注意
此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能。
远程帮助是一种基于云的解决方案,用于通过基于角色的访问控制进行安全技术支持连接。 通过连接,支持人员可以远程连接到用户的设备。 有关详细信息,请参阅远程帮助概述。 若要开始使用远程帮助功能,请确保满足先决条件。
在本文中,提供帮助的用户称为 帮助者,接收帮助的用户称为 共享者,因为他们与帮助者共享会话。 帮助者和共享者都登录到你的组织以使用该应用。 通过Microsoft Entra ID,为远程帮助会话建立了适当的信任。
远程帮助使用Intune基于角色的访问控制 (RBAC) 来设置允许帮助者访问的级别。 通过 RBAC,可以确定哪些用户可以提供帮助以及他们可以提供的帮助级别。
提示
作为本文的配套内容,请参阅我们的 Intune Suite 加载项指南,查看在组织的设备上分配许可证、配置设置和启用加载项的分步过程。 对于基于你的环境的自定义体验,可以访问Microsoft 365 管理中心中的 Intune Suite 加载项指南。
计划清单
按照此清单简化规划过程。
- 支持平台和设备
- 语言支持
- 租户配置
- 条件访问
- 基于角色的访问控制 (RBAC)
- 网络注意事项
- 先决条件
- 限制
- 已知问题
- 已注册和未注册的设备
规划注意事项
使用这些注意事项为组织准备远程帮助。
强制实施最低特权:仅授予每个支持角色所需的最低远程帮助权限。 如有必要,请使用自定义Intune角色来限制谁可以完全控制或执行无人参与的会话。 例如,级别 1 支持可能会获得仅查看权限,而第 2 层可能会获得完全控制权限。 此原则有助于保护用户隐私和设备完整性。
对帮助程序使用条件访问:由于帮助程序已提升对用户设备的访问权限,请添加额外的安全层。 强烈建议通过条件访问要求帮助程序帐户的 MFA 或合规设备状态。 这些措施可确保不会轻易恶意使用已泄露的帮助程序帐户来访问设备。 远程帮助的 Entra ID 条件访问策略仅在 Windows 和 macOS 上受支持。
仅在需要时启用未注册的设备支持:允许在未注册的设备上远程帮助 (仅注册的 Entra) 对于支持个人设备来说很方便,但会减少监督 (没有设备符合性信息或有限的审核数据) 。 深思熟虑地启用该功能,并考虑限制哪些支持人员可以通过单独的角色) 来帮助未注册的设备 (。
网络和防火墙:验证公司网络策略是否不干扰远程帮助。 应用通过端口 443 与Azure云终结点通信。 如果用户位于公司网络上,请确保代理或 SSL 检查不会中断连接。 如果代理服务器使用 SSL 检查,则应排除为远程帮助列出的域以避免出现问题。 有关详细信息,请参阅远程帮助的网络终结点。
对政府云的支持已减少:政府社区云 (GCC) 环境中支持远程帮助,但Azure虚拟桌面 (AVD) 除外。 GCC High 或 DoD (美国国防部) 租户不支持远程帮助。 有关详细信息,请转到美国政府 GCC High 和 DoD 服务说明Microsoft Intune。
远程帮助共享者、帮助者和设备必须位于同一租户中:远程帮助与合规性策略和基于角色的访问控制 (RBAC) 的集成要求所有参与者都位于同一租户中。
注意
这可能会影响支持管理员跨租户工作的外包支持方案。 请考虑这样一种情况:用户的 (共享器) 设备属于租户 A,但在他们使用其外包组织) 颁发的设备的情况下,帮助者的设备属于租户 B (。 作为解决方法,请考虑向支持人员提供已加入租户 A 的设备,或者考虑向他们提供对已加入租户 A 的Windows 365或 AVD 设备的访问权限。
与 Endpoint Analytics 结合使用:使用远程帮助会话中的数据来确定常见问题。 例如,如果许多会话显示符合性警告,可能会改进设备符合性策略。 远程帮助的审核日志与 Intune 的 Endpoint Analytics 相结合,可以深入了解支持趋势 (例如) 经常出现问题的应用或策略。
使远程帮助应用保持最新:新版本的 Windows 和 Mac 带来了改进和所需的修补程序。 Microsoft可能会对旧版本强制升级。 在两个平台上使用自动更新, (Windows 更新 Mac 通过Microsoft AutoUpdate) 或在测试后通过Intune定期推送最新包。 对于 Android,如果你批准了该应用,则会自动通过 Play Store 更新 - 在常规维护时段监视设备是否正在获取最新版本。
隐私和合规性计划:远程帮助可能会引发隐私问题。 向利益干系人保证,远程帮助需要用户同意,或者在 Android 无人参与远程帮助的情况下,明确指示远程会话处于活动状态。 所有会话都是自愿的,并在用户的屏幕上明显指示。 服务中不存储任何会话录制内容。 这些要点可以包含在内部 IT 策略或用户指南中,以解决问题。 应谨慎使用 Android 上的无人参与访问。
分阶段推出:如果可能,请在试点阶段部署远程帮助。 从 IT 或小型部门着手,解决任何问题。 收集来自帮助者和用户的反馈。 自信后,扩展到整个组织。 分阶段方法可以防止支持人员遇到意外技术问题。
帮助者和客户端模式
远程帮助客户端支持基于帮助程序应用和共享者应用的组合的不同模式。 Windows、macOS 和 Android 具有远程帮助应用,可以安装这些应用来增强功能。 远程帮助应用有时称为本机应用。 远程帮助还支持通过 Web 应用从功能减少的设备共享。
以下是不同的模式:
仅查看:远程屏幕的请求视图。 为了尽量减少对最终用户隐私的影响,除非需要完全控制,否则建议使用此选项。
请求完全控制:请求远程设备的完全控制。
提升:允许帮助者在共享者的设备上出现提示时输入用户帐户控制 (UAC) 凭据。 启用提升还允许帮助者在共享者授予帮助者访问权限时查看和控制共享者的设备。
无人参与:无需最终用户即可完全控制设备。
下表显示了帮助程序应用和共享者应用的模式支持。
| 从: Windows 本机帮助 |
从: Windows Web 提供帮助 |
帮助从: macOS Web |
|
|---|---|---|---|
|
从: Windows 本机共享 |
✅ 仅 ✅ 查看完全控制 ✅ 提升 |
不支持 | 不支持 |
|
从: macOS 本机共享 |
不支持 |
✅ 仅 ✅ 查看完全控件 |
✅ 仅 ✅ 查看完全控件 |
|
从: Android 本机共享 |
不支持 |
✅ 仅 ✅ 查看完全控制 ✅ 无人参与 |
✅ 仅 ✅ 查看完全控制 ✅ 无人参与 |
|
从: macOS webapp 共享 |
不支持 | ✅ 仅查看 |
✅ 仅查看 |
|
从: Windows Webapp 共享 |
不支持 | ✅ 仅查看 |
✅ 仅查看 |
有关部署远程帮助应用的信息,请参阅部署远程帮助。
身份验证和权限
帮助者和共享者都使用 Microsoft Entra ID 登录到组织,这可确保为远程帮助会话建立适当的信任。
远程帮助使用Intune基于角色的访问控制 (RBAC) 来设置允许帮助者访问的级别。 通过 RBAC,租户管理员确定哪些用户可以提供帮助以及他们可以提供帮助的级别。
基于角色的访问控制 (RBAC)
若要使用远程帮助,帮助者必须具有适当的基于角色的访问控制 (分配给其用户帐户的 RBAC) 权限。 下表列出了远程帮助的可用权限及其说明。
| 权限 | 说明 |
|---|---|
| 远程帮助 - 视图屏幕 | 允许帮助者在不控制的情况下查看共享者的屏幕。 |
| 远程帮助 - 完全控制 | 允许帮助者完全控制共享者的设备。 |
| 远程帮助 - 提升 | 允许帮助程序与 Windows 上的用户帐户控制提示进行交互。 |
| 远程帮助 - 无人参与 | 允许帮助程序连接到 Android 设备,而无需共享者每次都接受连接。 此功能要求将 Android 设备注册为完全托管设备或专用设备,Intune。 |
| 远程任务 - 提供远程协助 | 允许帮助者向用户提供远程协助。 |
| 远程协助连接器 - 读取 | 必须允许用户在启动会话时查看是否为租户配置了远程帮助。 |
以下Intune内置角色包括远程帮助权限:
- 技术支持操作员 (视图屏幕、完全控制、提升、无人参与、远程任务 - 提供远程协助、远程协助连接器 - 读取)
- 学校管理员 (视图屏幕、完全控制、提升、远程任务 - 提供远程协助、远程协助连接器 - 读取)
注意
用户需要远程任务 - 提供远程协助权限、远程协助连接器读取权限和至少一个远程帮助权限的组合才能提供帮助。 为定义的范围组中的用户或设备授予角色分配的管理员组中的用户权限。 有关Intune基于角色的访问控制的详细信息,请参阅关于基于角色的访问控制 (适用于Microsoft Intune的 RBAC) 。
重要
如果共享者或共享者的设备不在帮助者范围内,该帮助者无法提供帮助。 “ 所有设备” 范围组不包括未注册的设备。 相反,请在分配过程中使用用户范围组。
如果选择从分配(如策略或应用分配)中排除的组,则需要将其嵌套在其中一个 RBAC 分配 范围组中,或者需要单独作为 RBAC 角色分配中的范围组列出。
先决条件
远程帮助具有以下要求:
- Intune订阅。
- 远程帮助为所有 IT 支持人员 (帮助) 和用户添加许可证或Intune套件许可证, (共享者) 旨在使用远程帮助并从服务中受益。
- 支持的平台和设备。
- Intune注册的设备必须注册到 Microsoft Entra。
限制
远程帮助具有以下限制:
- 无法建立从一个租户到另一租户的远程帮助会话。
- 远程帮助可能并非在所有市场或本地化中都可用。
- 以下平台上的政府社区云 (GCC) 环境中支持远程帮助:
- Windows
- ARM64 设备上的 Windows
- Windows 365
- 注册为 Android Enterprise 专用设备的 Samsung 和 Zebra 设备
- macOS 13、14 和 15
- GCC High 或 DoD (美国国防部) 租户不支持远程帮助。 有关详细信息,请转到美国政府 GCC High 和 DoD 服务说明Microsoft Intune。
支持的平台
每个平台都有特定的先决条件和功能。
Windows
macOS
Android
Web 应用- Windows x86、x64 和 ARM64
- Windows 365
- Azure 虚拟桌面
提供可选的 Windows 更新,以提高通知可靠性:
- Windows 11:2023 年 7 月 25 日 — KB5028245 (作系统内部版本 22000.2245) 预览版 - Microsoft 支持部门
- Windows 10:2023 年 8 月 22 日 — KB5029331 (OS 内部版本 19045.3393) 预览版 - Microsoft 支持部门
重要
2025 年 10 月 14 日,Windows 10终止支持,不会收到质量和功能更新。 Windows 10 是 Intune 中允许的版本。 运行此版本的设备仍可以注册Intune并使用符合条件的功能,但无法保证功能并可能有所不同。
共享者设备上需要Intune管理扩展才能实现远程启动功能。 具体而言,对于Windows 10作系统内部版本必须大于或等于版本 19042,并安装KB5018410修补程序。 OS 版本应大于或等于 10.0.19042.2075 或 10.0.19043.2075 或 10.0.19044.2075。 有关 Intune 管理扩展的详细信息,请参阅 Intune 管理扩展。
建议不要在虚拟桌面上远程启动用户Azure会话。 有关详细信息,请参阅 如何提供有关 AVD 的帮助。
网络注意事项
帮助者和共享者必须能够通过端口 443 访问特定终结点。 有关详细信息,请参阅远程帮助的网络终结点。
远程帮助通过端口 443 (https) 进行通信,并使用远程桌面协议 (RDP) 连接到远程协助服务https://remotehelp.microsoft.com。 流量使用 TLS 1.2 进行加密。
如果远程帮助仅限于已注册的设备,则要求
如果你的组织将远程帮助限制为已注册的设备,则存在额外的要求。
聊天支持的语言
以下语言支持在 上远程帮助聊天:
- 阿拉伯语
- 保加利亚语
- 中文(简体)
- 中文(繁体)
- 克罗地亚语
- 捷克语
- 丹麦语
- 荷兰语
- 英语
- 爱沙尼亚语
- 芬兰语
- 法语
- 德语
- 希腊语
- 希伯来语
- 匈牙利语
- 意大利语
- 日语
- 朝鲜语
- 拉脱维亚语
- 立陶宛语
- 挪威语
- 波兰语
- 葡萄牙语
- 罗马尼亚语
- 俄语
- 塞尔维亚语
- 斯洛伐克语
- 斯洛文尼亚语
- 西班牙语
- 瑞典语
- 泰语
- 土耳其语
- 乌克兰语
数据和隐私
Microsoft记录少量会话数据来监视远程帮助系统的运行状况。 此数据包括以下信息:
- 会话的开始时间和结束时间。 此信息在 Microsoft 服务器上存储 30 天。
- 谁在哪些设备上帮助了谁。 此信息在 Microsoft 服务器上存储 30 天。
- 远程帮助本身引起的错误,例如意外断开连接。 此信息存储在事件查看器中的共享者设备上。
- 应用内使用的功能,例如仅限视图和提升。 此信息在 Microsoft 服务器上存储 30 天。
远程帮助会话详细信息记录到帮助者和共享者的设备上的 Windows 事件日志。 Microsoft 无法访问会话或查看会话中发生的任何操作或键击。
帮助者和共享者从其组织配置文件中查看有关其他个人的以下信息:
- 他们的组织个人资料图片(如果存在)
- 公司名称
- 已验证域
- 姓和名
- 职务
Microsoft不会存储任何有关共享者或帮助者的数据超过 30 天。