Планирование Удаленная помощь с помощью Microsoft Intune

Примечание.

Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

Удаленная помощь — это облачное решение для безопасных подключений к службе технической поддержки с помощью управления доступом на основе ролей. При подключении сотрудники службы поддержки могут удаленно подключиться к устройству пользователя. Дополнительные сведения см. в статье Общие сведения о Удаленная помощь. Чтобы начать использовать функции Удаленная помощь, убедитесь, что выполнены предварительные требования.

В этой статье пользователи, которые предоставляют справку, называются помощниками, а пользователи, получающие справку, называются общими пользователями, так как они обмениваются своим сеансом с помощником. Чтобы использовать приложение, специалисты службы поддержки и инициаторы совместного доступа должны войти в систему с помощью своих рабочих учетных записей. Именно через ваш Microsoft Entra ID устанавливаются надлежащие отношения доверия для Удаленная помощь сеансов.

Удаленная помощь использует Intune управления доступом на основе ролей (RBAC) для задания уровня доступа, разрешенного помощнику. Управление доступом на основе ролей позволяет определить круг пользователей, предоставляющих помощь, и объем предоставляемой помощи.

Совет

Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по надстройкам Intune Suite в Центр администрирования Microsoft 365.

Контрольный список планирования

Следуйте этому контрольным списку, чтобы упростить процесс планирования.

• Поддержка платформ и устройств
• Поддержка языка
• Конфигурация клиента
• Условный доступ
• Управление доступом на основе ролей (RBAC)
• Сеть
• Предварительные условия
• Ограничения
• Известные проблемы
• Зарегистрированные и незарегистрированные устройства

Рекомендации по планированию

Используйте эти рекомендации для подготовки организации к Удаленная помощь.

• Применение минимальных привилегий. Предоставьте только минимальные разрешения Удаленная помощь, необходимые для каждой роли поддержки. При необходимости используйте настраиваемые роли Intune, чтобы ограничить возможность получения полного контроля или выполнения автоматических сеансов. Например, поддержка уровня 1 может получить права только для просмотра, а уровень 2 — полный доступ. Этот принцип помогает защитить конфиденциальность пользователей и целостность устройств.

• Использование условного доступа для вспомогательных элементов. Так как вспомогательные службы имеют повышенный доступ к пользовательским устройствам, добавьте дополнительный уровень безопасности. Настоятельно рекомендуется требовать многофакторную проверку подлинности или состояние соответствующего устройства для вспомогательных учетных записей через условный доступ. Эти меры гарантируют, что скомпрометированную вспомогающую учетную запись невозможно использовать злоумышленниками для доступа к устройствам. политики условного доступа Entra id для Удаленная помощь поддерживаются только в Windows и macOS.

• Включение поддержки незарегистрированных устройств только при необходимости. Разрешение Удаленная помощь на незарегистрированных устройствах (только Entra зарегистрированных) удобно для поддержки личных устройств, но при этом осуществляется ограниченный контроль (отсутствие сведений о соответствии устройств или ограниченные данные аудита). Включите эту функцию вдумчиво и рассмотрите возможность ограничения того, какие сотрудники службы поддержки могут помочь незарегистрированных устройств (возможно, с помощью отдельных ролей).

• Сеть и брандмауэр. Убедитесь, что политики корпоративной сети не мешают Удаленная помощь. Приложение обменивается данными через порт 443 с Azure облачными конечными точками. Если пользователи находятся в корпоративной сети, убедитесь, что проверка прокси-сервера или SSL не нарушает подключение. Если прокси-серверы используют проверку SSL, домены, перечисленные для Удаленная помощь, следует исключить, чтобы избежать проблем. Дополнительные сведения см. в статье Конечные точки сети для Удаленная помощь.

• Поддержка облака для государственных организаций ограничена: Удаленная помощь поддерживается в средах облака сообщества государственных организаций (GCC), за исключением Azure Виртуального рабочего стола (AVD). Удаленная помощь не поддерживается в клиентах GCC High или DoD (Министерство обороны США). Дополнительные сведения см. в статье Microsoft Intune описание службы GCC High и DoD для государственных организаций США.

• Удаленная помощь средства общего доступа, вспомогательные помощники и устройства должны находиться в одном клиенте: интеграция Удаленная помощь с политиками соответствия требованиям и управлением доступом на основе ролей (RBAC) требует, чтобы все участники были в одном клиенте.

  Примечание.

  Это может повлиять на сценарии аутсорсинга службы технической поддержки, в которых администраторы службы технической поддержки работают в разных клиентах. Рассмотрим сценарий, в котором устройство пользователя (sharers) принадлежит клиенту A, а устройство помощника принадлежит клиенту B (в случае, если он использует устройство, выданное их аутсорсинговой организацией). В качестве обходного решения рассмотрите возможность предоставления устройств, присоединенных к клиенту A, в службу поддержки или предоставление им доступа к Windows 365 или устройствам AVD, присоединенным к клиенту A.

• Объединение с аналитикой конечных точек. Используйте данные из Удаленная помощь сеансов для выявления распространенных проблем. Например, если во многих сеансах отображаются предупреждения о соответствии требованиям, возможно, улучшите политики соответствия устройств. Журналы аудита Удаленная помощь в сочетании с аналитикой конечных точек Intune могут дать аналитические сведения о тенденциях поддержки (например, часто проблемных приложениях или политиках).

• Обновление приложений Удаленная помощь. Новые версии Windows и Mac приносят улучшения и необходимые исправления. Корпорация Майкрософт может применить обновления для более старых версий. Используйте автоматическое обновление на обеих платформах (клиентский компонент Центра обновления Windows, Mac через автоматическое обновление Майкрософт) или регулярно отправляет последний пакет через Intune после тестирования. Для Android обновления поступают через Play Store автоматически, если вы утвердили приложение. Отслеживайте, что устройства получают последнюю версию во время регулярных периодов обслуживания.

• Планирование конфиденциальности и соответствия требованиям: Удаленная помощь могут вызывать вопросы о конфиденциальности. Убедите заинтересованных лиц, что Удаленная помощь требуется согласие пользователя, или в случае автоматической Удаленная помощь Android четко указывает, что удаленный сеанс активен. Все сеансы выполняются по обоюдову обоюдовом интерфейсе и заметно отображаются на экране пользователя. В службе не хранятся записи сеансов. Эти моменты можно включить во внутренние ИТ-политики или руководства пользователей для решения проблем. Автоматический доступ на Android следует использовать с осторожностью.

• Развертывание поэтапно. Если это возможно, разверните Удаленная помощь на пилотном этапе. Начните с ИТ-отдела или небольшого отдела, чтобы решить любые проблемы. Сбор отзывов от помощников и пользователей. Убедившись в себе, развернитесь на всю организацию. Поэтапный подход может предотвратить перегрузку службы поддержки непредвиденными техническими проблемами.

Вспомогательный и клиентский режимы

Удаленная помощь клиенты поддерживают различные режимы в зависимости от сочетания вспомогательного приложения и приложения для общего доступа. Windows, macOS и Android имеют Удаленная помощь приложения, которые можно установить, расширяющие функциональные возможности. Удаленная помощь приложения иногда называют собственным приложением. Удаленная помощь также поддерживает общий доступ с устройств с ограниченными возможностями веб-приложения.

Ниже приведены различные режимы:

• Только представление: представление запроса удаленного экрана. Чтобы свести к минимуму влияние на конфиденциальность конечных пользователей, этот параметр рекомендуется использовать, если не требуется полный контроль.

• Запрос полного управления: запросите полный контроль над удаленным устройством.

• Повышение прав: позволяет вспомогательным пользователям вводить учетные данные контроля учетных записей (UAC) при появлении запроса на устройстве участника общего доступа. Включение повышения прав также позволяет вспомогательному пользователю просматривать и контролировать устройство sharer, когда общий доступ предоставляет вспомогательному пользователю доступ.

• Автоматическая установка: полный контроль над устройством без присутствия конечного пользователя.

В этой таблице показана поддержка режима вспомогательным приложением и приложением sharer.

	Помощь от: Windows native	Помощь от: Windows Web	Помощь от: macOS web
Общий доступ из: windows native	✅Просмотр только ✅ полного повышения прав ✅	Не поддерживается	Не поддерживается
Общий доступ из: macOS native	Не поддерживается	✅ Просмотреть только ✅ полный доступ	✅ Просмотреть только ✅ полный доступ
Общий доступ из: Android native	Не поддерживается	✅Просмотр только ✅ автоматического полного управления ✅	✅Просмотр только ✅ автоматического полного управления ✅
Общий доступ из: веб-приложения macOS	Не поддерживается	✅ Только просмотр	✅ Только просмотр
Общий доступ из: веб-приложение Windows	Не поддерживается	✅ Только просмотр	✅ Только просмотр

Сведения о развертывании приложений Удаленная помощь см. в статье Развертывание Удаленная помощь.

Проверка подлинности и разрешения

Как вспомогательные, так и общие службы войдите в организацию с помощью Microsoft Entra ID, что гарантирует, что для Удаленная помощь сеансов будет установлено надлежащее доверие.

Удаленная помощь использует Intune управления доступом на основе ролей (RBAC) для задания уровня доступа, разрешенного помощнику. С помощью RBAC администраторы клиентов определяют, какие пользователи могут предоставлять справку, и уровень помощи, которую они могут предоставить.

Управление доступом на основе ролей (RBAC)

Чтобы использовать Удаленная помощь, помощники должны иметь соответствующие разрешения на управление доступом на основе ролей (RBAC), назначенные учетной записи пользователя. В следующей таблице перечислены доступные разрешения для Удаленная помощь и их описания.

Разрешение	Описание
Удаленная помощь — экран просмотра	Позволяет вспомогательному элементу просматривать экран общего доступа без контроля.
Удаленная помощь — полный контроль	Позволяет помощнику получить полный контроль над устройством поставщика общих сведений.
Удаленная помощь — повышение прав	Позволяет помощнику взаимодействовать с запросами управления учетными записями пользователей в Windows.
Удаленная помощь — автоматическое	Позволяет помощнику подключаться к устройствам Android, не требуя от общего доступа принимать подключение каждый раз. Для этого требуется, чтобы устройство Android было зарегистрировано в Intune в качестве полностью управляемого или выделенного устройства.
Удаленные задачи — предложение удаленной помощи	Позволяет вспомогателям предлагать пользователям удаленную помощь.
Соединитель удаленного помощника — чтение	Требуется, чтобы пользователь видел, настроен ли Удаленная помощь для клиента при запуске сеанса.

Следующие Intune встроенные роли включают разрешения Удаленная помощь:

• Оператор службы технической поддержки (просмотр экрана, полный контроль, повышение прав, автоматическое выполнение, удаленные задачи — предложение удаленной помощи, соединитель удаленного помощника — чтение)
• Администратор учебного заведения (просмотр экрана, полный контроль, повышение прав, удаленные задачи — предложение удаленной помощи, соединитель удаленного помощника — чтение)

Примечание.

Пользователю требуется сочетание разрешений удаленных задач — предложение удаленного помощника, разрешения на чтение соединителя удаленного помощника и по крайней мере одно из Удаленная помощь разрешений для предоставления справки. Разрешения предоставляются пользователям в группе администраторов назначения ролей для пользователей или устройств в определенных группах область. Дополнительные сведения об управлении доступом на основе ролей Intune см. в разделе Сведения об управлении доступом на основе ролей (RBAC) для Microsoft Intune.

Важно!

Если в область помощника не находится общий пользователь или его устройство, этот помощник не может оказать помощь. Группа Все устройства область не включает незарегистрированные устройства. Вместо этого используйте пользователь область группу в процессе назначения.

При выборе группы для исключения из назначения, такой как назначение политики или приложения, она должна быть либо вложена в одно из назначений RBAC область групп, либо должна быть отдельно указана в качестве область группы в назначении роли RBAC.

Предварительные условия

Удаленная помощь предъявляет следующие требования:

• Intune подписку.
• Удаленная помощь добавить лицензию или лицензию Intune Suite для всех сотрудников ИТ-поддержки (помощников) и пользователей (общих пользователей), предназначенных для использования Удаленная помощь и преимуществ службы.
• Поддерживаемые платформы и устройства.
• Intune зарегистрированные устройства должны быть зарегистрированы в Microsoft Entra.

Ограничения

Удаленная помощь имеет следующие ограничения:

• Невозможно установить сеанс Удаленная помощь от одного клиента к другому клиенту.
• Удаленная помощь могут быть доступны не на всех рынках или в локализациях.
• Удаленная помощь поддерживается в средах GCC на следующих платформах:
  • Windows
  • Windows на устройствах ARM64
  • Windows 365
  • Устройства Samsung и Zebra, зарегистрированные как выделенные устройства Android Enterprise
  • macOS 13, 14 и 15
• Удаленная помощь не поддерживается в клиентах GCC High или DoD (Министерство обороны США). Дополнительные сведения см. в статье Microsoft Intune описание службы GCC High и DoD для государственных организаций США.

Поддерживаемые платформы

У каждой платформы есть определенные предварительные требования и возможности.

Windows

• Windows x86, x64 и ARM64
• Windows 365
• Виртуальный рабочий стол Azure

Существуют необязательные обновления Windows для повышения надежности уведомлений:

• Windows 11: 25 июля 2023 г. — KB5028245 (сборка ОС 22000.2245) Предварительная версия — служба поддержки Майкрософт
• Windows 10: 22 августа 2023 г. — KB5029331 (сборка ОС 19045.3393), предварительная версия — служба поддержки Майкрософт

Важно!

14 октября 2025 г. Windows 10 закончила поддержку и не будет получать обновления качества и компонентов. Windows 10 является допустимой версией в Intune. Устройства под управлением этой версии по-прежнему могут регистрироваться в Intune и использовать соответствующие функции, но функциональность не гарантируется и может отличаться.

Расширение управления Intune требуется на устройстве sharer для функции удаленного запуска. В частности, для Windows 10 сборки ОС должны быть больше версии 19042 или равными ей и иметь KB5018410 установленное исправление. Версия ОС должна быть больше или равна 10.0.19042.2075 или 10.0.19043.2075 или 10.0.19044.2075. Дополнительные сведения о расширении управления Intune см. в разделе расширение управления Intune.

Не рекомендуется удаленно запускать сеанс для пользователей на Azure виртуальных рабочих столов. Дополнительные сведения см. в разделе Предоставление справки по AVD.

macOS

• macOS 13 (Ventura)
• macOS 14 (Sonoma)
• macOS 15 (Sequoia)
• macOS 26.0 (начиная с версии 1.0.2509231 Удаленная помощь и более поздних версий)

Android

Удаленная помощь поддерживается на следующих устройствах Android Enterprise, зарегистрированных в выделенном режиме:

• Устройства Samsung Knox

  • Устройство должно иметь Samsung Knox. Список устройств, совместимых с Knox, см. в статье Совместимость устройств Knox Solutions (открывается веб-сайт Samsung). Устройства Samsung без Knox работают для общего доступа к экрану, но не работают в полном или автоматическом режиме.

• Устройства Zebra

  • Работает MX версии 8.3 или более поздней.
  • Автоматическое управление поддерживается только в MX версии 9.3 и более поздних.
  • Настройте Zebra OEMConfig для клиента. Дополнительные сведения см. в статье Использование OEMConfig на устройствах Android Enterprise в Microsoft Intune.

• Настройте Управляемый Google Play для своего клиента. Дополнительные сведения см. в статье Подключение учетной записи Intune к управляемой учетной записи Google Play.

• Установите приложение Intune на устройствах с версией более поздней версии 5.0.5541.0.

• На устройствах не должна быть настроена политика конфигурации устройств для блокировки захвата экрана.

Веб-приложение

Поддержка устройств зависит как от операционной системы пользователей, так и от их веб-браузера.

• Safari версии 16.4.1 и более поздних
• Chrome версии 109 и более поздних
• Microsoft Edge версии 109 и более поздних
• Firefox версии 122 и более поздних

Примечание.

Виртуальные машины не поддерживаются.

Версии macOS

• macOS 11 Big Sur (только для веб-приложения)
• macOS 12 Monterey
• macOS 13 Ventura
• macOS 14 Sonoma

Версии Windows

• Windows 11

Важно!

14 октября 2025 г. Windows 10 закончила поддержку и не будет получать обновления качества и компонентов. Windows 10 является допустимой версией в Intune. Устройства под управлением этой версии по-прежнему могут регистрироваться в Intune и использовать соответствующие функции, но функциональность не гарантируется и может отличаться.

версии Linux

Удаленная помощь не поддерживается в Linux. Однако веб-приложение Удаленная помощь может работать для большинства Linux устройств, использующих поддерживаемый браузер.

Сеть

Вспомогательный и общий доступ должны иметь возможность связаться с определенными конечными точками через порт 443. Дополнительные сведения см. в статье Конечные точки сети для Удаленная помощь.

Удаленная помощь обменивается данными через порт 443 (https) и подключается к службе удаленной помощи по адресу https://remotehelp.microsoft.com с помощью протокола удаленного рабочего стола (RDP). Трафик шифруется с помощью протокола TLS 1.2.

Требования, если Удаленная помощь ограничен зарегистрированными устройствами

Если ваша организация ограничивает Удаленная помощь только зарегистрированными устройствами, существуют дополнительные требования.

Windows

Устройство Windows sharer должно быть зарегистрировано в том же клиенте, с которого начинается сеанс Удаленная помощь.

macOS

1. Единый вход. Дополнительные сведения см. в статье Использование подключаемого модуля единого входа Enterprise в macOS.
2. Откройте и войдите в Корпоративный портал. Пользователь должен открыть и войти в Корпоративный портал, чтобы Удаленная помощь распознать зарегистрированное устройство.

Примечание.

Корпоративный портал не поддерживается на устройствах, зарегистрированных без сопоставления пользователей. Чтобы использовать Удаленная помощь на этих устройствах, необходимо изменить параметры клиента, чтобы задать для Удаленная помощь значение "Разрешено" для незарегистрированных устройств.

Android

Удаленная помощь не поддерживает незарегистрированные устройства на Android.

Веб-приложение

К веб-приложению предъявляют те же требования, что и к платформе общего доступа.

Поддерживаемые языки для чата

Удаленная помощь с чатом в поддерживается на следующих языках:

Windows

• Арабский
• болгарский;
• китайский (упрощенное письмо);
• китайский (традиционный);
• хорватский;
• чешский;
• датский;
• голландский;
• английский;
• эстонский;
• финский;
• французский;
• немецкий;
• греческий;
• иврит;
• венгерский;
• итальянский;
• японский;
• Корейский
• латышский;
• литовский;
• Норвежский
• польский;
• Португальский
• румынский;
• русский;
• Сербский
• словацкий;
• словенский;
• испанский;
• шведский;
• тайский;
• турецкий;
• украинский;

macOS

• Арабский
• болгарский;
• китайский (упрощенное письмо);
• китайский (традиционный);
• хорватский;
• чешский;
• датский;
• голландский;
• английский;
• эстонский;
• финский;
• французский;
• немецкий;
• греческий;
• иврит;
• венгерский;
• итальянский;
• японский;
• Корейский
• латышский;
• литовский;
• Норвежский
• польский;
• Португальский
• румынский;
• русский;
• Сербский
• словацкий;
• словенский;
• испанский;
• шведский;
• тайский;
• турецкий;
• украинский;

Android

Приложение Удаленная помощь для Android использует язык, заданный на устройстве. Приложение Удаленная помощь для Android поддерживает все языки, поддерживаемые Android.

Веб-приложение

Веб-приложение Удаленная помощь поддерживает все языки, поддерживаемые используемым браузером.

Данные и конфиденциальность

Корпорация Майкрософт регистрирует небольшой объем данных сеанса для мониторинга работоспособности Удаленная помощь системы. Эти данные включают следующую информацию:

• Время начала и окончания сеанса. Эти сведения хранятся на серверах Майкрософт в течение 30 дней.
• Кто кому помог и на каком устройстве. Эти сведения хранятся на серверах Майкрософт в течение 30 дней.
• Ошибки, возникающие из-за Удаленная помощь самого, например непредвиденные отключения. Эти сведения хранятся на устройстве инициатора совместного доступа в средстве просмотра событий.
• Функции, используемые в приложении, такие как только представление и повышение прав. Эти сведения хранятся на серверах Майкрософт в течение 30 дней.

Удаленная помощь сведения о сеансе журналов в журналы событий Windows на устройстве вспомогательного и общего доступа. Корпорация Майкрософт не имеет доступа к сеансу и не может просматривать действия или нажатия клавиш, которые происходят во время сеанса.

Помощник и общий доступ видят следующие сведения о другом человеке, взятые из профилей организации:

• Фотография профиля организации (если имеется)
• Имя компании
• Проверен домен
• Имя и фамилия
• Должность

Корпорация Майкрософт не хранит данные о sharer или помощнике дольше 30 дней.

---

Дальнейшие действия

Далее: Развертывание Удаленная помощь >