【Intune Suite】リモートヘルプを試してみた！

1.はじめに

本記事では、Intune Suiteの１つであるリモートヘルプを取り上げており、簡単な動作確認手順をご紹介しています。

2.リモートヘルプとは

Intune リモートヘルプの説明の前に、少しIntune Suiteに関して、触れておきます。

2-1.Intune Suite

Intune Suiteとは、Intune Plan 1に対するアドオンプランです。
現在提供されている主要なコンポーネントは以下となっています。
試してみたコンポーネントには、リンクを付けていますので、もしよろしければ。

①リモート ヘルプ
・クラウドベースで、ユーザの遠隔支援
・本記事でのご説明

②エンドポイント特権管理
・ローカル管理者権限を Just in Time で付与

③高度分析(Advanced Analytics)
・デバイスクエリや、分析ダッシュボードを提供

④エンタープライズ アプリケーション管理
・3rd Party アプリの配信と脆弱性、更新の管理

⑤クラウド PKI
・SCEP証明書の発行や失効管理

費用感に関しては、以下公式サイトに記載があります。

2-2.リモートヘルプとは

デバイスに、リモートヘルプのアプリをインストールすることで、リモート接続（画面共有や完全な制御）によるユーザのサポートを実現することが可能となります。

ただ、それだけだと、Microsoft Teamsで良い気もしますが、ログに接続した履歴を残すことができ、アクセス元、アクセス先の双方をEntra ID による認証をした上で、ロールベースのアクセス制御もすることが可能となっているため、セキュアなヘルプデスク支援を実現できます。

サポートされているプラットフォーム

サポート対象のOSは、Windows だけではなく、macOSや一部Androidも含まれています。

• Windows 10 または 11
• ARM64 デバイスでのWindows 11
• ARM64 デバイスでのWindows 10
• Windows 365
• Android Enterprise Dedicated (Samsung デバイスと Zebra デバイス)
• macOS 12、13、14

通信要件

以下URL先の情報のように、デバイスから特定のアドレスに対して、ポート443での通信が必要となります。

3.動作確認

3-1.テスト構成

以下デバイスとユーザを用意しています。

• Hyper-V上に、Windows 11 PCを2台（W11-GT-TECH-01 / 02）用意
• Entra ID ユーザを２つ(hiyoko, niwatori)用意し、EMS E3相当とIntune Suiteのライセンスを付与
• hiyokoは、W11-GT-TECH-01を利用し、サポートされるユーザをイメージ
• niwatoriは、W11-GT-TECH-02を利用し、サポートするヘルプデスク担当者をイメージ

3-2.テナントとロール設定

Intune管理センターに移動し、テナントに対する設定を実施します。
「テナント管理 > リモートヘルプ > 設定 > 構成」を選択していきます。

以下のように選択して、「保存」を選択して、リモートヘルプを有効化します。

• リモートヘルプを有効にする：有効
• 登録されていないデバイスへのリモートヘルプを許可する：有効
• チャットを無効にする：いいえ

これで、リモートヘルプが有効になりました。

次は、ロールの設定をしていきます。
ロールを設定することで、リモート接続を行うユーザに対して、アクセス権限を付与することができます。
「ロール」を選択します。

検索窓で、Helpと検索し、「Help Desk Operator」というロールを見つけて、選択します。

なお、プロパティを見ると権限を確認することができ、

• Elevation (昇格)
• View screen (画面をシェア)
• Take full control (完全な制御)
• Unattended control (無人デバイスに対するセッション要求)

といった権限を有していることが分かります。

「＋割り当て」を選択します。

任意の名前を設定します。

ヘルプデスク業務を行うグループを割り当てます。
アクセス元（アクセスする側）のユーザとなります。

サポートされるユーザ、または、デバイスのグループを割り当てます。
アクセス先（アクセスする側）のユーザ、または、デバイスです。

スコープタグは特に設定せず、「次へ」を押します。

3-3. Intunewin形式のインストーラ作成

リモートヘルプを利用するためには、アプリのインストールが必要となります。
デバイスで実行しても大丈夫ですが、今回はIntuneでアプリの配布を行います。以下URLより、Windows用のリモートヘルプのアプリをダウンロードします。

ダウンロードしたインストーラは、exe形式なので、このままだとIntuneでアプリの配布ができません。
そのため、一度、「Microsoft Win32 コンテンツ準備ツール」というツールを利用して、intunewin形式に変換します。

以下URLに、「Microsoft Win32 コンテンツ準備ツール」があるので、「Code > Download ZIP」からファイルをダウンロードします。

ダウンロードしたら、ファイルを解凍し、「IntuneWinAppUtil.exe」があるフォルダに、dstとsrcというフォルダを作成します。
ダウンロードしたインストーラのファイル名は、remotehelpinstaller.exeに修正して、srcの配下に置いておきます。

.\IntuneWinAppUtil.exe -c ".\src" -s ".\src\remotehelpinstaller.exe" -o ".\dst"

引数の意味

• -c : このフォルダにあるファイルが、 .intunewinに変換されます
  　今回は、ここにリモートヘルプアプリのインストーラを置いています
• -s : セットアップファイルです
• -o : 出力フォルダです

以下のように、INFO File (省略) has been generated successfully という表示がでれば成功です。
dstフォルダに、intunewin形式となったファイルがあるので、こちらをIntuneにアップロードします。

3-4. アプリの配布

それでは、アプリの配布をするため、Intune管理センターに移動します。
「アプリ > Windows > +追加 > Windows アプリ(Win32)」を選択します。
次の画面でも「選択」を押します。

ファイルの選択から、先ほど作成したintunewin形式のファイルをアップロードします。

自動で入力された項目に対して、発行元だけ入力して、「次へ」を選択します。

インストールコマンドとアンインストールコマンド、リターンコード以下のように入力します。

インストールコマンド

"remotehelpinstaller.exe" /quiet acceptTerms=1 enableAutoUpdates=0

アンインストールコマンド

"remotehelpinstaller.exe" /uninstall /quiet acceptTerms=1

リターンコード

0 成功
3010 ソフト リブート

画面上では以下のようになります。

次は、必要要件となるので、64ビットで、Windows 11 21H2を選んでおきます。

規則の形式では、「検出規則を手動で構成する」を選び、以下を入力し、OKを押し、「次へ」を押します。

#パス
%ProgramFiles%\Remote help

#ファイル
RemoteHelp.exe

そのまま「次へ」を押します。

そのまま「次へ」を押します。

リモートヘルプアプリの配布対象のグループを割り当てます。

確認した後、「作成」を押します。

アプリの準備が発生するので、気長に待ちます。

3-5. 動作確認

デバイスの方で、アプリ配布が完了しましたら、動作確認をします。

今回、

• 左側：hiyoko サポートされる側、アクセス先
• 右側：niwatori リモートヘルプする側、アクセス元

になっています。

リモートヘルプのアプリを立ち上げ、それぞれサインインをします。

プライバシーに関する同意確認があるので、承諾します。

niwatori側(サポートをする側)で、「セキュリティコードを取得する」をクリックします。

niwatori側(サポートをする側)で、セキュリティコードが発行されますので、hiyoko側(サポートされる側）のほうに、入力します。

niwatori側(サポートをする側)に、hiyoko側(サポートされる側）の情報が表示され、画面共有またはコントロールを選択できます。ここでは、「完全に制御する」を選びます。

hiyoko側(サポートされる側）に、コントロールを渡していないかの確認が入りましたので、「許可」を押します。

niwatori側(サポートをする側)に、hiyoko側(サポートされる側）の画面が表示されました。niwatori側で自由にhiyokoの画面を操作することができます。

フルコントロールだとありがたみがないですが、画面共有の場合は有効なペイント機能やレーザポインタの機能もあります。

レーザポインタの機能の場合は、niwatori側でのマウスの軌跡を、hiyoko側に一時的に反映させます。ペイントの機能の場合は、niwatori側でのマウスでドラッグした軌跡を、hiyoko側で消すまで残すことができます。

また、リモートヘルプ機能の中で、チャットの機能もあります。

接続を切ると、次のような画面になり、終了となります。

Intune管理センター側では、接続したセッション情報を確認できます。
具体的には、セッション開始、終了時間、接続元、接続先の情報をアーカイブすることが可能となります。

4.おわりに

今回は、Intune Suiteのリモートヘルプを試してみました。
個人的には、Microsoft Teamsでも良い気がしますが、セッションログを残したり、ロールによるアクセス制御をしたりできますので、よりセキュアなヘルプデスクを構築する場合に有効かもしれませんね。