Microsoft Intuneを使用した macOS でのリモートヘルプ

[アーティクル]
05/04/2024

注:

この機能は、Intune アドオンとして使用できます。詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

概要

リモートヘルプは、ロールベースのアクセス制御を使用してセキュリティで保護されたヘルプデスク接続を実現するクラウドベースのソリューションです。この接続により、サポートスタッフはユーザーのデバイスにリモートで接続し、そのディスプレイを表示できます。

この記事では、ヘルプを提供するユーザーを ヘルパーと呼び、ヘルプを受け取るユーザーは、ヘルパーとセッションを共有する共有者と呼ばれます。

リモートヘルプは、ネイティブアプリケーションと、ユーザーの Web ブラウザー内で実行される Web アプリの両方として macOS で使用できます。 フルコントロール機能を実行するには、ヘルパーマシンでネイティブアプリケーションが必要です。

機能	クライアント要件	ヘルパーアプリ
画面共有: リモート画面を表示します。	✔️Web アプリ ✔️ネイティブアプリ	✔️Web アプリ
フルコントロール: ディスプレイを表示し、デバイスのマウスとキーボードを制御します。	✔️ネイティブアプリ	✔️Web アプリ

リモートヘルプ機能

リモートヘルプ Web アプリでは、macOS で次の機能がサポートされています。

登録されていないデバイスでリモートヘルプを使用する: 既定では無効になっており、Intuneに登録されていないデバイスにヘルプを許可することもできます。
条件付きアクセス: 管理者は、リモートヘルプのポリシーと条件を設定するときに条件付きアクセス機能を利用できるようになりました。条件付きアクセスの設定の詳細については、「リモートヘルプの条件付きアクセスを設定する」を参照してください。
コンプライアンス警告: ヘルパーが接続しているデバイスが割り当てられたポリシーに準拠していない場合、リモートヘルプはコンプライアンス違反の警告を表示します。この警告はアクセスをブロックしませんが、セッション中に管理資格情報などの機密データを使用するリスクに関する透明性を提供します。
登録状態: ヘルパーが接続しようとしているユーザーのデバイスが登録されていない場合、ヘルパーはデバイスの状態を通知するプロンプトを表示します。
チャット機能: リモートヘルプには、すべてのメッセージの継続的なスレッドを維持する強化されたチャットが含まれています。このチャットでは、特殊文字と、中国語やアラビア語などの他の言語がサポートされています。サポートされている言語の詳細については、「サポートされている言語」を参照してください。

ネイティブ macOS アプリのリモートヘルプ

ほとんどの組織は、macOS 用のリモートヘルプアプリケーションをユーザーのデバイスにインストールします。 macOS 用のリモートヘルプは、Sharer のマウスとキーボードを制御できるビューのみの完全なコントロール機能を持つヘルパーを提供します。

リモートヘルプ Web アプリ

Sharer が支援を必要とするが、macOS 用のネイティブアプリケーションをインストールできない場合、Sharer は Web アプリを使用して画面をヘルパーに共有できます。この Web アプリは、ヘルパーに表示のみの機能を提供し、問題の解決をユーザーにガイドできるようにします。

ヘルパーは常にリモートヘルプ Web アプリを使用して、macOS 上の Sharer をサポートします。詳細については、「リモートヘルプ Web アプリ」を参照してください。

認証とアクセス許可

ヘルパーと共有者の両方がMicrosoft Entra IDを使用してorganizationにサインインします。これにより、リモートヘルプセッションに対して適切な信頼が確実に確立されます。

リモートヘルプでは、Intuneロールベースのアクセス制御 (RBAC) を使用して、ヘルパーが許可されるアクセスレベルを設定します。 RBAC を使用して、ヘルプを提供できるユーザーと、提供できるヘルプのレベルを決定します。

アクセス許可の構成と設定の詳細については、「リモートヘルプの使用」を参照してください。

リモートヘルプ要件

リモートヘルプの一般的な前提条件については、リモートヘルプの前提条件に関するページを参照してください。

リモートヘルプネイティブ macOS アプリでサポートされているオペレーティングシステム

macOS 12 (モントレー)
macOS 13 (Ventura)
macOS 14 (Sonoma)

リモートヘルプ Web アプリでサポートされているブラウザー

Safari (バージョン 16.4.1 以降)
Chrome (バージョン 109 以降)
Edge (バージョン 109 以降)
Firefox (バージョン 122 以降)

注:

Virtual Machines (VM) は現在サポートされていません。

ネットワークの考慮事項

ヘルパーと共有子の両方が、ポート 443 経由で特定のエンドポイントに到達できる必要があります。詳細については、「リモートヘルプのネットワークエンドポイント」を参照してください。

リモートヘルプが登録済みデバイスに制限されている場合の要件

organizationの場合は、リモートヘルプを登録済みデバイスのみに制限します。追加の要件は 2 つだけです。

シングルサインオン (SSO)。詳細については、「 macOS でエンタープライズ SSO プラグインを使用する」を参照してください。
を開き、ポータルサイトにサインインします。ユーザーは、デバイスが登録されていることを認識するために、リモートヘルプを開いてポータルサイトにサインインする必要があります。

注:

ポータルサイトは、ユーザーアフィニティなしで登録されたデバイスではサポートされていません。これらのデバイスでリモートヘルプを使用するには、テナント設定を変更して、登録解除されたデバイスにリモートヘルプを[許可] に設定する必要があります。

ネイティブアプリオペレーティングシステムのアクセス許可

macOS では、画面にアクセスして制御するアプリケーションにはアクセス許可が必要です。既定では、ユーザーはこれらのアクセス許可を受け入れる必要があります。 macOS では、 プライバシー設定ポリシーコントロールを使用して、プライバシー設定の種類ごとに一部の制御機能を使用できます。

アクセス許可	MDM 制御機能
ユーザー補助	✔️標準ユーザーによる System Service macOS の設定を許可 ✔️すると、このプロパティをユーザーの代わりに [許可] に設定でき、リモートヘルプネイティブクライアントの使用に必要な手順の数が減ります。
画面共有	✔️標準ユーザーによるシステムサービスの設定を許可するこのアクセス許可には、既定で管理者特権が必要です。macOS では、このプロパティを MDM で許可するように設定することはできませんが、標準ユーザーがこのアクセス許可を受け入れる機能を有効にすることができます。

設定カタログを使用すると、これらのアクセス許可を許可するためのエンドユーザーエクスペリエンスを合理化できます。

Intune管理センターにサインインし、[デバイス>の構成>] Create > macOS > 設定カタログに移動します
プロファイルの名前と説明を入力します。たとえば、"macOS リモートヘルププライバシーのアクセス許可" を選択し、[次へ] を選択します。
[設定の追加] を選択し、設定ピッカーで [プライバシー>の設定] [ポリシー制御>サービス] の順に移動します。
1. [ アクセシビリティ ] で、次を選択します。
- Authorization
- コード要件
- 識別子
- Identifer 型
- 静的コード
1. [ スクリーンキャプチャ] で 、次を選択します。
- Authorization
- コード要件
- 識別子
- Identifer 型
- 静的コード

[設定の追加] ウィンドウを閉じ、[アクセシビリティ] で [+ インスタンスの編集] を選択し、次の設定を構成します。

名前	構成
Authorization	許可
コード要件	`identifier "com.microsoft.remotehelp" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = UBF8T346G9`
識別子	com.microsoft.remotehelp
識別子の種類	バンドル ID
静的コード	False

[スクリーンキャプチャ] で [保存] を選択し、[+ インスタンスの編集] を選択し、次の設定を構成します。

名前	構成
Authorization	Standard ユーザーによるシステムサービスの設定を許可する
コード要件	`identifier "com.microsoft.remotehelp" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = UBF8T346G9`
識別子	com.microsoft.remotehelp
識別子の種類	バンドル ID
静的コード	False

[次へ] を選択し、必要に応じてスコープタグを構成し、必要に応じてプロファイルをグループに割り当て、設定を確認し、ポリシーをCreateします。

サポートされている言語

リモートヘルプは、次の言語でサポートされています。

アラビア語
ブルガリア語
簡体字中国語
繁体字中国語
クロアチア語
チェコ語
デンマーク語
オランダ語
英語
エストニア語
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ラトビア語
リトアニア語
ノルウェー語
ポーランド語
ポルトガル語
ルーマニア語
ロシア語
セルビア語
スロバキア語
スロベニア語
スペイン語
スウェーデン語
タイ語
トルコ語
ウクライナ語

ネイティブアプリリモートヘルプインストールして更新する

リモートヘルプネイティブアプリは Microsoft からダウンロードできます。また、そのデバイスを使用してリモートヘルプセッションに参加するには、そのデバイスを使用する前に、支援しようとしているデバイスにインストールする必要があります。

ヒント

ネイティブアプリは、ヘルパーデバイスの完全な制御が必要な場合にのみ必要です。それ以外の場合は、web アプリリモートヘルプ使用できます。

リモートヘルプをダウンロードする

最新バージョンのリモートヘルプを Microsoft からhttps://aka.ms/downloadremotehelpmacos直接ダウンロードします。

リモートヘルプの最新バージョンは 1.0.2404171 です。

リモートヘルプのデプロイ

登録済みデバイスの場合は、ユーザーの代わりにリモートヘルプをインストールすることで、ユーザーエクスペリエンスを効率化できます。

必要なインストールとしてIntuneを使用してリモートヘルプをインストールする方法の詳細については、「アンマネージド macOS PKG アプリをMicrosoft Intuneに追加する」を参照してください。

ユーザーがインストールするポータルサイトでリモートヘルプを使用できるようにする方法の詳細については、「macOS 基幹業務アプリをMicrosoft Intuneに追加する方法」を参照してください。

更新リモートヘルプ

リモートヘルプは、Microsoft AutoUpdate (MAU) アプリケーションを介して最新バージョンを受け取ります。ユーザーは自動更新を選択して、リモートヘルプが最新であることを確認できます。

ヘルプを要求する

このセクションでは、macOS ネイティブアプリを使用してリモートヘルプを要求する手順について説明します。

ヒント

画面を共有する必要がなく、ヘルパーが画面を制御できる必要がない場合や、ネイティブアプリをインストールできない場合は、Web アプリを使用できます。 Web アプリを使用してヘルプを要求する方法の詳細については、「リモートヘルプ Web アプリ」を参照してください。

サポートを依頼するには、サポートスタッフに連絡してサポートを依頼し、提供するコードを入力してセッションを開始する必要があります。

共有者とヘルパーがセッションを開始する準備ができたら:

デバイス Finder> アプリケーションMicrosoft リモートヘルプリモートヘルプアプリを>開きます。
リモートヘルプを初めて開くときは、リモートヘルプアクセスを許可して画面を制御および共有する必要があります。必要な各アクセス許可をクリックして [設定] を開き、Microsoft リモートヘルプのアクセス許可が許可されていることを確認します。
1. アクセシビリティ ([設定] [プライバシー] & [セキュリティ > アクセシビリティ] >で設定することもできます)
2. 画面とシステムオーディオ録音 ( 設定 > プライバシー & セキュリティ > 画面とシステムオーディオ録音で設定することもできます)
メッセージが表示されたら、organization資格情報でサインインして認証します。をorganizationにコピーします。
ヘルパーによって提供される 8 桁のセキュリティコードを入力します。コードを入力したら、[画面の共有 ] を選択して続行します。
セッション接続が開始されると、信頼画面に、氏名、役職、会社、プロフィール画像、検証済みドメインなどのヘルパー情報が表示されます。この時点で、ヘルパーはデバイスのフルコントロールまたは表示のみの画面共有を使用してセッションを要求します。 [ 許可] または [ 要求の拒否 ] を選択できます。
マイクの使用を許可 remotehelp.microsoft.com するように求めるメッセージが表示される場合があります。
- このアクセス許可は画面共有に必要ないので、[ 許可しない ] を選択します。
[ 共有画面] を選択して続行します。画面の共有を許可 remotehelp.microsoft.com するように求めるメッセージが表示される場合があります。 [ 許可] を 選択して続行します。
macOS では、右上隅にダイアログメニューが 2 つのオプションのいずれかとして表示されます。
- 緑色のカメラアイコン: [画面] を選択し、マウスを移動して画面共有を選択します。
- 黄色のマイクアイコン (マイクのアクセス許可を許可するように選択した場合): マイクアイコンを選択し、アプリケーション名Microsoft リモートヘルプの右側にある灰色のアイコンを選択し、[画面] を選択します。共有する画面にカーソルを移動し、[ この画面を共有] を選択します。
セッションが確立されると、ヘルパーはデバイス上の問題の解決に役立ちます。

注:

管理者リモートヘルプインストールされていない場合は、「リモートヘルプのインストールと更新」セクションのダウンロード手順に従って、自分リモートヘルプインストールできます。

ヘルプを提供する

ヘルパーとして、セッションを開始するコードを提供することで、デバイスにリモートアシスタンスを提供できます。 Web アプリは、Windows または macOS でサポートされている任意のブラウザーから開始できます。

管理コンソールIntune
Web アプリ

Microsoft Intune管理センターから支援しようとしているデバイスに移動します。
1. 管理センター Microsoft Intuneサインインし、[デバイス>] [すべてのデバイス] に移動し、支援が必要な macOS デバイスを選択します。
2. デバイスビューの上部にあるリモートアクションバーで、[新しいリモートアシスタンスセッション] を選択し、[リモートヘルプ]、[続行] の順に選択します。
[開始] を選択して新しいリモートヘルプセッションを起動する前に、8 桁のセッションコードをコピーして、支援しようとしている共有者と共有します。
リモートヘルプが新しいタブで初めて開いたら、サインインしてorganizationに対する認証を行う必要があります。
共有者がリモートヘルプセッションに移動すると、ヘルパーとして、共有元に関する情報 (氏名、役職、会社、プロフィール画像、検証済みドメインなど) が表示されます。共有者には、ユーザーに関する同様の情報が表示されます。
この時点で、共有者のデバイスのフルコントロールでのセッションを要求することも、画面共有のみを選択することもできます。共有者は、[許可] または [要求の拒否] を選択できます。

注:

共有者のデバイスが割り当てられたコンプライアンスポリシーの条件を満たしていない場合、リモートヘルプはコンプライアンス警告を表示します。
登録されていないデバイスでリモートヘルプを許可するようにテナントが構成されている場合、登録されていないデバイスに接続するときに警告が表示されます。この警告はアクセスをブロックしませんが、セッション中に管理資格情報などの機密データを使用するリスクに関する透明性を提供します。

既知の問題

共有者が早い段階でリモートヘルプセッションから終了した場合、ヘルパーに 60 秒以上通知されない可能性があります。
Edge を使用している場合、セッションを開始する前に共有者が Edge にサインインする必要がある場合や、デバイスが登録解除として報告される場合があります。
ブラウザーが最新の状態であることを確認します。
Teams などの別のアプリケーションを使用して画面を共有したり、セッション中に記録したりする場合、セッションの接続に時間がかかる場合があります。

Microsoft Intuneを使用した macOS でのリモートヘルプ