在本文中,提供協助的使用者稱為 助手,接受協助的使用者稱為 分享者,因為他們會與助手分享他們的工作階段。 幫助者和分享者都登入你的組織才能使用該應用程式。 正是透過你的 Microsoft Entra ID,為遠端說明會話建立適當的信任。
遠端說明 使用Intune基於角色的存取控制 (RBAC) 來設定輔助器允許的存取權限。 透過 RBAC,您可以判斷哪些使用者可以提供協助,以及他們能提供的協助程度。
提示
若想根據您的環境客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Intune Suite 附加元件指南。
規劃檢查清單
遵循這份清單,簡化你的規劃流程。
- 平台與裝置支援
- 語言支援
- 租用戶設定
- 條件式存取
- 角色型存取控制 (RBAC)
- 網路考量
- 必要條件
- 限制
- 已知問題
- 已註冊或未註冊的裝置
規劃考量
利用這些考量為你的組織準備遠端說明。
強制執行最低權限:只授予每個支援角色所需的最低遠端說明權限。 必要時使用自訂的 Intune 角色,以限制誰能完全控制或執行無人值守的會話。 例如,一級支援可能只擁有觀看權限,而二級支援則擁有完全控制權。 此原則有助於保護使用者隱私與裝置完整性。
使用條件存取給輔助者:由於輔助者對使用者裝置有提升權限,請增加額外的安全層。 強烈建議透過條件存取要求輔助帳號具備多重身份驗證(MFA)或符合標準的裝置狀態。 這些措施確保被入侵的助手帳號不容易被惡意利用來存取裝置。 Entra ID 的遠端說明條件存取政策僅支援 Windows 和 macOS。
僅在必要時啟用未註冊裝置支援:允許未註冊裝置 (Entra 僅註冊) 遠端說明,方便支援個人裝置,但監督較少, (沒有裝置合規資訊或有限的稽核資料) 。 請謹慎啟用此功能,並考慮限制哪些支援人員能協助未註冊裝置 (或是透過不同角色來) 。
網路與防火牆:確認企業網路政策不會干擾遠端說明。 該應用程式透過 443 埠與 Azure 雲端端點通訊。 如果你的用戶在企業網路上,請確保代理或 SSL 檢查不會破壞連線。 如果你的代理伺服器使用 SSL 檢查,應排除遠端說明中列出的網域以避免問題。 欲了解更多資訊,請參閱網路端點以取得遠端說明。
政府雲端支援減少:政府社群雲 (GCC) 環境支援遠端說明,唯獨Azure虛擬桌面 (AVD) 支援。 遠端說明 在 GCC High 或 DoD (美國國防部) 租戶中不被支援。 欲了解更多資訊,請參閱 Microsoft Intune 以了解美國政府 GCC High 及 DoD 服務說明。
遠端說明 共享者、輔助者與裝置必須在同一租戶中:遠端說明 與合規政策及基於角色的存取控制 (RBAC) 整合要求所有參與者都位於同一租戶中。
注意事項
這可能影響外包客服支援台的情況,例如客服台管理員跨租戶工作。 假設您的使用者的 (共享裝置屬於租戶 A,但協助者的裝置屬於租戶 B,) (且他們使用的是由外包組織) 發放的裝置。 作為一個變通方法,可以考慮將與租戶 A 連接的裝置提供給客服台,或提供他們使用 Windows 365 或 AVD 裝置的存取權。
結合端點分析:利用遠端說明會話的數據來識別常見問題。 例如,如果許多會話顯示合規警告,或許可以改進你的裝置合規政策。 遠端說明 的稽核日誌結合 Intune 的端點分析,或許能洞察支援趨勢 (例如經常出問題的應用程式或政策) 。
保持遠端說明應用程式的更新:Windows 和 Mac 的新版本帶來改進與必要的修正。 Microsoft 可能會強制升級舊版本。 在兩個平台都使用自動更新 (Windows Update Mac,透過Microsoft AutoUpdate) ,或測試後定期透過 Intune 推送最新套件。 對於 Android 來說,如果你批准了應用程式,更新會自動透過 Play 商店傳送——在你的定期維護期間,監控裝置是否獲得最新版本。
規劃隱私與合規:遠端說明可能會引發隱私問題。 向利害關係人保證,遠端說明需要使用者同意,或在 Android 無人遠端說明的情況下,明確表示遠端會話仍在進行中。 所有療程皆為雙方同意,且會在使用者螢幕上明確標示。 服務中不會儲存任何會話錄音。 這些點可以納入您的內部 IT 政策或使用者指南中,以解決相關問題。 在 Android 上應謹慎使用無人值守的存取權限。
分階段部署:若可能,試點階段部署遠端說明。 先從資訊科技或小型部門開始,解決任何問題。 收集協助者與使用者的回饋。 一旦你有信心,就擴展到整個組織。 分階段的做法可以避免因突發技術問題而讓客服台不堪負荷。
輔助模式與客戶端模式
遠端說明客戶端會根據助手應用程式與分享者應用程式的組合,支援不同的模式。 Windows、macOS 和 Android 都有可安裝的遠端說明應用程式,以增強功能。 遠端說明應用程式有時也被稱為原生應用程式。 遠端說明也支援從功能較弱的裝置中透過網頁應用程式分享。
以下是不同的模式:
僅查看:請求遠端螢幕查看。 為減少對終端使用者隱私的影響,除非需要完全控制,否則建議採用此選項。
請求完全控制:請求遠端裝置的完整控制權。
提升:協助者在分享者裝置上被要求輸入使用者帳號控制 (UAC) 憑證。 啟用高程也讓助手在分享者授權協助者存取時,能查看並控制其裝置。
無人值守:在沒有終端使用者在場的情況下,完全控制裝置。
此表顯示輔助應用程式與分享者應用程式對模式的支援。
| 協助者: Windows 原生 |
求助來源: Windows 網頁 |
來自: macOS 網頁的協助 |
|
|---|---|---|---|
|
分享來源: Windows 原生 |
✅ 僅查看 ✅ 完全控制 ✅ 仰角 |
不支援 | 不支援 |
|
分享來源: macOS 原生版 |
不支援 |
✅ 僅查看 ✅ 完全控制 |
✅ 僅查看 ✅ 完全控制 |
|
分享來源: Android 原生 |
不支援 |
✅ 僅查看 ✅ 完全控制 ✅ 無人值守 |
✅ 僅查看 ✅ 完全控制 ✅ 無人值守 |
|
分享來源: macOS 網頁應用程式 |
不支援 | ✅ 僅限觀看 |
✅ 僅限觀看 |
|
分享來源: Windows 網頁應用程式 |
不支援 | ✅ 僅限觀看 |
✅ 僅限觀看 |
有關部署遠端說明應用程式的資訊,請參閱部署遠端說明。
認證與權限
協助者與分享者皆使用 Microsoft Entra ID 登入您的組織,確保遠端說明會話建立適當的信任。
遠端說明 使用Intune基於角色的存取控制 (RBAC) 來設定輔助器允許的存取權限。 透過 RBAC,租戶管理員決定哪些使用者能提供協助,以及他們能提供的協助程度。
基於角色的存取控制 (RBAC)
要使用 遠端說明,助手必須為其使用者帳號分配適當的基於角色的存取控制 (RBAC) 權限。 下表列出遠端說明可用的權限及其說明。
| 權限 | 描述 |
|---|---|
| 遠端說明 - 檢視畫面 | 讓助手能在不取得控制權的情況下查看分享者的螢幕。 |
| 遠端說明 - 全面掌控 | 允許助手完全控制分享者的裝置。 |
| 遠端說明 - 海拔 | 允許助手在 Windows 上與使用者帳號控制提示互動。 |
| 遠端說明 - 無人值守 | 讓助手能連接到 Android 裝置,而不必每次都要求分享者接受連線。 此功能要求 Android 裝置必須註冊為 Intune 專用裝置。 |
| 遠端任務 - 提供遠端協助 | 允許助手為使用者提供遠端協助。 |
| 遠端協助連接器 - 讀取 | 必須讓使用者在啟動會話時查看租戶是否已設定遠端說明。 |
以下 Intune 內建角色包括遠端說明權限:
- 客服台操作員 (檢視螢幕,完全掌控,仰角,無人看管,遠端任務 - 提供遠端協助,遠端協助連接器 - 閱讀)
- 學校管理員 (查看螢幕、完全控制、抬高、遠端任務 - 提供遠端協助、遠端協助連接器 - 閱讀)
注意事項
個人需要結合遠端任務-提供遠端協助權限、遠端協助連接器-讀取權限,以及至少一項遠端說明權限才能提供協助。 權限授予在角色指派的管理群組中,針對定義範圍群組中的使用者或裝置。 欲了解更多關於Intune基於角色的存取控制的資訊,請參閱 RBAC) 關於角色基礎存取控制 (Microsoft Intune。
重要事項
如果分享者或分享者的裝置不在協助者的範圍內,該協助者就無法提供協助。 所有裝置範圍群組不包含未註冊的裝置。 相反地,在分配過程中使用使用者範圍群組。
如果你選擇要排除某個群組,例如政策或應用程式指派,該群組必須巢狀放在 RBAC 指派 範圍群組中,或是在 RBAC 角色指派中單獨列出為範圍組。
必要條件
遠端說明有以下要求:
- 這是一份遠端說明授權,適用於所有被指定使用該服務的人——無論是 IT 支援人員 () 以及分享者 (使用者) 。
- 支援的 平台或裝置。
- Intune 註冊的裝置必須在 Microsoft Entra 註冊。
此功能除了訂閱 Microsoft Intune 方案 1 或 Plan 2 外,還需訂閱。 關於授權選項,請參閱 Microsoft Intune 方案與價格,以及 Microsoft 365 安全企業方案。
限制
遠端說明有以下限制:
- 你無法從一個租戶建立遠端說明會話給另一個租戶。
- 遠端說明可能不在所有市場或本地化地區都能提供。
- 遠端說明 支援於政府社群雲 (GCC) 環境,涵蓋以下平台:
- Windows
- ARM64 裝置上的 Windows
- Windows 365
- Samsung 與 Zebra 裝置註冊為 Android Enterprise 專用裝置
- macOS 13、14 和 15
- 遠端說明 在 GCC High 或 DoD (美國國防部) 租戶中不被支援。 欲了解更多資訊,請參閱 Microsoft Intune 以了解美國政府 GCC High 及 DoD 服務說明。
支援的平台
每個平台都有特定的前提條件與功能。
Windows
macOS
Android
網頁應用程式- Windows x86、x64 與 ARM64
- Windows 365
- Azure 虛擬桌面
有可選的 Windows 更新以提升通知可靠性:
- Windows 11:2023 年 7 月 25 日—KB5028245 (OS 建檔 22000.2245) 預覽 - Microsoft 支援服務
- Windows 10:2023年8月22日—KB5029331 (OS 建置版 19045.3393) 預覽 - Microsoft 支援服務
重要事項
2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。
分享者的裝置上必須安裝 Intune 管理擴充功能,才能進行遠端啟動功能。 特別是Windows 10作業系統建置必須高於或等於版本 19042,並且安裝了KB5018410修補程式。 作業系統版本應大於或等於 10.0.19042.2075 或 10.0.19043.2075 或 10.0.19044.2075。 欲了解更多關於 Intune 管理擴充功能的資訊,請參閱 Intune 管理擴充功能。
我們不建議在 Azure 虛擬桌面上遠端啟動會話。 欲了解更多資訊,請參閱 如何協助 AVD。
網路考量
協助者與分享者必須能透過 443 埠連接特定端點。 欲了解更多資訊,請參閱網路端點以取得遠端說明。
遠端說明透過 https) 的 443 埠 (通訊,並透過遠端桌面協定 (RDP) 連接遠端協助服務https://remotehelp.microsoft.com。 流量是用 TLS 1.2 加密的。
如果遠端說明僅限於已註冊的裝置,需求
如果您的組織只限制遠端說明只能對已註冊的裝置開放,則有額外的要求。
支援聊天語言
支援以下語言的遠端說明與聊天功能:
- 阿拉伯文
- 保加利亞文
- 簡體中文
- 繁體中文
- 克羅埃西亞文
- 捷克文
- 丹麥文
- 荷蘭文
- 英文
- 愛沙尼亞文
- 芬蘭文
- 法文
- 德文
- 希臘文
- 希伯來文
- 匈牙利文
- 義大利文
- 日文
- 韓文
- 拉脫維亞文
- 立陶宛文
- 挪威文
- 波蘭文
- 葡萄牙文
- 羅馬尼亞文
- 俄文
- 塞爾維亞文
- 斯洛伐克文
- 斯洛維尼亞文
- 西班牙文
- 瑞典文
- 泰文
- 土耳其文
- 烏克蘭文
資料與隱私權
Microsoft 會記錄少量會話資料,以監控遠端說明系統的健康狀況。 這些資料包含以下資訊:
- 會議開始與結束時間。 這些資訊會在 Microsoft 伺服器上儲存 30 天。
- 誰幫助誰,用什麼裝置。 這些資訊會在 Microsoft 伺服器上儲存 30 天。
- 錯誤源自遠端說明本身,例如意外斷線。 這些資訊會儲存在分享者的裝置事件檢視器中。
- 應用程式內使用的功能,例如僅檢視與仰角。 這些資訊會在 Microsoft 伺服器上儲存 30 天。
遠端說明會將會話細節記錄到助手與分享者裝置上的 Windows 事件日誌。 Microsoft 無法存取會話,也無法查看會話中發生的任何動作或按鍵。
協助者與分享者可從對方組織檔案中看到以下資訊:
- 如果有,他們的企業大頭像 ()
- 公司名稱
- 已驗證網域
- 名字與姓氏
- 職稱
Microsoft不會將分享者或助手的資料儲存超過30天。