使用 Microsoft Intune 的 macOS 上的远程帮助
注意
此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能。
概述
远程帮助是一种基于云的解决方案,用于通过基于角色的访问控制进行安全技术支持连接。 通过此连接,支持人员可以远程连接到用户的设备并查看其显示。
在本文中,提供帮助的用户称为 帮助者,接收帮助的用户在与帮助者共享会话时称为 共享 者。
远程帮助作为本机应用程序和在用户的 Web 浏览器中运行的 Web 应用可用于 macOS。 帮助程序计算机上需要本机应用程序才能执行 完全控制 功能。
| 功能 | 客户端要求 | 帮助程序应用 |
|---|---|---|
| 屏幕共享:查看远程屏幕。 | ✔️Web 应用✔️本机应用 | ✔️Web 应用 |
| 完全控制:查看显示器并控制设备的鼠标和键盘。 | ✔️本机应用 | ✔️Web 应用 |
远程帮助功能
远程帮助 Web 应用在 macOS 上支持以下功能:
将远程帮助用于未注册的设备:默认情况下禁用,可以选择允许向未注册Intune的设备提供帮助。
条件访问:管理员现在可以在为远程帮助设置策略和条件时利用条件访问功能。 有关设置条件访问的详细信息,请参阅为远程帮助设置条件访问。
合规性警告:如果帮助程序连接到的设备不符合其分配的策略,远程帮助将显示不合规警告。 此警告不会阻止访问,但提供有关在会话期间使用敏感数据(如管理凭据)的风险的透明度。
注册状态:如果帮助程序尝试连接到的用户设备未注册,帮助程序会看到一条提示,通知他们设备状态。
聊天功能:远程帮助包括增强聊天,可维护所有消息的连续线程。 此聊天支持特殊字符和其他语言,包括中文和阿拉伯语。 有关支持的语言的详细信息,请参阅 支持的语言。
远程帮助本机 macOS 应用
大多数组织在其用户的设备上安装适用于 macOS 的 远程帮助 应用程序。 适用于 macOS 的远程帮助为帮助程序提供了“仅查看”和“完全控制”功能,可在其中控制共享者的鼠标和键盘。
远程帮助 Web 应用
如果共享者需要帮助,但无法安装适用于 macOS 的本机应用程序,则共享者可以使用 Web 应用将其屏幕共享给帮助者。 此 Web 应用为帮助程序提供仅查看功能,使他们能够指导用户解决问题。
帮助程序始终使用 远程帮助 Web 应用向 macOS 上的共享程序提供支持。 有关更多详细信息,请转到远程帮助 Web 应用。
身份验证和权限
帮助者和共享者都使用 Microsoft Entra ID 登录到组织,这可确保为远程帮助会话建立适当的信任。
远程帮助使用Intune基于角色的访问控制 (RBAC) 来设置允许帮助者访问的级别。 通过 RBAC,可以确定哪些用户可以提供帮助以及他们可以提供的帮助级别。
有关配置和设置权限的详细信息,请转到使用远程帮助。
远程帮助要求
此处列出了远程帮助的一般先决条件远程帮助先决条件。
远程帮助本机 macOS 应用支持的操作系统
- macOS 12 (蒙特利)
- macOS 13 (Ventura)
- macOS 14 (Sonoma)
远程帮助 Web 应用支持的浏览器
- Safari (版本 16.4.1+)
- Chrome (版本 109+)
- Edge (版本 109+)
- Firefox (版本 122+)
注意
当前不支持虚拟机 (VM) 。
网络注意事项
帮助者和共享者必须能够通过端口 443 访问特定终结点。 有关详细信息,请参阅远程帮助的网络终结点。
如果远程帮助仅限于已注册的设备,则要求
如果你的组织, 将远程帮助限制为仅注册的设备有两个额外的要求:
- 单一登录 (SSO) 。 有关详细信息,请参阅 在 macOS 上使用企业 SSO 插件。
- 打开并登录到公司门户。 用户必须打开并登录公司门户,远程帮助才能识别已注册的设备。
注意
在没有用户相关性的情况下注册的设备上不支持公司门户。 若要在这些设备上使用远程帮助,需要更改租户设置,将远程帮助设置为“允许”。
本机应用操作系统权限
在 macOS 上,访问和控制屏幕的应用程序需要权限。 默认情况下,用户必须接受这些权限。 macOS 允许使用 隐私首选项策略控制为每种类型的隐私设置提供一些控制功能。
| 权限 | MDM 控制功能 |
|---|---|
| 辅助功能 | ✔️允许✔️允许标准用户设置系统服务macOS 允许将此属性代表用户设置为 Allow,从而减少使用 远程帮助 本机客户端所需的步骤数 |
| 屏幕共享 | ✔️允许标准用户设置系统服务默认情况下,此权限需要管理员权限才能允许它。macOS 不允许将此属性设置为 “允许 由 MDM”,但你可以允许标准用户接受此权限。 |
通过设置目录,我们可以简化最终用户允许这些权限的体验。
登录到 Intune 管理中心,然后转到“设备>配置>”Create > macOS > 设置目录
输入配置文件的 名称以及描述。 例如,“macOS 远程帮助隐私权限”,然后选择“下一步”
选择“ 添加设置” ,然后在设置选取器中,导航到 “隐私 > ”“隐私”“首选项”“策略控制 > 服务”
- 在 “辅助功能” 下,选择:
- Authorization
- 代码要求
- Identifer
- Identifer 类型
- 静态代码
- 在 “屏幕捕获 ”下,选择:
- Authorization
- 代码要求
- Identifer
- Identifer 类型
- 静态代码
关闭“添加设置”窗格,在“辅助功能”下选择“+ 编辑实例”,并配置以下设置:
名称 配置 Authorization 允许 代码要求 identifier "com.microsoft.remotehelp" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9标示符 com.microsoft.remotehelp 标识符类型 捆绑 ID 静态代码 False 选择“保存”,在“屏幕捕获”下选择“+ 编辑实例”,并配置以下设置:
名称 配置 Authorization 允许标准用户设置系统服务 代码要求 identifier "com.microsoft.remotehelp" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9标示符 com.microsoft.remotehelp 标识符类型 捆绑 ID 静态代码 False 选择“下一步”,根据需要配置范围标记,根据需要将配置文件分配给组,查看设置并Create策略。
支持的语言
以下语言支持远程帮助:
- 阿拉伯语
- 保加利亚语
- 中文(简体)
- 中文(繁体)
- 克罗地亚语
- 捷克语
- 丹麦语
- 荷兰语
- 英语
- 爱沙尼亚语
- 芬兰语
- 法语
- 德语
- 希腊语
- 希伯来语
- 匈牙利语
- 意大利语
- 日语
- 朝鲜语
- 拉脱维亚语
- 立陶宛语
- 挪威语
- 波兰语
- 葡萄牙语
- 罗马尼亚语
- 俄语
- 塞尔维亚语
- 斯洛伐克语
- 斯洛文尼亚语
- 西班牙语
- 瑞典语
- 泰语
- 土耳其语
- 乌克兰语
安装和更新远程帮助本机应用
远程帮助本机应用可从 Microsoft 下载,并且必须先安装在你尝试帮助的设备上,然后该设备才能用于参与远程帮助会话。
提示
仅当需要完全控制帮助程序设备时才需要本机应用,否则可以使用 远程帮助 Web 应用。
下载远程帮助
直接从 Microsoft https://aka.ms/downloadremotehelpmacos下载最新版本的 远程帮助。
远程帮助的最新版本是 1.0.2404171。
部署远程帮助
对于已注册的设备,可以通过代表用户安装远程帮助来简化用户体验。
有关通过 Intune 作为所需安装安装远程帮助的详细信息,请参阅将非托管 macOS PKG 应用添加到Microsoft Intune。
有关使远程帮助在 公司门户 中可供用户安装的详细信息,请参阅如何将 macOS 业务线应用添加到Microsoft Intune。
更新远程帮助
远程帮助通过 Microsoft AutoUpdate (MAU) 应用程序接收最新版本。 用户可以选择自动更新,以确保远程帮助是最新的。
请求帮助
本部分介绍使用 macOS 本机应用请求远程帮助的步骤。
提示
如果只想共享屏幕,并且不需要帮助程序来控制屏幕,或者无法安装本机应用,则可以使用 Web 应用。 有关使用 Web 应用请求帮助的详细信息,请参阅 远程帮助 Web 应用
若要请求帮助,必须联系支持人员以请求帮助,并输入他们提供以启动会话的代码。
当你作为共享者和帮助者准备好开始会话时:
在设备 Finder> Applications 上打开远程帮助应用>Microsoft 远程帮助。
首次打开远程帮助时,必须允许远程帮助访问以控制和共享屏幕。 单击每个所需的权限以打开“设置”,并确保允许Microsoft 远程帮助权限。
- 辅助功能 (也可在“设置隐私 & 安全>辅助功能”>) 中设置
- 屏幕和系统音频录制 (也可在 “设置 > 隐私 & 安全 > 屏幕和系统音频录制)
如果出现提示,请使用组织凭据登录以进行身份验证。 到你的组织。
输入帮助程序提供的 8 位数安全代码。 输入代码后,选择“ 共享屏幕 ”以继续。
会话连接开始时,将显示一个信任屏幕,其中包含帮助程序信息,包括其全名、职务、公司、个人资料图片和已验证的域。 此时,帮助程序请求使用完全控制设备或仅查看屏幕共享的会话。 可以选择 “允许” 或 “拒绝 请求”。
你可能会看到允许使用麦克风的提示
remotehelp.microsoft.com。- 选择“ 不允许” ,因为屏幕共享不需要此权限。
- 选择“ 不允许” ,因为屏幕共享不需要此权限。
选择“ 共享”屏幕 以继续。 你可能会看到允许共享屏幕的
remotehelp.microsoft.com提示。 选择“ 允许” 以继续。macOS 将右上角的对话框菜单显示为以下两个选项之一:
- 绿色相机图标:选择 “屏幕”,然后移动鼠标以选择屏幕共享。
- 如果选择允许麦克风权限) ,黄色麦克风图标 (:选择麦克风图标,然后在应用程序名称Microsoft 远程帮助右侧选择灰色图标,然后选择“屏幕”。 将光标移动到要共享的屏幕,然后选择“ 共享此屏幕”。
- 绿色相机图标:选择 “屏幕”,然后移动鼠标以选择屏幕共享。
建立会话后,帮助程序就可以帮助解决设备上的任何问题。
注意
如果管理员未安装远程帮助,可以按照安装和更新远程帮助部分中的下载说明自行安装远程帮助。
提供帮助
作为帮助者,你可以通过为他们提供用于启动会话的代码,为其设备提供远程协助。 可以从 Windows 或 macOS 上任何受支持的浏览器启动 Web 应用。
从Microsoft Intune管理中心导航到你尝试提供帮助的设备:
Microsoft Intune管理中心登录,转到“设备>”“所有设备”,然后选择需要帮助的 macOS 设备。
从设备视图顶部的远程操作栏中,依次选择“新建远程协助会话”、“远程帮助”和“继续”。
在选择“启动”以启动新的远程帮助会话之前,先复制并与尝试帮助的共享者共享 8 位会话代码。
首次在新选项卡中打开远程帮助时,必须登录才能向组织进行身份验证。
在共享者导航到远程帮助会话后,你将作为帮助者看到有关共享者的信息,包括其全名、职务、公司、个人资料图片和已验证的域。 共享者会看到有关你的类似信息。
此时,你可以请求完全控制共享者设备的会话,或选择仅共享屏幕。 共享者可以选择 “允许” 或 “拒绝 请求”。
注意
- 如果共享者的设备不符合其分配的合规性策略的条件,远程帮助会显示符合性警告。
- 如果租户配置为允许在未注册的设备上远程帮助,则连接到未注册的设备时将收到警告。 此警告不会阻止访问,但提供有关在会话期间使用敏感数据(如管理凭据)的风险的透明度。
已知问题
如果共享者提前退出远程帮助会话,则 60 秒以上可能不会通知帮助者。
如果使用 Edge,则共享者可能需要先登录到 Edge,然后才能启动会话,或者设备将报告为“未注册”。
验证浏览器是否为最新版本。
如果在会话期间使用其他应用程序(如 Teams 或录制)进行屏幕共享,则会话连接可能需要更长的时间。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈