称指定为“远程帮助 - 完全控制”。添加精彩的描述，然后单击下一步。

在权限选项卡上，从权限列表中选择远程帮助应用。配置以下权限。

• 海拔：是
• 查看屏幕：是
• 完全控制：是

单击下一步。

在范围标签部分，选择范围标签。您可以使用范围标签来确保正确的管理员对正确的 Intune 对象拥有正确的访问权限和可见性。默认范围标签会自动添加到所有支持范围标签的未标记对象中。单击下一步。

在查看+创建选项卡上，查看权限并选择创建。这就完成了为 Intune 远程帮助应用创建自定义角色的步骤。

使用上述相同的过程，您可以通过分配适当的权限来创建 2 个新角色：远程帮助 - 提升和远程帮助 - 查看屏幕。

我选择为每个权限创建 3 个独特的角色。请参阅下面的屏幕截图。

远程帮助的语言支持

支持以下语言的远程帮助：

• 捷克语
• 丹麦语
• 荷兰语
• 英语
• 芬兰
• 法语
• 德语
• 希腊语
• 匈牙利
• 意大利语
• 日本人
• 韩国人
• 挪威
• 抛光
• 葡萄牙语（葡萄牙）
• 罗马尼亚语
• 俄语
• 西班牙语
• 瑞典
• 土耳其

下载并安装远程帮助应用

必须先在每台设备上安装远程帮助应用程序，然后才能使用该设备参与远程帮助会话。您可以直接从 Microsoft 下载最新版本的远程帮助，网址为 aka.ms/downloadremotehelp。保存RemoteHelpinstaller.exe，我们现在将安装它。

要安装远程帮助应用程序，请双击 RemoteHelpInstaller.exe 文件。在远程帮助欢迎屏幕上，选择我接受 Microsoft 许可条款，然后单击安装。

远程帮助应用程序安装正在进行中，需要几秒钟才能安装到计算机上。

Intune Remote 帮助应用现已安装。

如何在 Intune 中使用远程帮助应用

远程帮助应用程序的使用分为两种场景：

• 提供帮助 - 您通过远程应用程序向远程用户提供帮助。
• 获取帮助 - 您需要 IT 人员的帮助，并通过远程帮助应用程序请求。

要启动远程帮助应用程序，请单击开始 > 在搜索框中键入“远程帮助”，然后选择远程帮助应用程序。在登录屏幕上，使用您的 Microsoft 组织帐户登录。

在开始使用远程帮助应用程序之前，您必须接受以下条款。要使用此应用程序，我们需要与您正在帮助或接受帮助的人分享一些有关您的信息。该信息用于验证您的身份。

我们可能会分享以下信息：

• 名字和姓氏
• 名字和姓氏的首字母
• 电子邮件地址
• 个人资料图片
• 公司名称（如适用）
• 公司域名（如果适用）
• 职称

我们建议关闭您不希望其他人看到的任何不必要的应用程序和文件。如果您已阅读条款，请点击接受。

使用组织帐户成功登录远程帮助应用后，您有 2 个选项。

1. 获取帮助 - 通过“获取帮助”，您信任的人可以控制您的设备并提供帮助。
2. 提供帮助 - 您帮助远程人员解决问题。

让我们选择提供帮助。点击获取安全代码。

远程帮助会生成一个安全代码，您将与请求帮助的人共享该代码。共享者必须在其远程帮助实例中输入此代码才能建立与您的远程帮助实例的连接。默认情况下，安全代码在生成后 10 分钟后过期。如果安全代码已过期，您可以生成新代码。

将安全代码共享给共享者后，用户必须启动远程帮助应用程序并输入相同的代码，然后点击提交按钮。

远程帮助应用程序现在验证安全代码并启动连接。以下信息将显示给准备帮助远程用户的帮助者。

远程用户已准备好寻求您的帮助。如果您不需要控制设备，我们建议您请求屏幕共享。

有两个选项可供选择：

• 完全掌控
• 查看屏幕

根据要求，选择一个选项。例如，让我们测试完全控制选项。

另一端的用户（共享者）收到以下消息。 远程用户正在请求完全控制您的设备。请记住关闭任何您不想看到的内容。远程用户现在可以允许或拒绝完全控制。假设用户单击允许按钮。

下面的屏幕截图显示了正在运行的远程帮助。支持人员可以完全控制远程计算机并提供进一步的帮助。

问题解决后，或在会话期间的任何时间，共享者或帮助者都可以结束会话。

要结束远程帮助会话，请选择远程帮助应用程序右上角的“离开”。会话结束后，共享者会自动从其设备注销，作为安全预防措施，以确保设备之间的所有连接关闭。

在 Intune 中监控远程帮助会话

您可以使用以下步骤从 Intune 管理中心监控远程帮助的使用情况：

• 登录 Microsoft Intune 管理中心。
• 转到租户管理 > 连接器和令牌 > 远程帮助。
• 在监控选项卡上，您将看到活动会话的计数以及有关过去远程帮助会话的历史数据。

在远程帮助会话选项卡上，您将看到过去会话的记录，包括：

• 提供商 ID - 每个会话的帮助者 ID。
• 收件人 ID - 每个会话的收件人 ID。
• 收件人名字 - 收件人的名字。
• 收件人姓氏e - 收件人的姓氏。
• 设备名称 - 设备的主机名。
• 操作系统 - 设备的操作系统详细信息。
• 会话开始 - 远程帮助会话开始的时间。
• 会话结束d - 远程帮助会话结束的时间。

用于故障排除的 Intune 远程帮助日志文件

当您使用远程帮助应用程序时，远程帮助会在安装和远程帮助会话期间记录数据，这些数据可在调查应用程序问题时使用。

当您安装或卸载远程帮助应用程序时，会在设备用户的 Temp 文件夹中创建以下两个日志。每个用户帐户都会在以下位置创建临时文件夹 - C:\Users\username\AppData\Local\Temp

日志文件名中的 * 代表创建日志的日期和时间戳。以下两个日志文件可用于解决 Intune 远程帮助应用的问题。

• Remote_help_QuickAssist_Win10_x64.msi.log
• 远程帮助.log

操作日志 - 在使用 Intune 远程帮助应用期间，操作详细信息会记录在 Windows 事件查看器中。 Intune 远程帮助应用的操作日志路径为 事件查看器 > 应用程序和服务 > Microsoft > Windows > RemoteHelp 。

使用 Intune 将远程帮助应用部署为 Win32 应用

要使用 Intune 部署远程帮助，可以将该应用添加为 Windows win32 应用，并定义检测规则以识别未安装最新版本远程帮助的设备。为了方便大家使用，我发布了有关使用 Intune 将远程帮助应用程序部署为 Win32 应用程序的指南。