通过

使用 Microsoft Intune 部署远程帮助

注意

此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能

远程帮助是一种基于云的解决方案,用于通过基于角色的访问控制进行安全技术支持连接。 通过连接,支持人员可以远程连接到用户的设备。 有关详细信息,请参阅远程帮助概述。 若要开始使用远程帮助功能,请确保满足先决条件

本文介绍使用 Microsoft Intune 部署远程帮助的步骤。

规划远程帮助部署时,请考虑以下最佳做法:

  • 用户沟通和培训:若要推动采用和有效使用,请为支持人员和最终用户提供文档或简短培训。

  • 支持人员培训:确保支持团队知道如何启动会话。 让他们了解通过Intune管理中心或远程帮助应用启动会话、如何生成/输入会话代码等功能。 此外,让他们意识到无法帮助租户外部用户的限制。 强调安全做法,例如在获取控制权之前确认最终用户对呼叫的同意。

  • 最终用户指南:让用户知道新的远程支持工具可用。 指导他们如何启动支持会话,例如,“当你联系 IT 支持人员时,他们可能会要求你打开远程帮助应用并共享代码,或者你可能会收到允许屏幕共享的弹出通知。向他们保证该工具是安全的,只有经过授权的 IT 人员才能连接,并且他们必须允许任何屏幕共享或控制。

  • 安全监视:密切关注使用情况,以检测任何异常行为。 例如,Intune的审核日志和Entra ID 登录日志显示登录远程帮助的人员。 应调查异常时间或未知帮助者。 此外,确保当员工离开支持团队时,他们从远程帮助角色中删除,以撤销其使用该工具的能力。

  • 汇报和新功能:远程帮助不断发展。 Microsoft可能会推出新功能 (例如支持更多平台的功能或改进的 Web 帮助程序仪表板) 。 通过Intune发行说明或技术社区博客保持最新状态。 了解这些更新有助于优化支持过程。

为租户配置远程帮助

若要将租户配置为支持远程帮助,请查看并完成以下任务。 为支持的所有远程帮助平台配置这些任务非常重要。

任务 1:启用远程帮助

  1. 登录到 Microsoft Intune 管理中心,然后转到租户管理>远程帮助

  2. 在“设置”选项卡上:

    1. “启用远程帮助”设置为“启用”以允许使用远程帮助。 默认情况下已禁用此设置。
    2. 如果要允许此选项,请将“允许远程帮助”设置为“未注册的设备”设置为“启用”。 默认情况下已禁用此设置。
    3. “禁用聊天”设置为“是”以删除远程帮助应用中的聊天功能。 默认情况下,聊天处于启用状态,此设置设置为 “否”。

  3. 选择“保存”

注意

新许可证或试用许可证可能需要一段时间才能激活,从 30 分钟到 8 小时不等。 新的远程帮助会话可能继续指示未为租户启用远程帮助,即使已启用远程帮助也是如此。

任务 2:配置远程帮助的权限

远程帮助使用Microsoft Intune基于角色的访问控制 (RBAC) 来设置允许帮助者访问的级别。 通过 RBAC,可以确定哪些用户可以提供帮助以及他们可以提供的帮助级别。

内置技术支持操作员角色包括远程帮助所需的所有权限。 可以使用内置角色或创建自定义角色来仅授予远程任务,并远程帮助希望不同用户组具有的应用权限。 有关远程帮助所需的单个权限的详细信息,请参阅计划远程帮助

下载远程帮助应用

在 aka.ms/downloadremotehelp 直接从 Microsoft 下载最新版本的 远程帮助

远程帮助的最新版本是 5.1.1998.0

安装远程帮助应用

远程帮助可从Microsoft下载,并且必须先安装在每台设备上,然后该设备才能用于参与远程帮助会话。 远程帮助的默认行为会选择用户进行自动更新,并在更新可用时自行更新。

需要新版本的远程帮助时,应用会提示用户更新。 若要安装更新的版本,可以使用之前用于下载和安装远程帮助的相同过程。 在安装更新的版本之前,无需卸载以前的版本。

  • 作为Intune管理员,你可以下载应用并将其部署到已注册的设备。 有关应用部署的详细信息,请参阅在 Windows 设备上安装应用
  • 有权在其设备上安装应用的单个用户也可以下载并安装远程帮助。

注意

  • 2022 年 5 月,远程帮助的现有用户在打开远程帮助应用时看到建议的升级屏幕。 用户无需升级即可继续使用 远程帮助。
  • 2022 年 5 月 23 日,远程帮助的现有用户在打开远程帮助应用时将看到强制升级屏幕。 在升级到最新版本的 远程帮助 之前,它们无法继续。
  • 远程帮助需要 Microsoft Edge WebView2 运行时。 在远程帮助安装过程中,如果设备上未安装 Microsoft Edge WebView2 运行时,则远程帮助安装它。 卸载远程帮助时,不会卸载Microsoft Edge WebView2 运行时。

将远程帮助部署为企业应用目录应用

企业应用程序目录是预打包的 Win32 应用的集合,由Microsoft准备以支持Intune。 企业应用目录应用是一种 Windows 应用,可通过 Intune 中的企业应用目录添加。 此应用类型使用 Win32 平台,并且支持可自定义的功能。 企业应用目录中提供了远程帮助。 若要了解详细信息,请参阅将企业应用目录应用添加到Microsoft Intune

将远程帮助部署为 Win32 应用

若要使用 Intune 部署远程帮助,可以将应用添加为 Windows Win32 应用,并定义检测规则来标识未安装最新版本远程帮助的设备。 在将远程帮助添加为 Win32 应用之前,必须重新打包*remotehelpinstaller.exe**.intunewin*文件,该文件是可以使用 Intune 部署的 Win32 应用文件。 有关如何将文件重新打包为 Win32 应用的信息,请参阅 准备 Win32 应用内容以供上传

将远程帮助重新打包为 .intunewin 文件后,请使用添加 Win32 应用中的过程以及以下详细信息来上传和部署远程帮助。 在以下内容中,重新打包的 remotehelpinstaller.exe 文件将被命名为 remotehelp.intunewin

重要

若要利用命令行示例,请确保将下载的文件重命名为 remotehelpinstaller.exe

  1. 在“应用信息”页上,选择“ 选择应用包文件”,找到以前准备的 remotehelp.intunewin 文件,然后选择“ 确定”。

    添加 发布服务器,然后选择 下一步。 “应用信息”页面上的其他详细信息为可选信息。

  2. 在“程序”页面上,配置以下选项:

    • 对于 “安装命令行”,请指定 remotehelpinstaller.exe /quiet acceptTerms=1
    • 对于 Uninstall 命令行,请指定 remotehelpinstaller.exe /uninstall /quiet acceptTerms=1

    若要选择退出自动更新,请在安装命令中指定 enableAutoUpdates=0 ,remotehelpinstaller.exe /quiet acceptTerms=1 enableAutoUpdates=0

    重要

    命令行选项 acceptTermsenableAutoUpdates 始终区分大小写。

    将其余选项保留为其默认值,然后选择“ 下一步 ”以继续。

  3. 在“要求”页上,配置以下选项以满足环境要求,然后选择“ 下一步”:

    • 操作系统体系结构
    • 最低操作系统

  4. 在“检测规则”页面上,对于 规则格式,请选择 手动配置检测规则,然后选择 添加 以打开检测规则 窗格。 配置以下选项:

    • 对于 规则类型,请选择 文件

    • 对于 路径,请指定 C:\Program Files\Remote Help

    • 对于 文件或文件夹,请指定 RemoteHelp.exe

    • 对于 检测方法,请选择 字符串(版本)

    • 对于 运算符,请选择 大于或等于

    • 对于“值”,请指定要部署的远程帮助版本。 例如 ,10.0.22467.1000。 有关如何获取远程帮助版本的详细信息,请参阅本文中的下一条说明。

    • 关联于 64 位客户端上的 32 位应用 设置保留为

      注意

      若要获取 RemoteHelp.exe的版本,请手动将 RemoteHelp 安装到计算机并运行以下 PowerShell 命令: (Get-Item“$env:ProgramFiles\Remote Help\RemoteHelp.exe”) 。VersionInfo。 在输出中,记下 FileVersion,并使用它在检测规则中指定

  5. 转到“分配”页,然后选择应安装远程帮助应用的适用设备组或设备组。 远程帮助适用于面向设备组,而不适用于用户组。

  6. 完成 Windows 应用的创建,让Intune在适用的设备上部署和安装远程帮助。

配置远程帮助应用

Windows 防火墙详细信息

根据使用远程帮助的环境,可能需要创建防火墙规则以允许远程帮助通过 Windows 防火墙。 如有必要,应允许以下远程帮助可执行文件通过防火墙:

  • C:\Program Files\Remote help\RemoteHelp.exe
  • C:\Program Files\Remote help\RHService.exe
  • C:\Program Files\Remote help\RemoteHelpRDP.exe

更新远程帮助应用

远程帮助通过Microsoft更新(如果已配置)接收更新。 否则,需要使用企业应用程序目录 (作为 Intune Suite) 的一部分提供,或者通过将更新打包并部署为 Win32 应用来更新应用程序。

为远程帮助设置条件访问

本部分概述了在租户上预配 远程帮助 服务以用于条件访问的步骤。

  1. 在管理员模式下打开 PowerShell。
  2. 在 PowerShell 中,输入以下命令:

安装

Install-Module Microsoft.Graph -Scope CurrentUser

登录

Connect-MgGraph使用 命令使用所需的范围登录。 你需要使用管理员帐户登录才能同意所需的范围。


Connect-MgGraph -Scopes "Application.ReadWrite.All"

创建服务主体

使用 Remote Assistance Service AppId 1dee7b72-b80d-4e56-933d-8b6b04f9a3e2创建服务主体。

New-MgServicePrincipal -AppId "1dee7b72-b80d-4e56-933d-8b6b04f9a3e2"

DisplayName                                     Id AppId                                   ServicePrincipalType
----                                         ------- -----------                                   ---------------
RemoteAssistanceService                      3d5ff82b-a5f2-483a-xxxx-9514ed66f7c5        1dee7b72-b80d-4e56-933d-8b6b04f9a3e2

为了提高可读性,输出已缩短。

该 ID 对应于远程协助服务的应用 ID。

显示名称为远程协助服务,这是远程帮助的后端服务。 

注销

Disconnect-MgGraph使用 命令注销。

Disconnect-MgGraph

创建条件访问策略

创建远程帮助服务主体后,请详细了解如何设置条件访问策略

若要将条件访问策略应用于远程帮助,请执行以下步骤:

  1. 导航到创建的条件访问策略。
  2. 选择“ 目标资源”。
    1. 选择 “ (以前的云应用) 资源 ”以指定此策略的应用。
    2. 选择“ 排除”。
    3. 选择 “选择资源”。
    4. “选择”下,检查应用 ID 为 1dee7b72-b80d-4e56-933d-8b6b04f9a3e2 的 RemoteAssistanceService

后续步骤

下一步:使用 远程帮助 >

  • Last updated on